SISTEMA INSTRUMENTADO DE SEGURIDAD

Verifica funcionamiento de función instrumentada de seguridad

(SIF) en un sistema básico de control de Procesos
www.senati.edu.pe
OBJETIVOS

Al finalizar la sesión el participante estará en la

capacidad de verificar la función instrumentada de
seguridad (SIF) en un sistema básico de control de
procesos..

www.senati.edu.pe
OPERACIONES

• Verificar sistema de control básico de procesos (SCBP)

• Identificar eventos peligrosos
• Identificar nivel de integridad de seguridad (SIL)
• Verificar dispositivos del “lazo de seguridad” (SIF) según
especificaciones técnicas.
• Verificar operación de SIF.

www.senati.edu.pe
Seguridad Funcional - Objetivos
El objetivo de la Seguridad Funcional es eliminar o minimizar riesgos
inaceptables para las Personas, los Equipos y el Medio Ambiente. Para lograr
este objetivo pueden combinarse diferentes tipos de medidas e implementarse
distintas capas de protección, como por ejemplo el Sistema Instrumentado de
Seguridad (SIS).
La Norma IEC 61508 es la que utilizan los fabricantes para certificar sus
productos (sensores, PLCs y elementos finales) y además es la norma que
sirve de base para desarrollar otras normas específicas de cada sector, como la
IEC 61511 para la industria de proceso, la IEC 62061 para la maquinaria, las
EN 50126/128/129 para el sector ferroviario y otras.
Nos enfocaremos en la industria de procesos y las normas IEC
61508/61511.
https://youtu.be/BHYN51Owtso https://youtu.be/30bkSlKK9pk

www.senati.edu.pe
Seguridad Funcional - Niveles

El SIL (Nivel de integridad de seguridad) es un objetivo

cuantitativo para medir el nivel de rendimiento necesario
para que una función de seguridad logre un riesgo tolerable
para un peligro de proceso. Se define en ambos. La
definición de un nivel SIL objetivo para el proceso debe
basarse en la evaluación de la probabilidad de que ocurra un
incidente y las consecuencias del incidente.

Es un nivel discreto (uno de cuatro) para especificar los

requisitos de integridad de seguridad de las funciones
instrumentadas de seguridad que se asignarán a los sistemas
instrumentados de seguridad. SIL 4 tiene la integridad de
seguridad más alta y SIL 1 la más baja.

www.senati.edu.pe
Seguridad Funcional - Niveles

IEC 61511 solo define requisitos para SIL 1 a SIL 3, ya que se

espera que SIL 3 sea un nivel máximo en el sector de procesos
(excepto Nuclear). Para SIL 4, IEC 61511 remite al usuario a los
detalles de IEC 61508.

Tanto IEC 61508 como IEC 61511 tienen tablas con los
niveles de integridad de seguridad asociados con la
probabilidad de falla, el factor de reducción de riesgos, la
tolerancia a fallas de hardware y la arquitectura.

www.senati.edu.pe
Seguridad Funcional - Niveles
Es un nivel discreto para la especificación de los requerimientos de integridad
de las funciones de seguridad a ser asignadas a los sistemas instrumentados de
seguridad. Cada nivel discreto se refiere a la probabilidad de que un sistema
referido a la seguridad realice satisfactoriamente las funciones de seguridad
requeridas bajo todas las condiciones establecidas en un periodo de tiempo
dado.

www.senati.edu.pe
Seguridad Funcional - Niveles

www.senati.edu.pe
CICLO DE VIDA DE SEGURIDAD – IEC 61511
El estándar IEC 61511 recomienda el uso de un ciclo de vida de
seguridad funcional. Se puede usar cualquier ciclo de vida de
seguridad, pero el estándar establece un proceso que se puede
dividir en tres clasificaciones principales como ejemplo.

