Manual de Seguridad

MANUAL DE SEGURIDAD DE PROCESOS 1
MANUAL DE SEGURIDAD DE PROCESOS 1 – Seguridad funcional en la industria de procesos/Principios, normas e implementación

También disponible:
Manual de seguridad 4 – Sistemas de control relacionados
con la seguridad de maquinaria.
Esta práctica guía trata los principios relativos a la seguridad de
la maquinaria, además de la legislación, la teoría y la práctica.
Número de publicación: SAFEBK-RM002B
Comuníquese con su representante de Rockwell Automation

para obtener una copia de esta guía, o visite
www.rockwellautomation.com
Seguridad funcional en
la industria de proceso
Principios, normas e implementación
Publicación: SAFEBK-RM003A-ES-P – Marzo de 2013 © 2013 Rockwell Automation, Inc. Todos los derechos reservados.
Seguridad funcional en la industria de proceso
Contenido
Capítulo 1 Introducción a IEC 61511 ........................................................................ 3
Capítulo 2 Ciclo de vida de seguridad general ...................................................... 11
Capítulo 3 Peligros e identificación de peligros ....................................................19
Capítulo 4 Riesgo y reducción de riesgos .............................................................. 30
Capítulo 5 Principio ALARP .................................................................................... 41
Capítulo 6 Determinación de objetivos del SIL ..................................................... 47
Capítulo 7 Diagramas de riesgos ........................................................................... 62
Capítulo 8 Análisis de capas de protección (LOPA) ............................................... 68
Capítulo 9 Asignación de funciones de seguridad ............................................... 81
Capítulo 10 Especificación de requisitos de seguridad para el SIS ....................... 85
Capítulo 11 Diseño e ingeniería del SIS ................................................................... 87
Capítulo 12 Técnicas de fiabilidad ........................................................................... 89
Capítulo 13 Verificación SIL .................................................................................... 122
Capítulo 14 Probabilidad de fallo de SIF, IEC 61511-1 ..........................................137
Capítulo 15 Instalación, puesta en servicio y validación, IEC 61511-1 ............... 150
Capítulo 16 Funcionamiento y mantenimiento, IEC 61511-1 .............................. 153
Capítulo 17 Modificación y desmantelamiento, IEC 61511-1 .............................. 156
Capítulo 18 Gestión, evaluación y auditoría ......................................................... 158
Capítulo 19 Referencias .......................................................................................... 165
Capítulo 20 Definiciones ......................................................................................... 166
Capítulo 21 Abreviaturas ........................................................................................ 173
1
Prefacio
La norma IEC 61508 abarca la gestión de la seguridad de sistemas eléctricos, electrónicos
y electrónicos programables (E/E/PE) a lo largo de su vida útil, desde el diseño hasta el
desmantelamiento. Aplica los principios de seguridad en la gestión de sistemas y la
ingeniería de seguridad en su desarrollo.
Como principio fundamental establece que, en la planificación de seguridad, deben

fijarse objetivos de seguridad basados en la evaluación de riesgos y que el rigor de la
gestión y de los procesos debe ser el adecuado para cumplir con ellos. Esto hace que
la norma se base en objetivos en lugar de ser prescriptiva, lo que significa que la
conformidad con la misma no exonera de culpa a los usuarios en caso de producirse
un problema de seguridad.
La norma está pensada tanto como base para la preparación de normas más específicas,
como para utilizarse de forma autónoma. Sin embargo se prefiere la primera aplicación;
el segundo uso requiere la personalización de la norma, que la gerencia la comprenda de
manera significativa y la planificación considerable de su introducción y uso.
Para muchos, la norma ha resultado difícil de leer y de comprender. No obstante, ya ha

tenido una enorme influencia. Ha sido y continuará siendo la base de las normas de
seguridad y de los marcos legales modernos, de modo que es esencial que todo el
personal con alguna responsabilidad en cualquier fase de la vida útil de un sistema
relacionado con la seguridad haga el esfuerzo de comprenderla bien.
El objetivo de este documento es ofrecer una introducción a la seguridad funcional y una

guía para la aplicación de la norma IEC 61511, la implementación específica de la norma
IEC 61508 en la industria de proceso. Aunque la norma americana ANSI/ISA-84.00.01 se basa
en la norma IEC 61511, es prácticamente idéntica, por lo que esta guía se aplica a ambas.
El objetivo de este documento es ofrecer información y orientación para poder comprender

mejor las normas y sus requisitos. El documento intenta utilizar un lenguaje sencillo, ilustrado
con ejemplos prácticos de proyectos reales, para explicar los principios y los requisitos
básicos junto con las técnicas que pueden utilizarse para cumplir dichos requisitos.
Exención de responsabilidad
Aunque las técnicas presentadas en este documento se han utilizado correctamente

para demostrar la conformidad en proyectos reales, debe tenerse en cuenta que la
conformidad, las técnicas utilizadas para demostrar dicha conformidad y la recopilación
de evidencias de apoyo siguen siendo responsabilidad del responsable a cargo.
El uso de corchetes [ ] indica una referencia cruzada a una sección de este documento.
2
Introducción a IEC 61511
1. Introducción a la norma IEC 61511

1.1. ¿En qué consisten las normas IEC 61508 y IEC 61511?
IEC 61508 es una norma internacional publicada por la Comisión Electrotécnica

Internacional (IEC), cuyo objetivo principal es abordar los aspectos que deben tenerse en
cuenta al utilizar sistemas eléctricos, electrónicos o electrónicos programables (E/E/PE)
para desempeñar funciones de seguridad.
IEC 61508 [19.1] es una norma genérica aplicable a todos los sistemas E/E/PE relacionados
con la seguridad, independientemente de su uso o aplicación. El título de la norma es:
IEC 61508:2010 Seguridad funcional de sistemas eléctricos/electrónicos/

electrónicos programables (E/E/PE) relacionados con la seguridad.
La norma se basa en el principio fundamental de que existe un proceso que puede

suponer un riesgo a la seguridad o al medio ambiente, si algo pudiera ir mal en el proceso
o en el equipo. El objetivo de la norma, por lo tanto, es resolver los contratiempos en los
procesos y los fallos en los sistemas, a diferencia de los peligros relacionados con la salud
y con la seguridad como tropiezos y caídas, y permitir manejar la seguridad de los
procesos de forma sistemática y en base a los riesgos.
La norma da por supuesto que se deben facilitar funciones de seguridad para reducir
dichos riesgos. Las funciones de seguridad pueden formar en conjunto un sistema
instrumentado de seguridad (SIS), y su diseño y funcionamiento deben estar basados
en la evaluación y la comprensión de los riesgos.
Un objetivo secundario de la norma IEC 61508 es permitir el desarrollo de sistemas E/E/PE

relacionados con la seguridad cuando no existan normas de aplicación en el sector. Esta
guía de segundo nivel en la industria de proceso queda cubierta por la norma
internacional IEC 61511 [19.2]. El título de esta norma es:
IEC 61511:2004 Seguridad funcional – Sistemas instrumentados de

seguridad para el sector de la industria de proceso.
IEC 61511 no es una norma de diseño, sino una norma para la gestión de la seguridad
a lo largo del ciclo de vida útil completo de un sistema, desde el diseño hasta el
desmantelamiento. En este enfoque es fundamental el ciclo de vida de seguridad general,
que describe las actividades relacionadas con la especificación, el desarrollo, el
funcionamiento o el mantenimiento de un sistema instrumentado de seguridad (SIS).
3
1.2. ¿Qué es la seguridad funcional?
La norma IEC 61511-1, 3.2.25 ofrece la siguiente definición.
“La seguridad funcional forma parte de la seguridad general relacionada con el

proceso y con el sistema básico de control de proceso (BPCS), que depende del correcto
funcionamiento del sistema instrumentado de seguridad (SIS) y de otras capas de
protección.”
Dicho de forma más sencilla, la seguridad funcional es la reducción de riesgos que

proporcionan las funciones implementadas para garantizar el funcionamiento seguro
del proceso.
1.3. Comisión Electrotécnica Internacional (IEC)
La Comisión Electrotécnica Internacional se fundó en 1906, con el científico británico Lord

Kelvin como primer presidente, y tiene su sede en Ginebra, Suiza. La IEC prepara y publica
normas internacionales para electrotecnología, es decir, para los sectores de tecnologías
eléctricas, electrónicas y otras afines.
La IEC apoya la seguridad y el rendimiento medioambiental de la electrotecnología,

promueve la eficiencia energética y las fuentes de energía renovables, y se hace cargo
de la evaluación del cumplimiento normativo de equipos, sistemas o componentes de
acuerdo a sus normas internacionales.
La norma y el resto de publicaciones de la IEC están protegidas y sujetas a determinadas

condiciones en cuanto a copyright, pero pueden adquirirse o descargarse en el sitio web
de la IEC [http://www.iec.ch].
1.4. Estructura de la norma
La norma se compone de tres partes, tal y como se muestra en la Figura 1.
4
Requisitos técnicos
Parte 1
IEC 61511-1, 8: Desarrollo de los requisitos globales de seguridad
(concepto, definición del alcance, evaluación de peligros y de riesgos)
Parte 1
IEC 61511-1, 9, 10: Asignación de los requisitos de seguridad a las funciones instrumentadas
de seguridad y desarrollo de la especificación de los requisitos de seguridad
Parte 1
IEC 61511-1, 11, 12
Fase de diseño para los sistemas Fase de diseño para el software del
instrumentados de seguridad sistema instrumentado de seguridad
Parte 1
IEC 61511-1, 13, 14, 15: Prueba de aceptación de fábrica, instalación y puesta en
marcha y validación de seguridad de los sistemas instrumentados de seguridad
Parte 1
IEC 61511-1, 16, 17, 18: Funcionamiento y mantenimiento, modificación y readaptación,
desmantelamiento o desecho de los sistemas instrumentados de seguridad
Elementos de respaldo
Parte 1
IEC 61511-1, 2: Referencias
IEC 61511-1, 3: Definiciones y abreviaturas
IEC 61511-1, 4: Cumplimiento con la normativa
IEC 61511-1, 5: Gestión de la seguridad funcional
IEC 61511-1, 6: Requisitos del ciclo de vida de la seguridad
IEC 61511-1, 7: Verificación
IEC 61511-1, 19: Requisitos de información
IEC 61511-1, Anexo A: Diferencias
Parte 2
IEC 61511-2: Guía para la aplicación de la parte 1
Parte 3
IEC 61511-3: Guía para la determinación de los
niveles de integridad de seguridad requeridos
Figura 1: Estructura de la norma
5
La Parte 1 subraya los requisitos de cumplimiento normativo. Se define la planificación

del proyecto, la administración, la documentación y los requisitos de competencia, así
como requisitos técnicos para garantizar la seguridad a lo largo del ciclo de vida de
seguridad.
En general, la Parte 1 es normativa ya que define requisitos específicos de cumplimiento

normativo y presenta una estructura consistente que permite demostrar dicho
cumplimiento normativo cláusula por cláusula.
La Parte 2 ofrece una guía de uso de la Parte 1.
En la Parte 3 se dan ejemplos prácticos de evaluación de riesgos con el fin de asignar

niveles de integridad de seguridad [4].
Las Partes 2 y 3 son informativas y proporcionan guía sobre los requisitos de

cumplimiento normativo.
1.5. Cumplimiento normativo con la norma IEC 61511
1.5.1. Requisitos de la Ley de Salud y Seguridad en el Trabajo, etc. de 1974
La Ley de Salud y Seguridad en el Trabajo, etc. de 1974 (HASAW o HSW) es la principal

legislación sobre salud y seguridad laboral existente en el Reino Unido. La Autoridad de
Salud y Seguridad (HSE) es responsable de hacer cumplir dicha ley, así como otras leyes e
instrumentos legales aplicables al entorno laboral.
Nota: En muchos países tienen una legislación o normativa similar a la “Health and Safety
at Work Act etc. 1974” del Reino Unido, citada en el texto como referencia. Para simplificar
en este documento, por favor asuma que cuando se cita la “Health and Safety at Work act”,
también implica otras leyes y normativas pertinentes que puedan existir en su país.
El texto completo de la ley puede obtenerse en la Oficina de Información del Sector

Público (OPSI) o descargarse de forma gratuita. Los usuarios de información legal deben
actuar con cierta precaución. Es posible que los documentos impresos o en línea no estén
actualizados y, por lo tanto, lo usuarios deben solicitar asesoramiento legal independiente
o consultar la línea informativa de la HSE [http://www.hse.gov.uk/contact/index.htm].
En términos sencillos, la Ley de Salud y Seguridad en el trabajo establece que la

obligación de cualquier empleador es garantizar, en la medida en que resulte
razonablemente práctico, la salud, la seguridad y el bienestar en el trabajo de sus
empleados. Esto incluye que la provisión y el mantenimiento de la planta y de los
sistemas de trabajo que, en la medida en que resulte razonablemente práctico, sean
seguros y no supongan ningún riesgo a la salud.
6
Además, debe ser responsabilidad del empleador llevar a cabo sus tareas de forma que
garantice, en la medida en que resulte razonablemente práctico, que las personas a las
que no emplea y que pudieran verse afectadas no queden expuestas a riesgos a su salud
o a su seguridad.
1.5.2. Requisitos de conformidad
La norma IEC 61511 establece que para declarar la conformidad debe demostrarse que
se hayan cumplido los requisitos de la norma de acuerdo a los criterios requeridos y que,
en cada cláusula o subcláusula, se hayan cumplido todos los objetivos.
En la práctica, por lo general resulta difícil demostrar la conformidad total con cada
cláusula y subcláusula de la norma y se precisa cierto juicio para determinar el nivel
de rigor aplicado al cumplimiento de los requisitos. Normalmente, el grado de rigor
necesario depende de determinados factores como, por ejemplo:
• la naturaleza de los peligros;

• la gravedad de las consecuencias;
• la reducción de riesgos necesaria;
• la fase del ciclo de vida que corresponda;
• la tecnología utilizada;
• la novedad del diseño.
En otras palabras debe tomarse una decisión basada en el riesgo. En caso de falta de
experiencia, cierta participación externa aumentaría la credibilidad de la declaración.
1.5.3. Consecuencias de la falta de conformidad
Puesto que la norma no es una ley, ya sea que usted cumpla con sus requisitos o no, usted
debe ser consciente de las consecuencias de la falta de conformidad. Como empleado,
responsable a cargo o responsable del riesgo, usted tiene la obligación, conforme a la Ley
de Salud y Seguridad en el Trabajo, de controlar el riesgo en su lugar de trabajo.
Esta norma proporciona un enfoque sistemático a la gestión de todas las actividades del
ciclo de vida de seguridad para sistemas que acostumbran a desempeñar funciones de
seguridad y constituye, por lo tanto, una fuente adecuada de información y de técnicas.
En caso de que algo saliera mal y, como consecuencia, alguien resultara herido o
enfermara y usted no hubiera utilizado la mejor información a su disposición sobre la
gestión del riesgo en cuestión, estaría en riesgo de ser investigado y procesado de
acuerdo con la Ley de Salud y Seguridad en el Trabajo.
La información que recopile y el análisis que realice sobre el cumplimiento de los

requisitos de la norma IEC 61511 se convierten de forma efectiva en su defensa ante
los tribunales en caso de que algo vaya mal.
7
1.5.4. Requisitos de conformidad en plantas nuevas
Está claro que, si usted está implicado en cualquier fase del ciclo de vida de seguridad,
sería razonable esperar que aplique la mejor información a su disposición para
garantizar que los riesgos asociados a su planta se controlen a un nivel tolerable. Podría
argumentarse que la mejor información disponible es la norma IEC 61511 y, por lo tanto,
en caso de que algo fuera mal, el incumplimiento podría interpretarse como negligencia.
1.5.5. Requisitos de conformidad en plantas existentes
Existen numerosas plantas que fueron diseñadas y construidas antes de que la norma
IEC 61511 se publicara formalmente y se encontrara disponible. Sin embargo, esta situación
no supone un cambio en sus responsabilidades y, si usted está implicado en alguna fase
del ciclo de vida de seguridad de una planta antigua (por ejemplo, funcionamiento,
mantenimiento, etc.), entonces sus obligaciones permanecen conforme a la Ley de Salud y
Seguridad en el Trabajo y los riesgos deben seguir siendo controlados como corresponda.
La norma, por lo tanto, sigue siendo aplicable a estas plantas antiguas.
La norma ANSI/ISA-84 se refiere de forma específica a los sistemas anteriores y establece

que, para un sistema instrumentado de seguridad (SIS) existente, diseñado y construido
de acuerdo a los códigos, las normas y las prácticas aplicables con anterioridad a la
publicación de la norma, el propietario/operario debe determinar que el equipo haya
sido diseñado, sometido a mantenimiento, inspeccionado, probado y puesto en
funcionamiento de forma segura. En efecto, usted debe comprobar que los sistemas
existentes sean seguros utilizando los mejores métodos a su disposición.
En realidad, puede que sienta la necesidad de volver a las fases iniciales del ciclo de vida
de seguridad de la planta existente y revisar o incluso realizar un nuevo estudio de riesgos
y operabilidad (HAZOP) partiendo de cero. Al llevar el proceso hasta su conclusión,
es posible que usted identifique riesgos no protegidos por las funciones de seguridad
existentes, y será responsabilidad suya controlar dichos riesgos de algún modo.
Es muy probablemente que no resulte rentable diseñar nuevas funciones instrumentadas

de seguridad (SIF) para una planta con 20 años de antigüedad. No obstante, si su
planta ha funcionado con seguridad durante un periodo razonable de tiempo, los riesgos
que usted identifique y la posibilidad de que sucedan, teniendo en cuenta todos los
dispositivos de seguridad existentes, pueden seguir siendo tolerables.
Su obligación es, como mínimo, documentar el proceso: asegurarse de que se hayan

identificado todos los peligros, que se hayan evaluado todos los riesgos y que se haya
valorado la efectividad de las funciones de protección o de los dispositivos de seguridad
existentes actualmente. En esta situación, usted cuenta con la ventaja de la retrospectiva
8
y puede cuantificar la frecuencia de los peligros de una forma más precisa, utilizando
sus propios registros históricos, que si se tratara de una instalación nueva. Deberá, por
lo tanto, poder demostrar mediante un análisis que los riesgos que ha identificado son
tolerables.
En el peor de los casos, si se da la situación de que hay determinados peligros sin

protección, o si se requiere una medida de reducción de riesgos adicional, deberá
saberlo y poner en práctica los pasos necesarios.
1.5.6. Motivos para cumplir con la norma IEC 61511
Además de la obligación legal implícita conforme a la Ley de Salud y Seguridad en el

Trabajo, existen otros motivos para cumplir con la norma:
• Requisitos contractuales;
• Optimización de la arquitectura del diseño;
• Posible ventaja en lo que respecta a marketing.
Podría argumentarse que la primera obligación de un negocio es sobrevivir, y que su

objetivo no debería ser maximizar las utilidades sino evitar las pérdidas. A este respecto,
usted debe preguntarse si prefiere aprender de los errores de los demás o cometerlos
usted mismo.
1.6. Aplicación de la norma IEC 61511
La seguridad funcional puede aplicarse únicamente a funciones completas que, por lo

general, consisten de un sensor, un ordenador o un controlador lógico programable (PLC),
y un dispositivo accionado. No tiene sentido aplicar el término a productos: elementos del
equipo como sensores o ordenadores.
Por lo tanto, cuando un fabricante declara, por ejemplo, que su producto es un sensor de
presión SIL2 o un PLC SIL3 en realidad significa que el sensor de presión es adecuado para
ser usado en una función de seguridad SIL2 o que el PLC es adecuado para ser usado en
una función de seguridad SIL3.
El fabricante debería calificar las declaraciones con advertencias y restricciones respecto

a su uso como, por ejemplo, los requisitos de tolerancia a fallos [13.3.1] o de prueba de
calidad [12.8] para obtener el nivel de integridad de seguridad (SIL) declarado.
Las declaraciones del fabricante pueden respaldarse incluso con un certificado SIL
emitido por un organismo de evaluación independiente, pero esto no significa que la
función de seguridad original cumpla con los requisitos de nivel de integridad de
seguridad (SIL). El certificado SIL no es sustituto de la demostración de conformidad,
9
y el responsable a cargo no puede utilizar dichas declaraciones del producto para

satisfacer sus responsabilidades conforme a la Ley de Salud y Seguridad en el Trabajo.
1.7. ¿Es necesario cumplir la norma?
1.7.1. Nueva construcción
Como se ha explicado anteriormente, existe una obligación legal implícita de cumplir la

norma. Esto significa que, aunque la norma no es una ley, la ley exige que el responsable
a cargo o el responsable del riesgo controle el riesgo a un nivel aceptable. La norma
proporciona un enfoque sistemático para lograrlo y, por lo tanto, en caso de que algo
saliera mal y que alguien resultara herido, no haber utilizado la mejor información
disponible podría considerarse como una indicación de negligencia y podría dar lugar
a acciones penales.
1.7.2. Planta existente
La Ley de Salud y Seguridad en el Trabajo sigue rigiendo en la planta existente y, por lo

tanto, es necesario seguir identificando y controlando los riesgos de la forma más
adecuada [1.5.5]. La norma IEC 61511 sigue proporcionando un modelo aplicable para el
control de riesgos en plantas anteriores diseñadas y utilizadas antes de que se publicara
la norma.
10
Ciclo de vida de seguridad general
2. Ciclo de vida de seguridad general

2.1. Ciclo de vida de seguridad
El ciclo de vida de seguridad engloba todas las actividades necesarias, desde la

especificación, el desarrollo, el funcionamiento y el mantenimiento del sistema
instrumentado de seguridad (SIS). De acuerdo al alcance de sus actividades, puede que
a su caso se apliquen únicamente algunas de las fases (por ejemplo, funcionamiento y
mantenimiento), pero debe conocer el enfoque del ciclo de vida completo.
En la Figura 2 se presenta el ciclo de vida de seguridad.
10 11 1 Evaluación de peligros y riesgos 9

Estructura y planificación del ciclo de vida de la seguridad
Asignación de funciones de
2
seguridad a capas de protección
evaluación y auditoría de la seguridad funcional
Requisitos de seguridad Diseño y

3
Gestión de la seguridad funcional,
Especificación para el SIS desarrollo de

otros medios
Diseño e ingeniería de reducción
4 de riesgo
para el SIS
5
Instalación, puesta en marcha Verificación
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
Figura 2: Ciclo de vida de seguridad IEC 61511
2.2. Fases del ciclo de vida
En la fase 1 se define el alcance en términos de barreras físicas, sociales y políticas, y se

tratan las implicaciones de seguridad en lo que se refiere a peligros y a la percepción de
11
riesgo. Esto resulta fundamental para comprender los peligros y los riesgos que entraña el
proceso.
Una vez que se establece la reducción de riesgos necesaria, se especifican los medios para
obtenerla durante la asignación (fase 2) y los requisitos de seguridad generales (fase 3).
En la fase 4 se diseñan los requisitos de seguridad generales como funciones de

seguridad. En este punto se examinan la optimización de funciones, la separación y otros
temas de diseño como la filosofía de pruebas, y la planificación de estas actividades se
trata como parte de la fase 11.
En las fases de la 5 a la 10 se demuestra que la norma no está restringida al desarrollo de

sistemas, sino que también cubre la gestión de la seguridad funcional durante la vida útil
de un sistema.
Muchos de los requisitos de la norma son técnicos por naturaleza, pero el enfoque
del ciclo de vida concede la misma importancia a actividades de gestión efectivas
como la planificación, la documentación, el funcionamiento, el mantenimiento, etc.
y la modificación, y éstas deben incluirse en todas las fases. Las actividades de
documentación, gestión y evaluación son paralelas, y resultan aplicables, a todas las
fases y a las actividades del ciclo de vida que se muestran en la Figura 2.
2.3. Requisitos de conformidad
Puesto que la norma es no prescriptiva, la conformidad no es sencilla. Cuánto o cuán

poco haga usted al declarar su conformidad es una decisión personal, pero debe estar
convencido de que ha hecho lo suficiente. Se recomienda utilizar un enfoque de
conformidad cláusula por cláusula para asegurarse de que ha tenido en cuenta todo
lo que razonablemente se esperaba de usted. En otras palabras, que ha adoptado un
enfoque riguroso.
La conformidad con la norma requiere que demuestre, con evidencias, que se ha

adoptado un enfoque sistemático para controlar el riesgo y que dicho enfoque se ha
aplicado a las fases adecuadas del ciclo de vida. Este enfoque sistemático lo proporciona
la norma, y está basado en el ciclo de vida de seguridad.
La conformidad con la norma requiere comprender el ciclo de vida y que las actividades
especificadas se lleven a cabo y se documenten. El seguimiento del ciclo de vida no es
un ejercicio de papeleo que pueda satisfacerse generando informes y marcando casillas.
La conformidad requiere que las actividades se lleven a cabo de forma efectiva y que se
produzca información en casa fase, que permita ejecutar las fases posteriores.
12
Rara vez se aplica un alcance de actividad limitado y se recomienda tener en cuenta todas
las fases del ciclo de vida. Por ejemplo, para un operario, las modificaciones en las fases
de funcionamiento y de mantenimiento pueden requerir decisiones y evaluaciones
previas; por ejemplo, la re-evaluación del HAZOP y del análisis de riesgos volviendo atrás
en el ciclo de vida.
2.4. Fases 1 y 2 del ciclo de vida de seguridad
Cada fase del ciclo de vida describe una actividad, y cada actividad cuenta con requisitos
de información en forma de entradas. Cada fase consiste de una actividad, para la que
usted debe disponer de procedimientos documentados, que produce información en
forma de salidas para utilizar en las fases posteriores.
En la Figura 3 se muestran las actividades y los requisitos informativos de la fase 1

(Evaluación de peligros y riesgos) y de la fase 2 (Asignación de requisitos de seguridad).
En la figura se muestra la información necesaria como una entrada (I/P) a la actividad y
la información producida por la actividad para ser utilizada en una fase posterior.
Debe tenerse en cuenta que, a pesar de que la norma describe las fases del ciclo de vida
y los requisitos informativos de cada fase, en la práctica algunas de las fases y de los
documentos asociados a ellas pueden combinarse si resulta apropiado. La claridad y la
simplicidad son importantes, y las actividades deben llevarse a cabo y la información
debe presentarse de la forma más efectiva posible.
El resultado de la fase 3 generalmente es un HAZOP y un análisis de riesgos, en el que se

identifican los requisitos de las funciones de seguridad y los objetivos de reducción de
riesgos.
En la fase 4 se trata la asignación de funciones de seguridad de acuerdo a los requisitos

de seguridad identificados en la fase anterior. La asignación de requisitos de seguridad
es el proceso de abordar cada uno de los requisitos de seguridad y de asignar funciones
instrumentadas de seguridad. Se trata de un proceso repetitivo en el que se toma
en cuenta el proceso y otras medidas de reducción de riesgos que puedan encontrarse
disponibles para satisfacer los requisitos generales de integridad de seguridad.
Es importante que, cuando comience la asignación de funciones de seguridad, se

planifiquen también las fases siguientes, incluidas la instalación, la puesta en servicio y
la validación, el funcionamiento y el mantenimiento (también consulte la Figura 5).
13
Toda la información relevante para cumplir

con los requisitos de la subcláusula.
Familiaridad con el proceso, funciones de control, entorno
físico; peligros y fuentes de peligro; información relativa a
peligros, p. ej., toxicidad, duraciones y fuentes de peligro;
información de peligro, p. ej., toxicidad, duraciones,
exposición; reglamentos actuales; peligros como resultado
de las interacciones con otros sistemas.
Información relativa al proceso, el entorno y los

peligros.
Definir el límite del proceso, BPCS, otros sistemas, operadores;
equipo físico; especificar el entorno, consideración de eventos
externos; otros sistemas; tipos de eventos iniciadores: fallos de
procedimiento, errores humanos, mecanismos de fallo.
Definir el alcance del análisis de peligros.
I/P 1. Análisis de
peligros y
O/P riesgos
Descripción de información relacionada con
el análisis de peligros y riesgos.
Análisis de peligros y riesgos: Peligros; frecuencias de evento
iniciador; otras medidas para reducir riesgos; consecuencias; 11. Planifi-
riesgo; consideración del riesgo máximo tolerable; cación
disponibilidad de datos; supuestos relativos a la documentación.
Especificación para los requisitos de seguridad globales en

términos de requisitos de funciones de seguridad y requisitos
de integridad de seguridad. Nota: las funciones de seguridad no
son específicas en cuanto a tecnología. El objetivo del SIL debe
especificar la fiabilidad específica.
I/P 2. Asignación
de requisitos
O/P de seguridad.
Especificación de funciones de seguridad.

Información sobre la asignación de las funciones de seguridad
globales, sus medidas de fallo específicas y los niveles de
integridad de seguridad asociados. Supuestos relativos a otras
medidas de reducción de riesgo que necesitan ser gestionadas
a lo largo de la vida del proceso.
Figura 3: Fases 1 y 2 del ciclo de vida de seguridad
14
Especificación de funciones de seguridad.

Información sobre la asignación de las funciones de seguridad
globales, sus medidas de fallo específicas y los niveles de
integridad de seguridad asociados. Supuestos relativos a otras
medidas de reducción de riesgo que necesitan ser gestionadas
a lo largo de la vida del proceso.
I/P3. Especificación
requisitos de
O/P seguridad
Especificación de los requisitos de seguridad SIS.
Puede incluir C y E.
Debe incluir:
a) especificación de estado de seguridad;
b) requisito para pruebas de calidad;
c) tiempo de respuesta;
d) interfaces de operador necesarias;
e) interfaces a otros sistemas;
f ) modos de operación;
g) comportamiento a la hora de detectar un fallo;
h) requisitos para desactivación manual;
i) requisitos de software de aplicación;
j) medida de fiabilidad SIL y específica
k) ciclo de servicio y vida útil;
l) condiciones medioambientales probables de encontrar;
m) límites CEM;
n) limitaciones debido a CCF.
Ver IEC 61511-1, 10.3 para requisitos completos.
I/P 4. Diseño e
ingeniería
O/P
Realización de cada SIF conforme a la especificación de requisitos

de seguridad SIS
Diseño y
Realización de cada medida de reducción de riesgos conforme desarrollo de
a los requisitos de seguridad para dicha medida otras medidas
15
En la fase 3 se trata la especificación de requisitos de seguridad (SRS), que permite que

comience la fase de diseño e ingeniería (fase 4), Figura 4.
Es posible que su organización disponga de una lista de verificación de elementos que

deben incluirse en la especificación del diseño. De este modo se garantiza que en cada
proyecto se elabore una especificación completa y exhaustiva, y se contribuye a
minimizar los fallos de la función de seguridad debidos a errores de especificación.
La fase 4 se puede tratar adecuadamente en una especificación de diseño funcional

(FDS) única o en un documento similar, en el que se defina la situación, el proceso y las
consideraciones medioambientales y de funcionamiento, y en el que se establezca el
alcance de las siguientes fases.
En las fases 5 y 6 se identifican los requisitos de instalación, puesta en servicio, validación,

funcionamiento y mantenimiento del sistema instrumentado de seguridad (SIS)
(Figura 5).
Las entradas, las salidas y las actividades asociadas con la fase 7 (Modificación) son
esencialmente las mismas que las asociadas con la fase 8 (Desmantelamiento). De hecho,
el desmantelamiento es una modificación que tiene lugar al final del ciclo de vida que se
inicia con los mismos controles y que se controla con los mismos dispositivos de
seguridad (Figura 6).
16
Plan para la instalación y la puesta en marcha del SIS.

Proporciona planificación para las actividades de instalación y puesta en
marcha; los procedimientos, las técnicas y las medidas que se van a usar;
el programa, el personal y los departamentos responsables.
Plan para la validación de seguridad global del SIS.
Proporciona planificación para la validación de seguridad SIS
con respecto a SRS y otra información de referencia, p. ej.,
diagramas de causa y efectos. La validación incluirá todos los
modos relevantes de funcionamiento (puesta en marcha,
desactivación, mantenimiento, condiciones anormales, etc.), los
procedimientos, técnicas y medidas que se van a usar, así como
el personal y los departamentos responsables. También incluirá
la planificación de validación para el software de aplicación de
seguridad.
Realización de cada SIF conforme a la especificación de
requisitos de seguridad SIS
I/P 5. Instalación,
puesta en marcha
SIS totalmente instalado y puesto en marcha: O/P y validación
documentación de instalación; referencia a informes
de fallo; resolución de fallos.
Confirmación de que el SIS cumple la especificación para los
requisitos globales de seguridad en términos de requisitos SIF
y los requisitos de integridad de seguridad, teniendo en cuenta
la asignación de requisitos de seguridad. Los requisitos de
documentación incluyen: actividades de validación cronológica;
versión de los requisitos de seguridad; función de seguridad
objeto de validación; herramientas y equipo; resultados;
elemento objeto de prueba, procedimiento aplicado y entorno
de prueba; discrepancias; decisiones adoptadas como resultado.
Un plan para el funcionamiento y el mantenimiento del SIS
Proporciona planificación para las actividades operacionales
rutinarias y anormales; prueba de calidad, actividades de
mantenimiento, procedimientos, técnicas y medidas que se van
a usar, así como el programa, el personal y los departamentos
responsables, el método de verificación con respecto al
funcionamiento y los procedimientos de mantenimiento. I/P 6. Funcionamiento,
mantenimiento
Logro constante de la seguridad funcional requerida para el SIS. O/P y reparación
Debe implementarse lo siguiente: Plan F y M; procedimientos de
funcionamiento, mantenimiento y reparación; implementación de
procedimientos; seguimiento de los programas de mantenimiento;
documentación de mantenimiento; ejecución regular de auditorías
FS; documentación de modificaciones; documentación cronológica
del funcionamiento y el mantenimiento del SIS;
17
Logro constante de la seguridad funcional requerida

para el SIS. Debe implementarse lo siguiente:
Plan F y M;
funcionamiento, mantenimiento y procedimientos de
reparación.
implementación de procedimiento;
seguimiento de programas de mantenimiento;
mantenimiento de documentación;
ejecución de auditorías regulares FS;
documentación de modificaciones;
documentación cronológica del funcionamiento y
el mantenimiento del SIS.
I/P 7. Modificación
8. Desmantelamiento
O/P
Logro de la seguridad funcional requerida para el SIS,
durante y después de que se haya llevado a cabo el
mantenimiento de la fase de modificación. La modificación
solamente debe iniciarse tras una solicitud autorizada con
arreglo al procedimiento para la Gestión FS. La solicitud
debe incluir: los peligros que pueden verse afectados;
cambio propuesto (hardware y software); razón del cambio.
Debe llevarse a cabo un análisis de impacto. Documentación
cronológica del funcionamiento y mantenimiento del SIS.
18
Peligros e identificación de peligros
3. Peligros e identificación de peligros

En la Figura 7 se muestra la fase del ciclo de vida aplicable.

2
Requisitos de seguridad Diseño y

3
Especificación para el SIS desarrollo de

otros medios
4 de riesgo
para el SIS
Verificación
Instalación, puesta en marcha
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
Figura 7: Fase 1 del ciclo de vida
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 8.1, es determinar:
• Los peligros/eventos peligrosos del proceso y del equipo asociado, la secuencia

de eventos que lleva al peligro y a los riesgos del proceso implicados [3.2 – 3.7];
• Los requisitos de la reducción de riesgos [5 y 6];
• Las funciones de seguridad necesarias para conseguir la reducción de riesgos
necesaria [7 y 8].
19
3.2. Peligros
El significado de la palabra peligro puede resultar algo confuso. A menudo los

diccionarios no ofrecen definiciones específicas, o combinan esta palabra con el término
“riesgo”, por ejemplo, como “peligro o riesgo”, lo que explica por qué muchas personas
utilicen ambos términos de forma intercambiable.
En el contexto de la seguridad funcional, los peligros son eventos que tienen el potencial
de ocasionar daños tales como lesiones personales, efectos nocivos en el medio ambiente
o perjuicios al negocio.
Entre los ejemplos de peligros en casa se incluyen:
• Cristal roto, ya que puede ocasionar cortes;
• Charcos de agua, ya que pueden causar resbalones y caídas;
• Demasiados enchufes en una toma, ya que pueden sobrecargarla y producir un
incendio.
Entre los ejemplos de peligros en el trabajo se incluyen:
• Nivel de ruido elevado, ya que puede ocasionar pérdida auditiva;
• Respirar polvo de asbesto, ya que puede ocasionar cáncer.
Entre los ejemplos de peligros en la industria de proceso se incluyen:
• El nivel de líquido en una cámara: el nivel alto puede ocasionar derrames de
líquido en los caudales de gas, o el desbordamiento de un producto químico o de
un líquido inflamable; el nivel bajo puede ocasionar que las bombas funcionen en
vacío, o un arrastre de gas hacia las cámaras anteriores en el proceso.
• La presión de líquido en una cámara: la presión alta puede ocasionar pérdidas
de contención, fugas o la rotura de la cámara.
El primer paso para evaluar el riesgo es identificar los peligros. Aunque se utilizan
diferentes técnicas para identificar peligros, la de uso más común es el Estudio de Peligros
y Operabilidad (HAZOP).
3.3. Utilización de HAZOP en la industria
Los estudios HAZOP fueron desarrollados originalmente en el Reino Unido por la empresa
química ICI después del desastre de Flixborough del año 1974, y empezaron a utilizarse
más ampliamente en la industria de proceso como resultado de dicho desastre.
El sábado 1 de junio de 1974, las instalaciones de Nypro (Reino Unido) en Flixborough
sufrieron importantes daños a causa de una gran explosión en la que fallecieron
28 trabajadores y 36 resultaron heridos. Se reconoció que el número de víctimas podría
haber sido superior si el incidente hubiera ocurrido en un día laborable, puesto que el
20
bloque de oficinas central no estaba ocupado. Se registraron 53 casos de lesiones a

terceros fuera de las instalaciones y también se produjeron daños en las propiedades
de la zona circundante.
Las 18 víctimas de la sala de control fallecieron a consecuencia de la destrucción de las
ventanas y del hundimiento del techo. Nadie pudo escapar. El incendio siguió activo
durante varios días y dificultó el trabajo de los equipos de rescate durante los 10 días
siguientes.
Desde la industria química, y a través del intercambio general de ideas y de personal,
los HAZOP se adoptaron posteriormente en la industria petrolera, en la que existe un
potencial similar de desastres importantes. Después fueron también adoptados por
las industrias alimentaria y del agua, en las que el peligro potencial es grande, pero en
las que la mayor preocupación son los problemas de contaminación en lugar de las
explosiones o los escapes de productos químicos.
3.4. Motivos para utilizar un HAZOP
Aunque el diseño de la planta se basa en la aplicación de códigos y normas, el proceso
HAZOP permitió la posibilidad de añadir a estos una anticipación imaginativa de las
desviaciones que podrían producirse, por ejemplo, debido a condiciones o contratiempos
en los procesos, fallos de funcionamiento de los equipos o errores de los operarios.
Además, la presión debida a la planificación de proyectos puede traducirse en errores o
descuidos y el HAZOP permite corregirlos antes de que estas modificaciones resulten muy
caras. Al resultar muy sencillos de comprender y poder adaptarse a cualquier proceso o
negocio, los HAZOP se han convertido en la metodología para la identificación de riesgos
más ampliamente utilizada.
3.5. Desviación respecto a la finalidad del diseño
Todos los procesos, equipos bajo control o plantas industriales tienen una finalidad en
cuanto al diseño. Dicho propósito puede ser alcanzar una capacidad de producción
objetivo en términos de tonelaje anual de un producto químico en particular o de un
número específico de artículos fabricados.
No obstante, una importante finalidad secundaria del diseño puede ser llevar a cabo
el proceso de forma segura y eficiente y, para hacerlo, se requiere que cada uno de los
elementos del equipo funcione de forma efectiva. Este aspecto puede considerarse la
finalidad del diseño para ese elemento específico del equipo.
Por ejemplo, como parte de los requisitos de producción de nuestra planta podemos
necesitar unas instalaciones de enfriamiento de agua que contengan un circuito de
enfriamiento de agua con una bomba de circulación y un intercambiador de calor, tal
y como se muestra en la Figura 8.
21
Ventilador de
enfriamiento
Intercambiador
de calor
Suministro de
enfriamiento
Depósito
Bomba
Figura 8: Finalidad del diseño
La finalidad del diseño de esta pequeña sección de la planta podría ser hacer circular de
forma continua agua de enfriamiento a una temperatura de X ºC y a una tasa de XXX
litros/hora. Normalmente, los estudios HAZOP se dirigen a esta finalidad del diseño de
nivel bajo. El uso de la palabra desviación resulta ahora más sencillo de comprender.
Una desviación o divergencia respecto a la finalidad del diseño en el caso de nuestras
instalaciones de enfriamiento de agua sería la reducción del flujo de circulación o el
aumento de la temperatura del agua.
Tenga en cuenta la diferencia entre la desviación y su causa. En el caso anterior, el fallo de

la bomba sería una causa, no una desviación.
En este ejemplo, el aumento en la temperatura del agua sería el peligro, ya que tendría el
potencial de ocasionar daños como, por ejemplo, lesiones personales, efectos nocivos en
el medio ambiente o perjuicios al negocio.
3.6. Técnica de estudios HAZOP
Los estudios HAZOP se utilizan para identificar peligros potenciales y problemas de

operabilidad ocasionados por desviaciones respecto a la finalidad del diseño, tanto en
plantas de procesos nuevas como existentes. Por lo general estos estudios se llevan a
cabo periódicamente durante la vida útil de la planta. Por supuesto debe realizarse un
estudio HAZOP inicial o preliminar en los momentos iniciales de la fase de diseño. El
proceso debe revisarse a medida que progrese el desarrollo y siempre que se propongan
modificaciones importantes y, por último, al final del desarrollo para garantizar que no
existan riesgos residuales antes de la fase de construcción.
22
El estudio HAZOP se lleva a cabo en un foro de encuentro entre las partes interesadas con
conocimientos y experiencia suficientes sobre el funcionamiento y el mantenimiento de
la planta. La reunión es una sesión de tormenta de ideas estructurada, en la que se
utilizan palabras guía para estimular ideas acerca de cuáles podrían ser los peligros. En el
acta de la reunión se registran los temas de discusión y se reúne la información acerca de
peligros potenciales, sus causas y sus consecuencias.
3.6.1. Equipo del estudio HAZOP
Es importante que el equipo del estudio HAZOP esté formado por personal que aporte al
estudio el mejor equilibrio entre conocimientos y experiencia, teniendo en cuenta el tipo
de planta. Un equipo del estudio HAZOP típico está formado del siguiente modo:
Nombre Puesto
Presidente Explicar el proceso HAZOP, mantener conversaciones y facilitar el HAZOP.

