Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad funcional en
la industria de proceso
Principios, normas e implementación
Publicación: SAFEBK-RM003A-ES-P – Marzo de 2013 © 2013 Rockwell Automation, Inc. Todos los derechos reservados.
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Contenido
Capítulo 1 Introducción a IEC 61511 ........................................................................ 3
1
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Prefacio
La norma IEC 61508 abarca la gestión de la seguridad de sistemas eléctricos, electrónicos
y electrónicos programables (E/E/PE) a lo largo de su vida útil, desde el diseño hasta el
desmantelamiento. Aplica los principios de seguridad en la gestión de sistemas y la
ingeniería de seguridad en su desarrollo.
La norma está pensada tanto como base para la preparación de normas más específicas,
como para utilizarse de forma autónoma. Sin embargo se prefiere la primera aplicación;
el segundo uso requiere la personalización de la norma, que la gerencia la comprenda de
manera significativa y la planificación considerable de su introducción y uso.
Exención de responsabilidad
El uso de corchetes [ ] indica una referencia cruzada a una sección de este documento.
2
MANUAL DE SEGURIDAD DE PROCESOS 1
Introducción a IEC 61511
IEC 61508 [19.1] es una norma genérica aplicable a todos los sistemas E/E/PE relacionados
con la seguridad, independientemente de su uso o aplicación. El título de la norma es:
La norma da por supuesto que se deben facilitar funciones de seguridad para reducir
dichos riesgos. Las funciones de seguridad pueden formar en conjunto un sistema
instrumentado de seguridad (SIS), y su diseño y funcionamiento deben estar basados
en la evaluación y la comprensión de los riesgos.
IEC 61511 no es una norma de diseño, sino una norma para la gestión de la seguridad
a lo largo del ciclo de vida útil completo de un sistema, desde el diseño hasta el
desmantelamiento. En este enfoque es fundamental el ciclo de vida de seguridad general,
que describe las actividades relacionadas con la especificación, el desarrollo, el
funcionamiento o el mantenimiento de un sistema instrumentado de seguridad (SIS).
3
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
4
MANUAL DE SEGURIDAD DE PROCESOS 1
Introducción a IEC 61511
Requisitos técnicos
Parte 1
IEC 61511-1, 8: Desarrollo de los requisitos globales de seguridad
(concepto, definición del alcance, evaluación de peligros y de riesgos)
Parte 1
IEC 61511-1, 9, 10: Asignación de los requisitos de seguridad a las funciones instrumentadas
de seguridad y desarrollo de la especificación de los requisitos de seguridad
Parte 1
IEC 61511-1, 11, 12
Fase de diseño para los sistemas Fase de diseño para el software del
instrumentados de seguridad sistema instrumentado de seguridad
Parte 1
IEC 61511-1, 13, 14, 15: Prueba de aceptación de fábrica, instalación y puesta en
marcha y validación de seguridad de los sistemas instrumentados de seguridad
Parte 1
IEC 61511-1, 16, 17, 18: Funcionamiento y mantenimiento, modificación y readaptación,
desmantelamiento o desecho de los sistemas instrumentados de seguridad
Elementos de respaldo
Parte 1
IEC 61511-1, 2: Referencias
IEC 61511-1, 3: Definiciones y abreviaturas
IEC 61511-1, 4: Cumplimiento con la normativa
IEC 61511-1, 5: Gestión de la seguridad funcional
IEC 61511-1, 6: Requisitos del ciclo de vida de la seguridad
IEC 61511-1, 7: Verificación
IEC 61511-1, 19: Requisitos de información
IEC 61511-1, Anexo A: Diferencias
Parte 2
IEC 61511-2: Guía para la aplicación de la parte 1
Parte 3
IEC 61511-3: Guía para la determinación de los
niveles de integridad de seguridad requeridos
Figura 1: Estructura de la norma
5
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Nota: En muchos países tienen una legislación o normativa similar a la “Health and Safety
at Work Act etc. 1974” del Reino Unido, citada en el texto como referencia. Para simplificar
en este documento, por favor asuma que cuando se cita la “Health and Safety at Work act”,
también implica otras leyes y normativas pertinentes que puedan existir en su país.
6
MANUAL DE SEGURIDAD DE PROCESOS 1
Introducción a IEC 61511
Además, debe ser responsabilidad del empleador llevar a cabo sus tareas de forma que
garantice, en la medida en que resulte razonablemente práctico, que las personas a las
que no emplea y que pudieran verse afectadas no queden expuestas a riesgos a su salud
o a su seguridad.
La norma IEC 61511 establece que para declarar la conformidad debe demostrarse que
se hayan cumplido los requisitos de la norma de acuerdo a los criterios requeridos y que,
en cada cláusula o subcláusula, se hayan cumplido todos los objetivos.
En la práctica, por lo general resulta difícil demostrar la conformidad total con cada
cláusula y subcláusula de la norma y se precisa cierto juicio para determinar el nivel
de rigor aplicado al cumplimiento de los requisitos. Normalmente, el grado de rigor
necesario depende de determinados factores como, por ejemplo:
En otras palabras debe tomarse una decisión basada en el riesgo. En caso de falta de
experiencia, cierta participación externa aumentaría la credibilidad de la declaración.
Puesto que la norma no es una ley, ya sea que usted cumpla con sus requisitos o no, usted
debe ser consciente de las consecuencias de la falta de conformidad. Como empleado,
responsable a cargo o responsable del riesgo, usted tiene la obligación, conforme a la Ley
de Salud y Seguridad en el Trabajo, de controlar el riesgo en su lugar de trabajo.
Esta norma proporciona un enfoque sistemático a la gestión de todas las actividades del
ciclo de vida de seguridad para sistemas que acostumbran a desempeñar funciones de
seguridad y constituye, por lo tanto, una fuente adecuada de información y de técnicas.
En caso de que algo saliera mal y, como consecuencia, alguien resultara herido o
enfermara y usted no hubiera utilizado la mejor información a su disposición sobre la
gestión del riesgo en cuestión, estaría en riesgo de ser investigado y procesado de
acuerdo con la Ley de Salud y Seguridad en el Trabajo.
Está claro que, si usted está implicado en cualquier fase del ciclo de vida de seguridad,
sería razonable esperar que aplique la mejor información a su disposición para
garantizar que los riesgos asociados a su planta se controlen a un nivel tolerable. Podría
argumentarse que la mejor información disponible es la norma IEC 61511 y, por lo tanto,
en caso de que algo fuera mal, el incumplimiento podría interpretarse como negligencia.
Existen numerosas plantas que fueron diseñadas y construidas antes de que la norma
IEC 61511 se publicara formalmente y se encontrara disponible. Sin embargo, esta situación
no supone un cambio en sus responsabilidades y, si usted está implicado en alguna fase
del ciclo de vida de seguridad de una planta antigua (por ejemplo, funcionamiento,
mantenimiento, etc.), entonces sus obligaciones permanecen conforme a la Ley de Salud y
Seguridad en el Trabajo y los riesgos deben seguir siendo controlados como corresponda.
La norma, por lo tanto, sigue siendo aplicable a estas plantas antiguas.
En realidad, puede que sienta la necesidad de volver a las fases iniciales del ciclo de vida
de seguridad de la planta existente y revisar o incluso realizar un nuevo estudio de riesgos
y operabilidad (HAZOP) partiendo de cero. Al llevar el proceso hasta su conclusión,
es posible que usted identifique riesgos no protegidos por las funciones de seguridad
existentes, y será responsabilidad suya controlar dichos riesgos de algún modo.
8
MANUAL DE SEGURIDAD DE PROCESOS 1
Introducción a IEC 61511
y puede cuantificar la frecuencia de los peligros de una forma más precisa, utilizando
sus propios registros históricos, que si se tratara de una instalación nueva. Deberá, por
lo tanto, poder demostrar mediante un análisis que los riesgos que ha identificado son
tolerables.
• Requisitos contractuales;
• Optimización de la arquitectura del diseño;
• Posible ventaja en lo que respecta a marketing.
Por lo tanto, cuando un fabricante declara, por ejemplo, que su producto es un sensor de
presión SIL2 o un PLC SIL3 en realidad significa que el sensor de presión es adecuado para
ser usado en una función de seguridad SIL2 o que el PLC es adecuado para ser usado en
una función de seguridad SIL3.
Las declaraciones del fabricante pueden respaldarse incluso con un certificado SIL
emitido por un organismo de evaluación independiente, pero esto no significa que la
función de seguridad original cumpla con los requisitos de nivel de integridad de
seguridad (SIL). El certificado SIL no es sustituto de la demostración de conformidad,
9
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
10
MANUAL DE SEGURIDAD DE PROCESOS 1
Ciclo de vida de seguridad general
Asignación de funciones de
2
seguridad a capas de protección
evaluación y auditoría de la seguridad funcional
5
Instalación, puesta en marcha Verificación
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
11
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
riesgo. Esto resulta fundamental para comprender los peligros y los riesgos que entraña el
proceso.
Una vez que se establece la reducción de riesgos necesaria, se especifican los medios para
obtenerla durante la asignación (fase 2) y los requisitos de seguridad generales (fase 3).
Muchos de los requisitos de la norma son técnicos por naturaleza, pero el enfoque
del ciclo de vida concede la misma importancia a actividades de gestión efectivas
como la planificación, la documentación, el funcionamiento, el mantenimiento, etc.
y la modificación, y éstas deben incluirse en todas las fases. Las actividades de
documentación, gestión y evaluación son paralelas, y resultan aplicables, a todas las
fases y a las actividades del ciclo de vida que se muestran en la Figura 2.
La conformidad con la norma requiere comprender el ciclo de vida y que las actividades
especificadas se lleven a cabo y se documenten. El seguimiento del ciclo de vida no es
un ejercicio de papeleo que pueda satisfacerse generando informes y marcando casillas.
La conformidad requiere que las actividades se lleven a cabo de forma efectiva y que se
produzca información en casa fase, que permita ejecutar las fases posteriores.
12
MANUAL DE SEGURIDAD DE PROCESOS 1
Ciclo de vida de seguridad general
Rara vez se aplica un alcance de actividad limitado y se recomienda tener en cuenta todas
las fases del ciclo de vida. Por ejemplo, para un operario, las modificaciones en las fases
de funcionamiento y de mantenimiento pueden requerir decisiones y evaluaciones
previas; por ejemplo, la re-evaluación del HAZOP y del análisis de riesgos volviendo atrás
en el ciclo de vida.
Cada fase del ciclo de vida describe una actividad, y cada actividad cuenta con requisitos
de información en forma de entradas. Cada fase consiste de una actividad, para la que
usted debe disponer de procedimientos documentados, que produce información en
forma de salidas para utilizar en las fases posteriores.
Debe tenerse en cuenta que, a pesar de que la norma describe las fases del ciclo de vida
y los requisitos informativos de cada fase, en la práctica algunas de las fases y de los
documentos asociados a ellas pueden combinarse si resulta apropiado. La claridad y la
simplicidad son importantes, y las actividades deben llevarse a cabo y la información
debe presentarse de la forma más efectiva posible.
13
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
I/P 1. Análisis de
peligros y
O/P riesgos
Descripción de información relacionada con
el análisis de peligros y riesgos.
Análisis de peligros y riesgos: Peligros; frecuencias de evento
iniciador; otras medidas para reducir riesgos; consecuencias; 11. Planifi-
riesgo; consideración del riesgo máximo tolerable; cación
disponibilidad de datos; supuestos relativos a la documentación.
14
MANUAL DE SEGURIDAD DE PROCESOS 1
Ciclo de vida de seguridad general
I/P3. Especificación
requisitos de
O/P seguridad
Especificación de los requisitos de seguridad SIS.
Puede incluir C y E.
Debe incluir:
a) especificación de estado de seguridad;
b) requisito para pruebas de calidad;
c) tiempo de respuesta;
d) interfaces de operador necesarias;
e) interfaces a otros sistemas;
f ) modos de operación;
g) comportamiento a la hora de detectar un fallo;
h) requisitos para desactivación manual;
i) requisitos de software de aplicación;
j) medida de fiabilidad SIL y específica
k) ciclo de servicio y vida útil;
l) condiciones medioambientales probables de encontrar;
m) límites CEM;
n) limitaciones debido a CCF.
Ver IEC 61511-1, 10.3 para requisitos completos.
I/P 4. Diseño e
ingeniería
O/P
15
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Las entradas, las salidas y las actividades asociadas con la fase 7 (Modificación) son
esencialmente las mismas que las asociadas con la fase 8 (Desmantelamiento). De hecho,
el desmantelamiento es una modificación que tiene lugar al final del ciclo de vida que se
inicia con los mismos controles y que se controla con los mismos dispositivos de
seguridad (Figura 6).
16
MANUAL DE SEGURIDAD DE PROCESOS 1
Ciclo de vida de seguridad general
17
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
18
MANUAL DE SEGURIDAD DE PROCESOS 1
Peligros e identificación de peligros
Asignación de funciones de
2
seguridad a capas de protección
evaluación y auditoría de la seguridad funcional
Verificación
Instalación, puesta en marcha
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 8.1, es determinar:
19
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
3.2. Peligros
20
MANUAL DE SEGURIDAD DE PROCESOS 1
Peligros e identificación de peligros
21
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Ventilador de
enfriamiento
Intercambiador
de calor
Suministro de
enfriamiento
Depósito
Bomba
La finalidad del diseño de esta pequeña sección de la planta podría ser hacer circular de
forma continua agua de enfriamiento a una temperatura de X ºC y a una tasa de XXX
litros/hora. Normalmente, los estudios HAZOP se dirigen a esta finalidad del diseño de
nivel bajo. El uso de la palabra desviación resulta ahora más sencillo de comprender.
Una desviación o divergencia respecto a la finalidad del diseño en el caso de nuestras
instalaciones de enfriamiento de agua sería la reducción del flujo de circulación o el
aumento de la temperatura del agua.
En este ejemplo, el aumento en la temperatura del agua sería el peligro, ya que tendría el
potencial de ocasionar daños como, por ejemplo, lesiones personales, efectos nocivos en
el medio ambiente o perjuicios al negocio.
22
MANUAL DE SEGURIDAD DE PROCESOS 1
Peligros e identificación de peligros
El estudio HAZOP se lleva a cabo en un foro de encuentro entre las partes interesadas con
conocimientos y experiencia suficientes sobre el funcionamiento y el mantenimiento de
la planta. La reunión es una sesión de tormenta de ideas estructurada, en la que se
utilizan palabras guía para estimular ideas acerca de cuáles podrían ser los peligros. En el
acta de la reunión se registran los temas de discusión y se reúne la información acerca de
peligros potenciales, sus causas y sus consecuencias.
Es importante que el equipo del estudio HAZOP esté formado por personal que aporte al
estudio el mejor equilibrio entre conocimientos y experiencia, teniendo en cuenta el tipo
de planta. Un equipo del estudio HAZOP típico está formado del siguiente modo:
Nombre Puesto
Los siguientes elementos deben estar a disposición del equipo del estudio HAZOP para
consultarlos:
23
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
En el proceso del estudio HAZOP se utilizan palabras guía para centrar la atención del
equipo en las desviaciones respecto a la finalidad del diseño, sus posibles causas y
consecuencias. Estas palabras guía se dividen en dos subgrupos:
La técnica completa depende del uso efectivo de estas palabras guía, así que el equipo
debe comprender con claridad su significado y su uso.
Debe tenerse en cuenta que las palabras guía se utilizan simplemente para estimular
la imaginación sobre lo que podría ocurrir. No todas las palabras guía tendrán mucho
sentido; no todos los peligros serán creíbles. En estos casos, se recomienda que en caso
de que el equipo identifique eventos sin mucho sentido o no creíbles, se registren como
tales y el equipo no pierda tiempo en continuar con su trabajo.
24
MANUAL DE SEGURIDAD DE PROCESOS 1
Peligros e identificación de peligros
Para hacerlo se debe considerar cada uno de los modos de funcionamiento especificados en
el alcance, como ejercicio independiente y produciendo un análisis HAZOP independiente
para cada uno. Como alternativa, en el caso de sistemas relativamente sencillos, puede
incluirse una columna adicional en las hojas de trabajo para identificar el modo. De este
modo un solo análisis HAZOP puede considerar todos los modos de funcionamiento.
Existen herramientas de software disponibles para guiarle a lo largo del proceso del
estudio HAZOP. Como alternativa puede elaborarse una sencilla hoja de cálculo, para
registrar los debates y los resultados. Las hojas de cálculo permiten realizar de forma
sencilla la clasificación y la categorización, a la vez que proporcionan visibilidad y facilidad
de rastreo entre las diferentes entradas, de modo que se puedan mantener referencias
cruzadas con otros análisis.
Además de lo anterior, con frecuencia se utilizan las palabras secundarias “Todo” y “Resto”.
Por ejemplo, determinadas combinaciones de palabras guía primarias pueden identificarse
como representantivas de causas creíbles (por ejemplo, Flujo/No Flujo/Retroceso. En el caso
de otras combinaciones (Flujo/Menos, Flujo/Más, Flujo/Otro), en las que no pueden utilizarse
causas creíbles, puede utilizarse la combinación “Flujo/Resto”.
3.6.7. Identificación de peligros – Encabezados de las hojas de trabajo del estudio HAZOP
En la siguiente tabla se presenta un ejemplo de hoja de trabajo del estudio HAZOP para
la cámara de descompresión. Tenga en cuenta que se trata de un ejemplo meramente
figurativo que no está pensado para ilustrar el sistema real.
Referencia
Siempre vale la pena incluir una columna de referencia de modo que pueda hacerse
referencia a cada entrada desde otros análisis, lo que hace posible también la facilidad
de rastreo para un análisis posterior (por ejemplo, un LOPA [8]).
Palabras guía
25
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Desviación
La desviación es la divergencia respecto a la finalidad del diseño iniciada por las palabras
guía primarias y secundarias, y representa el peligro identificado.
Causa
Consecuencia
Las consecuencias que podrían surgir del efecto de la desviación y, si resulta apropiado,
de la propia causa. Siempre sea explícito al registrar las consecuencias. No dé por hecho
que el lector comprenderá más adelante cuál es el peligro o cómo se desarrollarán las
consecuencias.
