Hazop Sil

Sistemas Instrumentados de Seguridad
TITULACI: Enginyeria en Automtica i Electrnica Industrial
AUTORS: Xavier Galindo Dez.

DIRECTORS: Alfonso Romero.
DATA: juny / 2012.
ndice
ndice
1
INTRODUCCIN
ALCANCE
13
NORMATIVA Y ESTNDARES
15
3.1
IEC 61508, IEC 61511
16
3.2
ANSI/ISA-S84.01-1996
20
ABREVIACIONES
23
CONCEPTOS Y DEFINICIONES
25
5.1
Qu es el Riesgo?
5.1.1
Riesgo Inherente
5.1.2
Riesgo Tolerable
5.1.3
Riesgo Individual. Principio ALARP
5.1.4
Riesgo geogrfico
5.1.5
Riesgo en la sociedad
5.1.6
Factor de Reduccin de Riesgo (RRF)
25
25
26
27
29
29
29
5.2
ndice SIL. Nivel ntegro de Seguridad
31
5.3
SIF. Funcin Instrumentada de Seguridad
32
5.4
Auditoria de seguridad funcional (Functional safety audit)
33
5.5
rbol de fallos.
34
5.6
Avera (Failure).
34
5.7
BPCS. Sistema Bsico de Control de Proceso.
34
5.8
Capas de proteccin.
34
5.9
Ciclo de vida de seguridad (CVS). Safety LifeCicle (SLC)
34
5.10
Comisionamiento
34
5.11
Comunicacin externa
35
5.12
Comunicacin interna
35
5.13
Confiabilidad (Reliability)
35
5.14
Dao
35
5.15
Peligro (Hazard)
35
5.16
Demanda
35
ndice
5.17
Desenergizado/Energizado para disparo.
35
5.18
Desmantelamiento
35
5.19
Cobertura de diagnstico (DC)
36
5.20
Disparos en falso
36
5.21
Disponibilidad de seguridad
36
5.22
Dispositivos
36
5.23
Diversidad
36
5.24
Elemento final de control
36
5.25
Estado seguro
37
5.26
Error
37
5.27
Error humano
37
5.28
Especificaciones de los requisitos de seguridad (SRS). (Safety Requirement Specifications)

37
5.29
Factor de Reduccin de Riesgo (RRF). (Risk reduction Factor)
37
5.30
Fallo
37
5.31
Fallo activo
37
5.32
Fallo aleatorio
37
5.33
Fallo dependiente
37
5.34
Fallo pasivo
38
5.35
Fallo peligroso
38
5.36
Fallo sistemtico
38
5.37
Fallo seguro
38
5.38
Fallo de causa comn
38
5.39
Fallo de modo comn
39
5.40
Funcin lgica (Logic function)
39
5.41
Instalaciones externas de reduccin de riesgo
39
5.42
Interfaz Mantenimineto/Ingenieria (Maintenance/engineering interface)
39
5.43
Lenguajes Software en subsistemas SIS. (Software languages in SIS subsystems)
39
5.44
Tipos de software
40
5.45
Manual de seguridad. (Safety Manual)
40
ndice
5.46
Mitigacin (Mitigation)
40
5.47
MooN system (Sistema MooN)
40
5.48
MOC, Management of change
40
5.49
Modo de operacin (Mode of operation)
41
5.50
MTTF
42
5.51
MTTR
42
5.52
MTBF
42
5.53
Nivel ntegro de Seguridad (SIL). (Safety Integrity Level)
42
5.54
Operator interface. Interface Operador
43
5.55
Proven in use
43
5.56
Probabilidad de fallo en demanda (PFD)
43
5.57
Redundancia (Redundancy)
43
5.58
Resolvedor Lgico. (Logic Solver)
43
5.59
Riesgo del proceso (Risk Process)
43
5.60
Seguridad Funcional (Functional Safety)
43
5.61
Sensor.
44
5.62
Sistema Instrumentado de Seguridad (SIS). (Safety Instrumented System)
44
5.63
Tasa de demanda
44
5.64
Tasa de fallos ()
44
5.65
Test de ensayos (Proof Test)
45
5.66
Tolerancia a fallos
45
5.67
Valoracin, evaluacin de la seguridad funcional (Functional safety assessment)
45
5.68
Validacin.
45
5.69
Verificacin.
46
GERENCIA DE SEGURIDAD FUNCIONAL
47
6.1
Requisitos generales
6.1.1
Recursos y Organizacin
6.1.2
Evaluacin y gestin del riesgo
6.1.3
Planificacin de seguridad y responsabilidades E&I durante el Ciclo de vida
6.1.4
Implementacin y seguimiento
47
47
48
49
51
6.2
Evaluacin, Auditorias y Revisiones
6.2.1
Evaluacin de la seguridad funcional
51
51
ndice
6.2.2
6.2.3
Evaluacin y Revisin de las actividades durante el ciclo de vida

Auditorias y revisin
SISTEMA INSTRUMENTADO DE SEGURIDAD
52
54
55
7.1
Ciclo de Vida de Seguridad
7.1.1
Fase Anlisis del Ciclo de Vida de Seguridad SIS
7.1.2
Diseo Conceptual del Proceso
7.1.3
Anlisis de Peligros y Riesgos del Proceso
7.1.4
Aplicacin de capas no-SIS
7.1.5
Criterios para determinar la necesidad de un SIS
7.1.6
Seleccin del SIL objetivo
7.1.7
Especificaciones de Requerimientos de Seguridad, SRS
7.1.8
Fase Implementacin del Ciclo de Vida de Seguridad SIS
7.1.9
Ingeniera y diseo del SIS
7.1.9.1 Diseo conceptual del SIS
7.1.9.2 Diseo de detalle del SIS
7.1.10
Verificacin del SIL
7.1.11
Pruebas de Aceptacin de Fbrica (FAT)
7.1.12
Instalacin y Comisionado
7.1.13
Fase Operacin del Ciclo de Vida de Seguridad SIS
7.1.14
Operacin y Mantenimiento
7.1.15
Modificaciones del SIS
7.1.16
Desmantelamiento del SIS
59
64
65
65
66
66
67
68
68
69
70
70
70
71
71
72
73
74
74
7.2
Mtodos de Identificacin y Anlisis de Riesgos de Procesos (PHAs)
7.2.1
Marco legislativo
7.2.2
Tcnicas de Identificacin de Riesgos y Anlisis de Peligros
7.2.3
Metodologa HAZOP
7.2.3.1 Procedimiento.
7.2.3.2 Puntos fuertes y dbiles de la metodologa HAZOP
7.2.3.3 Desarrollo del estudio HAZOP
7.2.4
Revisin de la seguridad
75
75
78
81
83
84
85
93
7.3
Asignacin del SIL objetivo
7.3.1
Mtodos cualitativos
7.3.2
Mtodos cuantitativos
7.3.3
Revisin de la seguridad
94
94
106
112
7.4
Especificaciones de los requerimientos de seguridad (SRS)
7.4.1
Especificaciones funcionales
7.4.2
Especificaciones de integridad
7.4.3
Especificaciones de sobrevivencia
7.4.4
Documentacin SRS
7.4.5
Ejemplo de Requerimientos bsicos de seguridad
113
115
116
118
118
120
7.5
Ingeniera y Diseo del SIS.
124
7.5.1
Independencia entre los componentes del SIS y del BPCS
125
7.5.2
Identificacin y etiquetado de las Funciones Instrumentadas de Seguridad y Sistemas
Instrumentados de Seguridad
126
7.5.3
Sensores de campo
127
7.5.3.1 Transmisores inteligentes
130
7.5.3.2 Diagnsticos de sensores
130
7.5.4
Elementos finales de control
131
7.5.4.1 Diagnsticos de vlvulas
133
7.5.4.2 Posicionadores inteligentes en vlvulas
133
7.5.4.3 Test de recorrido parcial (PST Partial Stroke Test)
134
7.5.5
Tecnologa de control. Seleccin
139
7.5.6
PLC de seguridad
143
ndice
7.5.6.1 Software de Aplicacin

7.5.6.2 Documentacin
7.5.6.3 Operacin, mantenimiento y modificacin
7.5.7
Seleccin de equipos. Equipos Certificados o uso previo
7.5.8
Tolerancia a Fallos Hardware (HFT). Seleccin de Arquitectura.
7.5.8.1 HFT segn norma IEC 61511 y IEC 61508
7.5.9
Comunicacin entre el BPCS y el SIS
7.5.10
Fuentes de energa
7.5.10.1 Fuentes de energa elctrica
7.5.10.2 Conexin a tierra
7.5.10.3 Fuentes de energa neumtica
7.5.11
Interfaces
7.5.11.1 Interfaces de operador
7.5.11.2 Interfaces de ingeniera y mantenimiento
7.5.11.3 Interfaz de comunicacin
7.5.12
Mantenimiento y pruebas funcionales
7.5.12.1 Como establecer la frecuencia del test
7.5.13
Cableado de los elementos de campo
7.5.14
Consideraciones ambientales
7.5.15
Fallos de causa comn
7.5.16
Fallos sistemticos
7.5.17
Revisin de seguridad de diseo e ingeniera
144
145
146
147
149
161
167
168
168
169
169
170
170
172
172
173
176
177
177
178
179
182
183
7.6
Verificacin del SIL de una SIF.
7.6.1
Introduccin
7.6.2
Procedimiento
7.6.3
Clculo PFDavg y MTTFspurious. Modelo Ecuaciones Simplificadas.
7.6.3.1 Clculo PFDavg
7.6.3.2 Clculo MTTFspurious
7.6.3.3 Supuestos realizados en el modelo de ecuaciones simplificadas
7.6.3.4 Ejemplo de clculo utilizando el modelo de ecuaciones simplificadas
7.6.4
Observaciones. Uso de guas propias estandarizadas
7.6.4.1 Arquitecturas tpicas
7.6.4.2 Desviacin de las arquitecturas tpicas
184
184
186
188
188
195
200
201
207
211
212
215
7.7
218
Pruebas de aceptacin de fbrica (FAT, Factory Acceptance Test)
7.8
7.8.1
PSAT (Pre-Start Acceptance Test)
219
222
7.9
7.9.1
Procedimientos de operacin y mantenimiento
7.9.2
PSSR (Pre-Startup Safety Review)
7.9.3
Pruebas funcionales del SIS (Proof Testing)
7.9.3.1 Metodologa de test
225
225
228
229
230
231
7.10 Modificacin del SIS durante operacin

7.10.1
Cuando es necesario aplicar la gestin de modificaciones (MOC)
7.10.2
Requerimientos de los procedimientos MOC
7.10.3
Documentacin
7.10.4
Decomisionado
231
232
233
234
235
ANEXOS
236
8.1
ANEXO A: Vista general del ciclo de vida (IEC 61511)
236
ndice
8.2
ANEXO B: Ejemplo HAZOP Sistema Antorcha.
238
8.3
ANEXO C: Respuestas a las Recomendaciones
240
8.4
ANEXO D: Asignacin SIL a una SIF: Matriz de Riesgo
241
8.5
ANEXO E: P&ID
242
8.6
ANEXO F: CEM, Matriz Causa Efecto
243
8.7
ANEXO G: SRS; Especificaciones para las Funciones Instrumentadas de Seguridad (SIF)

244
8.7.1
SRS: SIF N 1:
244
8.7.2
SRS: SIF N 2:
244
8.8
ANEXO H: Clculo SIL; Verificacin
8.8.1
SIF N 1:
8.8.2
SIF N 2:
245
245
248
8.9
ANEXO I: Hojas Tcnicas
252
8.10
ANEXO J: Lazos de Control
253
8.11
ANEXO K: Diagramas Lgicos
254
8.12
ANEXO M: Sinpticos BPCS
255
8.13
ANEXO N: Pruebas de Lazo de Seguridad
256
8.14
ANEXO O: Hojas PSSR; (Pre Start Safety Review)
257
8.15
ANEXO P: Proteccin de la informacin: Sistema Instrumentado de Seguridad
258
Introduccin
Introduccin
La seguridad en las plantas es la mayor preocupacin en la industria de procesos

Safety first 1. Plantas qumicas, petroqumicas, de refino del petrleo, etc., necesitan
implementar soluciones para resolver este problema. Como veremos ms adelante un
sistema instrumentado de seguridad (SIS), tambin referido como sistema de paro de
emergencia (ESD 2) se instala en un proceso industrial para prevenir situaciones de riesgo
por descontrol del proceso que puede llevar a una situacin de peligro, reduciendo el riesgo
que puede llegar a ser peligroso a un riesgo tolerable, reduciendo la frecuencia de
incidentes y accidentes no deseados, parando el proceso antes de que se produzca el
posible accidente. Por tanto, el propsito final del SIS es llevar el proceso y/o equipos
especficos del proceso a un estado seguro mediante instrumentacin y control. La cantidad
de reduccin de riesgo que el SIS debe proporcionar viene representada por su nivel de
integridad de seguridad (SIL), que se define como un rango de probabilidad de fallo en
demanda.
Por otro lado, tambin existe la posibilidad de que algn elemento del sistema de
seguridad falle y nos lleve el proceso a un estado seguro sin que se haya producido ningn
evento peligroso, es lo que se conoce como paros en falso (spurious trips), estos tambin
han de ser considerados a la hora de aplicar un sistema de seguridad.
Por esta razn se ha de asegurar en el diseo de un sistema instrumentado de
seguridad que cumpla con dos premisas claves, seguridad y disponibilidad en el proceso.
Las instalaciones industriales almacenan, procesan, y generan sustancias peligrosas,
que tienen asociado un determinado nivel de riesgo dependiendo de la posibilidad que
exista de provocar consecuencias adversas sobre receptores vulnerables (personas, bienes
materiales y medio ambiente) como resultado de efectos no deseados (trmicos, fsicos y
qumicos) originados por sucesos incontrolados en sus instalaciones. Un sistema
instrumentado de seguridad percibe una desviacin de las condiciones normales de proceso
que pueden llevar a un peligro para la integridad de las personas, medio ambiente y la
propia instalacin y es entonces cuando toma la accin para llevar el proceso a un estado
seguro, previniendo un accidente no deseado.
Estos riesgos potenciales exigen que las plantas adopten estrictos criterios de diseo
en las instalaciones y equipos y en la necesidad de implantar medidas de seguridad. Estas
medidas de seguridad se traducen en mltiples capas de proteccin (figura 1.1) de las
instalaciones.
Eslogan de muchas empresas primero seguridad
Emergency ShutDown
Introduccin
Figura 1.1 Capas de proteccin

Cada capa de proteccin est compuesta de equipos y/o procedimientos de control
que actan conjuntamente con otras capas de proteccin para controlar y/o mitigar los
riesgos de los procesos.
La reduccin global del riesgo resulta de la adopcin de las medidas de las distintas
capas de proteccin y en ltima instancia debe resultar un riesgo remanente tolerable
(figura 1.2).
Figura 1.2 Reduccin del riesgo
Las capas de proteccin de los procesos se dividen en:
Aquellas capas destinadas a prevenir el accidente, como son el sistema de

control, las alarmas crticas (monitorizacin del proceso), las actuaciones por
parte del operador y los Sistemas Instrumentados de Seguridad (SIS).
Aquellas capas destinadas a mitigar el incidente/accidente, como pueden ser los

sistemas Fuego y Gas (sistema de deteccin, alarma y extincin de incendios o
9
Introduccin
nubes de gas), sistemas de alivio, de proteccin fsica, la respuesta de la planta

ante emergencia (plan de emergencia interior, PEI) o la respuesta de la poblacin
ante emergencia (plan de emergencia exterior, PEE).
Las medidas de seguridad o capas de proteccin a adoptar en las instalaciones se
derivarn de la elaboracin de un Anlisis de Riesgos. Existen un gran nmero de tcnicas
de identificacin de riesgos, como bases de datos de accidentes, HAZOP (anlisis de
peligros y operabilidad), anlisis what if?, FCMEA (anlisis de fallo, efectos y
consecuencias), anlisis mediante rboles fallo (FTA) y rboles de suceso (ET), etc. La
tcnica de identificacin seleccionada depender de los propsitos perseguidos con la
identificacin de riesgos, as como de los datos y recursos disponibles.
La implementacin de un Sistema Instrumentado de Seguridad (ver figura 1.3)
deriva de la aplicacin de un anlisis de riesgos. En particular la metodologa HAZOP es la
ms extendida y adaptada en la mayora de los procesos industriales, que nos dir la
necesidad de aplicar esta capa de seguridad, as como el sistema Fuego y Gas (F&G) que
activa medidas de seguridad en caso de incendio o fuga de gas en las instalaciones.
Figura 1.3. Componentes de un Sistema Instrumentado de Seguridad
De esta forma, despus de la elaboracin de un anlisis de riesgos, se decidir qu

valor objetivo SIL (Safety Integrity Level) exigimos, esto permitir evaluar cual es el nivel
de seguridad exigible a los Sistema Instrumentados de Seguridad, as como verificar si
estos cumplen los requisitos establecidos en la normativa de aplicacin de acuerdo a dicho
SIL.
Los mtodos usados para la seleccin del SIL se basan en el propio riesgo si un
accidente ocurre, una evaluacin de las consecuencias y probabilidades de un accidente y
una evaluacin de la eficacia de todas las protecciones y seguridades relevantes del
proceso. Implementar un SIS, y por lo tanto seleccionar un SIL, implicar considerar leyes,
regulaciones y estndares nacionales e internacionales.
Antes del ao 1980 no haba normas o estndares de ingeniera para el diseo de
sistemas de seguridad. Las principales regulaciones para reducir el riesgo de los procesos
se gestaron principalmente despus de tres accidentes:
1974- Flixborough 1, Gran Bretaa. Explosin de una nube de vapor de ciclohexano
de 50 Tn ventiladas a la atmsfera por la planta qumica NYPRO que provoc la muerte de
28 personas de la planta, 56 personas fuera de la planta, multitud de heridos, daos en ms
de 1800 casas y 167 locales comerciales en un radio de 12 km. El coste de los daos
super los 100 millones de dlares. Afortunadamente ocurri fuera del horario normal de
trabajo, por lo que las prdidas humanas fueron menos de las esperadas.
http://en.wikipedia.org/wiki/Flixborough_disaster
10
Introduccin
1976- Seveso 1, Italia. Prdida a la atmsfera de una nube de TCP cloro y dioxina
como consecuencia de la fisura de un disco de rotura producido por una reaccin
exotrmica incontrolada de 2-4-5-triclorofenol (TCP). Quedaron inservibles ms de 4 km a
la redonda de tierras cultivables y el nmero de heridos y muertos por el escape no fue
informado, pero ms de 470 personas fueron atendidas por intoxicacin.
Estos dos accidentes dieron origen a una serie de normas y leyes en cuanto a la
seguridad de procesos, por parte de los entes reguladores europeos.
Una fecha clave para el inicio de la reglamentacin de los sistemas de seguridad en
Estados Unidos la encontramos en diciembre de 1984, con la explosin y fuga de 24
toneladas de metilisocianato, mientras se realizaban tareas de mantenimiento en una planta
qumica que Unin Carbide posea en Bhopal (India), donde oficialmente se habl de 2500
muertos, ms de 200000 personas con lesiones, un desastre ecolgico incalculable y una
herencia de problemas para las sucesivas generaciones. Desde esta fecha se empez a crear
normas reglamentarias.
As en Estados Unidos y Europa (Alemania principalmente) empezaron a nacer
diferentes organizaciones y normas que proporcionaban directrices para sus sistemas de
parada de emergencia.
OHSA 2 en Estados Unidos y paralelamente Seveso Directive 3 en Europa, fueron
las primeras normas de regulacin que aparecieron, siendo la Directiva Seveso, creada el
24 de junio de 1982, la primera norma de obligado cumplimiento para los pases miembros
de la CEE. El 9 de diciembre de 1996 fue sustituida por la Directiva Seveso II, siendo de
obligado cumplimiento a partir del 3 de febrero de 1999, finalmente en 2005 se propugn
el RD 119/2005 de 4 de febrero, conocido como SEVESO III. Segn Seveso III un
accidente grave es cualquier suceso, tal como emisin en forma de fuga o vertido, incendio
o explosin importantes que suponga una situacin de grave riesgo, inmediato o diferido,
para personas, bienes y medio ambiente, bien sea en el interior o exterior de la instalacin,
y que estn implicadas una o ms sustancias peligrosas. La directiva Seveso fue traspuesta
al ordenamiento jurdico espaol mediante el R.D. 1254/1999, por el que se aprueban las
medidas de control de los riesgos inherentes a los accidentes graves en los que intervengan
sustancias peligrosas, este a su vez es modificado por el R.D. 948/2005.
La directriz bsica para la elaboracin y homologacin de los planes especiales del
sector qumico est recogida en el R.D. 1196/2003, en ella se indica las bases y criterios
para la correcta organizacin de las emergencias derivadas de accidentes, estableciendo los
criterios mnimos de contenidos de los planes de emergencia interior (PEI) y exterior
(PEE).
Una norma de referencia en todo el mundo aunque no de obligado cumplimiento en
Espaa al no estar recogida en la legislacin espaola es la normativa de obligado
cumplimiento en Estados Unidos y perteneciente a OHSA, 29 CFR 1910.119 Process
safety management of highly hazardous chemicals.
http://es.wikipedia.org/wiki/Desastre_de_Seveso
OHSA: Occupational Safety and Health Administration, Administracin de Seguridad y Salud

Ocupacional emitida por el Departamento de Trabajo de los Estados Unidos.
3
Seveso Directive I and II se trata de una recopilacin de leyes editada por la Comisin Europea de
medio ambiente encaminadas a la prevencin y control de accidentes qumicos.
11
Introduccin
ISA -Instrumentation Systems and Automation Society- cre un estndar para la

industria en 1996, la ANSI/ISA-S84.00.01-1996 1 Application of Safety Instrumented
Systems for the process industries que recopil y uni todos Process Management
Safety (PMS) de diferentes organizaciones y compaas para crear un nico estndar.
Paralelamente en Europa IEC -The International Electrotechnical Commission- cre un
documento similar en 1998, la IEC 61508 2 que cubre numerosos tipos de industrias y bajo
este estndar se cre la IEC 61511 que es un estndar especfico para el sector de proceso.
Este estndar fue aceptado por la ISA S84 que sustituy a la anterior ANSI/ISA-84.00.01,
con lo que actualmente la IEC 61511 y la ISA S84 es el mismo estndar, considerndose
estndares globales.
Ambos estndares IEC 61511/61508 y ANSI/ISA S84 usan el concepto del ciclo de
vida de seguridad como herramienta en la gestin de la aplicacin de sistemas
instrumentados de seguridad. Estos estndares requieren que se establezca un nivel SIL
para cada lazo, por lo que requiere de la creacin de un sistema de gestin que pueda
asegurar la seguridad del proceso. Requiere de un anlisis de riesgos para poder establecer
los niveles SIL requeridos.
Actualmente se encuentra la actualizacin ANSI/ISA-S84.00.01-2004.
Actualmente se encuentra la actualizacin IEC 61511-2003 y la IEC 61508-2000.
12
Alcance
Alcance
El proyecto sita una gua de referencia para la realizacin de un Sistema

Instrumentado de Seguridad, desde la obtencin de las especificaciones de requerimientos
de seguridad, la realizacin de la ingeniera y del diseo, la instalacin, y su operacin y
mantenimiento, de forma que pueda ser confiable para llevar y mantener el proceso en un
estado seguro. Todo este trabajo ha sido desarrollado de acuerdo a los estndares vigentes
IEC 61511 (Seguridad funcional: SIS para procesos industriales) y la ANSI/ISA S84.012004 (Aplicacin de SIS para procesos industriales).
En particular se pretende dar un enfoque para el desarrollo de un sistema
instrumentado de seguridad destacando la importancia que representa la seguridad en
cualquier industria de proceso y en particular en la industria qumica.
La filosofa de las compaas est cambiando, se adoptan lemas como la Seguridad
es lo primero, sin seguridad no hay produccin, etc. y crean estndares internos de
obligado cumplimiento referentes a seguridad, tanto generales como en particular de
proceso.
Es muy importante que las empresas y todo personal integrado en el proceso de
fabricacin, produccin, mantenimiento e ingeniera y en particular el personal encargado
del control y automatizacin estn familiarizadas con los estndares de seguridad
internacionales, conceptos y buenas prcticas que hacen que sus procesos sean seguros a la
vez que confiables y disponibles.
En particular se tratarn los siguientes temas:
Criterio de Ciclo de vida de seguridad. Definicin de actividades que son

necesarias para determinar requerimientos funcionales y de seguridad para toda la
vida del sistema de seguridad.
Como detallar los requerimientos y especificaciones para lograr un nivel de

seguridad funcional objetivo y quien es el responsable de implementar estos
requerimientos.
Mostrar que tipo de instrumentos pueden ser integrados en un SIS.
Relacin entre las funciones instrumentadas de seguridad (SIF) y las funciones de

control.
Como asignar niveles de integridad de seguridad (SIL) a las diferentes funciones

del proceso y como resolver que funciones son las que se convertirn en
funciones instrumentadas de seguridad, despus de haber reducido el riesgo
aplicando otros sistemas de reduccin de riesgo. Identificar los requerimientos
funcionales y los requerimientos integrados de seguridad para estas funciones
instrumentadas de seguridad.
Especificacin de requerimientos para la arquitectura del sistema y configuracin

del hardware, aplicacin del software e integracin del sistema.
Implementacin de una o ms funciones de seguridad para la proteccin de

personas, mquinas y medio ambiente en general cuando no se ha logrado la
seguridad funcional del lazo.
13
Alcance
Aplicacin del sistema a una aplicacin de no-seguridad como recurso de

proteccin.
Como determinar, evaluar y analizar un riesgo y su tasa de riesgo. Definir el

ndice o tasa SIL (nivel de integridad de seguridad) de cada SIF (funcin
instrumentada de seguridad). Diferentes mtodos de anlisis de riesgos.
Como encontrar una tasa numrica para la probabilidad media de fallo en

demanda (PFD) requerida en la IEC 61511 y la relacin con el valor SIL de la
funcin.
Como especificar requerimientos de todas las unidades que conforman el sistema

instrumentado de seguridad, desde el sensor hasta el elemento final, incluyendo el
procesador lgico (PLC de seguridad) y las conexiones.
Definir qu informacin y documentacin es requerida para la aplicacin de un

SIS durante el ciclo de vida de seguridad.
Como incluir los factores humanos en el diseo del SIS.
14
Normativas y Estndares
Normativa y Estndares
En el pasado las normas de seguridad se desarrollaron para aplicaciones concretas,

para tipos de industria o incluso para un pas especfico. Como ejemplo encontramos la
ANSI P1.1-1969 es una norma de consenso en la industria emitida por el Instituto Nacional
Americano de Estndares (ANSI) que define los requisitos de seguridad para las fbricas
que producen papel, pulpa y cartn.
El principal problema de este enfoque no global es que en plantas, e incluso
industrias completas, se produce el hecho que han de cumplir diferentes normas de
seguridad que se solapan, y que a menudo han sido desarrolladas con filosofas de diseo y
arquitectura completamente diferentes. A esto hay que sumar las diferencias entre normas
nacionales y regionales. Por lo que es prcticamente imposible estar seguro de que se ha
cumplido con las normativas vigentes, y se nos plantee la gran pregunta, qu norma cubre
y resuelve nuestra expectativa?
Ante esta complejidad normativa, las compaas usuarias de sistemas instrumentados
de seguridad necesitan definir sus propias normas para facilitar el cumplimiento de los
estndares de seguridad aplicables a sus instalaciones.
Es por lo que se crean asociaciones como IEC (Comisin Electrotcnica
Internacional) que desarrollan normas y estndares para que las empresas usuarias se
puedan proveer, dentro de un marco normalizado, de procedimientos y prcticas
recomendadas. As se crea, en el marco de la seguridad funcional de sistemas
instrumentados de seguridad en la industria de proceso, la IEC 61511 y para la seguridad
funcional de los equipos elctricos/electrnicos dedicados a seguridad la IEC61508.
Una razn por lo que las industrias redactan sus propios estndares, guas y prcticas
recomendadas que posteriormente se adoptan y discuten por expertos de los diferentes
estndares internacionales para su inclusin, es evitar la creacin de regulaciones
gubernamentales. Si la industria es la responsable de los accidentes, y estos no se regulan
es entonces cuando el gobierno puede intervenir para crear la regulacin, con peso de ley.
Es mejor que entidades internacionales expertas y asociaciones de industrias creen sus
propias regulaciones y estndares dentro del marco legal vigente y que finalmente
adquieran categora de norma, que proceder a una intervencin gubernamental.
Las normas de seguridad ms recientes se han desarrollado usando el criterio de
reduccin de riesgo y en el establecimiento de un grado definido de excelencia operacional
adoptando el concepto de ciclo de vida 1 del proyecto de seguridad.
Para industrias de procesos las normas ms relevantes son la IEC 61508, IEC 61511
y ANSI/ISA S84 (2004). Cada una de estas normas define qu se requiere para lograr el
cumplimiento normativo, y en el caso de la IEC 61511 y ANSI/ISA S84, cmo lograr el
cumplimiento por parte de los propietarios y operadores de planta.
El concepto ciclo de vida surge tras la publicacin en 1995 por parte del Ejecutivo Britnico de
Salud y Seguridad (Health and Safety Executive HSE) de un artculo titulado Fuera de control (Out of
control) donde se discute porqu fallan los sistema y cmo hay que prever los fallos. El artculo analiza las
causas de varios accidentes industriales que se originaron en fallos de sistemas de control. El resultado de
este estudio llev al desarrollo del concepto ciclo de vida de la seguridad funcional y que es definido en
diferentes estndares internacionales de seguridad como la ANSI/ISA S84.01, IEC 61508, IEC 61511.
15
Estas normas internacionales se estn utilizando como directrices para demostrar que
en el desarrollo de los sistemas instrumentados de seguridad se han aplicado las mejores
prcticas de ingeniera.
Si bien estas normas y directrices no tienen fuerza de ley en la mayora de los
pases 1, s que ha aumentado la dependencia de los sistemas SIS, obligando a realizar una
metodologa que asegure que se alcanza un nivel de riesgo tolerable objetivo, tanto en el
proceso de fabricacin de los sistemas y equipos participantes en sistemas instrumentados
de seguridad, como en el diseo y desarrollo, comisionado y puesta en marcha y
mantenimiento del propio sistema de seguridad. Para facilitar y garantizar que las
compaas proveedoras y las propietarias del sistema han cumplido y se han adherido a
estos estndares, existen organizaciones auditoras y certificadoras independientes, TV,
FM, Exida y otras, que actan como terceros y certifican que nuestro sistema cumple
estrictamente con la norma.
3.1
IEC 61508, IEC 61511
La IEC 61508 (partes 1-7), titulada Functional Safety of Programmable Electronic

Safety-Related Systems (seguridad funcional de los sistemas electrnicos programables
relacionados con la seguridad), es un estndar publicado por IEC Internacional
Electrotechnical Comisin. Se trata de una norma de seguridad completa, global y
funcional basada en rendimiento y que aplica a los fabricantes, proveedores e instaladores
de sistemas de seguridad para todas las industrias. Define los requisitos de los equipos de
control e instrumentacin de proceso.
La IEC 61508 establece una base para el uso de dispositivos elctricos y/o
electrnicos programables en el diseo de sistemas instrumentados de seguridad en
diferentes aplicaciones, medicina, transporte, etc. y entre ellas la industria de proceso.
Establece el concepto de ciclo de vida para el desarrollo de un SIS desde su concepcin
hasta su desmontaje, y establece que personal debera estar involucrado en las diferentes
fases del proyecto desde el concepto hasta la explotacin.
En resumen la IEC 61508 orienta a los fabricantes y proveedores en el desarrollo y
validacin de hardware y software para sistemas de seguridad. Es recomendable que los
usuarios y propietarios del sistema de seguridad busquen proveedores con productos
certificados por agencias reconocidas, que certifiquen el cumplimiento de la IEC61508, p.
ej. TV, FM o Exida.
La IEC 61508 fue usada por algunas plantas de la industria de procesos para
implementar sistemas instrumentados de seguridad que cumplieran con los requisitos
normativos. Sin embargo, no era una norma clara para adoptar en procesos industriales, por
lo que despus de una cuidadosa consideracin, el comit de normas IEC extrajo las
secciones relevantes de IEC 61508, y la volvi a redactar para formar la IEC 61511
especfica para industrias de procesos.
Como resultado la IEC 61511 proporciona una gua a las industrias de procesos y
ejemplos de cmo implementar e interpretar la norma, siempre bajo el marco establecido
por la IEC 61508.
Las normativas y prcticas recomendadas pueden tener peso de ley pero slo cuando son
incorporadas por referencia en la ley correspondiente o listada por la Directiva Europea.
16
Este enfoque hizo que la IEC 61511, Functional Safety: Safety Instrumented Systems
for the Process Industry Sector (Seguridad funcional: Sistemas instrumentados de
seguridad para el sector de las industrias de procesos), sea la norma de seguridad que la
mayor parte de las industrias de procesos eligen como estndar para el desarrollo de sus
guas internas propias y documentos internos para la implementacin de sus Sistema
Instrumentados de Seguridad. La IEC 61511 es un estndar publicado por la IEC
International Electrotechnical Comisin donde se establece una base para el uso de
dispositivos elctricos y/o electrnicos programables en el diseo de Sistemas
Instrumentados de Seguridad en la industria de proceso. Establece cuales son los pasos en
el ciclo de vida de un SIS desde su concepcin hasta su desmantelamiento, y est dirigida
fundamentalmente al diseador, ejecutor y usuario final de los sistemas de seguridad.
Por tanto la IEC 61511 aplica a los usuarios finales en la industria de procesos.
Est basada en dos conceptos fundamentales: el ciclo de vida de seguridad del SIS y
el nivel integro de seguridad, SIL. Tiene 3 partes:
Parte 1: Requisitos
Parte 2: Directrices de aplicacin de IEC 61511-parte 1
Parte 3: Seleccin del SIL
Figura 3.1.1 Objetivo de las normas IEC 61508 y IEC61511
La IEC 61511 es una norma que incluye y se basa en el concepto ciclo de vida, esto
facilita el uso de otras normas o prcticas basadas en el ciclo de vida. Este modelo de ciclo
de vida de seguridad funcional es usado y recomendado por agencias reguladoras y otros
organismos como:
La agencia ISO Organizacin Internacional de Normas para la calidad del

producto y servicio.
HSE Oficina Ejecutiva de Salud y Seguridad del Reino Unido para actividades
relacionadas con la seguridad.
17
SEI Instituto de Ingeniera de Software para el diseo de software de alta

disponibilidad.
OSHA Administracin de Seguridad y Salud Laboral de los EEUU (29 CFR