Alguien con experiencia en HAZOP, pero no involucrado directamente en
el diseño, para asegurarse de que el método se siga en detalle.
Secretaria Registrar el acta de la reunión sobre HAZOP y facilitar un registro visible
de las charlas. Registrar recomendaciones o acciones.
Ingeniero de procesos Generalmente el ingeniero responsable del diagrama de flujo de
proceso y del desarrollo de los diagramas de tuberías e instrumentación
(P y ID).
Usuario/operario Asesorar sobre el uso y la operabilidad del proceso y el efecto de las
desviaciones.
Especialista C e I Alguien con conocimientos técnicos relevantes en materia de control e
instrumentación.
Encargado de Persona encargada del mantenimiento del proceso.
mantenimiento
Representante del Asesorar sobre cualquier detalle de diseño o facilitar información
equipo de diseño complementaria.
3.6.2. Información utilizada en el estudio HAZOP
Los siguientes elementos deben estar a disposición del equipo del estudio HAZOP para
consultarlos:
• Diagramas de tuberías e instrumentación (P&ID) de las instalaciones;

• Documentos de descripción de procesos o de filosofía;
• Procedimientos de funcionamiento y mantenimiento existentes;
• Gráficas de causas y efectos (C&E);
• Esquemas de disposición de la planta.
23
3.6.3. Procedimiento HAZOP
El procedimiento HAZOP implica partir de una descripción completa del proceso y

cuestionar de forma sistemática cada una de las fases del mismo para establecer qué
efecto negativo sobre el funcionamiento seguro y eficiente de la planta pueden tener
la desviaciones respecto a la finalidad del diseño.
El equipo del estudio HAZOP aplica el procedimiento de forma estructurada y depende

de que sus miembros recurran a su imaginación para identificar peligros creíbles.
En la práctica, muchos de los peligros serán obvios, como el aumento de temperatura,

pero el punto fuerte de la técnica reside en la capacidad de descubrir peligros menos
obvios aunque pudieran parecer improbables a primera vista.
3.6.4. Palabras guía
En el proceso del estudio HAZOP se utilizan palabras guía para centrar la atención del
equipo en las desviaciones respecto a la finalidad del diseño, sus posibles causas y
consecuencias. Estas palabras guía se dividen en dos subgrupos:
• Palabras guía primarias, que centran la atención en un aspecto en particular de

la finalidad del diseño o una condición o parámetro asociados al proceso como,
por ejemplo, el flujo, la temperatura, la presión, el nivel, etc.;
• Palabras guía secundarias que, combinadas con una palabra guía, sugieren
posibles desviaciones como, por ejemplo, mayor temperatura, menor nivel,
ausencia de presión, flujo inverso, etc.
La técnica completa depende del uso efectivo de estas palabras guía, así que el equipo
debe comprender con claridad su significado y su uso.
Debe tenerse en cuenta que las palabras guía se utilizan simplemente para estimular
la imaginación sobre lo que podría ocurrir. No todas las palabras guía tendrán mucho
sentido; no todos los peligros serán creíbles. En estos casos, se recomienda que en caso
de que el equipo identifique eventos sin mucho sentido o no creíbles, se registren como
tales y el equipo no pierda tiempo en continuar con su trabajo.
3.6.5. Modos de funcionamiento
Puesto que un HAZOP es un estudio de peligros y operabilidad, es importante tener

en cuenta no solo el funcionamiento normal del proceso, sino también otros modos
anormales como, por ejemplo, puesta en servicio, desactivación, llenado, vaciado,
derivación y prueba de calidad.
24
Para hacerlo se debe considerar cada uno de los modos de funcionamiento especificados en
el alcance, como ejercicio independiente y produciendo un análisis HAZOP independiente
para cada uno. Como alternativa, en el caso de sistemas relativamente sencillos, puede
incluirse una columna adicional en las hojas de trabajo para identificar el modo. De este
modo un solo análisis HAZOP puede considerar todos los modos de funcionamiento.
3.6.6. Registro del estudio HAZOP
Existen herramientas de software disponibles para guiarle a lo largo del proceso del
estudio HAZOP. Como alternativa puede elaborarse una sencilla hoja de cálculo, para
registrar los debates y los resultados. Las hojas de cálculo permiten realizar de forma
sencilla la clasificación y la categorización, a la vez que proporcionan visibilidad y facilidad
de rastreo entre las diferentes entradas, de modo que se puedan mantener referencias
cruzadas con otros análisis.
Se recomienda registrar cada evento y la combinación de palabras guía considerada. En

los casos en que resulte aplicable, puede anotarse: Causa no creíble; Sin consecuencias;
Sin peligro. Esto representa un registro completo y se traduce en un informe HAZOP que
demuestra que se ha llevado a cabo un estudio exhaustivo y riguroso. Esto será
inapreciable en la evaluación de la seguridad y de la operabilidad de modificaciones
posteriores a la planta.
Además de lo anterior, con frecuencia se utilizan las palabras secundarias “Todo” y “Resto”.
Por ejemplo, determinadas combinaciones de palabras guía primarias pueden identificarse
como representantivas de causas creíbles (por ejemplo, Flujo/No Flujo/Retroceso. En el caso
de otras combinaciones (Flujo/Menos, Flujo/Más, Flujo/Otro), en las que no pueden utilizarse
causas creíbles, puede utilizarse la combinación “Flujo/Resto”.
3.6.7. Identificación de peligros – Encabezados de las hojas de trabajo del estudio HAZOP
En la siguiente tabla se presenta un ejemplo de hoja de trabajo del estudio HAZOP para
la cámara de descompresión. Tenga en cuenta que se trata de un ejemplo meramente
figurativo que no está pensado para ilustrar el sistema real.
Referencia
Siempre vale la pena incluir una columna de referencia de modo que pueda hacerse
referencia a cada entrada desde otros análisis, lo que hace posible también la facilidad
de rastreo para un análisis posterior (por ejemplo, un LOPA [8]).
Palabras guía
Deben utilizarse palabras guía primarias y secundarias. En Internet pueden encontrarse

varias listas de palabras guía aplicables a diferentes negocios e industrias.
25
Desviación
La desviación es la divergencia respecto a la finalidad del diseño iniciada por las palabras
guía primarias y secundarias, y representa el peligro identificado.
Causa
Causas potenciales que podrían ocasionar una desviación. Es importante incluir

información específica sobre la causa. Por ejemplo, si nos preocupara un aumento en
la concentración de oxígeno ocasionada por un fallo en el sensor de O2, el sensor podría
fallar de diferentes formas, pero únicamente leer una concentración falsa baja de O2
tendría como resultado la condición peligrosa.
Consecuencia
Las consecuencias que podrían surgir del efecto de la desviación y, si resulta apropiado,
de la propia causa. Siempre sea explícito al registrar las consecuencias. No dé por hecho
que el lector comprenderá más adelante cuál es el peligro o cómo se desarrollarán las
consecuencias.
Al documentar consecuencias es importante recordar que el estudio HAZOP puede

utilizarse para determinar el riesgo, por lo que resulta esencial una descripción total y
completa de cómo podría desarrollarse el peligro y ocasionar consecuencias. Por ejemplo,
las consecuencias pueden describirse como:
“Sobrepresión potencial que provoca la ruptura de tuberías de descarga de gas y la pérdida de

contención. Liberación de un gran volumen de gas que se enciende en el escape caliente de
la máquina y que produce una explosión o un fuego repentino con un número potencial de
víctimas de hasta dos miembros del personal de mantenimiento. Daños en el compresor
valorados de hasta €2 million, y pérdida de producción durante hasta 1 año.”
Al evaluar las consecuencias es importante no contabilizar los sistemas o

instrumentos de protección que ya están incluidos en el diseño.
Dispositivos de seguridad
En esta columna se registran todos los dispositivos de protección existentes que ya sea
eviten la causa o que protejan contra las consecuencias. Es necesario que los dispositivos
de seguridad no se limiten al hardware; si resulta adecuado, pueden contabilizarse
aspectos de procedimiento tales como inspecciones regulares de la planta (si está seguro
de que realmente se realizan Y de que pueden actuar como prevención o protección).
26
3.7. Ejemplo de HAZOP
3.7.1. Cámara separadora
En el siguiente ejemplo se muestra un esquema simplificado de una cámara separadora

de procesamiento. La cámara recibe el líquido de proceso, que se calienta por medio de
un quemador a gas. El vapor se separa del líquido de proceso y se libera para ser
exportado. El líquido concentrado restante se extrae de la parte inferior de la cámara una
vez que finaliza la reacción (Figura 9).
La cámara incorpora un sistema de control distribuido (DCS), que controla el nivel de

líquido dentro de la cámara, así como la presión y la temperatura del gas.
PT102
P
Importación
líquido
XV102 Exportación
gas
FCV102
LH
LH101
TT100
T LL
LL101 Exportación
líquido
XV101
FCV100 XV100
Quemador
Suministro
gas combustible
FCV100
Figura 9: Cámara separadora
En el siguiente diagrama se muestra un ejemplo de HAZOP para esta cámara separadora.
27
Ref. Palabra guía Palabra guía Desviación Peligro Consecuencia
primaria secundaria
01.01 Flujo Más Flujo elevado de líquido de proceso Un flujo elevado en la cámara puede dar lugar Los daños del equipo en la rama descendente requieren la sustitución
en la cámara. a un nivel elevado, con arrastre de líquido a la de la cámara valorada en €10M y una interrupción del proceso de
exportación de gas. 6 meses.
01.02 Flujo elevado del líquido de proceso fuera Un flujo elevado desde la cámara puede dar lugar a un Los daños del equipo en la rama descendente requieren la limpieza de la cámara
desde la exportación de líquido de la cámara. nivel bajo, fuga de gas en la exportación de líquido. valorada en €2M y una interrupción del proceso de 6 semanas.
01.03 Flujo elevado de gas hacia fuera desde Ningún peligro creíble Ninguna.
la exportación de gas de la cámara.
01.04 Menos Flujo bajo de líquido de proceso Un flujo bajo hacia la cámara puede dar lugar a un nivel Los daños del equipo en la rama descendente requieren la limpieza de la cámara
en la cámara. bajo, fuga de gas en la exportación de líquido. valorada en €2M y una interrupción del proceso de 6 semanas.
01.05 Flujo bajo del líquido de proceso Un flujo bajo desde la cámara puede dar lugar Los daños del equipo en la rama descendente requieren la sustitución
fuera desde la exportación de a un nivel elevado, con arrastre de líquido a la de la cámara valorada en €10M y una interrupción del proceso de
líquido de la cámara. exportación de gas. 6 meses.
01.06 Flujo bajo de gas hacia fuera desde la Ningún peligro creíble Ninguna.
exportación de gas de la cámara.
01.07 Retroceso No creíble. Ningún peligro creíble Ninguna.
01.08 También No creíble. Ningún peligro creíble Ninguna.
01.09 Otro No creíble. Ningún peligro creíble Ninguna.
01.10 Presión Más Presión elevada en la cámara. Rotura de la cámara y liberación del gas. La liberación del gas prende en el quemador y las superficies calientes.
3.7.2. HAZOP de la cámara separadora
Posiblemente dos víctimas entre el personal de mantenimiento. Los daños

del equipo requieren la sustitución de la cámara valorada en €10M y una
interrupción del proceso de 1 año. Emisión leve al medio ambiente.
01.11 Menos Presión baja en la cámara. Rotura de la cámara y liberación del gas. La liberación del gas prende en el quemador y las superficies calientes.
28
Posiblemente dos víctimas entre el personal de mantenimiento. Los daños
del equipo requieren la sustitución de la cámara valorada en €10M y una


01.15 Temperatura Más Temperatura elevada en la cámara. Una temperatura elevada conlleva una presión La liberación del gas prende en el quemador y las superficies calientes.
elevada, la rotura de la cámara y la liberación del Posiblemente dos víctimas entre el personal de mantenimiento. Los daños
gas. del equipo requieren la sustitución de la cámara valorada en €10M y una
01.16 Menos Temperatura baja en la cámara. Congelación potencial del líquido (solidificación), Los daños del equipo requieren la sustitución de la cámara valorada
rotura de la cámara y pérdida de contención. en €10M y una interrupción del proceso de 6 meses. Emisiones al
medio ambiente que requieren notificación.
01.20 Nivel Más Nivel elevado en la cámara. Un nivel elevado en la cámara puede dar lugar a Los daños del equipo en la rama descendente requieren la sustitución
arrastre de líquido en la exportación de gas. de la cámara valorada en €10M y una interrupción del proceso de
6 meses.
01.21 Menos Nivel bajo en la cámara. Un nivel bajo en la cámara puede dar lugar a fuga Los daños del equipo en la rama descendente requieren la limpieza de la cámara
de gas en la exportación de líquido. valorada en €2M y una interrupción del proceso de 6 semanas.
3.7.3. Resultados del HAZOP
En resumen, los peligros identificados son:
Peligro Consecuencia
Un nivel elevado en la Los daños al equipo en la rama descendente requieren sustituir la

cámara puede dar lugar a cámara, valorada en €10M, e interrupción del proceso de 6 meses.
arrastre de líquido a la
exportación de líquido.
La presión elevada causa Gas liberado prende en el quemador y en superficies calientes.
la rotura de la cámara y Posiblemente dos víctimas del personal de mantenimiento.
la liberación de gas. Daños al equipo requieren sustituir la cámara, valorada en €10M, e
La temperatura elevada Gas liberado prende en el quemador y en superficies calientes.
conlleva presión elevada, Posiblemente dos víctimas del personal de mantenimiento.
rotura de la cámara y Daños al equipo requieren sustituir la cámara, valorada en €10M, e
liberación de gas. interrupción del proceso de 1 año. Emisión leve al medio ambiente.
Un nivel bajo en la cámara Los daños al equipo en la rama descendente requieren limpieza de la
puede dar lugar a fuga de cámara, valorada en €2M, e interrupción del proceso de 6 semanas.
gas a la exportación de
líquido.
Una presión baja causa Gas liberado prende en el quemador y en superficies calientes.
la rotura de la cámara y Posiblemente dos víctimas del personal de mantenimiento.
la liberación de gas. Daños al equipo requieren sustituir la cámara, valorada en €10M, e
Baja temperatura, Daños al equipo requieren sustituir la cámara, valorada en €10M, e

congelación potencial del interrupción del proceso de 6 meses. Emisiones al medio ambiente
líquido (solidificación), que requieren notificación.
rotura de la cámara y
pérdida de contención.
La lista de peligros identificados forma un registro de peligros del sistema. El registro de

peligros debe ser un documento activo durante el ciclo de vida del sistema, al que se
puedan añadir datos o que pueda ser revisado a medida que se completen otros estudios.
Cada uno de los peligros identificados podría tener consecuencias en la seguridad,

medioambientales o comerciales pero, con el fin de responder a nuestras obligaciones
conforme a la Ley de Salud y Seguridad en el Trabajo [1.5.1], debemos determinar el nivel
de riesgo asociado a cada uno de los peligros [4].
29
4. Riesgo y reducción de riesgos

4.1. Concepto de riesgo
Un riesgo es la posibilidad de que un peligro cause un efecto adverso que pueda medirse.
Se trata, por lo tanto, de un concepto con dos partes y, para que tenga sentido, es
necesario contar con ambas partes. Las posibilidades pueden expresarse de diferentes
formas como, por ejemplo, una probabilidad: 1 caso de cada 1000; como frecuencia o
tasa: 1000 casos al año; o de forma cualitativa: insignificantes o significativas.
El efecto puede describirse de muchas formas diferentes. Por ejemplo:
• Lesiones graves o fallecimiento de un único empleado;

• Múltiples lesiones a terceros;
• Población general expuesta a un gas tóxico.
El riesgo anual de que un empleado sufra un accidente mortal [efecto] en su puesto

laboral debido al contacto con maquinaria en movimiento [peligro] es inferior a 1 por
cada 100,000 [posibilidad].
Es necesario, por lo tanto, cuantificar el riesgo en dos dimensiones. Debe valorarse el

impacto, o sea las consecuencias del peligro, y debe evaluarse la probabilidad de suceso.
Para simplificar, valore cada uno en una escala del 1 al 4, tal y como se muestra en la
Figura 10, en la que, cuanto mayor es el número, mayor es el impacto o la probabilidad
de suceso. Como principio general, al utilizar una matriz de riesgos como esta, puede
establecerse una prioridad y evaluarse el riesgo.
4
Probabilidad de
Media Crítica
que ocurra
2
Baja Alta
1
1 2 3 4
Gravedad de la consecuencia
Figura 10: Matriz de riesgos
Si la probabilidad de suceso es alta y la gravedad de la consecuencia es baja, esto podría

representar un riesgo “Medio”. Por otra parte, si la gravedad de la consecuencia es alta y la
30
Riesgo y reducción de riesgos
probabilidad de suceso es baja, el riesgo podría considerarse “Alto”. Por lo general, una
oportunidad remota de que se produzca un evento catastrófico debería requerir mayor
atención que una molestia menor que se da con frecuencia.
Hasta ahora, los ejemplos de riesgos están relacionados únicamente a la seguridad del
personal, pero no existe ninguna razón para no adoptar el mismo enfoque con riesgos
medioambientales, al negocio en términos de riesgos a un activo o a la capacidad de
obtener ingresos o incluso a la reputación de una empresa, además de para la seguridad
en lo que respecta a los problemas de suministro que pueden afectar a las empresas de
generación energética.
4.2. Análisis de peligros (HAZAN)
A primera vista, puede llevarse a cabo una evaluación de riesgos como parte del HAZOP,
lo que se conoce como análisis de peligro (HAZAN). Como se muestra en la Figura 10,
cada peligro puede categorizarse en términos de su gravedad (normalmente del 1 al 4,
siendo el 4 el más grave) y de su probabilidad de suceso, o frecuencia (del 1 al 4, siendo
el 4 el más probable).
Es posible desarrollar el ejemplo de HAZOP [3.7.2] y al multiplicar las categorías de

gravedad y frecuencia se obtiene una medición preliminar de riesgo en forma de un
número de prioridad del riesgo (RPN) que puede utilizarse para priorizar acciones de
reducción de riesgos, [4.3].
4.3. HAZAN de la cámara separadora
La columna “Acción” ofrece la oportunidad de realizar recomendaciones para iniciar una

acción correctiva, tal como investigar qué dispositivos de seguridad adicionales pueden
implementarse.
Las posibles acciones se clasifican en dos grupos:
• Acciones que eliminan la causa;

• Acciones que mitigan las consecuencias.
Eliminar la causa del peligro es siempre la solución preferida. Únicamente cuando no sea
factible, se debe considerar la opción de mitigar las consecuencias.
4.3.1. Acciones del HAZOP
En las hojas de trabajo del HAZOP se identifican asimismo acciones para investigar a
mayor profundidad. En este ejemplo se identificaron las siguientes acciones.
31
Ref. Desviación Peligro Consecuencia Dispositivos de Acción
Cat. grav. Cat. frec. RPN
seguridad
01.01 Flujo elevado de líquido de Un flujo elevado en la cámara puede dar Los daños del equipo en la rama descendente requieren la sustitución Control de nivel. Considerar la instalación
proceso en la cámara. lugar a un nivel elevado, con arrastre de de la cámara valorada en €10M y una interrupción del proceso de 3 2 6 de una alarma de nivel
líquido a la exportación de gas. 6 meses. elevado.
01.02 Flujo elevado del líquido de proceso fuera Un flujo elevado desde la cámara puede dar Los daños del equipo en la rama descendente requieren la limpieza de la cámara Control de nivel. Considerar la instalación
desde la exportación de líquido de la cámara. lugar a un nivel bajo, fuga de gas en el líquido. valorada en €2M y una interrupción del proceso de 6 semanas. 2 1 2 de una alarma de nivel bajo.
01.03 Flujo elevado de gas hacia fuera desde la Ningún peligro creíble Ninguna. Ninguna.
01.04 Flujo bajo de líquido de proceso Un flujo bajo hacia la cámara puede dar lugar Los daños del equipo en la rama descendente requieren la limpieza de la cámara Control de nivel. Considerar la instalación
en la cámara. a un nivel bajo, fuga de gas en el líquido. valorada en €2M y una interrupción del proceso de 6 semanas. 2 2 4 de una alarma de nivel bajo.
01.05 Flujo bajo del líquido de proceso Un flujo bajo desde la cámara puede dar Los daños del equipo en la rama descendente requieren la sustitución Control de nivel. Considerar la instalación
fuera desde la exportación de lugar a un nivel elevado, con arrastre de de la cámara valorada en €10M y una interrupción del proceso de 3 1 3 de una alarma de nivel
líquido de la cámara. líquido a la exportación de gas. 6 meses. elevado.
01.06 Flujo bajo de gas hacia fuera desde la Ningún peligro creíble Ninguna. Ninguna.
01.07 No creíble. Ningún peligro creíble Ninguna. Ninguna.

01.10 Presión elevada en la cámara. Rotura de la cámara y liberación del La liberación del gas prende en el quemador y las superficies calientes. Control de presión. Considerar la instalación
gas. Posiblemente dos víctimas entre el personal de mantenimiento. Los daños de una alarma de nivel
del equipo requieren la sustitución de la cámara valorada en €10M y una 4 2 8 elevado.
32
01.11 Presión baja en la cámara. Rotura de la cámara y liberación del La liberación del gas prende en el quemador y las superficies calientes. Control de presión. Considerar la instalación
gas. Posiblemente dos víctimas entre el personal de mantenimiento. Los daños de una alarma de nivel
del equipo requieren la sustitución de la cámara valorada en €10M y una 4 1 4 bajo.

01.15 Temperatura elevada en la Una temperatura elevada conlleva una La liberación del gas prende en el quemador y las superficies calientes. Control de temperatura. Considerar la instalación
cámara. presión elevada, la rotura de la cámara Posiblemente dos víctimas entre el personal de mantenimiento. Los daños de una alarma de
y la liberación del gas. del equipo requieren la sustitución de la cámara valorada en €10M y una 4 1 4 temperatura elevada.
01.16 Temperatura baja en la cámara. Congelación potencial del líquido Los daños del equipo requieren la sustitución de la cámara valorada Control de temperatura. Considerar la instalación
(solidificación), rotura de la cámara y en €10M y una interrupción del proceso de 6 meses. Emisiones al 3 1 3 de una alarma de
pérdida de contención. medio ambiente que requieren notificación. temperatura baja.
01.20 Nivel elevado en la cámara. Un nivel elevado en la cámara puede Los daños del equipo en la rama descendente requieren la sustitución Control de nivel. Considerar la instalación
dar lugar a arrastre de líquido en la de la cámara valorada en €10M y una interrupción del proceso de 3 2 6 de una alarma de nivel
exportación de gas. 6 meses. elevado.
01.21
Nivel bajo en la cámara. Un nivel bajo en la cámara puede dar lugar a Los daños del equipo en la rama descendente requieren la limpieza de la cámara Control de nivel. Considerar la instalación
fuga de gas en la exportación de líquido. valorada en €2M y una interrupción del proceso de 6 semanas. 2 1 2 de una alarma de nivel bajo.

Ref. Peligro Consecuencia Acción Acción Fecha de

asignada finalización
01.01 Un flujo elevado en la Daños al equipo en la Considerar la S Smith 14/04/12
cámara puede dar lugar rama descendente. instalación de una C&I_Dept
a un nivel elevado, con alarma de nivel
arrastre de líquido a la elevado.
exportación de gas.
01.02 Un flujo elevado desde Daños al equipo en la Considerar la S Smith 14/04/12

la cámara puede dar rama descendente. instalación de una C&I_Dept
lugar a un nivel bajo, alarma de nivel
con fuga de gas a la bajo.
01.04 Un flujo bajo hacia la Daños al equipo en la Considerar la S Smith 14/04/12

cámara puede dar rama descendente. instalación de una C&I_Dept
lugar a un nivel bajo, alarma de nivel
con fuga de gas a la bajo.
01.05 Un flujo bajo desde la Daños al equipo en la Considerar la S Smith 14/04/12

lugar a un nivel alarma de nivel
elevado, con arrastre elevado.
de líquido a la
01.10 Rotura de la cámara y Posibles víctimas del Considerar la J Jones Process 21/04/12
liberación de gas. personal de instalación de una Dept
mantenimiento. Daños alarma de presión
al equipo. Emisiones al elevada.
medio ambiente.
01.11 Rotura de la cámara y Posibles víctimas del Considerar la J Jones Process 21/04/12
liberación de gas. personal de instalación de una Dept
mantenimiento. Daños alarma de presión
al equipo. Emisiones al baja.
medio ambiente.
01.15 Una temperatura Posibles víctimas del Considerar la V White 21/04/12

elevada conlleva personal de instalación de una C&I_Dept
presión elevada, rotura mantenimiento. Daños alarma de
de la cámara y al equipo. Emisiones al temperatura
liberación de gas. medio ambiente. elevada.
01.16 Congelación potencial Daños al equipo. Considerar la V White 21/04/12

del líquido, rotura de la Emisiones al medio instalación de una C&I_Dept
cámara y pérdida de ambiente. alarma de
contención. temperatura baja.
01.20 Un nivel elevado en la Daños al equipo en la Considerar la S Smith 14/04/12

lugar a arrastre de alarma de nivel
líquido a la elevado.
01.21 Un nivel bajo en la Daños al equipo en la Considerar la S Smith 14/04/12

lugar a fuga de gas a la alarma de nivel
exportación de líquido. bajo.
33
4.4. Ejemplos de categorizaciones en la matriz de riesgos
En la Figura 11 se presenta información similar a la sencilla matriz de riesgos utilizada

anteriormente. La gravedad de la consecuencias ha sido clasificada por medio de sencillas
descripciones genéricas como, por ejemplo, secundaria, menor, grave, catastrófica, etc. Si
se ha realizado un HAZOP, probablemente se conocen las posibles consecuencias de los
peligros identificados y estos pueden ser agrupados y categorizados.
La cuantificación de la posibilidad de suceso resulta más difícil. En la Figura 11 se muestra

un enfoque mediante el cual la posibilidad se categoriza de forma descriptiva desde muy
frecuente (el peligro se da varias veces al año en las instalaciones) hasta muy raras veces
(nunca visto en la industria o nunca visto en ninguna industria). Con una descripción
cualitativa de la posibilidad de suceso es posible asignar rangos de frecuencia a cada
categoría.
La tabla resultante permite de este modo categorizar los riesgos de muy bajos (VL),
bajos (L), medios (M), altos (H) a muy altos (VH), de acuerdo a la categoría de gravedad
y a la frecuencia.
34
Verosimilitud
Figura 11: Matriz de riesgos

Nunca constatado Nunca constatado Constatado en Ocurre varias Ocurre varias Ocurre varias
en ninguna industria/ en ninguna industria/ Ocurrido Ocurre en las
la industria/tipo veces en el veces en las veces al año en
tipo de trabajo tipo de trabajo en el negocio instalaciones
de trabajo negocio instalaciones las instalaciones
Gravedad A B C D E F G H
Catastrófica
6 VL L M H VH VH VH VH
10 -6/año
Grave
5 VL L M H VH VH VH
10 -5/año
Importante
35
4 VL L M H VH VH
10 -4/año
Moderado
3 VL L M H VH
10 -3/año
Menor
2 VL L M H
10 -2/año
Incidente
1 VL L M
10 -1/año
<10 -6 /año 10 -6 – 10 -5/año 10 -5 – 10 -4/año 10 -4 – 10 -3/año 10 -3 – 10 -2/año 10 -2 – 10 -1/año 10 -1 – 1/año >1/año

4.5. Cuantificación de riesgos
La tolerabilidad de riesgos hasta el momento ha sido cualitativa. La cuantificación de la

tolerabilidad de riesgos para la seguridad personal depende de cómo se perciban los
riesgos, y en ello pueden influir varios factores, entre ellos:
• la experiencia personal en cuanto a efectos adversos;

• los antecedentes sociales o culturales y las creencias;
• el grado de control que se tiene sobre un riesgo en particular;
• la medida a la que la información se obtiene de diferentes fuentes como,
por ejemplo, los medios de comunicación.
Claramente los riesgos que son muy altos resultan obviamente inaceptables (por ejemplo,
fumar al estar embarazada) y en otras situaciones en las que el riesgo es tan bajo que
resulta insignificante (por ejemplo, hervir leche). Por supuesto, el área de discusión más
interesante es la zona intermedia de riesgo tolerable. La tarea es, por lo tanto, definir las
dos condiciones límite:
• entre un riesgo inaceptable y tolerable;

• entre un riesgo tolerable y aceptable.
El documento orientativo de la HSE sobre reducción de riesgos y protección de personas

(R2P2) [19.3] propone que un riesgo individual de fallecimiento de 1 en 1,000,000 al
año, tanto para empleados como para la población general corresponde a un nivel de
riesgo muy bajo y debe usarse como límite de riesgo ampliamente aceptable
(insignificante).
El documento R2P2 sugiere asimismo que un riesgo individual de fallecimiento de 1 en

1000 al año debería representar la condición límite entre lo que es apenas tolerable en
una categoría sustancial de trabajadores durante gran parte de su vida laboral, y lo que
es inaceptable para cualquiera, a excepción de grupos de carácter bastante excepcional.
En el Reino Unido, el objetivo de la salud y la seguridad laboral es alcanzar un nivel al que
prácticamente toda la población pudiera estar expuesta a diario, sin efectos adversos.
En el caso de la población general que está sometida a riesgos, este límite está
considerado en un orden de magnitud inferior a 1 en 10,000 al año.
Los criterios adoptados por la HSE pueden demostrarse en un marco denominado

tolerabilidad del riesgo (TOR), (Figura 12). Ahí se han identificado los criterios de riesgo
individual máximo tolerable y de riesgo ampliamente aceptable.
36
Área Área
no aceptable no aceptable
10-3 pa 10-4 pa
Riesgo creciente
Riesgo creciente
Área Área
tolerable tolerable
10-6 pa 10-6 pa
Área Área
ampliamente ampliamente
aceptable aceptable
Figura 12: Tolerabilidad de riesgo Figura 13: Criterios de riesgo individuales
4.6. Tolerabilidad y aceptabilidad del riesgo
Al determinar el riesgo cuantitativo que presentan los peligros identificados en, digamos,
un HAZOP, es necesario establecer criterios de riesgo cuantitativo y tener en cuenta otros
peligros laborales a los que un individuo estará expuesto durante su jornada laboral. No
es irrazonable suponer que un individuo pueda estar expuesto a unos 10 peligros de
dicho tipo. La tolerabilidad de los criterios de riesgo (Figura 12) puede entonces
distribuirse entre estos 10 peligros, obteniendo un riesgo individual máximo tolerable de
fallecimiento de 1 en 10,000 al año (Figura 13).
El límite de riesgo ampliamente aceptable para el riesgo individual de fallecimiento, tanto

para empleados como para miembros de la población general, se mantiene en 1 en
1,000,000 al año, puesto que esto ya se considera insignificante. La tolerabilidad del riesgo
puede resumirse tal y como se presenta en la Figura 14.
37
RIESGO INDIVIDUAL por año

Consecuencia Menor/Grave Grave/Fatídica Fatídica múltiple
-3 -4
Empleados 10 10 10-5
Población general 10-4 10-5 10-6
RIESGO AMPLIAMENTE ACEPTADO (insignificante)

Empleados 10-5 10-6 10-6
Figura 14: Resumen de tolerabilidad de riesgo
Desde el riesgo individual máximo tolerable de fallecimiento de 1 en 10,000 al año, es

posible determinar otros valores de riesgo máximo tolerable en función de la gravedad
y de la participación o falta de participación de terceros (Figura 15).
RIESGO INDIVIDUAL por año

-3 -4
Empleados 10 10 10-5
Población general 10-4 10-5 10-6
RIESGO AMPLIAMENTE ACEPTADO (insignificante)

Empleados 10-5 10-6 10-6
38
4.7. Tolerabilidad del riesgo
El resumen de tolerabilidad del riesgo (Figura 15) puede representarse en forma gráfica,
tal y como se muestra en la Figura 16.
Múltiples
víctimas
Riesgo máximo
tolerable –
empleado
Gravedad de la consecuencia
Riesgo máximo
tolerable –
población general
Una
víctima
Lesiones
Riesgo insignificante
10-6 10-5 10-4 10-3

Frecuencia (/año)
39
4.8. Requisitos de conformidad
Los requisitos de los niveles de integridad de seguridad (SIL) derivan de las frecuencias
posibles de eventos peligrosos. En función de las consecuencias de un peligro, se
establece una frecuencia máxima tolerable y una función de seguridad diseñadas para
reducir la frecuencia a un nivel tolerable.
La reducción de riesgos requerida por parte de las funciones de seguridad presenta el

primer requisito de conformidad con la norma: se trata de la medición numérica de
fiabilidad.
La medición numérica de fiabilidad se categoriza en función del valor, en bandas o niveles

de integridad de seguridad. Existen 4 niveles de integridad de seguridad de acuerdo a la
medida de fiabilidad objetivo requerida. SIL4 representa el nivel de integridad más alto,
la mayor magnitud de reducción de riesgos y el objetivo de fiabilidad más oneroso. SIL1
representa el nivel de integridad más bajo y el objetivo de fiabilidad menos oneroso.
4.9. Principio ALARP
En la anterior descripción general de análisis de peligros y de riesgos se ilustra cómo

determinar los riesgos de proceso y cómo obtener el riesgo máximo tolerable. No
obstante, conforme a HSAWA, es necesario continuar haciendo esfuerzos adicionales
para reducir más el riesgo por otros medios, hasta que se pueda demostrar que el riesgo
sea “Tan bajo como resulte razonablemente practicable” (ALARP), es decir, cuando
una mayor reducción de riesgos no resulte rentable [5].
40
Principio ALARP
5. Principio ALARP
5.1. Beneficios y sacrificios
Al usar “razonablemente practicable” se establecen objetivos para los responsables a

cargo, en vez de prescribir. Esta flexibilidad supone una gran ventaja, ya que permite a los
responsables a cargo seleccionar el que consideren el mejor método, por lo que apoya la
innovación, aunque también tiene sus inconvenientes. Decidir si un riesgo cumple el
principio ALARP puede representar un reto, ya que para establecer un criterio se requiere
la opinión de los responsables a cargo y de asesores.
Las principales pruebas aplicables a la regulación de riesgos industriales incluyen

determinar si:
a) el riesgo es tan elevado que debe rechazarse totalmente;

b) el riesgo es, o se ha hecho, tan pequeño como para resultar insignificante;
c) el riesgo se clasifica entre los dos estados especificados en los apartados
a) y b) anteriores, y se ha reducido a un nivel “Tan bajo como resulte
razonablemente practicable”.
El concepto “razonablemente practicable” resulta difícil de cuantificar. Implica que es

preciso realizar un cómputo en el que la reducción adicional de riesgo que pueda
obtenerse esté equilibrada con respecto al sacrificio que supone conseguirla (en dinero,
tiempo o problemas). Si existe una desproporción excesiva entre ambos, es decir, si el
beneficio es insignificante con relación al coste, el riesgo se considera ALARP.
Así, la demostración de que se han reducido los riesgos de acuerdo al principio ALARP
implica una evaluación de:
• el riesgo que debe evitarse;

• el sacrificio (en dinero, tiempo y problemas) que supone adoptar medidas para
evitar dicho riesgo;
• una comparación entre ambos.
Este proceso puede abarcar diferentes grados de rigor, que dependen de:
• la naturaleza del peligro;

• el alcance del riesgo;
• las medidas de control que deben adoptarse.
No obstante, los responsables a cargo (y el regulador) no deben asumir una carga

excesiva si no se justifica dicho rigor. Cuanto mayor sea el nivel de riesgo inicial que
se esté considerando, mayor será el grado de rigor necesario.
41
5.2. Desproporcionalidad
Un análisis de coste-beneficio (CBA) puede ayudar a un responsable a cargo a emitir un

juicio sobre si está justificada la adopción de medidas adicionales de reducción de
riesgos. Las medidas adicionales de reducción de riesgos pueden considerarse
razonablemente practicables a menos de que el coste de implementación de dichas
medidas resulte excesivamente desproporcionado con relación a los beneficios. Dicho de
forma sencilla: si coste/beneficio > factor de desproporción, entonces se considera que
no merece la pena adoptar la medida dada la reducción de riesgos que se obtiene.
Los factores de desproporción que pueden considerarse excesivos varían desde más de
1 en función de varios factores entre los que se incluyen la gravedad de las consecuencias
y la frecuencia en la que se hagan efectivas dichas consecuencias; es decir, cuanto mayor
sea el riesgo, mayor será el factor de desproporción.
5.3. ¿Qué se considera una desproporción excesiva?
La HSE no ha formulado un algoritmo que pueda utilizarse para determinar cuándo

puede considerarse excesivo el grado de desproporción. No existe una orientación
acreditada por parte de los tribunales sobre qué factores deben tenerse en cuenta al
momento de determinar si el coste es excesivamente desproporcionado. Por lo tanto, se
debe emitir un juicio caso por caso, y se pueden obtener ciertas pistas u orientaciones a
partir de consultas de accidentes importantes.
A partir de la consulta realizada en 1987 sobre el reactor Sizewell B, se utilizaron los

siguientes factores de desproporción:
• para riesgos bajos para la población general, un factor de 2;

• se aplica un factor de hasta 3 (es decir, el coste triplica los beneficios) a riesgos a
los trabajadores;
• para riesgos mayores, un factor de 10.
5.4. Análisis de coste-beneficio (CBA)
En el caso de muchas decisiones en las que interviene el principio ALARP, la HSE no espera
que los responsables a cargo lleven a cabo un análisis de coste-beneficio detallado, sino
que puede bastar una sencilla comparación de costes a beneficios.
Los análisis de coste-beneficio únicamente deben utilizarse para apoyar decisiones

basadas en el principio ALARP. No debe constituir el único argumento de una decisión
basada en el principio ALARP ni debe utilizarse para restar autoridad a las normas y a las
buenas prácticas en vigor. Un análisis de coste-beneficio en sí no constituye un caso de
42
Principio ALARP
ALARP y no puede utilizarse como argumento frente a obligaciones legales, no puede

justificar riesgos intolerables ni justificar ingeniería evidentemente deficiente.
Entre los costes justificables que pueden tenerse en cuenta en un análisis de coste-
beneficio se incluyen:
• Instalación;
• Funcionamiento;
• Formación;
• Todo mantenimiento adicional;
• Pérdidas comerciales derivadas de cualquier interrupción ocasionada con el
único propósito de introducir la medida;
• Intereses derivados de producción postergada; por ejemplo, petróleo o gas
restante en un campo petrolífero/de gas mientras se llevan a cabo trabajos en
una plataforma;
• Todos los costes declarados deben ser aquellos en que haya incurrido el
responsable a cargo (no se tendrán en cuenta los costes en que hayan incurrido
las demás partes, por ejemplo, la población general);
• Los costes que deben considerarse deben ser únicamente aquellos
necesarios para implementar la medida de reducción de riesgos (sin añadir
funcionalidades costosas e innecesarias ni adoptando medidas de lujo).
Entre los beneficios justificables que pueden declararse en un análisis de coste-beneficio

pueden incluirse todos los beneficios derivados de implementar una medida de
mejora de seguridad en su conjunto, de modo que no se subestimen de modo alguno.
Los beneficios deben incluir todas las reducciones de riesgo a la población general, a
trabajadores y a la comunidad en general, y entre ellos pueden incluirse:
• Fallecimientos evitados;
• Lesiones evitadas (de más graves a menos graves);
• Enfermedades evitadas;
• Daños medioambientales evitados, si son relevantes (por ejemplo, COMAH).
Entre los beneficios declarados puede incluirse asimismo la elusión del despliegue de
servicios de emergencia y la elusión de contramedidas como la evacuación y la
descontaminación posterior al accidente, si se estimara oportuno. No obstante, para
comparar los beneficios de implementar una mejora de seguridad contra los costes
asociados, la comparación debe establecerse sobre una base común. Un método sencillo
para llevar a cabo un primer filtro de medidas es indicar los costes y los beneficios en un
formato común de “€ al año” durante la vida útil de una planta.
43
En la Tabla 1 se muestran algunos de los valores monetarios típicos que pueden utilizarse.
Pérdida €1,336,800 (el doble en

caso de cáncer)
Lesión Lesión de incapacitación permanente. €207,200
Algunas restricciones permanentes a
actividades de ocio y posiblemente algunas
actividades laborales.
Grave. Algunas restricciones a actividades €20,500
laborales y/o de ocio durante varias
semanas/meses.
Lesión leve que implica cortes menores y €300

cardenales con recuperación rápida y
completa.
Enfermedad Enfermedad por incapacitación permanente. €193,100