Dispositivos de seguridad
En esta columna se registran todos los dispositivos de protección existentes que ya sea
eviten la causa o que protejan contra las consecuencias. Es necesario que los dispositivos
de seguridad no se limiten al hardware; si resulta adecuado, pueden contabilizarse
aspectos de procedimiento tales como inspecciones regulares de la planta (si está seguro
de que realmente se realizan Y de que pueden actuar como prevención o protección).
26
MANUAL DE SEGURIDAD DE PROCESOS 1
Peligros e identificación de peligros
PT102
P
Importación
líquido
XV102 Exportación
gas
FCV102
LH
LH101
TT100
T LL
LL101 Exportación
líquido
XV101
FCV100 XV100
Quemador
Suministro
gas combustible
FCV100
27
Ref. Palabra guía Palabra guía Desviación Peligro Consecuencia
primaria secundaria
01.01 Flujo Más Flujo elevado de líquido de proceso Un flujo elevado en la cámara puede dar lugar Los daños del equipo en la rama descendente requieren la sustitución
en la cámara. a un nivel elevado, con arrastre de líquido a la de la cámara valorada en €10M y una interrupción del proceso de
exportación de gas. 6 meses.
01.02 Flujo elevado del líquido de proceso fuera Un flujo elevado desde la cámara puede dar lugar a un Los daños del equipo en la rama descendente requieren la limpieza de la cámara
desde la exportación de líquido de la cámara. nivel bajo, fuga de gas en la exportación de líquido. valorada en €2M y una interrupción del proceso de 6 semanas.
01.03 Flujo elevado de gas hacia fuera desde Ningún peligro creíble Ninguna.
la exportación de gas de la cámara.
01.04 Menos Flujo bajo de líquido de proceso Un flujo bajo hacia la cámara puede dar lugar a un nivel Los daños del equipo en la rama descendente requieren la limpieza de la cámara
en la cámara. bajo, fuga de gas en la exportación de líquido. valorada en €2M y una interrupción del proceso de 6 semanas.
01.05 Flujo bajo del líquido de proceso Un flujo bajo desde la cámara puede dar lugar Los daños del equipo en la rama descendente requieren la sustitución
fuera desde la exportación de a un nivel elevado, con arrastre de líquido a la de la cámara valorada en €10M y una interrupción del proceso de
líquido de la cámara. exportación de gas. 6 meses.
01.06 Flujo bajo de gas hacia fuera desde la Ningún peligro creíble Ninguna.
exportación de gas de la cámara.
01.07 Retroceso No creíble. Ningún peligro creíble Ninguna.
01.08 También No creíble. Ningún peligro creíble Ninguna.
01.09 Otro No creíble. Ningún peligro creíble Ninguna.
01.10 Presión Más Presión elevada en la cámara. Rotura de la cámara y liberación del gas. La liberación del gas prende en el quemador y las superficies calientes.
3.7.2. HAZOP de la cámara separadora
01.11 Menos Presión baja en la cámara. Rotura de la cámara y liberación del gas. La liberación del gas prende en el quemador y las superficies calientes.
28
Posiblemente dos víctimas entre el personal de mantenimiento. Los daños
MANUAL DE SEGURIDAD DE PROCESOS 1
01.16 Menos Temperatura baja en la cámara. Congelación potencial del líquido (solidificación), Los daños del equipo requieren la sustitución de la cámara valorada
rotura de la cámara y pérdida de contención. en €10M y una interrupción del proceso de 6 meses. Emisiones al
medio ambiente que requieren notificación.
01.17 Retroceso No creíble. Ningún peligro creíble Ninguna.
01.18 También No creíble. Ningún peligro creíble Ninguna.
01.19 Otro No creíble. Ningún peligro creíble Ninguna.
01.20 Nivel Más Nivel elevado en la cámara. Un nivel elevado en la cámara puede dar lugar a Los daños del equipo en la rama descendente requieren la sustitución
arrastre de líquido en la exportación de gas. de la cámara valorada en €10M y una interrupción del proceso de
6 meses.
01.21 Menos Nivel bajo en la cámara. Un nivel bajo en la cámara puede dar lugar a fuga Los daños del equipo en la rama descendente requieren la limpieza de la cámara
Seguridad funcional en la industria de proceso
de gas en la exportación de líquido. valorada en €2M y una interrupción del proceso de 6 semanas.
01.22 Retroceso No creíble. Ningún peligro creíble Ninguna.
01.23 También No creíble. Ningún peligro creíble Ninguna.
01.24 Otro No creíble. Ningún peligro creíble Ninguna.
MANUAL DE SEGURIDAD DE PROCESOS 1
Peligros e identificación de peligros
Peligro Consecuencia
Un nivel bajo en la cámara Los daños al equipo en la rama descendente requieren limpieza de la
puede dar lugar a fuga de cámara, valorada en €2M, e interrupción del proceso de 6 semanas.
gas a la exportación de
líquido.
Una presión baja causa Gas liberado prende en el quemador y en superficies calientes.
la rotura de la cámara y Posiblemente dos víctimas del personal de mantenimiento.
la liberación de gas. Daños al equipo requieren sustituir la cámara, valorada en €10M, e
interrupción del proceso de 1 año. Emisión leve al medio ambiente.
29
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Un riesgo es la posibilidad de que un peligro cause un efecto adverso que pueda medirse.
Se trata, por lo tanto, de un concepto con dos partes y, para que tenga sentido, es
necesario contar con ambas partes. Las posibilidades pueden expresarse de diferentes
formas como, por ejemplo, una probabilidad: 1 caso de cada 1000; como frecuencia o
tasa: 1000 casos al año; o de forma cualitativa: insignificantes o significativas.
4
Probabilidad de
Media Crítica
que ocurra
2
Baja Alta
1
1 2 3 4
Gravedad de la consecuencia
Figura 10: Matriz de riesgos
30
MANUAL DE SEGURIDAD DE PROCESOS 1
Riesgo y reducción de riesgos
probabilidad de suceso es baja, el riesgo podría considerarse “Alto”. Por lo general, una
oportunidad remota de que se produzca un evento catastrófico debería requerir mayor
atención que una molestia menor que se da con frecuencia.
Hasta ahora, los ejemplos de riesgos están relacionados únicamente a la seguridad del
personal, pero no existe ninguna razón para no adoptar el mismo enfoque con riesgos
medioambientales, al negocio en términos de riesgos a un activo o a la capacidad de
obtener ingresos o incluso a la reputación de una empresa, además de para la seguridad
en lo que respecta a los problemas de suministro que pueden afectar a las empresas de
generación energética.
A primera vista, puede llevarse a cabo una evaluación de riesgos como parte del HAZOP,
lo que se conoce como análisis de peligro (HAZAN). Como se muestra en la Figura 10,
cada peligro puede categorizarse en términos de su gravedad (normalmente del 1 al 4,
siendo el 4 el más grave) y de su probabilidad de suceso, o frecuencia (del 1 al 4, siendo
el 4 el más probable).
Eliminar la causa del peligro es siempre la solución preferida. Únicamente cuando no sea
factible, se debe considerar la opción de mitigar las consecuencias.
En las hojas de trabajo del HAZOP se identifican asimismo acciones para investigar a
mayor profundidad. En este ejemplo se identificaron las siguientes acciones.
31
Ref. Desviación Peligro Consecuencia Dispositivos de Acción
Cat. grav. Cat. frec. RPN
seguridad
01.01 Flujo elevado de líquido de Un flujo elevado en la cámara puede dar Los daños del equipo en la rama descendente requieren la sustitución Control de nivel. Considerar la instalación
proceso en la cámara. lugar a un nivel elevado, con arrastre de de la cámara valorada en €10M y una interrupción del proceso de 3 2 6 de una alarma de nivel
líquido a la exportación de gas. 6 meses. elevado.
01.02 Flujo elevado del líquido de proceso fuera Un flujo elevado desde la cámara puede dar Los daños del equipo en la rama descendente requieren la limpieza de la cámara Control de nivel. Considerar la instalación
desde la exportación de líquido de la cámara. lugar a un nivel bajo, fuga de gas en el líquido. valorada en €2M y una interrupción del proceso de 6 semanas. 2 1 2 de una alarma de nivel bajo.
01.03 Flujo elevado de gas hacia fuera desde la Ningún peligro creíble Ninguna. Ninguna.
exportación de gas de la cámara.
01.04 Flujo bajo de líquido de proceso Un flujo bajo hacia la cámara puede dar lugar Los daños del equipo en la rama descendente requieren la limpieza de la cámara Control de nivel. Considerar la instalación
en la cámara. a un nivel bajo, fuga de gas en el líquido. valorada en €2M y una interrupción del proceso de 6 semanas. 2 2 4 de una alarma de nivel bajo.
01.05 Flujo bajo del líquido de proceso Un flujo bajo desde la cámara puede dar Los daños del equipo en la rama descendente requieren la sustitución Control de nivel. Considerar la instalación
fuera desde la exportación de lugar a un nivel elevado, con arrastre de de la cámara valorada en €10M y una interrupción del proceso de 3 1 3 de una alarma de nivel
líquido de la cámara. líquido a la exportación de gas. 6 meses. elevado.
01.06 Flujo bajo de gas hacia fuera desde la Ningún peligro creíble Ninguna. Ninguna.
exportación de gas de la cámara.
32
01.11 Presión baja en la cámara. Rotura de la cámara y liberación del La liberación del gas prende en el quemador y las superficies calientes. Control de presión. Considerar la instalación
MANUAL DE SEGURIDAD DE PROCESOS 1
gas. Posiblemente dos víctimas entre el personal de mantenimiento. Los daños de una alarma de nivel
del equipo requieren la sustitución de la cámara valorada en €10M y una 4 1 4 bajo.
interrupción del proceso de 1 año. Emisión leve al medio ambiente.
01.16 Temperatura baja en la cámara. Congelación potencial del líquido Los daños del equipo requieren la sustitución de la cámara valorada Control de temperatura. Considerar la instalación
(solidificación), rotura de la cámara y en €10M y una interrupción del proceso de 6 meses. Emisiones al 3 1 3 de una alarma de
pérdida de contención. medio ambiente que requieren notificación. temperatura baja.
01.17 No creíble. Ningún peligro creíble Ninguna. Ninguna.
01.18 No creíble. Ningún peligro creíble Ninguna. Ninguna.
01.19 No creíble. Ningún peligro creíble Ninguna. Ninguna.
01.20 Nivel elevado en la cámara. Un nivel elevado en la cámara puede Los daños del equipo en la rama descendente requieren la sustitución Control de nivel. Considerar la instalación
dar lugar a arrastre de líquido en la de la cámara valorada en €10M y una interrupción del proceso de 3 2 6 de una alarma de nivel
exportación de gas. 6 meses. elevado.
01.21
Seguridad funcional en la industria de proceso
Nivel bajo en la cámara. Un nivel bajo en la cámara puede dar lugar a Los daños del equipo en la rama descendente requieren la limpieza de la cámara Control de nivel. Considerar la instalación
fuga de gas en la exportación de líquido. valorada en €2M y una interrupción del proceso de 6 semanas. 2 1 2 de una alarma de nivel bajo.
01.10 Rotura de la cámara y Posibles víctimas del Considerar la J Jones Process 21/04/12
liberación de gas. personal de instalación de una Dept
mantenimiento. Daños alarma de presión
al equipo. Emisiones al elevada.
medio ambiente.
01.11 Rotura de la cámara y Posibles víctimas del Considerar la J Jones Process 21/04/12
liberación de gas. personal de instalación de una Dept
mantenimiento. Daños alarma de presión
al equipo. Emisiones al baja.
medio ambiente.
33
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
La tabla resultante permite de este modo categorizar los riesgos de muy bajos (VL),
bajos (L), medios (M), altos (H) a muy altos (VH), de acuerdo a la categoría de gravedad
y a la frecuencia.
34
Verosimilitud
Gravedad A B C D E F G H
Catastrófica
6 VL L M H VH VH VH VH
10 -6/año
Grave
5 VL L M H VH VH VH
10 -5/año
Importante
35
4 VL L M H VH VH
10 -4/año
Moderado
3 VL L M H VH
10 -3/año
Menor
2 VL L M H
10 -2/año
Incidente
1 VL L M
10 -1/año
Claramente los riesgos que son muy altos resultan obviamente inaceptables (por ejemplo,
fumar al estar embarazada) y en otras situaciones en las que el riesgo es tan bajo que
resulta insignificante (por ejemplo, hervir leche). Por supuesto, el área de discusión más
interesante es la zona intermedia de riesgo tolerable. La tarea es, por lo tanto, definir las
dos condiciones límite:
En el caso de la población general que está sometida a riesgos, este límite está
considerado en un orden de magnitud inferior a 1 en 10,000 al año.
36
MANUAL DE SEGURIDAD DE PROCESOS 1
Riesgo y reducción de riesgos
Área Área
no aceptable no aceptable
10-3 pa 10-4 pa
Riesgo creciente
Riesgo creciente
Área Área
tolerable tolerable
10-6 pa 10-6 pa
Área Área
ampliamente ampliamente
aceptable aceptable
Al determinar el riesgo cuantitativo que presentan los peligros identificados en, digamos,
un HAZOP, es necesario establecer criterios de riesgo cuantitativo y tener en cuenta otros
peligros laborales a los que un individuo estará expuesto durante su jornada laboral. No
es irrazonable suponer que un individuo pueda estar expuesto a unos 10 peligros de
dicho tipo. La tolerabilidad de los criterios de riesgo (Figura 12) puede entonces
distribuirse entre estos 10 peligros, obteniendo un riesgo individual máximo tolerable de
fallecimiento de 1 en 10,000 al año (Figura 13).
37
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
38
MANUAL DE SEGURIDAD DE PROCESOS 1
Riesgo y reducción de riesgos
El resumen de tolerabilidad del riesgo (Figura 15) puede representarse en forma gráfica,
tal y como se muestra en la Figura 16.
Múltiples
víctimas
Riesgo máximo
tolerable –
empleado
Gravedad de la consecuencia
Riesgo máximo
tolerable –
población general
Una
víctima
Lesiones
Riesgo insignificante
39
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Los requisitos de los niveles de integridad de seguridad (SIL) derivan de las frecuencias
posibles de eventos peligrosos. En función de las consecuencias de un peligro, se
establece una frecuencia máxima tolerable y una función de seguridad diseñadas para
reducir la frecuencia a un nivel tolerable.
40
MANUAL DE SEGURIDAD DE PROCESOS 1
Principio ALARP
5. Principio ALARP
5.1. Beneficios y sacrificios
Así, la demostración de que se han reducido los riesgos de acuerdo al principio ALARP
implica una evaluación de:
Este proceso puede abarcar diferentes grados de rigor, que dependen de:
41
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
5.2. Desproporcionalidad
Los factores de desproporción que pueden considerarse excesivos varían desde más de
1 en función de varios factores entre los que se incluyen la gravedad de las consecuencias
y la frecuencia en la que se hagan efectivas dichas consecuencias; es decir, cuanto mayor
sea el riesgo, mayor será el factor de desproporción.
En el caso de muchas decisiones en las que interviene el principio ALARP, la HSE no espera
que los responsables a cargo lleven a cabo un análisis de coste-beneficio detallado, sino
que puede bastar una sencilla comparación de costes a beneficios.
42
MANUAL DE SEGURIDAD DE PROCESOS 1
Principio ALARP
Entre los costes justificables que pueden tenerse en cuenta en un análisis de coste-
beneficio se incluyen:
• Instalación;
• Funcionamiento;
• Formación;
• Todo mantenimiento adicional;
• Pérdidas comerciales derivadas de cualquier interrupción ocasionada con el
único propósito de introducir la medida;
• Intereses derivados de producción postergada; por ejemplo, petróleo o gas
restante en un campo petrolífero/de gas mientras se llevan a cabo trabajos en
una plataforma;
• Todos los costes declarados deben ser aquellos en que haya incurrido el
responsable a cargo (no se tendrán en cuenta los costes en que hayan incurrido
las demás partes, por ejemplo, la población general);
• Los costes que deben considerarse deben ser únicamente aquellos
necesarios para implementar la medida de reducción de riesgos (sin añadir
funcionalidades costosas e innecesarias ni adoptando medidas de lujo).
• Fallecimientos evitados;
• Lesiones evitadas (de más graves a menos graves);
• Enfermedades evitadas;
• Daños medioambientales evitados, si son relevantes (por ejemplo, COMAH).
Entre los beneficios declarados puede incluirse asimismo la elusión del despliegue de
servicios de emergencia y la elusión de contramedidas como la evacuación y la
descontaminación posterior al accidente, si se estimara oportuno. No obstante, para
comparar los beneficios de implementar una mejora de seguridad contra los costes
asociados, la comparación debe establecerse sobre una base común. Un método sencillo
para llevar a cabo un primer filtro de medidas es indicar los costes y los beneficios en un
formato común de “€ al año” durante la vida útil de una planta.
43
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
En la Tabla 1 se muestran algunos de los valores monetarios típicos que pueden utilizarse.
Otros casos de mala salud. Más de una €2,300 + €180 por día
semana de ausencia. Sin consecuencias de ausencia
permanentes a la salud.
5.5. Ejemplo
• 20 víctimas mortales;
• 40 personas con lesiones permanentes;
• 100 heridos graves;
• 200 heridos leves.
44
MANUAL DE SEGURIDAD DE PROCESOS 1
Principio ALARP
Para que una medida se considere no razonablemente practicable, el coste debe ser
excesivamente desproporcionado con respecto a los beneficios. En este caso, el factor
de desproporción refleja que las consecuencias de explosiones de ese tipo son altas. Es
improbable obtener un factor de desproporción de más de 10 y, por lo tanto, resultaría
razonablemente práctico gastar hasta unos €93,000 (€9300 x 10) para eliminar el riesgo
de una explosión. El responsable a cargo tendría que justificar el uso de un factor de
desproporción menor.
Puede utilizarse este tipo de análisis sencillo para eliminar o incluir determinadas medidas
costeando varios métodos alternativos de eliminación o de reducción de riesgos.
Enfoque alternativo
Normalmente, las organizaciones emplean un coste por objetivo de vida salvada (o valor
de prevención de un fallecimiento estadístico (VPF).