1910.119- Process Safety Management of Highly Hazardous Chemicals) para la
seguridad de los trabajadores.
Etc.
IEC 61511 permite personalizar el modelo de ciclo de vida para ajustarse a sus
prcticas habituales, siempre y cuando se cumpla con los requisitos normativos.
El enfoque de la IEC 61511 usa 5 etapas principales de ciclo de vida para atender
estos requisitos, adems de un proceso de verificacin y documentacin a lo largo de todo
el ciclo de vida:
Etapa de ciclo de vida
Requisitos de IEC 61511
1. Ingeniera bsica del proyecto y

diseo conceptual
Evaluacin de peligro y riesgo (Clusula 8)
Asignacin de funciones de seguridad a capas

de proteccin (Clusula 9)
Especificacin de requisitos de seguridad para

sistemas instrumentados de seguridad
(Clusulas 10 y 11)
Diseo e ingeniera del sistema instrumentado

de seguridad (Clusulas 11 y 12.4)
Construccin del sistema instrumentado de

seguridad, integracin y pruebas FAT
(Clusula 13)
Instalacin y comisionamiento del sistema

instrumentado de seguridad (Clusula 14)
Validacin de seguridad del sistema

instrumentado de seguridad (Clusulas 12.3,
12.7 y 15)
4. Provisin de seguridad funcional
Operacin y mantenimiento del sistema

instrumentado de seguridad (Clusula 16)
5. Modificacin y actualizacin
Modificacin del sistema instrumentado de

seguridad (Clusula 17)
- Verificacin y documentacin
Verificacin (Clusulas 7, 12.4, 12.7)
Documentacin (Clusula 19)
2. Diseo e ingeniera de detalle
3. Instalacin y puesta en marcha
18
Todas estas actividades permiten cumplir con el requisito central de la norma IEC
61511:
Gestin de seguridad funcional
Gestin de seguridad funcional y

evaluacin y auditoria de la seguridad
funcional (Clusula 5)
Estructura y plan del ciclo de vida de

seguridad (Clusula 6.2)
Dependiendo de dnde est ubicado el SIS, es posible que la conformidad con IEC
61511 o con otras normas de seguridad sea un requisito legal. Incluso si no lo es, cumplir
la norma tiene sentido. El resultado de la IEC 61511 es un riguroso conjunto de prcticas
recomendadas para disear, implementar, verificar, operar y mantener sistemas
instrumentados de seguridad robustos y fiables. Es una buena muestra de ayudar a
garantizar la seguridad de la planta y por tanto del entorno social, a la vez que puede
minimizar costos de operacin.
El hecho de haber cumplido con la norma, incluso si no es de obligado
cumplimiento, puede ser til en caso de ocurrir algn incidente de seguridad. Las
investigaciones posteriores a un accidente o vertido de producto al medio ambiente
involucran a agencias gubernamentales que tienen autoridad para abrir una va de
investigacin e imponer sanciones si es preciso, incluso sanciones penales y clausura de
actividades. Entre las preguntas que pueden hacer estn:
Ha ocurrido alguna clase de incidente o accidente en esta compaa

anteriormente?
Qu procesos proactivos se utilizaron para identificar los riesgos?
Qu mtodos se usaron para cuantificar los riesgos?
Qu acciones se usaron para mitigar los riesgos?
Qu proceso se sigui para garantizar que se desplegara la mitigacin

adecuadamente?
Qu procesos estn implementados para garantizar que la solucin de mitigacin

contine funcionando como se espera?
Etc.
Las respuestas a estas clases de preguntas son exactamente lo que nos da la

aplicacin de la norma IEC 61511. El haber cumplido y seguido la norma IEC 61511
durante todo el ciclo de vida facilitar mucho las investigaciones sobre un hipottico
accidente o incidente y dar un punto de vista objetivo de cmo se realizaba la seguridad
del proceso.
Es muy importante que todas las tareas realizadas durante el ciclo de vida de un
sistema de seguridad estn adecuadamente documentadas. La Clusula 19 recopila los
requisitos de informacin que exige la norma IEC61511 con el fin de asegurar de que se
dispone de la documentacin necesaria de forma que se puedan realizar las evaluaciones y
validaciones que se requieran.
19
3.2
ANSI/ISA-S84.01-1996
ANSI/ISA-S84.01-1996 Application of Safety Instrumented Systems for the process

industries.
Es una norma que ha sido reemplazada por IEC 61508 y IEC 61511 en el 2004
cuando se denomin ANSI/ISA-S84.00.01-2004 (IEC 61511Mod), son normas
equivalentes y ambas con tres partes. Se trata de una norma creada en Estados Unidos en
1996 y que recientemente ha sido armonizada con la IEC 61511, con la excepcin que las
instalaciones que actualmente usan la versin de 1996 de S84 continen hacindolo
siempre y cuando se determine que el equipo de seguridad se disee, se mantenga, se
inspeccione, se pruebe y se opere de una manera segura.
Es una norma de la ANSI American Nacional Standards Institute en la que se
establece una base para el diseo de Sistemas Instrumentados de Seguridad en la industria
de proceso, incluyendo tecnologa elctrica, electrnica, y electrnica programable.
Asimismo establece cuales son los pasos en el ciclo de vida de un SIS desde su concepcin
hasta su desmontaje. Est dirigida fundamentalmente al personal que participa en el
desarrollo y fabricacin de los SIS, en la instalacin, en el comisionado y en todas las fases
del ciclo de vida de un sistema de seguridad.
Como se ha comentado en la introduccin, hace aos y despus de un elevado
nmero de accidentes en las industrias, sobre todo del sector qumico, los expertos en
seguridad comenzaron una profunda revisin de las normas de seguridad existentes,
llegando a la conclusin de que estas eran especficas en la industria y no podan
relacionarse entre ellas.
A partir de estos razonamientos se form el comit ISA SP84. Seguidamente se opt
por usar el modelo Ciclo de Vida basado en rendimiento y como resultado apareci la
ANSI/ISA S84.01-1996, Application of Safety Instrumented Systems for the Process
Industries (Aplicacin de sistemas instrumentados de seguridad para las industrias de
procesos).
IEC61508
Figura 3.2.1 Normativas IEC y relacin con ISA
20
Figura 3.2.2 Evolucin de la normativa
ACLARACIN: Las normativas y prcticas recomendadas pueden tener peso de ley pero
slo cuando son incorporadas por referencia en la ley correspondiente o listada por una
Directiva Europea. As existe una jerarqua de las guas para la seguridad en procesos
industriales tal que:
Legislacin: Leyes dictadas por las autoridades correspondientes, con carcter

local, estatal o nacional.
Regulacin: Reglas, las cuales tienen peso de ley, a travs de la delegacin de

autoridad. P.ej. OHSA, Seveso Directive.
Normativa: Consenso de un grupo de industrias acerca del mnimo nivel de

ingeniera aceptable. P.ej. IEC 61511
Prctica Recomendada: recomendaciones de un grupo de industrias. P.ej.

Buenas prcticas de una compaa qumica.
Existen muchas otras normas y estndares aplicables a sistemas de seguridad,

dependiendo del tipo de industria a que aplique as:
NFPA 85: Boiler and Combustion Systems Hazard Code 2004. NFPA National
Fire Protection Assocoation es una asociacin internacional fundada en 1896 que tiene
como objetivo elaborar normativas, estndares y guas de consenso para la reduccin del
riesgo de incendios. La norma que ms nos afecta en procesos industriales es la NFPA 85
relativa a procurar seguridad en sistemas de combustin y tiene como objetivo la seguridad
de operacin y prevencin de incendios y explosiones en sistema de combustin, calderas
con mltiples quemadores. NFPA 85 aplicara a sistemas BMS Burner Management
Systems.Existe un gran debate entre las diferencias de un SIS y un BMS, puesto que
ambos son sistemas de proteccin muy similares con la diferencia que un BMS no trabaja
con niveles de integridad de la seguridad (SIL).
API RP 14C: Recommended Practice for Design, Installation, and Testing of Basic
Surface Safety Systems for Offshore Production Platforms. Publicada por el API
21
American Petroleum Institute en 2001. Dirigida a ingenieros de diseo y a personal de

operacin. Se trata de una serie de prcticas recomendadas para el anlisis, diseo,
instalacin y pruebas de los sistemas bsicos de seguridad en plataformas de produccin
costa afuera.
AIChe-CCPS: Guidelines for Safe Automation of Chemical Process 1993. El
Instituto Americano de Ingenieros Qumicos (AIChe) form el Centro para la Seguridad de
Procesos Qumicos (CCPS) despus del accidente ocurrido en Bhopal, India. Cubre el
diseo de los Sistemas de Control Distribuidos (DCS) y Sistemas de Interlock de
Seguridad. Contiene informacin muy valiosa obtenida por los usuarios de los sistemas a
lo largo del tiempo.
Bibliografa y referencias
[1]
EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems.

www.emersonprocess.com.
[2]
Curso: Anlisis de Riesgos Industriales y Sistemas Instrumentados de Seguridad. Madrid 5 y 6 abril

2006, ISA (The Instrumentation, Systems and Automation Sociecity). Profesorado: Gabriela Reyes
y Victoriano Macas (INERCO).
[3]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 13, IEC (International Electrotechnical Comission). 2003
[4]
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[5]
IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related

Systems. Parts 1-7, IEC (International Electrotechnical Comission). 1998
.
22
Abreviaciones
Abreviaciones
ALARP
As Low as Reasonable Practicable
ANSI
American National Standards Institute
BMS
Burner Management System
BPCS
Basic Process Control System (ej. PCS, DCS)
CEM
Cause Effect Matrix
CCRC
Competence Center for Responsability Care
CFSE
Certified Functional Safety Expert
DC
Diagnostic Coverage
E/E/PES
Electrical/Electronic/Programmable Electronic System
EMC
Electromagnetic Compatibility
ESD
Emergency ShutDown System
FAT
Factory Acceptance Testing
FM
Factory Mutual
FMEDA
Failure Modes, Effects and Diagnostic Analysis
FMS
Management of Functional safety
FTA
Fault Tree Analysis
F&GS
Fire&Gas System
HAZOP
HAZard and Operability Studies
HMI
Human Machine Interface
IEC
Internacional Electrothecnical Comisin
ISA
Instrumentation, Systems and Automation Society
LOPA
Layer of Protection Analysis
MooN
M out of N
MTBF
Mean Time Between Failures
MTTF
Mean Time To Fail
PFD
Probability of Failure on Demand
PFDavg
Average Probability of Failure on Demand
PFS
Probability of Failure Spurious
PHA
Process Hazard Analysis
P&ID
Process & Instrumentation Diagram
PSM
Process Safety Management
PST
Partial Stroke Test
RRF
Risk Reduction Factor. Inverso de PFDavg

23
Abreviaciones
SCL
Safety Life Cicle
SFF
Safe Failure Fraction
SHE
Safety, Health and Environment
SIF
Safety Instrumented Function
SIL
Safety Integrity Level
SIS
Safety Instrumented System
SRS
Safety Requirement Specification
STR
Spurious Trip Rate
TI
Test Interval
TMR
Triple Modular Redundant
TV
Technischerberwachungs-Verein
24
Conceptos y Definiciones
5.1
Qu es el Riesgo?
Una planta, un proceso qumico obviamente conlleva un riesgo, que ha de ser

minimizado y controlado. El objetivo de cualquier compaa es conseguir el riesgo cero,
aunque es importante reconocer que el riesgo cero no existe.
Como definicin el riesgo es una medida resultado de la combinacin de la
probabilidad de que se produzca un evento peligroso y de la consecuencia de dicho evento.
El riesgo puede ser evaluado cuantitativamente o cualitativamente.
Riesgo = Frecuencia Con sec uencia
n muertes/ao
ao-1
n de muertes
perdidos/mes
mes-1
prdidas econmicas ()
kg fuga/hora
hora-1
kg sustancia fugada
etc.
Aunque en las normas de seguridad como la IEC 61511, el riesgo se centra en riesgo
personal y riesgo para el medio ambiente, la mayora de compaas extienden las
categoras y factores de riesgo e incluyen:
Seguridad y salud pblicas.
Interrupciones de produccin y problemas de calidad.
Costos de responsabilidad civil.
Daos a equipos y costos de reparacin.
Prdida de imagen de la empresa.
El riesgo puede ser expresado de mltiples formas. Depender de 2 factores:
Quien o que est expuesto al riesgo: empleados, sociedad pblica, medio

ambiente, equipos y mquinas, etc.
Cul es la consecuencia del riesgo: Fatalidad, daos, daos temporales o

permanentes al medio ambiente, prdidas financieras, etc.
5.1.1 Riesgo Inherente

La mayora de las instalaciones industriales de procesos tienen bastantes
componentes y manejan una cierta cantidad de materiales y sustancias de proceso bajo
unas condiciones dadas de temperatura, presin, etc. Algunas de estas sustancias pueden
ser peligrosas. El proceso completo tiene asociado un riesgo y es el que se conoce como
riesgo inherente.
25
Por definicin el riesgo inherente es el riesgo que existe debido a la naturaleza del
proceso, incluyendo el equipo y sustancias presentes.
As la evaluacin del proceso ayudar a determinar la probabilidad de que ocurra un
evento de riesgo, y la evaluacin de las sustancias (tipo y cantidad) ayudar a determinar
las consecuencias del riesgo.
Por ejemplo en un tanque de amoniaco presurizado podemos ver diferentes riesgos
inherentes que pueden llevar a una fuga de amoniaco como la rotura del tanque por un
exceso de presin, fugas en uniones de tubera, fugas en las empaquetaduras de vlvulas,
fallos del sistema de control en mantener la presin del tanque. Cada uno de estos riesgos
tiene una probabilidad y las consecuencias dependen de los peligros de exposicin del
personal al amoniaco.
5.1.2 Riesgo Tolerable
Todos sabemos que hay un punto donde el riesgo se vuelve intolerablemente alto.
Asimismo hay un punto dnde el riesgo se vuelve bastante pequeo y pasa a ser aceptable,
el riesgo cero no existe. Entre estos dos puntos est el rea del riesgo tolerable.
En una planta de procesos existen mltiples y simultneos riesgos. El propsito de un
plan de seguridad, incluido el SIS, es garantizar que el riesgo en todo momento sea
tolerable. El riesgo tolerable lo marca el propietario/operador de la planta en cada
momento, es una decisin corporativa. Cada uno marca su riesgo tolerable en la vida por
ejemplo detenerse o avanzar por un semforo que se acaba de poner en amarillo-, por lo
que requiere tanto rigor como flexibilidad. Lo que para uno es un riesgo aceptable, para el
otro ya es inaceptable.
La norma IEC 61511 describe el riesgo tolerable como el riesgo que se acepta en un
determinado contexto de acuerdo con los valores actuales de la sociedad, como vemos es
una definicin muy abierta.
La mayora de las compaas incluyen las lesiones, las muertes y el dinero perdido
entre otros factores a considerar. Una buena prctica es comparar incidentes, accidentes e
investigaciones con plantas similares y riesgos similares para poder identificar y establecer
el lmite del riesgo tolerable. Tambin existen fuentes tales como la Administracin de
Seguridad y Salud Laboral (OSHA) de los Estados Unidos y otras agencias similares en
otros pases.
Es importante, para definir el riesgo tolerable, considerar todas las fuentes relevantes
de daos. Podemos encontrar mltiples referencias sobre puntos de riesgo tolerable. Por
ejemplo podemos mostrar una referencia del marco para la tolerancia de la HSE (Health
and Safety Executive de UK) donde clasifica el riesgo individual para fatalidades como:
1 fatalidad por 1000 aos de exposicin para trabajadores (lmite superior de

riesgo tolerable).
1 fatalidad por 10000 aos de exposicin para el pblico.
1 fatalidad por 100000 aos ser considerado riesgo insignificante (lmite inferior
de riesgo tolerable).
Siempre es mejor acercarse al lmite inferior donde el riesgo es insignificante.

Ahora bien, las compaas pueden marcar otros niveles de riesgo tolerable, por
ejemplo determinar que los riesgos potenciales deben tener menos de:
26
0.0005 accidentes fatales por persona por ao.
0.005 personas heridas por ao.
0.01 emisiones ambientales por planta por ao.
500000 en prdidas econmicas por planta y ao.
O bien podemos encontrar formas matriciales con enunciados gua como: todos los
riesgos extremos deben ser reducidos y todos los moderados deben ser reducidos cuando
sea factible.
Figura 5.1.1.1 Forma matricial valoracin del riesgo
Cul de los diferentes enunciados que podemos encontrar es mejor o peor?

Cada compaa marcar su riesgo tolerable aceptable y depender de que guas utilice,
normalmente se adaptar al principio ALARP ("As Low As Reasonably Practicable"),
reducir el riesgo hasta donde sea razonablemente posible.
Asimismo si seguimos estndares y volviendo al caso del tanque de amoniaco,
podemos usar niveles de exposicin humana al amoniaco aceptables localmente. Para los
trabajadores en campo la OSHA 1 dice que la mxima exposicin es una concentracin de
50 ppm en un periodo de 8 horas. Pero si est en una zona habitada la exposicin mxima
permitida para el pblico por la ACGIH 2 americana es de 25 ppm. Por lo que en ambos
casos el riesgo tolerable es diferente, aunque el evento peligroso sea el mismo la
consecuencia es diferente.
5.1.3 Riesgo Individual. Principio ALARP
Riesgo individual es la frecuencia a la cual se puede esperar que un individuo reciba
un nivel sostenido de dao, derivado de la existencia de peligros determinados. El marco
para la tolerancia del riesgo de la HSE 3 Britnica (Health and Safety Executives) clasifica
el riesgo individual para fatalidades, como la probabilidad de fatalidad por ao:
De minimus (lmite inferior de riesgo tolerable) 1 x 10-5 por ao.
De manifetsus (lmite superior de riesgo tolerable) 1 x 10-3 por ao
El principio ALARP (Tan bajo como sea razonablemente factible) normalmente se
sita entre estos dos lmites (figura 5.1.3.1). El principio ALARP comprende tres regiones
que van asociadas a una clase de riesgo:
1 OSHA, Occupational Safety and Health Administration, agencia creada por el departamento de
trabajo de EEUU.
2
ACGIH, American Conference of Governmental Industrial Hygienists. Desarrolla, recomienda y

publica los lmites mximos de exposicin a productos qumicos peligrosos.
3
HSE, Oficina Ejecutiva de Salud y Seguridad del Reino Unido para actividades relacionadas con la
seguridad.
27
Riesgo Clase I: situada en la regin intolerable. En esta zona el riesgo no puede

ser justificado.
Riesgo Clase II: se sita en la regin ALARP. En esta zona los riesgos pasan a
ser tolerables solo si la reduccin de riesgo es impracticable o supone un esfuerzo
econmico desproporcionado para la reduccin de riesgo que se conseguir con
la mejora.
Riesgo Clase III: se sita en la regin ampliamente aceptable. En esta zona el

nivel de riesgo es residual y no se requieren adoptar medidas para reducir el
riesgo.
Como vemos para aplicar el principio ALARP es imprescindible definir 3 regiones

de riesgo relacionadas con la probabilidad y consecuencia de un incidente. La definicin de
las regiones es discutida y acordada normalmente por las autoridades reguladoras de
seguridad, por la compaa que produce el riesgo y por la parte expuesta al riesgo, aunque
sigue siendo una decisin corporativa.
Figura 5.1.3.1 Modelo ALARP, As Low As Reasonably Practical.
Las siguiente tabla (tabla 5.1.3.1 Ejemplo clasificacin de riesgo de incidentes)

extrada de la norma IEC 61511-3 Anexo A muestra como a travs de las clases de riesgo
puede hacerse una relacin de la consecuencia con una probabilidad de ocurrencia. Cada
situacin especfica, cada industria particular debe desarrollar una tabla similar teniendo en
cuenta los factores sociales, polticos y econmicos, entre otros, dependiendo de dnde
est ubicada. La tabla 5.1.3.2 interpreta la clase de riesgo segn el principio de ALARP.
Tabla 5.1.3.1 Ejemplo de clasificacin de riesgo de incidentes
28
Tabla 5.1.3.2 Interpretacin de clase de riesgos
5.1.4 Riesgo geogrfico

Es la medida de la probabilidad de que un evento ocurra en una ubicacin geogrfica
especfica. Cuando se disea una planta de proceso se ha de tener en cuenta donde se
ubican los pasos de personas, la sala de control, reas de trabajo, salas intermedias, etc.
para reducir el riesgo en caso de accidente.
Tabla 5.1.3.3 Contorno tpico de riesgo geogrfico
5.1.5 Riesgo en la sociedad

Es la relacin entre la frecuencia de un cierto nivel de dao y el nmero de gente que
se vera afectada en una poblacin dada. No se suele utilizar en los anlisis de riesgos para
la determinacin del nivel integro de seguridad (SIL) pero s que es un ndice normalmente
usado por entidades gubernamentales en aplicaciones de desastres a gran escala y para la
elaboracin de planes de emergencia exteriores en zonas habitadas.
5.1.6 Factor de Reduccin de Riesgo (RRF)
Es el factor por el que el sistema instrumentado de seguridad de la planta bajar el
riesgo del proceso (tras la aplicacin de medidas de seguridad complementarias segn las
diferentes capas de proteccin), a un riesgo tolerable comparndolo a no tener un sistema
de seguridad:
RRF = 1 / PFDavg
(1)
Por qu reducir el riesgo? Las compaas tienen la obligacin legal, moral y

financiera de limitar el riesgo que implica sus operaciones.
Deben hacer balance entre sus responsabilidades legales y morales manteniendo
siempre una buena salud financiera. El adoptar y mantener un programa de gestin del
riesgo facilitar obtener un criterio de seleccin de su riesgo tolerable manteniendo la tres
responsabilidades: legal, moral y financiera.
29
Moral: hacer la planta tan segura como sea posible sin importar los costos.
Legal: Cumplir con las regulaciones escritas, sin importar los costos y el nivel real de
riesgos.
Financiera: construir la planta ms econmica posible y mantener el presupuesto de
operacin lo ms pequeo posible.
Se ha de buscar el punto donde los tres apartados encajen, por lo que el riesgo al
igual que el beneficio debe ser medido para determinar de manera ms inteligente la mejor
opcin a seguir ante cualquier situacin.
Figura 5.1.6.1 Secuencia para la reduccin de riesgo
[1]

[2]
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3]
Process Safety Progress, American Institute of Chemical Engineers, 1999 AIChE.
[4]
Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published ISA, 2002.
[5]
[6]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
30
5.2
ndice SIL. Nivel ntegro de Seguridad
Para saber qu nivel de confianza debe presentar una funcin de seguridad cuando el
proceso demande su intervencin se determina a travs del ndice SIL.
Safety Integrity Level (SIL) es un nivel discreto, de 1 a 4, que nos indica que
reduccin de riesgo hemos de aplicar a la funcin de seguridad para alcanzar un riesgo
tolerable. El propsito de seleccionar un SIL objetivo es especificar la reduccin de riesgo
requerida, es decir, la diferencia entre los niveles de riesgo existente y el riesgo tolerable.
Cada nivel discreto se refiere a cierta probabilidad de que un sistema de seguridad
realice satisfactoriamente las funciones de seguridad requeridas bajo todas las condiciones
establecidas en un perodo de tiempo determinado.
Est basado en la probabilidad de fallo en demanda (PFD) para cada particular
funcin instrumentada de seguridad (SIF). La norma ANSI/ISA-SP84 define 3 niveles
discretos. La IEC 61508 y IEC 61511 define 4 niveles discretos. La siguiente tabla muestra
la relacin de los rangos de la PFD asociado a un factor de reduccin de riesgo (RRF) que
corresponden a cada nivel SIL.
Clasificacin de la reduccin de riesgo. ndice SIL
ndice SIL
PFDavg
RRF
10-4 -> 10-5
10000 -> 100000
10-3 -> 10-4
1000 -> 10000
10-2 -> 10-3
100 -> 1000
10-1 -> 10-2
10 -> 100
ISA
IEC
El ndice SIL es el parmetro clave de diseo que evala la cantidad de reduccin de

riesgo que un equipo de seguridad requiere y que una funcin de seguridad debe lograr.
Toda funcin de seguridad requiere que le sea asignado un valor de SIL. El SIL especifica
como de bien los equipos realizan la funcin de seguridad (SIF).
Si comparamos el diseo de un equipo de seguridad bajo la especificacin de SIL
con el diseo tradicional de un sistema de control, especificar la accin de una funcin
instrumentada de seguridad no especificando su SIL sabremos qu accin tomar, pero no
sabremos qu probabilidad tiene de que su funcionamiento sea correcto cuando se
demande, con lo que deja de ser ptima. Seleccionando un SIL, damos un valor numrico
(target/objetivo) a la efectividad de la funcin de seguridad y que tiene relacin a la
cantidad de riesgo que hemos de reducir. Es uno de los pasos comprendidos en el ciclo de
vida de seguridad. El SIL es un documento junto con otros requerimientos y lgica
operacional del SIS que son requeridos en las especificaciones de seguridad.
La determinacin de un SIL de una funcin debe ser definida en base a un anlisis
previo de riesgos cuantitativo o cualitativo. Es muy importante hacer un riguroso anlisis
de riesgos ya que el nivel de integridad de seguridad est en funcin de la confiabilidad y
exactitud de dicho anlisis.
31
5.3
SIF. Funcin Instrumentada de Seguridad
Usando la terminologa de IEC 61511, una funcin instrumentada de seguridad

(Safety Instrumented Function) es una funcin a ser implementada por un sistema
instrumentado de seguridad y que tiene por finalidad el lograr o mantener el proceso en un
estado seguro frente a un evento peligroso especfico. Se trata de un conjunto sencillo de
acciones especficas y sus equipos correspondientes, necesario para identificar un peligro y
actuar para llevar al proceso a un estado seguro. Un sistema instrumentado de seguridad
(SIS), por otro lado, es un conjunto de sensores, lgica de control y actuadores que
ejecutan una o ms funciones instrumentadas de seguridad (SIF) que actan de diferentes
formas para prevenir mltiples resultados peligrosos. Figura 5.3.1
Un SIS puede tener mltiples SIF, cada una con un SIL diferente, por lo que resulta
incorrecto y ambiguo definir un nico SIL para todo un SIS [1].
Figura 5.3.1 Ejemplo SIFs de un SIS
Funcin de
Seguridad
Condiciones de proceso
Lo que se tiene que hacer
SIF n 1
Presin alta
Salida accionamiento 1
SIF n 2
Presin alta-alta
Salida accionamiento 1 + 2
SIL
Por tanto el PFD de todo el lazo estar formado por el PFD de todos sus
componentes de la SIF, as podremos determinar el SIL de cada funcin instrumentada de
seguridad, es decir la siguiente SIF n1 (figura 5.3.2):
Figura 5.3.2 ejemplo SIF n 1
PFDSIF 1 = PFDFV 101 + PFDPT 101 + PFDPLC _ SEGURIDAD + PFDOTROS _ ELEMENTOS _ LAZO
(2)
IMPORTANTE: El ndice SIL se especifica y aplica a una nica funcin

instrumentada de seguridad SIF, no a todo el Sistema instrumentado de seguridad. Puede
32
que un mismo componente pertenezca a diferentes SIFs, entonces se le aplicar el SIL

ms restrictivo.
Dnde comnmente se implementan los sistemas instrumentados de seguridad y

por tanto funciones instrumentadas de seguridad? (figura 5.3.3)
Figura 5.3.3 Aplicaciones de SIS por tipo de industria y por tipo de equipo.
Implementacin Funcin Instrumentada de Seguridad
La implementacin de una funcin instrumentada de seguridad sencilla puede incluir

mltiples elementos, sensores, mdulos acondicionadores de seal, programadores lgicos,
elementos finales de control y servicios utilitarios dedicados tales como alimentacin
elctrica y/o aire de instrumentacin.
Al igual que un sistema de control, un sistema de seguridad tiene sensores. En las
industrias de procesos los sensores miden los parmetros del proceso, como presin,
temperatura, flujo, nivel, concentraciones de gases, etc. Un sistema de seguridad tambin
cuenta con un procesador lgico que lee las seales de entrada y ejecuta acciones mediante
un elemento final que acta para llevar el proceso a un estado seguro, normalmente se trata
de una vlvula o un motor. (Figura 5.3.4)
Figura 5.3.4 Arquitectura Sistema Instrumentado de Seguridad
[1]
Seminario: Descripcin general de la Seguridad. EMERSON Process Management, Tarragona, Junio

2006.
5.4
Auditoria de seguridad funcional (Functional safety audit)
Examen sistemtico e independiente para determinar si los procedimientos propios

de los requisitos de seguridad funcional que obedecen a unas medidas planificados, son
33
implementados de forma eficaz y son apropiados para conseguir los objetivos

especificados. Pueden ser internas, de la propia organizacin y externas, por una
organizacin independiente tercera con poder de certificacin tipo TV, agencia
independiente aceptada internacionalmente.
5.5
rbol de fallos.
Representacin grfica lgica y organizada de las condiciones o factores que causan

o contribuyen a que ocurra un evento no deseado definido.
5.6
Avera (Failure).
Interrupcin de la capacidad de una unidad funcional para realizar una funcin

requerida.
5.7
BPCS. Sistema Bsico de Control de Proceso.
Sistema que responde a las seales de entrada de un proceso, a sus equipos

asociados, a otros sistemas programables y/o operadores de planta generando salidas que
se ajustan continuamente con el fin de controlar el proceso y operar la planta de la forma
deseada, pero que no realiza ninguna funcin instrumentada de seguridad. Actualmente el
sistema ms comn es el DCS, sistema de control distribuido.
5.8
Capas de proteccin.
Sistemas de proteccin independientes que generalmente involucran diseos

especiales, equipos de proceso, sistema bsico de control de proceso, sistema
instrumentado de seguridad, procedimientos administrativos como planes de emergencia,
y/o respuestas planificadas para la proteccin contra un riesgo inminente.
Las normas de seguridad definen una capa de proteccin como cualquier mecanismo
independiente que reduce el riesgo mediante control, la prevencin o la mitigacin. La
suma de las capas de proteccin es lo que se conoce como seguridad funcional. Estas
respuestas pueden ser iniciadas automticamente o por acciones humanas. (Ver Figura 1.1
Capas de proteccin, Captulo 1L)
5.9
Ciclo de vida de seguridad (CVS). Safety LifeCicle (SLC)
Secuencia de actividades involucradas en la implantacin de sistemas instrumentados

de seguridad desde el diseo y el anlisis de riesgos del proceso, que indicar la necesidad
de implantacin de un SIS, hasta el desmantelamiento del sistema instrumentado de
seguridad. Tambin se puede encontrar con el acrnimo CVSF, Ciclo de Vida de
Seguridad Funcional.
5.10 Comisionamiento
Verificacin y confirmacin de que el SIS ha sido instalado y cumple con las
caractersticas especificadas en la documentacin del diseo detallado y se encuentra listo
para las pruebas de pre-arranque. Son las pruebas de aceptacin en sitio (SAT).
34
5.11 Comunicacin externa