Igual que para lesión.
Otros casos de mala salud. Más de una €2,300 + €180 por día
semana de ausencia. Sin consecuencias de ausencia
permanentes a la salud.
Menor Hasta una semana de ausencia. Sin €530

consecuencias permanentes a la salud.
Tabla 1: Concesiones típicas en los tribunales (2003)
5.5. Ejemplo
Pregunta: Pensemos en una planta de productos químicos en la que tiene lugar un

proceso en el que una explosión podría ocasionar:
• 20 víctimas mortales;
• 40 personas con lesiones permanentes;
• 100 heridos graves;
• 200 heridos leves.
Se ha analizado que la tasa de ocurrencia de una explosión de este tipo es de

aproximadamente 10-5 al año, lo que equivale a 1 en 100,000 al año. La vida útil
aproximada de la planta es de 25 años. ¿Cuánto podría gastar la organización de
forma razonable para eliminar el riesgo de explosión?
44
Principio ALARP
Respuestas: De eliminarse el riesgo de explosión, los beneficios podrían evaluarse del

siguiente modo:
Víctimas mortales: 20 x €1,336,800 x 10-5 x 25 años = €6684

Personas con lesiones
permanentes: 40 x €207,200 x 10-5 x 25 años = €2072
graves: 100 x €20,500 x 10-5 x 25 años = €512
leves: 200 x €300 x 10-5 x 25 años = €15
Beneficios totales = €9283
La suma de €9,283 es el beneficio calculado que se deriva de eliminar una explosión

importante en la planta sobre la base de evitar víctimas mortales. (Este método no incluye
descuentos ni tiene en cuenta la inflación.)
Para que una medida se considere no razonablemente practicable, el coste debe ser
excesivamente desproporcionado con respecto a los beneficios. En este caso, el factor
de desproporción refleja que las consecuencias de explosiones de ese tipo son altas. Es
improbable obtener un factor de desproporción de más de 10 y, por lo tanto, resultaría
razonablemente práctico gastar hasta unos €93,000 (€9300 x 10) para eliminar el riesgo
de una explosión. El responsable a cargo tendría que justificar el uso de un factor de
desproporción menor.
Puede utilizarse este tipo de análisis sencillo para eliminar o incluir determinadas medidas
costeando varios métodos alternativos de eliminación o de reducción de riesgos.
Enfoque alternativo
Es más probable que una medida de mejora de la seguridad no elimine un riesgo,

sino que simplemente lo reduzca parcialmente, de modo que será necesario evaluar
la reducción de riesgos obtenida como beneficio contra al coste de implementación.
Normalmente, las organizaciones emplean un coste por objetivo de vida salvada (o valor
de prevención de un fallecimiento estadístico (VPF).
El coste derivado de evitar víctimas mortales durante la vida útil de la planta se compara
al valor de prevención de un fallecimiento estadístico objetivo.
Las mejoras se implementan a menos que el coste sea excesivamente desproporcionado.
45
5.6. Ejemplo
Pregunta: Aplicación del principio ALARP
En una industria en particular se utiliza un coste por objetivo de vida salvada de €2M. Se
ha establecido un objetivo de riesgo tolerable máximo de 10-5 por año para un peligro
específico, con una posibilidad de ocasionar 2 víctimas mortales.
Se ha evaluado el sistema de seguridad propuesto y se ha predicho un riesgo de

8.0 x 10-6 al año. Dado que un riesgo ampliamente aceptable (insignificante) es de
10-6 por año, se requiere la aplicación del principio ALARP.
En este ejemplo, para un coste de €10,000, instrumentación y redundancia adicionales

reducen el riesgo a 2.0 x 10-6 al año (justo por encima de la región insignificante) durante
la vida útil de la planta, que es de 30 años.
¿Debería adoptarse la propuesta?
Respuesta: El número de vidas salvadas durante la vida útil de la planta viene dado por:
N = (reducción de frecuencia de víctimas mortales) x número de víctimas

mortales por incidente x vida útil de la planta
= (8.0 x 10-6 – 2.0 x 10-6) x 2 x 30
= 3.6 x 10-4
De ahí que el coste por vida salvada sea de:
VPF = €10,000/3.6 x 10-4

= €27.8M
El VPF calculado es > 10 veces el criterio de coste objetivo vida salvada de €2M y, por lo
tanto, la propuesta debe rechazarse.
46
Determinación de objetivos del SIL
6. Determinación de los objetivos de nivel de integridad de

seguridad (SIL)
6.1. Funciones de seguridad en modo a demanda y en modo continuo
Al evaluar un sistema de seguridad en términos de fallos de funcionamiento, existen dos

opciones principales en función del modo de funcionamiento. Si un sistema de seguridad
experimenta una frecuencia baja de demanda, normalmente inferior a una vez al año, se
puede decir que funciona en modo a demanda. Un ejemplo de este sistema de seguridad
sería el airbag de un vehículo.
Los frenos de un vehículo son un ejemplo de sistema de seguridad con un modo de

funcionamiento continuo, ya que se utilizan (casi) continuamente. En los sistemas de
seguridad de modo a demanda es habitual calcular el promedio de la probabilidad de
fallo a demanda, mientras que en los sistemas de seguridad que funcionan en modo
continuo se utiliza la probabilidad de fallo peligroso por hora (PFH).
6.2. Función de seguridad en modo a demanda
Por ejemplo, supongamos que en nuestra fábrica tenemos una media de 1 incendio
cada 2 años y que, de no hacer nada más, dicho incendio provocaría víctimas mortales.
Podríamos dibujar un diagrama de la frecuencia de víctimas mortales (Figura 17); dicha
frecuencia sería de 0.5/año.
Conlleva
víctima(s)
Riesgo inherente
al proceso
Fuego fábrica
Frecuencia
peligro
Uno cada 2 años
Frecuencia de letalidad
Figura 17: Frecuencia de mortalidad
47
En este caso, es fundamental que, al estudiar las consecuencias del incendio, no tomemos
en cuenta las medidas de seguridad existentes que puedan haberse instalado. Se buscan
las consecuencias en el peor de los casos.
Si posteriormente se instala una alarma de humo que, dijéramos, funcionara 9 veces de
cada 10, se esperaría una víctima mortal en la única ocasión, de 10 incendios, en que se
produjera un fallo de funcionamiento de la alarma a demanda. En este caso, la frecuencia
de víctimas mortales se reduciría de 1 cada 2 años a 1 cada 20 años.
Conlleva
víctima(s)
Riesgo inherente
al proceso
La alarma de humo
funciona 9 de cada 10 veces
Frecuencia de letalidad 1 por 20 años Alarma de humo
Fuego fábrica
Frecuencia
peligro
Uno cada 20 años Uno cada 2 años
Frecuencia de letalidad
Figura 18: Frecuencia de mortalidad reducida
En este ejemplo, la alarma de humo funciona en 9 de cada 10 incendios, por lo que

presenta una probabilidad de fallo a demanda de 1 de cada 10, o sea un 10%. En este
caso, PFD = 0.1. La alarma de humo, con una probabilidad de fallo a demanda (PFD) de
0.1, reduce la frecuencia de víctimas mortales en un factor de 10, dando un factor de
reducción de riesgos (RRF) de 10.
En resumen, PFD = 1/RRF.
Resulta útil recordar que, matemáticamente, la probabilidad de fallo a demanda (PFD) es una
probabilidad y que, por lo tanto, se trata de una cantidad adimensional con un valor entre 0 y 1.
6.3. Ejemplo de objetivo de nivel de integridad de seguridad
El enfoque para determinar un objetivo de nivel de integridad de seguridad (SIL) es
calcular la reducción de riesgos necesaria para reducir la frecuencia de las consecuencias
de un peligro a un nivel tolerable.
48
El enfoque recomendado para determinar los niveles de integridad de seguridad es

evaluar el riesgo que supone cada uno de los peligros en la planta. Si llevamos a cabo
un HAZOP en nuestra planta e identificamos un peligro en el proceso con el potencial
de causar daños, en caso de no hacer nada, deberemos evaluar las consecuencias
potenciales. Estas consecuencias en el peor de los casos determinan la frecuencia
máxima tolerable para dicho peligro.
Si el riesgo pudiera ocasionar una víctima mortal entre nuestros empleados, entonces
basándonos en la tolerabilidad y aceptabilidad de los criterios de riesgo [4.6], es posible
asignar una frecuencia máxima tolerable para dicho peligro. En otras palabras, para el
peligro identificado, podemos especificar un riesgo máximo tolerable de 10-4 al año.
Al analizar las causas iniciadoras del peligro podemos calcular la posibilidad del mismo,
suponiendo que no hacemos nada más, y compararla con la frecuencia máxima tolerable
especificada. Es posible llevar a cabo ciertos análisis y determinar que el peligro, de no
corregirse, podría producirse una vez al año. Esto representa, por lo tanto, un intervalo de
riesgo: algo que debe tratarse (Figura 19).
Conlleva
víctima(s)
Nivel de riesgo Riesgo inherente
tolerable al proceso
Intervalo de riesgo
Peligro del proceso
10-4/año 1/año
Frecuencia peligro
Figura 19: Intervalo de riesgo
Podemos entonces contabilizar los dispositivos de seguridad que pueden ya existir para
reducir la frecuencia del peligro, como por ejemplo una alarma (Figura 20). En este caso, la
alarma reduce la frecuencia de la consecuencia del peligro mediante su probabilidad de
fallo a demanda (PFD). Por lo tanto se reduce el intervalo de riesgo, pero el riesgo residual
general, a pesar de ser menor, sigue siendo mayor que el riesgo máximo tolerable.
49
Conlleva
víctima(s)
Nivel de riesgo Riesgo inherente
tolerable al proceso
PFD = 0.1
Alarmas
Intervalo de riesgo
Peligro del proceso
10-4/año 0.1/año 1/año

Frecuencia peligro
Figura 20: Contabilizar alarmas
Conlleva
víctima(s)
Nivel de riesgo Riesgo Riesgo inherente
tolerable intermedio al proceso
PFD <0.1 PFD = 0.1 PFD = 0.1 PFD = 0.1
Otro Mec. Alarmas

Intervalo de riesgo
Peligro del proceso
10-4/año 10-3/año 10-2/año 0.1/año 1/año

Frecuencia peligro
Figura 21: Considerar otras capas de protección
50
El hecho de tomar en consideración otras capas de protección puede reducir aún más
el riesgo residual. Es posible que haya dispositivos mecánicos como una válvula de alivio
de presión, un muro contra explosiones o un muro cortafuego. Entre otras medidas de
reducción de riesgos se pueden incluir control de procesos, instrumentación o
procedimientos, y cada una de ellas puede reducir el riesgo residual (Figura 21) mediante
sus respectivas probabilidades de fallo a demanda (PFD). En este ejemplo hemos
contabilizado los diferentes dispositivos de seguridad existentes en la planta y seguimos
teniendo un intervalo de riesgo residual. Podemos ver que, para reducir la frecuencia del
peligro a menos de la frecuencia máxima tolerable se requiere otra capa, con una
probabilidad de fallo a demanda inferior a 0.1. Ésta es la tarea del sistema instrumentado
de seguridad (SIS) (Figura 22). Este cálculo, realizado no obstante de forma gráfica en este
caso, proporciona la probabilidad de fallo a demanda objetivo de nuestro sistema
instrumentado de seguridad (SIS) y permite determinar el objetivo de nivel de integridad
de seguridad (SIL). Éste es un ejemplo de una función de seguridad en modo a demanda.
Conlleva
víctima(s)
Riesgo Nivel de riesgo Riesgo Riesgo inherente
residual tolerable intermedio al proceso
PFD <0.1 PFD = 0.1 PFD = 0.1 PFD = 0.1
SIS Otro Mec. Alarmas

Intervalo de riesgo
Peligro del proceso
10-4/año 10-3/año 10-2/año 0.1/año 1/año

Frecuencia peligro
Figura 22: Objetivo de la probabilidad de fallo a demanda (PFD)
51
6.4. Funciones de seguridad
En la Figura 23 se muestra la configuración de un SIS y su proceso de forma típica.
SIS
Sistema instrumentado
de seguridad
Proceso
Figura 23: Sistema instrumentado de seguridad
La función instrumentada de seguridad supervisa determinados parámetros de proceso

y adopta una acción ejecutiva para que el proceso resulte seguro en caso de superarse
ciertos límites. En la Figura 24 se muestra un ejemplo de la industria de proceso.
Suministro
hidráulico Lógica
ESD
Válvula
Purga Transmisor
solenoide
hidráulica de presión
S
PT
Controlador
de presión
PC
Entrada Exportación
gasoducto gasoducto
Válvula Válvula
cierre control presión
Clasificado como 139 bar Clasificado como 48 bar

Figura 24: Ejemplo de función instrumentada de seguridad
52
En la figura se muestra un gasoducto que proporciona suministro a una central de energía. El

gas pasa de izquierda a derecha a través de una válvula de cierre seguridad antes de llegar a
la válvula de control de presión (PCV). La válvula de control de presión se controla por medio
de un controlador de presión (PC) que mantiene la presión del gas a menos de 48 barias, la
capacidad nominal segura del gasoducto de exportación. El fallo de esta función de control
de presión podría tener como consecuencia la sobrepresurización en la rama descendente
del gasoducto, una posible rotura, la ignición o una víctima mortal, por lo que se ha diseñado
una función de seguridad para evitar que se produzca esta situación. La función de seguridad
consiste en un transmisor de presión (PT) independiente, cierta lógica de cierre de
emergencia (ESD) y una válvula de cierre seguridad (SDV), activada por una válvula hidráulica
accionada por solenoide (SOV) para cortar el suministro de gas en caso de que la presión en
la rama descendente supere un nivel de activación preconfigurado.
6.5. Ejemplo de una función de seguridad en modo a demanda
Función instrumentada de seguridad

Suministro
hidráulico Lógica
ESD
Válvula
Purga Transmisor
solenoide
S
PT
Proceso y BPCS
Controlador
de presión
PC
gasoducto gasoducto
Válvula Válvula

Figura 25: Función de seguridad en modo a demanda
Éste es un ejemplo de una función de seguridad en modo a demanda. Las características

clave de una función de seguridad en modo a demanda son:
• por lo general es independiente del proceso;
• el fallo de la función de seguridad tiene como resultado la pérdida de
protección, pero no es en sí peligroso;
• la frecuencia de la demanda a la que está sometida es baja (menos de una vez
al año).
53
Entre las funciones de seguridad en modo a demanda se incluye la parada de proceso

(PSD), el cierre de emergencia (ESD) y los sistemas de protección de presión de alta
integridad (HIPPS).
A menudo resulta confuso que el transmisor de presión que forma parte de una función
de seguridad proporcione supervisión continua de la presión del proceso, lo que no
excluye de funcionar en modo a demanda. El término ’modo a demanda’ está relacionado
con la frecuencia de las demandas de acción ejecutiva (por ejemplo, la frecuencia de
episodios de alta presión).
6.6. Ejemplo de una función de seguridad en modo continuo
En la Figura 26 se muestra un ejemplo de una función de seguridad en modo continuo.
Sistema de
administración
de quemadores
TT TE TE TT
001 002 003 004
TE TT TE XY
S
405 406 405 101
Aire de combustión
TY
S
102
XY
S
Regulador 101
HC
201
HC
202
Gas principal Gas combustible
XY
S
104
Figura 26: Función de seguridad en modo continuo
54
En la figura se muestra un sistema de gestión de quemadores (BMS) típico, utilizado

para controlar un horno. El sistema controla el gas combustible y el aire de combustión
al horno y supervisa la llama en los quemadores por medio de detectores de llama.
En caso de ausencia de llama, el sistema de gestión de quemadores debe cortar el

gas para evitar que se acumule y posiblemente explote. De forma similar, antes del
encendido, el quemador debe purgarse para garantizar que no se haya acumulado
gas en el horno debido a la filtración por las válvulas o a fallos de control.
El sistema de gestión de quemadores debe, por lo tanto, ejercer el control durante la

secuencia de encendido, y realizar la purga correctamente, además de supervisar la
operación después del encendido. En este ejemplo, el sistema de gestión de quemadores
y todas las válvulas y todos los sensores asociados, constituyen una función de seguridad
en modo continuo.
Las características clave de una función de seguridad en modo continuo son:

• por lo general proporciona algunas funciones de control;
• el fallo de la función de seguridad provoca normalmente una situación peligrosa;
• la frecuencia de las demandas a las que está sometida es alta (más de una vez al
año o incluso continua).
Entre las funciones de seguridad en modo continuo se incluye normalmente los sistemas
de gestión de quemadores y de control de turbinas.
6.7. Objetivos del SIL en modo a demanda
IEC 61511-1, 9.2.4 agrupa los objetivos de probabilidad de fallo a demanda en bandas o
niveles de integridad de seguridad (SIL). En el ejemplo anterior [6.3], contamos con un
objetivo de probabilidad de fallo a demanda de <10-1 para nuestra función de seguridad,
lo que da como resultado un requisito SIL1, como se muestra en la Tabla 2.
Modo de operación a demanda Nivel de integridad de

(Probabilidad promedio de fallo para ejecutar la función seguridad
prevista bajo demanda)
≥10-5 a <10-4 4
≥10-4 a <10-3 3
-3
≥10 a <10 -2 2
≥10-2 a <10-1 1
Tabla 2: Objetivos de nivel de integridad de seguridad (SIL) en modo a demanda
55
Nota: el objetivo de la probabilidad de fallo a demanda se agrupa en bandas de nivel de

integridad de seguridad, puesto que la norma requiere un grado de rigor adecuado en
las técnicas y en las medidas aplicadas con el fin de controlar y evitar fallos sistemáticos.
Estos requisitos se tratan en mayor profundidad en el apartado [12.15].
6.8. Objetivos de nivel de integridad de seguridad (SIL) en modo continuo
IEC 61511-1, 9.2.4 proporciona asimismo objetivos de nivel de integridad de seguridad
(SIL) para sistemas que funcionan en modo continuo (Tabla 3).
Modo continuo de operación Nivel de integridad de

(Probabilidad de fallo peligroso por hora, PFH) seguridad
≥10-9 a <10-8 4
≥10-8 a <10-7 3
≥10-7 a <10-6 2
-6 -5
≥10 a <10 1
Tabla 3: Objetivos de nivel de integridad de seguridad (SIL) en modo continuo

Nota: la medición del fallo del objetivo para los objetivos del modo continuo es la
probabilidad de fallo por hora (PFH) o la tasa de fallo.
Nota a pie de página.
A primera vista, estos objetivos de tasa de fallo pueden parecer más onerosos que los
objetivos para los sistemas en modo a demanda; por ejemplo, el SIL1 (modo a demanda)
debería presentar una probabilidad de fallo a demanda de <10-1, mientras que el SIL1
(modo continuo) presenta una probabilidad de fallo a demanda de <10-5 fallos/hora.
No obstante, las tablas pueden alinearse si se convierten los objetivos del modo continuo
de fallos/hora a fallos/año. En un año hay aproximadamente 10-4 horas (realmente 8760), de
modo que la tabla del modo continuo se puede modificar tal y como se muestra en la Tabla 4.
Modo continuo de operación Nivel de integridad de

(Probabilidad de fallos peligrosos por año) seguridad
≥10-5 a <10-4 4
≥10-4 a <10-3 3
≥10-3 a <10-2 2
-2
≥10 a <10 -1 1
Tabla 4: Objetivos de nivel de integridad de seguridad (SIL) en modo continuo (PA)
56
6.9. Modos de funcionamiento (sistemas en modo a demanda y continuo)

Al determinar el modo de funcionamiento de un sistema instrumentado de seguridad
(SIS), la norma IEC 61511-1, 3.2.43 ofrece las siguientes definiciones.
Modo a demanda
• cuando se adopta una acción específica en respuesta a las condiciones del
proceso o a otras demandas. En caso de fallo peligroso de las funciones
instrumentadas de seguridad (SIF), se produce un peligro potencial únicamente
en caso de un fallo en el proceso del sistema básico de control de proceso
(BPCS);
Modo continuo
• cuando, en caso de un fallo peligroso de las funciones instrumentadas de
seguridad (SIF), se produce un peligro potencial sin ningún fallo adicional,
a menos que se adopten las acciones necesarias para evitarlo.
Una buena regla general al decidir si la función de seguridad está en modo alto o en
modo a demanda, es identificar la métrica significativa o la medida de fiabilidad.
Por ejemplo, los airbags de un vehículo proporcionan una valiosa función de seguridad
y, como conductor, me interesaría conocer su probabilidad de fallo a demanda, lo que
indica que se trata de una función en modo a demanda. En referencia al apartado [6.5],
las características clave de una función de seguridad en modo a demanda son:
• por lo general es independiente del proceso;
• el fallo de la función de seguridad da como resultado la pérdida de protección,
pero no es en sí peligroso.
En la Tabla 2 se confirma que los objetivos para funciones en modo a demanda son la
probabilidad de fallo a demanda.
En el caso de los frenos de un vehículo, la métrica significativa sería una tasa de fallo o
una probabilidad de fallo por hora. Como conductor, me interesaría conocer la tasa de
fallo de la función de seguridad, lo que es indicativo de que se trata de una función en
modo continuo.
Para apoyar lo anteriormente dicho, las características clave de una función de seguridad
en modo continuo son:
• por lo general proporciona determinadas funciones de control; en este caso,
el frenado
• el fallo de la función de seguridad provoca normalmente una situación
peligrosa; pérdida de control de velocidad.
57
En la Tabla 3 se confirma que los objetivos del modo continuo son la probabilidad de fallo
peligroso por hora.
6.10. Funciones de seguridad en modo a demanda

6.10.1. Ejemplo
Pregunta: Un área de proceso es atendida durante 2 horas al día. La sobrepresión del
proceso ocasiona una fuga de gas y se calcula que 1 de cada 10 fugas de gas provoca
una explosión que tiene como resultado el fallecimiento del operario.
Los análisis indican que la condición de sobrepresión se dará cada 5 años (una tasa de
0.2 al año).
Suponga que la frecuencia máxima tolerable para el peligro (fallecimiento del operario a
causa de una explosión) es de 10-4 al año.
¿Cuál es la probabilidad de fallo a demanda (PFD) necesaria del sistema instrumentado
de seguridad (SIS)?
Respuesta: La tasa de mortalidad es de:
= 0.2 al año x 2/24 x 1/10
= 1.67 x 10-3 al año
Por lo tanto, el sistema de seguridad debe presentar una probabilidad de fallo a demanda
de:
= 10-4 al año/1.67 x 10-3 al año
= 6.0 x 10-2, que equivale a un SIL1.
Éste es un ejemplo de un sistema instrumentado de seguridad (SIS) en modo a demanda

cuyo funcionamiento únicamente se requiere a una frecuencia determinada por la tasa de
fallo del equipo bajo control.
Podemos confirmar que el resultado es realmente una probabilidad de fallo a demanda,
puesto que hemos dividido una tasa entre una tasa para obtener una cantidad
adimensional como, es decir una probabilidad.
6.11. Funciones de seguridad en modo continuo
En la Figura 27 se presenta un sencillo ejemplo de función de seguridad en modo
continuo. El producto químico de la caldera se calienta por medio de un elemento
eléctrico, que se controla a través de un transmisor de temperatura que mide en la salida.
58
Controlador
Caldera temperatura
Calentador - TT
Potencia
Salida de
Calentador proceso
Entrada de
Caldera
proceso
Figura 27: Función de seguridad en modo continuo
Suponga que el sobrecalentamiento de la caldera produce una rotura y una liberación de

producto químico, con el consiguiente incendio y el potencial de producir una víctima
mortal. Claramente existe un riesgo que debe gestionarse. En este ejemplo, la tasa de fallo
del proceso en su conjunto no debería superar el riesgo máximo tolerable del peligro.
6.11.1. Ejemplo
Pregunta: Suponga que un fallo en la caldera produce un sobrecalentamiento y un
incendio que, en 1 de cada 400 fallos tiene como resultado una víctima mortal. Suponga
asimismo que la tasa de mortalidad máxima tolerable es de 10-5 al año (mortalidad de
terceros).
¿Cuál es la tasa de fallo máxima tolerable de la caldera?
Respuesta: Puesto que 1 de cada 400 fallos debe ser menor o igual al riesgo máximo
tolerable, podemos afirmar que:
10-5 al año ≥ λB x 1/400
Donde λB es la tasa de fallo de la caldera.
Por tanto:
λB = 400 x 10-5 al año
= 4.0 x 10-3 al año, que equivale a un SIL2.
Éste es un ejemplo de un sistema instrumentado de seguridad (SIS) en modo continuo,
es decir que está continuamente en riesgo, es decir, continuamente en uso. Se permite
que la caldera falle 400 veces con mayor frecuencia que la tasa de fallo máxima tolerable,
puesto que únicamente 1 de cada 400 fallos da como resultado una víctima mortal.
59
En este ejemplo, tendríamos que diseñar y desarrollar el proceso; es decir, la caldera, el

elemento calentador y el sensor de temperatura según un SIL2 y la tasa de fallo debería
ser inferior a 4.0 x 10-3 al año. Este proyecto representaría todo un reto, pero existe otra
forma de enfocarlo.
6.11.2. Ejemplo
Suponga que hemos diseñado el proceso de nuestra caldera y calculado su tasa de fallo
para que sea de 5.0 x 10-2 al año, lo que supera ampliamente el objetivo de 4.0 x 10-3 al
año.
Si éste fuera el caso y 1 de cada 400 fallos produjera una víctima mortal, la frecuencia de
mortalidad sería de:
= 5.0 x 10-2 al año x 1/400

= 1.25 x 10-4 al año
lo que supera la tasa máxima tolerable de 10-5 al año (mortalidad de terceros).
Un enfoque alternativo podría ser dejar que la caldera fallara a esta tasa
insatisfactoriamente elevada, y diseñar una función de seguridad en modo a demanda
para reducir la frecuencia de mortalidad hasta la tasa máxima tolerable (Figura 28).
ESD
Relé
Controlador
Caldera temperatura
Transmisor de
Calentador – TT TT
temperatura
Potencia
Salida de
Calentador proceso
Entrada de
Caldera
proceso
60
En esta configuración dispondríamos de un segundo transmisor de temperatura

independiente para medir la temperatura de la salida y desactivar la alimentación al
calentador eléctrico a través de una lógica de cierre de emergencia (ESD), en caso del
fallo del proceso.
Podemos decir que:
10-5 al año ≥ λB x PFDT
donde λB es la tasa de fallo de la caldera, 1.25 x 10-4 al año y PFDT es la probabilidad de

fallo a demanda de la desactivación independiente.
Por tanto:
PFDT ≤ 10-5 al año/1.25 x 10-4 al año

PFDT ≤ 0.08
lo que equivale a una función de seguridad en modo a demanda SIL1.
Nota: estos dos ejemplos nos ofrecen la posibilidad de diseñar el sistema de la caldera en
su conjunto y el equipamiento bajo control, a SIL2, o podemos dejar que el sistema de la
caldera falle y protegerlo con una función de seguridad en modo a demanda SIL1. Ambas
opciones cumplen el objetivo de riesgo máximo tolerable, pero el hecho de diseñar un
sistema SIL1 en modo a demanda de dimensiones reducidas es una opción más rentable
en comparación con un sistema de control de la caldera SIL2.
61
7. Diagramas de riesgos
7.1. Introducción
En los apartados [6.10] y [6.11] se presenta un método para determinar los objetivos de
nivel de integridad de seguridad mediante cálculos; no obstante, los diagramas de riesgos
suponen una alternativa útil, especialmente cuando hay numerosos peligros que analizar.
El método del diagrama de riesgos es una técnica útil de seguimiento rápido que puede
aplicarse cuando hay numerosos peligros que analizar.
W3 W2 W1
Ca
Lesión a -- --
importante
Posible 1 a --
de evitar Pa
Exposición rara
Fa
Cb Improbable
Lesión grave, de evitar Pb
una víctima 2 1 a
Exposición Posible
frecuente Fb de evitar Pa
Exposición rara
Inicio Fa
Improbable
Cc de evitar Pb
Varias 3 2 1
Posible
víctimas
Exposición frecuente de evitar Pa
Fb
Improbable
Exposición rara
de evitar Pb
Fa 4 3 2
Cd
Posible
Muchas
de evitar Pa
víctimas Exposición frecuente
Fb
Improbable 5 4 3
de evitar Pb
Figura 29: Diagrama típico de riesgos
Desde el punto de partida, en primer lugar se determinan las consecuencias del peligro:
Ca, Cb, Cc o Cd.
A continuación, debe calcularse la frecuencia o la exposición de la persona más
sometida al riesgo derivado del peligro y elegir entre Fa, exposición poco frecuente, o
Fb, exposición frecuente. Normalmente, si la persona más sometida al riesgo tiene una
probabilidad de encontrarse dentro del rango de alcance de los efectos peligrosos, del
10% o menos, puede seleccionarse la exposición poco frecuente. En caso contrario, la
exposición se puede considerar frecuente.
Desplazándonos por el diagrama de riesgos, si la persona sometida al riesgo tiene la
posibilidad de poder evitar el peligro, por ejemplo, escapando, siendo avisada o siendo
protegida por alguna función, enotnces podemos decir que es posible evitar el peligro y
62
Diagramas de riesgos
seleccionar dicha opción en el diagrama de riesgos. De lo contrario debemos suponer que

no es posible evitar el peligro y llegamos a un punto determinado, una de las filas en las
columnas situadas a la derecha del diagrama de riesgos.
Por último, debemos seleccionar la probabilidad de que el peligro se produzca eligiendo
ya sea la columna W3 (probabilidad de suceso relativamente alta), W2 (probabilidad de
suceso escasa) o W1 (probabilidad de suceso muy escasa). Donde se encuentren la fila y
la columna seleccionadas puede leerse el nivel de integridad de seguridad necesario.
7.2. Ejemplo
Como ejemplo, supongamos que un tanque de almacenamiento de petróleo se desborda y
libera vapor, que puede encenderse y causar varias víctimas mortales en la planta. Hemos
evaluado la frecuencia de las operaciones de llenado y decidido que la probabilidad de que
ocurra el peligro sería W1 (probabilidad muy escasa). No existen los medios por los que los
empleados de la planta puedan evitar el peligro en caso de que se produzca. El personal de la
planta se encuentra en las instalaciones rara vez únicamente para llevar a cabo actividades
de mantenimiento, normalmente menos de 1 hora al día. En la Figura 30 se muestra cómo
puede utilizarse el diagrama de riesgos para obtener un objetivo SIL1.
W3 W2 W1
Ca
Lesión a -- --
importante
Posible 1 a --
de evitar Pa
Exposición rara
Fa
Cb Improbable
Lesión grave, de evitar Pb
una víctima 2 1 a
Exposición frecuente Posible
Fb de evitar Pa
Exposición rara
Inicio Fa
Improbable
Cc de evitar Pb
Varias 3 2 1
Posible
víctimas
Exposición frecuente de evitar Pa
Fb
Improbable
Exposición rara
de evitar Pb
Fa 4 3 2
Cd
Posible
Muchas
de evitar Pa
víctimas Exposición frecuente
Fb
Improbable 5 4 3
de evitar Pb
Figura 30: Ejemplo de uso del diagrama de riesgos
En este ejemplo, la función de seguridad podría ser un activación de nivel alto que cierra
la válvula de admisión del tanque. Esto tendría un objetivo SIL1.
63
No obstante, los diagramas de riesgos convencionales pueden ser subjetivos y verse

afectados por el problema de interpretación de los parámetros de riesgo. Esto puede
llevar a resultados incoherentes que pueden traducirse en objetivos de nivel de
integridad de seguridad pesimistas.
En el diagrama de riesgos que se muestra, algunas de las casillas del objetivo de nivel de
integridad de seguridad (SIL) están identificadas como “a” y otras como “b”. Los términos
SILa y SILb se utilizan a menudo en la industria a pesar de que no se recogen en la norma.
SILa normalmente significa que debe ponerse en práctica cierta reducción de riesgos,
pero que el factor de reducción de riesgos no debe ser tan elevado como SIL1. En otras
palabras, se requiere una probabilidad de fallo a demanda (PFD) entre 1 (sin reducción de
riesgos) y 0.1 SIL1. Tenga en cuenta que en algunas organizaciones se hace referencia a
‘SILa’ como ‘(SIL1)’.
SILb se muestra en una posición más alta que SIL4. Por lo general, si dispone de un
requisito SIL4, se recomienda revisar el proceso, ya que resulta demasiado peligroso.
Un requisito SILb es aún más peligroso.
7.3. Ejemplo
En la Figura 31 se muestra un ejemplo de diagrama de riesgos similar a los utilizados
en la industria de proceso, en el que se ilustran algunos de los problemas potenciales
asociados a la interpretación de los parámetros de riesgo.
Tasa de demanda
Gravedad de la Exposición del Alternativas para
Media
consecuencia personal evitar el peligro

Baja
Alta
Lesión menor
-- -- --
Inhibición posible
Exposición baja 1 -- --
Lesión grave o Inhibición no probable
una víctima 2 1 --
Inhibición posible
Exposición alta 2 1 1
Inhibición no probable
3 2 1
Exposición baja
Múltiples víctimas 3 3 2
Exposición alta
NR 3 3
Catastrófica
NR NR NR
-- = No se requieren características especiales de seguridad
NR = No recomendado Categorías de requisitos
Alto = 0.5 – 5 pa
Medio = 0.05 – 0.5 pa
Bajo < 0.05 pa
Figura 31: Diagrama de riesgos en la industria de proceso
64
El principio de uso es exactamente el mismo que para el diagrama de riesgos que se

muestra en la Figura 29 pero, en este caso, se proporciona cierta orientación para el
cálculo de la tasa de demanda.
Si, por ejemplo, un peligro pudiera ocasionar varias víctimas mortales, con una exposición
poco frecuente y una tasa de demanda de 0.05/año, la tasa de demanda desciende hasta
situarse en algún punto entre las categorías “baja” y “media” y debe decidirse qué
columna elegir. El hecho de adoptar un enfoque conservador daría como resultado un
objetivo SIL3 (Figura 32).
Tasa de demanda
Gravedad de la Exposición del Alternativas para
Media
consecuencia personal evitar el peligro
Baja
Alta
Lesión menor
-- -- --
Inhibición posible
Exposición baja 1 -- --
Lesión grave o Inhibición no probable
una víctima 2 1 --
Inhibición posible
Exposición alta 2 1 1
Inhibición no probable
3 2 1
Exposición baja
Multiple Fatalities 3 3 2
Exposición alta
NR 3 3
Catastrófica
NR NR NR
Categorías de requisitos
Figura 32: Ejemplo de uso del diagrama de riesgos
Una interpretación menos cauta habría dado como resultado un objetivo SIL2.
7.4. Ejemplo
En la Figura 33 se muestra un ejemplo de una matriz de riesgos típica. Las columnas P, A,
E y R ofrecen descripciones de las posibles consecuencias del peligro; las frecuencias de
suceso se describen en términos cualitativos y los niveles de integridad de seguridad (SIL)
objetivo se ofrecen en los puntos en los que se alinean las filas y las columnas.
65
A D
P A E R <0.01/año <0.05/año <0.25/año >2/año >2/año
Personas Patrimonio Medio Reputación
ambiente A B C D E
Nunca Ha ocurrido Ha ocurrido Ocurre Ocurre
constatado en la en la varias veces/ varias veces/
en la industria empresa año en la año en las
industria empresa instalaciones
Sin lesiones Sin daños Sin efectos Sin efectos

(SIL1)
E
Lesión Daños Efecto Impacto
leve (<1/año) leves leve leve (SIL1) SIL1
(<$10K) F
Lesión leve Daños Efecto Impacto
(<1E-01/año) leves leve leve (SIL1) SIL1 SIL2
(<$100K)
Lesión Daño Efecto Impacto
importante importante localizado considerable (SIL1) SIL1 SIL2 SIL3
(<1E-02/año) (<$500K)
Una Daño Efecto Impacto

importante
víctima
(<$10M)
importante nacional B (SIL1) SIL1 SIL2 SIL3 NA
(<1E-03/año)
Múltiples Extensos Efecto Impacto
víctimas C daños masivo internacional SIL1 SIL2 SIL3 NA NA
(<1E-04/año) (>$10M)
Figura 33: Ejemplo de uso de la matriz de riesgos
Éste parece ser un enfoque sencillo y útil, pero pueden producirse problemas potenciales
si no se tiene cuidado.
A: Las frecuencias de suceso deben cuantificarse de un modo que sea no solo

coherente con la descripción, sino que tenga como resultado el objetivo de
nivel de integridad de seguridad correcto.
B: “Nunca visto en la industria” puede calcularse suponiendo, digamos,

5000 plantas en funcionamiento durante 20 años, lo que daría como resultado
una frecuencia aproximada de digamos <10-5/año y no <10-2/año, como se
muestra. Con un riesgo máximo tolerable de <10-4/año, el resultado podría ser
sin objetivo de nivel de integridad de seguridad (SIL).
C: Las frecuencias de riesgo máximas tolerables deben ser las adecuadas. Un

valor de <10-3/año para una única víctima mortal es demasiado elevado y
tendrá como resultado unos objetivos SIL optimistas y una reducción de
riesgos inadecuada.
D: Para que los SIL objetivo aumenten por fila y por columna como lo hacen en la
Figura 33, las frecuencias de suceso también deberían aumentar también entre
cada columna en un orden de magnitud.
66
E: El objetivo SIL de (SIL1) significa que se precisa cierta reducción de riesgos, pero
que no existe un efecto consiguiente. No se precisa ninguna protección si no
existe un evento peligroso.
F: Por último, en categorías comerciales, la frecuencia de suceso de daños a

activos debe ser realista y coherente con el coste de implementar las funciones
instrumentadas de seguridad necesarias.
La matriz de riesgos requiere por lo tanto calibración y se sugiere lo siguiente (Figura 34).
P A E R <1E-04/año <1E-03/año <1E-02/año <0.1/año >0.1/año

Personas Patrimonio Medio Reputación
ambiente A B C D E
Nunca Ha ocurrido Ha ocurrido Ocurre Ocurre
constatado en la en la varias veces/ varias veces/
en la industria empresa año en la año en las
industria empresa instalaciones
Sin lesiones Sin daños Sin efectos Sin efectos
Lesión leve Daños Efecto Impacto

(<0.1/año) leves leve leve (SIL1) SIL1
(<$10K)
Lesión menor Daños Efecto Impacto
(<1E-02/año) leves leve leve (SIL1) SIL1 SIL2
(<$100K)
Lesión Daño Efecto Impacto
importante importante localizado considerable (SIL1) SIL1 SIL2 SIL3
(<1E-03/año) (<$500K)
Una Daño Efecto Impacto
víctima grave grave nacional (SIL1) SIL1 SIL2 SIL3 NA
(<1E-04/año) (<$10M)
Múltiples Extensos Efecto Impacto
víctimas daños masivo internacional SIL1 SIL2 SIL3 NA NA
(<1E-05/año) (>$10M)
Figura 34: Calibración de la matriz de riesgos
7.5. Resumen
Los diagramas de riesgos y las matrices de riesgos pueden resultar muy útiles, en
particular cuando se utilizan en una primera pasada como técnica de seguimiento rápido
para descartar todo excepto los SIL más elevados (por ejemplo, SIL2 y superiores). No
obstante, una cuidadosa calibración de las técnicas utilizadas debe evitar resultados
incorrectos obtenidos como resultado de algunos de los obstáculos que se muestran
aquí.
67
8. Análisis de capas de protección (LOPA)

8.1. Introducción
El análisis de capas de protección (LOPA) es una forma estructurada de calcular objetivos

de reducción de riesgos (y SIL). El LOPA se lleva a cabo en un foro similar al del HAZOP.
Se definen normalmente los peligros potenciales mediante el enfoque de HAZOP [3] y

dichos peligros se importan a las hojas de trabajo del LOPA, y así se mantiene un vínculo
rastreable entre los dos análisis desde la identificación de riesgos, por el requisito de
reducción de riesgos y el objetivo SIL. El LOPA debe llevarse a cabo como una extensión
de la reunión HAZOP, puesto que se trata de la progresión natural de uno al otro.
8.2. Equipo del estudio LOPA
Es importante que el equipo del LOPA esté compuesto por personal que aporte al estudio
el mejor equilibrio entre conocimientos y experiencia, de acuerdo al tipo de planta. Un
típico equipo del LOPA se compone como sigue:
Nombre Puesto
Presidente Explicar el proceso LOPA, mantener conversaciones y facilitar el

LOPA. Alguien con experiencia en LOPA, pero no involucrado
directamente en el diseño, para asegurarse de que el método se siga
en detalle.
Secretario Registrar la charla de la reunión sobre LOPA y facilitar un análisis en
línea de los objetivos del SIL. Registrar recomendaciones o acciones.
Ingeniero de procesos Generalmente el ingeniero responsable del diagrama de flujo de
proceso y del desarrollo de diagramas de tuberías e instrumentación
(P y ID).
Usuario/operario Asesorar sobre el uso y la operabilidad del proceso y el efecto de las
desviaciones.
Especialista C e I Alguien con conocimientos técnicos relevantes en materia de

control e instrumentación.
Encargado de Persona encargada del mantenimiento del proceso.

mantenimiento
Representante del equipo Asesorar sobre cualquier detalle de diseño o facilitar información
de personal de diseño complementaria.
68
Análisis de capas de protección (LOPA)
8.3. Información utilizada en el LOPA
Los siguientes elementos deben estar disponibles para que los revise el equipo del LOPA:
• Diagramas de tuberías e instrumentación de las instalaciones;