El coste derivado de evitar víctimas mortales durante la vida útil de la planta se compara
al valor de prevención de un fallecimiento estadístico objetivo.
45
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
5.6. Ejemplo
En una industria en particular se utiliza un coste por objetivo de vida salvada de €2M. Se
ha establecido un objetivo de riesgo tolerable máximo de 10-5 por año para un peligro
específico, con una posibilidad de ocasionar 2 víctimas mortales.
Respuesta: El número de vidas salvadas durante la vida útil de la planta viene dado por:
El VPF calculado es > 10 veces el criterio de coste objetivo vida salvada de €2M y, por lo
tanto, la propuesta debe rechazarse.
46
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinación de objetivos del SIL
Por ejemplo, supongamos que en nuestra fábrica tenemos una media de 1 incendio
cada 2 años y que, de no hacer nada más, dicho incendio provocaría víctimas mortales.
Podríamos dibujar un diagrama de la frecuencia de víctimas mortales (Figura 17); dicha
frecuencia sería de 0.5/año.
Conlleva
víctima(s)
Riesgo inherente
al proceso
Fuego fábrica
Frecuencia
peligro
Uno cada 2 años
Frecuencia de letalidad
Figura 17: Frecuencia de mortalidad
47
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
En este caso, es fundamental que, al estudiar las consecuencias del incendio, no tomemos
en cuenta las medidas de seguridad existentes que puedan haberse instalado. Se buscan
las consecuencias en el peor de los casos.
Si posteriormente se instala una alarma de humo que, dijéramos, funcionara 9 veces de
cada 10, se esperaría una víctima mortal en la única ocasión, de 10 incendios, en que se
produjera un fallo de funcionamiento de la alarma a demanda. En este caso, la frecuencia
de víctimas mortales se reduciría de 1 cada 2 años a 1 cada 20 años.
Conlleva
víctima(s)
Riesgo inherente
al proceso
La alarma de humo
funciona 9 de cada 10 veces
Fuego fábrica
Frecuencia
peligro
Uno cada 20 años Uno cada 2 años
Frecuencia de letalidad
Figura 18: Frecuencia de mortalidad reducida
48
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinación de objetivos del SIL
Conlleva
víctima(s)
Nivel de riesgo Riesgo inherente
tolerable al proceso
Intervalo de riesgo
10-4/año 1/año
Frecuencia peligro
Figura 19: Intervalo de riesgo
Podemos entonces contabilizar los dispositivos de seguridad que pueden ya existir para
reducir la frecuencia del peligro, como por ejemplo una alarma (Figura 20). En este caso, la
alarma reduce la frecuencia de la consecuencia del peligro mediante su probabilidad de
fallo a demanda (PFD). Por lo tanto se reduce el intervalo de riesgo, pero el riesgo residual
general, a pesar de ser menor, sigue siendo mayor que el riesgo máximo tolerable.
49
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Conlleva
víctima(s)
Nivel de riesgo Riesgo inherente
tolerable al proceso
PFD = 0.1
Alarmas
Intervalo de riesgo
Conlleva
víctima(s)
Nivel de riesgo Riesgo Riesgo inherente
tolerable intermedio al proceso
PFD <0.1 PFD = 0.1 PFD = 0.1 PFD = 0.1
50
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinación de objetivos del SIL
El hecho de tomar en consideración otras capas de protección puede reducir aún más
el riesgo residual. Es posible que haya dispositivos mecánicos como una válvula de alivio
de presión, un muro contra explosiones o un muro cortafuego. Entre otras medidas de
reducción de riesgos se pueden incluir control de procesos, instrumentación o
procedimientos, y cada una de ellas puede reducir el riesgo residual (Figura 21) mediante
sus respectivas probabilidades de fallo a demanda (PFD). En este ejemplo hemos
contabilizado los diferentes dispositivos de seguridad existentes en la planta y seguimos
teniendo un intervalo de riesgo residual. Podemos ver que, para reducir la frecuencia del
peligro a menos de la frecuencia máxima tolerable se requiere otra capa, con una
probabilidad de fallo a demanda inferior a 0.1. Ésta es la tarea del sistema instrumentado
de seguridad (SIS) (Figura 22). Este cálculo, realizado no obstante de forma gráfica en este
caso, proporciona la probabilidad de fallo a demanda objetivo de nuestro sistema
instrumentado de seguridad (SIS) y permite determinar el objetivo de nivel de integridad
de seguridad (SIL). Éste es un ejemplo de una función de seguridad en modo a demanda.
Conlleva
víctima(s)
Riesgo Nivel de riesgo Riesgo Riesgo inherente
residual tolerable intermedio al proceso
PFD <0.1 PFD = 0.1 PFD = 0.1 PFD = 0.1
51
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
SIS
Sistema instrumentado
de seguridad
Proceso
Suministro
hidráulico Lógica
ESD
Válvula
Purga Transmisor
solenoide
hidráulica de presión
S
PT
Controlador
de presión
PC
Entrada Exportación
gasoducto gasoducto
Válvula Válvula
cierre control presión
52
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinación de objetivos del SIL
Válvula
Purga Transmisor
solenoide
hidráulica de presión
S
PT
Proceso y BPCS
Controlador
de presión
PC
Entrada Exportación
gasoducto gasoducto
Válvula Válvula
cierre control presión
53
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
A menudo resulta confuso que el transmisor de presión que forma parte de una función
de seguridad proporcione supervisión continua de la presión del proceso, lo que no
excluye de funcionar en modo a demanda. El término ’modo a demanda’ está relacionado
con la frecuencia de las demandas de acción ejecutiva (por ejemplo, la frecuencia de
episodios de alta presión).
Sistema de
administración
de quemadores
TT TE TE TT
001 002 003 004
TE TT TE XY
S
405 406 405 101
Aire de combustión
TY
S
102
XY
S
Regulador 101
HC
201
HC
202
Gas principal Gas combustible
XY
S
104
54
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinación de objetivos del SIL
Entre las funciones de seguridad en modo continuo se incluye normalmente los sistemas
de gestión de quemadores y de control de turbinas.
IEC 61511-1, 9.2.4 agrupa los objetivos de probabilidad de fallo a demanda en bandas o
niveles de integridad de seguridad (SIL). En el ejemplo anterior [6.3], contamos con un
objetivo de probabilidad de fallo a demanda de <10-1 para nuestra función de seguridad,
lo que da como resultado un requisito SIL1, como se muestra en la Tabla 2.
≥10-4 a <10-3 3
-3
≥10 a <10 -2 2
≥10-2 a <10-1 1
55
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
≥10-8 a <10-7 3
≥10-7 a <10-6 2
-6 -5
≥10 a <10 1
≥10-4 a <10-3 3
≥10-3 a <10-2 2
-2
≥10 a <10 -1 1
56
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinación de objetivos del SIL
57
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
En la Tabla 3 se confirma que los objetivos del modo continuo son la probabilidad de fallo
peligroso por hora.
Por lo tanto, el sistema de seguridad debe presentar una probabilidad de fallo a demanda
de:
= 10-4 al año/1.67 x 10-3 al año
= 6.0 x 10-2, que equivale a un SIL1.
58
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinación de objetivos del SIL
Controlador
Caldera temperatura
Calentador - TT
Potencia
Salida de
Calentador proceso
Entrada de
Caldera
proceso
59
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
6.11.2. Ejemplo
Suponga que hemos diseñado el proceso de nuestra caldera y calculado su tasa de fallo
para que sea de 5.0 x 10-2 al año, lo que supera ampliamente el objetivo de 4.0 x 10-3 al
año.
Si éste fuera el caso y 1 de cada 400 fallos produjera una víctima mortal, la frecuencia de
mortalidad sería de:
Un enfoque alternativo podría ser dejar que la caldera fallara a esta tasa
insatisfactoriamente elevada, y diseñar una función de seguridad en modo a demanda
para reducir la frecuencia de mortalidad hasta la tasa máxima tolerable (Figura 28).
ESD
Relé
Controlador
Caldera temperatura
Transmisor de
Calentador – TT TT
temperatura
Potencia
Salida de
Calentador proceso
Entrada de
Caldera
proceso
60
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinación de objetivos del SIL
Por tanto:
Nota: estos dos ejemplos nos ofrecen la posibilidad de diseñar el sistema de la caldera en
su conjunto y el equipamiento bajo control, a SIL2, o podemos dejar que el sistema de la
caldera falle y protegerlo con una función de seguridad en modo a demanda SIL1. Ambas
opciones cumplen el objetivo de riesgo máximo tolerable, pero el hecho de diseñar un
sistema SIL1 en modo a demanda de dimensiones reducidas es una opción más rentable
en comparación con un sistema de control de la caldera SIL2.
61
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
7. Diagramas de riesgos
7.1. Introducción
En los apartados [6.10] y [6.11] se presenta un método para determinar los objetivos de
nivel de integridad de seguridad mediante cálculos; no obstante, los diagramas de riesgos
suponen una alternativa útil, especialmente cuando hay numerosos peligros que analizar.
El método del diagrama de riesgos es una técnica útil de seguimiento rápido que puede
aplicarse cuando hay numerosos peligros que analizar.
W3 W2 W1
Ca
Lesión a -- --
importante
Posible 1 a --
de evitar Pa
Exposición rara
Fa
Cb Improbable
Lesión grave, de evitar Pb
una víctima 2 1 a
Exposición Posible
frecuente Fb de evitar Pa
Exposición rara
Inicio Fa
Improbable
Cc de evitar Pb
Varias 3 2 1
Posible
víctimas
Exposición frecuente de evitar Pa
Fb
Improbable
Exposición rara
de evitar Pb
Fa 4 3 2
Cd
Posible
Muchas
de evitar Pa
víctimas Exposición frecuente
Fb
Improbable 5 4 3
de evitar Pb
Figura 29: Diagrama típico de riesgos
Desde el punto de partida, en primer lugar se determinan las consecuencias del peligro:
Ca, Cb, Cc o Cd.
A continuación, debe calcularse la frecuencia o la exposición de la persona más
sometida al riesgo derivado del peligro y elegir entre Fa, exposición poco frecuente, o
Fb, exposición frecuente. Normalmente, si la persona más sometida al riesgo tiene una
probabilidad de encontrarse dentro del rango de alcance de los efectos peligrosos, del
10% o menos, puede seleccionarse la exposición poco frecuente. En caso contrario, la
exposición se puede considerar frecuente.
Desplazándonos por el diagrama de riesgos, si la persona sometida al riesgo tiene la
posibilidad de poder evitar el peligro, por ejemplo, escapando, siendo avisada o siendo
protegida por alguna función, enotnces podemos decir que es posible evitar el peligro y
62
MANUAL DE SEGURIDAD DE PROCESOS 1
Diagramas de riesgos
W3 W2 W1
Ca
Lesión a -- --
importante
Posible 1 a --
de evitar Pa
Exposición rara
Fa
Cb Improbable
Lesión grave, de evitar Pb
una víctima 2 1 a
Exposición frecuente Posible
Fb de evitar Pa
Exposición rara
Inicio Fa
Improbable
Cc de evitar Pb
Varias 3 2 1
Posible
víctimas
Exposición frecuente de evitar Pa
Fb
Improbable
Exposición rara
de evitar Pb
Fa 4 3 2
Cd
Posible
Muchas
de evitar Pa
víctimas Exposición frecuente
Fb
Improbable 5 4 3
de evitar Pb
En este ejemplo, la función de seguridad podría ser un activación de nivel alto que cierra
la válvula de admisión del tanque. Esto tendría un objetivo SIL1.
63
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Tasa de demanda
Gravedad de la Exposición del Alternativas para
Media
Lesión menor
-- -- --
Inhibición posible
Exposición baja 1 -- --
Lesión grave o Inhibición no probable
una víctima 2 1 --
Inhibición posible
Exposición alta 2 1 1
Inhibición no probable
3 2 1
Exposición baja
Múltiples víctimas 3 3 2
Exposición alta
NR 3 3
Catastrófica
NR NR NR
-- = No se requieren características especiales de seguridad
NR = No recomendado Categorías de requisitos
Alto = 0.5 – 5 pa
Medio = 0.05 – 0.5 pa
Bajo < 0.05 pa
Figura 31: Diagrama de riesgos en la industria de proceso
64
MANUAL DE SEGURIDAD DE PROCESOS 1
Diagramas de riesgos
Tasa de demanda
Gravedad de la Exposición del Alternativas para
Media
consecuencia personal evitar el peligro
Baja
Alta
Lesión menor
-- -- --
Inhibición posible
Exposición baja 1 -- --
Lesión grave o Inhibición no probable
una víctima 2 1 --
Inhibición posible
Exposición alta 2 1 1
Inhibición no probable
3 2 1
Exposición baja
Multiple Fatalities 3 3 2
Exposición alta
NR 3 3
Catastrófica
NR NR NR
Categorías de requisitos
Figura 32: Ejemplo de uso del diagrama de riesgos
Una interpretación menos cauta habría dado como resultado un objetivo SIL2.
7.4. Ejemplo
En la Figura 33 se muestra un ejemplo de una matriz de riesgos típica. Las columnas P, A,
E y R ofrecen descripciones de las posibles consecuencias del peligro; las frecuencias de
suceso se describen en términos cualitativos y los niveles de integridad de seguridad (SIL)
objetivo se ofrecen en los puntos en los que se alinean las filas y las columnas.
65
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
A D
P A E R <0.01/año <0.05/año <0.25/año >2/año >2/año
Personas Patrimonio Medio Reputación
ambiente A B C D E
Nunca Ha ocurrido Ha ocurrido Ocurre Ocurre
constatado en la en la varias veces/ varias veces/
en la industria empresa año en la año en las
industria empresa instalaciones
Éste parece ser un enfoque sencillo y útil, pero pueden producirse problemas potenciales
si no se tiene cuidado.
D: Para que los SIL objetivo aumenten por fila y por columna como lo hacen en la
Figura 33, las frecuencias de suceso también deberían aumentar también entre
cada columna en un orden de magnitud.
66
MANUAL DE SEGURIDAD DE PROCESOS 1
Diagramas de riesgos
E: El objetivo SIL de (SIL1) significa que se precisa cierta reducción de riesgos, pero
que no existe un efecto consiguiente. No se precisa ninguna protección si no
existe un evento peligroso.
La matriz de riesgos requiere por lo tanto calibración y se sugiere lo siguiente (Figura 34).
7.5. Resumen
Los diagramas de riesgos y las matrices de riesgos pueden resultar muy útiles, en
particular cuando se utilizan en una primera pasada como técnica de seguimiento rápido
para descartar todo excepto los SIL más elevados (por ejemplo, SIL2 y superiores). No
obstante, una cuidadosa calibración de las técnicas utilizadas debe evitar resultados
incorrectos obtenidos como resultado de algunos de los obstáculos que se muestran
aquí.
67
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Es importante que el equipo del LOPA esté compuesto por personal que aporte al estudio
el mejor equilibrio entre conocimientos y experiencia, de acuerdo al tipo de planta. Un
típico equipo del LOPA se compone como sigue:
Nombre Puesto
68
MANUAL DE SEGURIDAD DE PROCESOS 1
Análisis de capas de protección (LOPA)
Los siguientes elementos deben estar disponibles para que los revise el equipo del LOPA:
Para establecer los objetivos de nivel de integridad de seguridad (SIL) es posible utilizar
la técnica del LOPA, tal y como se describe en el documento del Centro de Seguridad de
Procesos Químicos del Instituto Americano de Ingenieros Químicos (AIChE) Layer of
Protection Analysis, 2001 [19.4].
El LOPA considera los peligros identificados por otros medios, por ejemplo, un HAZOP,
pero puede llevarse a cabo como parte de una reunión HAZOP, realizando una evaluación
de cada peligro a medida que se identifiquen.
El equipo del LOPA considera cada uno de los peligros identificados y documenta las
causas iniciadoras y las capas de protección que previenen o mitigan el peligro. Se
determina entonces la magnitud total de reducción de riesgos y se analiza la necesidad
de llevar a cabo una reducción de riesgos adicional. Si la protección adicional se
proporciona en forma de sistema instrumentado de seguridad, la metodología permitiría
determinar el nivel de integridad de seguridad apropiado y la probabilidad de fallo a
demanda necesaria.
El proceso del LOPA se registra en las hojas de trabajo del LOPA, que permiten cuantificar
los eventos iniciadores y sus frecuencias, junto con la reducción de riesgos proporcionada
por las capas independientes de protección que deben declararse. En los siguientes
apartados se describen los encabezados de las hojas de trabajo y se presenta un ejemplo
de LOPA [8.5].
Si tomamos como ejemplo la cámara de presión [3.7], es posible importar los peligros
identificados a la hoja de trabajo del LOPA y analizar los riesgos.
69
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
8.6.1. Introducción
8.6.4. Consecuencia
Describe las consecuencias del peligro. En el LOPA de ejemplo hemos analizado las
consecuencias del peligro en términos de seguridad personal, riesgos al medio ambiente
y riesgos a los activos (es decir, riesgos comerciales).
70
MANUAL DE SEGURIDAD DE PROCESOS 1
Análisis de capas de protección (LOPA)
Personas P1 1.0E-01 Tratamiento médico al empleado o lesiones que Tratamiento médico o lesiones que ocasionan
(seguridad) ocasionan restricciones de trabajo restricciones de trabajo (a terceros)
P2 1.0E-02 Accidente con tiempo perdido (LTA) del Accidente con tiempo perdido (LTA) (de
empleado sin efecto permanente terceros) sin efecto permanente
P4 1.0E-04 1 víctima entre los empleados y/o varios casos Efectos permanentes (a terceros)
de invalidez permanente
P5 1.0E-05 Varias víctimas entre los empleados (2 – 10) Una víctima de una tercera parte y/o muchos
casos de invalidez permanente
P6 1.0E-06 Muchas víctimas entre los empleados Varias víctimas entre terceras partes
(más de 10)
Medio ambiente E1 1.0E-01 Sin notificación a las autoridades, pero se Sin notificación a las autoridades, pero se
requiere limpieza requiere limpieza mínima. (p. ej., derrame de
1 – 100 litros con kit desplegado)
E2 1.0E-02 Notificación a las autoridades, pero sin Notificación a las autoridades, pero sin
consecuencias medioambientales consecuencias medioambientales. (p. ej.,
derrame de > 100 litros en las instalaciones del
cliente aisladas/protegidas)
71
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
72
MANUAL DE SEGURIDAD DE PROCESOS 1
Análisis de capas de protección (LOPA)
Por ejemplo, supongamos que un operario puede iniciar una sobrepresión en una tubería
cerrando una válvula. Normalmente, el operario abre una válvula de derivación antes de
cerrar la válvula principal y realiza esta acción todos los meses. La frecuencia base (λB) de
esta actividad es, por lo tanto, de 12 al año (una vez al mes).