Intercambio de datos entre el SIS y una variedad de sistemas o dispositivos que se
encuentran fuera del SIS, tales como interfaces del operador, interfaces de
ingeniera/mantenimiento, sistema de adquisicin de datos, etc.
5.12 Comunicacin interna
Intercambio de datos entre diferentes dispositivos dentro de un sistema programable
electrnico (PES) dado. Esto incluye conexiones va bus, I/O del bus local o remotas, etc.
5.13 Confiabilidad (Reliability)
Confiabilidad (R) es la probabilidad de que un sistema pueda desempear una
funcin definida bajo condiciones especificadas para un periodo de tiempo dado.
R(t) = P(T>t); donde T es el tiempo de fallo para el intervalo 0 -> t
R(t) = e-t
(2)
Donde es la tasa de fallos y se considera constante dentro de la zona de vida til

del equipo en la curva de la baera (ver definicin de 5.64 tasa de fallo).
Una aproximacin vlida en seguridad es: R(t) = 1-t
5.14 Dao
Lesin fsica o perjuicio a la salud de la poblacin directa o indirectamente como
resultado de dao a la propiedad o al medio ambiente.
5.15 Peligro (Hazard)
Fuente potencial de crear dao. Incluye el dao producido directamente a las
personas, como en una explosin, un fuego, etc., as como el efecto producido a largo
plazo en la salud de las personas, por ejemplo por el contacto con sustancias txicas.
5.16 Demanda
Una condicin o evento que requiere que el SIS lleve a cabo una accin apropiada
para prevenir un evento peligroso, o para mitigar sus consecuencias.
5.17 Desenergizado/Energizado para disparo.
Desenergizado: Circuitos SIS en donde las salidas y dispositivos se encuentran
energizados en operacin normal. Cuando se suspende el suministro de energa se produce
una accin de disparo, y por tanto la activacin de la funcin de seguridad.
Energizado: Circuitos SIS donde las salidas y dispositivos se encuentran
desenergizados en operacin normal. Cuando se les aplica energa se les produce una
accin de disparo, y por tanto la activacin de la funcin de seguridad.
5.18 Desmantelamiento
O descomisionado. Es la anulacin por completo de un SIS de su servicio activo, y
una de las partes del ciclo de vida de seguridad.
35
5.19 Cobertura de diagnstico (DC)

Diagnostic coverage. El DC de un componente o un subsistema es el ratio de la tasa
de fallo detectada por diagnsticos realizados de la tasa total de fallo de un componente o
subsistema. DC no incluye fallo detectados por tests de pruebas.
El DC se usa para calcular los fallos detectables por diagnsticos (d) y los no
detectables (u) del ndice total de fallos (t) como sigue:
d = DC * t
u = (1 DC)* t
(3)
El DC se aplica a los componentes o subsistemas de un sistema instrumentado de

seguridad. En un sensor, elemento final y procesador lgico es tpico utilizar el DC.
En aplicaciones de seguridad es tpicamente utilizado para diferenciar la tasa de
fallos seguros y peligrosos de un componente o subsistema. As el DC para un fallo
peligroso es:
DC = dd / dt
(4)
Donde dd es el ndice de fallo peligroso detectado i dt es el ndice total de fallo

peligroso.
5.20 Disparos en falso
Activacin de cualquier funcin instrumentada de seguridad (SIF) perteneciente al
SIS, sin existir una demanda real en la planta. (Spurious trip).
5.21 Disponibilidad de seguridad
Fraccin de tiempo en que un Sistema de seguridad es capaz de desempear un
servicio de seguridad designado cuando el proceso est en operacin. Un SIS o una SIF
correspondiente no se encuentra disponible si est en un estado de fallo o est fuera de
servicio para mantenimiento.
5.22 Dispositivos
Unidad funcional de hardware, software, o ambas, capaz de cumplir un objetivo
especfico. Por ejemplo dispositivos de campo; equipos conectados en los terminales
input/output de campo de un SIS. Estos incluyen cableado, sensores, elementos finales de
control, sistemas programables (PLCs), y cualquier dispositivo interface operador
cableado a un SIS.
5.23 Diversidad
Uso de dispositivos y equipos con diferentes tecnologas y mtodos de diseo que
desempean una funcin de seguridad comn, de manera que minimizan las fallos de causa
comn.
5.24 Elemento final de control
Es la parte del SIS que realiza la accin fsica necesaria para alcanzar un estado
seguro (p.ej. vlvulas, conmutadores, motores, electrovlvulas, actuadores, etc.) todos
elementos incluidos en la funcin instrumentada de seguridad.
36
5.25 Estado seguro

Estado en que debe quedar un sistema, equipo o planta bajo control despus de una
operacin o actuacin de un SIS.
5.26 Error
Discrepancia entre el valor observado, medido o procesado y el valor verdadero,
especificado o tericamente correcto.
5.27 Error humano
Accin o no-accin del hombre que produce un error no intencionado.
5.28 Especificaciones de los requisitos de seguridad (SRS). (Safety Requirement
Specifications)
La norma especfica todos los requisitos que han de cumplir las funciones
instrumentadas de seguridad que han de ser implementadas por el sistema instrumentado
de seguridad.
5.29 Factor de Reduccin de Riesgo (RRF). (Risk reduction Factor)
El factor por el que el sistema de seguridad baja el riesgo de la planta en
comparacin a no tener un sistema de seguridad.
RRF = 1 / PFDavg
(5)
5.30 Fallo
Condicin no normal que puede causar una reduccin o prdida de la capacidad de
una unidad funcional para realizar su funcin requerida.
5.31 Fallo activo
Es aquel fallo revelado o detectado que permite al SIS tomar una accin. Tambin
contempla los falsos cortes.
5.32 Fallo aleatorio
Es un fallo que ocurre en un momento cualquiera como resultado de uno o ms
mecanismos de degradacin. Normalmente es un fallo permanente debido a la prdida de
funcionalidad del componente del sistema.
5.33 Fallo dependiente
Fallo cuya probabilidad no puede ser expresada como el simple producto de
probabilidades incondicionales de los evento individuales que lo causaron. Los fallos
dependientes estn incluidos en los de causa comn.
37
5.34 Fallo pasivo

Fallos o averas que se pueden clasificar como ocultas o pasivas, encubiertas, no
detectadas, latentes o peligrosas. Como son indetectables, no activan el sistema
instrumentado de seguridad. Por ejemplo, un transmisor de nivel se bloquea al 35%
enviando una seal al sistema de control, este interpreta que el valor es vlido, sin embargo
el nivel esta fluctuando. (Puede que las ramas de proceso se haya taponado o bien que el
instrumento falle)
5.35 Fallo peligroso
Fallo que tiene el potencial de poner el sistema instrumentado de seguridad en un
estado peligroso o un estado de fallo para funcionar. Que este fallo nos lleve a una
situacin peligrosa depende de la arquitectura del sistema. As un sistema con mltiples
canales mejora la seguridad.
5.36 Fallo sistemtico
Fallo debido a errores en las actividades del ciclo de vida de seguridad, que causan
que el SIS falle bajo alguna combinacin particular de entradas o bajo ciertas condiciones.
Es un fallo relacionado con cierta causa que slo puede ser eliminada mediante
modificacin del diseo o del proceso de fabricacin, procedimientos de operacin u otros
factores relevantes. Normalmente es debido a un error en el diseo (error de programacin,
uso de componentes inadecuados, etc.). Un fallo sistemtico puede causar el fallo
simultneo en varios canales de un sistema redundante, por lo que la redundancia no es una
proteccin contra los fallos sistemticos.
5.37 Fallo seguro
Es un fallo que no tiene el potencial para poner el SIS en un estado de fallo o peligro
para funcionar.
5.38 Fallo de causa comn
Fallo resultado de uno o ms eventos, causando fallos de dos o ms canales 1 en un
sistema de canales mltiples conduciendo al fallo del SIS.
Figura 5.39.1. Fallos de causa comn
Canal es un grupo de elementos que independientemente realizan una funcin
38
5.39 Fallo de modo comn

Fallo de dos o ms canales1 en el mismo sentido, causando el mismo resultado de
error.
Figura 5.40.1 Fallos de modo comn
5.40 Funcin lgica (Logic function)

Funcin que realiza la transformacin entre enradas (inputs) de informacin
(proporcionadas por una o ms funciones de entrada) y salidas (outputs) de
informacin/actuacin (utilizadas por una o ms salidas de funciones). Las funciones
lgicas proporcionan la transformacin de una o ms funciones de entrada en una o ms
funciones de salida.
5.41 Instalaciones externas de reduccin de riesgo
Medidas destinadas a reducir o mitigar los riesgos, estas medidas son ajenas al SIS y
estn desligadas de l. Por ejemplo sistemas de drenado, diques de contencin cortafuegos,
discos de rotura, etc.
5.42 Interfaz Mantenimineto/Ingenieria (Maintenance/engineering interface)
Interfaz entendido como un elemento de conexin que facilita el intercambio de
datos, es aquel hardware y software que permite un correcto mantenimiento, modificacin
y visualizacin del estado del SIS. Puede incluir instrucciones y diagnsticos, que podemos
encontrar en software, terminales de programacin con los apropiados protocolos de
comunicacin, herramientas de diagnstico, indicadores, bypass de equipos, test y
calibracin de equipos.
5.43 Lenguajes Software en subsistemas SIS. (Software languages in SIS
subsystems)
Los estndares IEC 61508 y IEC 61511 definen tres tipos de lenguajes. Para
aplicaciones SIL 1 a SIL 3 el estndar considera adecuado el uso de lenguajes fijos y
limitados, aunque no especifican requisitos de programacin.
Fixed program language (FPL): Bajo este tipo de lenguaje, el usuario est
limitado al ajuste de unos pocos parmetros (p.ej. rango de transmisores, puntos
de alarma, direcciones de red), Ejemplos tpicos de dispositivos con lenguaje FPL
son: transmisores inteligentes (smart sensors), vlvulas inteligentes (smart
valves), Secuencia de eventos de un controlador (SOE de un controlador), etc.
Limited variability language (LVL): lenguaje de variabilidad limitada, este

tipo de lenguaje est diseado para ser comprensible por los usuarios del sector
39
de proceso y proporciona la capacidad para combinar funciones predefinidas,

aplicaciones especficas, librera de funciones para implementar las
especificaciones de los requisitos de seguridad. Un LVL proporciona una
correspondencia funcional con las funciones requeridas para lograr la aplicacin
(p.ej. PLCs estndar).
Full variability language (FVL): lenguaje de variabilidad total, este tipo de

lenguaje est diseado para ser comprensible por los programadores, y
proporcionar la capacidad de implementar una amplia variedad de funciones y
aplicaciones. Ejemplos de FVL incluyen: Ada, C++, Pascal, SQL, etc. En el
sector de proceso, FVL es encontrado en el software embedido y raramente en el
software de aplicacin.
5.44 Tipos de software
Software de aplicacin: Software especfico para el usuario de la aplicacin. En

general contiene secuencias lgicas, permisivos, lmites, expresiones, etc. que
controla las entradas, salidas, clculos, decisiones necesarias para llegar a los
requerimientos de las funciones instrumentadas de seguridad. El software de
aplicacin es el que el usuario escribe y descarga al controlador.
Software embedido: software que es parte del sistema proporcionado por el

fabricante y no es accesible para modificacin por parte del usuario final.
Tambin est referido al firmware o system software.
Software de servicios: herramientas software para creacin, modificacin, y

documentacin de programas de aplicacin. No son requeridas para la operacin
del SIS.
5.45 Manual de seguridad. (Safety Manual)

Un manual de seguridad define como los dispositivos o sistemas pueden ser
aplicados de una forma segura. Puede ser un documento de puesta en marcha, un manual
de instrucciones, un manual de programacin, un documento estndar o un documento de
usuario definiendo lmites de aplicacin.
5.46 Mitigacin (Mitigation)
Accin que reduce las consecuencias de un suceso que lleve asociado un riesgo.
5.47 MooN system (Sistema MooN)
Sistemas de seguridad instrumentados o parte de ellos, compuestos por N canales
independientes y de los que slo son necesarios M canales para realizar la funcin
instrumentada de seguridad. Redundancia de canales.
5.48 MOC, Management of change
Proceso para la identificacin y realizacin de cambios en el sistema instrumentado
de seguridad, que no representan una "sustitucin del mismo tipo", valoracin del riesgo e
impacto de potencial del cambio incluyendo documentacin y entrenamiento para
ejecutarlo apropiadamente.
40
5.49 Modo de operacin (Mode of operation)

El modo, la manera como una funcin instrumentada de seguridad trabaja:
SIF en modo demanda: Donde una accin (p.ej. cierre de una vlvula) es
tomada en respuesta a las condiciones de proceso o a otras demandas. La accin
est en espera y solo se ejecutar cuando sea solicitada por la funcin
instrumentada de seguridad. En caso de que suceda un fallo peligroso de una SIF
(la funcin de seguridad deja de ser operativa por cualquier fallo sin que esto sea
apreciado por el usuario), un peligro potencial solamente ocurrir en caso de un
fallo en el proceso o en el BPCS.
SIF en modo continuo: Donde en caso de un fallo peligroso de una SIF (la
funcin de seguridad deja de ser operativa por cualquier fallo sin que esto sea
apreciado por el usuario) un peligro potencial ocurrir sin fallos posteriores a
menos que la accin sea tomada para prevenirlo. La funcin de seguridad est
continuamente ejecutndose.
El modo continuo cubre aquellas funciones relativas a la seguridad, que implementan

control continuo para mantener la seguridad funcional.
Las aplicaciones en modo demanda donde el ndice de demanda es mayor de una vez
por ao, el ndice de riesgo no ser mayor que el ndice de fallo peligroso de la funcin. En
estos casos es apropiado usar el criterio de modo continuo.
El modo en demanda lo podemos separar en Modo en Baja Demanda si la condicin
peligrosa (accin o demanda del sistema de seguridad) ocurre de manera infrecuente una
vez por ao- y es al menos 2 veces menos frecuente que el intervalo de pruebas peridicas.
Modo en Alta Demanda si la frecuencia de demanda de operacin del sistema de seguridad
es mayor de una vez por ao o mayor del doble de la frecuencia del intervalo de las
pruebas de test.
Para cualquier SIF operando en modo continuo o en modo demanda, el SIL
requerido se especificar de acuerdo con las siguientes tablas:
Tabla 5.50.1: IEC 61511. Nivel integro de seguridad (SIL) probabilidad de fallo en demanda
41
Tabla 5.50.2: IEC 61511. Nivel integro de seguridad (SIL) Frecuencia de fallos peligrosos del SIF
5.50 MTTF
Mean Time to Fail. Tiempo medio para fallos. Tambin podemos encontrarlos con
los aadidos peligroso MTTFD y falso MTTFspurious. Fallos peligrosos son tpicamente
los de tipo pasivo o no revelado, no detectados. En falso se refiere a aquellos que disparan
una activacin innecesaria del sistema y se asocian a un fallo activo, revelado o detectado
de un elemento del sistema. Un tiempo medio de disparo en falso es el tiempo medio para
que presente un fallo el SIS en un paro en falso del proceso o del equipo bajo control.
MTTF se usa para determinar la disponibilidad del sistema. es la tasa de fallos.
MTTF = 1 /
(6)
5.51 MTTR
Mean Time to Repair. Es el tiempo medio necesario para la reparacin de un mdulo
o elemento de un SIS. El tiempo medio es medido desde que ocurre el fallo hasta que la
reparacin es completa incluyendo la puesta en servicio del dispositivo.
5.52 MTBF
Mean Time between fail. Tiempo medio entre fallos teniendo en cuenta el tiempo
medio de un ciclo de fallo ms la reposicin del equipo. Aplica solo a sistemas que son
reparables.
MTBF = MTTF + MTTR
(7)
5.53 Nivel ntegro de Seguridad (SIL). (Safety Integrity Level)

Safety Integrity Level (SIL) es un nivel discreto, de 1 a 4, para la especificacin de
los requisitos de integridad de las funciones de seguridad a ser asignadas a sistemas
instrumentados de seguridad. Cada nivel discreto se refiere a cierta probabilidad de que un
sistema referido a seguridad realice satisfactoriamente las funciones de seguridad
requeridas bajo todas las condiciones establecidas en un periodo de tiempo dado. (Ver
punto 5.2)
42
5.54 Operator interface. Interface Operador

Los medios por los que la informacin se comunica entre un operador y el SIS (p.ej.
lmparas de indicacin, pulsadores, alarmas, etc.); el interfaz de operacin a veces es
nombrado como HMI (Human Machine Interface).
5.55 Proven in use
Un componente puede ser considerado como proven in use (probado en uso, uso
previo) cuando se documenta una valoracin que muestra que hay una evidencia objetiva,
basada en la utilizacin previa del componente, que el componente es apropiado para su
uso en sistemas instrumentados de seguridad.
5.56 Probabilidad de fallo en demanda (PFD)
Es la medida de integridad de seguridad de una funcin instrumentada de seguridad
(SIF). Valor que indica la probabilidad de que la funcin instrumentada de seguridad falle
a demanda de manera que no sea capaz de cumplir con su funcin de seguridad prevista.
5.57 Redundancia (Redundancy)
Uso de elementos o sistemas mltiples, de igual o diferente tecnologa, para
desempear la misma funcin. La redundancia se utiliza principalmente para mejorar la
confiabilidad (reliability) y/o disponibilidad (availability).
5.58 Resolvedor Lgico. (Logic Solver)
Aquella parte de cada BPCS o SIS que realiza una o ms funciones lgicas. Segn la
IEC 61511 se usan los siguientes sistemas lgicos:
Sistemas lgicos elctricos para tecnologa electromecnica.
Sistemas lgicos electrnicos para tecnologa electrnica.
Sistemas lgicos electrnicos programables

programables (SPLC, Safety PLC).
para
sistemas
electrnicos
5.59 Riesgo del proceso (Risk Process)

El riesgo surgido de las condiciones de proceso causadas por los eventos anormales
(incluyendo el malfuncionamiento del BPCS). El propsito principal de determinar el
riesgo de proceso es establecer un punto de referencia para el riesgo sin tener en cuenta las
capas de proteccin. La valoracin del riesgo llevar asociado el factor humano.
5.60 Seguridad Funcional (Functional Safety)
La automatizacin de los equipos para funciones relacionadas con seguridad en
procesos o maquinarias a travs de sistemas instrumentados de seguridad (SIS) implica
ciertos riesgos. Si este equipamiento llegara a fallar las consecuencias podran ser
catastrficas.
Los SIS utilizados para propsitos de seguridad normalmente consisten de
dispositivos de entrada de datos (por ejemplo: sensores), electrnicas programables
(SPLC) y dispositivos de respuesta (por ejemplo: actuadores).
43
La Seguridad Funcional (Functional Safety) persigue que los SIS operen

correctamente en respuesta a sus inputs, y que por tanto sea altamente confiables
(definicin de la agencia TV Rheinland).
Conforme a lo establecido en la norma IEC 61508 y en la norma IEC 61511, una
evaluacin de la Seguridad Funcional debe ser realizada para asegurar que los riesgos
inherentes a un proceso y sus equipos asociados son apropiadamente controlados. Esta
evaluacin debe ser aplicada a travs de todas las fases del ciclo de vida descritas en las
normas IEC 61508 e IEC 61511, desde la fase del anlisis de riesgos hasta la fase de
decomisionado.
De esta forma se busca asegurar al usuario o empresa que adquiere un sistema
instrumentado de seguridad, que se han seguido los pasos establecidos en las normas IEC
61508 e IEC 61511 para cada una de las fases.
5.61 Sensor.
Dispositivo o combinacin de dispositivos que miden condiciones y variables de
proceso y transmiten la informacin al sistema de control (p.ej. transmisores,
transductores, interruptores de posicin, termopares, sondas de pH, etc.).
5.62 Sistema Instrumentado de Seguridad (SIS). (Safety Instrumented System)
Es un sistema compuesto por sensores, procesadores lgicos y elementos finales de
control que tienen el propsito de llevar el proceso a un estado seguro cuando se violan
condiciones predeterminadas. Implementan una o ms funciones instrumentadas de
seguridad (SIFs) tanto de control como de proteccin. Histricamente se utilizan otros
trminos para designar un SIS, como ESD (Emergency ShutDown), ESS (Emergency
Shutdown System), SSD (Safety Shutdown System), etc.
5.63 Tasa de demanda
Frecuencia con la que un SIS es requerido para realizar su funcin.
5.64 Tasa de fallos ()
Es la tasa promedio a la cual se espera que ocurran fallos en los componentes del
SIS.
= Nf / (Ns * t)
(8)
Ns = nmero de unidades sin fallo al final del periodo

Nf = nmero de unidades con fallo al final del periodo
Nf = nmero de unidades que fallaron al final del periodo
t = periodo de tiempo del ensayo
La tasa de fallo viene dada por el fabricante del equipo, normalmente en forma de
MTTF.
La estadstica de la tasa de fallos de los equipos obedece a una curva denominada de
la baera que se divide en tres zonas: mortalidad infantil, vida til y desgaste. El fabricante
44
nos dar la tasa de fallo promedio que es ms o menos la tasa constante durante la vida til
del equipo.
5.65 Test de ensayos (Proof Test)

La prueba realizada para detectar los defectos inadvertidos, fallos peligrosos en un
SIS. Si es necesario, el sistema puede ser devuelto a su funcionalidad diseada. Se trata de
un test que comprueba el buen funcionamiento del lazo de la funcin instrumentada de
seguridad.
5.66 Tolerancia a fallos
Capacidad de una unidad funcional de continuar realizando su funcin requerida en
presencia de fallos o errores.
5.67 Valoracin, evaluacin de la seguridad funcional (Functional safety
assessment)
Investigacin, basada en pruebas, para juzgar la seguridad funcional conseguida por
una o ms capas de proteccin.
La evaluacin puede realizarse despus de cada fase del ciclo de vida de seguridad o
al finalizar un nmero de fases, incluyendo el ciclo de vida de seguridad de los SIS y del
software implementado. La norma IEC 61508 sugiere que las personas o departamentos de
las compaas que disean, implementan y operan equipamiento en el mbito de la
Seguridad Funcional, recurran a una Organizacin Independiente (p. ej. TV) para
realizar las evaluaciones de Seguridad Funcional.
5.68 Validacin.
Actividad por medio de revisin y suministro de evidencia objetiva que los
requerimientos particulares para un uso particular y especfico son totalmente cumplidos.
Esta actividad demuestra que todas las funciones instrumentadas de seguridad y todos los
sistemas instrumentados de seguridad a considerar despus de su instalacin cumplen en
todo con la especificacin de los requerimientos de seguridad. Se realizan unas pruebas de
aceptacin en el sitio (SAT) y un test de seguridad antes de arrancar (Pre-Startup
Acceptance Test (PSAT)).
45
Mientras que la verificacin se hace en todo el proyecto y se puede realizar donde se

realiza el trabajo (en la oficina) la validacin slo ocurre en el sitio, despus de instalar y
comisionar el sistema.
5.69 Verificacin.
Confirmacin por medio de revisin y suministro de evidencia objetiva del
cumplimiento total de los requerimientos. Con esta actividad se ha de demostrar para cada
fase del ciclo de vida de seguridad por medio de anlisis y tests, que, para especficas
entradas (inputs), las salidas (outputs) se ajustan en todo respecto a los objetivos y
requerimientos puestos por la fase en cuestin.
La verificacin de actividades incluye:
Revisiones de salida de cada fase del ciclo de vida para asegurar el cumplimiento
con los objetivos y requerimientos de la fase a teniendo en cuenta las entradas
especficas de cada fase.
Revisiones de diseo.
Pruebas de funcionamiento en el diseo de productos para asegurar que

funcionan de acuerdo con sus especificaciones.
Pruebas de integracin de funcionamiento, donde diferentes partes de un sistema

son puestas de una manera gradual y realizando pruebas medioambientales para
asegurar que todas las partes del sistema trabajan juntas de la forma especificada.
Bibliografa y referencias:
[1]
[2]

[3]
Sistemas Instrumentados de Seguridad. Evolucin, diseo y aplicacin. Ing. Roberto E. Varela. SRL,
setiembre 2003.
[4]
EMERSON Process Management, Plantweb University, courses SIS, 2005.
[5]
http://www.tuv.com/es/seguridad_funcional.html
[6]
[7]
Fiabilidad y Seguridad: Su aplicacin en procesos industriales. Antoni

MARCOMBO, 2005.
46
Creus Sol. 2 edicin.
Gerencia de Seguridad Funcional
El propsito de este captulo es identificar todas las actividades de direccin y

gestin necesarias para asegurar que los objetivos de la seguridad funcional se cumplen y
son realizados.
La gerencia est dirigida al logro y al mantenimiento de la seguridad funcional de un
sistema instrumentado de seguridad. No est dirigida a gestionar las medidas de seguridad
y salud en el lugar de trabajo.
Diremos que la gerencia de seguridad funcional dirige las actividades asociadas con
la seguridad de los equipos y procesos, en la medida que estn involucrados en el
funcionamiento de los sistemas de seguridad.
Los requerimientos bsicos de la gerencia de seguridad funcional (GSF 1) estn
cubiertos por un sistema de gestin de calidad, unos procedimientos y normalmente por
unos estndares que redacta y fija la compaa donde se aplica el sistema de seguridad,
asimismo las normativas son una buena fuente de referencia. La IEC 61508 cubre todos los
aspectos, incluyendo el desarrollo del hardware y software de los sistemas de seguridad
(parte 1, clusula 6). La IEC 61511 se concentra en los propietarios del proceso y en los
usuarios de los sistemas de seguridad (parte1, clusula 5).
La implementacin de una buena gerencia de seguridad funcional aunque est
guiada por estos estndares no resulta ni obvia ni sencilla, por lo que precisa de personal
altamente cualificado y entrenado que sea capaz de planificar y documentar todos los pasos
ejecutados, relativos al logro de la seguridad funcional durante todo el ciclo de vida de
seguridad.
En los siguientes captulos se describirn unos requisitos y estructuras bsicas de
gerencia de seguridad, como ejemplo, basados en las normas IEC 61511 y IEC 61508.
Cada organizacin o corporacin deber adaptar la norma a sus necesidades y
competencias.
6.1
Requisitos generales
6.1.1 Recursos y Organizacin

La IEC 61511 y la IEC 61508 requiere que las personas, departamentos u
organizaciones involucradas en las actividades del ciclo de vida de seguridad y que tienen
competencia para llevar a cabo las actividades de las que son responsables tengan
conocimiento y experiencia demostrada sobre ingeniera de seguridad adecuadas al proceso
y a las tecnologas del SIS que se estn usando.
A continuacin se resumen una serie de competencias y conocimientos bsicos que
personas, departamentos, organizaciones u otras unidades involucradas han de tener, para
formar parte del equipo que realiza cada una de las actividades del ciclo de vida de
seguridad 2:
Tambin se puede encontra el acrnimo FSM Functional Safety Management.
Ver captulo 7.1 Ciclo de vida de Seguridad
47
Conocimientos de ingeniera de proceso, entrenamiento y experiencia adecuada

en la aplicacin del proceso.
Conocimientos de ingeniera, entrenamiento y experiencia adecuada en

instrumentacin, sensores y elementos finales.
Conocimientos de ingeniera, entrenamiento y experiencia adecuada en la

tecnologa aplicable (p. ej. electricidad, electrnica o electrnica programable
E/E/EP).
Conocimientos en ingeniera de seguridad (p. ej. anlisis de seguridad y riesgo

del proceso).
Destreza en direccin, gestin y liderazgo apropiado a su papel en actividades del

ciclo de vida de seguridad.
Conocimiento de la consecuencia potencial de eventos.
Conocimiento del nivel de integridad de la seguridad de las funciones

instrumentadas de seguridad.
Familiarizado con la complejidad de la aplicacin y la tecnologa.
Conocimiento de las normas que se van a seguir y de la legislacin vigente

relativa a seguridad.
Es recomendable que la persona designada como experto del SIS en electricidad e

instrumentacin (E&I) sea el ingeniero de mantenimiento de electricidad e instrumentacin
(E&I) de la planta. Sin embargo el Jefe de planta (Plant Manager) puede designar a otro
miembro cualificado de la plantilla con suficiente criterio.
A modo de ejemplo podemos encontrar que el Plant Manager ser el responsable de
nombrar al experto en E&I, por escrito, para la elaboracin y gestin del SIS para cada
sistema SIS, siempre teniendo en cuenta las condiciones antes sealadas.
Un documento simple anexado ser necesario para cada parte que sea nombrada y
asuma el rol de experto SIS en Electricidad e Instrumentacin. Una copia del documento
firmada ser guardada por el jefe de operacin de la planta.
Anualmente pasar una re-evaluacin cualquier miembro que forme parte de un
grupo de expertos SIS. Los Ingenieros jefes, directores y cualquier miembro del equipo son
ellos mismos los responsables de asegurar su entrenamiento y su puesta al da con la
tecnologa vigente.
El Ingeniero SIS experto en el rea E&I coordinar o revisar las actividades en la
fase del ciclo de vida para la que este nombrado.
6.1.2 Evaluacin y gestin del riesgo
Los peligros sern identificados y los riesgos evaluados y se determinar la
necesidad de reducir el valor de riesgo hasta alcanzar un riesgo tolerable de acuerdo con
las directivas de seguridad, salud y proteccin del medioambiente fijadas por la compaa,
en la planificacin y construccin de plantas de proceso.
Tambin es importante considerar el potencial de perdida de capital, por razones
econmicas y prdida de imagen de la compaa.
48
6.1.3 Planificacin de seguridad y responsabilidades E&I durante el Ciclo de vida

La planificacin de seguridad definir que actividades han de realizarse durante el
ciclo de vida de seguridad y al mismo tiempo que personas, departamentos, organizacin u
otras unidades son las responsables de llevar y dirigir estas actividades.
Esta planificacin ser actualizada siempre que sea necesario durante todo el ciclo de
vida de seguridad. La tabla 6.1.3.1 muestra un ejemplo corporativo donde interviene
personal de la propia organizacin y personal externo.
Responsabilidades de ingeniera
E&I y aplicacin del principio de
cuatro ojos
Etapas del ciclo de vida de seguridad 1 y

actividades con responsabilidades E&I
Proyecto gestionado por

Personal de la
compaa
a) Revisiones de seguridad y participacin en
el proyecto.
Definicin de las funciones instrumentadas

de seguridad requeridas y del nivel SIL Participacin de un
requerido.
ingeniero E&I para la
Especificacin de las SIF.
contribucin especfica
Aclaracin de puntos adicionales resultado de E&I (ME)
de un checklist.
Participar en las diferentes revisiones de

seguridad.
Desarrollo del
diseo por el
ingeniero
responsable E&I.
(DE)
Confirmacin por
un segundo
ingeniero E&I.
(ME)
b) Especificaciones, diseo bsico y de detalle.

Discusin de los requerimientos.
Determinacin de redundancia, lazos y
diagramas tpicos, seleccin de los dispositivos
E&I, concepto de automatizacin,
procedimientos para el test funcional, etc.
Documentos
suministrados y
A partir de las evaluaciones de seguridad y del firmados por el
diseo bsico y de detalle(ver apartados a y
Ingeniero E&I de
b), aprobacin por firmas (en cada hoja) de los diseo (DE). Un
siguientes documentos de ingeniera bsica y
segundo Ingeniero E&I
c) Revisin de conformidad
Ver captulo 7.1 Ciclo de vida de seguridad
49
Contratista
externo
Ingeniero
lder del
proyecto
y
Ingeniero
E&I de la
compaa
(ME)
Diseo
realizado
por el
contratista y
aprobado
por el
ingeniero
E&I de la
compaa.
(DE) y
(ME)
Documentos
entregados
por el
contratista,
Aprobacin
por
de detalle:
para aprobacin (ME).
Lista de tags E&I.
Diagramas lgicos.
Hojas de test.
Diagramas de lazo.
Diagramas unificares.
Software de aplicacin (SPLC 1).
Documentos adicionales necesarios, que

describan alguna otra medida relacionada
con la seguridad instrumentada.
El ingeniero que disea

y el que chequea no
pueden ser la misma
persona.
d) Precomisionado (PSSR Pre-Start Safety

Review), chequeo de:
Implementacin del sistema.
Funcin del sistema.
Documentacin.
Identificacin local y asignacin de tags
Ejecutado por un
supervisor/tcnico E&I.
Supervisado y firmado
por un ingeniero E&I
(ME).
Aprobacin en hojas de test, firma ME.