• Documentos de descripción de procesos o de la filosofía;
• Procedimientos de funcionamiento y mantenimiento en vigor;
• Esquemas de configuración de la planta.
8.4. Establecimiento de los objetivos de nivel de integridad de seguridad (SIL)
Para establecer los objetivos de nivel de integridad de seguridad (SIL) es posible utilizar
la técnica del LOPA, tal y como se describe en el documento del Centro de Seguridad de
Procesos Químicos del Instituto Americano de Ingenieros Químicos (AIChE) Layer of
Protection Analysis, 2001 [19.4].
El LOPA considera los peligros identificados por otros medios, por ejemplo, un HAZOP,
pero puede llevarse a cabo como parte de una reunión HAZOP, realizando una evaluación
de cada peligro a medida que se identifiquen.
El equipo del LOPA considera cada uno de los peligros identificados y documenta las
causas iniciadoras y las capas de protección que previenen o mitigan el peligro. Se
determina entonces la magnitud total de reducción de riesgos y se analiza la necesidad
de llevar a cabo una reducción de riesgos adicional. Si la protección adicional se
proporciona en forma de sistema instrumentado de seguridad, la metodología permitiría
determinar el nivel de integridad de seguridad apropiado y la probabilidad de fallo a
demanda necesaria.
El proceso del LOPA se registra en las hojas de trabajo del LOPA, que permiten cuantificar
los eventos iniciadores y sus frecuencias, junto con la reducción de riesgos proporcionada
por las capas independientes de protección que deben declararse. En los siguientes
apartados se describen los encabezados de las hojas de trabajo y se presenta un ejemplo
de LOPA [8.5].
8.5. Ejemplo de LOPA
Si tomamos como ejemplo la cámara de presión [3.7], es posible importar los peligros
identificados a la hoja de trabajo del LOPA y analizar los riesgos.
69
8.6. Hojas de trabajo del LOPA
8.6.1. Introducción
En los siguientes apartados se describen los encabezados de las hojas de trabajo y se

proporciona orientación sobre la cuantificación.
En este capítulo se presenta un ejemplo de hoja de trabajo del LOPA.
8.6.2. Identificador y referencia del peligro
Proporciona un identificador para cada peligro. En el ejemplo, el peligro considerado

para su análisis tiene la ref. 1.10: Presión alta en la cámara. Esta referencia proporciona
facilidad de rastreo hacia atrás con otros estudios, en este caso, el HAZOP, y a medida
que se avanza en el proyecto, proporciona facilidad de rastreo hacia adelante con
asignación de las funciones instrumentadas de seguridad y verificación del nivel de
integridad de seguridad.
8.6.3. Descripción del evento (peligro)
Proporciona una descripción del peligro potencial identificado.
8.6.4. Consecuencia
Describe las consecuencias del peligro. En el LOPA de ejemplo hemos analizado las
consecuencias del peligro en términos de seguridad personal, riesgos al medio ambiente
y riesgos a los activos (es decir, riesgos comerciales).
8.6.5. Categoría de gravedad (Sev Cat)
La gravedad de las consecuencias documentadas puede categorizarse y derivarse de una

tabla de clasificación de riesgos (por ejemplo, Tabla 5).
8.6.6. Riesgo máximo tolerable (MTR)
Aunque la frecuencia máxima tolerable de la consecuencia del peligro se aplica a la

seguridad personal, normalmente también se aplica al medio ambiente, a la reputación
de la organización y al daño potencial al medio ambiente, a la reputación de la empresa
y a los costes comerciales resultantes de daños a los activos, a la pérdida de ingresos o
a la seguridad de suministro. Las frecuencias máximas tolerables utilizadas deben estar
en concordancia con las directrices de la HSE (por ejemplo, R2P2 [19.3] para seguridad).
No obstante, las frecuencias máximas tolerables para el medio ambiente, la reputación y

los riesgos comerciales deben ser una decisión empresarial. En la Tabla 5 se muestran los
valores típicos que pueden utilizarse.
70
Consecuencia Cat. Frecuencia Descripción de la consecuencia

grav. objetivo de
riesgo (/año) En las instalaciones Fuera de las instalaciones
Personas P1 1.0E-01 Tratamiento médico al empleado o lesiones que Tratamiento médico o lesiones que ocasionan
(seguridad) ocasionan restricciones de trabajo restricciones de trabajo (a terceros)
P2 1.0E-02 Accidente con tiempo perdido (LTA) del Accidente con tiempo perdido (LTA) (de
empleado sin efecto permanente terceros) sin efecto permanente
P3 1.0E-03 Efecto permanente al empleado Sin efectos permanentes
P4 1.0E-04 1 víctima entre los empleados y/o varios casos Efectos permanentes (a terceros)
de invalidez permanente
P5 1.0E-05 Varias víctimas entre los empleados (2 – 10) Una víctima de una tercera parte y/o muchos
casos de invalidez permanente
P6 1.0E-06 Muchas víctimas entre los empleados Varias víctimas entre terceras partes
(más de 10)
Medio ambiente E1 1.0E-01 Sin notificación a las autoridades, pero se Sin notificación a las autoridades, pero se
requiere limpieza requiere limpieza mínima. (p. ej., derrame de
1 – 100 litros con kit desplegado)
E2 1.0E-02 Notificación a las autoridades, pero sin Notificación a las autoridades, pero sin
consecuencias medioambientales consecuencias medioambientales. (p. ej.,
derrame de > 100 litros en las instalaciones del
cliente aisladas/protegidas)
E3 1.0E-03 Contaminación moderada dentro del Contaminación moderada que requiere

perímetro trabajos de reparación (p. ej., la emisión sale de
las instalaciones, pero el sitio permanece
operativo)
E4 1.0E-04 Contaminación significativa dentro del Contaminación significativa fuera de las

perímetro. Evacuación de personas/cierre instalaciones. Evacuación de personas. (p. ej.,
temporal de las instalaciones O contaminación derrame fuera de las instalaciones en la
significativa fuera de las instalaciones. estación de servicio)
Evacuación de personas. (p. ej., derrame fuera de
las instalaciones en la estación de servicio)
E5 1.0E-05 Véanse consecuencias fuera de las Contaminación importante con consecuencias

instalaciones medioambientales reversibles fuera de las
instalaciones. (P. ej., accidente importante al
medio ambiente)
E6 1.0E-06 Véanse consecuencias fuera de las Contaminación grave y sostenida fuera de

instalaciones las instalaciones y/o amplia pérdida de vida
acuática (p. ej., pérdida de cargamento
marítimo)
Coste C1 1.0E-01 Pérdida <€10K NA
C2 1.0E-02 Pérdida de €10K < €100K NA
C3 1.0E-03 Pérdida de €100K < €1.0M NA
C4 1.0E-04 Pérdida de €1.0M < €10M NA
C5 1.0E-05 Pérdida de €10M < €100M NA
C6 1.0E-06 Pérdida ≥ €100M NA
Reputación R1 1.0E-01 Sin publicidad. Locales afectados. NA
R2 1.0E-02 Prensa local NA
R3 1.0E-03 Prensa nacional NA
R4 1.0E-04 Televisión de ámbito nacional NA
R5 1.0E-05 Prensa internacional NA
R6 1.0E-06 Televisión de ámbito internacional NA
Tabla 5: Criterios de riesgo
71
Tenga en cuenta que, aplicado a la seguridad personal, representa la frecuencia con la

que el individuo más sometido al riesgo está expuesto al peligro.
8.6.7. Causa iniciadora
Lista las causas identificadas del peligro. Estas causas se determinan durante la reunión
LOPA a partir de la experiencia de los asistentes. En el caso del peligro del ejemplo, la
sobrepresión, las causas iniciadoras potenciales, sus frecuencias de suceso y la fuente
de datos se presentan en la Tabla 6. La LOPA debería ofrecer visibilidad de todos los datos
presentando todos los eventos iniciadores y todas las frecuencias, en referencia a las
fuentes de datos, de este modo.
Causa iniciadora Posibilidad Fuente de datos

iniciadora
(al año)
Fallo de DCS para controlar la presión. 1.65E-02 Exida 2007, elemento x.x.x
Fallo de LL101 de nivel de líquido y se registra 1.10E-02 Exida 2007, elemento x.x.x
nivel bajo.
Fallo de TT100 y se registra temperatura baja. 2.68E-03 Exida 2007, elemento x.x.x
Fallo de PT102 y se registra baja presión. 8.58E-04 Exida 2007, elemento x.x.x
Fallo de cierre de la exportación de gas 1.01E-02 Oreda 2002, elemento x.x.x
FCV102.
Fallo de apertura de gas combustible FCV100. 1.01E-02 Oreda 2002, elemento x.x.x
Fallo de cierre de la exportación de líquido 2.89E-03 Oreda 2002, elemento x.x.x
XV102.
Fallo de apertura de la importación de líquido 2.89E-03 Oreda 2002, elemento x.x.x
XV102.
Tabla 6: Eventos iniciadores y frecuencias

8.6.8. Posibilidad de iniciación (/año), columna [a]
Cuantifica la tasa de suceso esperada de la causa iniciadora. Esta tasa puede calcularse
basándose en la experiencia de los asistentes y en la información histórica disponible,
o puede derivarse de la fuentes adecuadas sobre tasa de fallos [14.6].
En la Tabla 6, por ejemplo, se presentan los eventos iniciadores y sus frecuencias de
suceso.
Puesto que las posibilidades iniciadoras se basan en factores humanos tales como error
del operario, calcularlas puede resultar todo un reto. Una técnica consiste en basar el
cálculo en la frecuencia de oportunidades que tiene un operario de cometer un error,
y multiplicarla por la probabilidad de cometer un error peligroso.
72
Por ejemplo, supongamos que un operario puede iniciar una sobrepresión en una tubería
cerrando una válvula. Normalmente, el operario abre una válvula de derivación antes de
cerrar la válvula principal y realiza esta acción todos los meses. La frecuencia base (λB) de
esta actividad es, por lo tanto, de 12 al año (una vez al mes).
Podemos suponer que el operario cuenta con buena formación, que la tarea es rutinaria
y que el operario no se encuentra bajo presión, de modo que calculamos que la
probabilidad de que cometa un error, PE, como por ejemplo, que no abra primero la
válvula de derivación, sería de, digamos, 1%. La frecuencia del evento iniciador (λINIT)
puede calcularse del siguiente modo:
λINIT = λB x PE
λINIT = 12 x 1%/año
λINIT = 0.12/año
Por lo general, podemos efectuar una comprobación de sensibilidad de estos datos

preguntando a los participantes en el LOPA si han experimentado el suceso de un evento
de estas características o si consideran que la frecuencia es razonable. Una frecuencia de
0.12/año equivale a un error cada 8 años.
8.6.9. Modificadores condicionales
Distribución de tamaños de fugas, columna [b]
En el ejemplo, las consecuencias propuestas del peligro de sobrepresión únicamente se
dan si la condición de la presión tuviera como consecuencia la rotura de la cámara. Puede
argumentarse que la mayoría de condiciones de sobrepresión no darían como resultado
la pérdida de contención y sí en una fuga menor por una brida, por ejemplo. En el
ejemplo, el equipo del LOPA calculó que el 10% de los eventos iniciadores tendrían
consecuencias.
Probabilidad de ignición, columna [c]
Para las consecuencias para la seguridad y comerciales propuestas, es necesario que
se encienda el gas liberado. En este ejemplo hemos hecho referencia a un estudio de
seguridad antiincendios que predecía un 75% de probabilidades de ignición en una
situación de rotura importante. En lo que se refiere a las consecuencias a la seguridad,
podemos declarar, por lo tanto, 0.75 como modificador condicional y la frecuencia del
evento iniciador se reduce en este factor.
En el caso de consecuencias medioambientales, no puede declararse ninguna reducción
de riesgos, ya que la ignición no es necesaria para las consecuencias.
73
Diseño de uso general, columna [d]
Un ejemplo de diseño de uso general sería una tubería con revestimiento, que
proporcionaría cierta protección frente a una pérdida de contención. En este ejemplo,
no se ha contabilizado el diseño de uso general, puesto que no existen características
específicas del diseño que proporcionen reducción de riesgos.
8.6.10. Capas de protección independientes (IPL)
Cada capa de protección consiste en una agrupación de equipos y/o de controles

administrativos que funcionan en conjunto con el resto de las capas de protección.
El nivel de protección proporcionado por cada capa de protección independiente se

cuantifica mediante la probabilidad de incumplimiento de su función específica a demanda,
su probabilidad de fallo a demanda (PFD), un número adimensional entre 0 y 1. Cuanto
menor sea el valor de la probabilidad de fallo a demanda, mayor será el factor de reducción
de riesgos aplicado como factor modificador a la posibilidad de iniciación calculada [8.6.8];
de ahí que cuando no se declare ninguna capa de protección independiente, se introduzca
“1” en la hoja de trabajo del LOPA.
En este ejemplo, las capas de protección independientes declaradas en las columnas [e] a
[h] pueden personalizarse para que se adapten a la aplicación. Se han presentado capas
de protección independientes típicas.
Sistema básico de control de proceso (BPCS), columna [e].
Puede declararse una contabilización si un bucle de control del sistema básico de control
de proceso (sistema de control distribuido o DCS) evita que ocurra el peligro como
resultado de una causa iniciadora potencial. En el ejemplo, en el caso de algunas de
causas iniciadoras (por ejemplo, un fallo de apertura de la válvula XV102 de importación
de líquido), el sistema básico de control de proceso (sistema de control distribuido)
puede compensarlo al abrir la válvula de exportación de líquido y evitar así un nivel
elevado. Se ha declarado una probabilidad de fallo a demanda (PFD) de 0.1, lo que
significa que el sistema de control distribuido (DCS) evita que se produzcan
consecuencias en 9 de cada 10 eventos.
Una probabilidad de fallo a demanda (PFD) de 0.1 es, por lo general, la mayor reducción
de riesgos que puede declararse en un sistema que no siga la clasificación SIL. Esto se
debe a que el sistema de control distribuido (DCS) puede ajustarse manualmente; por
lo general no hay un control tan estricto sobre los ajustes de puntos de activación y el
régimen de prueba no es tan riguroso como en el caso de un sistema instrumentado de
seguridad (SIS).
74
Alarmas independientes, columna [f ].
Puede declararse contabilización de alarmas que son independientes del sistema básico
de control de proceso (BPCS), avisan al operario y requieren una acción de su parte.
Solamente se puede declarar contabilización si la alarma es realmente independiente
del sistema básico de control de proceso (BPCS) y de las funciones instrumentadas de
seguridad (SIF), y solo si el operario puede responder a la alarma y tomar acción para
hacer que el proceso resulte seguro, dentro del tiempo seguro del proceso.
Por lo general puede declararse una probabilidad de fallo a demanda (PFD) de 0.1 para
alarmas independientes. En este ejemplo no se ha declarado ninguna contabilización.
8.6.11. Mitigación adicional
Ocupación, columna [g].
Acceso – Entre las capas de mitigación puede incluirse la ocupación, es decir, la

proporción de tiempo durante la que un operario está expuesto a un peligro y tiene
acceso restringido a zonas peligrosas. En este ejemplo se ha declarado una ocupación
basada en un turno de 8 horas.
Otros elementos de mitigación: columna [h].
La mitigación adicional puede estar disponible en forma de:
• Física – Las capas de mitigación pueden ser barreras físicas que protejan del
peligro una vez que se haya iniciado. Ejemplos serían dispositivos de alivio de
presión o muros cortafuego.
• Acción del operario – Puede declararse una contabilización de la detección y la
inspección a intervalos regulares, siempre y cuando el operario pueda adoptar
la acción adecuada.
En este ejemplo, no se ha declarado contabilización.
8.6.12. Posibilidad intermedia de evento
La posibilidad intermedia del evento se calcula multiplicando la posibilidad de la causa

iniciadora por las probabilidades de fallo a demanda (PFD) de las capas de protección. El
número calculado se expresa en unidades de eventos al año. La posibilidad intermedia
total indica la tasa de demanda de cualquier función instrumentada de seguridad (SIF)
propuesta.
75
8.6.13. Probabilidad de fallo a demanda (PFD) necesaria para el sistema instrumentado de

seguridad (SIS)
Calculada al comparar el riesgo máximo tolerable (λMTR) con la posibilidad intermedia de

evento o la frecuencia de peligro (λHAZ).
PFD = λMTR/λHAZ
8.6.14. Nivel de integridad de seguridad (SIL) necesario para el sistema instrumentado de

seguridad (SIS)
Obtenido a partir de la Tabla 7, correspondiente a la probabilidad de fallo a demanda

(PFD) necesaria para el sistema instrumentado de seguridad (SIS).
Nivel SIL Modo a demanda Modo continuo

Probabilidad de fallo a Tasa de fallo por hora
demanda
SIL4 ≥10-5 a <10-4 ≥10-9 a <10-8
SIL3 ≥10-4 a <10-3 ≥10-8 a <10-7
SIL2 ≥10-3 a <10-2 ≥10-7 a <10-6
SIL1 ≥10-2 a <10-1 ≥10-6 a <10-5
Tabla 7: Probabilidad de fallo a demanda (PFD) y tasas de fallo especificadas por el nivel de
integridad de seguridad (SIL)
Debe tenerse en cuenta que la probabilidad de fallo a demanda y la tasa de fallo de cada
nivel de integridad de seguridad dependen del modo de funcionamiento en que se
planee utilizar el sistema instrumentado de seguridad respecto a la frecuencia de las
demandas a la que está sometido [8.6.12].
A continuación figuran las hojas de trabajo del LOPA.
76
ID/Ref. Zona Descripción Consecuencia Categoría Riesgo Causa iniciadora Verosimilitud Distribución Probabilidad Diseño Capas independientes de protección Verosimilitud PDF SIL Comentarios/supuestos
Descripción evento (peligro) gravedad máx. iniciadora del tamaño de ignición de uso de nivel requerida requerido
(pa) BPCS Alarmas Mitigación Mitigación
tolerable de fuga general adicional, intermedio de SRS de SRS
[DCS] indepen- adicional:
(pa) (clasifica- p. ej., muros del evento
dientes Ocupación cortafuegos/
ción (pa)
(niveles procedimientos
diseño)
de personal) operacionales/
válvulas de alivio
[a] [b] [c] [d] [e] [f] [g] [h]
[a] Ver datos de evento

iniciador.
[b] El equipo LOPA calcula
la probabilidad de una fuga
grande (rotura) en un 10%.
[c] El estudio del riesgo
de incendio calcula la
probabilidad de ignición
en un 75%.
[d] No se reivindica una
contabilización de las
DCS falla a la hora de 1.65E-02 0.10 0.75 0.33 4.13E-04 características de diseño.
controlar la presión. [e] DCS es la causa iniciadora
por tanto no se reivindica una
contabilización del DCS.
[f] No hay alarmas
independientes. No se
reivindica una contabilización.
[g] Área de cámara ocupada
8 h por día.
[h] Sin válvulas de alivio de
presión. No se reivindica una
contabilización.
Fallo de PT102 y se
Seguridad: registra baja presión 8.58E-04 0.10 0.75 0.33 2.15E-05 Como arriba.
Una presión La liberación
77
elevada causa del gas
1.10 Cámara la rotura de P5 1.00E-05 Como arriba excepto:
prende en el 1.87E-02 SIL1
la cámara y la quemador y Fallo de apertura de la [e] el DCS puede compensar
liberación las superficies importación de líquido 2.89E-03 0.10 0.75 0.10 0.33 7.23E-06 los fallos de la válvula de
del gas. calientes. XV102. importación.
Posiblemente Cálculo PFD = 0.1.
dos víctimas
entre el Fallo de cierre de la
personal de exportación de gas 1.01E-02 0.10 0.75 0.10 0.33 2.52E-05 Como arriba.
manteni- FCV102.
miento.
Fallo de cierre de la
exportación de líquido 2.89E-03 0.10 0.75 0.10 0.33 7.23E-06 Como arriba.
XV102.
Fallo de TT100 y se
registra temperatura 2.68E-03 0.10 0.75 0.10 0.33 6.70E-06 Como arriba.
baja
Fallo de apertura de gas

combustible FCV100. 1.01E-02 0.10 0.75 0.10 0.33 2.52E-05 Como arriba.
Fallo del nivel de

líquido LL101 y se 1.10E-02 0.10 0.75 0.10 0.33 2.74E-05 Como arriba.
registra nivel bajo.
5.34E-04
ID/Ref. Zona Descripción Consecuencia Categoría Riesgo Causa iniciadora Verosimilitud Distribución Probabilidad Propósito Capas independientes de protección Verosimilitud PDF SIL Comentarios/supuestos
Descripción evento (peligro) gravedad máx. iniciadora del tamaño de general de nivel requerido
requerida
(pa) de fuga ignición BPCS Alarmas inde- Mitigación Mitigación
tolerable Diseño adicional, intermedio de SRS de SRS
[DCS] pendientes adicional:
(pa) (clasifica- p. ej., muros del evento
Ocupación cortafuegos/
ción (pa)
(niveles procedimientos
del diseño)
válvulas de alivio
[a] [b] [c] [d] [e] [f] [g] [h]

iniciador.
[b] El equipo LOPA calcula la
probabilidad de una fuga
[c] no se requiere ignición
No se reivindica una reducción
del riesgo
características de diseño.
DCS falla a la hora de 1.65E-02 0.10 1.65E-03 [e] DCS es la causa iniciadora
controlar la presión. por tanto no se reivindica
una contabilización del DCS.
[f] No hay alarmas
[g] Medio ambiente en riesgo
24h/día. No se reivindica una
reducción del riesgo.
8h al día.
contabilización.
78
Fallo de PT102 y se
Medio registra baja presión 8.58E-04 0.10 8.58E-05 Como arriba.
Una presión ambiente:
elevada causa la Rotura de la
1.10 Cámara rotura de la E2 1.00E-02 Como arriba excepto:
cámara, escape Ninguna Ninguna [e] DCS puede compensar
cámara y la de gas, no hay Fallo de apertura de la
liberación del ignición. importación de líquido 2.89E-03 0.10 0.10 2.89E-05 los fallos de la válvula de
gas. Liberación en XV102. importación.
las instalaciones. Cálculo PFD = 0.1.
Se requiere
limpieza y Fallo de cierre de la
notificación a exportación de gas 1.01E-02 0.10 0.10 1.01E-04 Como arriba.
las autoridades, FCV102.
pero sin
consecuencias
medioambien- Fallo de cierre de la
tales. exportación de líquido 2.89E-03 0.10 0.10 2.89E-05 Como arriba.
XV102.
Fallo de TT100 y se
registra temperatura 2.68E-03 0.10 0.10 2.68E-05 Como arriba.
baja

combustible FCV100. 1.01E-02 0.10 0.10 1.01E-04 Como arriba.
Fallo del nivel de líquido

LL101 y se registra 1.10E-02 0.10 0.10 1.10E-04 Como arriba.
nivel bajo.
2.14E-03
ID/Ref. Zona Descripción Consecuencia Categoría Riesgo Causa iniciadora Verosimilitud Distribución Probabilidad Diseño Capas independientes de protección Verosimilitud PDF SIL Comentarios/supuestos
Descripción evento (peligro) gravedad máx. iniciadora del tamaño de ignición de uso de evento requerida requerido
(pa) de fuga BPCS Alarmas inde- Mitigación Mitigación
tolerable general nivel inter- de SRS de SRS
[DCS] pendientes adicional: adicional,
(pa) (clasifica- p. ej., muros medio (pa)
Ocupación
ción cortafuegos/
(niveles
diseño) procedimientos
válvulas de alivio
[a] [b] [c] [d] [e] [f] [g] [h]

iniciador.
[b] El equipo LOPA calcula la
probabilidad de una fuga
[c] El estudio del riesgo
de incendio calcula la
probabilidad de ignición
en un 75%.
DCS falla a la hora de 1.65E-02 0.10 0.75 1.24E-03 características de diseño.
controlar la presión. [e] DCS es la causa iniciadora
por tanto no se reivindica
una contabilización del DCS.
[f] No hay alarmas
[g] Área de cámara ocupada
8 h por día.
contabilización.
Fallo de PT102 y se
Comercial: registra baja presión 8.58E-04 0.10 0.75 6.44E-05 Como arriba.
79
Una presión Rotura de la
elevada causa cámara,
1.10 Cámara la rotura de la C5 1.00E-05 Como arriba excepto:
escape de gas, 6.24E-03 SIL2
cámara y la ignición y Fallo de apertura de la [e] el DCS puede compensar
liberación del daños al importación de líquido 2.89E-03 0.10 0.75 0.10 2.17E-05 los fallos de la válvula de
gas. patrimonio. XV102. importación.
Cálculo PFD = 0.1.
Los daños
del equipo Fallo de cierre de la
requieren exportación de gas 1.01E-02 0.10 0.75 0.10 7.56E-05 Como arriba.
la sustitución FCV102.
de la cámara
valorada en
10M y la Fallo de cierre de la
pérdida de exportación de líquido 2.89E-03 0.10 0.75 0.10 2.17E-05 Como arriba.
producción de XV102.
1 año
Fallo de TT100 y se
registra temperatura 2.68E-03 0.10 0.75 0.10 2.01E-05 Como arriba.
baja

combustible FCV100. 1.01E-02 0.10 0.75 0.10 7.56E-05 Como arriba.
Fallo del nivel de

líquido LL101 y se 1.10E-02 0.10 0.75 0.10 8.21E-05 Como arriba.
registra nivel bajo.
1.60E-03
8.6.15. Resultados del LOPA
Los resultados (Tabla 8) muestran que el peligro de sobrepresión tiene consecuencias

en cuanto a la seguridad, que pueden protegerse con una función instrumentada de
seguridad SIL1 con una probabilidad de fallo a demanda (PFD) de ≤ 1.87E-02. No
obstante, el riesgo comercial es predominante y requiere una función instrumentada
de seguridad SIL2 con una probabilidad de fallo a demanda de ≤ 8.24E-03.
Peligro Consecuencia Objetivo del Objetivo de la

SIL probabilidad
de fallo a
demanda
(PFD)
Seguridad Seguridad: Gas liberado prende en el SIL1 1.87E-02
quemador y en superficies calientes.
Posiblemente dos víctimas del personal de
mantenimiento.
Medio ambiente Medio ambiente: Rotura de la cámara, Ninguno Ninguno

escape de gas, no se produce ignición.
Liberación en las instalaciones. Se requiere
limpieza y notificación a las autoridades,
pero sin consecuencias medioambientales.
Comercial Comercial: Rotura de la cámara, escape de SIL2 6.24E-03
gas, ignición y daños al patrimonio. Daños
al equipo requieren sustituir la cámara
valorada en €10M y la pérdida de
producción de 1 año.
Tabla 8: Resultados del LOPA
No es extraño que predominen los peligros no relacionados con la seguridad. En este

ejemplo, el activo se encuentra siempre sometido al riesgo derivado del peligro mientras
que, en términos de seguridad, el personal únicamente está sometido al riesgo parte del
tiempo.
La función instrumentada de seguridad (SIF) que debe diseñarse para proteger de la

sobrepresión debe, por lo tanto, cumplir los objetivos comerciales. La misma función
instrumentada de seguridad proporciona, por lo tanto, protección adecuada al personal.
80
Asignación de funciones de seguridad
9. Asignación de funciones de seguridad


2
Especificación de requisitos de Diseño y

3
seguridad para el SIS desarrollo de

otros medios
4 de riesgo
para el SIS
Verificación
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 9.1, es asignar
funciones de seguridad a las capas de protección.
Como entradas, esta fase precisa una descripción en términos de requisitos funcionales
de seguridad y requisitos de integridad de seguridad.
Como salidas, la fase debe proporcionar información acerca de la asignación de

funciones de seguridad generales, sus medidas objetivo de fallos y los niveles de
integridad de seguridad asociados. Se definen asimismo las suposiciones realizadas
sobre otras medidas de reducción de riesgos que deben gestionarse durante la vida
útil del proceso o de la planta.
81
9.2. Asignación de funciones de seguridad
A partir del ejemplo de la cámara de separación, 3.7.1, se identificaron los siguientes requisitos de
funciones instrumentadas de seguridad (SIF) y de nivel de integridad de seguridad (SIL) (Tabla 9). El
análisis de peligro, referencia 1.10 se mostró como parte del ejemplo del LOPA [8.5]. El LOPA se habría
utilizado para determinar los objetivos de nivel de integridad de seguridad (SIL) y los objetivos de la
probabilidad de fallo a demanda (PFD) para el resto de peligros identificados.
Ref. Peligro Consecuencia Objetivo Objetivo

HAZOP del SIL de la PFD
1.01 Presión elevada causa Gas liberado prende en el quemador y en SIL2 6.24E-03
rotura de la cámara y superficies calientes. Posiblemente dos
liberación de gas. víctimas del personal de mantenimiento.
Daños al equipo requieren sustituir la
cámara, valorada en €10M, e interrupción
del proceso de 1 año. Emisión leve al medio
ambiente.
1.11 Presión baja causa la Gas liberado prende en el quemador y en Ninguno Ninguno
rotura de la cámara y superficies calientes. Posiblemente dos
liberación de gas. víctimas del personal de mantenimiento.
Daños al equipo requieren sustituir la
cámara, valorada en €10M, e interrupción
ambiente.
1.15 Temperatura elevada Gas liberado prende en el quemador y en Ninguno Ninguno

conlleva presión superficies calientes. Posiblemente dos
elevada, rotura de la víctimas del personal de mantenimiento.
cámara y liberación de Daños al equipo requieren sustituir la
gas. cámara, valorada en €10M, e interrupción
ambiente.
1.16 Baja temperatura, Daños al equipo requieren sustituir la Ninguno Ninguno

congelación potencial cámara, valorada en €10M, e interrupción
del líquido (solidifi- del proceso de 6 meses. Emisiones al medio
cación), rotura de la ambiente que requieren notificación.
cámara y pérdida de
contención.
1.20 Nivel elevado en la Daños al equipo en la rama descendente SIL1 8.10E-02
cámara puede causar requieren sustituir la cámara, valorada en
arrastre de líquido a la €10M, e interrupción del proceso de 6
exportación de líquido. meses.
1.21 Nivel bajo en la cámara Daños al equipo en la rama descendente SIL1 6.22E-02
podría causar fuga de requieren limpieza de la cámara, valorada en
gas a la exportación de €2M, e interrupción del proceso de 6
líquido. semanas.
Tabla 9: Requisitos de funciones instrumentadas de seguridad (SIF)
82
Asignación de funciones de seguridad
La posibilidad intermedia del evento indicada por el LOPA determinó que debería considerarse todas las
funciones instrumentadas de seguridad en modo a demanda. Se establecieron los objetivos SIL1 para el
nivel alto y el nivel bajo y se propusieron, por lo tanto, las siguientes funciones instrumentadas de seguri-
dad (SIF). Para mitigar la alta presión, se instaló una válvula de alivio de presión como buena práctica de
ingeniería y se estableció una función instrumentada de seguridad, tal y como se muestra a continuación.
Función
instrumentada
de seguridad
L
LHH102 ESDV102
Función
instrumentada
de seguridad
L
LHH101 ESDV101
Función
instrumentada
de seguridad
P
PHH100 ESDV100
Figura 35a: Fase 2 del ciclo de vida
Las funciones instrumentadas de seguridad individuales componen en su conjunto el sistema

instrumentado de seguridad (SIS) general:
P
PHH100 ESDV100
Sistema
L instrumentado
de seguridad
LHH101 ESDV101
L
LHH102 ESDV102
Figura 35b: Fase 2 del ciclo de vida
83
En el siguiente diagrama se señalan las funciones instrumentadas de seguridad

asignadas:
PRV102 PT102
P
ESDV102 Exportación
gas
Impor- XV102
tación FCV102
L
líquido
SIS LHH102 LH
LH101
P
PHH100 LL
T LL101 Expor-
TT100 LL
tación
LLL101 SIS líquido
ESDV101 XV101
FCV100 XV100 ESDV100
Quemador
Suministro
gas
combustible
FCV100
SIS
Figura 35c: Fase 2 del ciclo de vida
84
Especificación de requisitos de seguridad para el SIS
10. Especificación de requisitos de seguridad del sistema

instrumentado de seguridad (SIS)

2

3

otros medios
4 de riesgo
para el SIS
Verificación
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 10.1, es especificar
los requisitos de las funciones instrumentadas de seguridad (SIF).
10.2. Requisitos de integridad de seguridad de una función instrumentada de
seguridad (SIF)
El nivel de integridad de seguridad de cada función instrumentada de seguridad ha sido
seleccionado durante el estudio de determinación del nivel de integridad de seguridad
mediante un diagrama de riesgos, un LOPA o una matriz de riesgos.
Esta información debe comunicarse entonces al equipo de diseño mediante la
especificación de requisitos de seguridad para garantizar que el diseño cumpla los
requisitos de integridad de seguridad de las funciones instrumentadas de seguridad
85
durante su implementación. La especificación de requisitos de seguridad es la base de la

validación de las funciones instrumentadas de seguridad.
10.3. Marco de la especificación de requisitos de seguridad (SRS)

Antes de llevar a cabo cualquier trabajo de diseño debe prepararse la especificación de
requisitos de seguridad (SRS) en base a la orientación facilitada en la norma IEC 61511-1/2,
cláusulas 10 y 12. La especificación de requisitos de seguridad contiene los requisitos
funcionales y de integridad para cada función instrumentada de seguridad (SIF), y debe
proporcionar información suficiente para diseñar e implementar la ingeniería del sistema
instrumentado de seguridad (SIS). Debe expresarse y estructurarse de modo que resulte
clara, precisa, verificable, sostenible y factible para facilitar que la comprendan aquellos
que probablemente utilizarán la información en cualquier fase del ciclo de vida.
La especificación de requisitos de seguridad (SRS) debe incluir enunciados sobre los
siguientes puntos para cada función instrumentada de seguridad (SIF):
• Descripción de las funciones instrumentadas de seguridad (SIF);
• Fallo por causas comunes;
• Definición de estado de seguridad de las funciones instrumentadas de
seguridad (SIF);
• Tasa de demanda;
• Intervalos de prueba de calidad;
• Tiempo de respuesta para que el proceso vuelva a un estado de seguridad;
• Nivel de integridad de seguridad (SIL) y modo de funcionamiento (a demanda
o continuo);
• Mediciones del proceso y puntos de disparo;
• Acciones de salida del proceso y criterios de funcionamiento exitosos;
• Relación funcional entre entradas y salidas;
• Requisitos para la desactivación manual;
• Energización o desenergización para disparo;
• Restablecimiento después de una desactivación;
• Tasa de disparos erróneos máxima permitida;
• Modos de fallo y respuesta del sistema instrumentado de seguridad (SIS) a
fallos;
• Arranque y reinicio del sistema instrumentado de seguridad (SIS);
• Interfaces entre el sistema instrumentado de seguridad (SIS) y cualquier otro
sistema;
• Software de aplicación;
• Anulaciones/inhibiciones/derivaciones y cómo borrarlas;
• Acciones posteriores a la detección de un fallo del sistema instrumentado de
seguridad (SIS).
El sistema instrumentado de seguridad (SIS) puede ejecutar funciones instrumentadas no
relacionadas con la seguridad para garantizar la desconexión organizada o la puesta en
marcha más rápida.
86
Diseño e ingeniería del SIS
11. Diseño e ingeniería del sistema instrumentado de seguridad (SIS)


2

3

otros medios
4 de riesgo
para el SIS
Verificación
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 11.1, es:
• Diseñar el sistema instrumentado de seguridad (SIS) para que proporcione las

funciones instrumentadas de seguridad (SIF) necesarias [11.2];
• Comprobar que el diseño de las funciones instrumentadas de seguridad (SIF)
cumpla el nivel de integridad de seguridad (SIL) especificado, definido durante
la determinación del SIL [13].
87
11.2. Diseño de funciones instrumentadas de seguridad (SIF)
La especificación de requisitos de seguridad forma la base de diseño de las funciones

instrumentadas de seguridad y permite al equipo de diseño traducir la funcionalidad en
documentos de diseño como, por ejemplo, una especificación de diseño funcional. Así, la
especificación de diseño funcional debe contener todos los requisitos funcionales y de
integridad necesarios para el diseño del sistema instrumentado de seguridad.
Es importante que la documentación del diseño incluya lo siguiente:
• Requisitos de comportamiento del sistema al detectar un fallo [13.2];

• Tolerancia a fallos de hardware [13.3];
• Selección de componentes y de subsistemas [13.4];
• Dispositivos de campo [13.5];
• Interfaces del operario, de mantenimiento y de comunicación con el sistema
instrumentado de seguridad (SIS) [13.6];
• Requisitos de diseño relativos al mantenimiento o a las pruebas [13.7];
• Probabilidad de fallo de las funciones instrumentadas de seguridad (SIF) [13.8];
• Software de aplicación [13.9].
88
Técnicas de fiabilidad
12. Técnicas de fiabilidad

12.1. Introducción
Este apartado ofrece una breve introducción a las técnicas de fiabilidad. En ningún caso
se trata de un estudio integral sobre métodos de ingeniería de fiabilidad, ni es de ningún
modo nuevo o poco convencional. Los métodos que se describen en él son utilizados de
forma rutinaria por los ingenieros de fiabilidad.
12.2. Definiciones
Para facilitar la comprensión a continuación figura una lista abreviada de términos clave
junto con sus definiciones correspondientes. En muchos textos normales sobre el tema
se pueden encontrar definiciones de los términos y nomenclatura más completa.
Capacidad – Medida de la capacidad de un elemento de alcanzar los objetivos de la

misión dadas las condiciones durante la misma.
Confiabilidad – Medida del grado hasta el cual un elemento se encuentra en estado

operativo y capaz de llevar a cabo la función para la que se ha diseñado en cualquier
momento (aleatorio) durante un perfil de misión específico, dada la disponibilidad al
inicio de la misma.
Disponibilidad – Medida del grado hasta el cual un elemento se encuentra en estado

operativo y ofrece garantías al inicio de la misión, cuando se requiere dicha misión en
un estado desconocido.
Fallo – Evento, o estado inoperativo, en el que un elemento o parte del mismo no

funciona o no funcionaría tal y como se ha especificado anteriormente.
Fallo, aleatorio – Fallo cuya suceso es predecible únicamente en sentido probabilístico

o estadístico. Este principio se aplica a todas las distribuciones.
Fallo, dependiente – Fallo ocasionado por el fallo de un elemento o de elementos

asociados. No independiente.
Fallo, independiente – Fallo que se produce sin que esté ocasionado por el fallo de
ningún otro elemento. No dependiente.
Fiabilidad – (1) Duración o probabilidad de rendimiento sin fallos bajo condiciones

determinadas. (2) Probabilidad de que un elemento pueda llevar a cabo la función para la
que ha sido diseñado durante un intervalo específico y bajo condiciones determinadas.
En el caso de elementos no redundantes, sería el equivalente a la definición (1). En el caso
de elementos redundantes, sería la definición de fiabilidad de la misión.
89
Mantenibilidad – Medida de la capacidad de un elemento de mantenerse o volver a la

condición especificada cuando el mantenimiento lo lleva a cabo personal con un nivel de
conocimientos específico, mediante los procedimientos y los recursos prescritos y a cada
nivel de mantenimiento y reparación prescritos.
Mantenimiento, correctivo – Todas las acciones que se llevan a cabo como resultado
de un fallo, para que un elemento recupere la condición especificada. El mantenimiento
correctivo puede incluir todos o alguno de los pasos siguientes: localización, aislamiento,
desmontaje, intercambio, nuevo montaje, alineamiento y verificación.
Mantenimiento, preventivo – Todas las acciones llevadas a cabo en un intento por
mantener un elemento en una condición específica llevando a cabo procesos de
inspección sistemática, detección y prevención de fallos incipientes.
Mecanismo de fallo – Proceso físico, químico, eléctrico térmico o de otro tipo que
produce el fallo.
Modo de fallo – Consecuencia del mecanismo por medio del cual se produce el fallo;
es decir: cortocircuito, apertura, fractura, desgaste excesivo.
Tasa de fallo – Número total de fallos en una población de elementos, dividido entre
el número total de unidades de vida útil empleadas por dicha población durante un
intervalo de medición en particular y bajo condiciones determinadas.
Tiempo medio entre fallos (MTBF) – Medición básica de fiabilidad en el caso de
elementos reparables: número medio de unidades de vida útil durante las que todos
los componentes del elemento funcionan dentro de sus límites específicos, durante un
Tiempo medio hasta el fallo (MTTF) – Medida básica de fiabilidad en el caso de
elementos no reparables: número medio de unidades de vida útil durante las que todos
los componentes del elemento funcionan dentro de sus límites específicos, durante un
Tiempo medio hasta la reparación (MTTR) – Medida básica de mantenibilidad: suma
de los tiempos de mantenimiento correctivo a cualquier nivel de reparación específico,
dividida entre el número total de fallos de un elemento reparado a dicho nivel, durante
un intervalo en particular y bajo condiciones determinadas.
90
12.3. Conceptos matemáticos básicos en ingeniería aplicada a la fiabilidad

En ingeniería aplicada a la fiabilidad se utilizan numerosos conceptos matemáticos,
en particular en las áreas de probabilidad y estadística. Asimismo, es posible utilizar
diferentes distribuciones matemáticas para distintos propósitos, incluida la distribución
gaussiana (normal), la distribución logarítmica normal, la distribución de Rayleigh,
la distribución exponencial, la distribución de Weibull y muchas otras. En esta breve
introducción nos limitaremos a tratar la distribución exponencial.
Tasa de fallo y tiempo medio entre fallos/hasta el fallo (MTBF/MTTF).
El objetivo de las mediciones cuantitativas de la fiabilidad es definir la tasa de fallo
en relación al tiempo y modelar dicha tasa según una distribución matemática para
comprender los aspectos cuantitativos del fallo. El bloque modular más básico es la
tasa de fallo, que se calcula utilizando la siguiente ecuación:
λ = F/T
Donde: λ = Tasa de fallo (a menudo se denomina tasa de peligro);
T = Número total de horas del dispositivo (tiempo de funcionamiento/ciclos/km/etc.)
durante un periodo de investigación, tanto para elementos que han fallado como para
los que no han fallado;
F = número total de fallos que ocurren durante el periodo de análisis.
Por ejemplo, si cinco motores eléctricos funcionan durante un tiempo colectivo total de
50 años y se producen 5 fallos funcionales durante dicho periodo, la tasa de fallo es de
0.1 al año.
Otro concepto muy básico es el tiempo medio entre fallos/hasta el fallo (MTBF/MTTF).
La única diferencia entre el MTBF y el MTTF es que utilizamos el MTBF al referirnos a
elementos que se reparan cuando fallan. En el caso de los elementos que simplemente
se han desechado y sustituido, utilizamos el MTTF. Los cálculos son los mismos. El cálculo
básico para calcular el tiempo medio entre fallos (MTBF) y el tiempo medio hasta el fallo
(MTTF) es el valor recíproco de la función de la tasa de fallo. Se calcula por medio de la
siguiente ecuación.
θ = T/F
Donde: θ = Tiempo medio entre fallos/hasta el fallo;
T = Tiempo de funcionamiento total/ciclos/km/etc. durante un periodo de investigación,
tanto para elementos que han fallado como que no han fallado;
F = número total de fallos que ocurren durante el periodo de análisis.
91
El tiempo medio entre fallos (MTBF) en el ejemplo de un motor eléctrico industrial es de