Podemos suponer que el operario cuenta con buena formación, que la tarea es rutinaria
y que el operario no se encuentra bajo presión, de modo que calculamos que la
probabilidad de que cometa un error, PE, como por ejemplo, que no abra primero la
válvula de derivación, sería de, digamos, 1%. La frecuencia del evento iniciador (λINIT)
puede calcularse del siguiente modo:
λINIT = λB x PE
λINIT = 12 x 1%/año
λINIT = 0.12/año
73
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Un ejemplo de diseño de uso general sería una tubería con revestimiento, que
proporcionaría cierta protección frente a una pérdida de contención. En este ejemplo,
no se ha contabilizado el diseño de uso general, puesto que no existen características
específicas del diseño que proporcionen reducción de riesgos.
En este ejemplo, las capas de protección independientes declaradas en las columnas [e] a
[h] pueden personalizarse para que se adapten a la aplicación. Se han presentado capas
de protección independientes típicas.
Puede declararse una contabilización si un bucle de control del sistema básico de control
de proceso (sistema de control distribuido o DCS) evita que ocurra el peligro como
resultado de una causa iniciadora potencial. En el ejemplo, en el caso de algunas de
causas iniciadoras (por ejemplo, un fallo de apertura de la válvula XV102 de importación
de líquido), el sistema básico de control de proceso (sistema de control distribuido)
puede compensarlo al abrir la válvula de exportación de líquido y evitar así un nivel
elevado. Se ha declarado una probabilidad de fallo a demanda (PFD) de 0.1, lo que
significa que el sistema de control distribuido (DCS) evita que se produzcan
consecuencias en 9 de cada 10 eventos.
Una probabilidad de fallo a demanda (PFD) de 0.1 es, por lo general, la mayor reducción
de riesgos que puede declararse en un sistema que no siga la clasificación SIL. Esto se
debe a que el sistema de control distribuido (DCS) puede ajustarse manualmente; por
lo general no hay un control tan estricto sobre los ajustes de puntos de activación y el
régimen de prueba no es tan riguroso como en el caso de un sistema instrumentado de
seguridad (SIS).
74
MANUAL DE SEGURIDAD DE PROCESOS 1
Análisis de capas de protección (LOPA)
Puede declararse contabilización de alarmas que son independientes del sistema básico
de control de proceso (BPCS), avisan al operario y requieren una acción de su parte.
Solamente se puede declarar contabilización si la alarma es realmente independiente
del sistema básico de control de proceso (BPCS) y de las funciones instrumentadas de
seguridad (SIF), y solo si el operario puede responder a la alarma y tomar acción para
hacer que el proceso resulte seguro, dentro del tiempo seguro del proceso.
Por lo general puede declararse una probabilidad de fallo a demanda (PFD) de 0.1 para
alarmas independientes. En este ejemplo no se ha declarado ninguna contabilización.
• Física – Las capas de mitigación pueden ser barreras físicas que protejan del
peligro una vez que se haya iniciado. Ejemplos serían dispositivos de alivio de
presión o muros cortafuego.
• Acción del operario – Puede declararse una contabilización de la detección y la
inspección a intervalos regulares, siempre y cuando el operario pueda adoptar
la acción adecuada.
75
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
PFD = λMTR/λHAZ
Tabla 7: Probabilidad de fallo a demanda (PFD) y tasas de fallo especificadas por el nivel de
integridad de seguridad (SIL)
Debe tenerse en cuenta que la probabilidad de fallo a demanda y la tasa de fallo de cada
nivel de integridad de seguridad dependen del modo de funcionamiento en que se
planee utilizar el sistema instrumentado de seguridad respecto a la frecuencia de las
demandas a la que está sometido [8.6.12].
76
ID/Ref. Zona Descripción Consecuencia Categoría Riesgo Causa iniciadora Verosimilitud Distribución Probabilidad Diseño Capas independientes de protección Verosimilitud PDF SIL Comentarios/supuestos
Descripción evento (peligro) gravedad máx. iniciadora del tamaño de ignición de uso de nivel requerida requerido
(pa) BPCS Alarmas Mitigación Mitigación
tolerable de fuga general adicional, intermedio de SRS de SRS
[DCS] indepen- adicional:
(pa) (clasifica- p. ej., muros del evento
dientes Ocupación cortafuegos/
ción (pa)
(niveles procedimientos
diseño)
de personal) operacionales/
válvulas de alivio
Fallo de PT102 y se
Seguridad: registra baja presión 8.58E-04 0.10 0.75 0.33 2.15E-05 Como arriba.
Una presión La liberación
77
elevada causa del gas
1.10 Cámara la rotura de P5 1.00E-05 Como arriba excepto:
prende en el 1.87E-02 SIL1
la cámara y la quemador y Fallo de apertura de la [e] el DCS puede compensar
liberación las superficies importación de líquido 2.89E-03 0.10 0.75 0.10 0.33 7.23E-06 los fallos de la válvula de
del gas. calientes. XV102. importación.
Posiblemente Cálculo PFD = 0.1.
dos víctimas
entre el Fallo de cierre de la
personal de exportación de gas 1.01E-02 0.10 0.75 0.10 0.33 2.52E-05 Como arriba.
manteni- FCV102.
miento.
Fallo de cierre de la
exportación de líquido 2.89E-03 0.10 0.75 0.10 0.33 7.23E-06 Como arriba.
XV102.
Fallo de TT100 y se
registra temperatura 2.68E-03 0.10 0.75 0.10 0.33 6.70E-06 Como arriba.
baja
5.34E-04
Análisis de capas de protección (LOPA)
MANUAL DE SEGURIDAD DE PROCESOS 1
ID/Ref. Zona Descripción Consecuencia Categoría Riesgo Causa iniciadora Verosimilitud Distribución Probabilidad Propósito Capas independientes de protección Verosimilitud PDF SIL Comentarios/supuestos
Descripción evento (peligro) gravedad máx. iniciadora del tamaño de general de nivel requerido
requerida
(pa) de fuga ignición BPCS Alarmas inde- Mitigación Mitigación
tolerable Diseño adicional, intermedio de SRS de SRS
[DCS] pendientes adicional:
(pa) (clasifica- p. ej., muros del evento
Ocupación cortafuegos/
ción (pa)
(niveles procedimientos
del diseño)
de personal) operacionales/
válvulas de alivio
78
MANUAL DE SEGURIDAD DE PROCESOS 1
Fallo de PT102 y se
Medio registra baja presión 8.58E-04 0.10 8.58E-05 Como arriba.
Una presión ambiente:
elevada causa la Rotura de la
1.10 Cámara rotura de la E2 1.00E-02 Como arriba excepto:
cámara, escape Ninguna Ninguna [e] DCS puede compensar
cámara y la de gas, no hay Fallo de apertura de la
liberación del ignición. importación de líquido 2.89E-03 0.10 0.10 2.89E-05 los fallos de la válvula de
gas. Liberación en XV102. importación.
las instalaciones. Cálculo PFD = 0.1.
Se requiere
limpieza y Fallo de cierre de la
notificación a exportación de gas 1.01E-02 0.10 0.10 1.01E-04 Como arriba.
las autoridades, FCV102.
pero sin
consecuencias
medioambien- Fallo de cierre de la
tales. exportación de líquido 2.89E-03 0.10 0.10 2.89E-05 Como arriba.
XV102.
Fallo de TT100 y se
registra temperatura 2.68E-03 0.10 0.10 2.68E-05 Como arriba.
baja
2.14E-03
ID/Ref. Zona Descripción Consecuencia Categoría Riesgo Causa iniciadora Verosimilitud Distribución Probabilidad Diseño Capas independientes de protección Verosimilitud PDF SIL Comentarios/supuestos
Descripción evento (peligro) gravedad máx. iniciadora del tamaño de ignición de uso de evento requerida requerido
(pa) de fuga BPCS Alarmas inde- Mitigación Mitigación
tolerable general nivel inter- de SRS de SRS
[DCS] pendientes adicional: adicional,
(pa) (clasifica- p. ej., muros medio (pa)
Ocupación
ción cortafuegos/
(niveles
diseño) procedimientos
de personal) operacionales/
válvulas de alivio
[a] [b] [c] [d] [e] [f] [g] [h]
Fallo de PT102 y se
Comercial: registra baja presión 8.58E-04 0.10 0.75 6.44E-05 Como arriba.
79
Una presión Rotura de la
elevada causa cámara,
1.10 Cámara la rotura de la C5 1.00E-05 Como arriba excepto:
escape de gas, 6.24E-03 SIL2
cámara y la ignición y Fallo de apertura de la [e] el DCS puede compensar
liberación del daños al importación de líquido 2.89E-03 0.10 0.75 0.10 2.17E-05 los fallos de la válvula de
gas. patrimonio. XV102. importación.
Cálculo PFD = 0.1.
Los daños
del equipo Fallo de cierre de la
requieren exportación de gas 1.01E-02 0.10 0.75 0.10 7.56E-05 Como arriba.
la sustitución FCV102.
de la cámara
valorada en
10M y la Fallo de cierre de la
pérdida de exportación de líquido 2.89E-03 0.10 0.75 0.10 2.17E-05 Como arriba.
producción de XV102.
1 año
Fallo de TT100 y se
registra temperatura 2.68E-03 0.10 0.75 0.10 2.01E-05 Como arriba.
baja
1.60E-03
Análisis de capas de protección (LOPA)
MANUAL DE SEGURIDAD DE PROCESOS 1
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
80
MANUAL DE SEGURIDAD DE PROCESOS 1
Asignación de funciones de seguridad
Asignación de funciones de
2
seguridad a capas de protección
evaluación y auditoría de la seguridad funcional
Verificación
Instalación, puesta en marcha
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 9.1, es asignar
funciones de seguridad a las capas de protección.
Como entradas, esta fase precisa una descripción en términos de requisitos funcionales
de seguridad y requisitos de integridad de seguridad.
81
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
A partir del ejemplo de la cámara de separación, 3.7.1, se identificaron los siguientes requisitos de
funciones instrumentadas de seguridad (SIF) y de nivel de integridad de seguridad (SIL) (Tabla 9). El
análisis de peligro, referencia 1.10 se mostró como parte del ejemplo del LOPA [8.5]. El LOPA se habría
utilizado para determinar los objetivos de nivel de integridad de seguridad (SIL) y los objetivos de la
probabilidad de fallo a demanda (PFD) para el resto de peligros identificados.
1.01 Presión elevada causa Gas liberado prende en el quemador y en SIL2 6.24E-03
rotura de la cámara y superficies calientes. Posiblemente dos
liberación de gas. víctimas del personal de mantenimiento.
Daños al equipo requieren sustituir la
cámara, valorada en €10M, e interrupción
del proceso de 1 año. Emisión leve al medio
ambiente.
1.11 Presión baja causa la Gas liberado prende en el quemador y en Ninguno Ninguno
rotura de la cámara y superficies calientes. Posiblemente dos
liberación de gas. víctimas del personal de mantenimiento.
Daños al equipo requieren sustituir la
cámara, valorada en €10M, e interrupción
del proceso de 1 año. Emisión leve al medio
ambiente.
1.21 Nivel bajo en la cámara Daños al equipo en la rama descendente SIL1 6.22E-02
podría causar fuga de requieren limpieza de la cámara, valorada en
gas a la exportación de €2M, e interrupción del proceso de 6
líquido. semanas.
82
MANUAL DE SEGURIDAD DE PROCESOS 1
Asignación de funciones de seguridad
La posibilidad intermedia del evento indicada por el LOPA determinó que debería considerarse todas las
funciones instrumentadas de seguridad en modo a demanda. Se establecieron los objetivos SIL1 para el
nivel alto y el nivel bajo y se propusieron, por lo tanto, las siguientes funciones instrumentadas de seguri-
dad (SIF). Para mitigar la alta presión, se instaló una válvula de alivio de presión como buena práctica de
ingeniería y se estableció una función instrumentada de seguridad, tal y como se muestra a continuación.
Función
instrumentada
de seguridad
L
LHH102 ESDV102
Función
instrumentada
de seguridad
L
LHH101 ESDV101
Función
instrumentada
de seguridad
P
PHH100 ESDV100
Figura 35a: Fase 2 del ciclo de vida
P
PHH100 ESDV100
Sistema
L instrumentado
de seguridad
LHH101 ESDV101
L
LHH102 ESDV102
83
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
PRV102 PT102
P
ESDV102 Exportación
gas
Impor- XV102
tación FCV102
L
líquido
SIS LHH102 LH
LH101
P
PHH100 LL
T LL101 Expor-
TT100 LL
tación
LLL101 SIS líquido
ESDV101 XV101
FCV100 XV100 ESDV100
Quemador
Suministro
gas
combustible
FCV100
SIS
Figura 35c: Fase 2 del ciclo de vida
84
MANUAL DE SEGURIDAD DE PROCESOS 1
Especificación de requisitos de seguridad para el SIS
Asignación de funciones de
2
seguridad a capas de protección
evaluación y auditoría de la seguridad funcional
Verificación
Instalación, puesta en marcha
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 10.1, es especificar
los requisitos de las funciones instrumentadas de seguridad (SIF).
10.2. Requisitos de integridad de seguridad de una función instrumentada de
seguridad (SIF)
El nivel de integridad de seguridad de cada función instrumentada de seguridad ha sido
seleccionado durante el estudio de determinación del nivel de integridad de seguridad
mediante un diagrama de riesgos, un LOPA o una matriz de riesgos.
Esta información debe comunicarse entonces al equipo de diseño mediante la
especificación de requisitos de seguridad para garantizar que el diseño cumpla los
requisitos de integridad de seguridad de las funciones instrumentadas de seguridad
85
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
86
MANUAL DE SEGURIDAD DE PROCESOS 1
Diseño e ingeniería del SIS
Asignación de funciones de
2
seguridad a capas de protección
evaluación y auditoría de la seguridad funcional
Verificación
Instalación, puesta en marcha
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 11.1, es:
87
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
88
MANUAL DE SEGURIDAD DE PROCESOS 1
Técnicas de fiabilidad
Este apartado ofrece una breve introducción a las técnicas de fiabilidad. En ningún caso
se trata de un estudio integral sobre métodos de ingeniería de fiabilidad, ni es de ningún
modo nuevo o poco convencional. Los métodos que se describen en él son utilizados de
forma rutinaria por los ingenieros de fiabilidad.
12.2. Definiciones
Para facilitar la comprensión a continuación figura una lista abreviada de términos clave
junto con sus definiciones correspondientes. En muchos textos normales sobre el tema
se pueden encontrar definiciones de los términos y nomenclatura más completa.
Fallo, independiente – Fallo que se produce sin que esté ocasionado por el fallo de
ningún otro elemento. No dependiente.
89
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
90
MANUAL DE SEGURIDAD DE PROCESOS 1
Técnicas de fiabilidad
91
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
92
MANUAL DE SEGURIDAD DE PROCESOS 1
Técnicas de fiabilidad
El aumento de los fallos por desgaste puede deberse a razones sistemáticas similares.
Los mecanismos de fallo pueden deberse a la degradación de la fuerza como, por
ejemplo, la acumulación de daños debidos a la fatiga. En electrónica, los mecanismos de
fallo dependientes del tiempo tienden a ser mecánicos por naturaleza e incluyen el fallo
debido a la fatiga de las juntas de soldadura.
El periodo de la tasa de fallo constante representa la mayor parte de la vida útil de un
producto y es una medida de la calidad del diseño. Es en esta región de la tasa de fallo
constante en la que pueden llevarse a cabo cálculos sencillos relacionados con la
fiabilidad.
Curva de bañera
1
0.9
0.8
0.7
Tasa de fallo
0.6
0.5
0.4
0.3
0.2
0.1
0
0 10 20 30 40 50 60
Tiempo
Decreciente
Constante
Creciente
Total
Figura 38: Curva de bañera
93
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Donde: R(t) = Cálculo de fiabilidad durante un periodo de tiempo, ciclos, km, etc. (t);
λ = Tasa de fallo (1/MTBF o 1/MTTF) y t = el tiempo durante el que existe el riesgo.
En el ejemplo del motor eléctrico, si se presupone una tasa de fallo constante, la
posibilidad de hacer funcionar un motor durante seis años sin que se produzca un fallo,
o la fiabilidad proyectada, es del 55 % . El cálculo sería el siguiente:
R(t) = exp. {– 0.1 x 6}
= exp. {– 0.6}
= 0.5488 ≈ 55%
En otras palabras, después de seis años, desde el punto de vista probabilístico se podría
esperar que se produjera un fallo en alrededor del 45% de la población de motores
idénticos en funcionamiento en una aplicación idéntica. Merece la pena reiterar en este
punto que estos cálculos proyectan la probabilidad para una población general. Cada
individuo específico dentro de la población podría fallar el primer día de funcionamiento,
mientras que otro podría durar 30 años. Ésta es la naturaleza de las proyecciones de
fiabilidad probabilísticas.
Una característica de la distribución exponencial es que el tiempo medio entre fallos
(MTBF) se produce en el punto en el que la fiabilidad calculada es del 36.78% o en el
punto en el que el 63.22% de las máquinas ya han fallado. En el ejemplo del motor,
después de 10 años, es de esperar que falle el 63.22% de los motores de una población
de motores idénticos utilizados en aplicaciones idénticas. En otras palabras, la tasa de
supervivencia es del 36.78% de la población.