(ANEXO N: TEST FUNCIONAL)
ingenieros
E&I de la
compaa
(DE) y
(ME).
Ingeniero
E&I
(contratista)
e
Ingeniero
E&I propio
de la
compaa
(ME).
e) Mantenimiento
Test de pruebas peridicas, y supervisin de
los resultados.
Firmado por el operador que realiza el

test, supervisado por un superior,
normalmente su supervisor E&I. (ME)
Aprobacin en hojas de test, firma ME.

(ANEXO N: TEST FUNCIONAL)
Tabla 6.1.3.1: Responsabilidades para las actividades del ciclo de vida de seguridad
NOTA: (ME) Ingeniero de Mantenimiento, (DE) Ingeniero de proyecto de la disciplina

tratada
En la tabla anterior se especifica como normalmente y a modo de ejemplo real se
distribuyen las actividades durante el ciclo de vida y quien se responsabiliza en la
disciplina de instrumentacin, control y electricidad (E&I) en la gestin de cada una de las
actividades.
Principios bsicos:
Durante cada fase del ciclo de vida de seguridad, siempre hay un ingeniero E&I
de la compaa responsable en cada una de las actividades de la fase del ciclo de
vida tratada.
El ingeniero E&I necesita estar acreditado y debe haber adquirido suficiente

competencia en sistemas instrumentados de seguridad.
Safety PLC, PLC de seguridad.
50
El principio de los 4 ojos debe ser implementado en todas las actividades

esenciales.
La participacin de un contratista depende en si est actuando como el

licenciatario y provee el diseo bsico o slo participa en la ejecucin del diseo
de detalle.
6.1.4 Implementacin y seguimiento

Todos los procedimientos sern implementados para asegurar el seguimiento y la
resolucin de las recomendaciones relativas al SIS derivadas del:
Anlisis de peligro y evaluacin del riesgo.
Evaluacin y revisin de actividades.
Verificacin de actividades.
Validacin de actividades.
Actividades post incidente y post accidente.
A cualquier proveedor, suministrador de productos o servicios, teniendo

responsabilidad para una o ms fases del ciclo de vida de seguridad, se le exigir entregar
los productos o servicios como se han especificado en el diseo del SIS aprobado por la
compaa propietaria del proceso. Asimismo ha de exigirse un sistema de gestin de
calidad en el suministro.
Los procedimientos sern implementados para evaluar el rendimiento del sistema
instrumentado de seguridad incluyendo procedimientos para:
Identificacin y prevencin de fallos sistemticos que podran poner en peligro la

seguridad.
Valorar si el ndice de fallos peligrosos de un sistema instrumentado de seguridad

estn en acorde con los asumidos durante el diseo:
- Los fallos peligrosos son revelados por medio de los test de ensayos iniciales y
peridicos, diagnsticos o fallos para operar en demanda.
- Considerar los procedimientos que definen la necesidad de tomar una accin
correctiva si el ndice de fallo es mayor que el que fue asumido durante el diseo.
6.2
Valoracin del ndice de demanda de las funciones instrumentadas de seguridad

durante la operacin para verificar suposiciones hechas durante la valoracin de
riesgo.
Evaluacin, Auditorias y Revisiones
6.2.1 Evaluacin de la seguridad funcional

La evaluacin de la seguridad funcional analizar y como se alcanza la seguridad
funcional y la integridad de seguridad por el sistema instrumentado de seguridad.
La evaluacin ser realizada por un equipo que forma parte del grupo que gestiona el
seguimiento del proyecto y tiene como directivas la seguridad, salud y la proteccin del
medio ambiente y por el equipo E&I, all donde se precise, por 2 personas E&I
independientes (principio de 4 ojos)-. Es necesario que para realizar la evaluacin, el
51
equipo este formado por expertos tanto tcnicos, como de aplicacin y operacin de cada
instalacin unitaria. La seleccin del personal que debe realizar la evaluacin debe ser la
adecuada para cada unidad de planta. El equipo de evaluacin debe incluir como mnimo
un ingeniero snior no involucrado con el equipo de diseo del proyecto.
Las etapas en el ciclo de vida de seguridad donde se realicen actividades de
valoracin y evaluacin de seguridad funcional sern identificadas durante la planificacin
de seguridad.
Es posible que sea necesario introducir actividades adicionales de evaluacin de
seguridad funcional como consecuencia de identificar nuevos peligros/riesgos, por ejemplo
despus de una modificacin.
6.2.2 Evaluacin y Revisin de las actividades durante el ciclo de vida
La siguiente tabla muestra las diferentes etapas de evaluacin de la seguridad
funcional de las diferentes actividades durante el ciclo de vida en un sistema instrumentado
de seguridad teniendo como referencia la norma IEC61511. Se realiza una comparacin
entre el ciclo de vida propuesto por la IEC 61511 y el ciclo de vida ejemplo. (Ver figura
7.1.1 Ciclo de vida de seguridad segn IEC 61511. Captulo 7.1 Ciclo de Vida de
Seguridad) (Ver figura 7.1.3 Ciclo de Vida de seguridad SIS ejemplo Captulo 7.1 Ciclo
de Vida de Seguridad).
IEC 61511 1
Ejemplo 2
Etapas de
revisin de
acuerdo con
IEC 61511.
Pasos de Evaluacin
del riesgo y peligro
de acuerdo con las
directivas y estndar
de la compaa.
Responsables para la
actividad (Nota: El
principio de los 4 ojos
debe asegurar en todos
los casos una revisin
independiente en cada
etapa).
Evaluacin del
peligro y riesgo.
Pasos 1,2.
Equipo de evaluacin de
riesgos y peligros.
Paso en el ciclo de vida.
Etapa 1
Despus de la realizacin de la
evaluacin de peligros y
riesgos, de identificar las capas
Diseo de detalle del
de proteccin requeridas y de
SIS.
haber desarrollado la
especificacin de los requisitos
de seguridad.
Ingeniero E&I de diseo

ms el ingeniero E&I de
mantenimiento
Etapa 2
Despus de disear el sistema

instrumentado de seguridad.
Paso 3 (verificacin
SIL).
Equipo de revisin de
seguridad (Safety review
team).
Etapa 3
Despus de completar la
instalacin, precomisionado y
Paso 4 (PSSR) PreStart Safety Review.
Equipo de revisin de
seguridad (Safety review
Figura 7.1.1 Ciclo de vida de seguridad segn IEC 61511. Captulo 7.1.
Figura 7.1.3 Ciclo de Vida de Seguridad SIS ejemplo. Captulo 7.1.
52
validacin final del sistema

instrumentado de seguridad y
una vez los procedimientos de
operacin y mantenimiento
han sido desarrollados.
Etapa 4
Etapa 5
Despus de adquirir
experiencia en el
mantenimiento y operacin de
la planta.
Despus de modificaciones y
previo al decomisionado del
sistema instrumentado de
seguridad.
team).
Validacin/revalidaci
n del diseo.
Ingeniero E&I y el jefe

de planta o por una
persona designada y
capacitada.
Se requiere
evaluacin y
aprobacin previa
para implementar el
cambio.
Ser definido por el jefe

de operacin (jefe de
planta) o persona
designada para ello
dependiente de los planes
de modificacin con lo
establecido en el sistema
MOC system
(Management of
Change).
Tabla 6.2.2.1: Implementacin de las actividades de valoracin y revisin durante el ciclo de vida
El nmero, tamao y alcance de la evaluacin de las actividades de la seguridad

funcional depender de diferentes circunstancias. Los factores para determinar esta
decisin son los siguientes:
Tamao del proyecto.
Grado de complejidad.
Nivel de integridad de seguridad (SIL).
Duracin del proyecto.
Consecuencia del fallo en el evento.
Grado de estandarizacin de la caracterstica del diseo.
Requerimientos normativos de seguridad.
Experiencia previa con un diseo similar.
La evaluacin de la seguridad funcional en el Paso 4 / PSSR se realizar para

asegurar que los equipos asociados a los riesgos que aparecen en un proceso son los
adecuados para controlar esos riesgos y realizan la funcin tal y como se dise antes de la
puesta en marcha de sistema. El equipo de evaluacin (team assessment) debe confirmar
que:
Se ha realizado una evaluacin de riesgos y peligros.
Los procedimientos de cambio del diseo del proyecto han sido implementados
apropiadamente y estn documentados.
Las recomendaciones surgidas de la evaluacin de riesgos y peligros aplicables al

sistema instrumentado de seguridad han sido implementadas o resueltas.
53
Las recomendaciones que surgen de la evaluacin de la seguridad funcional

previa han sido resueltas.
El sistema instrumentado de seguridad est diseado, construido e instalado

conforme a la especificacin de los requisitos de seguridad (SRS) y cualquier
diferencia ha sido identificada y resuelta.
Los procedimientos de seguridad, operacin, mantenimiento y emergencia

relacionados con el sistema instrumentado de seguridad son correctos.
El plan de validacin del sistema instrumentado de seguridad es apropiado y las

actividades de validacin se han completado.
El entrenamiento de los empleados ha sido completado y se ha dado una correcta

informacin sobre el sistema instrumentado de seguridad al personal de
mantenimiento y operacin.
Se han realizado planes o estrategias para la implementacin de futuras

evaluaciones de seguridad funcional.
Las herramientas tales como equipos de medida, equipos de test, equipos que se usan
durante las actividades de mantenimiento y que se usan por cualquier actividad del ciclo de
vida, estarn sujetas a una evaluacin de la seguridad funcional.
Los resultados de la evaluacin de la seguridad funcional sern documentados.
6.2.3 Auditorias y revisin
Regularmente se realizarn revisiones y auditorias del sistema instrumentado de
seguridad. Las auditorias se realizarn por personas, departamentos u organizaciones
independientes de las personas encargadas de las actividades del ciclo de vida del sistema
instrumentado de seguridad. Independientes en este contexto significa que un ingeniero de
otra planta o un miembro de un grupo de trabajo SIS regional o local puede realizar la
evaluacin/auditoria. La normativa IEC 61511 indica que debe haber un grado de
independencia pero no indica que tipo de grado.
Las auditorias se documentarn y darn fe de que los procedimientos redactados
durante el ciclo de vida de seguridad se siguen y se realizan. Sobre todo es importante
auditar los planes y procedimientos de prueba y mantenimiento del sistema de seguridad
una vez la planta est en funcionamiento para asegurar a las autoridades e inspecciones que
todo se realiza segn lo especificado. Recordemos que en la actualidad el lema de las
empresas es: La seguridad es lo primero.
[1]
IEC (International Electrotechnical Comission). 2003
[2]

[3]
http://www.tuv.com/es/seguridad_funcional.html
[4]
Curso: Experto en Seguridad Funcional, Madrid, Octubre 2006, EXIDA (ISA). Instructor: Oswaldo E.
Moreno, CFSE.
[5]
Seminario: Functional Safety for the Process Industry. TV SD, Electronics Safety. Automation and
Drives, SIEMENS. Barcelona 2006.
54
Sistema Insrumentado de Seguridad
Sistema Instrumentado de Seguridad
Con anterioridad a 1980 no haba estndares ni normas de ingeniera para el diseo

de sistemas de parada de emergencia. No se hacan clculos de confiabilidad y la gran
mayora de sistemas de proteccin eran diseados, instalados y mantenidos por los
departamentos de instrumentacin y electricidad de las empresas, usando rels e
interruptores como elementos estndares de control.
En la dcada de 1960 se introducen los primeros interruptores de estado slido
(basados en transistores) y unidades lgicas. La introduccin de la tecnologa de estado
slido fue punto de partida para el desarrollo de aplicaciones de control lgico. Debido a
que estos elementos tienen un modo de falla impredecible (Transistores, diodos y triacs
principalmente) se estableci que para ser utilizados en sistemas de proteccin deban
configurarse de forma redundante. La invencin del circuito integrado en 1958 por Texas
Instruments prepara el camino para la aparicin de microprocesadores y
microcomputadores. En los aos 80 se empiezan a utilizar los PLCs (Controladores
Lgicos Programables), pero que al igual que los sistemas de estado slido tenan un modo
de fallo impredecible, por lo que tambin debieron adoptar un esquema redundante para
alcanzar los requisitos de seguridad ante fallos. Las configuraciones de PLCs redundantes
durante un periodo fueron especificados para aplicaciones de seguridad. Aunque era una
solucin fiable esta solucin daba problemas de disponibilidad. No es hasta la aparicin de
los microprocesadores de 32 bits (finales de los aos 80), con alta velocidad de
procesamiento, cuando se empieza a desarrollar equipos de seguridad mediante PLCs
redundantes, debido entonces, a un precio ya razonable para la industria y a que, adems
cumplan 2 premisas bsicas en sistemas de seguridad: disponibilidad y fiabilidad.
Resumen de la evolucin en sistemas de seguridad y seguridad funcional 1:
Aos 60:
Lgica cableada con rels e interruptores.
Instalacin donde se identificaba la necesidad de seguridad.
Aos 70:
Lgica cableada con rels e interruptores.
Lgica de estado slido.
Instalacin donde se identificaba la necesidad de seguridad.
Aos 80:
Comienzo de uso de PLCs.
1 generacin de Sistemas de seguridad. TMR (Triple Modular

Redundancy) (Ej. Tricon de TRICONEX).
Se desarrolla el procedimiento HAZOP.
Sin embargo los accidentes continuaban.
Referencia: Trenes in Process Safety, Ass Ghosh, ARC Advisory Group, July 2004
55
Aos 90:
Nacen los PLCs de seguridad
2 generacin de sistemas de seguridad. Emplean un alto nivel de

diagnstico (D) acoplado a tcnicas de votacin (1oo2D, 2oo3) para
proveer seguridad y disponibilidad con ms tolerancia a fallos y menor
coste que los sistemas de primera generacin. Ej. H41q/H51q de HIMA,
FSC de Honeywell, evolucin de Tricon de TRICONEX. Sistemas
certificados por TV segn el estndar IEC 61508 a finales de la dcada de
los 90.
Se desarrollan estndares para los PLCs de seguridad.
Aparecen las arquitecturas con diagnstico.
Se desarrollan metodologas para el anlisis cuantitativo de riesgos.
Se introducen metodologas para la identificacin sistemtica de riesgos.
Aos 2000:
Equipos certificados para aplicaciones

transmisores, etc.) segn IEC 61508.
de
Aparece la 3 generacin de sistemas de seguridad FMR (Flexible Modular

Redundancy), certificados por TV segn IEC 61508. Ej. DeltaV SIS de
EMERSON, SIMATIC S7-F/FH de SIEMENS.
Ofrecen un alto nivel de diagnsticos.
Alta integracin con el DCS.
Son sistemas altamente modulares y escalables.
Ofrecen herramientas avanzadas de programacin.
Empiezan a incorporar tecnologa de bus de campo.
Se implantan los procesos basados en el ciclo de vida de seguridad.
Aplicacin de IEC 61511 y ANSI/ISA 84 (2004): Seguridad funcional Sistemas instrumentados de seguridad para la industria de procesos.
Figura 7.1. Evolucin de los sistemas de seguridad
56
seguridad
(Vlvulas,
Las normativas y estndares sobre seguridad funcional, ANSI/ISA-S84.00.01, IEC

61511 y IEC 61508 establecen diferentes etapas a cubrir en el Ciclo de Vida de Seguridad
de un sistema instrumentado de seguridad, desde la concepcin inicial hasta su
desmantelamiento. Nace fruto de la exigencia de crear y desarrollar de forma continua
nuevas estrategias que aumenten la seguridad de la planta y en procesos como parte normal
de la filosofa de trabajo en las reas de diseo, operacin y mantenimiento.
Estos estndares tienen presente aspectos esenciales como anlisis, diseo,
verificacin y documentacin y es donde las compaas deben prestar un gran cuidado en
cada una de ellas para asegurar que los niveles de seguridad deseados se cumplan. Pese a
todas estas precauciones ocurren accidentes con diferentes consecuencias.
En 1995, el Ejecutivo Britnico de Salud y Seguridad (Health and Safety Executive,
HSE) public un artculo titulado fuera de control (out of control) donde se discute
porque fallan los sistemas y cmo prever los fallos. Concluy que 34 accidentes en
diferentes industrias empezaron por fallos en los equipos de control y seguridad. Los
resultados del estudio se resumen en la figura 7.2 donde se indica donde se produjeron los
fallos en el ciclo de vida. Vemos que en las especificaciones del sistema, incluyendo una
mala valoracin de los SIL, es donde se producen ms errores.
El resultado de este estudio llev al desarrollo del ciclo de vida de seguridad
funcional, que es definido en los estndares internacionales de seguridad ANSI/ISAS84.00.01, IEC 61511 y IEC 61508.
Figura 7.2. Causas ms comunes de accidentes debido a los SIS
Desde el inicio del proyecto, se empieza a estudiar la seguridad del proceso. Los
ingenieros de diseo seleccionan los equipos y la tecnologa a utilizar en el proceso que
ofrezcan una operacin segura. Luego se selecciona el sistema bsico de control que
permita operar las variables de proceso dentro de los lmites establecidos. Un buen diseo
del sistema bsico de control permite una reduccin significativa de los riesgos asociados
al proceso. Esta parte tratara el diseo conceptual del proceso, donde se desarrolla la
ingeniera bsica y de detalle del proceso, diagramas de instrumentacin, P&IDs, sistema
de control, hojas tcnicas de los equipos, forma de operacin, etc. Dentro de las capas de
proteccin del proceso estaramos hablando de la primera capa de proteccin (figura 1.1
Capas de proteccin, captulo 1 Introduccin) (figura 7.3. Capa de proteccin Control del
proceso)
Figura 7.3. Capa de proteccin Control del proceso
57
Bajo condiciones y circunstancias normales el sistema bsico de control de proceso

(BPCS) mantiene el proceso dentro de las condiciones pre-establecidas.
Si el sistema de control falla, por cualquier circunstancia, en ejecutar su funcin y las
variables de proceso salen de la zona considerada como comportamiento normal, se
utilizan alarmas para alertar a los operadores. El proceso en ese momento requiere de una
intervencin por parte de los operadores para reconducir el proceso a una situacin normal.
Este sistema de alarmas tambin aporta una reduccin del riesgo y es muy importante el
realizar una buena aplicacin y gestin de alarmas 1. Estamos hablando de la segunda capa
de proteccin (figura 1.1 Capas de proteccin, captulo 1 Introduccin) (figura 7.4. Capa
de proteccin Alarmas).
Figura 7.4. Capa de proteccin Alarmas
Algunas veces las variables salen fuera de control y el operador debe tomar la accin
para llevar el proceso a los valores predefinidos y pre-establecidos.
Es en este momento cuando se decide si se debe y es necesario implementar un
sistema integrado de seguridad, que pare el proceso cuando se violen unas condiciones que
hacen que el proceso se vuelva peligroso. Este sistema instrumentado de seguridad es un
sistema de paro y como todas las capas, contribuye a que el riesgo inherente del proceso se
reduzca a un riesgo tolerable. Se trata de la ltima capa de proteccin que encontramos en
seguridad funcional, estamos hablando de la capa de proteccin Sistema Instrumentado de
Seguridad (figura 7.5. Capa de proteccin Sistema Instrumentado de Seguridad). Si esta
capa de proteccin tambin falla o por cualquier razn no es capaz de llevar el proceso a
un estado seguro entran en accin las siguientes capas, que ahora pasan a denominarse de
mitigacin, (ver figura 1.1 Capas de proteccin, captulo 1 Introduccin). Las capas de
mitigacin intentan reducir el riesgo cuando el incidente ya se ha producido y son las que
se mencionan a continuacin en el orden que entran a actuar:
Capa de mitigacin Fuego y Gas (nivel de seguridad).
Capa de mitigacin Vlvulas de seguridad y Discos de ruptura (nivel de

seguridad activa).
Capa de mitigacin Diques y Muros de contencin (nivel de seguridad pasivo).
1 La metodologa HAZOP nos permite alarmar aquellas variables que se consideran necesarias. Para la
gestin de alarmas existe una gua: EEMUA publicacin 191 Alarm Systems - A Guide to Design,
Management and Procurement (1999) y la norma ANSI/ISA-18.2-2009 Management of Alarm Systems for
the Process Industries. Asimismo existen publicaciones como The Alarm Management Handbook 2nd
Edition. Hill Hollifield and Eddie Habibi, published by PAS, (2010).
58
Capa de mitigacin Respuesta de emergencia y planta (nivel de respuesta de

emergencia).
Figura 7.5. Capa de proteccin SIS
[1]
Sistemas Instrumentados de Seguridad. Evolucin, diseo y aplicacin. Ing. Roberto E. Varela.

Soluciones en Control SRL, setiembre 2003.
[2]
Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
7.1
Ciclo de Vida de Seguridad
El objetivo principal del Ciclo de Vida de Seguridad es la reduccin de los riesgos a

niveles tolerables. Se trata de una metodologa prctica que delimita los pasos necesarios a
seguir para alcanzar la seguridad integral de las plantas de proceso, definiendo la
secuenciacin y documentacin de cada fase. Para ello la normativa establece una serie de
etapas que ayudan y sirven de gua para conseguir este objetivo.
59
Para el diseo de un sistema de seguridad las normas y prcticas vigentes utilizan el

modelo de Ciclo de Vida del Sistema de Seguridad (CVSF). Las normas y estndares
sobre seguridad funcional ANSI/ISA-S84.00.01 y IEC 61511/61508 establecen las
distintas etapas a cubrir dentro del ciclo de vida, cubriendo todos los aspectos desde la
concepcin inicial y anlisis de peligrosidad inicial, pasando por la especificacin, diseo,
verificacin, operacin y mantenimiento, modificacin del sistema, hasta su
desmantelamiento.
El ciclo de vida de seguridad representa una descripcin simplificada de los pasos
lgicos que deben darse para desarrollar un SIS segn la norma actual, pero, no
necesariamente representa el proceso funcional necesario que una compaa, empresa u
organizacin deba implantar para el diseo del SIS. Las empresas adoptan sus propios
sistemas operativos y se organizan de diferentes maneras. Lo que se intenta establecer es
que cada empresa tenga un procedimiento formal y organizado para el diseo de sistemas
de seguridad que debe cumplir con los requerimientos estndar de seguridad de la empresa,
con el ciclo de vida de seguridad, con las normas y reglamentaciones de seguridad del pas
donde est instalada la empresa y un procedimiento o cdigo de prcticas de ingeniera.
El ciclo de vida representado por la norma no es estrictamente el que las empresas
deben aplicar, as en funcin de sus propias normativas internas modifican el ciclo de vida
y aplican el propio ciclo de vida de seguridad de una manera formal y siempre en acuerdo
con las normas y estndares aplicables.
60
La figura 7.1.1 muestra el ciclo de vida de seguridad SIS segn la norma IEC 61511
y la figura 7.1.3 muestra un ciclo de vida de seguridad SIS ejemplo.
Figura 7.1.1 Ciclo de vida de Seguridad SIS segn IEC 61511
Donde las etapas 1 hasta 5 estn definidas en el captulo 6.2.2 y son etapas de
evaluacin de seguridad recomendadas. El contenido de las clusulas puede ser consultado
en la norma IEC 61511 Parte 1, de la misma forma que las 11 fases o actividades de que se
compone el ciclo de vida de seguridad segn IEC 61511. Cada fase del ciclo de vida la
norma IEC 61511 la define en trminos de entradas, salidas y actividades de verificacin.
(Ver ANEXO A: Vista general del ciclo de vida (IEC 61511)).
Como vemos el ciclo de vida lo podemos dividir en 3 partes importantes:
Anlisis
Implementacin
Operacin
61
Figura 7.1.2 Fases del ciclo de vida de seguridad
Las tres fases del Ciclo de Vida de Seguridad Funcional estn dirigidas a resolver las
causas de los accidentes identificados en el artculo publicado por el Ejecutivo Britnico de
Salud y Seguridad (HSE) (figura 7.2 Causas ms comunes de accidentes debido a los SIS.
Captulo 7). La fase anlisis est enfocada a resolver y evitar el 44% de los fallos debido a
errores de especificacin, la fase implementacin o ejecucin est enfocada a resolver el
21% de los accidentes provocados por errores durante el diseo, la implementacin y la
puesta en servicio y la fase operacin intenta minimizar el 35% de los accidentes caudados
por incorrecta operacin o mal mantenimiento, adems de por cambios realizados despus
de la puesta en marcha del sistema.
El siguiente ciclo de vida de seguridad (Figura 7.1.3), se trata del ciclo de vida que
utiliza el ejemplo real de una organizacin y como se puede observar difiere bien poco del
ciclo de vida propuesto por la norma IEC 61511, est totalmente basado en esta norma y en
la norma ANSI/ISA S84.01 y las modificaciones ms sustanciales las encontramos en que
el ejemplo incluye pasos de revisin en el ciclo de vida de seguridad del proceso (safety
review). En este ciclo de vida propuesto es obligado que los objetivos de todos los pasos de
revisin de seguridad desde 1 a 4 se hayan realizado antes de poner en funcionamiento el
SIS.
Los proyectos deben incluir las actividades que revisan el concepto de seguridad en
el proceso y valora el riesgo asociado con cada peligro potencial. Para aquellos riesgos que
para ser mitigados requieran de un SIS, un valor meta de SIL (Nivel Integrado de
Seguridad o nivel de seguridad exigible a las diferentes funciones de seguridad) ha de ser
establecido para cada SIF (Funcin Instrumentada de Seguridad). El valor objetivo
propuesto de SIL se identificar durante las revisiones de seguridad y sern usados como
base para el diseo del SIS. Las especificaciones de los requerimientos de seguridad (SRS)
se elaboran combinando los valores deseados de SIL junto con otros requerimientos que
definirn completamente los requisitos de cada SIF. Durante el diseo del proceso, cada
SIF propuesta es evaluada para determinar su probabilidad de fallo en demanda media
(PFDavg). Este PFDavg ser recogido en un documento donde se certificar que cumple
con el SIL objetivo demandado. Las siguientes tareas del ciclo de vida van encaminadas
como gua para instalar, testear, operar y mantener el SIS seleccionado.
62
Todas las subactividades encaminadas a definir el valor objetivo del SIL estarn en
lnea con el sistema de ejecucin del proyecto existente. El equipo que revisa el proyecto 1
es el responsable de asegurar que todos los aspectos del Ciclo de Vida de Seguridad, antes
del Paso 2 de revisin, se han realizado incluido la determinacin del SIL objetivo. El
equipo de revisin de seguridad normalmente consulta o incluye personal especialista de
cada disciplina que considere oportuna como, ingenieros E&I y mecnicos e ingenieros de
sistemas de control para obtener una mejor visin del alcance del proyecto.
Figura 7.1.3. Ciclo de Vida de Seguridad SIS ejemplo
El diseo conceptual y el diseo de detalle se pueden considerar como un nico

bloque de ingeniera y diseo del sistema instrumentado de seguridad.
[1]
[2]
[3]
Team assessement. Ver captulo 6.2.2 Evaluacin y revisin de las actividades durante el ciclo de
vida.
63
[4]
Artculo: Herramientas para la gestin automatizada de un SIS en todo su ciclo, Autor: Luis Garca,
publicado en julio 2005 en la revista Automtica e Instrumentacin.
7.1.1 Fase Anlisis del Ciclo de Vida de Seguridad SIS

En la fase anlisis del SLC 1 se determinarn los requisitos de seguridad del proceso.
Requiere realizar un anlisis de peligros y riesgos, aplicar de capas de proteccin NO-SIS,
identificar las funciones de seguridad (SIF), seleccionar el valor objetivo SIL de las
diferentes funciones de seguridad del proceso y establecer las especificaciones y requisitos
de seguridad funcional.
La fase de Anlisis del SCL (Ciclo de Vida de Seguridad) se basa en la identificacin
y especificacin de las funciones que son necesarias para aplicar eficazmente el sistema de
seguridad a un proceso, es decir, determinar y documentar cuanta seguridad requiere y
necesita.
Las funciones individuales y el flujo de informacin requerido para poder realizar las
tareas del ciclo de vida de forma eficaz se representa en forma de diagrama de flujo en la
figura 7.1.1.1 Fase Anlisis del Ciclo de Vida de Seguridad SIS.
Figura 7.1.1.1 Fase Anlisis del Ciclo de Vida de Seguridad SIS
Ciclo de Vida de Seguridad. Tambin lo podemos encontrar con el acrnimo CVS
64
7.1.2 Diseo Conceptual del Proceso