10 años, lo que representa el valor recíproco de la tasa de fallo de los motores. Casualmente,
calcularíamos el tiempo medio entre fallos (MTBF) en el caso de motores eléctricos que se
hayan reconstruido después de un fallo. En el caso de motores con dimensiones más
reducidas considerados desechables, señalaríamos el tiempo medio hasta el fallo (MTTF).
La tasa de fallo es un concepto básico en el que intervienen cálculos mucho más
complejos relacionados con la fiabilidad. En función del diseño mecánico/eléctrico, el
contexto de funcionamiento y/o la efectividad del mantenimiento, la tasa de fallo de
una máquina expresada en función del tiempo puede reducirse, permanecer constante,
aumentar linealmente o aumentar geométricamente. No obstante, para que los cálculos
sean más precisos, se presupone una tasa de fallo constante.
12.4. Curva de la bañera
La curva de la bañera pone de manifiesto conceptualmente las tres características básicas
de la tasa de fallo de una máquina: en disminución, constante, en aumento. En la práctica,
la mayoría de las máquinas permanecen en la fase inicial de la vida útil o en las regiones
de la curva de la bañera en las que la tasa de fallo es constante. Raramente se ven
mecanismos de fallo dependientes del tiempo, puesto que las máquinas industriales
típicas tienden a sustituirse (por completo o alguno de sus componentes) antes de que se
desgasten. No obstante, a pesar de las limitaciones en cuanto al modelado, la curva de la
bañera es una herramienta útil para explicar los conceptos básicos de fiabilidad aplicada a
la ingeniería.
El cuerpo humano constituye un excelente ejemplo de un sistema que sigue la curva de la
bañera. Las personas y las máquinas tienden a sufrir una tasa de fallo elevada (mortalidad)
durante sus primeros años de vida, pero dicha tasa disminuye a medida que aumenta la
edad del niño (producto). Suponiendo que una persona sobreviva sus años de
adolescencia, la tasa de mortalidad se vuelve bastante constante y permanece así hasta
que las enfermedades dependientes de la edad (tiempo) empiezan a aumentar la tasa de
mortalidad (desgaste).
Existe la noción de que la curva de la bañera está compuesta por varias distribuciones de
fallos (Figura 38).
La disminución de la tasa de fallo en la fase inicial de la vida útil se debe a razones
sistemáticas como, por ejemplo, a los puntos débiles en el proceso de fabricación que
están presentes en un producto. Al producirse un lote de productos, una proporción de la
población contendrá puntos débiles que fallarán durante el funcionamiento. Puesto que
los elementos con fallos se devuelven para su reparación, la proporción de productos con
puntos débiles en la población se reduce y la tasa de fallo disminuye en consecuencia.
92
El aumento de los fallos por desgaste puede deberse a razones sistemáticas similares.
Los mecanismos de fallo pueden deberse a la degradación de la fuerza como, por
ejemplo, la acumulación de daños debidos a la fatiga. En electrónica, los mecanismos de
fallo dependientes del tiempo tienden a ser mecánicos por naturaleza e incluyen el fallo
debido a la fatiga de las juntas de soldadura.
El periodo de la tasa de fallo constante representa la mayor parte de la vida útil de un
producto y es una medida de la calidad del diseño. Es en esta región de la tasa de fallo
constante en la que pueden llevarse a cabo cálculos sencillos relacionados con la
fiabilidad.
Curva de bañera
1
0.9
0.8
0.7
Tasa de fallo
0.6
0.5
0.4
0.3
0.2
0.1
0
0 10 20 30 40 50 60
Tiempo
Decreciente
Constante
Creciente
Total
Figura 38: Curva de bañera
12.5. Distribución exponencial

La distribución exponencial, la fórmula de predicción más básica y más utilizada, se utiliza
para modelar las máquinas con la tasa de fallo constante o la sección plana de la curva de
la bañera. La mayoría de máquinas industriales pasan la mayor parte de su vida útil en la
tasa de fallo constante, por lo que es ampliamente aplicable.
93
A continuación se indica la ecuación básica para el cálculo de la fiabilidad de una

máquina que sigue la distribución exponencial, donde la tasa de fallo es constante
expresada en función del tiempo.
R(t) = exp. {-λ . t}
Donde: R(t) = Cálculo de fiabilidad durante un periodo de tiempo, ciclos, km, etc. (t);
λ = Tasa de fallo (1/MTBF o 1/MTTF) y t = el tiempo durante el que existe el riesgo.
En el ejemplo del motor eléctrico, si se presupone una tasa de fallo constante, la
posibilidad de hacer funcionar un motor durante seis años sin que se produzca un fallo,
o la fiabilidad proyectada, es del 55 % . El cálculo sería el siguiente:
R(t) = exp. {– 0.1 x 6}
= exp. {– 0.6}
= 0.5488 ≈ 55%
En otras palabras, después de seis años, desde el punto de vista probabilístico se podría
esperar que se produjera un fallo en alrededor del 45% de la población de motores
idénticos en funcionamiento en una aplicación idéntica. Merece la pena reiterar en este
punto que estos cálculos proyectan la probabilidad para una población general. Cada
individuo específico dentro de la población podría fallar el primer día de funcionamiento,
mientras que otro podría durar 30 años. Ésta es la naturaleza de las proyecciones de
fiabilidad probabilísticas.
Una característica de la distribución exponencial es que el tiempo medio entre fallos
(MTBF) se produce en el punto en el que la fiabilidad calculada es del 36.78% o en el
punto en el que el 63.22% de las máquinas ya han fallado. En el ejemplo del motor,
después de 10 años, es de esperar que falle el 63.22% de los motores de una población
de motores idénticos utilizados en aplicaciones idénticas. En otras palabras, la tasa de
supervivencia es del 36.78% de la población.
12.6. Cálculo de la fiabilidad del sistema
Una vez se ha establecido la fiabilidad de los componentes o de las máquinas en relación
al contexto de funcionamiento y al tiempo necesario para la misión, los ingenieros de la
planta deben evaluar la fiabilidad de un sistema o proceso. De nuevo, con propósitos de
brevedad y simplicidad, abordaremos los cálculos de fiabilidad en los sistemas en serie,
en paralelo y redundantes de carga compartida (M de N) (sistemas MooN).
12.6.1. Sistemas seriales
Antes de tratar el caso de los sistemas seriales, debemos abordar los diagramas de
bloques de fiabilidad (RBD). Un diagrama de bloques de fiabilidad sirve sencillamente
94
para esquematizar un proceso desde el principio hasta el final. En el caso de un sistema

serial, al subsistema 1 le sigue el subsistema 2, y así sucesivamente. En el sistema serial,
la capacidad para utilizar el subsistema 2 depende del estado de funcionamiento del
subsistema 1. Si el subsistema 1 no está en funcionamiento, el sistema está inactivo,
independientemente de la condición del subsistema 2 (Figura 39).
R1(t) R2(t) R3(t)
Subsistema 1 Subsistema 2 Subsistema 3

Figura 39: Sistema en serie
Para calcular la fiabilidad del sistema en el caso de un proceso serial, solo se debe
multiplicar la fiabilidad aproximada del subsistema 1 en un tiempo (t) por la fiabilidad
aproximada del subsistema 2 en un tiempo (t). La ecuación básica para calcular la
fiabilidad del sistema en el caso de un sistema serial sencillo es:
Rs(t) = R1(t) . R2(t) . R3(t)
Donde: Rs(t) – Fiabilidad del sistema durante un tiempo determinado (t);
Rn(t) – Fiabilidad del subsistema o de la subfunción durante un tiempo determinado (t)
Así, en el caso de un sistema sencillo con tres subsistemas o subfunciones, cada una de
ellas con una fiabilidad aproximada de 0.90 (90%) en un tiempo (t), la fiabilidad del
sistema se calcula del siguiente modo: 0.90 X 0.90 X 0.90 = 0.729, o alrededor del 73%.
12.6.2. Sistemas en paralelo
A menudo, los ingenieros encargados del diseño incorporan la redundancia en máquinas
fundamentales. Los ingenieros encargados de la fiabilidad los denominan sistemas en
paralelo. Estos sistemas pueden diseñarse como sistemas en paralelo activos o como
sistemas en paralelo en espera. En la Figura 40 se muestra el diagrama de bloques de un
sistema en paralelo sencillo de dos componentes.
R1(t)
R2(t)
Figura 40: Sistema en paralelo
95
Para calcular la fiabilidad de un sistema en paralelo activo, en el que ambas máquinas

están en funcionamiento, utilice la siguiente y sencilla ecuación:
Rs(t) = 1 – [ {1-R1(t)} . {1-R2(t)} ]
Donde: Rs(t) – Fiabilidad del sistema durante un tiempo determinado (t);
Rn(t) – Fiabilidad del subsistema o de la subfunción durante un tiempo determinado (t)
El sistema en paralelo simple del ejemplo, con dos componentes en paralelo (cada uno de
ellos con una fiabilidad de 0.90) presenta una fiabilidad total del sistema de 1 – (0.1 X 0.1)
= 0.99. De este modo, la fiabilidad del sistema ha aumentado en gran medida.
12.6.3. Sistemas M de N (MooN)
Un concepto importante para los ingenieros encargados de la fiabilidad de la planta es el

de los sistemas MooN. Estos sistemas requieren que M unidades de una población total
de N se encuentren disponibles para ser utilizados. Un buen ejemplo en la industria son
los pulverizadores de carbón de una planta de generación de energía eléctrica. A
menudo, los ingenieros diseñan esta función en la planta mediante un enfoque MooN.
Por ejemplo, una unidad tiene cuatro pulverizadores y la unidad precisa que tres de los
cuatro estén operativos para que la unidad funcione a carga plena (Figura 41).
12.7. Fallos peligrosos y seguros
Para que los cálculos relacionados con la fiabilidad resulten significativos, no solo nos
preocupa la tasa de fallo del sistema, sino también cómo puede fallar el sistema, es decir,
el modo de fallo.
Los modos de fallo pueden clasificarse como seguros o peligrosos. En la figura 42 se

muestra un gasoducto. Si el gasoducto suministra combustible a una central de energía y
la válvula de cierre seguridad falla y se cierra erróneamente, el suministro de combustible
se interrumpe y quizá se produzca una pérdida de ingresos, pero el modo de fallo (fallo en
posición cerrada) es un fallo seguro.
Si la misma válvula falla en posición abierta, se mantiene el suministro de combustible

pero, en caso de producirse una condición de sobrepresión, no se podrá aislar el
combustible y garantizar la seguridad del oleoducto. Este modo de fallo (fallo en
posición abierta) se considera por lo tanto un fallo peligroso.
96
R1(t)
R2(t)
R3(t)
R4(t)
Figura 41: Sistema 3oo4
Suministro
hidráulico Lógica
ESD
Válvula
Purga Transmisor
solenoide
S
PT
Controlador
de presión
PC
gasoducto gasoducto
Válvula Válvula

En este ejemplo, el modo de fallo peligroso en posición abierta no se descubre sino hasta
que la válvula se sometiera a una demanda; es decir, hasta que se le diera la orden de
cierre. Este se considera un fallo peligroso no detectado.
97
Como alternativa, si el oleoducto está suministrando caudal de refrigerante a la central

de energía y la válvula SSV969A falla y se cierra erróneamente, se interrumpe el caudal de
refrigerante y la central de energía podría sobrecalentarse. En esta aplicación, la misma
válvula y el mismo modo de fallo (fallo en posición cerrada) constituye un fallo peligroso.
Si la válvula falla en posición abierta, se mantiene el caudal de refrigerante y, por lo tanto,
este modo de fallo (fallo en posición abierta) se considera un fallo seguro.
Un fallo peligroso de un componente en una función instrumentada de seguridad evita
que la función alcance un estado seguro cuando se precise que así lo haga. La tasa de
fallos peligrosos se representa mediante el símbolo: λD.
Un fallo seguro no tiene el potencial de poner el sistema instrumentado de seguridad en un
estado peligroso o de fallo de funcionamiento, pero el fallo se produce de tal forma que el
sistema debe apagarse o la función instrumentada de seguridad debe activarse cuando no
hay ningún peligro presente. La tasa de fallos seguros se representa mediante el símbolo: λS.
Puede haber modos de fallo que no afecten en absoluto la función de seguridad. Entre
ellos pueden incluirse las funciones de mantenimiento, los elementos indicadores, los
registros de datos y otras funciones no relacionadas (no RS) con la seguridad. La tasa de
fallos no RS se representa mediante el símbolo: λno RS.
La tasa de fallo total de un elemento λ es igual a la suma de las tasas de fallo relacionadas
y no relacionadas con la seguridad. Por lo general solamente se incluyen en los cálculos
relacionados con la fiabilidad λD y λS.
λ = λD + λS + λno RS
12.8. Fallos detectados y no detectados
La probabilidad de fallo a demanda (PFD) está relacionada con los fallos peligrosos que
evitan que el sistema instrumentado de seguridad (SIS) funcione cuando se precise que
así lo haga. Estos modos de fallo se clasifican como fallos detectados, que se pueden
detectar mediante un diagnóstico, o fallos no detectados, que no se detectan excepto
mediante pruebas de calidad manuales, que por lo general se llevan a cabo anualmente.
Se recomienda que los modos de fallo clasificados según la metodología FMECA como
fallos detectados peligrosos se detecten como parte del diagnóstico y se verifiquen en
la validación del software. Además, los procedimientos de la prueba de calidad deben
garantizar que los modos de fallos no detectados peligrosos se descubran para garantizar
que las pruebas de calidad resulten efectivas.
De acuerdo con la norma IEC 61508-6, Anexo B.3.1, en el análisis se puede considerar que
para cada función de seguridad existe una prueba de calidad y una reparación perfecta;
es decir, que todos los fallos no detectados se descubren mediante una prueba de
calidad.
98
12.9. Periodo de prueba de calidad (Tp) y tiempo improductivo medio (MDT)

Si se produce un fallo, se presupone que en promedio ocurre en el punto intermedio del
intervalo de prueba. En otras palabras, el fallo sigue sin detectarse durante el 50% del
periodo de prueba.
Tanto en el caso de fallos detectados como de no detectados, el tiempo improductivo
medio (MDT) depende del intervalo de prueba y del tiempo medio hasta la reparación
(MTTR).
El tiempo improductivo medio (MDT) se calcula, por lo tanto, a partir de:
MDT = intervalo de prueba + MTTR
2
En el caso de fallos detectados, el tiempo improductivo medio se aproxima, por lo tanto,
al tiempo medio hasta la reparación, ya que el intervalo de prueba (autoprueba) es por lo
general corto en comparación con el tiempo medio hasta la reparación (MTTR). En el caso
de fallos no detectados, el tiempo de reparación es corto en comparación al intervalo
de prueba, el periodo de prueba de calidad (Tp) y, por lo tanto, el tiempo improductivo
medio (MDT) de este tipo de fallos se aproxima a Tp/2.
12.10. Modelado de la tasa de fallo del sistema (λsys)
La tasa de fallo de un sistema redundante λsys, puede calcularse teniendo en cuenta
las diferentes formas en que puede producirse el fallo del sistema. En un sistema 3oo4,
se requiere el funcionamiento de 3 de los 4 canales para que el sistema funcione; por lo
tanto, cada dos fallos se produce un fallo del sistema.
Figura 43: Sistema 3oo4
99
La tasa a la que se producen los dos fallos, λ2 se da por la tasa de fallo de un elemento λ,
multiplicada por la probabilidad de que se produzca un segundo fallo durante el tiempo
improductivo, el tiempo improductivo medio del primer fallo, λ.MDT.
Por tanto:
λ2 = λ.( λ.MDT)
No obstante, existen 12 permutaciones (el orden es importante) de dos fallos en un

sistema 3oo4: A.B, A.C, A.D, B.C, B.D, C.D, B.A, C.A, D.A, C.B, D.B y deben tenerse en cuenta
todas ellas. La tasa de fallo del sistema se convierte, por lo tanto, en aproximadamente:
λSYS = 12.λ2.MDT
Para ser exactos, debemos incluir todas las permutaciones de 3 y 4 fallos concurrentes,
así como fallos debidos a causas comunes, puesto que estos también dan como resultado
un fallo del sistema; no obstante, como aproximación de primer orden, pueden obviarse
estos términos de orden superior. En la Tabla 10 se presenta la tasa de fallo del 3oo4 y
otras configuraciones. Tenga en cuenta que se trata de aproximaciones en las que
también se obvian los términos de orden superior.
Configuración λsys
1oo1 λ
1oo2 2.λ2.MDT
2oo2 2.λ
1oo3 3.λ3.MDT2
2oo3 6.λ2.MDT
3oo3 3.λ
1oo4 λ4.MDT3
2oo4 12.λ3.MDT2
3oo4 12.λ2.MDT
4oo4 4.λ
Tabla 10: Tasa de fallos del sistema
Tenga en cuenta que la contribución de fallos por causas comunes se trata

posteriormente [12.17].
100
12.11. Modelado de tasas de fallos peligrosos detectados y no detectados (λDD) y

(λDU)
Al sustituir λDD y λDU, por λ en la Tabla 10, y al utilizar el tiempo improductivo medio (MDT)
o el Tp/2 (según resulte adecuado) puede derivarse la tasa de fallo del sistema a causa de
fallos peligrosos detectados o no detectados Tabla 11.
Configuración Detectado No detectado
λsys λsys
1oo1 λDD λDU
1oo2 2.λDD2.MDT λDU2.TP
2oo2 2.λDD 2.λDU
1oo3 3.λDD3.MDT2 λDU3.TP2
2oo3 6.λDD2.MDT 3.λDU2.TP
3oo3 3.λDD 3.λDU
1oo4 λDD4.MDT3 λDU4.TP3
2oo4 12.λDD3.MDT2 4.λDU3.TP2
3oo4 12.λDD2.MDT 6.λDU2.TP
4oo4 4.λDD 4.λDU
Tabla 11: Tasa de fallos peligrosos del sistema
12.12. Modelado de la tasa de disparos erróneos del sistema (λSTR)
Puesto que se presupone que todas las tasas de fallos seguros, por lo general, se detectan,
en una configuración redundante los canales que hayan fallado se repararán siempre y
cuando el sistema no se dispare. Por lo tanto, es aplicable el enfoque adoptado para fallos
peligrosos detectados, excepto en que el número de fallos necesarios para un disparo
erróneo puede diferir del necesario para un fallo peligroso.
Por lo general, en los disparos erróneos se incluyen únicamente las tasas de fallos seguros
pero, en función del comportamiento del sistema al detectar un fallo, pueden incluirse los
fallos peligrosos detectados, de modo que la tasa de disparos erróneos es la suma de los
dos.
En la Tabla 12 se resumen las tasas de disparos erróneos del sistema en el caso de fallos
seguros.
101
Configuración Erróneo
λstr
1oo1 λS
1oo2 2.λS
2oo2 2.λS2.MDT
1oo3 3.λS
2
2oo3 6.λS .MDT
3oo3 3.λS3.MDT2
1oo4 4.λS
2
2oo4 12.λS .MDT
3oo4 12.λS3.MDT2
4oo4 λS4.MDT3
Tabla 12: Tasas de disparos erróneos del sistema
12.13. Modelado de disponibilidad de sistemas de seguridad en el modo a demanda

En el caso de un sistema de seguridad, la disponibilidad debida a fallos peligrosos
detectados, ADD se calcula:
ADD = 1/(1 + .λDD(SYS).MDT)
donde λDD(SYS) es la tasa de fallo del sistema como resultado de los fallos peligrosos
detectados [12.11].
En el caso de fallos peligrosos no detectados, la ADU se calcula:
ADU = 1/(1 + .λDU(SYS).TP/2)
donde λDU(SYS) es la tasa de fallo del sistema como resultado de los fallos peligrosos no
detectados [12.11].
En el caso de fallos seguros, AS se calcula:
AS = 1/(1 + .λS(SYS).MDT)
donde λS(SYS) es la tasa de fallo del sistema como resultado de fallos erróneos (seguros)
[12.12].
102
La disponibilidad del sistema es, por lo tanto, producto de las disponibilidades debidas a
fallos peligrosos detectados, fallos peligrosos no detectados y fallos seguros:
ASYS = ADD . ADU . AS
Este método puede utilizarse para modelar sistemas seriales (simplex) y también sistemas
redundantes.
12.14. Modelado de disponibilidad de sistemas de seguridad en modo continuo
Cuando se aplica el método a sistemas de seguridad en modo continuo, el analista
debe comprender la naturaleza de las demandas a la que está sometida la función de
seguridad. Ciertas funciones de seguridad en modo continuo funcionan a demanda
(igual que una función de seguridad en modo a demanda), pero se clasifican como en
modo continuo debido a la frecuencia de la demanda (por ejemplo, superior a una vez
al año). En este caso, la disponibilidad puede calcularse al igual que para una función de
seguridad en modo a demanda, excepto que el intervalo de prueba de calidad TP debe
sustituirse por el intervalo de demanda TD. Los fallos peligrosos no detectados no se
descubren sino hasta que la función de seguridad se somete a una demanda.
Cuando la función de seguridad en modo continuo proporciona control continuo de forma
eficaz, la disponibilidad puede calcularse como si se tratase de un sistema de control [12.15].
12.15. Modelado de disponibilidad de sistemas de control
Cuando se trata de modelar la disponibilidad de los sistemas de control, nos preocupan
los fallos que afectan el proceso y debemos decidir si un fallo afecta al proceso hasta tal
punto que el sistema de control se encuentra efectivamente no disponible.
La detección de un fallo se lleva a cabo ya sea mediante diagnóstico y alarmas de fallo,
en cuyo caso se precisa una reparación y el sistema no está disponible sino hasta que se
restaure, o mediante síntomas, en cuyo caso el proceso bajo control funciona fuera de los
límites de los puntos de ajuste.
Los fallos que no se detectan no tienen como consecuencia inmediata que el sistema
de control se encuentre no disponible. Con el tiempo, el fallo no detectado puede tener
como consecuencia la desviación de los límites específicos para los parámetros de
proceso y, en dicho punto, se descubre y se traduce en una falta de disponibilidad.
La disponibilidad de los sistemas de control puede, por lo tanto, modelarse teniendo en
cuenta que la tasa de fallo total del sistema ASYS viene dada por:
ASYS = 1/(1 + λSYS.MDT)
donde λSYS es la tasa de fallo total del sistema como resultado de todos los fallos
[Tabla 10].
103
12.16. Probabilidad de fallo peligroso/hora (PFH) y probabilidad de fallo a demanda

(PFD)
En la Tabla 13 se presentan las fórmulas simplificadas de la probabilidad de fallo

peligroso/hora (PFH) y de la probabilidad de fallo a demanda (PFD) de configuraciones
comunes en el caso de fallos detectados, y en la Tabla 14 en el caso de fallos no
detectados.
Configuración PFH PFD
1oo1 λDD λDD.MDT
1oo2 2.λDD2.MDT 2.λDD2.MDT2
2oo2 2.λDD 2.λDD.MDT
1oo3 3.λDD3.MDT2 3.λDD3.MDT3
1oo4 4.λDD4.MDT3 λDD4.MDT4
2oo4 12.λDD3.MDT2 4.λDD3.MDT3
Tabla 13: Cálculo de PFH/PFD (fallos detectados)
104
Configuración PFH PFD
1oo1 λDU λDD.TP/2
1oo2 λDU2.TP λDD2.TP2/3
2oo2 2.λDU λDD.TP
1oo3 3
λDU .TP 2 λDD3.TP3/4
2oo3 3.λDU2.TP λDD2.TP2
3oo3 3.λDU 3.λDD.TP/2
1oo4 4
λDU .TP 3 λDD4.TP4/5
2oo4 4.λDU3.TP2 λDD3.TP3
3oo4 6.λDU2.TP 2.λDD2.TP2
4oo4 4.λDU 2.λDD.TP
Tabla 14: Cálculo de PFH/PFD (fallos no detectados)
12.17. Consideración de fallos por causas comunes (CCF)
Los fallos por causas comunes son fallos que pueden producirse por una única causa,
pero que afectan de forma simultánea a más de un canal. Pueden ser el resultado de
un fallo sistemático, por ejemplo, un error de especificación de diseño o una influencia
externa como temperatura excesiva que pudiera dar lugar a un fallo de componentes en
los dos canales redundantes. Es responsabilidad del diseñador del sistema adoptar las
medidas necesarias para minimizar la posibilidad de que se produzcan fallos por causas
comunes empleando las prácticas de diseño adecuadas.
La contribución de fallos por causas comunes en rutas redundantes en paralelo se

contabiliza mediante la inclusión de un factor β. La tasa de fallos por causas comunes que
se incluye en el cálculo es igual a β x la tasa de fallo total de una de las rutas redundantes.
El modelo del factor β- [IEC 61508-6, Anexo D] es la técnica preferida puesto que es
objetiva y proporciona facilidad de rastreo en el cálculo de β. El modelo se ha compilado
para responder a una serie de preguntas específicas que, a continuación, se han
puntuado mediante un juicio objetivo en materia de ingeniería. La puntuación máxima
de cada pregunta se ha ponderado en el modelo mediante la calibración de los resultados
de varias evaluaciones (contra datos conocidos de fallos de campo).
105
En las puntuaciones de las listas de verificación se utilizan dos columnas. La columna A

contiene las puntuaciones de aquellas características de protección contra fallos por
causas comunes que se considera que han mejorado mediante un aumento en la
frecuencia de diagnóstico (autoprueba o prueba de calidad). La columna B contiene las
puntuaciones de aquellas características que se considera que no han mejorado
mediante un aumento en la frecuencia de diagnóstico.
El modelo permite modificar la puntuación mediante la frecuencia y la cobertura de la
prueba de diagnóstico. Las puntuaciones de la columna A se multiplican por un factor C,
que se deriva de las consideraciones relacionadas con el diagnóstico. El factor β final se
calcula entonces a partir de la puntuación bruta total:
Puntuación bruta = (A * C) + B
La relación entre β y la puntuación bruta es esencialmente una función exponencial
negativa, puesto que no existen datos para justificar la divergencia respecto a la
suposición de que, a medida que β disminuye (mejora), las sucesivas mejoras resultan
cada vez más difíciles de conseguir.
Si una pregunta en particular no es aplicable al sistema que está siendo evaluado, se introduce
una puntuación de 100% o 0% en función de lo que resulte más adecuado al sistema.
Las siguientes representan restricciones típicas que deben tenerse en cuenta para calcular
la contribución de los fallos por causas comunes (CCF):
• los canales redundantes están separados físicamente;
• tecnologías diversas; por ejemplo, un canal electrónico y un canal basado en
relé;
• el sistema por escrito de trabajo en las instalaciones debe garantizar que los
fallos se investiguen;
• los procedimientos de mantenimiento por escrito deben evitar modificar el
tendido de tramos de cable;
• el acceso del personal es limitado;
• el entorno de funcionamiento está controlado y el equipo ha sido clasificado
respecto al rango medioambiental completo.
El rendimiento real durante el funcionamiento, no obstante, depende de la instalación
específica y del diseño, de las prácticas de funcionamiento y mantenimiento adoptadas pero,
siempre y cuando se adopten las buenas prácticas de ingeniería adecuadas, el modelo ofrece
un cálculo rasteable de la contribución de los fallos por causas comunes (CCF).
Al tener en cuenta los fallos por causas comunes en la fórmula de la probabilidad de fallo
a demanda (PDF) y de la probabilidad de fallo por hora (PFH) [Tabla 13 y Tabla 14], puede
utilizarse el siguiente enfoque. Las ecuaciones utilizadas son simplificaciones de
ecuaciones estándar y se derivan en [19.6].
106
Para fallos detectados:

PFD1oo1 = λDD.MDT Ref. IEC 61508-6, B.3.2.2.1
PFD1oo2 = λDD2.MDT2 + β.λDD.MDT Ref. IEC 61508-6, B.3.2.2.2
Para fallos no detectados:
PFD1oo1 = λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.1
PFD1oo2 = λDU2.TP2/3 + β.λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.2
Donde λDD es la tasa de fallos peligrosos detectados, λDU es la tasa de fallos peligrosos no
detectados y β es la contribución de los fallos por causas comunes. TP es el intervalo de
prueba de calidad y MDT es el tiempo improductivo medio.
En el apartado [19.7] se examinan las formas genéricas de estas ecuaciones de varias
configuraciones, tanto para sistemas en modo continuo como en modo a demanda.
12.18. Tasas de fallo
Al calcular la probabilidad de fallo a demanda y la fracción de fallos seguros, el análisis
utiliza la hipótesis subyacente de IEC 61508-6, Anexo B.3 según la cual las tasas de fallo
de componentes son constantes a lo largo de la vida útil del sistema.
Las tasas de fallo utilizadas en los cálculos pueden obtenerse mediante un análisis de
modos de fallos, efectos y criticidad (FMECA) y cuantificarse mediante los datos de campo
o mediante una referencia a datos publicados de fuentes industriales. Las tasas de fallo
utilizadas deben compararse con los datos disponibles de módulos de complejidad
y tecnología similares. Este enfoque asegura un enfoque conservador en términos de
modelo de fiabilidad, y aporta confianza en cuanto a que el rendimiento de fiabilidad
calculado debe conseguirse en servicio.
Las tasas de fallo y sus fuentes se tratan en 14.8.
12.19. Modelado de sistemas 1oo2, 1oo2D y secundario simultáneo
En los siguientes ejemplos se presentan diagramas de bloques de fiabilidad que modelan
algunas configuraciones de sistema habituales.
1oo2
Un sistema 1oo2 representa una arquitectura 1 de 2, en la que cualquiera de los dos
canales puede llevar a cabo la función de seguridad. Se trata de una configuración con
tolerancia a fallos en la que se puede tolerar el fallo de un canal.
Si el fallo del canal es un fallo peligroso no descubierto, no será detectado por el
diagnóstico y no se producirá una indicación de fallo. No obstante, la función de
seguridad seguirá funcionando puesto que el canal restante puede iniciar el disparo.
107
Si el fallo del canal es un fallo peligroso detectado, normalmente se produce una

indicación de fallo.
En el apartado 12.20 se muestra un ejemplo de un diagrama de bloques de fiabilidad.
1oo2D
Una arquitectura de sistema 1oo2D presenta dos canales conectados en paralelo, y

cada canal incluye circuitos de diagnóstico para detectar fallos con una cobertura de
diagnóstico elevada. Ambos canales deben acordar la ejecución de una acción de cierre
durante el funcionamiento normal del sistema. Un canal en buen estado controla el
sistema si el circuito de diagnóstico del otro lado detecta un fallo.
En términos de modelado de fiabilidad, en el caso de fallos peligrosos detectados, el

sistema 1oo2D funciona como configuración 1oo2 y la tasa de fallo del sistema y la
probabilidad de fallo a demanda pueden modelarse como 1oo2 en lo que respecta
a fallos detectados.
Un único fallo peligroso no detectado en un canal en un sistema 1oo2D evita que el

sistema funcione y, por lo tanto, la tasa de fallo del sistema y la probabilidad de fallo a
demanda deben moderarse como 2oo2 en lo que respecta a fallos no detectados. En
otras palabras, ambos canales deben funcionar.
En el apartado 12.21 se muestra un ejemplo de un diagrama de bloques de fiabilidad.
Sistema secundario simultáneo (hot standby)
Un sistema secundario simultáneo incluye dos canales conectados en paralelo, en el que

un canal se designa como maestro y controla la función de seguridad. El otro canal actúa
como secundario simultáneo, de modo que si se detecta un fallo peligroso en el canal
maestro este canal secundario asume el control de la función de seguridad.
En términos de modelado de fiabilidad, en el caso de fallos peligrosos detectados el

sistema secundario simultáneo funciona como configuración 1oo2 y la tasa de fallo del
sistema y la probabilidad de fallo a demanda pueden modelarse como 1oo2 en lo que
respecta a fallos detectados.
Un único fallo peligroso no detectado en un canal de un sistema evita que el sistema

funcione y, por lo tanto, la tasa de fallo del sistema y la probabilidad de fallo a demanda
deben moderarse como 1oo1 en lo que respecta a fallos no detectados. En otras palabras,
la función de seguridad no puede tolerar un fallo no detectado del canal maestro y en
el caso de los fallos no detectados no existe redundancia. En el apartado 12.22 se muestra
un ejemplo de un diagrama de bloques de fiabilidad.
108
Entrada Salida
CNB CPU
analógica digital
Transmisor Carga Carga
de presión ventilador ventilador CCF
para un sistema 1oo2

PT-xxx FL-xxx FL-xxx
Tasa de fallos del sistema

Entrada Salida
CNB CPU
analógica digital
CCF 5%
Cant. 1 1 1 1 2 1 1
Configuración 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2
λDD (diagnósticos) 1.16E-06 0.00E+00 0.00E+00 8.19E-08 2.95E-07 2.03E-07 1.38E-07 5.25E-08
λDD*cant. 1.16E-06 0.00E+00 0.00E+00 8.19E-08 5.90E-07 2.03E-07 1.38E-07 5.25E-08
λDD para bifurcación 1.16E-06 1.01E-06 5.25E-08
MDT 24 24 24
Total λDD 1.16E-06 4.93E-11 5.25E-08
109
λDU (prueba de calidad) 3.66E-07 2.00E-07 2.00E-07 9.10E-09 3.28E-08 2.26E-08 1.54E-08 5.84E-09
λDU*cant. 3.66E-07 2.00E-07 2.00E-07 9.10E-09 6.56E-08 2.26E-08 1.54E-08 5.84E-09
λDU para bifurcación 7.66E-07 1.13E-07 5.84E-09
Periodo de prueba de calidad, T 8760 8760 8760
Total λDU 7.66E-07 1.11E-10 5.84E-09
λS (diagnósticos) 2.15E-06 3.00E-07 3.00E-07 9.10E-08 3.28E-07 2.26E-07 1.54E-07 5.84E-08

λS*cant. 0.00E+00 0.00E+00 2.63E-03 9.10E-08 6.56E-07 2.26E-07 1.54E-07 5.84E-08
λS para bifurcación 2.63E-03 1.13E-06 5.84E-08
MDT 24 24 24
Total λS 2.63E-03 2.25E-06 5.84E-08
Total λDD 1.21E-06

Total λDU 7.72E-07
Total λS 2.63E-03
Total λSYS 2.63E-03 /h

para un sistema 1oo2D
Entrada Salida
CNB CPU
analógica digital
Transmisor Carga Carga Entrada Salida
de presión ventilador ventilador CCF CNB CPU
analógica digital
Entrada Salida
CNB CPU
analógica digital
CCF 5%
Cant. 1 1 1 1 2 1 1 2 4 2 2
Configuración 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2 2oo2 2oo2 2oo2 2oo2
MDT 24 24 24
110
Total λDD 1.16E-06 4.93E-11 5.25E-08
λDU (prueba de calidad) 3.66E-07 2.00E-07 2.00E-07 9.10E-09 3.28E-08 2.26E-08 1.54E-08
λDU*cant. 3.66E-07 2.00E-07 2.00E-07 1.82E-08 1.31E-07 4.52E-08 3.07E-08
λDU para bifurcación 7.66E-07 2.25E-07
Periodo de prueba de calidad, T 8760 8760
Total λDU 7.66E-07 9.87E-04

λS*cant. 0.00E+00 0.00E+00 2.63E-03 9.10E-08 6.56E-07 2.26E-07 1.54E-07 5.84E-08
MDT 24 24 24
Total λS 2.63E-03 2.25E-06 5.84E-08
Total λDD 1.21E-06

Total λDU 9.88E-04
Total λS 2.63E-03

Entrada Salida
CNB CPU
analógica digital
Entrada Salida
de presión ventilador ventilador CCF CNB CPU
analógica digital
Entrada Salida
CNB CPU digital
para un sistema secundario simultáneo

analógica
Cant. 1 1 1 1 2 1 1 1 2 1 1
Configuración 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2 1oo1 1oo1 1oo1 1oo1
MDT 24 24 24
Total λDD 1.16E-06 4.93E-11 5.25E-08
111
λDU (prueba de calidad) 3.66E-07 2.00E-07 2.00E-07 9.10E-09 3.28E-08 2.26E-08 1.54E-08
λDU*cant. 3.66E-07 2.00E-07 2.00E-07 9.10E-09 6.56E-08 2.26E-08 1.54E-08
λDU para bifurcación 7.66E-07 1.13E-07
Periodo de prueba de calidad, T 8760 8760
Total λDU 7.66E-07 4.93E-04

λS*cant. 0.00E+00 0.00E+00 2.63E-03 9.10E-08 6.56E-07 2.26E-07 1.54E-07 5.84E-08
MDT 24 24 24
Total λS 2.63E-03 2.25E-06 5.84E-08
Total λDD 1.21E-06

Total λDU 4.94E-04
Total λS 2.63E-03

Entrada Salida
CNB CPU
analógica digital
sistema complex
Disponibilidad de un
de presión ventilador ventilador CCF
Entrada Salida
CNB CPU
analógica digital
CCF 5%
Cant 1 1 1 1 2 1 1
Configuración 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2
λ DD (diagnósticos) 1.16E-06 0.00E+00 0.00E+00 8.19E-08 2.95E-07 2.03E-07 1.38E-07 5.25E-08

λDD*cant 1.16E-06 0.00E+00 0.00E+00 8.19E-08 5.90E-07 2.03E-07 1.38E-07 5.25E-08
MDT 24 24 24
1.16E-06 4.93E-11 5.25E-08
112
Total λDD
λDU (prueba de calidad) 3.66E-07 2.00E-07 2.00E-07 9.10E-09 3.28E-08 2.26E-08 1.54E-08 5.84E-09
λDU*cant 3.66E-07 2.00E-07 2.00E-07 9.10E-09 6.56E-08 2.26E-08 1.54E-08 5.84E-09
λDU para bifurcación 7.66E-07 1.13E-07 5.84E-09
Periodo de prueba de calidad, T 8760 8760 8760
Total λDU 7.66E-07 1.11E-10 5.84E-09

λS*cant 0.00E+00 0.00E+00 2.63E-03 9.10E-08 6.56E-07 2.26E-07 1.54E-07 5.84E-08
MDT 24 24 24
Total λS 2.63E-03 2.25E-06 5.84E-08
Total λDD = 1.21E-06 Av (DD) = 0.99997

Total λDU = 7.72E-07 Av (DU) = 0.99328
Total λS = 2.63E-03 Av (S) = 0.94062
Total λSYS = 2.63E-03 /h

Disponibilidad = 0.9343
12.24. Ejemplo de hoja de datos
Los datos de la tasa de fallo utilizados en los diagramas de bloques de fiabilidad anteriores
deben estar visibles en el informe y demostrar facilidad de rastreo a la fuente. La fuente,
cuando se refiera a datos publicados, debe presentarse de forma suficientemente detallada,
de modo que terceros puedan comprobar independientemente los datos utilizados. Este
grado de detalle puede incluir identificación de documentos, número ISBN (si es aplicable) y
número de página y de elemento.
En la Tabla 15 se muestra una tabla de datos típica de los diagramas de bloques de

fiabilidad del ejemplo anterior.
Descripción Núm. de λTotal λD λDD λDU λS Comentarios/fuente

pieza
Transmisor PT-xxx 3.68E-06 1.53E-06 1.16E-06 3.66E-07 2.15E-06 Manufacturers PT-xxx

de presión Functional Safety
PT-xxx Manual, M-xxx-xxx,
Month-20xx
Carga FL-xxx 5.00E-07 2.00E-07 0.00E+00 2.00E-07 3.00E-07 FARADIP-THREE V6.4,
ventilador Reliability Data Base.
FL-xxx Technis, 26 Orchard
transfor- Drive, Tonbridge,
mador de Kent TN10 4LG,
corriente ISBN 0-951-65623-6.
Módulo 1756- 1.82E-07 9.10E-08 8.19E-08 9.10E-09 9.10E-08 Allen-Bradley –

comunic. CNB documento ’Using
ControlNet ControlLogix in SIL2
CNB Applications’
Módulo de 1756- 6.56E-07 3.28E-07 2.95E-07 3.28E-08 3.28E-07 Allen-Bradley –
entrada AI16 documento ’Using
analógica ControlLogix in SIL2
Applications’
ControlLogix 1756- 4.52E-07 2.26E-07 2.03E-07 2.26E-08 2.26E-07 Allen-Bradley –
CPU L63 documento ‘Using
ControlLogix in SIL2
Applications’
Módulo de 1756- 3.07E-07 1.54E-07 1.38E-07 1.54E-08 1.54E-07 Allen-Bradley –
salida digital OB32 documento ’Using
ControlLogix in SIL2
Applications’
Tabla 14: Cálculo de probabilidad de fallo por hora (PFH)/probabilidad de fallo a demanda
(PFD) (fallos no detectados)
113
12.25. Modelado de sistemas de fuego y gas (F y G)