12.6. Cálculo de la fiabilidad del sistema
Una vez se ha establecido la fiabilidad de los componentes o de las máquinas en relación
al contexto de funcionamiento y al tiempo necesario para la misión, los ingenieros de la
planta deben evaluar la fiabilidad de un sistema o proceso. De nuevo, con propósitos de
brevedad y simplicidad, abordaremos los cálculos de fiabilidad en los sistemas en serie,
en paralelo y redundantes de carga compartida (M de N) (sistemas MooN).
12.6.1. Sistemas seriales
Antes de tratar el caso de los sistemas seriales, debemos abordar los diagramas de
bloques de fiabilidad (RBD). Un diagrama de bloques de fiabilidad sirve sencillamente
94
MANUAL DE SEGURIDAD DE PROCESOS 1
Técnicas de fiabilidad
Para calcular la fiabilidad del sistema en el caso de un proceso serial, solo se debe
multiplicar la fiabilidad aproximada del subsistema 1 en un tiempo (t) por la fiabilidad
aproximada del subsistema 2 en un tiempo (t). La ecuación básica para calcular la
fiabilidad del sistema en el caso de un sistema serial sencillo es:
Rs(t) = R1(t) . R2(t) . R3(t)
Así, en el caso de un sistema sencillo con tres subsistemas o subfunciones, cada una de
ellas con una fiabilidad aproximada de 0.90 (90%) en un tiempo (t), la fiabilidad del
sistema se calcula del siguiente modo: 0.90 X 0.90 X 0.90 = 0.729, o alrededor del 73%.
12.6.2. Sistemas en paralelo
A menudo, los ingenieros encargados del diseño incorporan la redundancia en máquinas
fundamentales. Los ingenieros encargados de la fiabilidad los denominan sistemas en
paralelo. Estos sistemas pueden diseñarse como sistemas en paralelo activos o como
sistemas en paralelo en espera. En la Figura 40 se muestra el diagrama de bloques de un
sistema en paralelo sencillo de dos componentes.
R1(t)
R2(t)
95
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
El sistema en paralelo simple del ejemplo, con dos componentes en paralelo (cada uno de
ellos con una fiabilidad de 0.90) presenta una fiabilidad total del sistema de 1 – (0.1 X 0.1)
= 0.99. De este modo, la fiabilidad del sistema ha aumentado en gran medida.
Para que los cálculos relacionados con la fiabilidad resulten significativos, no solo nos
preocupa la tasa de fallo del sistema, sino también cómo puede fallar el sistema, es decir,
el modo de fallo.
96
MANUAL DE SEGURIDAD DE PROCESOS 1
Técnicas de fiabilidad
R1(t)
R2(t)
R3(t)
R4(t)
Suministro
hidráulico Lógica
ESD
Válvula
Purga Transmisor
solenoide
hidráulica de presión
S
PT
Controlador
de presión
PC
Entrada Exportación
gasoducto gasoducto
Válvula Válvula
cierre control presión
En este ejemplo, el modo de fallo peligroso en posición abierta no se descubre sino hasta
que la válvula se sometiera a una demanda; es decir, hasta que se le diera la orden de
cierre. Este se considera un fallo peligroso no detectado.
97
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
98
MANUAL DE SEGURIDAD DE PROCESOS 1
Técnicas de fiabilidad
99
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
La tasa a la que se producen los dos fallos, λ2 se da por la tasa de fallo de un elemento λ,
multiplicada por la probabilidad de que se produzca un segundo fallo durante el tiempo
improductivo, el tiempo improductivo medio del primer fallo, λ.MDT.
Por tanto:
λ2 = λ.( λ.MDT)
λSYS = 12.λ2.MDT
Para ser exactos, debemos incluir todas las permutaciones de 3 y 4 fallos concurrentes,
así como fallos debidos a causas comunes, puesto que estos también dan como resultado
un fallo del sistema; no obstante, como aproximación de primer orden, pueden obviarse
estos términos de orden superior. En la Tabla 10 se presenta la tasa de fallo del 3oo4 y
otras configuraciones. Tenga en cuenta que se trata de aproximaciones en las que
también se obvian los términos de orden superior.
Configuración λsys
1oo1 λ
1oo2 2.λ2.MDT
2oo2 2.λ
1oo3 3.λ3.MDT2
2oo3 6.λ2.MDT
3oo3 3.λ
1oo4 λ4.MDT3
2oo4 12.λ3.MDT2
3oo4 12.λ2.MDT
4oo4 4.λ
100
MANUAL DE SEGURIDAD DE PROCESOS 1
Técnicas de fiabilidad
Al sustituir λDD y λDU, por λ en la Tabla 10, y al utilizar el tiempo improductivo medio (MDT)
o el Tp/2 (según resulte adecuado) puede derivarse la tasa de fallo del sistema a causa de
fallos peligrosos detectados o no detectados Tabla 11.
λsys λsys
Puesto que se presupone que todas las tasas de fallos seguros, por lo general, se detectan,
en una configuración redundante los canales que hayan fallado se repararán siempre y
cuando el sistema no se dispare. Por lo tanto, es aplicable el enfoque adoptado para fallos
peligrosos detectados, excepto en que el número de fallos necesarios para un disparo
erróneo puede diferir del necesario para un fallo peligroso.
Por lo general, en los disparos erróneos se incluyen únicamente las tasas de fallos seguros
pero, en función del comportamiento del sistema al detectar un fallo, pueden incluirse los
fallos peligrosos detectados, de modo que la tasa de disparos erróneos es la suma de los
dos.
En la Tabla 12 se resumen las tasas de disparos erróneos del sistema en el caso de fallos
seguros.
101
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Configuración Erróneo
λstr
1oo1 λS
1oo2 2.λS
2oo2 2.λS2.MDT
1oo3 3.λS
2
2oo3 6.λS .MDT
3oo3 3.λS3.MDT2
1oo4 4.λS
2
2oo4 12.λS .MDT
3oo4 12.λS3.MDT2
4oo4 λS4.MDT3
102
MANUAL DE SEGURIDAD DE PROCESOS 1
Técnicas de fiabilidad
La disponibilidad del sistema es, por lo tanto, producto de las disponibilidades debidas a
fallos peligrosos detectados, fallos peligrosos no detectados y fallos seguros:
ASYS = ADD . ADU . AS
Este método puede utilizarse para modelar sistemas seriales (simplex) y también sistemas
redundantes.
12.14. Modelado de disponibilidad de sistemas de seguridad en modo continuo
Cuando se aplica el método a sistemas de seguridad en modo continuo, el analista
debe comprender la naturaleza de las demandas a la que está sometida la función de
seguridad. Ciertas funciones de seguridad en modo continuo funcionan a demanda
(igual que una función de seguridad en modo a demanda), pero se clasifican como en
modo continuo debido a la frecuencia de la demanda (por ejemplo, superior a una vez
al año). En este caso, la disponibilidad puede calcularse al igual que para una función de
seguridad en modo a demanda, excepto que el intervalo de prueba de calidad TP debe
sustituirse por el intervalo de demanda TD. Los fallos peligrosos no detectados no se
descubren sino hasta que la función de seguridad se somete a una demanda.
Cuando la función de seguridad en modo continuo proporciona control continuo de forma
eficaz, la disponibilidad puede calcularse como si se tratase de un sistema de control [12.15].
12.15. Modelado de disponibilidad de sistemas de control
Cuando se trata de modelar la disponibilidad de los sistemas de control, nos preocupan
los fallos que afectan el proceso y debemos decidir si un fallo afecta al proceso hasta tal
punto que el sistema de control se encuentra efectivamente no disponible.
La detección de un fallo se lleva a cabo ya sea mediante diagnóstico y alarmas de fallo,
en cuyo caso se precisa una reparación y el sistema no está disponible sino hasta que se
restaure, o mediante síntomas, en cuyo caso el proceso bajo control funciona fuera de los
límites de los puntos de ajuste.
Los fallos que no se detectan no tienen como consecuencia inmediata que el sistema
de control se encuentre no disponible. Con el tiempo, el fallo no detectado puede tener
como consecuencia la desviación de los límites específicos para los parámetros de
proceso y, en dicho punto, se descubre y se traduce en una falta de disponibilidad.
La disponibilidad de los sistemas de control puede, por lo tanto, modelarse teniendo en
cuenta que la tasa de fallo total del sistema ASYS viene dada por:
ASYS = 1/(1 + λSYS.MDT)
donde λSYS es la tasa de fallo total del sistema como resultado de todos los fallos
[Tabla 10].
103
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
104
MANUAL DE SEGURIDAD DE PROCESOS 1
Técnicas de fiabilidad
1oo3 3
λDU .TP 2 λDD3.TP3/4
1oo4 4
λDU .TP 3 λDD4.TP4/5
Los fallos por causas comunes son fallos que pueden producirse por una única causa,
pero que afectan de forma simultánea a más de un canal. Pueden ser el resultado de
un fallo sistemático, por ejemplo, un error de especificación de diseño o una influencia
externa como temperatura excesiva que pudiera dar lugar a un fallo de componentes en
los dos canales redundantes. Es responsabilidad del diseñador del sistema adoptar las
medidas necesarias para minimizar la posibilidad de que se produzcan fallos por causas
comunes empleando las prácticas de diseño adecuadas.
El modelo del factor β- [IEC 61508-6, Anexo D] es la técnica preferida puesto que es
objetiva y proporciona facilidad de rastreo en el cálculo de β. El modelo se ha compilado
para responder a una serie de preguntas específicas que, a continuación, se han
puntuado mediante un juicio objetivo en materia de ingeniería. La puntuación máxima
de cada pregunta se ha ponderado en el modelo mediante la calibración de los resultados
de varias evaluaciones (contra datos conocidos de fallos de campo).
105
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
106
MANUAL DE SEGURIDAD DE PROCESOS 1
Técnicas de fiabilidad
107
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
1oo2D
108
Entrada Salida
CNB CPU
analógica digital
Transmisor Carga Carga
de presión ventilador ventilador CCF
CCF 5%
Cant. 1 1 1 1 2 1 1
Configuración 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2
λDD (diagnósticos) 1.16E-06 0.00E+00 0.00E+00 8.19E-08 2.95E-07 2.03E-07 1.38E-07 5.25E-08
λDD*cant. 1.16E-06 0.00E+00 0.00E+00 8.19E-08 5.90E-07 2.03E-07 1.38E-07 5.25E-08
λDD para bifurcación 1.16E-06 1.01E-06 5.25E-08
MDT 24 24 24
Total λDD 1.16E-06 4.93E-11 5.25E-08
109
λDU (prueba de calidad) 3.66E-07 2.00E-07 2.00E-07 9.10E-09 3.28E-08 2.26E-08 1.54E-08 5.84E-09
λDU*cant. 3.66E-07 2.00E-07 2.00E-07 9.10E-09 6.56E-08 2.26E-08 1.54E-08 5.84E-09
λDU para bifurcación 7.66E-07 1.13E-07 5.84E-09
Periodo de prueba de calidad, T 8760 8760 8760
Total λDU 7.66E-07 1.11E-10 5.84E-09
CCF 5%
Cant. 1 1 1 1 2 1 1 2 4 2 2
Configuración 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2 2oo2 2oo2 2oo2 2oo2
λDD (diagnósticos) 1.16E-06 0.00E+00 0.00E+00 8.19E-08 2.95E-07 2.03E-07 1.38E-07 5.25E-08
λDD*cant. 1.16E-06 0.00E+00 0.00E+00 8.19E-08 5.90E-07 2.03E-07 1.38E-07 5.25E-08
λDD para bifurcación 1.16E-06 1.01E-06 5.25E-08
MDT 24 24 24
110
Total λDD 1.16E-06 4.93E-11 5.25E-08
MANUAL DE SEGURIDAD DE PROCESOS 1
λDU (prueba de calidad) 3.66E-07 2.00E-07 2.00E-07 9.10E-09 3.28E-08 2.26E-08 1.54E-08
λDU*cant. 3.66E-07 2.00E-07 2.00E-07 1.82E-08 1.31E-07 4.52E-08 3.07E-08
λDU para bifurcación 7.66E-07 2.25E-07
Periodo de prueba de calidad, T 8760 8760
Total λDU 7.66E-07 9.87E-04
Entrada Salida
CNB CPU digital
Cant. 1 1 1 1 2 1 1 1 2 1 1
Configuración 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2 1oo1 1oo1 1oo1 1oo1
λDD (diagnósticos) 1.16E-06 0.00E+00 0.00E+00 8.19E-08 2.95E-07 2.03E-07 1.38E-07 5.25E-08
λDD*cant. 1.16E-06 0.00E+00 0.00E+00 8.19E-08 5.90E-07 2.03E-07 1.38E-07 5.25E-08
λDD para bifurcación 1.16E-06 1.01E-06 5.25E-08
MDT 24 24 24
Total λDD 1.16E-06 4.93E-11 5.25E-08
111
λDU (prueba de calidad) 3.66E-07 2.00E-07 2.00E-07 9.10E-09 3.28E-08 2.26E-08 1.54E-08
λDU*cant. 3.66E-07 2.00E-07 2.00E-07 9.10E-09 6.56E-08 2.26E-08 1.54E-08
λDU para bifurcación 7.66E-07 1.13E-07
Periodo de prueba de calidad, T 8760 8760
Total λDU 7.66E-07 4.93E-04
sistema complex
Transmisor Carga Carga
Disponibilidad de un
de presión ventilador ventilador CCF
PT-xxx FL-xxx FL-xxx
Entrada Salida
CNB CPU
analógica digital
CCF 5%
Cant 1 1 1 1 2 1 1
Configuración 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2
112
Total λDD
MANUAL DE SEGURIDAD DE PROCESOS 1
λDU (prueba de calidad) 3.66E-07 2.00E-07 2.00E-07 9.10E-09 3.28E-08 2.26E-08 1.54E-08 5.84E-09
λDU*cant 3.66E-07 2.00E-07 2.00E-07 9.10E-09 6.56E-08 2.26E-08 1.54E-08 5.84E-09
λDU para bifurcación 7.66E-07 1.13E-07 5.84E-09
Periodo de prueba de calidad, T 8760 8760 8760
Total λDU 7.66E-07 1.11E-10 5.84E-09
Los datos de la tasa de fallo utilizados en los diagramas de bloques de fiabilidad anteriores
deben estar visibles en el informe y demostrar facilidad de rastreo a la fuente. La fuente,
cuando se refiera a datos publicados, debe presentarse de forma suficientemente detallada,
de modo que terceros puedan comprobar independientemente los datos utilizados. Este
grado de detalle puede incluir identificación de documentos, número ISBN (si es aplicable) y
número de página y de elemento.
Tabla 14: Cálculo de probabilidad de fallo por hora (PFH)/probabilidad de fallo a demanda
(PFD) (fallos no detectados)
113
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
114
MANUAL DE SEGURIDAD DE PROCESOS 1
Técnicas de fiabilidad
del personal de la planta por motivos de seguridad. Ésta es la función de seguridad que
ha atraído el objetivo del nivel de integridad de seguridad y, por lo tanto, el caso b)
anterior debe ser el punto de partida para el modelado de fiabilidad: una alarma
confirmada de gas garantiza la evacuación del personal por motivos de seguridad.
La configuración en la Figura 44 muestra seis detectores de gas posicionados en una
zona; la votación del dispositivo de resolución lógica 2oo6 está configurada para que
se adopte una acción ejecutiva si cualesquiera 2 sensores de los 6 detectan gas.
G G G
F&G
Acción ejecutiva al
recibir alarma de
2 detectores cualquiera de 6.
Votación lógica 2oo6
Figura 44: Configuración de sistema de F y G
Gas
G G G
F&G
Acción ejecutiva al
recibir alarma de
2 detectores cualquiera de 6.
Votación lógica 2oo6
Figura 45: Cobertura de sistema de F y G
115
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
En la práctica, es probable que se requiera iniciar una acción ejecutiva lo antes posible,
por ejemplo, cuando un mínimo de dos sensores se encuentren dentro de la nube de
gas. En este caso, los sensores deben modelarse como 2oo2, sin redundancia y, como
consecuencia, no podrían tolerarse fallos en ellos. Si se consiguen los objetivos con una
configuración no redundante, este caso representaría entonces un enfoque conservador,
ya que no confía en la justificación de ningún supuesto de la cobertura de los detectores.
En este ejemplo, si se puede permitir que la nube de gas sea suficientemente grande
como para cubrir 3 sensores antes de adoptar la acción ejecutiva, con la votación lógica
de cualesquiera 2 de 6 se podría tolerar el fallo de un sensor. En otras palabras, la
fiabilidad de detección de gas podría modelarse como 2 de 3.
En el ejemplo anterior, puesto que la votación lógica de los detectores de gas es 2oo6,
algunos analistas sucumben a la tentación de modelar la fiabilidad del sistema como
2oo6 en lugar de como 2oo3, o incluso 2oo2. Obviamente, la discrepancia resultante en
la probabilidad de fallo a demanda general de la función de seguridad y su rendimiento
frente a los objetivos de nivel de integridad de seguridad entre configuraciones
redundantes y no redundantes puede ser significativa.
Dando por supuesto que puede declararse de forma razonable cierta tolerancia a fallos,
por ejemplo, mediante el modelado 2oo3 o 2oo4, entonces las diferencias resultantes en
la probabilidad de fallo a demanda general de la función de seguridad y su rendimiento
frente a los objetivos de nivel de integridad de seguridad serán menores. La probabilidad
de fallo a demanda en configuraciones redundantes está limitada por los fallos por
causas comunes, por lo que las mejoras en la probabilidad de fallo a demanda no son
significativas cuando la tolerancia a fallos de hardware (HFT) aumenta por encima de 1.
116
MANUAL DE SEGURIDAD DE PROCESOS 1
Técnicas de fiabilidad
Nota: La probabilidad de fallo a demanda se calcula para las tasas de fallo y para los
tiempos de reparación típicos de los sensores y se da por supuesta una contribución de
causas comunes en las configuraciones redundantes. Una tolerancia a fallos de cero en
este ejemplo representa una configuración 2oo2, mientras que una tolerancia a fallos de
1 representa 2oo3, de 2 representa 2oo4, y así sucesivamente.
Los resultados demuestran que, en función de la arquitectura, o de la tolerancia a fallos
de hardware (HFT) seleccionada para el modelado, la probabilidad de fallo a demanda
calculada podría encontrarse en la banda SIL1, SIL2 o SIL3.