El SLC empieza con el diseo conceptual del proceso y la definicin del alcance del
proyecto. Es importante identificar con claridad el propsito del proyecto en trminos de
objetivos y resultados mesurables. Si las definiciones iniciales del proyecto son ambiguas,
los miembros del equipo pueden tener diferentes versiones del alcance del proyecto y por
lo tanto llegar a contradicciones en el trabajo. Idealmente la organizacin debe designar los
recursos adecuados, y debe realizar una planificacin apropiada de los objetivos al
principio del proyecto. Similarmente a una persona individual debera ser dada la
responsabilidad final de lograr los objetivos relativos a seguridad y no seguridad.
Respecto a los componentes del proyecto de seguridad, el personal involucrado en el
proyecto debe entender claramente el proceso y los equipos del proceso bajo control. Este
conocimiento del proceso incluye una idea preliminar de los peligros y riesgos potenciales
del proceso, de los equipos y materiales, y que sern estudiados y desarrollados en futuras
etapas del SLC. Tambin deben conocer las normas aplicables, leyes, y estndares,
regulaciones de salud y medio ambiente. La definicin del alcance debe describir
claramente los lmites del proceso y equipos as como las reas que sern estudiadas en
posteriores etapas de anlisis de peligros y riesgos.
Otro tem a considerar al principio del proyecto es el nivel de riesgo que tolerar en
su operacin diaria.
Por tanto la gerencia, la organizacin de la planta y la direccin del proyecto
establecern las pautas de trabajo, objetivos perseguidos (una planta segura), diagramas de
flujo, diagramas de proceso e instrumentacin, el mbito econmico, poltico, legal y
social y otros requisitos necesarios para el desarrollo del proyecto. El mtodo que se utiliza
para cumplimentar este punto est fuera del alcance de la IEC 61511.
7.1.3 Anlisis de Peligros y Riesgos del Proceso
Para el buen desarrollo de esta norma, se debe realizar un Anlisis de Peligros y
Riesgos. Dicho anlisis y evaluacin de riesgos se deben llevar a cabo tanto en los procesos
de instalaciones nuevas, como en instalaciones existentes donde se realicen modificaciones
en su proceso o en aquellas que no cuenten con dichos anlisis. Para poder realizar esta
tarea se requiere una detallada informacin para identificar los peligros y causas
potenciales de dao asociados al proceso. Se debe considerar el riesgo sobre el personal,
medio ambiente, poblaciones circundantes, produccin, equipos, e imagen corporativa de
la empresa.
El objetivo de un anlisis de riesgos es la identificacin de los peligros del proceso,
estimar su riesgo (frecuencia/consecuencia) y decidir si el riesgo es tolerable. Para reducir
el riesgo a un nivel tolerable, primero deben aplicarse capas de proteccin no-SIS, en caso
de no alcanzar un nivel de riesgo tolerable despus de aplicar dichas capas, se requerir
implantar un sistema instrumentado de seguridad. En caso de precisar un sistema
instrumentado de seguridad los resultados del anlisis de riesgos deben constituir los datos
de entrada para la determinacin del nivel integro de seguridad objetivo (SIL) de las
funciones instrumentadas de seguridad (SIF) identificadas. Este anlisis por tanto incluye
la identificacin de las SIF que son necesarias para detectar un inminente dao y actuar
para llevar el proceso a un estado seguro.
65
Una vez identificados los peligros y riesgos, se aplicar la tecnologa y medidas

adecuadas para eliminar el peligro, reducir sus consecuencias o reducir la ocurrencia del
evento peligroso. El objetivo ser alcanzar los lmites del riesgo tolerable.
El Anlisis de Peligros y Riesgos se hace varias veces durante las etapas de diseo
del SIS. Comnmente, el primer estudio se realiza en las etapas iniciales de la ingeniera
del proyecto, un segundo estudio cuando se completan los diagramas de proceso e
instrumentacin (P&IDs) y antes de empezar la ingeniera de detalle, y un tercero cuando
la ingeniera de detalle est completa. Asimismo se recomienda hacerlo cuando se
introducen cambios significativos y modificaciones en el proceso.
Existen diferentes mtodos, cualitativos y cuantitativos, para la identificacin de
peligros, tales como HAZOP, Que pasa s, FCMEA, rbol de fallo, etc., la tcnica de
identificacin seleccionada depender de los propsitos perseguidos con la identificacin
de riesgos, as como de los datos y recursos disponibles. El mtodo HAZOP se presenta
como una de las tcnicas ms rigurosas y estructurada para la identificacin de los peligros
asociados a una planta de proceso. En el captulo 7.2 Mtodos de Identificacin y Anlisis
de Riesgos se presentan diferentes metodologas de Anlisis de Riesgos de Procesos
(PHAs), centrndose especialmente en la metodologa HAZOP.
A ttulo de informacin la norma IEC 61511 parte 3, recoge diferentes mtodos de
anlisis de riesgos tiles para encontrar el valor objetivo SIL.
7.1.4 Aplicacin de capas no-SIS
El objetivo del diseo de proceso es obtener una planta inherentemente segura, dnde
los riesgos residuales puedan ser controlados mediante la aplicacin de capas de proteccin
no-SIS, capas de mitigacin. La reduccin del riesgo mediante la seleccin cuidadosa de
parmetros operacionales bsicos del proceso constituye una pieza clave en el diseo de un
proceso seguro.
Una vez se tienen identificados los eventos peligrosos y sus riesgos asociados
cuantificados, se realiza una evaluacin para determinar si se han provisto todos los niveles
adecuados de proteccin, excepto el SIS, para la reduccin del riesgo tales como controles
bsicos, alarmas de proceso, supervisin por el operador, alarmas crticas operaciones
manuales, enclavamientos, vlvulas de alivio, etc. En este punto se evalan todos los
niveles de proteccin que se han aplicado y, si queda un riesgo inaceptable latente, se
aplicar un SIS para llevar el riesgo a un nivel aceptable. El SIS se aplica cuando han sido
consideradas todas las medidas de reduccin de riesgo a travs del uso de otros
dispositivos distintos del SIS.
Cada capa de proteccin adicional consiste de un conjunto de equipos y/o controles
administrativos, que interactan con otras capas de proteccin, controlando de esta manera
el riesgo.
7.1.5 Criterios para determinar la necesidad de un SIS
En este punto es necesario verificar todos los datos obtenidos hasta el momento. Si
los riesgos pueden estar controlados dentro de un nivel aceptable (nivel a determinar por
los responsables de la planta) sin que sea necesario aplicar un SIS, entonces el proceso de
diseo en cuanto a SIS finaliza en este punto. Si, por el contrario, los riesgos no pueden ser
controlados a un nivel aceptable mediante la aplicacin de capas de seguridad no
instrumentadas, entonces se requerir un SIS.
66
Algunas empresas utilizan la tabla siguiente, como clasificacin de consecuencias:
Consecuencias
Frecuencia
objetivo
tolerable por
ao
Impacto inicialmente limitado a un rea local del evento con un

potencial para una consecuencia ms amplia si no se toman
acciones correctivas. Fugas dentro de barreras de contencin
cuyas consecuencias al ambiente son conocidas (ruido, olores,
impacto visual detectable, derrame externo controlable en un
da)
1.0 x 10-3
Es aquella consecuencia que podra causar cualquier lesin o

fatalidad seria en el lugar o fuera de l, o bien un dao a la
propiedad econmico tanto dentro (1 M $) como fuera (5 M $).
Fugas fuera de los lmites sine efectos adversos (el derrame
externo se puede controlar en pocos das)
1.0 x 10-4
Es aquella consecuencia que es 5 o ms veces severa que un

accidente de consecuencias SEVERAS. Fuga fuera de los lmites
de contencin con efectos adversos (derrame no controlable en
pocos das)
1.0 x 10-5
Nivel del
impacto del
evento
Menor
Severa
Catastrfico
(Extensiva)
Como podemos ver es un poco ambigua, y queda siempre bajo el criterio de los
responsables de planta el decidir qu tipo de riesgo consideran aceptable y por tanto no
precisa de un SIS. Pero resumiendo, podemos concluir que con la informacin de la
magnitud de la consecuencia, la probabilidad de que ocurra un evento peligroso y el nivel
de riesgo que puede tolerar la empresa, se determina el uso del SIS.
7.1.6 Seleccin del SIL objetivo
Asumiendo que es necesario aplicar un SIS, entonces debern establecerse los
requerimientos del mismo definiendo el Nivel de Integridad de Seguridad (SIL). El SIL
define el nivel de desempeo que se requiere para cumplir los objetivos de seguridad del
proceso establecidos por el usuario, es decir establece el nivel de seguridad que se exige a
las funciones de los sistemas instrumentados de seguridad. La norma IEC 61511 establece
4 niveles SIL, mientras que la ANSI/ISA S84.01 establece solo 3 (tabla 7.1.6.1). Cuanto
mayor es el ndice SIL mayor es el requerimiento de disponibilidad de la funcin de
seguridad del SIS.
La asignacin del nivel SIL a una funcin, es una decisin corporativa basada en una
filosofa de gestin de riesgos y de su tolerancia.
Existen varios mtodos para determinar el ndice SIL a aplicar a cada funcin de
seguridad. La aplicacin de cada una de las metodologas deben incluir personal
multidisciplinar apropiado, es decir representantes del sector operacin, mantenimiento,
ingeniera, seguridad y gerencia del riesgo, y cualquier persona que se crea oportuno. Los
mtodos usados para la seleccin del SIL consideran en general la consecuencia, la
probabilidad de la consecuencia, la capacidad de los niveles de proteccin para reducir o
disminuir la frecuencia de la consecuencia y la frecuencia aceptable de la consecuencia.
67
Como siempre es fundamental tener unos buenos procedimientos para diseo de control,
operacin y mantenimiento para realizar un mejor desempeo del sistema de seguridad. El
captulo 7.3 Asignacin del SIL objetivo se presenta de una manera ms explcita este
asunto.
ISA
84.01
Tabla 1
SIL
PFDavg
RRF
10-4 -> 10-5
10000 -> 100000
10-3 -> 10-4
1000 -> 10000
10-2 -> 10-3
100 -> 1000
10-1 -> 10-2
10 -> 100
Tabla 7.1.6.1 ndice SIL segn IEC 61511
7.1.7 Especificaciones de Requerimientos de Seguridad, SRS

Una vez identificados y caracterizados todos los peligros potenciales con los riesgos
que suponen y han sido establecidos los niveles SIL de cada SIF es necesario desarrollar
las Especificaciones de los Requisitos de Seguridad, documento donde se recogen todos
los esfuerzos y resultados de la fase de Anlisis de SLC 1. Este es un documento en el que
se establecen los requerimientos de integridad y funcionales del SIS. No hay reglas
generales que puedan aplicarse en forma global. Cada funcin de seguridad debe tener un
requerimiento de SIL asociado, as como los requerimientos de confiabilidad para disparos
en falso.
Los documentos SRS nos dan exactamente que se requiere para disear, instalar, y
operar incluyendo el mantenimiento, el sistema instrumentado de seguridad de acuerdo con
la fase de anlisis del SLC. El sistema se programar y verificar de acuerdo a la lgica
determinada en este punto. Si se comete un error o ambigedad, este ser trasladado a
travs de todo el resto del diseo. Estos errores se conocen como errores sistemticos. No
importa cuntas veces se verifique, ni cuanta redundancia tenga el sistema, en algn
momento el sistema no responder a una demanda asociada a ese error.
Por tanto como objetivo esta etapa tiene el especificar todos los requerimientos del
SIS necesarios para el desarrollo de la ingeniera de detalle y la informacin de la
seguridad del proceso. Para ello identificar y describir las funciones instrumentadas de
seguridad, documentar el SIL, documentar las acciones a tomar - lgica, diagramas
causa-efecto, etc. -, Documentar parmetros asociados tiempo, requerimientos de
mantenimiento y bypass, etc.-. Este punto est ampliamente desarrollado en el captulo 7.4
Especificaciones de Requerimientos de Seguridad.
7.1.8 Fase Implementacin del Ciclo de Vida de Seguridad SIS
La fase de implementacin (realizacin) de ciclo de vida de seguridad engloba el
diseo, fabricacin, instalacin y test de prueba del Sistema Instrumentado de Seguridad
1
Ciclo de Vida de Seguridad. Tambin lo podemos encontrar con el acrnimo CVS
68
que se especific en la fase de anlisis del proyecto. La fase de implementacin

(realizacin) no puede ser ejecutada apropiadamente si la especificacin no ha estado
correctamente y con claridad desarrollada a partir de los resultados de la fase anlisis, la
primera fase del ciclo de vida. La figura 7.1.8.1 Fase "Implementacin" del Ciclo de Vida
de Seguridad SIS nos presenta el diagrama de flujo de la informacin y funciones
individuales necesarias para ejecutar la fase de realizacin de una manera efectiva.
Esta fase junto con el detalle de las especificaciones de los requerimientos de
seguridad englobara lo que se denomina especificacin, diseo e ingeniera del SIS.
Figura 7.1.8.1 Fase "Implementacin" del Ciclo de Vida de Seguridad SIS
7.1.9 Ingeniera y diseo del SIS

En este apartado se cubrir el diseo conceptual y el diseo detallado del SIS. Todo
diseo conceptual propuesto debe ser analizado para ver si alcanza los requerimientos
funcionales y de integridad (SIL meta objetivo deseado). Se trata de realizar la verificacin
del SIL de las funciones instrumentadas aceptadas o propuestas en el diseo conceptual. El
diseo de detalle partir de la base del diseo conceptual y documentar la fabricacin real
del sistema. Una vez se ha elegido el diseo se debe realizar la ingeniera y la construccin
siguiendo todos los procedimientos de diseo. Todo el proceso requiere de una
documentacin completa para que pueda ser entendible y auditable por un ente
independiente a fin de verificar el sistema.
El diseo conceptual y de detalle del SIS ser tratado de una manera ms explcita en
el captulo 7.5 Ingeniera y diseo del SIS. Como el diseo conceptual y el diseo de
69
detalle muchas veces no quedan bien definido donde est la frontera entre ambos las
compaas en sus estndares suelen referirse a ingeniera y diseo del SIS. De hecho es
como se refiere en la norma IEC61511 en el ciclo de vida (Clusulas 11 y 12) (figura 7.1.1
Ciclo de vida de Seguridad SIS segn IEC 61511. Captulo 7.1 Ciclo de Vida de
Seguridad).
7.1.9.1 Diseo conceptual del SIS
Una vez se tiene en mano las especificaciones de requerimientos de seguridad
obtenidas en la fase de Anlisis, la primera tarea que hemos de realizar es la seleccin de la
tecnologa a utilizar por el sistema instrumentado de seguridad y la arquitectura que
utilizaremos para lograr los requerimientos de seguridad y operacin del SIS. Esto incluye
el procesador lgico, con sus unidades de entrada y salida, sensores y elementos finales de
campo. La gerencia, deber dirigir el diseo conceptual al mismo tiempo que planifica
como puede ser probado y verificado el sistema para asegurar que logra las
especificaciones antes de poner el sistema en un uso activo. Un punto clave de esta tarea
esta en desarrollar un mantenimiento y planificacin de un intervalo de prueba de
funcionamiento (proof test) para asegurar que se puede encontrar y reparar cualquier fallo
potencial no detectado en el equipo de seguridad antes de que el sistema requiera su
actuacin. La forma de realizar la prueba funcional o test y la frecuencia debe ser
cuidadosamente estudiada ya que afecta al valor SIL del sistema (captulo 7.5.12
Mantenimiento y pruebas funcionales).
En todo momento hemos de obtener informacin de confiabilidad y seguridad
cuando seleccionamos tecnologa y arquitectura del sistema.
7.1.9.2 Diseo de detalle del SIS
El propsito de esta etapa es finalizar y documentar el diseo conceptual. Una vez
que se ha elegido el diseo, el sistema debe ser construido siguiendo procedimientos
estrictos y buenas prcticas de ingeniera, para evitar errores en el diseo e implantacin.
En esta etapa el diseo debe ser programado y probado (pruebas FAT 1) de acuerdo a la
lgica determinada, cualquier error cometido durante esta etapa influir en el resto del
diseo.
Una vez que se completa la ingeniera de detalle es aconsejable efectuar un estudio
FMEA (Anlisis de Causas y efectos de Fallos) para verificar que todas las causas posibles
de fallos han sido consideradas, adems hay que verificar que el diseo final es capaz de
realizar las tareas asignadas. El objetivo del FMEA es verificar el comportamiento e
integridad del SIS ante fallos causados por fallos encubiertos, como as tambin reconocer
la respuesta del SIS a fallos descubiertos.
7.1.10
Verificacin del SIL
Una vez que se ha desarrollado el diseo conceptual del SIS, se ha seleccionado la

arquitectura del sistema y sus componentes, debe calcularse nuevamente el SIL que
obtiene la funcin instrumentada de seguridad en base a la velocidad de fallo de los
componentes (PFDavg, RRF, MTTFspurious) y al intervalo de test (proof test) definido. De
FAT (Factory Acceptance Test). Pruebas funcionales de la programacin del SIS antes de su
instalacin.
70
esta forma nos aseguramos que el diseo conceptual cumplir con el SIL objetivo y por
tanto con la especificacin de requerimientos de seguridad.
El diseo conceptual del SIS y la verificacin del SIL objetivo establece los
parmetros para el diseo de detalle del sistema, es un punto clave en el cronograma de
obra del proyecto que requiere aprobacin y por tanto un paso o etapa de revisin 1 antes de
continuar con nuevas fases (ver Tabla 6.2.2.1: Implementacin de las actividades de
valoracin y revisin durante el ciclo de vida. Captulo 6.2,2).
Si la verificacin de la funcin instrumentada de seguridad muestra que el SIL
requerido no se ha logrado mediante el diseo propuesto, hay que redisear alguna o todas
las partes que componen el SIF. Existen varias opciones como:
Disminuir el requerimiento del SIL mediante la adicin de otras capas

independientes de proteccin.
Reducir el intervalo de pruebas peridicas, lo cual puede implicar la necesidad de

pruebas en lnea y pruebas parciales.
Escoger equipos con mejores caractersticas de seguridad. Menor tasa de fallos,

mejores diagnsticos, etc.
Cambiar la arquitectura aadiendo redundancia.
La verificacin del SIL ser tratado de una manera ms explcita en el captulo 7.6
Verificacin del Nivel Integrado de Seguridad (SIL).
7.1.11
Pruebas de Aceptacin de Fbrica (FAT)
En esta etapa el sistema de control de seguridad y toda la lgica de control debe ser
completamente probado antes de ser enviado por el proveedor a la planta final. Todos los
individuos involucrados en la implementacin y verificacin del sistema bajo prueba deben
participar en la pruebas FAT. Estas pruebas son completadas en el lugar de fabricacin
previo al envo al usuario final.
Las pruebas FAT son tratadas de una manera ms explcita en el captulo 7.7
Pruebas de Aceptacin de Fbrica (FAT).
7.1.12
En esta etapa, se debe asegurar que el sistema sea instalado de acuerdo al diseo y se
opere de acuerdo a la especificacin de los requisitos de seguridad. Antes de que el sistema
sea llevado a su emplazamiento debe ser probado hasta su correcta operacin, una vez
emplazado se debe verificar que el sistema est de acuerdo al diseo detallado incluyendo
los dispositivos de campo. Esto es, entre otras, determinar que el equipamiento,
dispositivos y cableado estn correctamente instalados y en funcionamiento, que las
fuentes de energa redundantes son correctas y estn en funcionamiento, que todos los
instrumentos estn debidamente calibrados (los que lo requieran), y que todos los lazos
estn probados y son operativos.
Asimismo deben llevarse a cabo las pruebas de pre-arranque y aceptacin del sistema
(PSAT). Se debe elaborar un procedimiento que dicte los pasos a seguir para la instalacin
detallada de cada funcin. La norma IEC 61511 despus de la instalacin recomienda
1
Etapa 2 de revisin y validacin recomendada por IEC 61511.
71
realizar una verificacin y validacin del sistema instalado, documentada en la etapa 3, ya

que esta fase de proyecto es un punto clave y requiere aprobacin (ver Tabla 6.2.2.1:
Implementacin de las actividades de valoracin y revisin durante el ciclo de vida.
Captulo 6.2,2).
Como el SIS es un sistema que funciona bajo demanda, las fallas latentes que en un
sistema de control continuo son rpidamente detectadas, no son fcilmente descubiertas,
por lo que continuas inspecciones durante la instalacin son recomendadas para detectar
problemas en forma temprana, y evitar as errores una vez este el sistema en operacin.
Instalacin y comisionado son tratados de manera ms explcita en el captulo 7.8
Instalacin y Comisionado.
7.1.13
Fase Operacin del Ciclo de Vida de Seguridad SIS
La fase de operacin es la fase ms larga del SCL, empieza con el arranque de la

planta y contina hasta que se desmantela, decomisiona o se reorganiza. La parte ms
significativa de esta fase es el mantenimiento y el test de los equipos y lazos del sistema
instrumentado de seguridad, ya que la filosofa de test afecta al logro del ndice SIL meta.
Un eficaz rgimen de test y mantenimiento empieza con un buen procedimiento y con una
documentacin slida que permita mostrar que el plan de pruebas est siendo seguido.
Tambin es importante una eficaz MOC (gerencia del cambio) que sea capaz de dirigir
eficazmente cualquier modificacin del sistema de seguridad que se demande durante el
ciclo de vida.
El ciclo de vida finaliza con el decomisionado. Antes de parar el equipo, la
compaa, organizacin debe analizar los efectos del decomisionado de los equipos y
procesos bajo control.
Figura 7.1.14.1 Fase "Operacin" del Ciclo de Vida de Seguridad SIS
72
7.1.14
En cualquier momento del ciclo de vida, previo a la puesta en marcha del sistema, se
deben redactar y establecer los procedimientos de Operacin y Mantenimiento del SIS que
han de ser aprobados y operativos antes de la puesta en marcha.
La ingeniera de detalle del sistema debe incluir la planificacin de las tareas de
mantenimiento y test del sistema durante toda su vida til. Las pruebas de test son muy
importantes ya que su realizacin peridica permite detectar fallos latentes en el SIS. Es
importante realizar un buen estudio del mantenimiento a realizar ya que cualquier tarea de
mantenimiento que demande ser realizada con el sistema parado significa un costo
importante por prdida de produccin. Ninguna planta puede funcionar con su sistema de
seguridad fuera de lnea. Si el mantenimiento se hace en lnea debe planificarse
adecuadamente para evitar que durante ese tiempo la seguridad este limitada o disminuida.
Como podemos ver en el Ciclo de Vida basado en la norma IEC 61511 (figura 7.1.3.
Captulo 7.1) los procedimientos de operacin y mantenimiento del SIS deben estar listos
antes de la prueba preliminar y revisin final de seguridad y aceptacin del sistema en
planta (Paso 4. Pre Start Safety Review), etapa 3 (revisin de seguridad recomendada por
IEC 61511) (ver Tabla 6.2.2.1: Implementacin de las actividades de valoracin y revisin
durante el ciclo de vida. Captulo 6.2,2).
Estos procedimientos son importantes para mantener la integridad y seguridad del
SIS. Deben incluir detalles de cmo operar y mantener el SIS, procedimientos alternativos
de operacin del SIS en una condicin de disminucin de seguridad, procedimientos de
bypass y reset 1, procedimientos operativos en condiciones normales y de emergencia,
procedimientos de mantenimiento en condiciones normales incluyendo pruebas de test,
mantenimiento preventivo, repuestos y procedimientos para la administracin de cambios.
Todo personal de ingeniera, operacin y mantenimiento debe estar entrenado para utilizar
dichos procedimientos.
La revisin de seguridad previa a la puesta en servicio (Paso 4 del ciclo de vida
(PSSR-Pre Start Safety Review), tabla 6.2.2.1) incluye:
Verificacin de que el SIS ha sido construido, instalado y probado de acuerdo

con la especificacin de requerimientos de seguridad.
Procedimientos pertinentes al SIS para seguridad, operacin, mantenimiento.

Administracin de cambios y emergencia estn terminados y son adecuados para
la funcin.
Verifica que las recomendaciones del anlisis de peligrosidad y riesgos del

proceso han sido aplicadas al SIS.
El entrenamiento de los operadores ha sido completado e incluye informacin

adecuada sobre el SIS.
Esta revisin es un estudio funcional del SIS y una inspeccin completa del SIS con
el fin de demostrar que cumple con los requerimientos de la especificacin de diseo y
asegurar as su integridad y por tanto validar el sistema instrumentado de seguridad.
Toda esta tarea debe estar perfectamente documentada, aprobada, archivada y
perfectamente trazable para referencia futura.
Desviacin y reestablecimiento.
73
Una vez terminada la validacin del sistema puede ser puesto en operacin. Si el SIS
un da opera por una demanda verdadera o falsa, debe efectuarse un anlisis para
determinar la causa y si el SIS ha operado segn lo previsto.
El personal de operativa y mantenimiento de planta han de conocer y entender cmo
opera el SIS para evitar que se tomen acciones que puedan resultar comprometidas para el
proceso y para el SIS.
Operacin y mantenimiento son tratados de manera ms explcita en el captulo 7.9
Operacin y Mantenimiento.
7.1.15
Modificaciones del SIS
Los cambios en las condiciones del proceso, ampliaciones de planta, etc. que van
surgiendo son susceptibles de introducir cambios en el sistema de seguridad. Todos los
cambios requieren un retorno a la fase del ciclo de vida de seguridad adecuada. Por lo tanto
requeriremos de una actualizacin del sistema de acuerdo a la necesidad.
Se debe determinar cules son los test que se llevaran a cabo para certificar que no se
ha comprometido la integridad del SIS. Ir dirigido por la gerencia del cambio, MOC
(Management Of Change).
En el apartado 7.10 Modificacin del SIS se ampliar la informacin.
7.1.16
Desmantelamiento del SIS
El desmantelamiento del SIS, ya sea por cese de la produccin, cambios del proceso
o cambio del propio SIS debe seguir un proceso de revisin para garantizar que el
decomisionado del SIS no impacta al proceso o unidades circundantes y que existen los
medios necesarios para proteger al personal, equipos y medio ambiente durante el
desarrollo del desmantelamiento. Esto significar el desarrollo de un procedimiento y de la
obtencin de aprobaciones por escrito de las personas responsables.
Es muy importante poner nfasis en el seguimiento al pie de la letra del ciclo de vida
de seguridad y deben de respetarse los procedimientos para la gerencia del cambio para
asegurar la integridad de seguridad del SIS, ya que si bien se pone mucho nfasis en el
diseo del SIS hay que recordar que este puede estar en operacin un largo periodo de
tiempo, ms de 20 aos, y durante este periodo se realizan multitud de cambios.
[1]
[2]
[3]
ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
[4]
[5]
74
7.2
Mtodos de Identificacin y Anlisis de Riesgos de Procesos (PHAs)
7.2.1 Marco legislativo

La legislacin bsica de referencia en Europa en cuanto a la prevencin de accidentes
graves en los que intervienen sustancias peligrosas la constituye la Directiva 96/82/CE del
Consejo, de 1996, conocida como Seveso II, el ordenamiento jurdico espaol recoge esta
normativa mediante el RD. 1245/1999, de 16 de julio, por el que se aprueban las medidas
de control de riesgos inherentes a los accidentes graves que intervengan sustancias
peligrosas y el RD. 948/2005 que modifica el RD. 1245/1999.
Existe tambin una Directriz Bsica para la elaboracin y Homologacin de los
Planes Especiales del Sector Qumico, RD. 1196/2003, donde se establece, entre otros, las
zonas de objeto de planificacin denominadas Zona de Intervencin (ZI) y Zona de Alerta
(ZA), as como los valores umbrales de dao para cada una de las tipologas distintas de
consecuencias que marcan la delimitacin de estas zonas. Tambin indica las bases para la
correcta organizacin de las emergencias derivadas de accidentes, estableciendo los
contenidos mnimos de los Planes de Emergencia Interior (PEI) y los Planes de
Emergencia Exterior (PEE).
Otro documento, aunque no de obligado cumplimiento al no estar transpuesto por la
legislacin espaola y perteneciente a OHSA 1 es la CFR 1910.119 Process safety
management of highly hazardous chemicals, normativa de obligado cumplimiento en
EEUU, y de referencia en el resto del mundo y adoptada por diferentes compaas
multinacionales.
De acuerdo con el contenido de Seveso II (RD. 1254/1999), no es necesario ni hay la
obligatoriedad de hacer un anlisis de riesgos como tal. Ahora bien, las empresas afectadas
por este marco legislativo tienen la obligacin de presentar un Informe de Seguridad con
el fin de:
Demostrar que se ha establecido la Poltica de Prevencin de Accidentes Graves

y se ha establecido un Sistema de Gestin de Seguridad.
Demostrar que se han identificado los peligros de accidentes graves y que se han
tomado las medidas necesarias para su prevencin, y en caso de ocurrir, la
limitacin de sus consecuencias.
Demostrar que el diseo, la construccin, la explotacin y el mantenimiento de

toda la instalacin, presenta seguridad y fiabilidad suficientes.
Demostrar que se dispone del Plan de Emergencia Interior y que se ha facilitado

toda la informacin necesaria para el Plan de Emergencia Exterior.
Proporcionar informacin a las autoridades para que puedan desarrollar polticas

de ordenacin y usos del suelo, teniendo en cuenta las distancias de seguridad
entre empresas afectadas y elementos vulnerables.
En caso de que la seguridad pueda ser afectada por el efecto domin, colaborar
para su gestin adecuada.
OHSA: Occupational Safety and Health Administration, Administracin de Seguridad y Salud

Ocupacional emitida por el Departamento de Trabajo de los Estados Unidos
75
Para la elaboracin del Informe de Seguridad, el industrial deber tener en cuenta los
requisitos e informacin recogidos en la Directriz Bsica para la Elaboracin y
Homologacin de Planes de Especiales del Sector Qumico.
Por otra parte, la Direccin General XI de la Comisin Europea ha elaborado una
gua para la preparacin del Informe de Seguridad que cumpla con los requisitos de la
Directiva Seveso II.
Como aspectos novedosos que contempla esta gua y que no se encuentran en la
Directriz Bsica, se deben destacar los siguientes:
1. Informacin sobre el sistema de gestin y la organizacin, con vistas a la
prevencin de accidentes graves.
2. Entorno de la industria
Descripcin y anlisis de la vulnerabilidad de los elementos sensibles del entorno

de la planta, industria (medio ambiente, servicios pblicos, lugares de pblica
concurrencia, etc.)
Identificacin y anlisis de elementos externos que puedan agravar el riesgo de la

planta, industria (riesgo natural, actividades industriales, transportes de
mercancas peligrosas, etc.)
3. Descripcin de la instalacin
Descripcin de las principales instalaciones, equipos y actividades relevantes desde
el punto de vista de la seguridad de las fuentes de riesgos de accidentes graves, las
condiciones en las que se pueden producir estos accidentes, as como las medidas
preventivas y mitigadoras previstas. Para lo que contar con el estudio de los siguientes
aspectos:
Estudios de los procesos, operaciones bsicas y reacciones qumicas que puedan

en una situacin no controlada, originar un accidente.
Ingeniera de procesos y sistemas de seguridad.
Procedimientos de operacin en diferentes fases de la actividad (operacin

normal, parada de emergencia, arranque y paro, etc.).
Diseo e ingeniera de equipos y sistemas que procesan o almacenan sustancias

peligrosas (materiales, pilotajes, estanqueidad, equipos a presin, etc.).
Sistemas de correccin y tratamiento de residuos y contaminantes, tanto en

operacin como en emergencias.
4. Identificacin y anlisis de los riesgos de accidente y medios preventivos

El alcance del Informe de Seguridad ampla su mbito en los siguientes aspectos.
Identificacin de fuentes de riesgo de todo tipo:
En distintas fases de la actividad (diseo, ingeniera, montaje, explotacin,

cese de actividad, etc.).
Fallos o desviaciones en las condiciones normales de proceso.
Fuentes de riesgo externas.
Seguridad de la planta (intrusismo, sabotaje, etc.).

76
Evaluacin de las consecuencias, teniendo en cuenta la finalidad que tiene el

Informe de Seguridad como elemento de prueba de idoneidad de las medidas de
seguridad adoptadas por la empresa, por lo que podra requerirse la realizacin de
un anlisis de riesgos detallados (p.ej. HAZOP 1)
5. Medidas de proteccin e intervencin para limitar las consecuencias de un

accidente.
De la identificacin y anlisis de riesgos, se deber inventariar las medidas y
sistemas de seguridad adoptados, determinando su fiabilidad, redundancia, operatividad,
etc., de forma que se demuestre a la autoridad competente su idoneidad.
El industrial afectado deber demostrar que los Planes de Emergencia Interior son
adecuados y deber considerar los siguientes aspectos.
Organizacin, responsabilidades y procedimientos de respuesta ante emergencia.
Informacin y formacin recibida por el personal implicado en una emergencia.
Instalaciones o dependencias donde es necesario la proteccin o el rescate.
Plan de evacuacin.
Procedimiento de parada de instalaciones.
Descripcin de los recursos movilizables (internos y externos).
Se ha de indicar que el uso de la gua para la preparacin del Informe de Seguridad

es una recomendacin voluntaria, no siendo obligatorio su seguimiento.
Por lo que, aunque el RD. 1254/1999 (transpuesto de Seveso II) no recalca la
necesidad de realizar un anlisis de riesgos, el hecho de obligar a demostrar que se han
identificado los peligros de los accidentes graves, as como la obligatoriedad de implantar
un Sistema de Gestin de Seguridad, hace que en la prctica y para determinadas
instalaciones, no solo sea beneficioso, sino casi obligado la realizacin de estudios y
anlisis de riesgos.
La normativa estadounidense, la CFR 1910.119 Process safety management of
highly hazardous chemicals tambin tiene como propsito establecer los requerimientos
necesarios para la prevencin y minimizacin de consecuencias de fugas catastrficas de
productos qumicos txicos, inflamables y reactivos que puedan causar dao. Para las
instalaciones afectadas la norma obliga lo siguiente:
1. Desarrollar un Anlisis de Riesgos de Procesos (PHA), que identificar y
evaluar los riesgos derivados del proceso
2. Utilizar una de las siguientes metodologas para determinar y evaluar los riesgos
del proceso: What-if, Check list, HAZOP (HAZard and OPerability study), Fault
Tree Anlisis (FTA), FMEA (Failure Mode and Effects Anlisis).
3. El PHA considerar los riesgos del proceso, la identificacin de incidentes que
puedan tener consecuencias catastrficas, las medidas administrativas, las
tcnicas instaladas para la deteccin de posibles fugas, posibles procedimientos,
interlocks, etc.
HAZard and OPerability Method. Mtodo sistemtico de anlisis de riesgos y operabilidad.
77
4. El PHA se desarrollar por un equipo de expertos en ingeniera y procesos, as

como por personal propio de la planta con experiencia y conocimientos
especficos del riesgo evaluado. Asimismo habr un especialista que dirija en
todo momento la conduccin del PHA.
5. Se establecer un mecanismo de forma que asegure que las recomendaciones de
estudio son llevadas a cabo y las personas afectadas son informadas.
6. Cada 5 aos el estudio debe ser revisado.
7. La empresa tiene la obligacin de mantener al da el PHA de su Unidad.
Cualquier modificacin precisa un anlisis de riesgos (Gestin de Cambios).
As pues la CFR 1910.119 a diferencia de su homnima europea, Seveso II, si obliga
a los industriales a realizar, desarrollar y mantener en estudio de Anlisis de Riesgos
(PHA) en sus instalaciones.
[1]

2006, ISA (The Instrumentation, Systems and Automation Sociecity). Profesorado: Gabriela Reyes y
Victoriano Macas (INERCO).
[2]
REAL DECRETO 1254/1999, de 16 de julio, por el que se aprueban medidas de control de los riesgos
inherentes a los accidentes graves en los que intervengan sustancias peligrosas. B.O.E. nmero 172,
de 20 de junio de 1999.
7.2.2 Tcnicas de Identificacin de Riesgos y Anlisis de Peligros

Como se coment en el captulo 7, una vez el diseo conceptual del proceso est
definido, se pueden definir sus riesgos y peligros asociados. El identificar los riesgos y
peligros de un proceso nos conduce a la correspondiente identificacin de las Funciones de
Seguridad, incluidas las funciones instrumentadas de seguridad (SIF) que son requeridas
para reducir el riesgo inherente del proceso a un riesgo tolerable. Este captulo trata de
mostrar diferentes mtodos de anlisis de riesgos centrndose en el mtodo HAZOP
(HAZard and OPerability study), que probablemente sea el mtodo ms utilizado en
plantas de proceso.
Nos encontramos en las primeras fases del ciclo de vida, concretamente en la fase de
definicin de diseo del proceso (figura 7.1.3 Ciclo de Vida de Seguridad SIS ejemplo,
captulo 7.1).
Figura 7.2.2.1 Fase Definicin diseo de proceso
78
El objetivo que se pretende alcanzar usando estos mtodos, est en reconocer las
situaciones peligrosas en actividades en las que se manejan materiales que implican riesgos
con el objetivo de revisar el diseo y establecer medidas correctoras o preventivas y por
otro lado identificar posibles escenarios de accidentes, con el fin de evaluarlos y
cuantificarlos. Un anlisis de riesgos, desde el punto de vista de un Sistema Instrumentado
de Seguridad, nos ha de facilitar el identificar las funciones instrumentadas de seguridad
(SIF) y el nivel de integridad de seguridad (SIL) que deben llevar asociado. Una Funcin
Instrumentada de Seguridad es la accin que un sistema instrumentado de seguridad toma
para llevar un proceso a un estado seguro cuando se enfrenta a un peligro potencial.
Del anlisis de riesgos hemos de obtener una descripcin de los peligros, de las
funciones de seguridad requeridas, y los riesgos asociados, incluyendo:
Identificacin de eventos que producen una situacin de peligro as como los

factores que contribuyen al evento peligroso.
Consecuencias y probabilidad del evento.
Condiciones de operacin (arranque, situacin normal de operacin y paro).
Reduccin de riesgo necesaria para alcanzar la seguridad requerida.
Asignacin de las funciones de seguridad a las capas de proteccin.
Identificacin de las Funciones Instrumentadas de Seguridad (SIF).
Este ejercicio de identificar funciones no es tan fcil como a priori parece.