En el modelado de sistemas F y G, es importante ofrecer una cierta orientación respecto
a la tolerancia a fallos. El modelado de sistemas ESD o similares sigue por lo general la
misma configuración utilizada por la votación del dispositivo de resolución lógica. Por
ejemplo, la fiabilidad de transmisores de presión en los que un sistema de cierre de
emergencia (ESD) vota por uno de dos (1oo2) en condiciones de alta presión, se modela
como 1oo2. Este mismo principio no siempre es aplicable a los sistemas F y G.
En general, puede llevarse a cabo un análisis conservador sin confiar en la cobertura del
detector y en la redundancia en la configuración de la alarma, pero en la práctica puede dar
como resultado un análisis pesimista e imposibilidad de cumplir los objetivos. Cuando surgen
dificultades de este tipo, un conocimiento detallado de los peligros permite desarrollar un
modelo más dirigido y, en consecuencia, realizar un análisis más realista de fiabilidad.
Los sistemas F y G no solo protegen a las personas, sino que también pueden utilizarse
para proteger un activo contra un riesgo comercial o unas instalaciones frente a un riesgo
medioambiental; la acción ejecutiva requerida por las funciones instrumentadas de
seguridad al proporcionar esta protección determina el modelo de fiabilidad adecuado
que debe utilizarse.
Al modelar las funciones instrumentadas de seguridad de un sistema de F y G para
determinar la conformidad frente a los objetivos de fiabilidad del hardware, por ejemplo
la probabilidad de fallo a demanda, deben adoptarse decisiones para determinar
exactamente qué configuración del hardware debe modelarse.
Como ejemplo, en los datos C y E de una función instrumentada de seguridad para un
sistema de F y G se especifica, por lo general:
a) cualquier detector de gas de seis (1oo6) en el estado de la alarma se
denomina ’alarma sencilla de gas’ y activa una alarma en la sala de control;
b) cualquiera dos detectores de gas de seis (2oo6) en el estado de la alarma se
denomina ’alarma confirmada de gas’, y activa alarmas y balizas de las
instalaciones y genera un cierre de emergencia en la planta.
No obstante, para que el modelado sea correcto, debemos entender las funciones
instrumentadas de seguridad y el peligro contra el que protege. La acción ejecutiva
requerida por las funciones instrumentadas de seguridad determina el modelo que
resulta adecuado utilizar.
12.26. Modelado de configuraciones de detectores en sistemas F y G
En la práctica, un operario investiga una señal sencilla de gas para determinar si es real o
errónea, o si se debe a un fallo de un detector. Únicamente se adopta una acción ejecutiva
como resultado del estado de ’alarma confirmada de gas’, lo que garantiza la evacuación
114
del personal de la planta por motivos de seguridad. Ésta es la función de seguridad que
ha atraído el objetivo del nivel de integridad de seguridad y, por lo tanto, el caso b)
anterior debe ser el punto de partida para el modelado de fiabilidad: una alarma
confirmada de gas garantiza la evacuación del personal por motivos de seguridad.
La configuración en la Figura 44 muestra seis detectores de gas posicionados en una
zona; la votación del dispositivo de resolución lógica 2oo6 está configurada para que
se adopte una acción ejecutiva si cualesquiera 2 sensores de los 6 detectan gas.
Zona 01 Zona con 6 detectores de gas

G G G
G G G
F&G
Acción ejecutiva al
recibir alarma de
2 detectores cualquiera de 6.
Votación lógica 2oo6
Figura 44: Configuración de sistema de F y G
No obstante, el modelado de las funciones instrumentadas de seguridad frente a los

objetivos de la probabilidad de fallo a demanda consiste en calcular la probabilidad de no
reaccionar al gas cuando se precise. La liberación de gas suficientemente grande como
para ser peligrosa puede encontrarse dentro de la cobertura de, digamos, la mitad de los
6 detectores (Figura 45).
Zona 01 Zona con 6 detectores de gas

G G G
Gas
G G G
F&G
Acción ejecutiva al
recibir alarma de
2 detectores cualquiera de 6.
Votación lógica 2oo6
Figura 45: Cobertura de sistema de F y G
115
En la práctica, es probable que se requiera iniciar una acción ejecutiva lo antes posible,
por ejemplo, cuando un mínimo de dos sensores se encuentren dentro de la nube de
gas. En este caso, los sensores deben modelarse como 2oo2, sin redundancia y, como
consecuencia, no podrían tolerarse fallos en ellos. Si se consiguen los objetivos con una
configuración no redundante, este caso representaría entonces un enfoque conservador,
ya que no confía en la justificación de ningún supuesto de la cobertura de los detectores.
En realidad, la probabilidad de fallo a demanda del subsistema del sensor probablemente

es mejor que la calculada para una configuración no redundante, ya que probablemente
existe superposición en la cobertura de los sensores debido a su ubicación y podría
tolerarse el fallo de uno de los sensores.
En términos de modelado de fiabilidad, el analista debe juzgar, por lo tanto, la magnitud

máxima de liberación de gas (el tamaño de la nube) que podría tolerarse antes de que sea
necesario adoptar una acción ejecutiva, y debe calcular cuántos sensores quedarían
dentro de la nube en ese momento.
En este ejemplo, si se puede permitir que la nube de gas sea suficientemente grande
como para cubrir 3 sensores antes de adoptar la acción ejecutiva, con la votación lógica
de cualesquiera 2 de 6 se podría tolerar el fallo de un sensor. En otras palabras, la
fiabilidad de detección de gas podría modelarse como 2 de 3.
12.27. Efecto de modelado incorrecto en la probabilidad de fallo a demanda (PFD)
En el ejemplo anterior, puesto que la votación lógica de los detectores de gas es 2oo6,
algunos analistas sucumben a la tentación de modelar la fiabilidad del sistema como
2oo6 en lugar de como 2oo3, o incluso 2oo2. Obviamente, la discrepancia resultante en
la probabilidad de fallo a demanda general de la función de seguridad y su rendimiento
frente a los objetivos de nivel de integridad de seguridad entre configuraciones
redundantes y no redundantes puede ser significativa.
Dando por supuesto que puede declararse de forma razonable cierta tolerancia a fallos,
por ejemplo, mediante el modelado 2oo3 o 2oo4, entonces las diferencias resultantes en
la probabilidad de fallo a demanda general de la función de seguridad y su rendimiento
frente a los objetivos de nivel de integridad de seguridad serán menores. La probabilidad
de fallo a demanda en configuraciones redundantes está limitada por los fallos por
causas comunes, por lo que las mejoras en la probabilidad de fallo a demanda no son
significativas cuando la tolerancia a fallos de hardware (HFT) aumenta por encima de 1.
No obstante, si la tolerancia a fallos no puede garantizarse ya sea debido a la ubicación

de los detectores o al tamaño de la nube de gas que puede tolerarse cuando se requiere
acción ejecutiva, la discrepancia resultante entre configuraciones redundantes y no
redundantes puede ser significativa (Figura 46).
116
Nota: La probabilidad de fallo a demanda se calcula para las tasas de fallo y para los
tiempos de reparación típicos de los sensores y se da por supuesta una contribución de
causas comunes en las configuraciones redundantes. Una tolerancia a fallos de cero en
este ejemplo representa una configuración 2oo2, mientras que una tolerancia a fallos de
1 representa 2oo3, de 2 representa 2oo4, y así sucesivamente.
Los resultados demuestran que, en función de la arquitectura, o de la tolerancia a fallos
de hardware (HFT) seleccionada para el modelado, la probabilidad de fallo a demanda
calculada podría encontrarse en la banda SIL1, SIL2 o SIL3.
PFD del sistema F y G

1.00E+00
1.00E-01
2oo2 SIL1
PFD
1.00E-02
SIL2
2oo3
2oo4 2oo5 2oo6

1.00E-03
SIL3
1.00E-04
0 1 2 3 4
Tolerancia a fallos del hardware (HFT)
Figura 46: Cálculo de la probabilidad de
fallo a demanda (PFD)del sistema de F y G
12.28. Efecto de modelado incorrecto en la arquitectura
Un modelado incorrecto tiene un efecto más significativo en el rendimiento

arquitectónico de la función de seguridad. En el caso de una fracción de fallos seguros
(SFF) determinada, el rendimiento del nivel de integridad de seguridad del subsistema
de detectores depende de su tolerancia a fallos de hardware (HFT).
Por ejemplo, en el caso de un detector tipo B con una fracción de fallos seguros
comprendida entre el 60% y el 90%, pueden declararse las siguientes capacidades
arquitectónicas de nivel de integridad de seguridad:
117
HFT Configuración SIL (arquitectura)

0 2oo2 SIL1
1 2oo3 SIL2
2 4oo4 SIL3
De nuevo, si el analista presupone una configuración 2oo6 debido a la lógica de votación,

entonces una arquitectura optimista tendría como resultado la declaración de un SIL3,
cuando realmente solo podría aplicarse un nivel de integridad de seguridad inferior.
12.29. Modelado de configuraciones de alarma en un sistema de F y G
El personal está protegido de los peligros ocasionados por fuego y gas mediante una
’alarma confirmada’. Las alarmas visibles y sonoras son lo único que se necesita para
garantizar la evacuación del personal por motivos de seguridad. Por lo tanto, en caso de
peligros de seguridad, en la configuración de salida únicamente se debe considerar la
existencia de elementos de aviso visibles y sonoros.
En el caso de sistemas F y G, la acción ejecutiva puede especificarse por lo general como

la activación de una alarma 6oo6 visual Y de una alarma 4oo4 sonora. El modelado de
estas configuraciones normalmente da lugar a problemas para obtener un resultado
mejor que un objetivo SIL1 de la probabilidad de fallo a demanda, debido al número de
dispositivos que deben incluirse. Además, dado que las alarmas y las balizas presentan
una fracción de fallos seguros muy baja, su rendimiento arquitectónico por lo general no
es suficiente para obtener un resultado mejor que un SIL1 en configuraciones simplex.
Teniendo en cuenta que una zona puede incluir equipos ruidosos que pueden interferir
con una baliza o evitar que se escuche una alarma sonora, una buena práctica consistiría
en posicionar las alarmas de modo que el personal que se encuentre en la zona
peligrosa pueda ver o escuchar siempre más de un elemento de aviso al mismo tiempo.
Si puede verificarse este supuesto, el analista podría aprovechar esta tolerancia a fallos en
el modelado de fiabilidad de la configuración de alarmas.
Una configuración 6oo6 de elementos de aviso puede cubrir 2 o 3 zonas independientes

con quizá 2 o 3 elementos de aviso por zona. El analista debe decidir entonces, a partir de
los esquemas de configuración, qué tolerancia a fallos puede declararse para cada zona y
llevar a cabo el modelado como corresponda (Figura 47).
118
Zona 01 Zona 02
Baliza Baliza
Baliza
Baliza Baliza
Baliza
Dispositivo de
resolución
lógica F y G
Salidas 6oo6
Figura 47: Ejemplo configuración sistema de alarma
La clave está en decidir cuántas balizas pueden verse y cuántas está permitido que fallen
sin ocasionar la pérdida de la función de seguridad. En la configuración del caso práctico
se decidió que en cada zona pudieran verse siempre 2 balizas de las 3 de la zona.
En una configuración con estas características, un enfoque razonable sería modelar

cada zona 1 como 1oo2, puesto que solo es necesario ver 1 baliza. No obstante, puesto
que ambas zonas tienen que quedar protegidas, ambas deben incluirse en el modelo
(por ejemplo, 1oo2 + 1oo2).
Como ejemplo adicional, con 6 balizas en una sola zona se decidió que, en cualquier
momento, se pueden ver 4 de las 6 balizas (Figura 48). Entonces se necesitaría
que funcionara una baliza de las 4 que pueden verse, por lo que las alarmas podrían
modelarse como 1oo4.
119
Zona 01
Baliza Baliza Baliza
Baliza Baliza Baliza
Dispositivo de
resolución
lógica F y G
Salidas 6oo6
Figura 48: Ejemplo de configuración de sistema de alarma (1 zona)
12.30. Entradas de sistemas F y G a sistemas de cierre de emergencia (ESD)
Hasta ahora no se ha hecho mención al requisito, en el estado de ’alarma confirmada

de fuego/gas”, para generar un cierre de emergencia en la planta. La inclusión o no del
disparo del cierre de emergencia (ESD) como parte de las funciones instrumentadas de
seguridad del sistema de F y G depende de las consecuencias del peligro y de la
protección necesaria.
Si el peligro tiene como resultado un riesgo a la seguridad personal, puede argumentarse

que las alarmas son suficientes para garantizar la protección. Normalmente, los disparos
de sistemas F y G generan también una entrada al cierre de emergencia (ESD) pero, en
muchos casos, el objetivo es evitar la escalada del peligro y proteger el activo. El disparo
del sistema de cierre de emergencia (ESD) puede iniciarse también como una buena
práctica, permitiendo así que la puesta en marcha se realice de forma más controlada
después de la resolución del peligro. La misión del sistema de F y G es proteger contra
fuego o gas, mientras que la del sistema de cierre de emergencia (ESD) es proteger
contra otros peligros. Siempre y cuando el sistema de F y G cumpla sus objetivos en
términos de reducción de riesgos, no debería haber razón alguna, excepto lo indicado
anteriormente, para la activación del cierre de emergencia (ESD). Por lo tanto, el cierre
de emergencia (ESD) no se incluiría normalmente en las funciones instrumentadas de
seguridad del sistema de F y G.
120
No obstante, existen excepciones. Cuando el peligro acarrea daños medioambientales o

a los activos o bienes, las alarmas por sí solas no proporcionan protección y, por lo tanto,
puede ser necesario aislar la planta en cuanto a la detección de fuego o gas. En estos
casos, es necesario incluir el cierre y el aislamiento, tal y como se precise en el modelado
de fiabilidad de las funciones instrumentadas de seguridad del sistema de F y G.
12.31. Resumen
Se puede apreciar que el modelado del subsistema de entradas puede ofrecer resultados
optimistas si la configuración de votación lógica se modela en lugar de la tolerancia
a fallos de detectores. El mismo enfoque ofrece resultados muy pesimistas cuando se
modela el subsistema de salidas. Entre los dos subsistemas, el enfoque de modelado
adoptado puede dar lugar a una gran diferencia en el rendimiento arquitectónico y en la
probabilidad de fallo a demanda calculada y, por lo tanto, puede darse una gran variación
en el nivel de integridad de seguridad delcarado.
Por tanto es importante adoptar un enfoque minucioso para el modelado de los sistemas
de F y G, y comprender claramente las técnicas de modelado así como los peligros y los
sistemas analizados. Así se logra una evaluación precisa de la reducción de riesgos a cargo
de un sistema de F y G y los usuarios finales no reciben información errónea por
declaraciones optimistas.
121
13. Verificación de nivel de integridad de seguridad (SIL)

13.1. Cumplimiento de los objetivos de nivel de integridad de seguridad
Muchas personas preguntan qué deben hacer para demostrar la conformidad. No basta
con adquirir componentes con el distintivo “SIL certified” y asumir que de este modo se
consiga la conformidad predefinida; por otro lado, dado que la norma no es prescriptiva,
tampoco es posible facilitar una lista de verificación o similar de qué debe hacerse.
En realidad, el grado de implicación depende de muchas cosas. El enfoque depende
de cuánta información o datos estén disponibles, la profundidad del análisis o el rigor
aplicado que debe satisfacer a su cliente o ente regulador, pero sobre todo usted debe
estar convencido de que ha hecho lo suficiente.
Si algo va mal y alguien fallece, ¿podría dirigirse a las familias y demostrar que hizo todo
lo que se esperaba (dentro de lo razonable) por su parte?
Una propuesta de plan de cara al cumplimiento normativo sería cumplir con los requisitos
de IEC 61511-1, 10 y 12. Éstos incluyen las siguientes subcláusulas, tal y como se muestra
en la Figura 49:
• Requisitos de comportamiento del sistema al detectar un fallo [13.2];

• Tolerancia a fallos de hardware [13.3];
• Selección de componentes y de subsistemas [13.4];
• Dispositivos de campo [13.5];
• Interfaces de operario, de mantenimiento y de comunicación con el sistema
instrumentado de seguridad [13.6];
• Requisitos de diseño relativos al mantenimiento o a las pruebas [13.7];
• Probabilidad de fallo de las funciones instrumentadas de seguridad [13.8];
• Software de aplicación [13.9].
Si estas cláusulas se subdividen en requisitos más detallados, se muestan cuando

corresponde.
Cumplimiento normativo con la norma IEC 61511-1, 5: La gestión de seguridad funcional

se discute en más detalle en el apartado [18].
122
IEC 61511-1
Evaluación SIL
Requisitos para
conformidad
IEC 61511-1, 5 IEC 61511-1, 11, 12
Figura 49: Plan de conformidad

Gestión de la Diseño e ingeniería
seguridad funcional del sistema
instrumentado
de seguridad
IEC 61511-1, 11 IEC 61511-1, 12

Diseño e ingeniería Requisitos para
SIS software de
aplicación
123
IEC 61511-1, 11.2 IEC 61511-1, 11.3 IEC 61511-1, 11.4 IEC 61511-1, 11.5 IEC 61511-1, 11.6 IEC 61511-1, 11.7 IEC 61511-1, 11.8 IEC 61511-1, 11.9 IEC 61511-1, 12.4
Requisitos Requisitos para el Requisitos para Requisitos para Dispositivos de Interfaces del Requisitos de diseño Probabilidad de fallo Diseño y desarrollo
generales comportamiento del tolerancia a fallos selección de campo operador, personal relativos al SIF del software de
sistema a la hora de de hardware componentes y de mantenimiento mantenimiento o aplicación
detectar un fallo subsistemas y comunicación prueba
IEC 61511-1, 11.5.2 IEC 61511-1, 11.5.3 IEC 61511-1, 11.5.4 IEC 61511-1, 11.5.5 IEC 61511-1, 11.5.6
Requisitos para Requisitos para
Requisitos Requisitos Requisitos para
dispositivos dispositivos
generales basados en programables FPL dispositivos
programables LVL
uso anterior basados en uso basados en uso programables FVL
anterior anterior
Verificación SIL
13.2. Requisitos de comportamiento del sistema al detectar un fallo IEC 61511-1,

11.3
Debe especificarse el comportamiento del sistema al detectar un fallo. Puede detallarse,

por ejemplo, en la especificación de requisitos de seguridad o en las especificaciones de
diseño.
A continuación se muestran ejemplos típicos de los tipos de parámetros que pueden

considerarse para su inclusión:
1. Todos los bloques de salidas tienen una votación de 1oo2 en demandas de PLC
y cambian a 1oo1 al detectar la pérdida de comunicación de un PLC.
2. Las especificaciones de diseño indican que se aplica un principio de protección
en caso de fallos. Todos los elementos de cierre del sistema instrumentado de
seguridad llegan a un principio de protección en caso de fallos.
3. En el caso de un sistema de cierre de emergencia (ESD) se ha implementado
una función de desenergización a disparo.
4. En el caso del sistema de F y G, se ha implementado una energización a disparo
de agente extintor. La detección de un fallo peligroso individual en una
configuración redundante se indica mediante una condición de alarma. El
sistema de F y G continua funcionando con seguridad durante el tiempo
permitido para la reparación y se han implementado otras medidas de
reducción de riesgos adicionales tales como la disponibilidad de liberación
manual cableada de agente extintor.
13.3. Requisitos de tolerancia a fallos de hardware, IEC 61511-1, 11.4
13.3.1. Enfoque
Para abordar los requisitos relativos a la tolerancia a fallos de hardware (HFT), se

requiere una evaluación cuantitativa respecto a la fracción de fallos seguros (SFF)
y a las restricciones arquitectónicas.
13.3.2. Fracción de fallos seguros
En el contexto de la integridad de seguridad de hardware, el nivel de integridad de

seguridad más elevado que puede declararse para una función de seguridad está
limitado por la tolerancia a fallos de hardware (HFT) y por la fracción de fallos seguros
(SFF) de los subsistemas que llevan a cabo dicha función de seguridad.
Una tolerancia a fallos de hardware de 1 indica que la arquitectura del subsistema es

tal que un fallo peligroso de uno de los subsistemas no evita que ocurra la acción de
seguridad. Es decir, una configuración de 1oo2 o 2oo3 tendría una tolerancia a fallos de
124
Verificación SIL
hardware de 1 o una configuración de 1oo3 o 2oo4 tendría una tolerancia a fallos de

hardware de 2.
Con respecto a estos requisitos, IEC 61508 [19.1] proporciona la siguiente orientación
adicional:
• una tolerancia a fallos de hardware de N significa que N+1 fallos podría causar
la pérdida de la función de seguridad. Al determinar la tolerancia a fallos de
hardware, no deben contabilizarse otras medidas que pudieran controlar los
efectos de fallos tales como diagnósticos;
• cuando un fallo conlleve directamente el suceso de uno o más fallos
subsiguientes, se consideran como un solo fallo;
• al determinar la tolerancia a fallos de hardware, pueden excluirse algunos fallos,
siempre y cuando la posibilidad correspondiente de que sucedan sea muy baja
con respecto a los requisitos de integridad de seguridad del subsistema.
Cualquier exclusión de dichos fallos se debe justificar y documentar.
Se utilizan las siguientes relaciones generales.
SFF = Σ (Σ λS + Σ λDD)/(Σ λS + Σ λD) Ref. IEC 61508-2.C.1
Donde:
λD = λDU + λDD
Debe calcularse la fracción de fallos seguros (SFF) de cada elemento de la función de

seguridad. El valor debe entonces usarse en la Tabla 16 para determinar el cumplimiento
normativo de nivel de integridad de seguridad (SIL) para el nivel de tolerancia a fallos de
hardware.
13.3.3. Restricciones arquitectónicas
IEC 61511-1, 11.4.5 permite evaluar la tolerancia a fallos de hardware mediante los
requisitos de IEC 61508-2, Tablas 2 y 3.
En la norma IEC 61508 [19.1] los subsistemas se dividen en dos categorías, tipo A o tipo B.
Por regla general, si los modos de fallo están bien definidos, puede determinarse
completamente el comportamiento bajo condiciones de fallo y si a su vez hay datos de
campo adecuados y suficientes, el subsistema se considera entonces de tipo A. Si no se
cumple alguna de estas condiciones, el subsistema se considera entonces de tipo B.
Los dispositivos mecánicos simples tales como válvulas se consideran generalmente

como tipo A. Los dispositivos de resolución lógica suelen ser de tipo B dado que
125
contienen ciertas características de procesamiento y, por lo tanto, su comportamiento

bajo condiciones de fallo no puede determinarse por completo. Los sensores pueden
ser de tipo A o de tipo B de acuerdo a la tecnología y a la complejidad del dispositivo.
Las restricciones arquitectónicas para una función de seguridad están resumidas en la

Tabla 16.
Definición de subsistemas tipo A:

Modos de fallo de todas las partes constituyentes bien definidos, y comportamiento del
subsistema bajo condiciones de fallo completamente determinado y suficientes datos
dependientes de la experiencia de campo para mostrar que se cumplen las tasas de fallo
declaradas de fallos peligrosos detectados y no detectados
Fracción de fallos Tolerancia a fallos de hardware (N)
seguros 0 1 2
<60% SIL1 SIL2 SIL3
60% – <90% SIL2 SIL3 SIL4
90% – <99% SIL3 SIL4 SIL4
≥99% SIL3 SIL4 SIL4
Definición de subsistemas tipo B:
El modo de fallo de al menos un componente constituyente no está bien definido, o el
comportamiento del subsistema bajo condiciones de fallo no puede determinarse
completamente o no hay suficientes datos dependientes de la experiencia de campo para
respaldar las tasas de fallo declaradas de fallos peligrosos detectados y no detectados
seguros 0 1 2
<60% No permitido SIL1 SIL2
60% – <90% SIL1 SIL2 SIL3
90% – <99% SIL2 SIL3 SIL4
Tabla 16: Restricciones arquitectónicas
Nota: una tolerancia a fallos de hardware de N significa que N+1 fallos podrían causar la
pérdida de la función de seguridad.
13.3.4. Ejemplo
En este ejemplo, Figura 50, la función de seguridad consta de dos transmisores de nivel
que funcionan en una configuración 1oo2. Si un transmisor detecta un nivel elevado, el
PLC Allen Bradley desenergiza la válvula accionada por solenoide, lo que permite que
cierre la válvula de cierre de emergencia.
126
Verificación SIL
La evaluación del rendimiento arquitectónico requiere que primero identifiquemos qué

tipo de elemento es cada uno, A o B. Puede determinarse generalmente con ayuda de
las definiciones que figuran en la Tabla 16. Por regla general se ha de estar seguro de los
modos de fallo y del comportamiento de fallo de un elemento y tener muy buenos datos
de fallos para poder considerarlo como tipo A. De lo contrario, el elemento debe
considerarse como tipo B.
Nuestros datos de fallo de cada elemento nos permiten entonces calcular la fracción de
fallos seguros (SFF). El tipo de elemento y la fracción de fallos seguros figuran debajo de
cada elemento en la Figura 50.
La tolerancia a fallos de hardware (HFT) se refiere al nivel de tolerancia a fallos de cada

elemento. Los transmisores de nivel funcionando en una configuración 1oo2 tienen una
tolerancia a fallos de hardware de 1. Otros elementos no tienen tolerancia a fallos y por lo
tanto presentan una tolerancia a fallos de hardware de 0.
Por último, el nivel de integridad de seguridad que puede declararse para el rendimiento
arquitectónico de cada elemento puede determinarse con ayuda de esta información en
la Tabla 16.
Conmutador
nivel
CCF 5% PLC 1oo1 SOV Válvula ESD

NE
Conmutador
nivel
Tipo A B A A
SFF 0.40 0.95 0.72 0.25
HFT 1 0 0 0
SIL arquitectónico 2 2 2 1
SIL permitido (arq.) 1
SIL global permitido SIL1
Los conmutadores de nivel son de tipo A; por lo tanto, se aplican los criterios de tipo A.
Con una fracción de fallos seguros (SFF) de 0.40 y una tolerancia a fallos de 1, los
transmisores de nivel cumplen con las restricciones arquitectónicas de SIL2.
De forma similar puede evaluarse también la válvula accionada por solenoide y la válvula
de cierre de emergencia. La válvula accionada por solenoide, también de tipo A, presenta
una tolerancia a fallos de 0 y una fracción de fallos seguros (SFF) de 0.72 que da lugar a
SIL2. La válvula de cierre de emergencia, de tipo A, con una tolerancia a fallos de 0 y una
fracción de fallos seguros (SFF) de 0.25 da lugar a SIL1.
127
Definición de subsistemas tipo A:

Modos de fallo de todas las partes constituyentes bien definidos y comportamiento del
subsistema bajo condiciones de fallo completamente determinado y suficientes datos
dependientes de la experiencia de campo para mostrar que se cumplen las tasas de fallo
declaradas de fallos peligrosos detectados y no detectados
seguros (SSF) 0 1 2
<60% SIL1 (valor ESD) SIL2 (LT) SIL3
60% – <90% SIL2 (SOV) SIL3 SIL4
90% – <99% SIL3 SIL4 SIL4
Figura 51: Restricciones arquitectónicas de transmisor de nivel
El PLC se ha considerado un dispositivo de tipo B. Esto se cumple para la mayoría de los

PLC, puesto que al estar controlados por software, existe un elemento de incertidumbre
sobre su comportamiento en caso de fallo y, por lo tanto, no se cumplen todas las
condiciones requeridas para el tipo A.
La evaluación del PLC debe llevarse a cabo entonces con respecto a los requisitos de
tipo B, Figura 52.
Definición de subsistemas tipo B:

El modo de fallo de al menos un componente constituyente no está bien definido o el
comportamiento del subsistema bajo condiciones de fallo no puede determinarse
completamente o no hay suficientes datos dependientes de la experiencia de campo para
respaldar las tasas de fallo declaradas de fallos peligrosos detectados y no detectados
seguros (SSF) 0 1 2
<60% no permitido SIL1 SIL2
60% – <90% SIL1 SIL2 SIL3
90% – <99% SIL2 (PLC) SIL3 SIL4
Figura 52: Restricciones arquitectónicas de PLC
A modo de resumen, en la Figura 50 se muestra el rendimiento arquitectónico del nivel

de integridad de seguridad (SIL) de cada elemento y el SIL que puede declararse para la
función de seguridad total es SIL1. El rendimiento arquitectónico del SIL de la función de
seguridad total está limitado por el SIL más bajo declarado.
128
Verificación SIL
13.4. Requisitos de selección de componentes y subsistemas, IEC 61511-1, 11.5
13.4.1. Enfoque
En el caso de aplicaciones del sector de procesos, la selección de componentes y de

subsistemas puede basarse en una evaluación de idoneidad. Los objetivos son especificar
los requisitos:
• para la selección de componentes y de subsistemas;

• permitir que un componente o un subsistema se integre en la arquitectura de
una función instrumentada de seguridad;
• especificar los criterios de aceptación para los componentes y los subsistemas.
13.4.2. Requisitos generales, IEC 61511-1, 11.5.2
Este procedimiento no debe utilizarse para aplicaciones SIL4, sino que para el resto de
componentes y de subsistemas debe aplicarse lo siguiente.
La demostración de idoneidad debe incluir una evaluación de nivel de integridad

de seguridad basada en el cálculo de la probabilidad de fallo a demanda y de las
restricciones arquitectónicas respecto a los objetivos.
La demostración de idoneidad también debe tener en cuenta el hardware del

fabricante y la documentación de software incorporada. En práctica, la documentación
que acompañe a los componentes y a los subsistemas seleccionados será en forma de
especificaciones técnicas que cubran el rendimiento funcional y medioambiental. La
especificación de diseño funcional debe por lo tanto incluir un enunciado que justifique
la idoneidad de los componentes y de los subsistemas seleccionados de acuerdo a la
documentación de especificaciones disponible del fabricante respecto a los requisitos
funcionales.
Los componentes y los subsistemas deben ser consistentes con la especificación de

requisitos de seguridad. En la práctica, los componentes y los subsistemas se seleccionan
sobre la base de su capacidad para cumplir los requisitos de seguridad. La demostración
de conformidad se lleva a cabo por evaluación y siguen aplicándose los requisitos para las
restricciones arquitectónicas y la probabilidad de fallo a demanda.
13.4.3. Uso previo, IEC 61511-1, 11.5.3
En primer lugar, la selección del componente debe llevarse a cabo sobre la base de la
especificación de suministro procedente de proveedores autorizados.
129
La evaluación del proveedor debe incluir los sistemas de gestión de calidad del fabricante
y de gestión de configuración, y deben formar parte de la evidencia de la idoneidad
presentada en la especificación de diseño funcional (FDS).
En todos los componentes y los subsistemas seleccionados, la especificación de diseño

funcional también debe hacer referencia a una prueba de uso acumulado. La prueba
puede basarse en:
• horas acumuladas del dispositivo para SIL1 y dispositivos de campo;

• horas acumuladas del dispositivo con la identificación de los fallos peligrosos
para SIL2 y elementos complejos.
Para aplicaciones de resolución lógica SIL3 se requiere una certificación.
El uso acumulado requerido para un componente o un subsistema depende de la tasa de

fallo objetivo y de si se han notificado fallos. La Figura 53 solamente se facilita a modo de
guía y muestra el número requerido de años acumulados de los dispositivos (número de
dispositivos x años en uso) para varios valores de la tasa de fallo específica.
1000000
0 fallos
X 1 fallo
5 fallos
10000
10 fallos
X 15 fallos
Años de dispositivo requeridos
1000
X
100
X
10
1
1.00E-07 1.00E-06 1.00E-05 1.00E-04
Tasa de fallos específica (/h)
Figura 53: Guía del uso requerido
130
Verificación SIL
Por ejemplo, si la tasa de fallo específica es 1,00E-06/h y se han notificado cero fallos,
entonces a partir de la Figura 53 deben demostrarse aprox. 137 años-dispositivo, que se
pueden lograr con 14 dispositivos funcionando sin fallo durante 10 años. Si se notifican
fallos en la población en el campo, entonces la tasa actual de fallo de dispositivos será
mayor y, consecuentemente, se requerirán más horas de funcionamiento exentas de
fallos para demostrar la misma tasa de fallos objetivo.
La figura se basa en una distribución Χ2- a un límite de confianza del 70%, y debe
utilizarse solamente como guía y para obtener una indicación de cuándo se ha
acumulado un número suficiente de años-dispositivo.
IEC 61511 también requiere supervisión documentada de los datos de devolución y

un proceso de modificación a cargo del fabricante que evalúa el impacto de los fallos
notificados.
En la práctica, la información relativa a fallos raramente está disponible y la selección

puede, por lo tanto, incluir una evaluación de los componentes y de los subsistemas para
asegurarse de que su rendimiento será el requerido. Esta evaluación puede requerir
discusiones con otros usuarios o con fabricantes o usuarios de dispositivos o aplicaciones
similares. Esta evidencia justificativa debe documentarse en la especificación de diseño
funcional (FDS) como parte de la idoneidad de los componentes y de los subsistemas.
13.4.4. Dispositivos programables en lenguaje de programa fijo (FPL), IEC 61511-1, 11.5.4
Si van a usarse componentes y subsistemas programables en lenguaje de programa fijo

(FPL), (por ejemplo, dispositivos de campo), deben cumplirse para las aplicaciones SIL1 y
SIL2 todos los requisitos generales [13.4.2], los requisitos para uso previo [13.4.3] y los
siguientes requisitos para componentes y subsistemas programables FPL.
Además, en cada componente seleccionado, la especificación de diseño funcional (FDS)

debe justificar la selección de los componentes FPL haciendo constar que el componente
cumple con los requisitos especificados en cuanto a funcionalidad; para ello debe incluir:
a) características de señales de entrada y de salida;

b) modos de uso;
c) funciones y configuraciones utilizadas;
d) las características no utilizadas raramente pueden repercutir en las funciones
de seguridad.
En el caso de las aplicaciones SIL3 se requiere una evaluación formal.
Un enfoque alternativo que adoptan algunos integradores de sistemas es facilitar un

dispositivo de lenguaje de programa fijo (FPL) compatible con SIL3. Estos dispositivos ya
131
deberían haber sido sometidos a una evaluación formal a cargo de una organización
apropiada y debe facilitarse una certificación SIL3 junto con una prueba documental
justificativa.
La prueba debe demostrar que el dispositivo es capaz de llevar a cabo la función

requerida y de que existe una probabilidad suficientemente mínima de fallo peligroso
como resultado de fallos de hardware aleatorios, o fallos de software o de hardware
sistemáticos. También debe haber disponible un manual de seguridad para el dispositivo
que detalle las restricciones de funcionamiento y de mantenimiento.
13.4.5. Dispositivos programables de lenguaje de variabilidad limitada (LVL), IEC 61511-1,

11.5.5
Si van a usarse componentes y subsistemas programables de lenguaje de variabilidad

limitada (LVL), (por ejemplo, dispositivos de resolución lógica), deben cumplirse para las
aplicaciones SIL1 y SIL2 todos los requisitos generales [13.4.2], los requisitos para uso
previo [13.4.3], los requisitos para dispositivos programables de lenguaje de programa fijo
(FPL) [13.4.4] y los siguientes requisitos para componentes y subsistemas programables
de lenguaje de variabilidad limitada (LVL).
La documentación debe incluir una justificación de que cuando exista una diferencia
entre el perfil operacional y el entorno físico como se ha experimentado previamente
y el perfil operacional y el entorno físico cuando se usa en la función de seguridad, la
especificación de diseño funcional (FDS) debe identificar estas diferencias y justificar
que la probabilidad de fallo a demanda (PFD) no se vea afectada adversamente.
En el caso de aplicaciones SIL1 o 2, un dispositivo de resolución lógica electrónico

programable (PE) configurado con fines de seguridad (que se trata de un dispositivo de
resolución lógica PE de grado industrial para uso general, configurado específicamente
para su uso en aplicaciones de seguridad) puede utilizarse siempre y cuando su uso esté
justificado en la documentación.
La documentación de especificación disponible del fabricante debe mostrar que la

información apropiada relativa al hardware y al software está disponible para asegurarse
de que el comportamiento de fallos se haya entendido. Esto debe confirmarse en la
especificación de diseño funcional (FDS) mediante el listado de todos los modos de fallo
peligrosos y mediante la identificación, cuando resulte necesario, de medidas de
diagnóstico y acciones de protección. La especificación de diseño funcional también debe
identificar los medios de protección empleados frente a una modificación no autorizada o
involuntaria.
132
Verificación SIL
En el caso de las aplicaciones de resolución lógica SIL2, la especificación de diseño

funcional debe confirmar la técnica de protección empleada frente a los siguientes
fallos durante la ejecución del programa:
a) monitorización de la secuencia del programa;

b) protección del código frente a las modificaciones o detección de fallos con
monitorización en línea;
c) afirmación de fallo o programación diversa;
d) comprobación de rango de variables o comprobación de plausibilidad de
valores;
e) enfoque modular;
f ) se han utilizado estándares de codificación apropiados para el software
incorporado.
Además, debe demostrarse lo siguiente:
g) se ha probado en configuraciones típicas, con casos de prueba representativos

de los perfiles de operación previstos;
h) se han usado módulos y componentes de software verificados y fiables;
i) el sistema ha sido sometido a un análisis y prueba de tipo dinámico;
j) el sistema no utiliza inteligencia artificial ni reconfiguración dinámica;
k) se ha llevado a cabo una prueba documentada de inserción de fallos.
En el caso de aplicaciones SIL2, la especificación de diseño funcional debe identificar

restricciones para el funcionamiento, el mantenimiento y la detección de fallos que cubra
las configuraciones del dispositivo de resolución lógica electrónico programable (PE) y los
perfiles de funcionamiento previstos.
En el caso de aplicaciones SIL3, la documentación debe presentar homologación SIL para

todos los dispositivos de resolución lógica LVL.
13.4.6. Dispositivos de programación en lenguaje de variabilidad completa (FVL),

IEC 61511-1, 11.5.6
La documentación debe presentar homologación SIL para todos los dispositivos de

resolución lógica de lenguaje de variabilidad completa (FVL).
13.5. Dispositivos de campo, IEC 61511-1, 11.6
Para seleccionar los dispositivos de campo, deben cumplirse todos los requisitos
generales [13.4.2], los requisitos para uso previo [13.4.3] y los siguientes requisitos para
dispositivos de campo. Si procede, también deben cumplirse los requisitos para los
dispositivos programables en lenguaje de programa fijo (FPL).
133
Los dispositivos de campo se deben seleccionar e instalar para minimizar fallos que pudieran
dar lugar a datos imprecisos debido a condiciones derivadas del proceso y de las condiciones
medioambientales. Las condiciones que deben considerarse incluyen la corrosión,
la congelación de materiales en tuberías, sólidos en suspensión, polimerización, cocción,
temperatura y presión extremos, condensación en líneas de impulso de tramo seco y
condensación insuficiente en líneas de impulso de tramo húmedo.
En el caso de los dispositivos de campo, la documentación de especificación debe

mostrar que el componente cumple con los requisitos específicos en términos de
funcionalidad para todos los procesos y todas las condiciones medioambientales y la
especificación de diseño funcional debe confirmar esto en tal caso. La especificación de
diseño funcional también debe confirmar que todos los circuitos de entrada/salida
discretos de energización a disparo deben aplicar un método para garantizar la integridad
del circuito y de la fuente de alimentación eléctrica, p. ej., un monitorización de línea.
Los sensores inteligentes deben contar con protección frente a escritura para evitar la
modificación inadvertida desde una ubicación remota, a menos que una revisión de
seguridad apropiada permita el uso de lectura/escritura.
13.6. Interfaces del operario, encargado de mantenimiento y comunicación,

IEC 61511-1, 11.7
En todas las interfaces de comunicación deben cumplirse los siguientes requisitos.
El diseño de la interfaz de comunicación del sistema instrumentado de seguridad debe

garantizar que cualquier fallo de la interfaz de comunicación no afecte de forma negativa
la capacidad del sistema instrumentado de seguridad de llevar el proceso a un estado de
seguridad. Esto debe confirmarse en la documentación de diseño.
La documentación también debe confirmar:
a) la tasa de error pronosticada de la red de comunicación;

b) que la comunicación con el sistema básico de control de proceso (BPCS) y los
periféricos no tenga impacto sobre las funciones instrumentadas de seguridad
(SIF);
c) que la interfaz de comunicación sea lo suficientemente robusta para resistir las
interferencias electromagnéticas, incluidas las sobretensiones eléctricas sin
causar un fallo peligroso de las funciones instrumentadas de seguridad (SIF);
d) la interfaz de comunicación sea adecuada para la comunicación entre los
dispositivos referenciados a distintos potenciales eléctricos de conexión a
tierra. NOTA: puede requerirse un medio alternativo (por ejemplo, fibras
ópticas).
134
Verificación SIL
13.7. Requisitos de diseño relativos al mantenimiento o a pruebas, IEC 61511-1, 11.8
El diseño del sistema instrumentado de seguridad debe ser tal que la prueba pueda
llevarse a cabo de forma integral o por partes. Debe tener en cuenta lo siguiente según
proceda:
• Prueba de calidad en línea. El diseño de prueba debe asegurar que los fallos no
detectados puedan descubrirse de forma adecuada;
• Instalaciones de prueba y omisión. El operario debe ser alertado en caso de que
una parte del sistema instrumentado de seguridad (SIS) se haya omitido con
fines de mantenimiento o prueba;
• No debe permitirse un forzado de entradas y de salidas sin establecer el
sistema instrumentado de seguridad fuera de línea a menos que existan
procedimientos y medidas de seguridad adecuadas. En cuanto a la función
de bypass, debe informarse al operario si se fuerza alguna entrada/salida.
13.8. Probabilidad de fallo de funciones instrumentadas de seguridad (SIF),

IEC 61511-1, 11.9
Ver apartado [14].
13.9. Requisitos para el software de aplicación, IEC 61511-1, 12
IEC 61511-1, 12 lista los requisitos que se aplican a cualquier software que forme parte de
un sistema instrumentado de seguridad o que se utilice para desarrollar uno. El requisito
define los requisitos del ciclo de vida de seguridad del software de aplicación para
garantizar que:
• todas las actividades requeridas para desarrollar el software de aplicación estén

definidas;
• las herramientas de software que se utilizan para desarrollar y verificar el
software de aplicación, es decir, el software de utilidad esté totalmente
definido;
• se ha adoptado un plan para cumplir con los objetivos de seguridad funcional.
El requisito general es definir las fases aplicables del ciclo de vida de seguridad del
software que se vaya a considerar y documentar toda la información relevante. Esto
incluye lo siguiente:
• especificación de requisitos de seguridad del software; similar a los requisitos

de hardware, debe definirse una especificación que liste todos los requisitos de
seguridad del software de manera clara y estructurada que permita al equipo
de diseño desarrollar el software de aplicación de forma correspondiente;
135
• planificación de validación de seguridad del software; debe llevarse a cabo

como parte de una planificación de validación del sistema instrumentado de
seguridad general;
• diseño y desarrollo; el software de aplicación debe desarrollarse para cumplir
los requisitos de diseño del sistema, indicados en la especificación de requisitos
de seguridad del software, en términos de funciones de seguridad y niveles de
integridad de seguridad. Deben utilizarse lenguajes, herramientas de
programación y de apoyo apropiadas, que ayuden en las tareas de verificación,
validación, evaluación y modificación. El diseño debe ser modular y
estructurado, de manera que se consiga la verificabilidad y se permita la
modificación segura. Debe llevarse a cabo una prueba de módulo de software
adecuada para verificar la funcionalidad. Nótese que la verificación debe
llevarse a cabo en cada fase del ciclo de vida de seguridad del software;
• integración; una vez probado y verificado, el software debe ser integrado al
subsistema del sistema instrumentado de seguridad (SIS) y probado con el fin
de demostrar que cumple con los requisitos en la especificación de requisitos
de seguridad cuando se ejecuta en el hardware;
• validación de seguridad del software; debe llevarse a cabo como parte de la
validación general del sistema instrumentado de seguridad (SIS) (fase 5);
• modificación; cualquier modificación de software validado debe llevarse a cabo
de manera controlada, de tal forma que se mantenga la integridad del software.
136
Probabilidad de fallo de SIF
14. Probabilidad de fallo de funciones instrumentadas de seguridad