1.00E-01
2oo2 SIL1
PFD
1.00E-02
SIL2
2oo3
1.00E-04
0 1 2 3 4
Tolerancia a fallos del hardware (HFT)
Figura 46: Cálculo de la probabilidad de
fallo a demanda (PFD)del sistema de F y G
Por ejemplo, en el caso de un detector tipo B con una fracción de fallos seguros
comprendida entre el 60% y el 90%, pueden declararse las siguientes capacidades
arquitectónicas de nivel de integridad de seguridad:
117
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
El personal está protegido de los peligros ocasionados por fuego y gas mediante una
’alarma confirmada’. Las alarmas visibles y sonoras son lo único que se necesita para
garantizar la evacuación del personal por motivos de seguridad. Por lo tanto, en caso de
peligros de seguridad, en la configuración de salida únicamente se debe considerar la
existencia de elementos de aviso visibles y sonoros.
Teniendo en cuenta que una zona puede incluir equipos ruidosos que pueden interferir
con una baliza o evitar que se escuche una alarma sonora, una buena práctica consistiría
en posicionar las alarmas de modo que el personal que se encuentre en la zona
peligrosa pueda ver o escuchar siempre más de un elemento de aviso al mismo tiempo.
Si puede verificarse este supuesto, el analista podría aprovechar esta tolerancia a fallos en
el modelado de fiabilidad de la configuración de alarmas.
118
MANUAL DE SEGURIDAD DE PROCESOS 1
Técnicas de fiabilidad
Zona 01 Zona 02
Baliza Baliza
Baliza
Baliza Baliza
Baliza
Dispositivo de
resolución
lógica F y G
Salidas 6oo6
La clave está en decidir cuántas balizas pueden verse y cuántas está permitido que fallen
sin ocasionar la pérdida de la función de seguridad. En la configuración del caso práctico
se decidió que en cada zona pudieran verse siempre 2 balizas de las 3 de la zona.
Como ejemplo adicional, con 6 balizas en una sola zona se decidió que, en cualquier
momento, se pueden ver 4 de las 6 balizas (Figura 48). Entonces se necesitaría
que funcionara una baliza de las 4 que pueden verse, por lo que las alarmas podrían
modelarse como 1oo4.
119
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Zona 01
Baliza Baliza Baliza
Dispositivo de
resolución
lógica F y G
Salidas 6oo6
120
MANUAL DE SEGURIDAD DE PROCESOS 1
Técnicas de fiabilidad
12.31. Resumen
Se puede apreciar que el modelado del subsistema de entradas puede ofrecer resultados
optimistas si la configuración de votación lógica se modela en lugar de la tolerancia
a fallos de detectores. El mismo enfoque ofrece resultados muy pesimistas cuando se
modela el subsistema de salidas. Entre los dos subsistemas, el enfoque de modelado
adoptado puede dar lugar a una gran diferencia en el rendimiento arquitectónico y en la
probabilidad de fallo a demanda calculada y, por lo tanto, puede darse una gran variación
en el nivel de integridad de seguridad delcarado.
Por tanto es importante adoptar un enfoque minucioso para el modelado de los sistemas
de F y G, y comprender claramente las técnicas de modelado así como los peligros y los
sistemas analizados. Así se logra una evaluación precisa de la reducción de riesgos a cargo
de un sistema de F y G y los usuarios finales no reciben información errónea por
declaraciones optimistas.
121
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Muchas personas preguntan qué deben hacer para demostrar la conformidad. No basta
con adquirir componentes con el distintivo “SIL certified” y asumir que de este modo se
consiga la conformidad predefinida; por otro lado, dado que la norma no es prescriptiva,
tampoco es posible facilitar una lista de verificación o similar de qué debe hacerse.
En realidad, el grado de implicación depende de muchas cosas. El enfoque depende
de cuánta información o datos estén disponibles, la profundidad del análisis o el rigor
aplicado que debe satisfacer a su cliente o ente regulador, pero sobre todo usted debe
estar convencido de que ha hecho lo suficiente.
Si algo va mal y alguien fallece, ¿podría dirigirse a las familias y demostrar que hizo todo
lo que se esperaba (dentro de lo razonable) por su parte?
Una propuesta de plan de cara al cumplimiento normativo sería cumplir con los requisitos
de IEC 61511-1, 10 y 12. Éstos incluyen las siguientes subcláusulas, tal y como se muestra
en la Figura 49:
122
IEC 61511-1
Evaluación SIL
Requisitos para
conformidad
123
IEC 61511-1, 11.2 IEC 61511-1, 11.3 IEC 61511-1, 11.4 IEC 61511-1, 11.5 IEC 61511-1, 11.6 IEC 61511-1, 11.7 IEC 61511-1, 11.8 IEC 61511-1, 11.9 IEC 61511-1, 12.4
Requisitos Requisitos para el Requisitos para Requisitos para Dispositivos de Interfaces del Requisitos de diseño Probabilidad de fallo Diseño y desarrollo
generales comportamiento del tolerancia a fallos selección de campo operador, personal relativos al SIF del software de
sistema a la hora de de hardware componentes y de mantenimiento mantenimiento o aplicación
detectar un fallo subsistemas y comunicación prueba
IEC 61511-1, 11.5.2 IEC 61511-1, 11.5.3 IEC 61511-1, 11.5.4 IEC 61511-1, 11.5.5 IEC 61511-1, 11.5.6
Requisitos para Requisitos para
Requisitos Requisitos Requisitos para
dispositivos dispositivos
generales basados en programables FPL dispositivos
programables LVL
uso anterior basados en uso basados en uso programables FVL
anterior anterior
Verificación SIL
MANUAL DE SEGURIDAD DE PROCESOS 1
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
1. Todos los bloques de salidas tienen una votación de 1oo2 en demandas de PLC
y cambian a 1oo1 al detectar la pérdida de comunicación de un PLC.
2. Las especificaciones de diseño indican que se aplica un principio de protección
en caso de fallos. Todos los elementos de cierre del sistema instrumentado de
seguridad llegan a un principio de protección en caso de fallos.
3. En el caso de un sistema de cierre de emergencia (ESD) se ha implementado
una función de desenergización a disparo.
4. En el caso del sistema de F y G, se ha implementado una energización a disparo
de agente extintor. La detección de un fallo peligroso individual en una
configuración redundante se indica mediante una condición de alarma. El
sistema de F y G continua funcionando con seguridad durante el tiempo
permitido para la reparación y se han implementado otras medidas de
reducción de riesgos adicionales tales como la disponibilidad de liberación
manual cableada de agente extintor.
13.3.1. Enfoque
124
MANUAL DE SEGURIDAD DE PROCESOS 1
Verificación SIL
Con respecto a estos requisitos, IEC 61508 [19.1] proporciona la siguiente orientación
adicional:
• una tolerancia a fallos de hardware de N significa que N+1 fallos podría causar
la pérdida de la función de seguridad. Al determinar la tolerancia a fallos de
hardware, no deben contabilizarse otras medidas que pudieran controlar los
efectos de fallos tales como diagnósticos;
• cuando un fallo conlleve directamente el suceso de uno o más fallos
subsiguientes, se consideran como un solo fallo;
• al determinar la tolerancia a fallos de hardware, pueden excluirse algunos fallos,
siempre y cuando la posibilidad correspondiente de que sucedan sea muy baja
con respecto a los requisitos de integridad de seguridad del subsistema.
Cualquier exclusión de dichos fallos se debe justificar y documentar.
Donde:
λD = λDU + λDD
IEC 61511-1, 11.4.5 permite evaluar la tolerancia a fallos de hardware mediante los
requisitos de IEC 61508-2, Tablas 2 y 3.
En la norma IEC 61508 [19.1] los subsistemas se dividen en dos categorías, tipo A o tipo B.
Por regla general, si los modos de fallo están bien definidos, puede determinarse
completamente el comportamiento bajo condiciones de fallo y si a su vez hay datos de
campo adecuados y suficientes, el subsistema se considera entonces de tipo A. Si no se
cumple alguna de estas condiciones, el subsistema se considera entonces de tipo B.
125
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Nota: una tolerancia a fallos de hardware de N significa que N+1 fallos podrían causar la
pérdida de la función de seguridad.
13.3.4. Ejemplo
En este ejemplo, Figura 50, la función de seguridad consta de dos transmisores de nivel
que funcionan en una configuración 1oo2. Si un transmisor detecta un nivel elevado, el
PLC Allen Bradley desenergiza la válvula accionada por solenoide, lo que permite que
cierre la válvula de cierre de emergencia.
126
MANUAL DE SEGURIDAD DE PROCESOS 1
Verificación SIL
Nuestros datos de fallo de cada elemento nos permiten entonces calcular la fracción de
fallos seguros (SFF). El tipo de elemento y la fracción de fallos seguros figuran debajo de
cada elemento en la Figura 50.
Por último, el nivel de integridad de seguridad que puede declararse para el rendimiento
arquitectónico de cada elemento puede determinarse con ayuda de esta información en
la Tabla 16.
Conmutador
nivel
Conmutador
nivel
Tipo A B A A
SFF 0.40 0.95 0.72 0.25
HFT 1 0 0 0
SIL arquitectónico 2 2 2 1
SIL permitido (arq.) 1
SIL global permitido SIL1
Los conmutadores de nivel son de tipo A; por lo tanto, se aplican los criterios de tipo A.
Con una fracción de fallos seguros (SFF) de 0.40 y una tolerancia a fallos de 1, los
transmisores de nivel cumplen con las restricciones arquitectónicas de SIL2.
De forma similar puede evaluarse también la válvula accionada por solenoide y la válvula
de cierre de emergencia. La válvula accionada por solenoide, también de tipo A, presenta
una tolerancia a fallos de 0 y una fracción de fallos seguros (SFF) de 0.72 que da lugar a
SIL2. La válvula de cierre de emergencia, de tipo A, con una tolerancia a fallos de 0 y una
fracción de fallos seguros (SFF) de 0.25 da lugar a SIL1.
127
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
La evaluación del PLC debe llevarse a cabo entonces con respecto a los requisitos de
tipo B, Figura 52.
128
MANUAL DE SEGURIDAD DE PROCESOS 1
Verificación SIL
13.4.1. Enfoque
Este procedimiento no debe utilizarse para aplicaciones SIL4, sino que para el resto de
componentes y de subsistemas debe aplicarse lo siguiente.
En primer lugar, la selección del componente debe llevarse a cabo sobre la base de la
especificación de suministro procedente de proveedores autorizados.
129
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
La evaluación del proveedor debe incluir los sistemas de gestión de calidad del fabricante
y de gestión de configuración, y deben formar parte de la evidencia de la idoneidad
presentada en la especificación de diseño funcional (FDS).
1000000
0 fallos
X 1 fallo
5 fallos
10000
10 fallos
X 15 fallos
Años de dispositivo requeridos
1000
X
100
X
10
1
1.00E-07 1.00E-06 1.00E-05 1.00E-04
Tasa de fallos específica (/h)
Figura 53: Guía del uso requerido
130
MANUAL DE SEGURIDAD DE PROCESOS 1
Verificación SIL
Por ejemplo, si la tasa de fallo específica es 1,00E-06/h y se han notificado cero fallos,
entonces a partir de la Figura 53 deben demostrarse aprox. 137 años-dispositivo, que se
pueden lograr con 14 dispositivos funcionando sin fallo durante 10 años. Si se notifican
fallos en la población en el campo, entonces la tasa actual de fallo de dispositivos será
mayor y, consecuentemente, se requerirán más horas de funcionamiento exentas de
fallos para demostrar la misma tasa de fallos objetivo.
La figura se basa en una distribución Χ2- a un límite de confianza del 70%, y debe
utilizarse solamente como guía y para obtener una indicación de cuándo se ha
acumulado un número suficiente de años-dispositivo.
13.4.4. Dispositivos programables en lenguaje de programa fijo (FPL), IEC 61511-1, 11.5.4
131
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
deberían haber sido sometidos a una evaluación formal a cargo de una organización
apropiada y debe facilitarse una certificación SIL3 junto con una prueba documental
justificativa.
La documentación debe incluir una justificación de que cuando exista una diferencia
entre el perfil operacional y el entorno físico como se ha experimentado previamente
y el perfil operacional y el entorno físico cuando se usa en la función de seguridad, la
especificación de diseño funcional (FDS) debe identificar estas diferencias y justificar
que la probabilidad de fallo a demanda (PFD) no se vea afectada adversamente.
132
MANUAL DE SEGURIDAD DE PROCESOS 1
Verificación SIL
Para seleccionar los dispositivos de campo, deben cumplirse todos los requisitos
generales [13.4.2], los requisitos para uso previo [13.4.3] y los siguientes requisitos para
dispositivos de campo. Si procede, también deben cumplirse los requisitos para los
dispositivos programables en lenguaje de programa fijo (FPL).
133
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Los dispositivos de campo se deben seleccionar e instalar para minimizar fallos que pudieran
dar lugar a datos imprecisos debido a condiciones derivadas del proceso y de las condiciones
medioambientales. Las condiciones que deben considerarse incluyen la corrosión,
la congelación de materiales en tuberías, sólidos en suspensión, polimerización, cocción,
temperatura y presión extremos, condensación en líneas de impulso de tramo seco y
condensación insuficiente en líneas de impulso de tramo húmedo.
Los sensores inteligentes deben contar con protección frente a escritura para evitar la
modificación inadvertida desde una ubicación remota, a menos que una revisión de
seguridad apropiada permita el uso de lectura/escritura.
134
MANUAL DE SEGURIDAD DE PROCESOS 1
Verificación SIL
El diseño del sistema instrumentado de seguridad debe ser tal que la prueba pueda
llevarse a cabo de forma integral o por partes. Debe tener en cuenta lo siguiente según
proceda:
• Prueba de calidad en línea. El diseño de prueba debe asegurar que los fallos no
detectados puedan descubrirse de forma adecuada;
• Instalaciones de prueba y omisión. El operario debe ser alertado en caso de que
una parte del sistema instrumentado de seguridad (SIS) se haya omitido con
fines de mantenimiento o prueba;
• No debe permitirse un forzado de entradas y de salidas sin establecer el
sistema instrumentado de seguridad fuera de línea a menos que existan
procedimientos y medidas de seguridad adecuadas. En cuanto a la función
de bypass, debe informarse al operario si se fuerza alguna entrada/salida.
IEC 61511-1, 12 lista los requisitos que se aplican a cualquier software que forme parte de
un sistema instrumentado de seguridad o que se utilice para desarrollar uno. El requisito
define los requisitos del ciclo de vida de seguridad del software de aplicación para
garantizar que:
El requisito general es definir las fases aplicables del ciclo de vida de seguridad del
software que se vaya a considerar y documentar toda la información relevante. Esto
incluye lo siguiente:
135
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
136
MANUAL DE SEGURIDAD DE PROCESOS 1
Probabilidad de fallo de SIF
Hasta ahora hemos identificado que debemos establecer medidas de fiabilidad específicas
con el fin de garantizar que el riesgo general no supere el riesgo tolerable máximo.
También hemos visto que la medida de fiabilidad específica puede expresarse en niveles
de integridad de seguridad (SIL) y, para cumplir con la norma, no solo tenemos que
demostrar que la función de seguridad cumple los objetivos cuantitativos sino también
que aplicamos controles apropiados.
Cumplir con la norma requiere que las medidas de fiabilidad específicas se consigan de
forma apropiada al nivel de integridad de seguridad (SIL) aplicado.
14.2. Requisitos de fiabilidad específicos del nivel de integridad de seguridad (SIL)
La probabilidad de fallo a demanda (PFD) en cada nivel de integridad de seguridad (SIL)
depende del modo de operación relativo al uso previsto del sistema instrumentado de
seguridad (SIS) con respecto a la frecuencia de las demandas a las que se ha sometido.
Estas figuran definidas en el apartado [6.9] y pueden ser:
Modo a demanda, en el que se adopta una acción específica en respuesta a las
condiciones del proceso o a otras demandas. En caso de fallo peligroso de las funciones
instrumentadas de seguridad (SIF), únicamente se produce un peligro potencial en caso
de un fallo del proceso del sistema básico de control de proceso (BPCS);
Modo continuo, según el cual en caso de fallo peligroso de las funciones instrumentadas
de seguridad (SIF) ocurre un peligro potencial sin más fallos a menos que se adopte una
acción para evitarlo.
Sobre la base de estos criterios se pueden aplicar los objetivos apropiados que figuran en
la tabla 17.
Nivel SIL Modo a demanda Modo continuo
Probabilidad de fallo a Tasa de fallo por hora
demanda
SIL4 ≥10-5 a <10-4 ≥10-9 a <10-8
SIL3 -4
≥10 a <10 -3 ≥10-8 a <10-7
SIL2 ≥10-3 a <10-2 ≥10-7 a <10-6
SIL1 ≥10-2 a <10-1 ≥10-6 a <10-5
Tabla 17: Probabilidad de fallo a demanda (PFD) y tasas de fallo específicas de nivel de
integridad de seguridad (SIL)
137
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Donde λDD es la tasa de fallo peligroso detectado, λDU es la tasa de fallo peligroso no
detectado y β es la contribución del apartado de fallos por causas comunes [12.17]. TP es
el intervalo de prueba de calidad y MDT es el tiempo improductivo medio.
Las formas genéricas de estas ecuaciones para varias configuraciones, tanto para sistemas
de modo continuo como a demanda, se detallan en [12.9].
Las tasas de fallo utilizadas en los cálculos pueden obtenerse mediante un análisis de
modos de fallos, efectos y criticidad (FMECA), cuantificarse por los datos de campo o por
138
MANUAL DE SEGURIDAD DE PROCESOS 1
Probabilidad de fallo de SIF
Válvula
Purga Transmisor
solenoide
hidráulica de presión
S
PT
Proceso y BPCS
Controlador
de presión
PC
Entrada Exportación
gasoducto gasoducto
Válvula Válvula
cierre control presión
139
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Alcance
La función de cierre de emergencia (ESD), S-005 previene una reacción fuera de control en
39-R-050, y consecuentemente protege contra una pérdida de contención del reactor que
podría dar lugar a lesiones de los operarios y a su vez a daños medioambientales. La
140
MANUAL DE SEGURIDAD DE PROCESOS 1
Probabilidad de fallo de SIF
función de seguridad S-005 se inicia con la detección de temperatura alta o presión alta
en el reactor, y la válvula de alivio de presión ROV0503 se abre para aliviar la presión.