Afortunadamente un anlisis de riesgos y peligros nos dar informacin suficiente para
determinar las posibles funciones de seguridad y las SIFs.
La correcta identificacin y anlisis de riesgos permitir tener una amplia visin de la
seguridad propia de la instalacin y nos permitir eliminar aquellos puntos de riesgo no
aceptables mediante un proceso iterativo de mejora y evaluacin posterior de la
instalacin, hasta obtener un nivel aceptable de riesgo. En la figura 7.2.2.2. Evaluacin
predictiva del riesgo, se facilita un esquema general en la que se seala la secuencia
normal de identificacin y anlisis de riesgos.
Figura 7.2.2.2 Evaluacin predictiva del riesgo.
79
Existen diferentes tcnicas o mtodos de identificacin de riesgos que las podemos

separar en dos grupos fundamentales:
1. Mtodos cualitativos: Tienen como objetivo establecer la identificacin de los riesgos
en el origen, as como la estructura o secuencia con que se manifiestan cuando se
convierten en accidente. En ocasiones son preliminares y sirven como soporte estructural
de los cuantitativos. Son el medio que se utiliza para determinar el SIL que se plantea
como objetivo. Es un estudio realizado por expertos que examinan las frecuencias y
consecuencias de los riesgos. Los objetivos de este tipo de anlisis de riesgos son
determinar la severidad de un evento peligroso, determinar la consecuencia de los eventos
peligrosos, identificar aquellas desviaciones del proceso que puedan derivar en un evento
peligroso, establecer una escala de gravedad de los eventos peligrosos y sus consecuencias
basndose en la experiencia previa en procesos, en analogas con situaciones similares y
base de datos de accidentes. Estos estudios deben hacerse partiendo de la base de que no se
han aplicado capas de proteccin en el proceso, ni se han dispuesto dispositivos, activos o
pasivos, para disminuir el riesgo.
Se tratan de tcnicas de anlisis crtico que no recurren al anlisis numrico. Los
mtodos de anlisis cualitativos ms conocidos son:
HAZOP. Estudio y anlisis de Peligrosidad y Operabilidad.
FMEA. Anlisis Modal de Fallos y Efectos del proceso.
Check List. Lista de verificacin.
What if?. Anlisis Qu pasa s?
La nica norma que obliga a realizar estudios de anlisis de riesgos (CFR 1910.119
estadounidense) no indica, ni especifica que mtodo se ha de escoger y permite al
industrial seleccionar el mtodo que se adecue mejor a su planta o a los conocimientos del
personal de que dispone.
2. Mtodos cuantitativos: Tienen como objetivo recorrer el trayecto de la evolucin
probable del accidente desde el origen (fallos en equipos, mala operacin, etc.) hasta
establecer la variacin del riesgo con la distancia, as como la particularizacin de dicha
variacin estableciendo los valores concretos de riesgo para los sujetos pacientes
(habitantes, casas, otras instalaciones, etc.) situados a distancias concretas.
Son tcnicas de anlisis crticos que incluyen estructuras y clculos para establecer la
probabilidad de sucesos complejos (siniestros) a partir de valores individuales de la
probabilidad de fallo que corresponde a los elementos (equipos y humanos) implicados en
los procesos industriales. Tienen como herramientas fundamentales la lgica matemtica,
estadsticas de frecuencia de ocurrencia de fallos y fiabilidad de equipos, y clculos de
probabilidades.
Los mtodos de anlisis cuantitativos ms conocidos son:
FTA. Fault tree Anlisis (Anlisis de rbol de Fallos).
Anlisis mediante rboles de Eventos.
Anlisis de Markov.
80
Como vemos hay un gran abanico de mtodos para el anlisis de riesgos y

evaluacin de peligros (PHA 1) que pueden ser usados en plantas de procesos. El tipo a usar
depende de la complejidad del proceso en estudio y de la experiencia que la organizacin
tenga con el proceso y con el mtodo a seguir. El mtodo ms popular y utilizado es el
HAZOP (HAZard and OPerability study).
El estudio HAZOP constituye una de las tcnicas de anlisis de riesgos ms
estructurada para identificar los riesgos asociados a una planta de proceso. Trata de
identificar las posibles desviaciones frente a las condiciones de diseo que pueden darse en
una planta qumica.
El claro desarrollo de su metodologa, su rigurosidad y su versatilidad en el campo de
la industria qumica y petroqumica, hace que sea la tcnica de anlisis ms utilizada en la
industria de proceso.
7.2.3 Metodologa HAZOP
La metodologa HAZOP se basa en la investigacin de posibles desviaciones frente a
las condiciones de diseo para lneas y elementos pertenecientes a una determinada unidad
de proceso tanto desde el punto de vista de la peligrosidad como de la operabilidad.
Peligro: cualquier accin que pudiera causar una prdida catastrfica a la atmsfera
de un producto qumico txico, inflamable o explosivo o cualquier accin que pudiera
causar dao a las personas. Tambin se puede pensar en acciones que puedan causar dao a
equipos crticos.
Operabilidad: cualquier operacin dentro del diseo de planta que pudiera causar
una parada que pudiese iniciar o conducir a una violacin de las regulaciones de seguridad
y de proteccin a la salud o al medio ambiente, o tener impactos econmicos negativos.
El equipo que forma parte del estudio HAZOP sigue, dentro de un proceso de
brainstorming, una estructura analtica por medio de un conjunto de palabras gua para
examinar desviaciones de las condiciones normales de proceso en varios puntos clave
(nodos) a lo largo del proceso. Estas palabras clave son aplicadas a los parmetros ms
relevantes del proceso (caudal, temperatura, presin, nivel, concentracin, etc.) con el
objeto de identificar las causas y consecuencias de las desviaciones de estos parmetros de
los valores previstos. Finalmente, la identificacin de consecuencias no deseadas o
inaceptables da como resultado recomendaciones para mejoras del proceso.
El estudio permite determinar el SIL a travs de la evaluacin que hace el equipo de
trabajo de las acciones del sistema de control, errores humanos, capas de proteccin
utilizadas, etc. La seleccin del SIL depende de la experiencia y juicio del equipo de
trabajo y tiende a focalizar ms en las consecuencias que en las frecuencias.
El objetivo final que perseguimos con la utilizacin del mtodo HAZOP es detectar
cualquier suceso predecible e indeseable que pueda ocurrir en un proceso, tanto desde el
punto de vista de seguridad como de operabilidad.
Por tanto podemos indicar que un HAZOP realiza un estudio sistemtico y
estructurado de la unidad, dividida en elementos de estudio (nodos), sobre los que se aplica
las correspondientes desviaciones con ayuda de una serie de palabras gua y parmetros,
para estas desviaciones se analizan posibles causas que se generan en dicho nodo.
1
PHA, Process Hazard Analysis
81
Finalmente para cada una de las causas se anotan las consecuencias a que daran lugar, las
salvaguardias propias del sistema y finalmente las recomendaciones o comentarios que
fuesen precisos.
A continuacin se indican los trminos ms usados en la realizacin del mtodo
HAZOP:
Nodo: Punto especfico del proceso (un equipo o una lnea) en el que se evalan
posibles desviaciones del proceso.
Intencin: Descripcin de cmo se espera que se comporte el proceso en un
determinado nodo.
Desviacin: Forma en que las condiciones de proceso se alejan de su
comportamiento esperado.
Parmetro: La variable relevante para la condicin del proceso: p.ej. presin,
temperatura, nivel, composicin, pH, etc.
Palabra gua: Palabra que representa la desviacin de la intencin. Las ms usuales
son: no, ms, menos, diferente de, parte de, inverso, y palabras clave como
demasiado pronto, demasiado tarde, en lugar de, etc.
Causa: La razn o razones por las que podra ocurrir una desviacin.
Consecuencias: Los resultados de la desviacin en caso de que ocurra.
Salvaguardia: Instrumentos o protecciones del sistema que pueden ayudar a reducir
la frecuencia de ocurrencia de la desviacin o a mitigar sus consecuencias. Existen 5
tipos:
1. Medios destinados a detectar la desviacin, p.ej. instrumentacin de alarmas y
deteccin o la supervisin por parte de los operadores.
2. Instalaciones que compensan la desviacin, p. ej. Sistemas automticos de
control. Normalmente son una parte integrada dentro del control del proceso.
3. Instalaciones que previenen que ocurra una desviacin, p. ej. inertizar un
almacenamiento de productos inflamables.
4. Instalaciones que previenen un agravamiento de la situacin como consecuencia
de la desviacin, p. ej. disparo de una actividad por medio de enclavamientos
(podemos encontrar los SIS).
5. Instalaciones que alivian al proceso de la desviacin peligrosa, p. ej. vlvulas de
seguridad (SVs) y sistemas de alivio.
Recomendacin: Actividades identificadas durante el anlisis HAZOP para su
seguimiento. Incluye propuestas de modificaciones, mejoras que afectan a sistemas
de control (de sealizacin o de emergencia), condiciones de diseo de lnea y/o
equipos, etc.
Comentarios: Cualquier aclaracin a hacer a las recomendaciones o a aspectos
surgidos durante las sesiones HAZOP.
82
7.2.3.1 Procedimiento.
El procedimiento consiste en el estudio sistemtico y estructurado de una instalacin
equipo por equipo y lnea por lnea, llevado a cabo por un equipo multidisciplinar
(ingeniera, operacin, mantenimiento, seguridad, inspeccin y otras disciplinas que sean
necesarias) y liderado por un coordinador.
Esto se lleva a cabo mediante la aplicacin de una serie de palabras gua (no, ms,
menos, parte de, inverso, de otra forma, ms de, as como) a un conjunto de parmetros de
proceso como pueden ser, caudal, temperatura, pH, nivel, concentracin, presin, etc.
De la combinacin de las palabras gua con cada uno de los parmetros se obtienen
las desviaciones frente al comportamiento normal del proceso.
Precisar que el estudio debe comprender todos los estados o modos de
funcionamiento de la Unidad, como operacin normal, arranque y parada, por lo que los
nodos deben elegirse de forma que con ellos queden englobados todos los modos de
operacin.
Establecidas las desviaciones, se investigan mediante un proceso inductivo las causas
que pueden provocar esa desviacin en el nodo en ese modo de operacin.
Para esa causa, se investigan deductivamente las consecuencias posibles de la
desviacin, as como las salvaguardas que el proceso dispone para evitar la causa o mitigar
las consecuencias, llegando a una de las siguientes posibilidades:
a) Las consecuencias no entraan riesgo: descartar la consideracin de esta
desviacin.
b) Las consecuencias entraan riesgos menores o medianos: consideracin de esta
desviacin en la etapa siguiente.
c) Las consecuencias entraan riesgos mayores: consideracin de esta desviacin en
la etapa siguiente.
Para aquellas consecuencias, que aun disponiendo de salvaguardias impliquen un
riesgo, ser necesario adoptar acciones correctoras o recomendaciones que de alguna forma
palien la consecuencia o la causa. Las recomendaciones deben ser consensuadas entre el
grupo de trabajo. El coordinador asignar el estudio de la recomendacin a un miembro del
equipo que ser el encargado de contestarla e implantarla.
Finalmente, desviaciones, causas, consecuencias, salvaguardias y recomendaciones
deben quedar por escrito en un formato tipo, como se indica en la siguiente figura 7.2.3.1.
Modelo tabla HAZOP.
Unidad:
Guideword:
Nodo:
no or not
more
P&ID:
less
as well as
Fecha:
part of
reverse
other than
Hypothetical
Deviation(s)
Cause(s)
Consequence(s)
Countermeasures
Figura 7.2.3.1 Modelo tabla HAZOP
83
Open Points, By
whom, when due
Rev.
Esta secuencia operativa deber repetirse con todas las palabras gua, parmetros y
desviaciones para cada nodo, y finalmente para todos los nodos de la unidad a analizar.
Una secuencia lgica de trabajo o un procedimiento general de HAZOP puede verse
en la figura 7.2.3.2 HAZOP: Procedimiento general.
Figura 7.2.3.2 HAZOP: Procedimiento general
7.2.3.2 Puntos fuertes y dbiles de la metodologa HAZOP

Las principales ventajas que presenta la metodologa HAZOP frente al resto de
metodologas de anlisis de riesgos, son las siguientes:
Es un mtodo analtico, estructurado y sistemtico. Es un estudio completo y

profundo del diseo y operacin de la planta. La calidad de la revisin depende
de la calidad del equipo de trabajo y su composicin, habilidad y conocimiento
del lder del equipo y la precisin de la documentacin de seguridad de procesos.
Como es un mtodo desarrollado causa por causa, es altamente trazable y por

tanto auditable.
Al desarrollarse por un grupo multidisciplinar de profesionales, facilita la

concurrencia de juicios sectoriales y distintos pero todos ellos implicados en el
proyecto y operacin de la planta. Asimismo suele constituir un nico foro,
durante toda la etapa de diseo y construccin de la Unidad.
Permite volver atrs, de forma sistemtica y controlada, si en un momento dado,

se descubren nuevas desviaciones que pueden afectar a nodos ya analizados.
Considera los elementos de la Unidad integrados en su conjunto, que es como se

van a operar realmente, y no de forma aislada.
Por su desarrollo estructurado, suele constituir la ltima verificacin de las

condiciones de diseo, adecuacin del proceso y materiales de instalacin
previamente a su construccin.
84
Evala las consecuencias de un error de operacin. Aun cuando el HAZOP no es

un reemplazo de un completo anlisis de errores humanos, ayuda al equipo a
identificar escenarios en los que un error del operador puede conducir a
consecuencias serias. En las protecciones adicionales deben considerarse y
garantizarse.
Aumenta la eficiencia de la planta, el HAZOP ayuda a descubrir escenarios que

pueden desembocar en paradas no programadas de planta, alarmas, daos en
equipos, productos fuera de especificaciones, como tambin mejoras en la forma
de operar la planta.
Mejora la comprensin de los ingenieros y operadores acerca de la operacin de

la planta. A travs del HAZOP se tiene acceso a una gran informacin de
operacin y diseo, y se comentan detalles de la planta que, en la operacin diaria
no se percibira.
Se ha comentado que para llevar a cabo con xito un HAZOP se necesita conformar
un equipo de trabajo multidisciplinario con experiencia y dotes de planificacin y, muy
importante, que tengan un compromiso con la seguridad por parte de la gerencia de planta.
Aun as ninguna tcnica de anlisis de riesgos, incluyendo HAZOP, es perfecta. Por lo que
en cada mtodo existen puntos dbiles, en el estudio HAZOP son, entre otros:
La calidad y contenido del resultado del anlisis HAZOP depende mucho de los
conocimientos, experiencia y compenetracin del equipo de trabajo. Es necesario
que en el equipo de trabajo estn los mejores expertos disponibles en la empresa
de cada una de las disciplinas, pudiendo incluir contratacin de personal externo
para suplir una carencia de conocimiento.
Como es una tcnica sistemtica y profunda requiere de mucho tiempo para su

implementacin. La administracin de la planta debe comprender que es una
tarea que requiere de tiempo y, por tanto, debe fijar plazos que permitan llevar a
cabo un estudio completo. Plazos menores a los necesarios solo conduce a
aumentar la probabilidad de fallos ocultos en operacin.
El estudio no puede desarrollarse durante un gran nmero de horas seguidas, ya

que el agotamiento del equipo de trabajo, hace disminuir la calidad del trabajo.
7.2.3.3 Desarrollo del estudio HAZOP

Para el correcto desarrollo del estudio es bsico tener una buena organizacin y
planificacin del mismo. Asimismo es necesario tener en cuenta que debe desarrollarse una
vez la ingeniera de detalle del proceso est suficientemente avanzada como para prever
que no habr modificaciones importantes, pero con la antelacin suficiente para no
paralizar o retrasar la construccin de la unidad debido a la implantacin de las
recomendaciones. Cualquier cambio que sea implantado por la ingeniera de detalle debe
ser estudiado por el HAZOP.
El coordinador del equipo HAZOP debe:
Delimitar en todo momento y acordar con el jefe del proyecto el alcance del
estudio HAZOP, tanto en cuanto a lo que se refiere a equipos e instalaciones,
como a parmetros a incluir en el estudio.
Debe seleccionar y controlar a un equipo que ha de verificar su disponibilidad

para realizar el estudio.
85
Planificar los das en los que habr sesiones HAZOP y la duracin de las mismas,
informando al Jefe del Proyecto y a los miembros del equipo. As como el lugar
donde se realizarn las sesiones.
Estimar el coste del estudio.
Solicitar al Jefe del Proyecto toda la informacin necesaria que tendr que estar
disponible por cada miembro del equipo con suficiente antelacin.
Como ya se ha comentado el personal del equipo de trabajo debe estar

cuidadosamente elegido de manera que proporcione el conocimiento y experiencia
apropiados a los objetivos del estudio y al desarrollo del proyecto. Es muy importante que
las personas tengan amplios conocimientos en su campo, aunque no tengan experiencia en
el desarrollo de estudios HAZOP.
Es importante que el equipo no sea excesivamente grande para que sea eficiente
(aunque no siempre ocurra), lo ideal es tener un slo representante de cada disciplina con
suficientes conocimientos y capaz de tomar decisiones en cada momento. La seleccin del
grupo de trabajo englobar de 4 a 7 personas.
La composicin tpica del estudio HAZOP es la siguiente:
Coordinador del Estudio: generalista con experiencia en el mtodo a emplear, en

seguridad, en proyectos, y sobre todo en conduccin de reuniones. Es un
mediador.
Secretario: persona con un perfil similar al del coordinador y que forma parte del
equipo del coordinador, su cometido es:
Reunir, ordenar y aportar la documentacin de partida que se requiere para el

estudio.
Documentar el desarrollo de las reuniones, mediante actas.
Manejar las herramientas informticas que conducen, guan y auxilian el

mtodo escogido.
Preparar la informacin resultante del estudio.
Representante de Ingeniera de Proceso: con conocimiento profundo y detallado

del proceso, a veces puede ser preciso la presencia del licenciatario del proceso.
Representantes de Ingeniera de Proyectos involucrado en la ingeniera de detalle

de la unidad. (Mecnica e Instrumentacin y Control)
Ingeniero de Operacin: que conozca y tenga experiencia en la operacin de la

planta y proceso.
Especialistas: cuando se requieran, p. ej. expertos en materiales, en medio

ambiente, Ingenieros de Seguridad, Ingenieros supervisores de Mantenimiento,
etc.
Es muy importante la independencia del coordinador del resto del equipo HAZOP
con objeto de garantizar que la tcnica es sistemtica y rigurosamente aplicada.
Documentacin necesaria para la realizacin del HAZOP:
Descripcin lo ms detallada y completa del proceso, incluyendo:

86
Termodinmica y cintica de la reaccin.
Posibles venenos de la reaccin o catalizador.
Posibles subproductos generados.
Posibles variaciones de la corriente de entrada.
Diagrama de proceso (PFDs), de la Unidad.
Balance de materia y energa.
Diagramas de tuberas e Instrumentacin (P&IDs), de la Unidad y sus

conexiones.
Planos de implantacin de los equipos de la Unidad y de esta en el resto del

complejo.
Planos de clasificacin elctrica de reas con riesgo de incendio y explosin.
Procedimientos de arranque y parada normal, de emergencia y de operacin.
Fichas de seguridad de las sustancias que se incluyen o pueden incluirse en el

proceso.
Descripcin de la lgica de los sistemas de control.
Descripcin de los sistemas automticos de enclavamientos.
Informes de accidentes o incidentes en instalaciones similares.
Hojas de especificaciones de equipos incluyendo:
Bombas y Compresores: tipo, caudal, presin y temperatura de diseo, presin

mxima, caudal mximo, material, etc.
Hornos y Calderas: tipo, presin y temperatura de diseo y operacin, calor

intercambiado y material de los tubos y cdigo de diseo, etc.
Recipientes a presin: dimensiones, presin y temperatura de diseo y de

operacin, material, aislamiento y cdigo de diseo.
Recipientes atmosfricos y Silos: dimensiones, temperatura de diseo y de

operacin, material, aislamiento y cdigo de diseo.
Intercambiadores y Aero refrigerantes: tipo, dimensiones, presin y

temperatura de diseo y de operacin, material de los elementos (carcasa y
tubos).
Hojas de especificaciones de tuberas, bridas y accesorios.
Hojas de especificaciones de los instrumentos.
Lista de vlvulas de control y su hoja de especificaciones y tcnica.
Lista de vlvulas de seguridad, discos de ruptura y tapas de fuego junto con sus
especificaciones:
Sistema sobre el que descarga.
Presin de disparo.
Causa para la que ha sido diseada y causas para la que ha sido comprobada.
87
Caudal, Peso molecular o densidad, y temperatura de fluido de diseo y

comprobacin.
Seleccin de sistema y nodos de estudio

Previamente al inicio de las sesiones, y una vez acordado el alcance del estudio, es
tarea del coordinador la delimitacin y subdivisin de la instalacin en Sistemas y Nodos.
Un sistema se define como una parte o seccin de una Unidad, normalmente los
P&IDs ya estn divididos por sistemas. As en una planta de craqueo o en un proceso
qumico podemos encontrar algunos de los siguientes sistemas: Tratamiento de
Alimentacin, Unidad de secado, Reactores, Hornos, Columnas de destilacin
(Depropanizador, Deeteanizador, etc.), Compresores, Regeneracin del catalizador,
sistema antorcha, etc.
En cambio un nodo se entiende como un punto especfico del proceso (un equipo o
una lnea) en el que se evalan posibles desviaciones del proceso. Es posible tomar como
nodo la unin lnea + bomba + recipiente para mantener la continuidad del estudio. Existe
la posibilidad que un equipo pertenezca a ms de un nodo, ya que hemos de tener en cuenta
los modos de operacin de la instalacin. En la siguiente figura 7.2.3.3 Nodos y modos de
operacin, se representa lo anteriormente explicado.
Figura 7.2.3.3 Nodos y modos de operacin
NODO1: Recipiente V-3000 en operacin de secado (lnea verde)

NODO2: Recipiente V-3000 en operacin de regeneracin adsorbente (lnea negra)
NODO3: Recipiente V-3000 en paso secado/regeneracin
NODO4: Recipiente V-3000 en paso regeneracin/secado
Vemos que un mismo equipo tiene diferentes nodos de estudio, esto hace que el
HAZOP sea largo y laborioso. No se ha de caer en la tentacin de realizar nodos amplios
(como sistemas) pues desvirta todo el estudio.
La utilizacin del HAZOP por industrias qumicas y petroqumicas en instalaciones
de cierta envergadura ha pasado a ser obligado por parte de las mismas compaas.
Aplicacin de palabras gua para la generacin de desviaciones
Antes de entrar a examinar detalladamente cada seccin del proyecto, es conveniente
que un miembro especialista del equipo haga el resumen de las funciones de cada unidad,
incluyendo las condiciones normales de proceso y sus especificaciones si estn
disponibles, as aseguramos que todo el equipo conoce el proceso objeto de anlisis. A
88
partir de aqu se aplicarn las palabras gua y los parmetros establecidos y acordados a
cada nodo, con el propsito de generar desviaciones del proceso sobre todas las variables
posibles.
As en la siguiente tabla se muestra un ejemplo de un listado de desviaciones que se
aplica comnmente a todos los HAZOPs.
PALABRA GUA
PARMETRO
DESV IACIN
No
Flujo
No Flujo
Inverso
Flujo
Flujo inverso
Ms
Flujo
Ms Flujo
Menos
Flujo
Menos Flujo
Diferente
Flujo
Flujo diferente
No
Nivel
No hay nivel
Ms
Nivel
Nivel ms alto
Menos
Nivel
Nivel ms bajo
Ms
Temperatura
Temperatura ms alta
Menos
Temperatura
Temperatura ms baja
Etc.
Anlisis de causas y consecuencias de las desviaciones
Esta es la etapa creativa del procedimiento. Se debe reconocer las posibles causas y
consecuencias de cada una de las desviaciones generadas por las palabras gua. Esta etapa
del procedimiento deber ser minuciosa y exhaustiva, all donde se haga una provisin que
anule alguna contingencia, se preguntar si la contingencia es adecuada: Es suficiente una
simple vlvula anti-retorno?, Ser necesaria una alarma de nivel alto adems de disparo?,
etc.
Es muy importante que los integrantes del equipo de trabajo y la capacidad de
direccin del lder ayuden a analizar las posibles causas que provocan una desviacin, pero
solo aquellas que se consideren crebles, adecuadas y factibles para evitar prdida de
energa y tiempo en discusiones que no llevarn a ninguna solucin practicable.
Es necesario e importante considerar las desviaciones que son producidas por las
siguientes causas:
Un error humano de una actividad recogida o no en los manuales de operacin.
Dos errores humanos simultneos de actividades recogidas o no en los manuales

de operacin.
Un fallo en un instrumento o equipo.
Un error humano unido a un error o fallo en un instrumento o equipo.
Otras causas menos crebles y que no deben analizarse a no ser que las consecuencias
de las mismas sean catastrficas son:
89
Fallo simultneo de dos instrumentos o equipos independientes.
Fallo de apertura de una PSV 1.
Por otra parte y por lo que respecta a las consecuencias, es necesario indicar que
deben recogerse y analizarse tanto las que tienen asociado un componente de riesgo como
las que delatan un fallo o problema en la operabilidad de la instalacin. Por ltimo han de
tenerse en cuenta diversas instalaciones que normalmente no aparecen en lo P&IDs como
son los drenajes, las protecciones contra incendios, duchas lavaojos, cortinas de agua, etc.
Todo lo anterior queda representado en las tablas HAZOP (ver figura 7.2.3.1.
Modelo tabla HAZOP).
Como resumen diremos que en esta etapa se han de identificar las causas crebles
ms relevantes y hemos de reconocer las consecuencias para todas las causas.
Evaluacin de consecuencias y establecimiento de recomendaciones
Una vez establecidas las consecuencias e identificadas las salvaguardias existentes,
para mitigar el alcance de las consecuencias o evitar la propia causa, puede que sea
necesario realizar alguna recomendacin.
La implementacin de una recomendacin determinada debe estar basada en la
consecucin de un menor riesgo, disminuir la severidad de la consecuencia o bien
disminuir la probabilidad de ocurrencia.
Las recomendaciones, en algunos casos, estn perfectamente definidas y el mejor
resultado parece obvio, por lo que en estos casos se deben acordar y anotar rpidamente
antes de pasar al siguiente punto de estudio.
En otros casos la necesidad de recomendacin es clara pero la solucin no es
inmediata, por lo que se necesitar discutir la solucin fuera del foro HAZOP y no alargar
el estudio con discusiones que pueden no llegar a ningn lado.
Asimismo puede ocurrir que no se ponga de acuerdo el equipo en la necesidad o no
de la aplicacin de una recomendacin. En este caso se anotar el punto y se resolver
fuera del foro HAZOP.
Nivel de riesgo
Recomendacin
Daos importantes sobre

equipos relevantes
Alarma independiente en BPCS y enclavamiento de parada
Daos medios en equipos

relevantes
Alarma independiente en BPCS sin enclavamientos si se

dispone de tiempo suficiente para evitar daos
Daos operativos graves
Alarma independiente en BPCS sin enclavamientos si se

dispone de tiempo suficiente para evitar daos
Daos operativos medios
Alarma en BPCS no independiente y procedimiento de

revisin peridica
Daos operativos leves o

medios no inmediatos
Procedimiento de actuacin despus de la deteccin
PSV: Pressure Safety Valve (Vlvula de Seguridad de Presin)
90
Tabla 7.2.3.1Criterio de recomendaciones
Las recomendaciones se anotarn en la tabla HAZOP, teniendo en cuenta las

siguientes puntualizaciones:
Las recomendaciones consensuadas por el equipo de trabajo, se anotarn en la

tabla HAZOP.
Si no hay acuerdo real de la recomendacin por parte del equipo la decisin final
deber ser externalizada, igualmente se anotar.
Se asignar un responsable nico a la recomendacin, tanto si es consensuada

como s no.
La redaccin de las recomendaciones debe ser clara, directa, concisa y

autoexplicativa.
Se deben utilizar verbos como: verificar, analizar, instalar, modificar, eliminar, etc.,
al comienzo de cada recomendacin para dejar con ms claridad lo que se pretende con la
recomendacin.
Seguimiento de las recomendaciones
Una vez terminada la sesin, el coordinador del equipo HAZOP, imprimir y
distribuir las recomendaciones que cada miembro tenga asignadas, en tablas que podran
tener el formato de la figura 7.2.3.4. Formato de distribucin de recomendaciones. El
coordinador solicitar peridicamente la contestacin de la recomendacin. En aquellos
casos donde la contestacin sea negativa a implantar un acuerdo del equipo HAZOP, o
bien la contestacin de un equipo de trabajo no satisfaga los criterios de seguridad seguidos
por el equipo, el coordinador del equipo HAZOP decidir no dar el visto bueno a la
contestacin y volver a reunir al grupo para intentar consensuar una solucin.
Una vez acabado el estudio y contestadas adecuadamente todas las recomendaciones,
el coordinador proceder a la edicin del mismo y ser entregado al jefe del proyecto.
Nmero de Recomendacin
Responsable de la Resolucin
Recomendacin
Resolucin de la Recomendacin
Fecha de Emisin
Firma del Coordinador
Fecha Resolucin
Firma Responsable
Figura 7.2.3.4 Formato distribucin de recomendaciones
Documentacin resultante del estudio HAZOP

El estudio HAZOP normalmente incluir los siguientes apartados:
1. Introduccin.
91
VB Coordinador
2. Descripcin de la metodologa HAZOP.