(SIF), IEC 61511-1, 11.9
14.1. Conformidad con la norma
Hasta ahora hemos identificado que debemos establecer medidas de fiabilidad específicas
con el fin de garantizar que el riesgo general no supere el riesgo tolerable máximo.
También hemos visto que la medida de fiabilidad específica puede expresarse en niveles
de integridad de seguridad (SIL) y, para cumplir con la norma, no solo tenemos que
demostrar que la función de seguridad cumple los objetivos cuantitativos sino también
que aplicamos controles apropiados.
Cumplir con la norma requiere que las medidas de fiabilidad específicas se consigan de
forma apropiada al nivel de integridad de seguridad (SIL) aplicado.
14.2. Requisitos de fiabilidad específicos del nivel de integridad de seguridad (SIL)
La probabilidad de fallo a demanda (PFD) en cada nivel de integridad de seguridad (SIL)
depende del modo de operación relativo al uso previsto del sistema instrumentado de
seguridad (SIS) con respecto a la frecuencia de las demandas a las que se ha sometido.
Estas figuran definidas en el apartado [6.9] y pueden ser:
Modo a demanda, en el que se adopta una acción específica en respuesta a las
condiciones del proceso o a otras demandas. En caso de fallo peligroso de las funciones
instrumentadas de seguridad (SIF), únicamente se produce un peligro potencial en caso
de un fallo del proceso del sistema básico de control de proceso (BPCS);
Modo continuo, según el cual en caso de fallo peligroso de las funciones instrumentadas
de seguridad (SIF) ocurre un peligro potencial sin más fallos a menos que se adopte una
acción para evitarlo.
Sobre la base de estos criterios se pueden aplicar los objetivos apropiados que figuran en
la tabla 17.
Nivel SIL Modo a demanda Modo continuo
Probabilidad de fallo a Tasa de fallo por hora
demanda
SIL4 ≥10-5 a <10-4 ≥10-9 a <10-8
SIL3 -4
≥10 a <10 -3 ≥10-8 a <10-7
SIL2 ≥10-3 a <10-2 ≥10-7 a <10-6
SIL1 ≥10-2 a <10-1 ≥10-6 a <10-5
Tabla 17: Probabilidad de fallo a demanda (PFD) y tasas de fallo específicas de nivel de
integridad de seguridad (SIL)
137
14.3. Cálculo de probabilidad de fallo a demanda (PFD) de una función de seguridad

en modo a demanda
Al realizar cálculos de fiabilidad, asumimos que los fallos ocurren aleatoriamente en el

tiempo a una tasa constante y que cuando ocurre un fallo, el elemento objeto de fallo no
está disponible sino hasta que el fallo se haya detectado y solucionado.
Por lo que respecta al cálculo de la probabilidad de fallo a demanda (PFD), básicamente

estamos calculando la probabilidad de que el sistema instrumentado de seguridad (SIS)
no esté disponible cuando se someta a una demanda. En un sistema 1oo2 redundante,
partiendo de que hemos tenido un fallo de canal, la probabilidad de fallo a demanda
(PFD) es la probabilidad de que el segundo canal falle subsecuentemente durante el
tiempo improductivo del primero.
Se pueden utilizar las siguientes relaciones generales a la hora del cálculo de la

probabilidad de fallo a demanda (PFD). Las ecuaciones utilizadas son simplificaciones
de ecuaciones estándar y se derivan en [19.6].
En el caso de fallos detectados:
PFD1oo1 = λDD.MDT Ref. IEC 61508-6, B.3.2.2.1

PFD1oo2 = λDD2.MDT2 + β.λDD.MDT Ref. IEC 61508-6, B.3.2.2.2
En el caso de fallos no detectados:
PFD1oo1 = λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.1

PFD1oo2 = λDU2.Tp2/3 + β.λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.2
Donde λDD es la tasa de fallo peligroso detectado, λDU es la tasa de fallo peligroso no
detectado y β es la contribución del apartado de fallos por causas comunes [12.17]. TP es
el intervalo de prueba de calidad y MDT es el tiempo improductivo medio.
Las formas genéricas de estas ecuaciones para varias configuraciones, tanto para sistemas
de modo continuo como a demanda, se detallan en [12.9].
14.4. Tasas de fallo
Al calcular la probabilidad de fallo a demanda (PFD) y la fracción de fallos seguros (SFF), el

análisis utiliza la hipótesis subyacente de IEC 61508-6, Anexo B.3 según la cual las tasas de
fallo de componentes son constantes a lo largo de la vida útil del sistema.
Las tasas de fallo utilizadas en los cálculos pueden obtenerse mediante un análisis de
modos de fallos, efectos y criticidad (FMECA), cuantificarse por los datos de campo o por
138
referencia a datos publicados de fuentes de la industria. Las tasas de fallo utilizadas

deben compararse con los datos disponibles en módulos similares de complejidad y
tecnología. Este enfoque asegura un enfoque conservador en términos de modelo de
fiabilidad, y aporta confianza en cuanto a que el rendimiento de fiabilidad calculado
debe conseguirse en servicio.
Las tasas de fallo y sus fuentes se tratan en 14.8.
14.5. Modelo de fiabilidad
En este ejemplo de [6.5], el proceso y las funciones instrumentadas de seguridad (SIF)

están resaltados, Figura 54.
Función instrumentada de seguridad

Suministro
hidráulico Lógica
ESD
Válvula
Purga Transmisor
solenoide
S
PT
Proceso y BPCS
Controlador
de presión
PC
gasoducto gasoducto
Válvula Válvula

Figura 54: Función instrumentada de seguridad en modo a demanda
139
El cálculo de la probabilidad de fallo a demanda (PFD) se lleva a cabo de forma más

sencilla con la técnica de diagrama de bloques de fiabilidad (RBD). En los diagramas de
bloques de fiabilidad, los diagramas muestran los elementos o los componentes que
se requieren para que el sistema sea fiable y no representan necesariamente un diseño
físico ni conexiones. El modelo de diagrama de bloques de fiabilidad se describe en
IEC 61508-6, Anexo B, 4.2.
Se muestra el diagrama de bloques de fiabilidad para el sistema instrumentado de

seguridad (SIS) descrito, Figura 55.
Transmisor Lógica Válvula Válvula

de presión ESD solenoide cierre
λDD 2.64E-07 3.42E-06 0.00E+00 0.00E+00

MTD 48 48 48 48
Configuración – PFD 1.27E-05 1.64E-04 0.00E+00 0.00E+00
λDU 4.00E-08 1.63E-07 6.00E-07 4.64E-06

Periodo de prueba de calidad 8760 8760 8760 8760
Configuración – PFD 1.75E-04 7.14E-04 2.63E-03 2.03E-02
PFD (descubierta) 1.77E-04

PFD (no descubierta) 2.38E-02
PFD 2.40E-02
SIL permitido (PFD) SIL1
El diagrama de bloques de fiabilidad muestra el cálculo de la probabilidad de fallo a

demanda. Bajo cada elemento figuran los valores para la tasa de fallo peligroso detectado
λDD, la tasa de fallo peligroso no detectado λDU, tiempo improductivo medio (MDT), el
tiempo improductivo medio y el periodo de prueba de calidad T.
14.6. Ejemplo de evaluación de nivel de integridad de seguridad para la

modificación del bucle prepolímero en modo a demanda
A continuación se describe un ejemplo de una evaluación de la probabilidad de fallo a

demanda (PFD) de un nivel de integridad de seguridad (SIL) y del rendimiento
arquitectónico de una función instrumentada de seguridad (SIF).
Alcance
La función de cierre de emergencia (ESD), S-005 previene una reacción fuera de control en
39-R-050, y consecuentemente protege contra una pérdida de contención del reactor que
podría dar lugar a lesiones de los operarios y a su vez a daños medioambientales. La
140
función de seguridad S-005 se inicia con la detección de temperatura alta o presión alta
en el reactor, y la válvula de alivio de presión ROV0503 se abre para aliviar la presión.
Se entiende que haya dudas de que ROV0503 no ofrezca capacidad suficiente para la
descarga de presión y, por lo tanto, la acción de cierre de emergencia (ESD) de S-005 se
ha modificado para incluir la activación de una válvula de alivio adicional ROV0501.
Además, durante el programa de actualización, se han incorporado dos conmutadores

manuales (HS0900 permisivo y HS2004 de anulación) con fines de mantenimiento.
Objetivos
El cliente mantiene un gran número de sensores como parte del sistema instrumentado
de seguridad (SIS), y tiene interés en minimizar estos gastos fijos. El objetivo de este
análisis es, por lo tanto:
1. determinar qué elementos deben incluirse en un análisis de la función de

seguridad de cierre de emergencia (ESD) modificada S-005;
2. construir un diagrama de bloques de fiabilidad para determinar la
probabilidad de fallo a demanda y la arquitectura de S-005;
3. sugerir una filosofía de prueba de calidad (intervalos de prueba para sensores,
conmutadores, lógica y válvulas de alivio) que permita que se cumplan los
objetivos (Tabla 18) al tiempo que se minimiza la frecuencia de prueba del
sensor.
Nota: el cliente ha informado que los intervalos de prueba de calidad de cualquier

elemento no deben superar los 36 meses. Desde un punto de vista de ingeniería, al
cliente no le agrada que ciertas partes del sistema instrumentado de seguridad (SIS)
no se ejecuten durante períodos de tiempo prolongados.
Permisivo y anulación
Hay dos conmutadores manuales, HS2004 y HS0900, asociados a cierre de emergencia

(ESD) S-005.
Se entiende que HS0900 se usa para dirigir el catalizador al reactor y consecuentemente,

si el conmutador está en la posición equivocada o falla en un estado erróneo, el peligro
no puede ocurrir. HS2004 se usa como anulación de activación en S-005. Si HS2004 se
deja involuntariamente en la posición de anulación tras una acción de mantenimiento o
si falla en el estado de anulación, entonces la función de seguridad S-005 se deshabilita.
141
Configuración de hardware
El dispositivo de resolución lógica está basado en una configuración triple modular

redundante (TMR) con una votación de 2 de 3 (2oo3). La Figura 56 presenta un esquema
de la configuración del hardware.
Lógica (2oo3)
AI AI AI DI DI DI CPU CPU CPU DO DO DO

1oo2 1oo2 1oo2
-005S-P
Transmisor Barrera IS ROV0501
de presión
PT0500H
Transmisor
ROV0503
temperatura
PT0500H
Conmutador
manual
Conmutador
manual
Figura 56: Esquema hardware
Funciones de seguridad analizadas
La Tabla 18 presenta el nivel de integridad de seguridad (SIL) establecido y los objetivos

de la probabilidad de fallo a demanda (PFD).
Bucle Iniciador Acción Condiciones requeridas Objetivo Objetivo

ESD para mitigar el peligro de la PFD del SIL
1 Presión elevada Activa ROV0503 y 5.56E-03 SIL2
[PT0500H] o S-005 ROV0501- apertura
temperatura
elevada [TT0504HH]
Tabla 18: Funciones de seguridad para análisis
Cobertura de diagnóstico
Se ha asumido que todos los modos de fallo no detectados serán descubiertos con la
prueba de calidad, es decir, con la ejecución completa de la función del sistema
instrumentado de seguridad (SIS).
142
Tiempo improductivo medio
En este análisis debe utilizarse el tiempo improductivo medio (MDT) de 72 horas.
Periodo de prueba de calidad
Los intervalos de prueba de calidad deben seleccionarse para conseguir los objetivos a la
vez que se maximiza el intervalo de prueba de los sensores.
Consideración de fallos por causas comunes
Los fallos por causas comunes (CCF) son fallos que pueden derivarse de una causa
individual, pero que pueden afectar simultáneamente a más de un canal. Pueden ser el
resultado de un fallo sistemático, por ejemplo, un error de especificación de diseño o
una influencia externa como temperatura excesiva que pudiera dar lugar a un fallo del
componente en los dos canales redundantes.
La contribución de los fallos por causas comunes en rutas redundantes en paralelo debe
considerarse en el modelo con la incorporación de un factor β. La tasa de fallos por causas
comunes incluida en el cálculo es igual a β x la tasa de fallo total de una de las rutas
redundantes. Los factores β que deben utilizarse en el análisis están resumidos en la
Tabla 19.
Configuración Factor β Justificación

redundante
Sensores PT0500, 3% Dado que los sensores son una tecnología diferente que mide
TT0504 diferentes variables de procesos, el potencial para fallos por
causas comunes está limitado al proceso en sí mismo, al
mecanismo para fijar los sensores y al enrutado y la separación
de las conexiones de los sensores. El valor de 3% se considera
por lo tanto un valor razonablemente conservador.
Lógica TMR PLC 5% Los fallos por causas comunes en una configuración triple
modular redundante (TMR) son pequeños. No obstante, se ha
utilizado un valor de 5% para mantener un enfoque
conservador.
Tabla 19: Factores β
Componentes tipo A
Los siguientes elementos pueden considerarse como tipo A:
• Barrera de seguridad intrínseca (aislante de la fuente de alimentación eléctrica

de transmisor; PB0500);
143
• Transmisor de temperatura (TT0504);

• Conmutador manual (HS0900, HS2004);
• Válvulas de alivio de pre-polimerización.
Componentes tipo B
Los siguientes elementos se consideraron como tipo B:
• Módulos lógicos PLC;

• Transmisores de presión (PT0500).
Tasas de fallo de componentes
El análisis debe asumir tasas de fallo constantes dado que se espera eliminar los efectos
de fallos prematuros mediante procesos apropiados. Estos procesos incluyen el uso de
productos muy desarrollados de fuentes autorizadas, pruebas en fábrica antes de la
entrega, y funcionamiento ampliado y prueba funcional como parte de la instalación y
la puesta en servicio. Los datos de devolución de campo en otros proyectos similares
indican que los fallos de vida prematuros no dan lugar a un número significativo de
devoluciones y, por lo tanto, las técnicas empleadas se estiman suficientes.
También se asume que los componentes no se utilizan más allá de su vida útil, por lo que
así se garantiza que no ocurran fallos causados por el desgaste de ciertos mecanismos.
Las tasas de fallo (en fallos/hora) que pueden ser utilizados en el modelo para el cálculo
de la probabilidad de fallo a demanda (PFD), λDD y λDU están resumidos en la Tabla 20. Las
tasas de fallo se obtuvieron a partir de una combinación de fuentes.
144
Elemento Descripción λ λD λDU λDD λS SFF

ref/etiqueta
Dispositivos de entrada
PT 0500 Transmisor de presión (IS) 1.5E-06 1.4E-06 6.0E-07 7.5E-07 1.5E-07 0.60
PT 0501 Transmisor de presión (seguridad 1.5E-06 1.4E-06 6.0E-07 7.5E-07 1.5E-07 0.60
intrínseca)
PB 0500 Barrera para transmisor de presión 2.1E-07 6.3E-08 6.3E-08 0.0E+00 1.5E-07 0.70
anterior (no seguridad intrínseca)
PB 0501 Barrera para transmisor de presión 2.1E-07 6.3E-08 6.3E-08 0.0E+00 1.5E-07 0.70
anterior (no seguridad intrínseca)
FT 0041 Medidor de flujo Coriolis 2.6E-06 2.2E-06 9.0E-07 1.3E-06 4.0E-07 0.65
TT 0504 RTD de 3 conductores con 2.0E-06 1.4E-06 4.0E-07 1.0E-06 6.0E-07 0.80
transmisor montado sobre un
cabezal
HS 2004 Conmutador de anulación 2.00E-06 8.00E-07 8.00E-07 0.00E+00 1.20E-06 0.60
HS0900 Conmutador permisivo 2.00E-06 8.00E-07 8.00E-07 0.00E+00 1.20E-06 0.60
Dispositivos lógicos
CPU CPU 1.51E-06 5.16E-07 6.42E-09 5.09E-07 9.91E-07 1.00
Módulo DI Módulo DI 32pt 2.19E-08 1.09E-08 9.91E-11 1.08E-08 1.09E-08 0.99

32pt
Módulo AI Módulo AI 32pt 1.40E-08 7.00E-09 9.86E-11 6.90E-09 7.00E-09 0.99

32pt
Módulo DO Módulo DO 16pt 2.95E-08 1.47E-08 9.93E-11 1.46E-08 1.47E-08 0.99

16pt
Dispositivos de salida
39-PM-050 Estado de funcionamiento de la 3.0E-07 2.0E-07 1.95E-07 0.00E+00 1.05E-07 0.35

bomba desde el contactor y relé –
SIN contacto
ROV 0501 AOV (FO) – válvula de descarga 5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734
con SOV incluida
con SOV incluida
ROV 0404 AOV (FC) SOV incluida 9.72E-06 3.03E-06 3.03E-06 0.00E+00 6.69E-06 0.688
con SOV incluida
con SOV incluida
Tabla 20: Tasas de fallo (/h) y cálculo de fracción de fallos seguros (SFF)
145
Una posible solución
El objetivo de este análisis es:
1. determinar qué elementos deben incluirse en un análisis de la función de

seguridad de cierre de emergencia (ESD) modificada S-005;
2. construir un diagrama de bloques de fiabilidad para determinar la
probabilidad de fallo a demanda y la arquitectura de S-005;
3. sugerir una filosofía de prueba de calidad (intervalos de prueba para sensores,
conmutadores, lógica y válvulas de alivio) que permita que se cumplan los
objetivos (Tabla 18) al tiempo que se minimiza la frecuencia de prueba del
sensor.
El diagrama de bloques de fiabilidad en la Figura 57 muestra los elementos que se

requieren como parte de la función de seguridad. No es necesario incluir HS0900 en
la evaluación de la función de seguridad dado que su fallo no puede evitar el
funcionamiento de la función de seguridad. Si el conmutador HS0900 falla o se deja
en una posición incorrecta, el peligro no puede ocurrir.
HS2004 debe incluirse porque si se deja involuntariamente en la posición de anulación

tras una acción de mantenimiento o si falla en el estado de anulación, entonces la función
de seguridad S-005 estará desactivada.
El cálculo de la probabilidad de fallo a demanda (PFD) requirió la aplicación de ciertos

criterios con respecto a la determinación de los intervalos de prueba de calidad, Tp. El
requisito era maximizar el intervalo hasta 3 años y a la vez conseguir la probabilidad de
fallo a demanda (específica. Habrá muchas soluciones potenciales y en la práctica será
objeto de discusión con el cliente. La Tabla 21 muestra un posible enfoque de prueba
de calidad.
Periodo de prueba de calidad (sensores) 24 meses 17,520 horas

Periodo de prueba de calidad (conmutador manual) 6 meses 4380 horas
Periodo de prueba de calidad (lógica) 36 meses 26,280 horas
Periodo de prueba de calidad (válvulas) 3 meses 2190 horas
Tabla 21: Intervalos de prueba de calidad posibles
Estos intervalos de prueba de calidad ofrecen una probabilidad de fallo a demanda

calculada de 4.91E-03 con respecto a un objetivo de 5.56E-03, y tanto la probabilidad
de fallo a demanda como el rendimiento arquitectónico cumplen el SIL2 objetivo.
146
Módulo AI Módulo DI Módulo DO
PT 0500 PB 0500 CPU
32pt 32pt 16pt
Bifurcación A

CCF HS 2004 CPU CCF
32pt 32pt 6pt
de bloques de fiabilidad
TT 0504 32pt CPU
32t 6pt
Figura 57: Solución de diagrama

Bifurcación B
Contribución CCF 3% 5%
Cant. 1 1 1 1 1 1 1 1
Configuración 1oo2 2oo3
λDD [bifurcación A] 7.50E-07 0.00E+00 2.25E-08 0.00E+00 6.90E-09 5.09E-07 1.08E-08 1.46E-08 2.71E-08
λDD [bifurcación B] 1.00E-06 0.00E+00
λDD para bifurcación 2.25E-08 0.00E+00 5.42E-07 2.71E-08
MDT 72 72 72 72 72
Configuración PFD 3.89E-09 1.62E-06 0.00E+00 4.56E-09 1.95E-06
147
λDU [bifurcación A] 6.00E-07 6.30E-08 1.99E-08 8.00E-07 9.86E-11 6.42E-09 9.91E-11 9.93E-11 3.36E-10
λDU [bifurcación B] 4.00E-07 0.00E+00
λDU para bifurcación 1.99E-08 8.00E-07 6.72E-09 3.36E-10
Periodo de prueba de calidad, T 17,520 17,520 4380 26,280 26,280
Configuración PFD 2.71E-05 1.74E-04 1.75E-03 3.11E-08 4.41E-06
PFD (descubierta) 3.58E-06

PFD (no descubierta) 4.91E-03
PFD 4.92E-03
SIL permitido (PFD) 2
Tipo B A A B B B
SFF 0.60 0.70 0.60 >99 >99 >99
Redundancia 1 0 0 1 1 1
SIL arquitectónico 2 2 2 3 3 3
SIL permitido (arq.) 2
14.7. Trazabilidad de la tasa de fallo
Al realizar cálculos de probabilidad de fallo a demanda es crítico que todos los cálculos
sean visibles y que todos los datos utilizados se puedan rastrear con respecto a la fuente.
Microsoft Excel es una herramienta útil en este sentido, dado que cumple estos dos
requisitos y también permite desarrollar una representación gráfica del modelo de
fiabilidad, tal y como se muestra en la Figura 57.
La hoja de cálculo permite que cada celda de datos remita a una tabla de datos en la
que figuran todos los datos de tasas de fallo recogidos así como las fuentes de datos. La
Tabla 22 es un ejemplo de tabla de datos. Es importante que la referencia de fuente de
datos esté lo suficientemente detallada para que cualquiera pueda comprobar y
confirmar los valores utilizados.
Si se utiliza un formato Excel, conviene también indicar el tipo de componente además

del tiempo improductivo medio (MDT) asumido y el intervalo de prueba de calidad (Tp)
utilizado para el cálculo. Esto permite cambiar fácilmente el intervalo de prueba de
calidad y calcular automáticamente el efecto sobre la probabilidad de fallo a demanda
(PFD).
Elemento/ λ λD λDD λDU λS Tipo SFF MDT Tp Fuente

número de de
pieza datos
PT0500 1.35E- 8.18E- 7.50E- 6.80E- 5.27E- B 0.95 4380 4380 exida
06 07 07 08 07 [14.8.2]
Dispositivo 5.57E- 2.23E- 2.21E- 2.20E- 3.34E- B 1.00 168 4380 Sintef
de resolución 06 06 06 08 06 [14.8.8]
lógica SIL3
Módulo de 1.07E- 5.34E- 5.08E- 2.60E- 5.34E- B 0.98 168 4380 Sintef
entrada 06 07 07 08 07 [14.8.8]
analógica
Módulo de 5.26E- 2.63E- 2.50E- 1.30E- 2.63E- B 0.98 168 4380 Sintef
salida 07 07 07 08 07 [14.8.8]
discreta
Válvula HIPPS 5.29E- 2.12E- 0.00E+ 2.12E- 3.17E- A 0.60 730 4380 Oreda
12" 06 06 00 06 06 2002
[14.8.6]
Tabla 22: Tabla de datos típica
148
14.8. Fuentes de datos de tasa de fallo
14.8.1. Enfoque
Los datos relativos a la tasa de fallo tan solo deben obtenerse de fuentes adecuadas y esto
depende de la aplicación. A continuación figuran fuentes de datos que se han utilizado y
que resultan apropiadas para el sector de proceso.
14.8.2. Exida.com Safety Equipment Reliability Handbook, 2007, 3rd Edition Volume 1 –
Sensors, ISBN 978-0-9727234-3-5/Volume 2 – Logic Solvers and Interface Modules,
ISBN 978-0-9727234-4-2/Volume 3 – Final Elements, ISBN 978-0-9727234-5-9
14.8.3. Handbook of Reliability Data for Electronic Components used in

Telecommunications Systems, HRD-5.
14.8.4. Hydrocarbon Leak and Ignition Database Report No. 11.4/180 May 1992
14.8.5. IEEE Standard 500-1984. Guide to the Collection and Presentation of Electrical,
Electronic, Sensing Component, and Mechanical Equipment Reliability Data.
14.8.6. OREDA, The Offshore Reliability Data Handbook 4th Edition 2002
ISBN 82-14-02705-5
14.8.7. Parloc 2001: 5th Edition, The Institute of Petroleum, published by the Energy
Institute ISBN 0 85293 404 1.
14.8.8. Reliability Data for Control and Safety Systems, 2006 Edition, PDS Data Handbook,
SINTEF, ISBN 82-14-03898-7.
14.8.9. Reliability Technology, AE Green and AJ Bourne, Wiley, ISBN 0-471-32480-9.
149
15. Instalación, puesta en servicio y validación, IEC 61511-1, 14, 15

La Figura 58 muestra la fase del ciclo de vida aplicable.

2

3

otros medios
4 de riesgo
para el SIS
Verificación
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
Los objetivos de las fases definidas en IEC 61511-1, 14 y 15 son:
• instalar el sistema instrumentado de seguridad conforme a las especificaciones

y a la documentación [15.2];
• poner en servicio el sistema instrumentado de seguridad, de modo que esté
listo para la validación final del sistema [15.3];
• validar que el sistema instrumentado de seguridad, instalado y puesto en
servicio, logre los requisitos definidos en la SRS [15.4].
150
Instalación, puesta en servicio y validación
15.2. Instalación de funciones instrumentadas de seguridad (SIF)
Los requisitos de instalación deben definirse en el plan de instalación y puesta en servicio

o integrarse en el plan general del proyecto. Los procedimientos de instalación deben
definir las actividades que deben llevarse a cabo, las técnicas y las medidas que se vayan a
utilizar, las personas, departamentos u organizaciones responsables y la temporización de
las actividades de instalación.
15.3. Puesta en servicio de funciones instrumentadas de seguridad (SIF)
El sistema instrumentado de seguridad debe ponerse en servicio de conformidad con la

planificación y con los procedimientos. Deben facilitarse registros con los resultados de
las pruebas e indicando si se han cumplido los criterios de aceptación definidos durante
la fase de diseño. Los fallos deben ser objeto de investigación y registro. En caso de que
se establezca que la instalación actual no cumple con la información de diseño, debe
investigarse la divergencia y determinarse el impacto sobre la seguridad.
15.4. Validación de funciones instrumentadas de seguridad (SIF)
Los procedimientos de validación deben incluir todos los modos de operación del
proceso y del equipo asociado y deben incluir:
• puesta en marcha, funcionamiento normal, cierre;

• funcionamiento manual o automático;
• modos de mantenimiento, omisión de bypass;
• temporización;
• roles y responsabilidades;
• procedimientos de calibración.
Además, la validación del software de aplicación debe incluir:
• identificación del software de cada modo de operación;

• procedimiento de validación que se vaya a usar;
• herramientas y equipo que se vayan a usar;
• criterios de aceptación.
La validación debe garantizar que el sistema instrumentado de seguridad funcione en

todos los modos de servicio y que no se vea afectado por la interacción del sistema básico
de control de proceso (BPCS) y otros sistemas conectados. La validación de rendimiento
debe garantizar que todos los canales redundantes funcionen, así como las funciones de
omisión, las anulaciones de puesta en marcha y los sistemas de cierre manual.
151
Debe llegarse al estado definido, o seguro, en caso de pérdida de energía, p. ej., energía
eléctrica o hidráulica o aire de instrumentación. Las funciones de alarma de diagnóstico
definidas en la especificación de requisitos de seguridad deben funcionar y ofrecer un
rendimiento tal y como se especifica en variables de proceso no válidas, p. ej., entradas
fuera de rango. Después de la validación deben facilitarse registros apropiados y se deben
identificar el elemento de prueba, el equipo de prueba, los documentos de prueba y los
resultados de prueba además de cualquier discrepancia y análisis o solicitudes de cambio
que surjan al respecto.
152
Funcionamiento y mantenimiento
16. Funcionamiento y mantenimiento, IEC 61511-1, 16


2

3

otros medios
4 de riesgo
para el SIS
Verificación
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
Los objetivos de esta fase tal y como se define en IEC 61511-1, 16.1 son:
• Garantizar que el nivel de integridad de seguridad requerido de cada función

instrumentada de seguridad se mantenga durante el funcionamiento y el
mantenimiento [16.2];
• Utilizar y efectuar el mantenimiento del sistema instrumentado de seguridad,
de tal manera que se mantenga la seguridad funcional diseñada [16.3].
153
16.2. Funcionamiento y mantenimiento (F y M) de funciones instrumentadas de

seguridad (SIF)
Los requisitos para el F y M deben definirse en el plan de F y M o integrarse en el plan

general del proyecto. Los procedimientos de F y M deben definir las operaciones
rutinarias que han de llevarse a cabo para mantener la seguridad funcional del sistema
instrumentado de seguridad. Estas operaciones deben incluir requisitos para:
• pruebas de calidad;
• omitir una función instrumentada de seguridad para prueba o reparación;
• recogida rutinaria de datos: p. ej., resultados de auditorías y pruebas del
sistema instrumentado de seguridad, registros de demandas de funciones
instrumentadas de seguridad, tiempos improductivos por fallos, reparaciones
y pruebas de calidad.
Deben desarrollarse procedimientos de pruebas de calidad, de tal manera que cada

función instrumentada de seguridad se ponga a prueba a fin de sacar a la luz fallos
peligrosos que no sean detectados mediante diagnósticos [16.4].
Se requieren procedimientos de mantenimiento para el diagnóstico y la reparación de

fallos, y la revalidación del sistema tras una reparación, acciones que deben tomarse tras
discrepancias entre el comportamiento esperado y el comportamiento real, la calibración
y el mantenimiento del equipo de prueba y la generación de informes de mantenimiento.
Se requieren procedimientos de generación de informes para informar sobre fallos,

analizar fallos sistemáticos y por causas comunes, y para dar seguimiento al rendimiento
del mantenimiento.
16.3. Formación para F y M
La formación del personal de F y M se debe planificar y realizar oportunamente, de

manera que se pueda llevar a cabo el funcionamiento y el mantenimiento del sistema
instrumentado de seguridad de acuerdo con la especificación de requisitos de seguridad
(SRS). La formación debe incluir:
• peligros;
• puntos de disparo;
• acciones ejecutivas;
• funcionamiento de todos los bypasses y cualquier restricción sobre su uso;
• operaciones manuales, p. ej., puesta en marcha, cierre y cualquier restricción
relativa a su uso;
• funcionamiento de alarmas y diagnósticos disponibles.
154
Funcionamiento y mantenimiento
16.4. Pruebas de calidad
Los procedimientos de pruebas de calidad deben poner a prueba las funciones

instrumentadas de seguridad (SIF) completas, desde el elemento de detección hasta el
dispositivo final accionado. El intervalo de prueba de calidad debe ser el mismo que se
utilice en la cuantificación de la probabilidad de fallo a demanda (PFD) [14].
Se acepta probar distintos elementos de las funciones instrumentadas de seguridad (SIF)

a intervalos diferentes siempre y cuando:
• la probabilidad de fallo a demanda (PFD) calculada siga siendo aceptable;

• haya cierta superposición en la prueba para que ninguna parte de las funciones
instrumentadas de seguridad se quede sin ser sometida a prueba.
155
17. Modificación y desmantelamiento, IEC 61511-1, 17, 18

La Figura 60 muestra las fases del ciclo de vida aplicables.

2

3

otros medios
4 de riesgo
para el SIS
Verificación
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
Figura 60: Fase 7 y 8 del ciclo de vida
Los objetivos de esta fase tal y como se define en IEC 61511-1, 17.1 y 18.1 son garantizar
que:
• toda modificación relativa a cualquier función instrumentada de seguridad (SIF)

se planifique, revise y apruebe convenientemente antes de implementar el
cambio [17.2];
• la integridad de seguridad requerida se mantenga después de cualquier cambio
que se haya llevado a cabo [17.3];
• antes de proceder al desmantelamiento, se efectúe una revisión apropiada y se
consiga autorización para asegurarse de que la integridad de seguridad quede
garantizada durante el desmantelamiento [17.4].
156
Modificación y desmantelamiento
17.2. Modificación de funciones instrumentadas de seguridad (SIF)
Antes de proceder a cualquier modificación, deben existir procedimientos para la

autorización y el control de los cambios. Esto se gestiona generalmente con una nota de
solicitud de cambio (CRN), que normalmente forma parte de un sistema de gestión de
calidad (QMS).
Cualquier solicitud de cambio debe describir el cambio requerido y las razones para la
solicitud. Esto lo puede proponer el personal de F y M como resultado de incidentes
durante el funcionamiento o el mantenimiento. El proceso de aprobación habitual de
solicitudes de cambio debe englobar a distintos departamentos dentro de una
organización para determinar el impacto del cambio relativo al diseño, la base instalada
y la implementación requerida.
Una vez que una organización está involucrada en la seguridad funcional, cualquier
solicitud de cambio debe además ser revisada por una persona competente, p. ej. la
autoridad de seguridad (SA), para determinar si el cambio puede afectar la seguridad y,
en tal caso, se requiere un análisis de impacto adecuado.
17.3. Análisis de impacto
Los resultados del análisis pueden requerir una nueva inspección de las primeras partes
del ciclo de vida y, por ejemplo, puede ser necesario revisar los peligros identificados y las
evaluaciones de riesgos. Las actividades de modificación no pueden empezar sino hasta
que este proceso haya sido completado y la autoridad de seguridad haya autorizado el
cambio.
El impacto de los cambios relativos a las funciones instrumentadas de seguridad puede

afectar consecuentemente al personal de F y M, y podría ser necesaria formación
adicional.
17.4. Desmantelamiento de funciones instrumentadas de seguridad (SIF)
El desmantelamiento debe ser una actividad planificada como parte de la fase 11 del ciclo
de vida, y debe tratarse como una modificación al final de la vida del proyecto.
El comienzo de la fase de desmantelamiento se debe iniciar un análisis de impacto

para determinar el efecto del desmantelamiento en la seguridad funcional. El análisis
debe incluir la revisión de la identificación de peligros y la evaluación de riesgos, con
consideración particular de los peligros que pueden ocurrir como resultado de la
actividad de desmantelamiento.
157
18. Gestión de seguridad funcional, y evaluación y auditoría de

seguridad funcional

2

3

otros medios
4 de riesgo
para el SIS
Verificación
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
Figura 61: Fase 10 y 11 del ciclo de vida
El objetivo de esta fase, tal y como se define en IEC 61511-1, 5, es identificar las
actividades de gestión y la documentación necesarias con el fin de habilitar las fases
del ciclo de vida aplicables para que puedan ser abordadas convenientemente por
los responsables respectivos.
La norma lista requisitos generales para la gestión y la documentación para permitir que
las fases del ciclo de vida aplicables sean abordadas adecuadamente por los respectivos
responsables.
158
Gestión, evaluación y auditoría
Esto significa que la documentación de proyecto debe contener suficiente información

para cada fase del ciclo de vida general que se haya completado, para las fases
subsiguientes y para las actividades de verificación, de modo que puedan completarse
de forma efectiva.
La conformidad con la norma requiere la especificación de:
• las responsabilidades en la gestión de la seguridad funcional;

• las actividades que deben llevar a cabo los responsables.
La conformidad respecto a los requisitos puede abordarse mediante la disposición

de procedimientos que traten cada requisito en alcance, implementando dichos
procedimientos y asegurándose de que haya información adecuada disponible para
permitir que la gestión de la seguridad funcional sea efectiva.
18.2. Gestión de seguridad funcional
Los requisitos para la gestión de la seguridad funcional figuran resumidos en la Tabla 23.
La mayor parte de los requisitos pueden ya estar cubiertos en un sistema de gestión de

calidad (QMS) de la organización. Las siguientes secciones resaltan ciertas áreas que
generalmente deben ser abordadas.
Gestión de requisitos de seguridad Descripción

funcional
Requisitos generales IEC 61511-1, 5.2.1 Política y comunicaciones
Debe especificarse una política y una estrategia Debe estar implementada una política de seguridad
junto con los medios de comunicación internos funcional que debe comunicarse en toda la organización.
de la organización. Se recomienda que el contenido de la política incluya
objetivos de seguridad funcionales específicos junto con los
medios de evaluación sobre si se han logrado y el método de
comunicación dentro de la organización.
Debe estar implementado un sistema de gestión Debe estar disponible un documento de gestión de
de seguridad funcional para cerciorarse de que seguridad funcional de alto nivel que identifique todas las
el sistema instrumentado de seguridad tenga la fases del ciclo de vida del alcance. El documento de gestión
capacidad de implementar y mantener el debe referenciar los procedimientos necesarios de todas las
proceso en un estado seguro. actividades relacionadas con la seguridad.
Debe haber procedimientos implementados para especificar
todas las actividades de gestión y técnicas que se llevarán a
cabo en el proyecto. Los procedimientos deben identificar
los documentos que deben elaborarse.
Los proyectos deben controlarse usando un plan de calidad
y seguridad que identifique las actividades que se llevarán a
cabo, los medios de control y que permita la aprobación una
vez completados.
159

funcional
Organización y recursos IEC 61511-1, 5.2.2 Roles y responsabilidades
Deben identificarse las personas, los departamentos, Deben identificarse todas las personas, departamentos y
las organizaciones y otras unidades responsables de organizaciones responsables de ejecutar y revisar las actividades
ejecutar y revisar cada fase del ciclo de vida de relacionadas con la seguridad, y sus responsabilidades deben
seguridad. Asimismo deben ser informados acerca de quedar definidas de forma clara.
las responsabilidades atribuidas según corresponda Por lo general, en una organización, se puede lograr con la
(inclusive cuando proceda, autoridades reguladoras u publicación de diagramas que identifiquen a las personas y sus
organismos normativos en materia de seguridad). roles. Las descripciones de trabajo identificarían entonces las
responsabilidades asignadas a cada rol.
Las personas, los departamentos y las Competencia

organizaciones involucradas en las actividades del La competencia de todas las personas responsables definidas
ciclo de vida de seguridad deben ser competentes anteriormente debe quedar documentada.
para realizar las actividades que les hayan sido Debe haber procedimientos implementados para asegurarse de
atribuidas y de las que sean responsables. que las personas responsables tengan la competencia apropiada
para las actividades que les sean asignadas. El procedimiento debe
incluir la revisión y la evaluación de la competencia, además de las
necesidades de formación.
La documentación relativa a la competencia debe considerar:
a) conocimientos de ingeniería (aplicables al proceso, la tecnología,
la novedad y la complejidad de la aplicación, los sensores y los
elementos finales);
b) gestión adecuada y habilidades de liderazgo apropiadas al rol en
el ciclo de vida de seguridad;
c) comprensión de la consecuencia potencial del evento;
integridad de la seguridad de las funciones instrumentadas de
seguridad; ingeniería de seguridad y requisitos normativos
legales y de seguridad.
Evaluación de riesgos y gestión de riesgos Establecimiento del SIL

IEC 61511-1, 5.2.3 Ver apartado [6].
Deben identificarse los peligros, evaluarse los
riesgos y determinarse la reducción de riesgos
necesaria.
Planificación IEC 61511-1, 5.2.4 Planificación

Debe implementarse la planificación de seguridad La planificación debe asegurar que la gestión, la verificación y las
para definir las actividades que se han de llevar a actividades de evaluación de la seguridad funcional tengan un
cabo junto con las personas, los departamentos, calendario y que se apliquen en las fases relevantes del ciclo de vida.
la organización u otras unidades responsables de La planificación debe estar incluida en el plan de calidad del
llevar a cabo dichas actividades. Debe actualizarse proyecto y debe identificar todas las actividades relacionadas con
esta planificación según sea necesario a lo largo de la seguridad, la temporización y las organizaciones o individuos
todo el ciclo de vida de seguridad. responsables.
Cada actividad relacionada con la seguridad puede incluir
referencias a procedimientos o a prácticas laborales, a desarrollo
o a herramientas de producción.
Implementación y supervisión de Implementación y supervisión

IEC 61511-1, 5.2.5 Los procedimientos deben permitir obteber recomendaciones
Deben implementarse procedimientos para asegurar basadas en actividades de análisis y revisión, y debe
el seguimiento rápido y la resolución satisfactoria de implementarse un método para revisar y dar seguimiento de las
las recomendaciones derivadas de: recomendaciones para su resolución.
a) análisis de peligro y evaluación de riesgos; Debe haber un procedimiento que asegure que se pueda abordar
b) evaluación y auditorías; cualquier recomendación basada en los incidentes o peligros.
c) verificación y validación;
d) actividades posteriores al incidente.
160

funcional
Deben implementarse procedimientos para evaluar Siempre que la organización sea responsable de las fases de
el rendimiento del sistema instrumentado de funcionamiento y mantenimiento, debe haber implementados
seguridad respecto a los requisitos de seguridad, procedimientos para reconocer las operaciones y el rendimiento
que incluya: del mantenimiento que incluyan:
a) recogida y análisis de datos de fallo de campo • fallos sistemáticos;
durante la operación; • fallos recurrentes;
b) registro de demandas relativas a las funciones • evaluación de tasas de demanda y de tasas de fallo de
instrumentadas de seguridad para asegurarse acuerdo con los supuestos durante el diseño o la evaluación
que los supuestos tomados durante el de la seguridad funcional.
establecimiento del SIL sigan siendo válidos. Los requisitos para las auditorías de seguridad funcional deben
incluir: frecuencia, independencia, documentación requerida y
seguimiento.
Cualquier proveedor que facilite productos o Gestión de proveedores

servicios a una organización, que tenga Los proveedores deben entregar productos conforme a las
responsabilidad general respecto a una o más especificaciones y deben contar con un sistema de gestión de
fases del ciclo de vida de seguridad, debe entregar calidad apropiado. Por lo general, el suministro debe proceder de
productos o servicios tal y como vienen una lista de proveedores aprobados y con un control conforme a
especificados a cargo de esta organización, la especificación de suministro.
y debe contar con un sistema de gestión de Debe haber implementados procedimientos para auditar la
calidad apropiado. aprobación de proveedores.
Debe haber principios implementados para
establecer la adecuación del sistema de gestión
de la calidad.
Evaluación, auditoría y revisiones IEC 61511-1, Evaluación de seguridad funcional