Se entiende que haya dudas de que ROV0503 no ofrezca capacidad suficiente para la
descarga de presión y, por lo tanto, la acción de cierre de emergencia (ESD) de S-005 se
ha modificado para incluir la activación de una válvula de alivio adicional ROV0501.
Objetivos
El cliente mantiene un gran número de sensores como parte del sistema instrumentado
de seguridad (SIS), y tiene interés en minimizar estos gastos fijos. El objetivo de este
análisis es, por lo tanto:
Permisivo y anulación
141
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Configuración de hardware
Lógica (2oo3)
-005S-P
Transmisor Barrera IS ROV0501
de presión
PT0500H
Transmisor
ROV0503
temperatura
PT0500H
Conmutador
manual
Conmutador
manual
Cobertura de diagnóstico
Se ha asumido que todos los modos de fallo no detectados serán descubiertos con la
prueba de calidad, es decir, con la ejecución completa de la función del sistema
instrumentado de seguridad (SIS).
142
MANUAL DE SEGURIDAD DE PROCESOS 1
Probabilidad de fallo de SIF
Los intervalos de prueba de calidad deben seleccionarse para conseguir los objetivos a la
vez que se maximiza el intervalo de prueba de los sensores.
Los fallos por causas comunes (CCF) son fallos que pueden derivarse de una causa
individual, pero que pueden afectar simultáneamente a más de un canal. Pueden ser el
resultado de un fallo sistemático, por ejemplo, un error de especificación de diseño o
una influencia externa como temperatura excesiva que pudiera dar lugar a un fallo del
componente en los dos canales redundantes.
La contribución de los fallos por causas comunes en rutas redundantes en paralelo debe
considerarse en el modelo con la incorporación de un factor β. La tasa de fallos por causas
comunes incluida en el cálculo es igual a β x la tasa de fallo total de una de las rutas
redundantes. Los factores β que deben utilizarse en el análisis están resumidos en la
Tabla 19.
Lógica TMR PLC 5% Los fallos por causas comunes en una configuración triple
modular redundante (TMR) son pequeños. No obstante, se ha
utilizado un valor de 5% para mantener un enfoque
conservador.
Componentes tipo A
143
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Componentes tipo B
El análisis debe asumir tasas de fallo constantes dado que se espera eliminar los efectos
de fallos prematuros mediante procesos apropiados. Estos procesos incluyen el uso de
productos muy desarrollados de fuentes autorizadas, pruebas en fábrica antes de la
entrega, y funcionamiento ampliado y prueba funcional como parte de la instalación y
la puesta en servicio. Los datos de devolución de campo en otros proyectos similares
indican que los fallos de vida prematuros no dan lugar a un número significativo de
devoluciones y, por lo tanto, las técnicas empleadas se estiman suficientes.
También se asume que los componentes no se utilizan más allá de su vida útil, por lo que
así se garantiza que no ocurran fallos causados por el desgaste de ciertos mecanismos.
Las tasas de fallo (en fallos/hora) que pueden ser utilizados en el modelo para el cálculo
de la probabilidad de fallo a demanda (PFD), λDD y λDU están resumidos en la Tabla 20. Las
tasas de fallo se obtuvieron a partir de una combinación de fuentes.
144
MANUAL DE SEGURIDAD DE PROCESOS 1
Probabilidad de fallo de SIF
Dispositivos de entrada
PT 0500 Transmisor de presión (IS) 1.5E-06 1.4E-06 6.0E-07 7.5E-07 1.5E-07 0.60
PT 0501 Transmisor de presión (seguridad 1.5E-06 1.4E-06 6.0E-07 7.5E-07 1.5E-07 0.60
intrínseca)
PB 0500 Barrera para transmisor de presión 2.1E-07 6.3E-08 6.3E-08 0.0E+00 1.5E-07 0.70
anterior (no seguridad intrínseca)
PB 0501 Barrera para transmisor de presión 2.1E-07 6.3E-08 6.3E-08 0.0E+00 1.5E-07 0.70
anterior (no seguridad intrínseca)
FT 0041 Medidor de flujo Coriolis 2.6E-06 2.2E-06 9.0E-07 1.3E-06 4.0E-07 0.65
TT 0504 RTD de 3 conductores con 2.0E-06 1.4E-06 4.0E-07 1.0E-06 6.0E-07 0.80
transmisor montado sobre un
cabezal
Dispositivos lógicos
Dispositivos de salida
ROV 0501 AOV (FO) – válvula de descarga 5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734
con SOV incluida
ROV 0503 AOV (FO) – válvula de descarga 5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734
con SOV incluida
ROV 0404 AOV (FC) SOV incluida 9.72E-06 3.03E-06 3.03E-06 0.00E+00 6.69E-06 0.688
ROV 0405 AOV (FO) – válvula de descarga 5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734
con SOV incluida
ROV 0406 AOV (FO) – válvula de descarga 5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734
con SOV incluida
Tabla 20: Tasas de fallo (/h) y cálculo de fracción de fallos seguros (SFF)
145
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
146
Módulo AI Módulo DI Módulo DO
PT 0500 PB 0500 CPU
32pt 32pt 16pt
Bifurcación A
de bloques de fiabilidad
Módulo AI Módulo DI Módulo DO
TT 0504 32pt CPU
32t 6pt
Contribución CCF 3% 5%
Cant. 1 1 1 1 1 1 1 1
Configuración 1oo2 2oo3
λDD [bifurcación A] 7.50E-07 0.00E+00 2.25E-08 0.00E+00 6.90E-09 5.09E-07 1.08E-08 1.46E-08 2.71E-08
λDD [bifurcación B] 1.00E-06 0.00E+00
λDD para bifurcación 2.25E-08 0.00E+00 5.42E-07 2.71E-08
MDT 72 72 72 72 72
Configuración PFD 3.89E-09 1.62E-06 0.00E+00 4.56E-09 1.95E-06
147
λDU [bifurcación A] 6.00E-07 6.30E-08 1.99E-08 8.00E-07 9.86E-11 6.42E-09 9.91E-11 9.93E-11 3.36E-10
λDU [bifurcación B] 4.00E-07 0.00E+00
λDU para bifurcación 1.99E-08 8.00E-07 6.72E-09 3.36E-10
Periodo de prueba de calidad, T 17,520 17,520 4380 26,280 26,280
Configuración PFD 2.71E-05 1.74E-04 1.75E-03 3.11E-08 4.41E-06
PFD 4.92E-03
SIL permitido (PFD) 2
Tipo B A A B B B
SFF 0.60 0.70 0.60 >99 >99 >99
Redundancia 1 0 0 1 1 1
SIL arquitectónico 2 2 2 3 3 3
SIL permitido (arq.) 2
Probabilidad de fallo de SIF
MANUAL DE SEGURIDAD DE PROCESOS 1
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Al realizar cálculos de probabilidad de fallo a demanda es crítico que todos los cálculos
sean visibles y que todos los datos utilizados se puedan rastrear con respecto a la fuente.
Microsoft Excel es una herramienta útil en este sentido, dado que cumple estos dos
requisitos y también permite desarrollar una representación gráfica del modelo de
fiabilidad, tal y como se muestra en la Figura 57.
La hoja de cálculo permite que cada celda de datos remita a una tabla de datos en la
que figuran todos los datos de tasas de fallo recogidos así como las fuentes de datos. La
Tabla 22 es un ejemplo de tabla de datos. Es importante que la referencia de fuente de
datos esté lo suficientemente detallada para que cualquiera pueda comprobar y
confirmar los valores utilizados.
Dispositivo 5.57E- 2.23E- 2.21E- 2.20E- 3.34E- B 1.00 168 4380 Sintef
de resolución 06 06 06 08 06 [14.8.8]
lógica SIL3
Módulo de 1.07E- 5.34E- 5.08E- 2.60E- 5.34E- B 0.98 168 4380 Sintef
entrada 06 07 07 08 07 [14.8.8]
analógica
Módulo de 5.26E- 2.63E- 2.50E- 1.30E- 2.63E- B 0.98 168 4380 Sintef
salida 07 07 07 08 07 [14.8.8]
discreta
Válvula HIPPS 5.29E- 2.12E- 0.00E+ 2.12E- 3.17E- A 0.60 730 4380 Oreda
12" 06 06 00 06 06 2002
[14.8.6]
148
MANUAL DE SEGURIDAD DE PROCESOS 1
Probabilidad de fallo de SIF
14.8.1. Enfoque
Los datos relativos a la tasa de fallo tan solo deben obtenerse de fuentes adecuadas y esto
depende de la aplicación. A continuación figuran fuentes de datos que se han utilizado y
que resultan apropiadas para el sector de proceso.
14.8.2. Exida.com Safety Equipment Reliability Handbook, 2007, 3rd Edition Volume 1 –
Sensors, ISBN 978-0-9727234-3-5/Volume 2 – Logic Solvers and Interface Modules,
ISBN 978-0-9727234-4-2/Volume 3 – Final Elements, ISBN 978-0-9727234-5-9
14.8.4. Hydrocarbon Leak and Ignition Database Report No. 11.4/180 May 1992
14.8.5. IEEE Standard 500-1984. Guide to the Collection and Presentation of Electrical,
Electronic, Sensing Component, and Mechanical Equipment Reliability Data.
14.8.6. OREDA, The Offshore Reliability Data Handbook 4th Edition 2002
ISBN 82-14-02705-5
14.8.7. Parloc 2001: 5th Edition, The Institute of Petroleum, published by the Energy
Institute ISBN 0 85293 404 1.
14.8.8. Reliability Data for Control and Safety Systems, 2006 Edition, PDS Data Handbook,
SINTEF, ISBN 82-14-03898-7.
149
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Asignación de funciones de
2
seguridad a capas de protección
evaluación y auditoría de la seguridad funcional
Verificación
Instalación, puesta en marcha
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
150
MANUAL DE SEGURIDAD DE PROCESOS 1
Instalación, puesta en servicio y validación
Los procedimientos de validación deben incluir todos los modos de operación del
proceso y del equipo asociado y deben incluir:
151
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Debe llegarse al estado definido, o seguro, en caso de pérdida de energía, p. ej., energía
eléctrica o hidráulica o aire de instrumentación. Las funciones de alarma de diagnóstico
definidas en la especificación de requisitos de seguridad deben funcionar y ofrecer un
rendimiento tal y como se especifica en variables de proceso no válidas, p. ej., entradas
fuera de rango. Después de la validación deben facilitarse registros apropiados y se deben
identificar el elemento de prueba, el equipo de prueba, los documentos de prueba y los
resultados de prueba además de cualquier discrepancia y análisis o solicitudes de cambio
que surjan al respecto.
152
MANUAL DE SEGURIDAD DE PROCESOS 1
Funcionamiento y mantenimiento
Asignación de funciones de
2
seguridad a capas de protección
evaluación y auditoría de la seguridad funcional
Verificación
Instalación, puesta en marcha
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
Los objetivos de esta fase tal y como se define en IEC 61511-1, 16.1 son:
153
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
• pruebas de calidad;
• omitir una función instrumentada de seguridad para prueba o reparación;
• recogida rutinaria de datos: p. ej., resultados de auditorías y pruebas del
sistema instrumentado de seguridad, registros de demandas de funciones
instrumentadas de seguridad, tiempos improductivos por fallos, reparaciones
y pruebas de calidad.
• peligros;
• puntos de disparo;
• acciones ejecutivas;
• funcionamiento de todos los bypasses y cualquier restricción sobre su uso;
• operaciones manuales, p. ej., puesta en marcha, cierre y cualquier restricción
relativa a su uso;
• funcionamiento de alarmas y diagnósticos disponibles.
154
MANUAL DE SEGURIDAD DE PROCESOS 1
Funcionamiento y mantenimiento
155
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Asignación de funciones de
2
seguridad a capas de protección
evaluación y auditoría de la seguridad funcional
Verificación
Instalación, puesta en marcha
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
Los objetivos de esta fase tal y como se define en IEC 61511-1, 17.1 y 18.1 son garantizar
que:
156
MANUAL DE SEGURIDAD DE PROCESOS 1
Modificación y desmantelamiento
Cualquier solicitud de cambio debe describir el cambio requerido y las razones para la
solicitud. Esto lo puede proponer el personal de F y M como resultado de incidentes
durante el funcionamiento o el mantenimiento. El proceso de aprobación habitual de
solicitudes de cambio debe englobar a distintos departamentos dentro de una
organización para determinar el impacto del cambio relativo al diseño, la base instalada
y la implementación requerida.
Una vez que una organización está involucrada en la seguridad funcional, cualquier
solicitud de cambio debe además ser revisada por una persona competente, p. ej. la
autoridad de seguridad (SA), para determinar si el cambio puede afectar la seguridad y,
en tal caso, se requiere un análisis de impacto adecuado.
Los resultados del análisis pueden requerir una nueva inspección de las primeras partes
del ciclo de vida y, por ejemplo, puede ser necesario revisar los peligros identificados y las
evaluaciones de riesgos. Las actividades de modificación no pueden empezar sino hasta
que este proceso haya sido completado y la autoridad de seguridad haya autorizado el
cambio.
El desmantelamiento debe ser una actividad planificada como parte de la fase 11 del ciclo
de vida, y debe tratarse como una modificación al final de la vida del proyecto.
157
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Asignación de funciones de
2
seguridad a capas de protección
evaluación y auditoría de la seguridad funcional
Verificación
Instalación, puesta en marcha
5
y validación
Funcionamiento y
6
mantenimiento
7 Modificación
8 Desmantelamiento
El objetivo de esta fase, tal y como se define en IEC 61511-1, 5, es identificar las
actividades de gestión y la documentación necesarias con el fin de habilitar las fases
del ciclo de vida aplicables para que puedan ser abordadas convenientemente por
los responsables respectivos.
La norma lista requisitos generales para la gestión y la documentación para permitir que
las fases del ciclo de vida aplicables sean abordadas adecuadamente por los respectivos
responsables.
158
MANUAL DE SEGURIDAD DE PROCESOS 1
Gestión, evaluación y auditoría
Los requisitos para la gestión de la seguridad funcional figuran resumidos en la Tabla 23.
Debe estar implementado un sistema de gestión Debe estar disponible un documento de gestión de
de seguridad funcional para cerciorarse de que seguridad funcional de alto nivel que identifique todas las
el sistema instrumentado de seguridad tenga la fases del ciclo de vida del alcance. El documento de gestión
capacidad de implementar y mantener el debe referenciar los procedimientos necesarios de todas las
proceso en un estado seguro. actividades relacionadas con la seguridad.
Debe haber procedimientos implementados para especificar
todas las actividades de gestión y técnicas que se llevarán a
cabo en el proyecto. Los procedimientos deben identificar
los documentos que deben elaborarse.
Los proyectos deben controlarse usando un plan de calidad
y seguridad que identifique las actividades que se llevarán a
cabo, los medios de control y que permita la aprobación una
vez completados.
159
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
160
MANUAL DE SEGURIDAD DE PROCESOS 1
Gestión, evaluación y auditoría
161
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
162
MANUAL DE SEGURIDAD DE PROCESOS 1
Gestión, evaluación y auditoría
Debe haber una política y una estrategia para lograr la seguridad funcional dentro de la
organización y deben identificarse los medios que se utilizan en la organización para
dicha comunicación.
Todo el personal de proyecto debe estar identificado conforme a sus competencias y sus
responsabilidades deben estar definidas. Las competencias del personal deben quedar
registradas en un registro de competencias y debe existir un procedimiento para revisar
dichas competencias, para actualizar periódicamente el registro con las experiencias que
se vayan acumulando y para revisar las necesidades de formación. Deben definirse
requisitos relativos a las competencias para cada rol del proyecto.
Si en el alcance existen algunas actividades nuevas, p. ej., HAZOP, entonces debe crearse
un procedimiento para abordar HAZOP. Si, por ejemplo, un desarrollo consiste en incluir
software de una aplicación relacionada con la seguridad, entonces debe disponerse un
procedimiento para asegurarse que el software se desarrolle conforme a la fase 4 del ciclo
de vida [11].
163
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Sin embargo, al considerar cambios respecto a una función de seguridad, debe existir
algún tipo de análisis del impacto con el fin de determinar si el caso podría comprometer
la seguridad y a qué punto retornar dentro del ciclo de vida con el fin de empezar el
proceso de reevaluación. Puede ser necesario un procedimiento para realizar el análisis
de impacto y gestionar la reevaluación.
En función de las fases del ciclo de vida en el alcance, puede ser necesario implementar
procedimientos para tratar, recopilar y mantener la información derivada de: peligros,
incidentes y modificaciones. Los procedimientos también pueden describir:
Puede resultar necesario recopilar datos y dar mantenimiento a dichos datos porque
durante la evaluación de seguridad se ha podido asumir que la función de seguridad era,
por ejemplo, un sistema de modo a demanda. Al supervisarse la tasa de demanda a la que
se somete la función de seguridad se asegura que los objetivos apropiados y las medidas
de rendimiento fueron fijadas y siguen siendo válidas.
164
MANUAL DE SEGURIDAD DE PROCESOS 1
Referencias
19. Referencias
19.1. IEC 61508:2010, Functional Safety of Electrical/Electronic/Programmable
Electronic Safety Related Systems.
19.2. IEC 615112004: Functional Safety: Safety Instrumented Systems for the
Process Industry.
19.3. Reducing Risks, Protecting People, HSE 2001, ISBN 0 7176 2151 0.
19.4. AIChE Centre for Chemical Process Safety, Layer of Protection Analysis (LOPA),
2001
19.8. Functional Safety: Safety Instrumented Systems for the Process Industry
Sector. ANSI/ISA-84.00.01-2004 Part 1 (IEC 61511-1 Mod).