3. Identificacin del Estudio HAZOP, incluyendo:
3.1 Descripcin de las instalaciones objeto de estudio.
3.2 Descripcin de los principales enclavamientos.
3.3 Alcance del estudio analizado, nodos.
3.4 Documentacin disponible para la realizacin del estudio, P&IDs, Hojas de
clculo, etc.
4. Miembros del equipo HAZOP y asistencia.
5. Listado de nodos y desviaciones.
6. Tablas HAZOP.
7. Listado de recomendaciones.
8. Formato de distribucin de recomendaciones.
El mtodo HAZOP nos servir, en esta parte del ciclo de vida de seguridad, para
determinar los riesgos y peligros de un proceso y nos ayudar a determinar de una manera
bien estructurada y sistemtica a encontrar las Funciones Instrumentadas de Seguridad a
las que en una siguiente etapa debemos asignar un ndice SIL. Finalmente deberemos
implementar en la planta la solucin adoptada que cumpla con el SIL asignado. A
continuacin podemos ver una presentacin de los resultados tpicos de un HAZOP.
(Ver ANEXO B: Ejemplo HAZOP Sistema Antorcha)
92
De este estudio HAZOP se toman las recomendaciones que deben ser implementadas
en un futuro. Una vez implementadas en una posterior revisin del HAZOP se van
indicando aquellas que ya han sido realizadas aadiendo en las columnas del HAZOP la
columna Status y la columna Realizado (done).
[1]

[2]

[3]
[4]
Safety Integrity Level Selection. Ed Marzal and Eric Scharpf. published by ISA, 2002.
7.2.4 Revisin de la seguridad

Una vez realizado todo el estudio HAZOP es cuando realizaramos el PASO 1
Safety review del ciclo de vida de seguridad de nuestra organizacin ejemplo (ver figura
Figura 7.1.3. Ciclo de Vida de Seguridad SIS ejemplo y Figura 7.2.2.1. Fase Definicin
diseo de proceso). En esta etapa los peligros estn identificados, y que salvaguardias
tenemos colocadas apropiadamente. Antes de continuar y proponer la instalacin de un SIS
se ha de considerar las alternativas que nos da la proteccin por capas y considerar la
93
instalacin de sistemas mecnicos de proteccin u otras alternativas. Si an con todo esto

sigue habiendo restos de riesgos no tolerables pasaremos a la instalacin de un SIS.
7.3
Asignacin del SIL objetivo
Del anlisis de riesgos (HAZOP) podemos identificar las SIF (Funciones

Instrumentadas de Seguridad). Las SIF recomendadas se encuentran en la columna
recomendaciones (open points) del HAZOP mientras que las SIF existentes se encuentran
en la columna protecciones (safeguards o countermeasures). Recordemos que una SIF es
una funcin que engloba equipos y acciones que son necesarios para identificar una
emergencia y actuar adecuadamente para llevar el proceso a un estado seguro. El SIL se
asignar a cada SIF basndose en la reduccin de riesgo requerida, el SIL no es una
medida del riesgo del proceso, sino una medida de la disponibilidad del sistema de
seguridad que es necesario para mantener el riesgo del proceso en el nivel que hemos
fijado como aceptable.
Como ya se indic no existen reglamentaciones que asignen un nivel SIL a un
proceso en particular, se trata de una decisin totalmente corporativa, de la compaa. Lo
que s existe son agrupaciones de industrias (p. ej. ISA) que proporcionan un foro de
intercambio de experiencias entre diferentes compaas.
Como sucede con el anlisis de riesgos existen diferentes mtodos para definir el
ndice SIL que debemos dar a una SIF.
La asignacin y clculo del SIL requerido puede hacerse mediante 2 tipos de
mtodos: cualitativos o cuantitativos.
7.3.1 Mtodos cualitativos
Se trata de tcnicas de anlisis crtico que no recurren al anlisis numrico. Agrupan
metas numricas, produciendo categoras ms amplias para la reduccin del riesgo. Su
objetivo principal es identificar:
a) Riesgos.
b) Efectos: incidentes y accidentes cuando se materializan los riesgos.
c) Causas: orgenes o fuentes de los riesgos.
Los mtodos cualitativos ms usados son:
Grfico de riesgo
Recogido por la norma IEC 61511 parte 3 y clasifica el ndice SIL (1 a 4) de acuerdo
con la normativa alemana DIN V 19250 (AK1 a AK8).
Figura 7.3.1.1 Grfico de Riesgo recogido en el estndar IEC 61508 y correspondencia SIL
94
El ndice SIL se determina con este grfico valorando cualitativamente los siguientes
cuatro parmetros:
Consecuencia (C): Nmero promedio de fatalidades que pudieron ocurrir como
resultado del peligro. Se determina calculando el nmero promedio de personas en el rea
de exposicin, cuando est ocupada, teniendo en cuenta su vulnerabilidad frente al evento
peligroso.
C1: Daos mnimos.
C2: Daos serios/permanente a una o ms personas.
C3: Muerte de varias personas.
C4: Muerte de muchas personas.
Porcentaje de ocupacin (F): Probabilidad de que el rea expuesta se encuentre

ocupada. Se determina calculando la fraccin de tiempo en la que el rea se encuentra
ocupada durante el periodo normal de trabajo.
F1: Raro o poco expuesto en la zona de riesgo.
F2. Frecuente o permanente en la zona de riesgo.
Probabilidad de evitar el Peligro (P): Probabilidad de que las personas expuestas

sean capaces de evitar el peligro, s el sistema de proteccin falla. P debe ser seleccionada
solo si se proveen de medios independientes para alertar al personal de que el SIS ha
fallado, se proveen de medios independientes para detener el proceso y permitir al personal
dirigirse hacia una zona segura.
P1: Posible en determinadas circunstancias.
P2: Casi imposible.
Probabilidad de ocurrencia del evento (W): Nmero de veces por ao que el evento
peligroso pudiera ocurrir, sin el SIS.
W1: Poco probable.
W2: Probable.
W3: Muy probable.
Los valores de C, F, P y W son unos valores corporativos y sin asignacin de valores,

no obstante la norma IEC 61511 Parte 3 toma unas referencias y da valores a los
parmetros C, F, P y W con lo que el grfico de riesgo pasa a denominarse Grfico de
Riesgo Calibrado y pasando a ser un mtodo semicuantitativo. La siguiente tabla recogida
por la norma IEC 61511 resume las referencias acordadas y que unifican el criterio a la
hora de cuantificar los parmetros.
95
96
Matriz de riesgo 1
La matriz de riesgos es uno de los mtodos ms utilizados en la asignacin del SIL
en industrias de proceso qumicas y petroqumicas. La aplicacin de esta metodologa
consiste en la valoracin de la probabilidad de ocurrencia de un accidente y la severidad de
sus consecuencias. Esta metodologa est recogida en multitud de estndares,
recomendaciones prcticas y procedimientos internos de compaas. Tanto la normativa
ANSI/ISA S84 como la IEC 61511 parte 3 recogen esta metodologa y plantean matrices
de riesgo. La matriz de riesgo utilizada en procesos industriales a menudo incorpora un
tercer eje donde se tiene en cuenta la efectividad de los sistemas de proteccin (ANSI/ISA
S84) o el nmero de capas de proteccin incluyendo el SIS (IEC 61511).
La tabla 7.3.1.1 muestra tres categoras tpicas de valorar cualitativamente la
severidad del evento peligroso. Es comn encontrar matrices con ms de tres categoras.
Severidad
Impacto
Menor
Inicialmente limitado al rea local del evento, con potencial de una consecuencia
mayor si no se toman acciones correctivas. Daos menores en equipos, no paro del
proceso. Perjuicios a personas y medio ambiente temporales.
Seria
Daos a equipos. Paro corto del proceso. Perjuicios serios al personal y medio
ambiente. Puede causar heridas de consideracin o daos materiales
Extenso
Provoca una parada larga del proceso, grandes daos en equipos y consecuencias
catastrficas al medio ambiente y a las personas. Tiene una severidad 5 veces o ms
que la severidad seria
Tabla 7.3.1.1 Severidad del evento peligroso
La tabla 7.3.1.2 muestra tres categoras tpicas para estimar la probabilidad de

producirse un evento peligroso, sin tener en cuenta el impacto de las capas de proteccin
existentes. Son datos genricos y pueden ser utilizados siempre que no se disponga de
datos especficos de una planta o tipo de empresa. Si se dispone de datos especficos de
probabilidad de ocurrencia de eventos peligrosos asociados a un tipo de industria, estos
sern los que se utilicen. Es comn encontrar matrices con ms de tres categoras de
probabilidad de ocurrencia.
Probabilidad de ocurrencia
Tipos de eventos
Frecuencia/ao
Clasificacin
Eventos como fallos mltiples de diversos instrumentos o vlvulas,

mltiples errores humanos en un ambiente libre de estrs, o fallo
espontneo de recipientes de proceso.
f < 10-4
Baja
Eventos como fallos mltiples de instrumentos o vlvulas dobles, o

emisiones masivas de productos peligrosos en reas de
carga/descarga
10-4 < f < 10-2
Moderada
f > 10-2
Alta
Eventos como fugas, fallos de instrumentos o vlvulas

individualmente, errores humanos que resulten en pequeas
emisiones de productos peligrosos.
Tabla 7.3.1.2 Probabilidad de evento peligroso sin considerar PLs
Tambin definida como matriz de peligro
97
Los valores de las tablas 7.3.1.1 y 7.3.1.2 son proporcionados como gua y estn
basados en la informacin recogida en el libro Guidelines for Safe Automation of
Chemical Processes 1 y recogido en la norma IEC 61511 parte 3 anexo C.
La figura 7.3.1.2 Matriz de riesgo segn IEC 61511, muestra una matriz que evala
el riesgo mediante la combinacin de probabilidad de que suceda el evento peligroso y la
severidad de la consecuencia del evento junto con un tercer eje donde se tiene en cuenta la
efectividad de los sistemas de proteccin (capas de proteccin), incluido el SIS. En otras
palabras, la matriz se basa en los criterios de la experiencia operacional y el riesgo de la
compaa, la filosofa de diseo, operacin y proteccin de la compaa, y el nivel de
seguridad que la compaa ha establecido como su nivel objetivo de seguridad. Se ha de
tener en cuenta que el sistema bsico del control de proceso (BPCS), el sistema de alarmas
y los operadores de planta est incluido en la capa de proteccin y no deben tenerse en
cuenta para el tercer eje.
Figura 7.3.1.2 Matriz de peligro segn IEC 61511
Guidelines for Safe Automation of Chemical Processes Guas para la Automatizacin Segura de los
Procesos Qumicos. New York: American Institute of Chemical Engineers (AlChE), 1993.
98
Como ya se ha indicado en varias ocasiones la matriz y la definicin del SIL se basa

en los criterios de riesgo, el diseo, la operacin y la filosofa de proteccin de la
compaa. Es el grupo de trabajo del HAZOP quien determina la consecuencia y la
probabilidad de ocurrencia y partiendo de estos valores obtendremos el SIL objetivo de la
funcin instrumentada de seguridad (SIF).
A continuacin tenemos otro ejemplo de matriz de riesgo que se basa la cantidad de
riesgo de la funcin de seguridad a analizar en funcin de cuatro categoras para la
probabilidad y severidad. Lo que hace es definir el riesgo tolerable en forma de matriz de
peligro (figura 7.3.1.3)
Figura 7.3.3.1 Forma matricial valoracin del riesgo
Utilizando esta matriz de peligro hemos de identificar la probabilidad de ocurrencia y

consecuencia, teniendo en cuenta las capas de proteccin, a excepcin de la SIF propuesta.
Todos los riesgos extremos han de ser reducidos y los riesgos moderados sern reducidos
cuando sea prctico (modelo ALARP)
As hemos de seleccionar el SIL que logre el nivel de riesgo tolerable requerido,
basndose en la reduccin de la frecuencia de ocurrencia.
Uso y ejemplo del mtodo Matriz de riesgo

Como hemos indicado cada compaa u organizacin normalmente utiliza uno de los
mtodos aqu descritos para la seleccin del SIL, pero normalmente no como aqu se ha
descrito, sino que crean sus propios mtodos basados en lo que indica la norma IEC 61511
y la IEC 61508, as veremos ms adelante un modelo real aplicable al sector qumico que
utiliza una Matriz de Riesgo propia confeccionada por expertos de la propia compaa.
Si miramos el ciclo de vida de seguridad (Figura 7.1.3 Ciclo de Vida de Seguridad
SIS ejemplo), en la fase Asignacin SIF al diseo del proceso es cuando evaluaremos si es
necesario la implantacin de un sistema instrumentado de seguridad, discutido en el paso
previo que es el anlisis de riesgos.
99
Figura 7.3.1.3 Fase asignacin SIF
El paso siguiente al anlisis de riesgos es seleccionar un ndice SIL meta para cada
funcin instrumentada de seguridad (SIF). Por tanto es en esta fase donde el equipo de
diseo propondr un SIL para cada SIF identificada para ser implementada en el SIS.
Como herramienta para determinar la clase de riesgo y el ndice meta SIL en el sector
qumico se utiliza mayoritariamente la matriz de riesgo. Aunque menos utilizado, el
mtodo grfico de riesgos tambin suele utilizarse. Durante esta fase se finalizan los
P&IDs para representar las funciones del sistema bsico del control de proceso (BPCS) y
se introducen los cambios en los P&IDs por aplicacin del SIS.
El nivel SIL define el nivel de actuacin necesario para alcanzar el objetivo de
seguridad del proceso. El nivel SIL define un rango de probabilidad de fallo en demanda
medio (PFDavg) que la funcin instrumentada de seguridad debe alcanzar. Como mayor
sea el SIL, mayor ser la disponibilidad requerida a la funcin de seguridad SIF. La
siguiente tabla identifica los PFDavg de cada nivel SIL. El valor inverso del PFD es el
Factor de Reduccin de Riesgo (RRF).
SIL
PFDavg
RRF
Disponibilidad
10-4 -> 10-5
10000 -> 100000
0.9999 -> 0.99999
10-3 -> 10-4
1000 -> 10000
0.999 -> 0.9999
10-2 -> 10-3
100 -> 1000
0.99 -> 0.999
10-1 -> 10-2
10 -> 100
0.9 -> 0.99
Tabla 7.3.1.3 ndice SIL
Dnde:
RRF = 1 / PFDavg
(5)
Disponibilidad de Seguridad = (1 RRF) x 100
(6)
La prestacin de una funcin de seguridad puede ser mejorada aadiendo

redundancia, disminuyendo el periodo de test de la funcin, usando diagnsticos de
deteccin de fallos, etc.
100
Una vez realizado el HAZOP y analizadas las protecciones que un proceso de una
planta necesita, se ha de distinguir entre las que estn claramente relacionadas con las
tareas de seguridad y las que son requeridas por la propia operacin de la planta. Por lo
tanto, podemos clasificar las funciones de control de proceso en:
Funciones de Operacin. Se utilizan para la correcta operacin de la planta en

su comportamiento normal. Incluye medida, control e histrico de todas las
variables relevantes del proceso. Las funciones bsicas de control de proceso se
encuentran trabajando en operacin continua o listas para actuar antes de que se
requiera una actuacin del SIS. Estas funciones no son el objetivo del SIS.
Funciones de Monitorizacin. Este tipo de funciones actan durante un

momento especfico de operacin del proceso de una planta cuando una o ms
variables salen fuera del rango normal de operacin. Estas funciones alertan al
personal de operacin con alarmas los fallos permisibles del proceso de la planta,
o inducen a intervenciones manuales o automticas en el proceso. Estas funciones
no son el objeto del SIS, pero han de estar diseadas de acuerdo a unas buenas
prcticas de ingeniera y a requerimientos de autoridades legales o regulatorias.
Una gua vlida para la gestin de alarmas la encontramos en EEMUA 191:
Alarm systems - a guide to design, management and procurement.
Las funciones de operacin y funciones de monitorizacin estn recogidas e

implementadas en lo que llamamos Funciones Bsicas del Control de Proceso y son
ejecutadas en el BPCS. No es recomendable que este tipo de funciones se implementen en
un SIS.
Funciones Instrumentadas de Seguridad. Se usan en el proceso de plantas para

reducir cualquier riesgo que exceda el nivel del riesgo tolerable. Este riesgo
existe s un dao serio a personas o medio ambiente no puede ser evitado por otro
sistema.
El objetivo de esta clasificacin es tener los requerimientos adecuados para cada tipo
de sistema con un coste econmico razonable. El coste econmico de un lazo de seguridad
es alto, comparado con un lazo bsico de control.
Figura 7.3.1.4 Capas de prevencin
Las funciones del SIS tienen una baja tasa de demanda al contrario de las funciones
del BPCS, esto es debido a la baja probabilidad de que un evento peligroso ocurra.
101
Ejemplo de matriz de riesgo

A continuacin se expone una matriz de riesgo, que podra ser aplicada por cualquier
industria qumica y que cumple con la norma IEC 61511.
Riesgo se define como el producto de la probabilidad de que un evento peligroso
ocurra y la severidad de las consecuencias del evento.
Riesgo
R=PxS
(7)
La matriz de riesgos utilizada como herramienta de valoracin del riesgo, adopta

como filosofa de empresa el mximo riesgo aceptable permitiendo determinar medidas
adicionales requeridas para reducir el riesgo. El mximo riesgo aceptable se basa en aquel
que es aceptado generalmente por el entorno pblico general. Una valoracin cuantitativa
del riesgo para plantas qumicas puede tericamente realizarse, pero es poco fiable por la
poca estadstica existente en accidentes y en ocasiones las plantas y procesos son nicos.
Con la matriz de riesgo obtenemos y determinamos la clase de riesgo. Los
requerimientos mnimos para las medidas de reduccin de riesgo se basan en la
probabilidad de la causa raz, expresada como una frecuencia (P) de que ocurra el evento
peligroso y la severidad (S) de sus consecuencias.
Figura 7.3.1.5 Matriz de Riesgo
Dnde:
Probabilidad
P0: Ocurre una vez por ao o ms. Ocurrido un par de veces.
P1: Ocurre una vez cada 10 aos. Ocurrido una vez.
P2: Ocurre una vez cada 100 aos. Casi ocurre, el accidente se evit por poco.
P3: Ocurre una vez cada 1000 aos. Nunca pasa pero es plausible.
P4: Ocurre menos de una vez cada 10000 aos. Razonablemente no es un escenario
creble.
Severidad
S1: En el lugar: potencial para una o ms vctimas.
S2: En el lugar: potencial para uno o ms daos o lesiones serias (irreversibles).
S3: En el lugar: potencial para uno o ms daos en prdida de tiempo.
S4: En el lugar: potencial de daos menores.
102
De la matriz de riesgo obtenemos la clase de riesgo con su reduccin de riesgo

asociado segn la siguiente tabla.
Clase de
riesgo
Nivel de Riesgo
Medidas de Reduccin de Riesgo
Extremo, riesgo totalmente

inaceptable
Cambio en el proceso o diseo
Muy grande, riesgo inaceptable
Cambio en el proceso o diseo, o

adopcin de un mecanismo de
proteccin SIL 3 (PSV, funcin E&I)
Grande, riesgo inaceptable
Cambio de proceso o diseo, o

adopcin de un mecanismo de
proteccin SIL 2 (PSV, funcin E&I)
Medio, riesgo aceptable, que debera

ser reducido
Mecanismo de monitorizacin de alta

calidad con pruebas de funcionalidad
documentadas o procedimiento
administrativo de alta calidad
Bajo, riesgo aceptable, que puede ser

reducido
Mecanismo de monitorizacin o
procedimiento administrativo
Muy bajo, riesgo aceptable
Ninguna
Tabla 7.3.1.4 Clase de Riesgo y medidas de Reduccin de Riesgo
En general, el criterio que suele seguirse a la hora de asignar Funciones

Instrumentadas de Seguridad (SIF) es que solo SIL 2 y SIL 3 requieren Funciones
Instrumentadas de Seguridad (SIF). Las funciones con un SIL inferior a 2 son consideradas
funciones de monitorizacin y por tanto, parte del Sistema Bsico de Control de Proceso
(BPCS). Funciones con un SIL mayor de 3 no sern implementadas y, por tanto, precisan
de una modificacin del proceso y/o del diseo.
Cmo usaremos la Matriz de Riesgo?, ejecutaremos los siguientes pasos:
1.
Identificar los peligros.
2.
Identificar las desviaciones potenciales.
3.
Identificar la causa raz de cada desviacin.
4.
Determinar el resultado de un efecto potencial.
5.
Para cada causa raz determinar:
Severidad de las consecuencias potenciales.
Probabilidad de la causa raz principal para aquella consecuencia.
6.
Determinar el riesgo en la matriz.
7.
Determinar si son necesarias medidas de reduccin de riesgo.
8.
Determinar si una mayor reduccin de riesgo est justificada.

103
Una vez realizado el HAZOP, o bien mientras se est realizando, se puede ir

indicando que funciones de seguridad son necesarias, incluidas las instrumentadas, para
conseguir un riego tolerable. Asimismo a estas funciones se les va asignando un ndice SIL
de tal forma en el apartado Counter-measures (salvaguardias) y se indica como
recomendacin u Open points la necesidad de instalar una SIF (Referirse al captulo 7.2.3
Metodologa HAZOP). (Ver ANEXO B: Ejemplo HAZOP y ANEXO C: Asignacin SIL a
de las SIF. Matriz de riesgo).
No est recomendado su uso para dividir un escenario en muchos fallos individuales
y usar aquellos pares frecuencia/consecuencia separadamente, esto supondra resultados en
frecuencia ms bajos y aunque la consecuencia siempre seria la misma, la clase de riesgo
de cada fallo individual baja, aunque se seleccionase el mayor de las clases de riesgo
individuales resultara o podra resultar una clase de riesgo errnea (demasiado baja) ya
que el riesgo de todos los pares es aditivo.
Ejemplo 1: Tenemos como escenario una sobrepresin que puede causar rotura de
un recipiente con un potencial de causar daos serios (S2).
Los eventos iniciadores pueden ser fallos en el control de presin, fuego, etc.
La frecuencia del escenario podra ser P2 (1 vez cada 100 aos).
Por tanto la clase de riesgo resultar C.
Separamos el escenario en muchos fallos:
Sensor mal calibrado.
Sensor sucio.
Cableado roto.
Error en la programacin del DCS.
Fallo del suministro elctrico.
Prdida del aire de instrumentacin.
Solenoide bloqueado.
Eje de la vlvula roto.
Vlvula de bola bloqueada.
Control en manual.
Etc.
Ahora la mayor frecuencia individual es menor o igual a P3 (1 cada 1000 aos),
nunca ha pasado pero es plausible de ocurrir. Como la consecuencia continua siendo la
misma S2 la clase de riesgo resultante es menor o igual a D 1.
Como utilizar la Matriz de Riesgos: Si tratando con consecuencias poco probables,
combinamos la frecuencia de un evento iniciador con la ms severa pero no probable
consecuencia resultara una Clase de Riesgo incorrecta. Separar pares de severidad y su
correspondiente probabilidad y determinar la Clase de Riesgo para cada par usando la
Clase de Riesgo ms severa para representar el escenario.
1
Los valores de consecuencias y frecuencias se extraen de la base de datos de EXIDA
104
Ejemplo 2: Una bomba de 55 kW arranca mientras est bloqueada,

Resolucin por escenarios:
CASO 1. El fluido es agua, el material de construccin es dctil. Tiene una
frecuencia de ocurrencia P2. Como consecuencia la bomba coge sobrepresin y se abre. El
dao de la bomba y el dao potencial del rea o lesiones o daos debido a la onda
expansiva: S3. Por tanto Clase de Riesgo E.
CASO 2. El fluido es altamente txico, el material de construccin es dctil. Tiene
una frecuencia de ocurrencia P2. Como consecuencia la bomba coge sobrepresin y se
abre. Daos en la bomba, dao potencial del rea o lesiones o daos debido a la onda
expansiva, potencial de daos serios o vctimas debido a la nube txica: S1. Por tanto
Clase de Riesgo B.
CASO 3. El fluido es agua, el material de construccin es frgil. Tiene una
frecuencia de ocurrencia P2. Como consecuencia la bomba coge sobrepresin y se abre.
Dao significante local debido a la proyeccin de escombros (efecto metralla): S?. Por
tanto la clase de riesgo ?
Daos en la bomba, dao significante local debido a la proyeccin de escombros (efecto
metralla): Si el rea es normalmente con paso de personal o bien el recipiente tiene
contenido altamente txico, potencial de vctimas: S1. Clase de Riesgo B.
metralla): S?. rea raramente con personal y recipientes cercanos no crticos: S?.
Los casos 3 y 5 no resuelven correctamente el problema ya que no tienen en cuenta si
en el momento del accidente hay personal en la zona. Ahora formamos pares para resolver
el problema:
PAR Primero: Frecuencia mientras nadie est presente: P2. Como consecuencia la
bomba coge sobrepresin y se abre. Daos en la bomba, dao significante local debido a la
proyeccin de escombros (efecto metralla) pero no hay efectos sobre las personas: S4.
Clase de Riesgo F.
PAR Segundo: Alguien est presente en la zona durante aproximadamente 2 horas al
da (10%), frecuencia mientras alguien est presente P3. Daos en la bomba, dao
significante local debido a la proyeccin de escombros (efecto metralla), potencial de
daos o lesiones serias: S2. Clase de Riesgo D.
PAR Tercero: Alguien est presente en la zona durante aproximadamente 2 horas al
da (10%), frecuencia de que alguien estando presente y reciba el impacto de los
escombros con fatalidad: P4. Como consecuencia la bomba coge sobrepresin y se abre.
metralla), potencial de vctimas: S1. Clase de Riesgo E.
La forma de resolver el problema por pares es comparar los pares y coger la Clase de
Riesgo ms alta. Para este caso sera la D.
Una vez ya tenemos determinados los niveles SIL de las funciones instrumentadas de
seguridad (SIFs) y representadas las funciones en los P&IDs pasamos a realizar el paso 2
105
de Revisin de Seguridad (Paso 2 Safety Review) segn el ciclo de vida de seguridad (ver
figura 7.1.3 Ciclo de Vida de Seguridad ejemplo y figura 7.3.1.3 Fase asignacin SIF).
7.3.2 Mtodos cuantitativos
Algunos ingenieros no se sienten cmodos con el uso de mtodos puramente
cualitativos, ya que consideran que son mtodos con baja repetibilidad. Pueden estar en lo
cierto siempre y cuando los grupos o equipos destinados a utilizar estos mtodos no tengan
el suficiente entrenamiento e inputs de casos similares.
El mtodo cuantitativo ms representativo es el mtodo LOPA (Anlisis de las Capas
de Proteccin Layer of Protection Analysis).
Mtodo LOPA
De entre todas las metodologas para calcular el ndice SIL reflejadas en los
estndares y normativas IEC 61511 y ANSI/ISA-84.00.01, el anlisis LOPA es la tcnica
ms exhaustiva por tener un carcter cuantitativo. El mtodo LOPA fue desarrollado por el
American Institute of Chemical Engineers (AIChemE 1993). Esta metodologa esta
recogida tanto por la normativa ANSI/ISA-S84 como por la IEC 61511 parte 3.
Como vimos en el primer captulo de este trabajo y reflejamos en la siguiente figura
7.3.2.1, las capas de proteccin en una instalacin de proceso se dividen en capas de
prevencin, destinadas a prevenir el accidente y capas de mitigacin, destinadas a reducir
las consecuencias del accidente.
Figura 7.3.2.1 Capas de proteccin
Esta tcnica se basa en el anlisis objetivo de las distintas capas de proteccin de que
dispone un proceso, evaluando el riesgo del mismo y comparndolo con el criterio de
riesgo tolerable definido por la propiedad, para decidir si las capas de proteccin son
adecuadas o si es necesario mejorar las existentes o introducir capas adicionales.
106
El mtodo arranca con los datos obtenidos en al anlisis HAZOP (HAZard and
Operability analysis) y explica, para cada peligro identificado en la documentacin, la
causa inicial y las capas de proteccin que previenen y mitigan el peligro. Esto permite
calcular la cantidad de reduccin de riesgo obtenido y analizar la necesidad de reducir an
ms el riesgo. Si se requiere una mayor reduccin de riesgo y tiene que ser obtenida a
travs de una funcin instrumentada de seguridad (SIF), este mtodo nos permite
determinar el SIL apropiado de la SIF.
El primer paso requiere determinar un nivel de riesgo tolerable. Un escenario tpico
podra ser el que muestra la tabla 7.3.2.1 donde se expresa la probabilidad de que un
accidente provoque una vctima en un ao. Tablas similares pueden confeccionarse para
impacto medioambiental, prdida de produccin, daos a equipos, etc.
Mximo riesgo tolerable
para operarios
Riesgo residual
para operarios
Mximo riesgo tolerable

para pblico
Riesgo residual
para pblico
10-4
10-6
10-4
10-6
Tabla 7.3.2.1 Probabilidad de riesgo tolerable ejemplo
Los niveles de riesgo tolerables quedan bajo criterio de los responsables de la

compaa e incluso pueden intervenir rdenes gubernamentales, si bien existen unos
estndares ampliamente aceptados por las compaas y gobiernos que se resume en la tabla
siguiente:
Consecuencias
Frecuencia
objetivo
tolerable
por ao
Impacto inicialmente limitado a un rea local del evento

con un potencial para una consecuencia ms amplia si no
se toman acciones correctivas. Fugas dentro de barreras de
contencin cuyas consecuencias al ambiente son conocidas
(ruido, olores, impacto visual detectable, derrame externo
controlable en un da)
1.0 x 10-3
Es aquella consecuencia que podra causar cualquier lesin

o fatalidad seria en el lugar o fuera de l, o bien un dao a
la propiedad econmico tanto dentro (1 M $) como fuera (5
M $). Fugas fuera de los lmites sine efectos adversos (el
derrame externo se puede controlar en pocos das)
1.0 x 10-4
Catastrfico Es aquella consecuencia que es 5 o ms veces severa que

un accidente de consecuencias SEVERAS. Fuga fuera de
(Extensiva)
los lmites de contencin con efectos adversos (derrame no
controlable en pocos das)
1.0 x 10-5
Nivel del
impacto del
evento
Menor
Severa
Tabla 7.3.2.2 Probabilidad de riesgo tolerable aceptada y basada en la IEC 61511 Parte 3 Anexo C
107
Un segundo paso implica determinar la probabilidad del evento inicial de los sucesos
no deseados. Pueden ser eventos externos (p. ej. impactos de rayos) o fallo de una de las
capas (p. ej. Fallo del sistema de control de una vlvula). Para valorar estas probabilidades
necesitamos valores numricos. Normalmente son valores basados en registros histricos o
datos de ndice de fallo recogidos en bases de datos y publicadas por organizaciones como
EXIDA 1, OREDA 2, etc. La siguiente tabla 7.3.2.3 muestra un ejemplo de probabilidad de
eventos iniciales.
Evento inicial
Frecuencia (por ao)
Impacto de un rayo
10-3
Fallo lazo Sistema de Control
10-1
Fallo operacin
10-2
Fuga por rotura junta
10-2
Tabla 7.3.2.3 Probabilidad de eventos iniciales.
Un tercer paso requiere determinar la probabilidad de fallo en demanda (PFD) de las

capas independientes de proteccin (IPL) diseadas o existentes (control de proceso,
alarmas, vlvulas de seguridad, etc.). La siguiente tabla 7.3.2.4 muestra un ejemplo de la
probabilidad de fallo en demanda que se puede asignar a diferentes niveles.
IPL Pasiva
PFD
Dique
10-2
Cortafuegos
10-2
Muro de contencin
10-3
Detector de fuego
10-2
IPL Activa
Vlvula de alivio
10-2
Disco de ruptura
10-2
BPCS
10-1
Tabla 7.3.2.4 PFDs de diferentes IPLs
La accin del operador tambin es considerada como un IPL y tiene una

consideracin y si consideramos que el operador est siempre presente, tiene suficiente
entrenamiento para dar una respuesta apropiada, tiene tiempo para actuar (p. ej 15 minutos)
y tiene indicacin del problema podemos considerar un PFD de 0,1. Si no se cumplen las
condiciones anteriores entonces el PFD ser de 1.
Safety Equipment Reliability Handbook - 3rd Edition. Published by EXIDA.
Offshore Reliability Data Handbook - 5th Edition. Published by OREDA.
108
Una capa de proteccin debe ser.
Especfica: Una IPL est diseada solo para prevenir o mitigar las consecuencias
de un evento potencialmente peligroso.
Independiente: Una IPL es independiente de otra capa de proteccin asociada

con el peligro identificado.
Confiable: Ha de hacer el trabajo para lo que fue diseada.
Verificable: Est diseada para facilitar una validacin peridica de las

funciones de proteccin para las que fue diseada.
Finalmente en un ltimo paso calcularemos la frecuencia de todas las rutas que se

originan desde el evento iniciador, multiplicando la frecuencia del evento iniciador por
cada una de las probabilidades que se apliquen de las diferentes capas y compararemos esta
frecuencia con el criterio de riesgo tolerable. Si no se cumple este criterio aadiremos
capas de proteccin.
Riesgo tolerable (f) Riesgo Inherente (f) PFD todas las capas
(1)
Ejemplo
Se trata de un ejemplo simple en el que el nivel de un tanque de almacenaje de
hexano, material combustible, es controlado por un control de nivel que acta sobre una
vlvula de entrada de producto. Si se sobrellena el tanque, el lquido de hexano ser
liberado por una vlvula de venteo y este ser contenido por un dique. El anlisis de riesgo
realizado mediante HAZOP nos indica que el control de nivel puede fallar, que el lquido
puede escaparse del dique, que una fuente de ignicin puede prender el hexano y por tanto
puede ocurrir un accidente con vctimas. Se pretende determinar si existe alguna
instalacin que permita reducir el riesgo al nivel deseado por la organizacin, o si algn
cambio de diseo es requerido.
Figura 7.3.2.2 Ejemplo LOPA
La compaa establece un riesgo tolerable de 1 x 10-5 vctimas mortales y un riesgo

tolerable de fuego de 1 x 10-4.
En este ejemplo el evento inicial sera un fallo en el sistema de control, que se estima
en 0,1 (por definicin).
109
La nica capa de seguridad existente es el dique, que tiene un PFD estimado de 0,01.
Las alarmas y por tanto la accin del operador no se estiman ya que la causa inicial es el
sistema de control, por tanto no puede generar alarmas.
La compaa toma un criterio conservativo e indica que si el producto sale fuera del
dique la probabilidad de ignicin es del 100%.
La probabilidad de que haya alguien en el rea afectada mientras ocurre el suceso se
estima en 50%. Y finalmente la probabilidad de que alguien en el rea muera debido al
accidente es del 50%.
La siguiente figura muestra la versin LOPA del rbol de eventos.
Figura 7.3.2.3 Versin LOPA rbol de eventos
Como resultados la probabilidad del accidente resultante es igual a la probabilidad

del evento inicial, multiplicada por cada una de las probabilidades de fallo en demanda
(PFD) de todas las capas de proteccin. Aplicando la ecuacin (1) obtenemos:
Probabilidad de fuego es: 0,1 x 0,01 x 1 = 10-3
Probabilidad de Fuego con vctimas es: 0,1 x 0,01 x 1 x 0,5 x 0,5 = 2,5 x 10-4
Como riesgo tolerable objetivo para fuego es de 10-4 y el obtenido es 10-3 vemos
que el sistema no alcanza el objetivo deseado con un factor de 10 (RRF).
El objetivo de riesgo tolerable de vctimas es de 10-5 y el obtenido es de 2,5 x 10-4
por lo que no encuentra el valor objetivo por un factor 25 (RRF). Una posible solucin
sera instalar una funcin de paro por nivel alto del tanque.
Para calcular el SIL objetivo sabemos que:
PFD = Riesgo tolerable / Riesgo anticipado
(2)
RRF = 1 / PFD
(3)
Para alcanzar el riesgo tolerable para fuego:

PFD = 10-4 / 10-3 = 10-1 ;
RRF = 10
Para alcanzar el riesgo tolerable para el caso fuego con vctimas:

PFD = 10-5 / 2,5 x 10-4 = 4x 10-2;
RRF = 25
Por lo tanto, el diseo actual no cumple con el valor requerido de seguridad por la
compaa. Se requiere una SIF con un factor de reduccin de riesgo mayor de 25, por tanto
110
un PFD = 0,04. Esto significa un lazo de seguridad SIL 1 pero con un RRF por encima de
25 (Ver tabla 7.3.1.3 ndice SIL).
SIL
PFDavg
RRF
Disponibilidad
10-1 -> 10-2
10 -> 100
0.9 -> 0.99
La siguiente figura muestra un ejemplo de hoja de trabajo LOPA.