La fase de análisis (resaltada en color azul claro), que está

enfocada en la determinación y documentación de cuánta
seguridad se requiere o se necesita. Orientada a resolver y evitar
el 44% de los accidentes debido a especificaciones inadecuadas.

www.senati.edu.pe
CICLO DE VIDA DE SEGURIDAD – IEC 61511
La fase de ejecución o realización (resaltada en color verde
claro), que está enfocada en el diseño mismo y en la implementación
del sistema, así como en la documentación del nivel de seguridad
alcanzada con dicho diseño. Orientada a disminuir el 21% de los
accidentes causados por errores y/o omisiones durante el diseño, la
implementación, la instalación y la puesta en servicio.
La fase de operación (resaltada en color rojo claro), que está enfocada
en las actividades y documentación necesaria para operar y mantener el
sistema al nivel integral de seguridad original.
Orientada a disminuir o eliminar el 35% de los accidentes que son
causados por incorrecta operación o mal mantenimiento y cambios
realizados después que el sistema ha sido puesto en servicio, que se
indica en la Figura 1.

www.senati.edu.pe
 CICLO DE VIDA DE SEGURIDAD – IEC 61511

Ciclo de vida de
seguridad funcional
según norma IEC
61511 y ANSI/ISA
84.00.01

www.senati.edu.pe
 CICLO DE VIDA DE SEGURIDAD – IEC 61511

Ciclo de vida de seguridad funcional

www.senati.edu.pe
Función Instrumentada de Seguridad

La Función Instrumentada de
Seguridad, cuya abreviatura es SIF
(“Safety Instrumented Function”).

Es una capa de protección cuyo objetivo es lograr o mantener un

estado seguro del proceso cuando se produzca un evento peligroso
específico. La SIF se implementa en el SIS (Safety
Instrumented System) que normalmente está compuesto de
varias funciones de seguridad.

www.senati.edu.pe
Función Instrumentada de Seguridad

www.senati.edu.pe
Función Instrumentada de Seguridad

A cada Función Instrumentada de Seguridad se le asigna un

determinado nivel de protección, definido por el nivel SIL (1, 2, 3
o 4), utilizando alguna de las metodologías definidas en las
normas IEC 61508/61511 como el “Gráfico de Riesgos”, la
“Matriz de Riesgos” o la LOPA.
En la siguiente tabla se muestra el Factor de Reducción de
Riesgo (RRF) de los niveles SIL para el caso de una SIF de baja
demanda que es lo habitual en la industria de proceso.

www.senati.edu.pe
Función Instrumentada de Seguridad

Por ejemplo, en una SIF con SIL-1 reduciremos el riesgo un

mínimo de 10 veces, con SIL-2 100 veces y con SIL-3 1000
veces.
www.senati.edu.pe
Función Instrumentada de Seguridad

La Función Instrumentada de Seguridad está compuesta de

cualquier combinación de sensor, logic solver (PLC), elemento final
y todas las interfases necesarias (cables, tubing, conexión al
proceso, etc.). Debemos recordar lo siguiente:
El SIS está compuesto de varias Funciones de Seguridad (SIF).
Cada SIF está formada por un subsistema SENSOR,
un subsistema LOGIC SOLVER y un subsistema ACTUADOR.

www.senati.edu.pe
Función Instrumentada de Seguridad -
Dispositivos
Cada uno de estos subsistemas tiene uno o varios componentes con
una determinada arquitectura (1oo1, 1oo2, 2oo3, etc.). La lógica de
los subsistemas sensor y actuador se programa en en PLC de
seguridad.

www.senati.edu.pe
Función Instrumentada de Seguridad -
Dispositivos

Un subsistema SENSOR o ACTUADOR puede formar parte de

una o de varias SIFs, incluso puede haber dos SIFs con los mismos
elementos. Por ejemplo, un transmisor de presión con disparo por
alta y por baja presión. Tenemos dos SIFs que deben cerrar las dos
válvulas de corte de gas del quemador tanto por alta como por baja
presión, ambas utilizan el mismo sensor, el mismo PLC y las
mismas válvulas. La diferencia entre ambas estará en la consigna
de disparo (y en cómo se comporta la SIF cuando se detecta un
fallo peligroso en base a la configuración “over/under range” del
transmisor).

www.senati.edu.pe
Función Instrumentada de Seguridad

Cada SIF tiene un nivel SIL asignado diferente.