5.2.6 Actividades de evaluación de la seguridad funcional, ver
Debe definirse y ejecutarse un procedimiento para apartado [13].
una evaluación de la seguridad funcional, de tal Debe implementarse un procedimiento que permita la puesta
manera que pueda determinarse la seguridad en práctica de una evaluación de la seguridad funcional. Los
funcional y la integridad de seguridad conseguidas requisitos para demostrar la conformidad de acuerdo con los
con el sistema instrumentado de seguridad. objetivos SIL y probabilidad de fallo a demanda (o probabilidad
Los procedimientos deben requerir que se asigne un de fallo por hora) establecidos durante la determinación del
equipo de evaluación que incluya conocimientos SIL [6] están detallados en [11.1].
técnicos, de aplicación y operacionales especializados
Puede asignarse un equipo dentro de la organización si se
necesarios para la aplicación en particular.
cumplen los requisitos de competencia e independencia. Si
El equipo de evaluación debe incluir al menos
se usa una organización externa, entonces los requisitos de
una persona sénior y competente que no esté
competencia deben formar parte del procedimiento de gestión
involucrada en el equipo de personal de diseño
de proveedores.
del proyecto.
Los requisitos de riesgo máximo tolerable (MTR) deben estar
Las etapas en el ciclo de vida de seguridad en las
incluidos en el alcance [8.6.6].
que se han de llevar a cabo las actividades de
evaluación de la seguridad funcional deben
identificarse durante la planificación de seguridad.
161

funcional
Debe llevarse a cabo al menos una evaluación La evaluación de la seguridad funcional debe seguir un plan
de la seguridad funcional antes de que los de conformidad. Deben quedar especificados en el plan de
peligros identificados estén presentes; debe calidad y seguridad del proyecto los puntos en el calendario
confirmar que: de proyecto o ciclo de vida de seguridad, así como el
• se haya llevado a cabo la evaluación de momento de su puesta en práctica.
peligros y riesgos; Es importante que al menos una evaluación de seguridad
• se hayan resuelto las recomendaciones funcional se lleve a cabo antes de que los peligros
basadas en la evaluación de peligros y identificados estén presentes en la planta o proceso.
riesgos;
• el sistema instrumentado de seguridad haya
sido diseñado, construido e instalado de
acuerdo a la especificación de requisitos de
seguridad;
• estén implementados los procedimientos de
seguridad, funcionamiento y mantenimiento;
• se hayan completado las actividades de
validación;
• se haya completado la formación de F y M,
y se haya facilitado información apropiada
acerca del sistema instrumentado de
seguridad;
• existan estrategias para evaluaciones
complementarias.
Deben definirse y ejecutarse procesos con el fin Deben llevarse a cabo auditorías de seguridad funcionales
de asegurarse de que se cumplan los requisitos para verificar que existan procedimientos apropiados acerca
conforme a la auditoría, incluidos: del proyecto y que se hayan implementado.
a) la frecuencia de actividades de auditoría; Por lo general, debe llevarse a cabo una auditoría de
b) el grado de independencia entre las personas, seguridad funcional en una fase muy inicial en el ciclo
los departamentos, las organizaciones u otras de vida del proyecto para asegurarse de que existan
unidades que lleven a cabo el trabajo y procedimientos para cubrir todas las actividades
aquellos que lleven a cabo actividades de relacionadas con la seguridad. A lo largo del proyecto y
auditoría; en intervalos correspondientes deben realizarse auditorías
c) el registro y las actividades de seguimiento. subsiguientes para asegurarse de que los procedimientos
se estén siguiendo y de que se estén llevando a cabo las
recomendaciones o las actividades de seguimiento.
Gestión de configuración del SIS IEC 61511-1, Gestión de configuración

5.2.7 Los procedimientos para la gestión de configuración,
Deben estar disponibles procedimientos para la iniciación de la modificación, el procedimiento de
la gestión de la configuración del sistema aprobación y el aseguramiento del seguimiento de
instrumentado de seguridad (SIS) durante el peticiones de cambio probablemente ya existan en
ciclo de vida. Debe especificarse lo siguiente: un sistema de gestión de calidad típico.
a) la etapa en la que se implemente el control Sin embargo, al considerar cambios respecto a una función
de configuración formal; de seguridad, debe existir algún tipo de análisis del impacto
b) el método de identificación de las piezas con el fin de determinar si el caso podría comprometer la
(hardware y software); seguridad y a qué punto retornar dentro del ciclo de vida con
c) procedimientos para evitar que entren en el fin de empezar el proceso de reevaluación.
servicio partes no autorizadas. Puede ser necesario un procedimiento para realizar el análisis
de impacto y gestionar la reevaluación.
Tabla 23: Requisitos de la gestión de la seguridad funcional
162
18.3. Requisitos generales
Debe haber una política y una estrategia para lograr la seguridad funcional dentro de la
organización y deben identificarse los medios que se utilizan en la organización para
dicha comunicación.
Es importante que la organización desarrolle su propia política de seguridad funcional,

ya que esto supondrá que las personas interesadas en la organización reflexionen sobre
lo que implica la seguridad funcional en la organización, sobre cómo puede comunicarse
dicha información para crear una cultura de seguridad funcional que alcance a toda la
organización en todas las actividades.
18.4. Organización y recursos
Todo el personal de proyecto debe estar identificado conforme a sus competencias y sus
responsabilidades deben estar definidas. Las competencias del personal deben quedar
registradas en un registro de competencias y debe existir un procedimiento para revisar
dichas competencias, para actualizar periódicamente el registro con las experiencias que
se vayan acumulando y para revisar las necesidades de formación. Deben definirse
requisitos relativos a las competencias para cada rol del proyecto.
La mayoría de las organizaciones que acceden por primera vez a la seguridad

funcional pueden encontrar ventajoso el hecho de asignar una autoridad de seguridad
(SA). Esta persona se encargará de la seguridad funcional, de la política corporativa y de
comunicaciones, de las fases del ciclo de vida y de la planificación de actividades. La
autoridad de seguridad será independiente respecto a los proyectos.
Con toda probabilidad se tendrá que establecer y gestionar un registro de competencias

o desarrollar un sistema existente para incluir actividades de seguridad funcional y
responsabilidades.
18.5. Implementación y supervisión del proyecto
Si en el alcance existen algunas actividades nuevas, p. ej., HAZOP, entonces debe crearse
un procedimiento para abordar HAZOP. Si, por ejemplo, un desarrollo consiste en incluir
software de una aplicación relacionada con la seguridad, entonces debe disponerse un
procedimiento para asegurarse que el software se desarrolle conforme a la fase 4 del ciclo
de vida [11].
18.6. Gestión y modificación de la configuración
Los procedimientos para la gestión de la configuración, la iniciación de la modificación,

el procedimiento de aprobación y el aseguramiento del seguimiento de peticiones de
cambio ya suelen existir en un sistema de gestión de calidad típico.
163
Sin embargo, al considerar cambios respecto a una función de seguridad, debe existir
algún tipo de análisis del impacto con el fin de determinar si el caso podría comprometer
la seguridad y a qué punto retornar dentro del ciclo de vida con el fin de empezar el
proceso de reevaluación. Puede ser necesario un procedimiento para realizar el análisis
de impacto y gestionar la reevaluación.
18.7. Rendimiento del F y M
En función de las fases del ciclo de vida en el alcance, puede ser necesario implementar
procedimientos para tratar, recopilar y mantener la información derivada de: peligros,
incidentes y modificaciones. Los procedimientos también pueden describir:
• cómo abordar incidentes peligrosos;

• análisis de peligro detectados;
• actividades de verificación.
Puede resultar necesario recopilar datos y dar mantenimiento a dichos datos porque
durante la evaluación de seguridad se ha podido asumir que la función de seguridad era,
por ejemplo, un sistema de modo a demanda. Al supervisarse la tasa de demanda a la que
se somete la función de seguridad se asegura que los objetivos apropiados y las medidas
de rendimiento fueron fijadas y siguen siendo válidas.
164
Referencias
19. Referencias
19.1. IEC 61508:2010, Functional Safety of Electrical/Electronic/Programmable
Electronic Safety Related Systems.
19.2. IEC 615112004: Functional Safety: Safety Instrumented Systems for the
Process Industry.
19.3. Reducing Risks, Protecting People, HSE 2001, ISBN 0 7176 2151 0.
19.4. AIChE Centre for Chemical Process Safety, Layer of Protection Analysis (LOPA),
2001
19.5. IEC 61784-3:2010 Industrial Communications Networks. Profiles Part-3:

Functional safety Fieldbuses – General Rules and profile Definitions.
19.6. Derivation of the Simplified PFDavg Equations, D Chauhan,

Rockwell Automation (FSC).
19.7. General Reliability Calculations for MooN Configurations, KJ Kirkcaldy,

Rockwell Automation (FSC).
19.8. Functional Safety: Safety Instrumented Systems for the Process Industry
Sector. ANSI/ISA-84.00.01-2004 Part 1 (IEC 61511-1 Mod).
165
20. Definiciones
2oo3 Dos de tres circuitos lógicos (circuito lógico 2/3) Un circuito lógico con tres entradas
independientes. La salida del circuito lógico tiene el mismo estado que cualquiera de
los dos estados de entrada coincidentes. Por ejemplo, un circuito de seguridad en el
que hay tres sensores y una señal de cualquiera de estos dos sensores es necesaria para
solicitar un cierre. Este sistema 2oo3 se considera tolerante a un solo fallo (HFT = 1),
es decir, en caso de que uno de los sensores falle peligrosamente, el sistema podría
desconectarse con seguridad. Otros sistemas de votación incluyen 1oo1, 1oo2, 2oo2,
1oo3 y 2oo4.
ALARP Tan bajo como resulte razonablemente practicable (As Low As Reasonably Practicable).
La filosofía de tratar con riesgos que se hallan entre un extremo superior e inferior. El
extremo superior es donde el riesgo es tan grande que es rechazado completamente,
mientras que el extremo inferior es donde el riesgo es o se ha logrado que sea
insignificante. Esta filosofía considera los costes y los beneficios de la reducción de
riesgos para hacer que el riesgo sea “tan bajo como resulte razonablemente
practicable”.
Análisis de árbol de Método de modelo de propagación de fallos. El análisis construye una imagen en forma
eventos de árbol de las cadenas de eventos, desde un evento iniciador hasta varios resultados
potenciales. El árbol se expande desde el evento iniciador en ramas de eventos de
propagación intermedios. Cada rama representa una situación en la que es posible un
resultado distinto. Después de incluir todas las ramas apropiadas, el árbol de eventos
termina con múltiples resultados posibles.
Apertura en error Condición en la que el componente de válvula de cierre se sitúa en una posición de
apertura cuando falla la fuente de energía de accionamiento.
Arquitectura Estructura de voto de elementos diferentes en una función instrumentada de
seguridad. Ver Restricciones arquitectónicas, tolerancia a fallos y 2oo3.
BPCS Ver Sistema básico de control de proceso.
Capa de protección Ver IPL.
Cierre en error Condición en la que el componente de válvula de cierre se sitúa en una posición
cerrada cuando falla la fuente de energía de accionamiento.
Cobertura de Medición de la capacidad del sistema para detectar fallos. Se trata de una relación entre
diagnóstico las tasas de fallos para fallos detectados y la tasa de fallo de todos los fallos en el
sistema.
Cobertura de prueba Fallos porcentuales detectados durante el servicio de un equipo. En general se asume
de calidad que cuando se lleva a cabo una prueba de calidad se detectan y corrigen los errores en
el sistema (cobertura 100% de la prueba de calidad).
Consecuencia Magnitud de daño o medición del resultado de un evento perjudicial. Uno de los dos
componentes utilizados para definir un riesgo.
Diagnósticos D Algunos dispositivos de resolución lógica con clasificación de seguridad están
designados como dispositivos que tienen diagnósticos con D mayúscula. Se diferencian
de los diagnósticos regulares en el hecho de que la unidad es capaz de reconfigurar su
arquitectura después de que un diagnóstico haya detectado un fallo. El mayor efecto se
aplica en los sistemas 1oo2D que pueden reconfigurarse a funcionamiento 1oo1
cuando detectan un fallo seguro. Así pues la tasa de disparos erróneos de un sistema de
este tipo se reduce enormemente.
166
Definiciones
Diagrama de árbol de Método de combinación basado en la probabilidad para valorar probabilidades

fallos complejas. Dado que adopta generalmente la vista de fallos de un sistema, resulta útil
en modelos de modo de fallo múltiple. Se debe proceder con sumo cuidado al usarlo
para calcular probabilidades promedio integradas.
Diagrama de bloques Método de combinación basado en la probabilidad para valorar probabilidades

de fiabilidad complejas. Dado que adopta generalmente la vista de “éxito” de un sistema, puede
resultar confuso cuando se usa en modelos de modo de fallos múltiples.
Diagrama de causa y Método utilizado habitualmente para demostrar la relación de las entradas de los
efecto sensores respecto a la función de seguridad y a las salidas requeridas. Utilizado
frecuentemente como parte de la especificación de requisitos de seguridad. Los
puntos fuertes del método son bajo nivel de esfuerzo y representación visual clara,
mientras que los puntos débiles son formato rígido (algunas funciones no pueden ser
representadas con diagramas C-E) y el hecho de que puede simplificar excesivamente
la función.
Disparo erróneo Ver Fallo seguro
Disponibilidad Probabilidad de que un dispositivo funcione correctamente en un momento

determinado en el tiempo. Se trata de una medida de “tiempo productivo” y se define
en unidades porcentuales. En la mayoría de componentes de sistemas de seguridad
probados y reparados, la disponibilidad varía como un diente de sierra con el tiempo
según lo dispuesto en los ciclos de prueba de calidad y reparación. Así pues, la
disponibilidad media integrada se usa para calcular la probabilidad media de fallo a
demanda. Ver PFDavg.
E/E/PE Ver 61508 y 61511.

Eléctrico/electrónico/
el ectrónico
programable
Estado de seguridad El estado del proceso después de actuar para eliminar el peligro, y que no conlleva
ningún daño significativo.
Fallo aleatorio Fallo que ocurre en un tiempo aleatorio y que resulta de uno o más mecanismos de
degradación. Los fallos aleatorios se pueden predecir de forma efectiva con estadísticas
y son la base para los requisitos de cálculo basados en la probabilidad de fallo a
demanda para el nivel de integridad de seguridad. Ver Fallo sistemático.
Fallo de modo común Estrés aleatorio que causa el fallo de dos o más componentes simultáneamente y por el
mismo motivo. Difiere de un fallo sistemático en el hecho de que es aleatorio y basado
en la probabilidad, pero no procede conforme a un patrón fijo, predecible y de causa y
efecto. Ver Fallo sistemático.
Fallo peligroso Fallo de un componente en una función instrumentada de seguridad que evita que
dicha función alcance un estado de seguridad cuando así se requiere. Ver Modo de
fallo.
Fallo seguro Fallo que no tiene potencial para poner el sistema de seguridad en estado de peligro o
de anomalía de funcionamiento. Situación que se da cuando un sistema o componente
relacionado con la seguridad falla a la ejecución, de manera que se requiere la
desactivación del sistema o la activación de la función instrumentada de seguridad
cuando no hay ningún peligro presente.
167
Fallo sistemático Fallo que ocurre de manera predecible y determinista (no aleatoria) como resultado de
una causa concreta, y que solo puede eliminarse con la modificación del diseño o del
proceso de fabricación, procedimientos operacionales, documentación u otros factores
relevantes. Dado que estos elementos no son predecibles desde un punto de vista
matemático, el ciclo de vida de la seguridad incluye un gran número de procedimientos
para evitar que ocurran. Los procedimientos son más rigurosos para sistemas y
componentes con un nivel de integridad de seguridad más elevado. Este tipo de
errores no pueden evitarse con una redundancia simple.
Fiabilidad 1. Probabilidad de que un dispositivo lleve a cabo su objetivo de forma adecuada en el

periodo de tiempo especificado, bajo las condiciones de funcionamiento especificadas.
2. Probabilidad de que un componente, un elemento de equipo o de sistema lleve a
cabo su función prevista durante un periodo de tiempo especificado, generalmente las
horas de servicio, sin que se requiera mantenimiento correctivo.
FMECA Análisis de modos de fallo, efectos y nivel de criticidad (Failure Modes Effects and
Criticality Analysis). Se trata de un análisis detallado de los diferentes modos de fallo y
análisis de criticidad para un equipo individual.
Fracción de fallos Ver SFF.

seguros
HAZOP Estudio de peligros y operabilidad (Hazards and operability study). Procedimiento de
análisis de peligro relativo al proceso que inicialmente desarrolló ICI en los años 1970.
El método está muy estructurado y divide el proceso en distintos nodos operativos e
investiga el comportamiento de las diferentes partes de cada nodo en base a un
conjunto de posibles condiciones de desviación o palabras guía.
HFT Tolerancia a fallos de hardware (ver Tolerancia a fallos)
HSE (UK) Autoridad de Salud y Seguridad en el Reino Unido
IEC Comisión Electrotécnica Internacional. Organización mundial para fines de

normalización. La finalidad de la IEC es fomentar la cooperación internacional para
todas las cuestiones que atañen a la normalización en los campos eléctrico y
electrónico. Para tal fin y además de otras actividades, la IEC publica normas
internacionales. Ver 61508 y 61511. Actividad de análisis de impacto para determinar
el efecto que un cambio en una función o componente tendrá con respecto a otras
funciones o componentes en el sistema así como en otros sistemas.
IEC 61508 La norma IEC que comprende la seguridad funcional de sistemas eléctricos/
electrónicos/electrónicos programables relacionados con la seguridad. El principal
objetivo de la norma IEC 61508 es utilizar sistemas instrumentados de seguridad con
el fin de reducir el riesgo a un nivel tolerable siguiendo para ello los procedimientos
del ciclo de vida de seguridad generales de hardware y software, y respetando la
documentación asociada. Desde que fue publicada en 1998 y 2000 viene siendo
utilizada principalmente por proveedores de equipos de seguridad con el fin de
demostrar que su equipo es apto para el uso en sistemas clasificados con nivel de
integridad de seguridad.
IEC 61511 La norma IEC para el uso de sistemas eléctricos/electrónicos/electrónicos programables
relacionados con la seguridad en la industria de proceso. Al igual que la IEC 61508, se
centra en un conjunto de procesos relacionados con el ciclo de vida de la seguridad con
el fin de gestionar el riesgo del proceso. Fue publicada originalmente por la Comisión
Electrotécnica Internacional en 2003, y adoptada por los EE.UU. en 2004 como
ISA 84.00.01-2004. A diferencia de la IEC 61508, esta norma está orientada a los usuarios
de sistemas instrumentados de seguridad de la industria de proceso.
168
Definiciones
Incidente Resultado de un evento iniciador cuya propagación no puede evitarse. El incidente

es más bien una descripción básica de un accidente no deseado y ofrece información
mínima. El término incidente se usa simplemente para transmitir el hecho de que
el proceso ha perdido el control sobre el producto químico u otra fuente de energía
potencial. Por tanto el potencial que causa daño se ha liberado, pero el resultado
perjudicial no ha adoptado una forma específica.
Intervalo de prueba Intervalo de tiempo entre el mantenimiento del equipo.
de calidad
IPL Capa o capas de protección independientes. Se refiere a otros métodos de reducción
de riesgos que son posibles para un proceso. Los ejemplos incluyen elementos como
discos de ruptura y válvulas de alivio que reducen independientemente la posibilidad
de que el peligro pueda convertirse en un accidente total con un resultado perjudicial.
Para ser efectiva, cada capa debe específicamente evitar que el peligro en cuestión
cause daño, debe actuar independientemente de otras capas, presentar una
probabilidad razonable de funcionamiento y ser capaz de ser auditada una vez que la
planta esté en funcionamiento con respecto a su rendimiento original esperado.
Lambda Tasa de fallo de un sistema. Ver Tasa de fallo.
LOPA Análisis de capas de protección. Método de análisis de la posibilidad (frecuencia) de

un resultado perjudicial basado en una frecuencia de evento de iniciación y en la
probabilidad de fallo de una serie de capas independientes de protección capaces de
evitar el resultado perjudicial.
Modo (continuo) Cuando las demandas de activación de una función de seguridad (SIF) son frecuentes
en comparación con el intervalo de prueba de las funciones instrumentadas de
seguridad (SIF). Nótese que otros sectores definen un modo de alta demanda
independiente, basado en si los diagnósticos son capaces de reducir la tasa de
accidentes. En cualquier caso, el modo continuo es aquel en el que la frecuencia de
un accidente no deseado se determina esencialmente por la frecuencia de un fallo
peligroso de función instrumentada de seguridad (SIF). Cuando falla la función
instrumentada de seguridad, la demanda de acción correspondiente tiene lugar en
un intervalo de tiempo más corto que la prueba de función, por lo que no es relevante
hablar de su probabilidad de fallo. Básicamente todos los fallos peligrosos de una
función instrumentada de seguridad (SIF) en funcionamiento de modo continuo serán
descubiertos por una demanda de proceso en lugar de una prueba de función. Ver
modo de demanda baja, modo de demanda elevada y SIL.
Modo (demanda baja) (también modo a demanda según IEC 61511) cuando las demandas para activar la
función instrumentada de seguridad son poco frecuentes en comparación con el
intervalo de prueba de las funciones instrumentadas de seguridad. La industria de
proceso define este modo cuando las demandas para activar las funciones
instrumentadas de seguridad son inferiores a uno de cada dos intervalos de prueba
de calidad. El modo de demanda baja de la operación es el modo más común en las
industrias de procesos. Al definir el nivel de integridad de seguridad para el modo de
demanda baja, el rendimiento de una función instrumentada de seguridad (SIF) se
mide en términos de promedio de probabilidad de fallo a demanda (PFDavg). En este
modo a demanda, la frecuencia del evento iniciador, modificada por la probabilidad de
fallo a demanda de las funciones instrumentadas de seguridad (SIF) por la tasa de
demanda y cualquier capa de protección en la rama descendente determinan la
frecuencia de accidentes no deseados.
169
Modo (demanda (también modo continuo según IEC 61511) Similar al modo continuo salvo que a los
elevada) diagnósticos automáticos se les asigna una contabilización específica. La división entre
demanda elevada y modo continuo se aplica cuando los diagnósticos automáticos son
ejecutados muchas veces más rápido que la tasa de demanda de la función de
seguridad. Si los diagnósticos son más lentos que ésta, entonces no se contabilizan y se
aplica el modo continuo.
Modos de fallo Manera en la que falla un dispositivo. Estas maneras generalmente están agrupadas
en uno de los cuatro modos de fallo: seguro detectado (Safe Detected, SD), peligroso
detectado (Dangerous Detected, DD), seguro no detectado (Safe Undetected, SU) y
peligroso no detectado (Dangerous Undetected, DU) según ISA TR84.0.02.
MTTR Tiempo medio hasta la reparación. Tiempo promedio entre la ocurrencia de un fallo y la
finalización de la reparación de dicho fallo. Incluye el tiempo necesario para detectar el
fallo, iniciar la reparación y completar completamente la reparación.
Ocupación Medida de probabilidad de que la zona efecto de un accidente cuente con uno o más
receptores del efecto entre el personal. Esta probabilidad debe determinarse con la
aplicación del enfoque teórico y práctico del personal específico de la planta.
P&ID Diagrama de tubos e instrumentación. Muestra la interconexión del equipo del proceso
y la instrumentación utilizada para controlar el proceso. En la industria de proceso, un
conjunto estándar de símbolos que se utiliza para preparar diagramas de proceso. Los
símbolos de instrumentos utilizados en estos diagramas están basados generalmente
en la norma S5 de la ISA (Instrument Society of America). 1. 2. El diagrama esquemático
principal utilizado para configurar la instalación de un control de proceso.
Peligro Potencial de daños.
PFDavg Promedio de probabilidad de fallo a demanda. Es la probabilidad de que un sistema

falle peligrosamente y no sea capaz de ejecutar la función de seguridad cuando se
requiera. La probabilidad de fallo a demanda (PFD) puede determinarse como
probabilidad promedio o como probabilidad máxima a lo largo de un periodo de
tiempo. IEC 61508/61511 e ISA 84.01 usan PFDavg como métrica de sistema sobre la
que se define el SIL.
Posibilidad Frecuencia de un evento perjudicial expresado habitualmente en eventos por año o
eventos por millones de horas. Uno de los dos componentes utilizados para definir un
riesgo. Nótese que difiere de la definición inglesa tradicional que significa probabilidad.
Probado en uso Base para utilizar un componente o un sistema como parte de un nivel de integridad de
seguridad (SIL) clasificado como sistema instrumentado de seguridad (SIS) que no ha
sido diseñado de conformidad con IEC 61508. Requiere suficientes horas operacionales
del producto, historial de revisiones, sistemas de notificación de fallos y datos de fallo
de campo para determinar si hay evidencia de fallos de diseño sistemático en un
producto. IEC 61508 proporciona niveles de historial operacional requeridos para cada
nivel de integridad de seguridad.
Protección en caso de Característica de un dispositivo en particular que hace que el dispositivo pase a un
fallos (o mejor estado seguro cuando pierde energía eléctrica o neumática.
desenergizar a
disparo)
170
Definiciones
Prueba de calidad Prueba de los componentes del sistema de seguridad para detectar cualquier fallo no
detectado por los diagnósticos automáticos en línea, es decir, fallos peligrosos, fallos de
diagnóstico, fallos de parámetros seguidos por la reparación de dichos fallos hasta
conseguir el equivalente a un estado nuevo. La prueba de calidad es una parte vital del
ciclo de vida de seguridad y es crítica para asegurar que un sistema consigue el nivel de
integridad de seguridad requerido a lo largo del ciclo de vida de seguridad.
Redundancia Uso de múltiples elementos o sistemas para realizar la misma función. La redundancia
puede implementarse con elementos idénticos (redundancia idéntica) o con diversos
elementos (redundancia diversa). Redundancia primaria utilizada para mejorar la
fiabilidad o disponibilidad.
Restricciones Limitaciones que se imponen en el hardware seleccionado para implementar una

arquitectónicas función instrumentada de seguridad independientemente del rendimiento
calculado para un subsistema. Las restricciones arquitectónicas se especifican (en
IEC 61508-2-Tabla 2 y en IEC 61511 Tabla 5) conforme al SIL requerido del subsistema,
tipo de componentes utilizados y fracción de fallos seguros de los componentes del
subsistema. Los componentes tipo A son dispositivos simples que no incorporan
microprocesadores, y los dispositivos tipo B son dispositivos complejos como los que
incorporan microprocesadores. Ver Tolerancia a fallos.
RRF Factor de reducción de riesgos. Lo contrario de promedio de probabilidad de fallo a
demanda (PFDavg)
Seguridad funcional Ausencia de riesgo inaceptable que se consigue a través del ciclo de vida de seguridad.
Ver IEC 61508, IEC 65111, ciclo de vida de seguridad, y riesgo tolerable.
SFF Fracción de fallos seguros. Fracción de la tasa de fallos general de un dispositivo que da
lugar a un fallo seguro o a un fallo no seguro diagnosticado (detectado). La fracción de
fallos seguros incluye los fallos peligrosos detectables cuando dichos fallos son
anunciados y existen procedimientos para reparación o desactivación.
SIF Función instrumentada de seguridad. Conjunto de equipamiento previsto para reducir
el riesgo causado por un peligro específico (un bucle de seguridad). Su finalidad es
1. Conseguir automáticamente que un proceso industrial vuelva a ser seguro cuando se
vulneran las condiciones especificadas; 2. Permitir que un proceso avance de manera
segura cuando las condiciones especificadas lo permiten (funciones permisivas); o
3. Adoptar medidas para mitigar las consecuencias de un peligro industrial. Incluye
elementos que detectan que un accidente es inminente, deciden adoptar medidas y
a continuación llevan a cabo las acciones necesarias para conseguir que el proceso
vuelva a ser seguro. Su habilidad para detectar, decidir y actuar es designada por el
nivel de integridad de seguridad (SIL) de la función. Ver SIL.
SIL Nivel de integridad de seguridad. Objetivo cuantitativo para medir el nivel de
rendimiento necesario para que la función de seguridad consiga un riesgo tolerable
para un peligro en el proceso. Al definir un nivel de SIL específico para el proceso debe
tomarse como base la evaluación de la posibilidad de que ocurra un incidente y las
consecuencias de dicho incidente. La siguiente tabla describe el SIL para diferentes
modos de funcionamiento.
SIS Sistema instrumentado de seguridad. Implementación de una o más funciones

instrumentadas de seguridad. Un sistema instrumentado de seguridad (SIS) consta
de cualquier combinación de sensores, dispositivos de resolución lógica y elementos
finales. Un sistema instrumentado de seguridad (SIS) suele tener un número de
funciones de seguridad con distintos niveles de integridad de seguridad (SIL), así que
es mejor evitar describirlo como un SIL individual. Ver SIF.
171
Sistema básico de Sistema que responde a señales de entrada procedentes del proceso, equipo asociado
control de proceso y/o un operario, y que genera señales de salida que hacen que el proceso y el equipo
asociado funcionen de una manera determinada. El sistema básico de control de
proceso (BPCS) no puede ejecutar ninguna función instrumentada de seguridad
clasificada con un nivel de integridad de seguridad de 1 o mayor a menos que cumpla
los requisitos probados en uso. Ver Probado en uso.
Tasa de fallos Número de fallos por unidad de tiempo de un elemento del equipo. Por regla general
se asume que es un valor constante. Se puede desglosar en varias categorías como:
seguro y peligroso, detectado y no detectado e independiente/normal y causa común.
Debe prestarse atención a fin de garantizar que la prueba de funcionamiento y el
desgaste se aborden convenientemente para que el supuesto de la tasa de fallo
constante sea válido.
Tolerancia a fallos Capacidad de una unidad funcional de continuar ejecutando una función requerida en
presencia de fallos o errores aleatorios. Por ejemplo, un sistema de voto 1oo2 puede
tolerar un fallo de componente aleatorio y seguir ejecutando la función. La tolerancia
a fallos es uno de los requisitos específicos para el nivel de integridad de seguridad
(SIL) y figura descrita en más detalle en IEC 61508 Parte 2, Tablas 2 y 3 y en IEC 61511
(ISA 84.01 2004) en la Cláusula 11.4
Verificación del SIL Proceso de calcular la probabilidad promedio de fallo a demanda (o la probabilidad
de fallo por hora) y las restricciones arquitectónicas para un diseño de la función de
seguridad con el fin de ver si cumple el SIL requerido.
172
Abreviaturas
Abreviaturas
λ Tasa de fallo, relación del número total de fallos que ocurren en un período determinado
de tiempo
λD Tasa de fallo de fallos peligrosos
λDD Tasa de fallo de fallos peligrosos detectados mediante diagnósticos
λDU Tasa de fallo de fallos peligrosos no detectados mediante diagnósticos
λS Tasa de fallo de fallos de seguridad
1oo1 Votación 1 de 1 (Simplex)
1oo2 1 de 2
AI Entrada analógica (Analogue Input)
ANSI Instituto Nacional Americano de Normalización (American National Standards Institute)
ALARP Tan bajo como resulte razonablemente practicable (As Low As Reasonably Practicable)
BMS Sistema de gestión de quemadores (Burner Management System)
BPCS Sistema básico de control de proceso (Basic Process Control System)
C&E Causa y efecto (Cause and Effect)
CBA Análisis de costes y beneficios (Cost Benefit Analysis)
CCF Fallo por causas comunes
COMAH Control de principales peligros de accidente (Control Of Major Accident Hazards)
DCS Sistema de control distribuido (Distributed Control System)
DD Peligroso detectado (Dangerous Detected)
DI Entrada digital (Digital Input)
DO Salida digital (Digital Output)
DU Peligroso no detectado
E/E/PES Sistema eléctrico/electrónico/electrónico programable (Electrical/Electronic/Programmable
Electronic System)
ESD Cierre de emergencia (Emergency Shutdown)
ESDV Válvula de cierre de emergencia (Emergency Shutdown Valve)
FyG Fuego y gas (Fire and Gas)
FyM Funcionamiento y mantenimiento
f/h Fallos por hora (Failures per hour)
Fallo peligroso Modo de fallo que tiene el potencial de poner el sistema de seguridad en un estado de
peligro o de fallo de funcionamiento
Fallo seguro Modo de fallo que no tiene potencial para poner el sistema de seguridad en un estado de
peligro o de fallo de funcionamiento.
FC Fallo de cierre (Fail Closed)
FDS Especificación de diseño funcional (Functional Design Specification)
FMECA Modos de fallo, análisis de efectos y criticidad (Failure Modes, Effects and Criticality Analysis)
FO Fallo de apertura (Fail Open)
FPL Lenguaje programable fijo (Fixed Programmable Language)
FSC Capacidad de seguridad funcional (Functional Safety Capability)
FVL Lenguaje de variabilidad completa (Full Variability Language)
HAZAN Análisis de peligros (Hazard Analysis)
HASAW Ley de Salud y Seguridad en el Trabajo (Health and Safety at Work Act (HSW))
HAZOP Estudio de peligros y operabilidad (Hazard and Operability Study)
HFT Tolerancia a fallos de hardware (Hardware Fault Tolerance)
HIPPS Sistema de protección de presión de alta integridad (High Integrity Pressure Protection
System)
HSE Autoridad de Salud y Seguridad en el Reino Unido (Health and Safety Executive)
I/O Entrada/salida (Input/Output)
IEC Comisión Electrotécnica Internacional (International Electrotechnical Commission)
IPL Capa de protección independiente (Independent Protection Layer)
ISA Sociedad Internacional de Automatización (International Society of Automation)
LOPA Análisis de capas de protección (Layer of Protection Analysis)
LVL Lenguaje de variabilidad limitada (Limited Variability Language)
MDT Tiempo improductivo medio (Mean Down Time)
MooN M de N (caso general)
173
MTBF Tiempo medio entre fallos (Mean Time Between Failures)

MTR Riesgo máximo tolerable (Maximum Tolerable Risk)
MTTF Tiempo medio hasta el fallo (Mean Time To Failure)
MTTR Tiempo medio de reparación (Mean Time To Repair)
No RS No relacionado con la seguridad
OPSI Oficina de Información del Sector Público (Office of Public Sector Information)
P&ID Diagrama de tubos e instrumentación (Piping and Instrumentation Diagram)
PA Por año (Per Annum)
PE Electrónica programable (Programmable Electronic)
PFD Probabilidad de fallo a demanda (Probability of Failure on Demand)
PFH Probabilidad de fallo por hora (Probability of Failure per Hour)
PSD Cierre del proceso (Process Shutdown)
PT Transmisor de presión (Pressure Transmitter)
PTI Intervalo de prueba de calidad (Proof Test Interval)
QMS Sistema de gestión de calidad (Quality Management System)
R2P2 Reducir riesgos, proteger a personas (Reducing Risk Protecting People)
RBD Diagrama de bloques de fiabilidad (Reliability Block Diagram)
RRF Factor de reducción de riesgos (Risk Reduction Factor)
S Seguridad (Safe)
SA Autoridad de seguridad (Safety Authority)
SFF Fracción de fallos seguros (Safe Failure Fraction)
SIF Función instrumentada de seguridad (Safety Instrumented Function)
SIL Nivel de integridad de seguridad (Safety Integrity Level)
SIS Sistema instrumentado de seguridad (Safety Instrumented System)
SOV Válvula accionada por solenoide (Solenoid Operated Valve)
SRS Especificación de requisitos de seguridad (Safety Requirements Specification)
STR Tasa de activaciones erróneas (Spurious Trip Rate)
TMR Triple modular redundante (Triple Modular Redundant)
Tp Intervalo de prueba de calidad (Proof Test Interval)
174
175
176
MANUAL DE SEGURIDAD DE PROCESOS 1 – Seguridad funcional en la industria de procesos/Principios, normas e implementación
También disponible:
Manual de seguridad 4 – Sistemas de control relacionados
con la seguridad de maquinaria.
Esta práctica guía trata los principios relativos a la seguridad de
la maquinaria, además de la legislación, la teoría y la práctica.
Número de publicación: SAFEBK-RM002B
Comuníquese con su representante de Rockwell Automation

para obtener una copia de esta guía, o visite
www.rockwellautomation.com
Seguridad funcional en
la industria de proceso
Principios, normas e implementación
Publicación: SAFEBK-RM003A-ES-P – Marzo de 2013 © 2013 Rockwell Automation, Inc. Todos los derechos reservados.

Manual de Seguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual de Seguridad

Cargado por

Copyright:

Formatos disponibles

MANUAL DE SEGURIDAD DE PROCESOS 1

MANUAL DE SEGURIDAD DE PROCESOS 1 – Seguridad funcional en la industria de procesos/Principios, normas e implementación

Comuníquese con su representante de Rockwell Automation

Capítulo 2 Ciclo de vida de seguridad general ...................................................... 11

Capítulo 3 Peligros e identificación de peligros ....................................................19

Capítulo 4 Riesgo y reducción de riesgos .............................................................. 30

Capítulo 5 Principio ALARP .................................................................................... 41

Capítulo 6 Determinación de objetivos del SIL ..................................................... 47

Capítulo 7 Diagramas de riesgos ........................................................................... 62

Capítulo 8 Análisis de capas de protección (LOPA) ............................................... 68

Capítulo 9 Asignación de funciones de seguridad ............................................... 81

Capítulo 10 Especificación de requisitos de seguridad para el SIS ....................... 85

Capítulo 11 Diseño e ingeniería del SIS ................................................................... 87

Capítulo 12 Técnicas de fiabilidad ........................................................................... 89

Capítulo 13 Verificación SIL .................................................................................... 122

Capítulo 14 Probabilidad de fallo de SIF, IEC 61511-1 ..........................................137

Capítulo 15 Instalación, puesta en servicio y validación, IEC 61511-1 ............... 150

Capítulo 16 Funcionamiento y mantenimiento, IEC 61511-1 .............................. 153

Capítulo 17 Modificación y desmantelamiento, IEC 61511-1 .............................. 156

Capítulo 18 Gestión, evaluación y auditoría ......................................................... 158

Capítulo 19 Referencias .......................................................................................... 165

Capítulo 20 Definiciones ......................................................................................... 166

Capítulo 21 Abreviaturas ........................................................................................ 173

Como principio fundamental establece que, en la planificación de seguridad, deben

Para muchos, la norma ha resultado difícil de leer y de comprender. No obstante, ya ha

El objetivo de este documento es ofrecer una introducción a la seguridad funcional y una

El objetivo de este documento es ofrecer información y orientación para poder comprender

Aunque las técnicas presentadas en este documento se han utilizado correctamente

1. Introducción a la norma IEC 61511

IEC 61508 es una norma internacional publicada por la Comisión Electrotécnica

IEC 61508:2010 Seguridad funcional de sistemas eléctricos/electrónicos/

La norma se basa en el principio fundamental de que existe un proceso que puede

Un objetivo secundario de la norma IEC 61508 es permitir el desarrollo de sistemas E/E/PE

IEC 61511:2004 Seguridad funcional – Sistemas instrumentados de

1.2. ¿Qué es la seguridad funcional?

La norma IEC 61511-1, 3.2.25 ofrece la siguiente definición.

“La seguridad funcional forma parte de la seguridad general relacionada con el

Dicho de forma más sencilla, la seguridad funcional es la reducción de riesgos que

1.3. Comisión Electrotécnica Internacional (IEC)

La Comisión Electrotécnica Internacional se fundó en 1906, con el científico británico Lord

La IEC apoya la seguridad y el rendimiento medioambiental de la electrotecnología,

La norma y el resto de publicaciones de la IEC están protegidas y sujetas a determinadas

1.4. Estructura de la norma

La norma se compone de tres partes, tal y como se muestra en la Figura 1.

La Parte 1 subraya los requisitos de cumplimiento normativo. Se define la planificación

En general, la Parte 1 es normativa ya que define requisitos específicos de cumplimiento

La Parte 2 ofrece una guía de uso de la Parte 1.

En la Parte 3 se dan ejemplos prácticos de evaluación de riesgos con el fin de asignar

Las Partes 2 y 3 son informativas y proporcionan guía sobre los requisitos de

1.5. Cumplimiento normativo con la norma IEC 61511

1.5.1. Requisitos de la Ley de Salud y Seguridad en el Trabajo, etc. de 1974

La Ley de Salud y Seguridad en el Trabajo, etc. de 1974 (HASAW o HSW) es la principal

El texto completo de la ley puede obtenerse en la Oficina de Información del Sector

En términos sencillos, la Ley de Salud y Seguridad en el trabajo establece que la

1.5.2. Requisitos de conformidad

• la naturaleza de los peligros;

1.5.3. Consecuencias de la falta de conformidad

La información que recopile y el análisis que realice sobre el cumplimiento de los

1.5.4. Requisitos de conformidad en plantas nuevas

1.5.5. Requisitos de conformidad en plantas existentes

La norma ANSI/ISA-84 se refiere de forma específica a los sistemas anteriores y establece

Es muy probablemente que no resulte rentable diseñar nuevas funciones instrumentadas

Su obligación es, como mínimo, documentar el proceso: asegurarse de que se hayan

En el peor de los casos, si se da la situación de que hay determinados peligros sin