165
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
20. Definiciones
2oo3 Dos de tres circuitos lógicos (circuito lógico 2/3) Un circuito lógico con tres entradas
independientes. La salida del circuito lógico tiene el mismo estado que cualquiera de
los dos estados de entrada coincidentes. Por ejemplo, un circuito de seguridad en el
que hay tres sensores y una señal de cualquiera de estos dos sensores es necesaria para
solicitar un cierre. Este sistema 2oo3 se considera tolerante a un solo fallo (HFT = 1),
es decir, en caso de que uno de los sensores falle peligrosamente, el sistema podría
desconectarse con seguridad. Otros sistemas de votación incluyen 1oo1, 1oo2, 2oo2,
1oo3 y 2oo4.
ALARP Tan bajo como resulte razonablemente practicable (As Low As Reasonably Practicable).
La filosofía de tratar con riesgos que se hallan entre un extremo superior e inferior. El
extremo superior es donde el riesgo es tan grande que es rechazado completamente,
mientras que el extremo inferior es donde el riesgo es o se ha logrado que sea
insignificante. Esta filosofía considera los costes y los beneficios de la reducción de
riesgos para hacer que el riesgo sea “tan bajo como resulte razonablemente
practicable”.
Análisis de árbol de Método de modelo de propagación de fallos. El análisis construye una imagen en forma
eventos de árbol de las cadenas de eventos, desde un evento iniciador hasta varios resultados
potenciales. El árbol se expande desde el evento iniciador en ramas de eventos de
propagación intermedios. Cada rama representa una situación en la que es posible un
resultado distinto. Después de incluir todas las ramas apropiadas, el árbol de eventos
termina con múltiples resultados posibles.
Apertura en error Condición en la que el componente de válvula de cierre se sitúa en una posición de
apertura cuando falla la fuente de energía de accionamiento.
Arquitectura Estructura de voto de elementos diferentes en una función instrumentada de
seguridad. Ver Restricciones arquitectónicas, tolerancia a fallos y 2oo3.
BPCS Ver Sistema básico de control de proceso.
Cierre en error Condición en la que el componente de válvula de cierre se sitúa en una posición
cerrada cuando falla la fuente de energía de accionamiento.
Cobertura de Medición de la capacidad del sistema para detectar fallos. Se trata de una relación entre
diagnóstico las tasas de fallos para fallos detectados y la tasa de fallo de todos los fallos en el
sistema.
Cobertura de prueba Fallos porcentuales detectados durante el servicio de un equipo. En general se asume
de calidad que cuando se lleva a cabo una prueba de calidad se detectan y corrigen los errores en
el sistema (cobertura 100% de la prueba de calidad).
Consecuencia Magnitud de daño o medición del resultado de un evento perjudicial. Uno de los dos
componentes utilizados para definir un riesgo.
Diagnósticos D Algunos dispositivos de resolución lógica con clasificación de seguridad están
designados como dispositivos que tienen diagnósticos con D mayúscula. Se diferencian
de los diagnósticos regulares en el hecho de que la unidad es capaz de reconfigurar su
arquitectura después de que un diagnóstico haya detectado un fallo. El mayor efecto se
aplica en los sistemas 1oo2D que pueden reconfigurarse a funcionamiento 1oo1
cuando detectan un fallo seguro. Así pues la tasa de disparos erróneos de un sistema de
este tipo se reduce enormemente.
166
MANUAL DE SEGURIDAD DE PROCESOS 1
Definiciones
Diagrama de causa y Método utilizado habitualmente para demostrar la relación de las entradas de los
efecto sensores respecto a la función de seguridad y a las salidas requeridas. Utilizado
frecuentemente como parte de la especificación de requisitos de seguridad. Los
puntos fuertes del método son bajo nivel de esfuerzo y representación visual clara,
mientras que los puntos débiles son formato rígido (algunas funciones no pueden ser
representadas con diagramas C-E) y el hecho de que puede simplificar excesivamente
la función.
Estado de seguridad El estado del proceso después de actuar para eliminar el peligro, y que no conlleva
ningún daño significativo.
Fallo aleatorio Fallo que ocurre en un tiempo aleatorio y que resulta de uno o más mecanismos de
degradación. Los fallos aleatorios se pueden predecir de forma efectiva con estadísticas
y son la base para los requisitos de cálculo basados en la probabilidad de fallo a
demanda para el nivel de integridad de seguridad. Ver Fallo sistemático.
Fallo de modo común Estrés aleatorio que causa el fallo de dos o más componentes simultáneamente y por el
mismo motivo. Difiere de un fallo sistemático en el hecho de que es aleatorio y basado
en la probabilidad, pero no procede conforme a un patrón fijo, predecible y de causa y
efecto. Ver Fallo sistemático.
Fallo peligroso Fallo de un componente en una función instrumentada de seguridad que evita que
dicha función alcance un estado de seguridad cuando así se requiere. Ver Modo de
fallo.
Fallo seguro Fallo que no tiene potencial para poner el sistema de seguridad en estado de peligro o
de anomalía de funcionamiento. Situación que se da cuando un sistema o componente
relacionado con la seguridad falla a la ejecución, de manera que se requiere la
desactivación del sistema o la activación de la función instrumentada de seguridad
cuando no hay ningún peligro presente.
167
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Fallo sistemático Fallo que ocurre de manera predecible y determinista (no aleatoria) como resultado de
una causa concreta, y que solo puede eliminarse con la modificación del diseño o del
proceso de fabricación, procedimientos operacionales, documentación u otros factores
relevantes. Dado que estos elementos no son predecibles desde un punto de vista
matemático, el ciclo de vida de la seguridad incluye un gran número de procedimientos
para evitar que ocurran. Los procedimientos son más rigurosos para sistemas y
componentes con un nivel de integridad de seguridad más elevado. Este tipo de
errores no pueden evitarse con una redundancia simple.
FMECA Análisis de modos de fallo, efectos y nivel de criticidad (Failure Modes Effects and
Criticality Analysis). Se trata de un análisis detallado de los diferentes modos de fallo y
análisis de criticidad para un equipo individual.
IEC 61508 La norma IEC que comprende la seguridad funcional de sistemas eléctricos/
electrónicos/electrónicos programables relacionados con la seguridad. El principal
objetivo de la norma IEC 61508 es utilizar sistemas instrumentados de seguridad con
el fin de reducir el riesgo a un nivel tolerable siguiendo para ello los procedimientos
del ciclo de vida de seguridad generales de hardware y software, y respetando la
documentación asociada. Desde que fue publicada en 1998 y 2000 viene siendo
utilizada principalmente por proveedores de equipos de seguridad con el fin de
demostrar que su equipo es apto para el uso en sistemas clasificados con nivel de
integridad de seguridad.
IEC 61511 La norma IEC para el uso de sistemas eléctricos/electrónicos/electrónicos programables
relacionados con la seguridad en la industria de proceso. Al igual que la IEC 61508, se
centra en un conjunto de procesos relacionados con el ciclo de vida de la seguridad con
el fin de gestionar el riesgo del proceso. Fue publicada originalmente por la Comisión
Electrotécnica Internacional en 2003, y adoptada por los EE.UU. en 2004 como
ISA 84.00.01-2004. A diferencia de la IEC 61508, esta norma está orientada a los usuarios
de sistemas instrumentados de seguridad de la industria de proceso.
168
MANUAL DE SEGURIDAD DE PROCESOS 1
Definiciones
Modo (continuo) Cuando las demandas de activación de una función de seguridad (SIF) son frecuentes
en comparación con el intervalo de prueba de las funciones instrumentadas de
seguridad (SIF). Nótese que otros sectores definen un modo de alta demanda
independiente, basado en si los diagnósticos son capaces de reducir la tasa de
accidentes. En cualquier caso, el modo continuo es aquel en el que la frecuencia de
un accidente no deseado se determina esencialmente por la frecuencia de un fallo
peligroso de función instrumentada de seguridad (SIF). Cuando falla la función
instrumentada de seguridad, la demanda de acción correspondiente tiene lugar en
un intervalo de tiempo más corto que la prueba de función, por lo que no es relevante
hablar de su probabilidad de fallo. Básicamente todos los fallos peligrosos de una
función instrumentada de seguridad (SIF) en funcionamiento de modo continuo serán
descubiertos por una demanda de proceso en lugar de una prueba de función. Ver
modo de demanda baja, modo de demanda elevada y SIL.
Modo (demanda baja) (también modo a demanda según IEC 61511) cuando las demandas para activar la
función instrumentada de seguridad son poco frecuentes en comparación con el
intervalo de prueba de las funciones instrumentadas de seguridad. La industria de
proceso define este modo cuando las demandas para activar las funciones
instrumentadas de seguridad son inferiores a uno de cada dos intervalos de prueba
de calidad. El modo de demanda baja de la operación es el modo más común en las
industrias de procesos. Al definir el nivel de integridad de seguridad para el modo de
demanda baja, el rendimiento de una función instrumentada de seguridad (SIF) se
mide en términos de promedio de probabilidad de fallo a demanda (PFDavg). En este
modo a demanda, la frecuencia del evento iniciador, modificada por la probabilidad de
fallo a demanda de las funciones instrumentadas de seguridad (SIF) por la tasa de
demanda y cualquier capa de protección en la rama descendente determinan la
frecuencia de accidentes no deseados.
169
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Modo (demanda (también modo continuo según IEC 61511) Similar al modo continuo salvo que a los
elevada) diagnósticos automáticos se les asigna una contabilización específica. La división entre
demanda elevada y modo continuo se aplica cuando los diagnósticos automáticos son
ejecutados muchas veces más rápido que la tasa de demanda de la función de
seguridad. Si los diagnósticos son más lentos que ésta, entonces no se contabilizan y se
aplica el modo continuo.
Modos de fallo Manera en la que falla un dispositivo. Estas maneras generalmente están agrupadas
en uno de los cuatro modos de fallo: seguro detectado (Safe Detected, SD), peligroso
detectado (Dangerous Detected, DD), seguro no detectado (Safe Undetected, SU) y
peligroso no detectado (Dangerous Undetected, DU) según ISA TR84.0.02.
MTTR Tiempo medio hasta la reparación. Tiempo promedio entre la ocurrencia de un fallo y la
finalización de la reparación de dicho fallo. Incluye el tiempo necesario para detectar el
fallo, iniciar la reparación y completar completamente la reparación.
Ocupación Medida de probabilidad de que la zona efecto de un accidente cuente con uno o más
receptores del efecto entre el personal. Esta probabilidad debe determinarse con la
aplicación del enfoque teórico y práctico del personal específico de la planta.
P&ID Diagrama de tubos e instrumentación. Muestra la interconexión del equipo del proceso
y la instrumentación utilizada para controlar el proceso. En la industria de proceso, un
conjunto estándar de símbolos que se utiliza para preparar diagramas de proceso. Los
símbolos de instrumentos utilizados en estos diagramas están basados generalmente
en la norma S5 de la ISA (Instrument Society of America). 1. 2. El diagrama esquemático
principal utilizado para configurar la instalación de un control de proceso.
Peligro Potencial de daños.
Probado en uso Base para utilizar un componente o un sistema como parte de un nivel de integridad de
seguridad (SIL) clasificado como sistema instrumentado de seguridad (SIS) que no ha
sido diseñado de conformidad con IEC 61508. Requiere suficientes horas operacionales
del producto, historial de revisiones, sistemas de notificación de fallos y datos de fallo
de campo para determinar si hay evidencia de fallos de diseño sistemático en un
producto. IEC 61508 proporciona niveles de historial operacional requeridos para cada
nivel de integridad de seguridad.
Protección en caso de Característica de un dispositivo en particular que hace que el dispositivo pase a un
fallos (o mejor estado seguro cuando pierde energía eléctrica o neumática.
desenergizar a
disparo)
170
MANUAL DE SEGURIDAD DE PROCESOS 1
Definiciones
Prueba de calidad Prueba de los componentes del sistema de seguridad para detectar cualquier fallo no
detectado por los diagnósticos automáticos en línea, es decir, fallos peligrosos, fallos de
diagnóstico, fallos de parámetros seguidos por la reparación de dichos fallos hasta
conseguir el equivalente a un estado nuevo. La prueba de calidad es una parte vital del
ciclo de vida de seguridad y es crítica para asegurar que un sistema consigue el nivel de
integridad de seguridad requerido a lo largo del ciclo de vida de seguridad.
Redundancia Uso de múltiples elementos o sistemas para realizar la misma función. La redundancia
puede implementarse con elementos idénticos (redundancia idéntica) o con diversos
elementos (redundancia diversa). Redundancia primaria utilizada para mejorar la
fiabilidad o disponibilidad.
171
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Sistema básico de Sistema que responde a señales de entrada procedentes del proceso, equipo asociado
control de proceso y/o un operario, y que genera señales de salida que hacen que el proceso y el equipo
asociado funcionen de una manera determinada. El sistema básico de control de
proceso (BPCS) no puede ejecutar ninguna función instrumentada de seguridad
clasificada con un nivel de integridad de seguridad de 1 o mayor a menos que cumpla
los requisitos probados en uso. Ver Probado en uso.
Tasa de fallos Número de fallos por unidad de tiempo de un elemento del equipo. Por regla general
se asume que es un valor constante. Se puede desglosar en varias categorías como:
seguro y peligroso, detectado y no detectado e independiente/normal y causa común.
Debe prestarse atención a fin de garantizar que la prueba de funcionamiento y el
desgaste se aborden convenientemente para que el supuesto de la tasa de fallo
constante sea válido.
Tolerancia a fallos Capacidad de una unidad funcional de continuar ejecutando una función requerida en
presencia de fallos o errores aleatorios. Por ejemplo, un sistema de voto 1oo2 puede
tolerar un fallo de componente aleatorio y seguir ejecutando la función. La tolerancia
a fallos es uno de los requisitos específicos para el nivel de integridad de seguridad
(SIL) y figura descrita en más detalle en IEC 61508 Parte 2, Tablas 2 y 3 y en IEC 61511
(ISA 84.01 2004) en la Cláusula 11.4
Verificación del SIL Proceso de calcular la probabilidad promedio de fallo a demanda (o la probabilidad
de fallo por hora) y las restricciones arquitectónicas para un diseño de la función de
seguridad con el fin de ver si cumple el SIL requerido.
172
MANUAL DE SEGURIDAD DE PROCESOS 1
Abreviaturas
Abreviaturas
λ Tasa de fallo, relación del número total de fallos que ocurren en un período determinado
de tiempo
λD Tasa de fallo de fallos peligrosos
λDD Tasa de fallo de fallos peligrosos detectados mediante diagnósticos
λDU Tasa de fallo de fallos peligrosos no detectados mediante diagnósticos
λS Tasa de fallo de fallos de seguridad
1oo1 Votación 1 de 1 (Simplex)
1oo2 1 de 2
AI Entrada analógica (Analogue Input)
ANSI Instituto Nacional Americano de Normalización (American National Standards Institute)
ALARP Tan bajo como resulte razonablemente practicable (As Low As Reasonably Practicable)
BMS Sistema de gestión de quemadores (Burner Management System)
BPCS Sistema básico de control de proceso (Basic Process Control System)
C&E Causa y efecto (Cause and Effect)
CBA Análisis de costes y beneficios (Cost Benefit Analysis)
CCF Fallo por causas comunes
COMAH Control de principales peligros de accidente (Control Of Major Accident Hazards)
DCS Sistema de control distribuido (Distributed Control System)
DD Peligroso detectado (Dangerous Detected)
DI Entrada digital (Digital Input)
DO Salida digital (Digital Output)
DU Peligroso no detectado
E/E/PES Sistema eléctrico/electrónico/electrónico programable (Electrical/Electronic/Programmable
Electronic System)
ESD Cierre de emergencia (Emergency Shutdown)
ESDV Válvula de cierre de emergencia (Emergency Shutdown Valve)
FyG Fuego y gas (Fire and Gas)
FyM Funcionamiento y mantenimiento
f/h Fallos por hora (Failures per hour)
Fallo peligroso Modo de fallo que tiene el potencial de poner el sistema de seguridad en un estado de
peligro o de fallo de funcionamiento
Fallo seguro Modo de fallo que no tiene potencial para poner el sistema de seguridad en un estado de
peligro o de fallo de funcionamiento.
FC Fallo de cierre (Fail Closed)
FDS Especificación de diseño funcional (Functional Design Specification)
FMECA Modos de fallo, análisis de efectos y criticidad (Failure Modes, Effects and Criticality Analysis)
FO Fallo de apertura (Fail Open)
FPL Lenguaje programable fijo (Fixed Programmable Language)
FSC Capacidad de seguridad funcional (Functional Safety Capability)
FVL Lenguaje de variabilidad completa (Full Variability Language)
HAZAN Análisis de peligros (Hazard Analysis)
HASAW Ley de Salud y Seguridad en el Trabajo (Health and Safety at Work Act (HSW))
HAZOP Estudio de peligros y operabilidad (Hazard and Operability Study)
HFT Tolerancia a fallos de hardware (Hardware Fault Tolerance)
HIPPS Sistema de protección de presión de alta integridad (High Integrity Pressure Protection
System)
HSE Autoridad de Salud y Seguridad en el Reino Unido (Health and Safety Executive)
I/O Entrada/salida (Input/Output)
IEC Comisión Electrotécnica Internacional (International Electrotechnical Commission)
IPL Capa de protección independiente (Independent Protection Layer)
ISA Sociedad Internacional de Automatización (International Society of Automation)
LOPA Análisis de capas de protección (Layer of Protection Analysis)
LVL Lenguaje de variabilidad limitada (Limited Variability Language)
MDT Tiempo improductivo medio (Mean Down Time)
MooN M de N (caso general)
173
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
174
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
175
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
176
MANUAL DE SEGURIDAD DE PROCESOS 1
MANUAL DE SEGURIDAD DE PROCESOS 1 – Seguridad funcional en la industria de procesos/Principios, normas e implementación
También disponible:
Manual de seguridad 4 – Sistemas de control relacionados
con la seguridad de maquinaria.
Esta práctica guía trata los principios relativos a la seguridad de
la maquinaria, además de la legislación, la teoría y la práctica.
Número de publicación: SAFEBK-RM002B
Seguridad funcional en
la industria de proceso
Principios, normas e implementación
Publicación: SAFEBK-RM003A-ES-P – Marzo de 2013 © 2013 Rockwell Automation, Inc. Todos los derechos reservados.