Los parámetros de cálculo de la Probabilidad de Fallo de cada
uno de los subsistemas de la SIF pueden ser diferentes,
aunque es habitual utilizar el mismo LT (Life Time) y el
mismo tiempo de arranque de la SIF (Start-up time) para el
cálculo del MTTFS.

www.senati.edu.pe
Arquitecturas más utilizadas
Lógica Canales HFT (S) HFT (D) Objetivos Uso en

1oo1 1 0 0 sensor, actuador

1oo2 2 1 0 Más Seguridad sensor, actuador

2oo2 2 0 1 Más Disponibilidad sensor, actuador

2oo3 3 1 1 Seguridad + Disponibilidad sensor, PLC

1oo2D 2 1 0 Seguridad con diagnósticos altos PLC (DMR)

2oo4D 4 2 1/2 Seg.+ Disp. con diagnósticos altos PLC (QMR)

2oo3D 3 1/2 1/2 Seg.+ Disp. con diagnósticos altos PLC (TMR)

HTF(S) = Tolerancia a fallo para Seguridad

HFT(D) = Tolerancia a fallo para Disponibilidad
Recordemos que la lógica de los subsistemas sensor y actuador se programa en el Logic Solver (PLC de Seguridad). Esta lógica puede
ser sencilla (1oo1, 1oo2, 2oo3, 2oo2) o mucho más compleja combinando varios grupos (por ejemplo, arquitectura 2oo2 con 2 grupos
1oo2).

www.senati.edu.pe
Arquitecturas más utilizadas

www.senati.edu.pe
¿Qué significa “MooN”?

En una SIF hay 3 subsistemas, cada uno puede tener una arquitectura diferente.
Cuando hablamos de una arquitectura MooN (M de N, o en inglés “M out of
N”) tenemos:

N canales (por ejemplo: N sensores, o N válvulas de corte, oN

microprocesadores en el PLC, o N transistores en cada salida digital del PLC,
etc.)
Hay un sistema de votación entre los N canales, de forma que M canales deben
actuar para que la arquitectura realice correctamente su función de seguridad (por
ejemplo, si tengo 2 sensores con una arquitectura 1oo2 entonces es suficiente con
sobrepasar el umbral de disparo en 1 canal para que la SIF actúe sobre el elemento
final).

www.senati.edu.pe
¿Qué es la “tolerancia a fallo” de una arquitectura?

La tolerancia a fallo (en inglés HFT de “Hardware Fault

Tolerance”) nos indica el número máximo de canales que
pueden fallar para seguir protegidos, aunque se haya
producido una degradación de la arquitectura.
Por ejemplo, si uno de los canales de la arquitectura 1oo2 falla
(por ejemplo, una de las válvulas se queda agarrotada y no puede
cerrar) entonces la arquitectura se degrada a 1oo1 pues nos queda
1 válvula para cerrar el paso de fluido en caso de que se demande
la actuación de la Función de Seguridad.

www.senati.edu.pe
¿Qué es la “tolerancia a fallo” de una arquitectura?
En la siguiente gráfica se comparan varias arquitecturas. En el eje vertical
tenemos la PFDavg (probabilidad media de fallo en demanda) y en el horizontal
el valor de MTTFS (“Mean Time To Fail Spuriously”. Este parámetro mide cada
cuantos años es probable que se produzca un fallo seguro de la SIF y, por tanto,
que se pare el proceso).

La arquitectura 2oo3
es la más utilizada en
sistemas críticos en
los que necesitamos
tanto seguridad como
disponibilidad del
proceso.

www.senati.edu.pe
www.senati.edu.pe