Escenario n:
Equipo n:
Escenario: Sobrellenado del tanque de

hexano. Derrame no contenido por el
dique
Fecha:
Descripcin
Probabilidad
Consecuencia
Fuga de hexano fuera del dique debido a

un sobrellenado del tanque y fallo del
tanque con potencial de ignicin y
fatalidad
Riesgo tolerable
Riesgo mximo tolerable de fuego
< 1 x 10-4
Riesgo mximo tolerable de fatalidad
< 1 x 10-5
Evento inicial
Frecuencia por ao
Fallo lazo de control BPCS
0,1
Modificadores de condicin (si aplica)

Probabilidad de ignicin
Probabilidad de ocupacin del rea
0,5
Probabilidad de fatalidad
0,5
Otras
N/A
2,5 x 10-2
Frecuencia de consecuencias no mitigadas

IPL Capas Independientes de Proteccin
1 x 10-2
Dique (existente)
Salvaguardas (no IPLs)
Intervencin del operador no es
independiente como capa ya que depende
de una alarma generada por el BPCS y el
fallo de este es causa inicial del evento.
1 x 10-2
PFD total para todas las IPLs
2,5 x 10-4
Frecuencia de la consecuencia mitigada

Riesgo tolerable objetivo alcanzado?: No. Se requiere SIF
Acciones requeridas:
Aadir una SIF con un RRF mnimo de 25 (PFD como mximo de 4 x 10-2)
Mantener el dique como una IPL.
Dpto. responsable del trabajo: Ingeniera de Control e Instrumentacin
Persona responsable: XXXXXX
Figura 7.3.2.4 Ejemplo hoja de trabajo LOPA
111
Fecha: Julio 2011
[1]

[2]
[3]
Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published by ISA, 2002.
[4]
[5]
Artculo: Techniques for Assigning A Target Safety Integrity Level, Angela E. Summers, Published in
ISA Transactions 37 (1998).
[6]
Artculo: Methods of determining Safety Integrity Level (SIL). Requeriments Pros and Cons, W G
Gulland, Published by Springer-Verlag London Ltd of the Safety-Critical Systems Symposium.
Febrero 2004.
[7]
[8]
Seminario: PAS Process Safety Seminar. Luis Garca (CFSE). Automation and Drives, SIEMENS.
7.3.3 Revisin de la seguridad

Una vez realizada la asignacin del nivel SIL de cada funcin de seguridad a
implementar en nuestro sistema es cuando realizaramos el PASO 2 Safety review del
ciclo de vida de seguridad de nuestra empresa (ver figura Figura 7.1.3. Ciclo de Vida de
Seguridad SIS ejemplo y Figura 7.3.4).
En el paso 2 de revisin de seguridad en el ciclo de vida, el equipo del proyecto
definir que funciones pasarn a formar parte del sistema de proteccin de equipos y como
estos equipos debern ser diseados y probados. En esta etapa de revisin, cada peligro del
proceso a ser mitigado o llevado a un nivel de riesgo tolerable usando un SIS ser
documentado ya que es deseable que todas las decisiones tomadas sean entendidas en
cualquier tiempo (p. ej. en futuras modificaciones de planta). En particular se
documentarn los siguientes apartados:
ndice SIL propuesto.
Descripcin del peligro.
Descripcin de la funcin instrumentada de seguridad.

Las razones por las que una funcin especfica pasa a ser una funcin
instrumentada de seguridad (SIF).
La funcin de los elementos instrumentados de seguridad.
La ingeniera de diseo.
Requerimientos de mantenimiento.
Bypass con el objetivo de realizar mantenimiento y/o operacin.
Requerimientos de pruebas de funcionalidad.
112
Una forma que se propone de documentacin es en forma de check list basada en los
tags de cada funcin.
Los responsables de redactar la documentacin, depende de cada compaa,
normalmente son el responsable del proyecto y el responsable de ingeniera. Esta
documentacin formar parte de los registros de esta segunda etapa revisin de seguridad y
pasarn a formar parte en la siguiente etapa del ciclo de vida de seguridad funcional:
Especificacin de los Requerimientos de Seguridad.
Es muy importante discutir el intervalo de prueba de funcionalidad con relacin a los
planes de operacin de la planta. El intervalo de test puede impactar significativamente en
el diseo final.
En el (ANEXO G: Especificaciones de los requisitos de Seguridad) se puede ver un
ejemplo de check list donde se recogen los resultados de la fase de asignacin del valor
SIL y se complementa con las especificaciones de los requisitos de seguridad para poder
pasar a la fase de ingeniera y diseo del SIS.
7.4
Especificaciones de los requerimientos de seguridad (SRS)
Una vez se ha determinado que es necesario instalar un sistema instrumentado de

seguridad (SIS) y se ha establecido el nivel de integridad de seguridad (SIL) para cada
funcin instrumentada de seguridad (SIF) el paso siguiente ser desarrollar lo que se
entiende como las especificaciones de los requerimientos de seguridad. Las SRS constituye
la gua para definir los requerimientos de diseo de acuerdo a las normas utilizadas y a los
estndares de cada compaa, por lo que ha de ser lo ms completa posible.
Es muy importante desarrollar est etapa con mucha rigurosidad ya que como se
coment en el captulo 7 un estudio de HSE britnica concluy que 34 accidentes en
diferentes industrias ocurrieron por fallos en el sistema de control y seguridad. Los
resultados del estudio, mostrados en la figura 7.4.1 indican que las principales causas de
los accidentes fueron errores en las especificaciones del sistema (44%), incluyendo una
mala valoracin de los SILs.
Figura 7.4.1 Causas ms comunes de accidentes debido a los SIS
IEC 61511 define las SRS como las especificaciones que contienen todos los
requerimientos de las funciones instrumentadas de seguridad en un sistema instrumentado
de seguridad.
El objetivo de esta fase del ciclo de vida (SRS) consiste en especificar y documentar
todos los requerimientos para todas las funciones de seguridad que ha de realizar el SIS
para el desarrollo de su ingeniera de detalle y para la seguridad funcional del proceso.
113
Se trata de una etapa crtica, cualquier error, falta de datos u omisin en las
especificaciones resultar en una funcin de seguridad que no ser capaz de realizar su
cometido en la forma prevista, con lo que la seguridad se ver afectada. Por tanto, las SRS
deben ser desarrolladas y revisadas por un equipo con experiencia en proceso, equipos,
operacin y mantenimiento del proceso que se trata. La documentacin de las SRS ser
posteriormente utilizada para la verificacin y validacin del SIS.
Las SRS, como hemos indicado es un documento clave para la implementacin y
pruebas del proyecto, as como para la correcta operacin del sistema y su mantenimiento
(figura 7.4.2). Es el enlace entre todo el estudio terico/prctico de anlisis para poder
crear una base firme y estructurada para poder ejecutar el proyecto. Siempre son
elaboradas una vez seleccionado el SIL objetivo. Como hemos visto el 44% de los fallos
del sistema de seguridad instrumentado ante un incidente se debe a una mala
especificacin de los requerimientos de seguridad, que pueden ser debido a:
No realizacin correcta del Anlisis de Riesgos y Peligros del proceso, lo que
implica una base de entrada para las SRS incorrecta (mala identificacin de las
SIF, seleccin incorrecta del SIL).
No se identifican modos de fallo y requerimientos de proteccin (acciones de la
SIF no logra un estado seguro, lentitud en la identificacin y prevencin del
peligro).
No se definen todos los modos de operacin del proceso (arranque, paro, etc.).
No se identifican todas las condiciones ambientales y de proceso.
Control de las SRS inadecuado.
Requerimientos contradictorios o incompletos.
Figura 7.4.2 SRS, documentacin de enlace anlisis/implementacin
114
Para desarrollar las especificaciones de los requerimientos de seguridad se requiere

informacin como datos de diseo del proceso, anlisis de riesgo del proceso (PHA), lista
de las funciones instrumentadas de seguridad (SIF) y su SIL objetivo, diagramas de
instrumentacin y proceso (P&IDs), diagramas elctricos, etc.
Los resultados de las SRS cubrirn las especificaciones de los requerimientos de
seguridad generales del SIS, tanto los relativos a la confiabilidad del sistema de seguridad
(requerimientos de integridad) como los relativos a que ha de hacer el sistema de
seguridad (requerimientos funcionales).
7.4.1 Especificaciones funcionales
Los requerimientos funcionales deben describir la lgica del sistema, es decir, que
debe hacer y caractersticas de cada funcin instrumentada de seguridad. La especificacin
funcional debe incluir la definicin de parmetros como:
Rango de operacin normal de las variables del proceso y sus lmites mximo y
mnimo.
El estado seguro del proceso, para cada uno de los eventos identificados.
Las entradas de proceso al SIS y sus acciones.
Las salidas de proceso del SIS y sus acciones.
Interfaces e interacciones con otros sistemas (incluyendo el sistema de control
bsico de proceso, DCS, y operadores).
Punto de referencia (Set Point) de las variables del proceso y su tolerancia.
La relacin funcional entre la deteccin y actuacin de los elementos finales
(entradas y salidas del proceso), incluyendo la lgica, las funciones matemticas
y cualquier otro permisivo que se requiera mediante las representaciones de
diagramas lgicos y diagramas causa-efecto.
Seleccin de los modos de energizar o desenergizar para disparo 1. Generalmente
las aplicaciones SIS se encuentran normalmente en el modo energizado y son
desenergizadas para disparo. Cuando el proceso especfico requiera que alguna
aplicacin SIS sea normalmente energizada para disparo deber fundamentarse y
demostrarse.
Consideraciones para disparo manual.
Las acciones a tomar en caso de prdida de la(s) fuente(s) de energa del SIS.
La Respuesta de accin a cualquier fallo detectado.
Requerimientos de la interface humano-mquina.
Funciones de restablecimiento del SIS despus de un paro (reset).
Los tiempos de respuesta y las tolerancias permisibles de las funciones y de los
componentes relevantes.
Activacin de la Funcin Instrumentada de Seguridad (SIF)
115
Si la funcin de seguridad es aplicable a sistemas instrumentados de seguridad

operando en modos de operacin de baja demanda (no mayor a una demanda por
ao y una frecuencia de prueba no mayor a 2 veces por ao), o de alta demanda/
continua (mayor a una demanda por ao y una frecuencia de prueba mayor a dos
veces por ao).
Los modos de operacin relevantes del equipo bajo control, lo cual debe incluir:
arranque automtico y manual, semiautomtico, estado estacionario, estado
estacionario de no operacin, restablecimiento, paro, mantenimiento, y la
identificacin de las funciones instrumentadas de seguridad requeridas para
operar dentro de cada modo.
La importancia de las interacciones de los componentes fsicos del sistema
(hardware)/programas de cmputo (software), e identificar y documentar
cualquier restriccin para dichas interacciones.
Cualquier requerimiento especfico referente a los procedimientos de arranque y

restablecimiento del SIS.
7.4.2 Especificaciones de integridad

Los requerimientos de integridad, nivel de confiabilidad del sistema y de cada
funcin instrumentada de seguridad del SIS definirn la capacidad con que cada funcin de
seguridad es capaz de realizar su trabajo. Servirn para establecer una arquitectura
aceptable del sistema para lograr el nivel de desempeo, seguridad e integridad requerida
para que el SIS ejecute las funciones necesarias. Definen la capacidad de cmo de bien
cada funcin de seguridad actuar. Los requerimientos de integridad de seguridad deben
incluir una definicin de los siguientes parmetros de integridad:
La tasa de demanda objetivo, SIL requerido, para cada una de las funciones de
seguridad.
Una descripcin de todas las funciones instrumentadas de seguridad para lograr
la seguridad funcional requerida y el SIL para cada una de ellas.
El factor de reduccin de riesgo (RRF) para cada funcin de seguridad.
Requerimientos de diagnstico para lograr el SIL requerido.
Requerimientos de mantenimiento y prueba para lograr el SIL requerido
(intervalo mnimo de prueba proof test).
Requerimientos de confiabilidad en caso de presentarse disparos en falso
(mxima tasa de disparo en falso permisible).
Detallar todos los modos requeridos de comportamiento del SIS, particularmente
ante fallos y la respuesta requerida (por ejemplo, alarmas, paro automtico,
etc.,).
Las condiciones ambientales extremas probables a ocurrir durante todo el ciclo
de vida de seguridad del SIS. Se deben considerar como mnimo las siguientes
variables:
temperatura,
humedad,
contaminantes,
interferencia
116
electromagntica 1, interferencia de frecuencia 2, vibracin,

electrosttica, inundacin, clasificacin elctrica de reas.
descarga
Los lmites de inmunidad electromagntica requeridos para lograr

compatibilidad electromagntica, los cules deben ser fijados considerando tanto
el ambiente electromagntico como los niveles de integridad de seguridad
requeridos.
La iniciacin manual de funciones protectoras sustituye en muchos casos a la

iniciacin automtica, por esta razn es importante en funciones iniciadas
manualmente considerar la confiabilidad humana, ya que la integridad de los
componentes fsicos (hardware) de la iniciacin manual no debe ser menor a
aqulla de la iniciacin automtica.
De acuerdo con la norma IEC 61511, el SIL requerido de cada funcin instrumentada
de seguridad en modo demanda ser especificado de acuerdo con la tabla 7.4.2. Las
funciones de seguridad en modo continuo de operacin raramente son usadas en procesos
industriales, aunque tambin la norma IEC 61511 especifica el SIL requerido (Ver captulo
5.50 Modo de operacin).
SIL
Clase de Riesgo 3
PFDavg
RRF
Disponibilidad
No usado. No se
puede mitigar slo
va SIS
10-4 -> 10-5
10000 -> 100000
0.9999 -> 0.99999
10-3 -> 10-4
1000 -> 10000
0.999 -> 0.9999
10-2 -> 10-3
100 -> 1000
0.99 -> 0.999
10 -> 100
0.9 -> 0.99
No precisa SIS
-1
10 -> 10
-2
Tabla 7.4.2 ndice SIL: Probabilidad de fallo en demanda
La probabilidad de fallo en demanda de cada SIF debido a fallos en el hardware

depende de varios factores:
La arquitectura del SIS y cualquier elemento relacionado con las funciones de

seguridad a considerar.
El ratio estimado de fallos peligrosos de cada subsistema, debidos a fallos

aleatorios de hardware que causaran un fallo peligroso del SIS, pero que son
detectados por tests de diagnsticos.
El ratio estimado de fallo de cada subsistema debido a fallos aleatorios de

hardware que causaran un fallo peligroso del SIS, y que no son detectados por
tests de diagnsticos.
La interferencia electromagntica se refiere al fenmeno electromagntico no deseado que afecta las seales
elctricas a una banda menor que la radiofrecuencia. Es una forma de ruido elctrico que surge generalmente
de motores, transformadores, conductores de energa y de prcticas de cableado inapropiadas.
2 La interferencia por radiofrecuencia surge de seales en falso en el rango de radiofrecuencia (generalmente
de 0.5 a 500 MHz), puede generarse de manera local por sistemas de ignicin, dispositivos de comunicacin
de dos vas, equipo de soldadura, dispositivos de control, computadoras, entre otros.
3
Clase de Riesgo determinado usando la matriz de riesgo ejemplo propia de la organizacin (figura
7.3.1.5).
117
La susceptibilidad del SIS a fallos de causa comn.
Factor de cobertura de diagnstico (fraccin de fallos detectados) de cualquier

test automtico de diagnsticos, los intervalos de test y la fiabilidad de ellos.
Los intervalos de prueba de funcionalidad de seguridad proof test (test de

funcionamiento de equipos).
El tiempo de reparacin de los fallos detectados (MTTR).
Posibles fallos peligrosos de comunicacin con el proceso.
Posibles fallos peligrosos por causas humanas (p. ej. la respuesta a alarmas
relativas a seguridad).
Susceptibilidad a las EMC (interferencias electromagnticas).
Susceptibilidad a las condiciones climticas y mecnicas, stress de los

componentes, fallos de causa comn.
Es importante resaltar que los Sistema Instrumentados de Seguridad, que se ajustan a

unas estructuras estndar que ms adelante mencionaremos como Tpicos, no requieren
calcular la probabilidad de fallo ya que el clculo y su asignacin de nivel SIL se ha
realizado y abordado en conjunto. Es decir existen empresas u organizaciones con
suficientes recursos que disponen de expertos en seguridad que establecen sus propios
estndares y guas donde se proponen arquitecturas completas a utilizar con los
instrumentos estndares que la propia compaa autoriza. Cada arquitectura lleva asociado
el nivel SIL que se alcanza. Con ello se pretende estandarizar y facilitar la ingeniera de
seguridad dentro de estas compaas multinacionales.
El diseo ha de cumplir el SIL objetivo y se ha de verificar que alcanza el nivel SIL
antes de ser implementado. Que la implementacin del sistema de seguridad cumpla con el
diseo establecido y cumpla con las especificaciones requeridas ser verificado durante el
PASO 4 Safety review (Pre-Start Up Safety Review, PSSR) del ciclo de vida de seguridad
(ver figura Figura 7.1.3. Ciclo de Vida de Seguridad SIS ejemplo).
7.4.3 Especificaciones de sobrevivencia
Las especificaciones de sobrevivencia se refieren al requerimiento especfico de que
un Sistema Instrumentado de Seguridad permanezca funcionando durante o despus de un
incidente mayor y son identificadas en la evaluacin de riesgos. Una especificacin de
sobrevivencia ser normalmente requerida por vlvulas del Sistema Instrumentado de
Seguridad y vlvulas de alivio en reas de proceso en dnde el actuador y la vlvula
puedan ser vulnerables a explosin por sobrepresin externa, fuego, cada de objetos y
cualquier otro dao que lo inhabilite antes de que la vlvula regrese completamente a su
posicin segura o realice su funcin de seguridad.
7.4.4 Documentacin SRS
Normalmente las SRS es un documento que elabora el usuario final (la compaa que
requiere el SIS) para que una empresa ejecutora (proveedor) desarrolle el sistema. Cmo
ser la base de diseo del sistema de seguridad, toda la informacin requerida debe ser
incluida en un paquete completo. Por este motivo el documento debe estar bien
estructurado de tal modo que los requerimientos del SIS sean claros, precisos, verificables,
factibles y escritos de forma entendible para que puedan ser comprendidos y aplicados. La
118
documentacin SRS parta el diseo del SIS debera incluir: (ANEXO G: Especificaciones
de los requisitos de Seguridad):
La descripcin del proceso que incluira:
P&Ids, diagramas de tuberas e instrumentacin del proceso.
Descripcin de la operacin del proceso.
Descripcin del control del proceso incluyendo la filosofa del diseo del
sistema de control, tipo de controles, la interface con el operador, gestin de
alarmas, y registros de histricos.
Requerimientos de normativas y leyes que afectan el diseo del SIS.
Acciones que el sistema o componente debe realizar bajo circunstancias

establecidas (especificacin funcional).
Integridad requerida (confiabilidad y disponibilidad) para operar en dichas
circunstancias (especificacin de integridad).
Requerimientos de sobrevivencia una vez que un incidente serio ha sucedido
(especificacin de sobrevivencia).
Adems de toda esta informacin puede incluir para completar el paquete de
documentos:
Diagramas causa-efecto: Tambin conocidos como matrices de causa efecto
(cause and effects Matrix "CEM"). Se han convertido en una herramienta muy
familiar para documentar los requisitos de seguridad de un SIS - es una manera
muy intuitiva de representar la lgica. Estos diagramas se usan para documentar
los requerimientos funcionales y de integridad. Deben ser documentos claros
para todas las disciplinas. (Ver tabla 7.4.4.1 Diagrama Causa Efecto muestra)
SIL
Rango
Instrumento
Valor
trip
Unidades
Descripcin
Cierra
XV10
LIAH10
Nivel tanque
Hexano
0-100
80
LIAHH10
Nivel tanque
Hexano
0-100
90
Abre
XV11
Notas
Nota 2 Tiempo requerido de actuacin mximo 3 segundos
Tabla 7.4.4.1 Diagrama CEM ejemplo
Diagramas lgicos: Estos diagramas se deben usar en adicin de los diagramas

causa-efecto para funciones complejas y basadas en tiempo, as como para
secuencias complejas que no pueden ser descritas fcilmente mediante un
diagrama de causa-efecto. (Ver figura 7.4.4.2 Diagrama lgico ejemplo)
119
Figura 7.4.4.2 Diagrama lgico ejemplo
Para poder desarrollar las especificaciones de los requerimientos de seguridad se

requiere la siguiente informacin:
Informacin de peligros del proceso (PHA).
Lista de las funciones instrumentadas de seguridad requeridas y el SIL de cada
funcin de seguridad. Lista obtenida en la elaboracin del anlisis de riesgos.
Diagramas de proceso y diagramas de tubera e instrumentacin (PIDs), hojas
de datos de proceso y hojas de especificaciones de instrumentos.
Informacin del proceso (filosofa de operacin, elementos finales, entre otros) e
informacin del anlisis de riesgo (causa y secuencia de cada evento potencial
de peligro que requiera un SIS).
Consideraciones de falla de causa comn del proceso tales como corrosin,
taponamiento, etc.
Requerimientos de normativas y leyes que impactan al SIS.
Consideraciones de confiabilidad, calidad y ambientales.
Lista de consideraciones operacionales y de mantenimiento.
7.4.5 Ejemplo de Requerimientos bsicos de seguridad

Se trata de una lista de requerimientos a modo de gua que una compaa ejemplo
describe para la realizacin de las especificaciones de los requisitos de seguridad y por
tanto para el diseo que cualquier sistema instrumentado de seguridad instalado en sus
plantas ha de cumplir.
Prcticamente la totalidad de las empresas qumicas multinacionales crean sus
propios estndares y requisitos para cumplir plenamente con la norma IEC 61511 y 61508
(ANSI/ISA 84) y que son de obligado cumplimiento por las directrices de la empresa. El
que cada empresa multinacional cree sus propios estndares hace que la aplicacin de la
norma sea de forma global y de una forma entendedora por parte de cualquier persona que
pertenezca a la compaa, por muy dispar que sea su ubicacin. As, requerimientos tpicos
que empresas suelen tener y que facilitan mucho la aplicacin de la norma pueden ser:
Utilizacin de instrumentos y PLCs de seguridad que cumplan con la normativa

y estn aprobados y homologados para su utilizacin en la compaa. As las
empresas suelen crear una lista estndar de componentes que pueden ser
utilizados.
Siempre que sea posible se recomienda usar arquitecturas estndares aprobadas,

tambin llamados tpicos. Estos tpicos combinan la arquitectura estndar de
120
un lazo y la frecuencia de prueba de funcionamiento para lograr el SIL requerido,

con los instrumentos estndares y con los requerimientos de mantenimiento.
Cualquier otra arquitectura requerir clculos para verificar que el diseo cumple
con ndice SIL requerido. (Las arquitecturas sern detalladas en el captulo 7.5
Ingeniera y diseo del SIS y ejemplo de arquitecturas estndar se encuentran en
el captulo 7.6.4 Uso de guas propias estandarizadas).
Si es necesario realizar clculos de la probabilidad de fallo en demanda (PFD) o

cualquier otro tipo de clculo para el diseo del SIS, estos clculos tienen que ser
aprobados por una comisin de expertos de la compaa.
Los SPLC (PLCs de seguridad) pueden trabajar siempre y cuando estn

aprobados y certificados por una organizacin independiente (p. ej. TV).
Las Funciones Instrumentadas de Seguridad (SIF) no deben ser implementadas

por el Sistema Bsico de Control del Proceso (BPCS). Si una seal tiene que ser
usada por ambos sistemas (SIS y DCS), la interface ha de asegurar que un fallo
en el DCS no perjudique al SIS. Es muy comn intercambiar informacin entre el
SIS y el DCS.
Slo puede ser usada una funcin de no-seguridad en el SIS o por el SIS si es
necesaria para asegurar un paro de planta ordenado o para realizar un arranque
ms rpido, aunque no es aconsejable.
La SIF debe ser diseada de tal forma que una vez el proceso ha sido puesto en
un estado seguro, la funcin seguir en este estado hasta que el operador no haga
un reset la funcin, incluso si la condicin de disparo desaparece.
Requerimientos de operabilidad, mantenimiento y de test se tendrn en cuenta

durante la el diseo de las SIF con el fin de facilitar la implementacin de los
requerimientos de factor humano en el diseo (facilitar bypass para realizar test
en lnea, con indicacin de alarma, etc.)
El diseo del SIS tendr en cuenta las capacidades y limitaciones del factor
humano, y ser el adecuado para las funciones asignadas al operador y personal
de mantenimiento.
Cuando sea posible, los instrumentos usados tendrn la capacidad de ir a un

estado seguro predeterminado en caso de una mala funcin (p.ej. desenergizar
para parar, vlvulas con retorno por muelle, etc.).
Para subsistemas que con prdida de tensin no llevan el sistema a un estado

seguro por un fallo se requiere que:
La prdida de la integridad del circuito sea detectada.
Se asegure la tensin por el uso de un sistema redundante de tensin (p. ej.
bateras, UPS 1, etc.)
La prdida de tensin del subsistema sea detectada.
En funciones ON/OFF cada vlvula tendr su propia electrovlvula. En caso de

vlvulas de control es muy recomendable poner la salida del controlador en el
UPS (Uninterruptible Power System)
121
DCS en la direccin de la posicin de seguridad adicionalmente a la

electrovlvula del SIS, con un retraso para facilitar la deteccin del fallo.
Precisin, rango de medida, resolucin y tiempo de respuesta de los instrumentos

de campo han de cumplir con la funcin especfica de seguridad.
Se tendrn en cuenta precauciones en contra de cambios involuntarios de valores

de disparo.
El diseo del SIS tendr en cuenta los requerimientos de mantenimiento y

arranque de la planta. Se debe tener cuidado en que todos los elementos de SIS
sean accesibles y puedan ser probados fcilmente.
Se recomiendan las siguientes otras medidas:
Las Funciones Instrumentadas de Seguridad deben ser lo ms simple posibles.
Deben utilizarse valores analgicos en vez de digitales (Switches) siempre que

sea posible.
Se recomienda medidas que puedan incrementar la cobertura de diagnstico, p.ej.

a travs de dos canales de comparacin para seales analgicas, la seal puede
ser chaqueada.
Se debe minimizar la propagacin de fallos con precauciones como desacoples

por alta impedancia, aislamiento elctrico, etc.
Las variables de proceso, puntos de disparo u otros estados de informacin del

SIS deberan ser visualizados en la sala de control para poder detectar posibles
fallos rpidamente va operadores.
Las alarmas de posibles acciones de las funciones de seguridad deben ser

diferentes de las funciones del control bsico del proceso.
El mantenimiento y el test de las instalaciones deberan disearse de tal manera

que minimizasen la probabilidad de fallo peligroso durante su uso.
En caso de energizar para disparo de una funcin, se debera usar diferentes

bandejas de cables y fuentes redundantes de energa para los diferentes canales
para evitar el fallo de ambos canales por fuego u otro dao ocurrido en la planta.
Es un punto importante a tener en cuenta.
Para minimizar la probabilidad de fallos de causa comn, modo comn y fallos

dependientes se debe considerar:
La independencia entre el DCS y el SIS y entre los canales.
Uso de diferentes instrumentos/principios de medida.
Separacin fsica de instrumentos, como utilizando diferentes conexiones al
proceso.
Un paro manual de la planta, parte de ella o simplemente de los actuadores de

seguridad debe integrar en el PLC de seguridad el pulsador de paro de
emergencia.
122
Funciones de monitorizacin:
Las funciones monitorizadas deben formar parte del DCS, no deben estar incluidas
en el SIS. Una funcin de monitorizacin nunca ser una funcin de seguridad. Las
principales razones para esta separacin son:
Como regla general, el DCS y el SIS estn separados para minimizar errores
potenciales en las funciones de seguridad del SIS debido a errores de operacin,
mantenimiento o diseo.
Las funciones de seguridad no deben arriesgar su funcin por otras. Por ejemplo
un cambio en una funcin de monitorizacin no debe producir un cambio en la
funcin de seguridad.
Por ltimo un PLC de seguridad debe procesar y ser lo ms simple posible, la

complejidad de un SIS aade costes de inversin, requerimientos de test y
mantenimiento y efectos no deseados que pueden provocar errores potenciales
alrededor del SIS.
Bypasses:
Bypasear partes o componentes de una funcin instrumentada de seguridad puede
poner en riesgo la seguridad, por lo que la decisin de bypasear tiene que ser estudiada con
sumo cuidado durante la revisin de seguridad y puede que sea necesaria la aplicacin de
medidas adicionales.
No est permitido bypasear una funcin de seguridad en su totalidad.
Si es necesario realizar bypases para mantenimiento u operacin se debe considerar:
Bypasear una canal de una arquitectura 1ooN para mantenimiento puede ser
aceptable si la seguridad no se ve afectada de forma negativa (p. ej. reparacin de
algn elemento tan rpido como se pueda, y dentro de un tiempo especificado de
reparacin.
Bypasear en un canal 2oo3 es posible si este se lleva a un estado de Bad value

y el resultado es de un 1oo2.
Si por motivos que salen de la operacin normal de la planta (p. ej. arranque) es
necesario bypasear momentneamente una funcin de seguridad. La seguridad
debe ser asegurada por otros medios.
Para bypases de operacin se debe considerar:

Que estos estarn limitados a un tiempo estipulado (p. ej. un turno).
Que estarn claramente visualizados por el SIS.
Que el acceso al switch de bypass est protegido (p. ej. password).
Si los test de lazo y bypases estn incluidos en el diseo del SIS, y se notifica al
operador el requerimiento de bypass, este slo puede estar activo durante un corto
periodo de tiempo. Esta previsin ser documentada durante el proceso de
revisin de las especificaciones de requerimientos de seguridad
Los bypases que no estn descritos en el diseo del SIS, slo pueden ser
realizados si existe un procedimiento de mantenimiento o una orden de cambio
escrita por el MOC (Management Of Change).
123
[1]
[2]
[3]
[4]
[5]
Artculo: Implementing a suitable safety instrumented system, Autor: R. Modi, publicado en junio
2010 en la revista Hydrocarbon Processing.
[6]
7.5
Ingeniera y Diseo del SIS.
El objetivo de esta fase est en disear el sistema instrumentado de seguridad de

acuerdo con las especificaciones de los requerimientos de seguridad (SRS) realizadas en la
fase anterior del ciclo de vida de seguridad segn IEC 61511.
En una primera etapa, se realizar el diseo conceptual definiendo las caractersticas
tcnicas, tecnologas y arquitectura del sistema de acuerdo al SIL meta determinado. El
diseo conceptual debe cumplir con lo establecido en las Especificaciones de los
Requerimientos de Seguridad, estudiados en el captulo anterior. Es la gua requerida por la
ingeniera que implantar el sistema y establece los parmetros de diseo para realizar y
completar la ingeniera de detalle. Todo el diseo deber adherirse a los estndares y
procedimientos de la compaa propietaria de la instalacin.
El diseo conceptual se puede separar en 2 partes importantes:
Hardware:
Procesador lgico (normalmente PLC de seguridad).
Arquitectura.
Elementos de campo.
Hardware adicional necesario para el correcto funcionamiento del SIS.
Software:
Software aplicado.
Software adicional necesario para el correcto funcionamiento del SIS.
Las tecnologas disponibles son varias sistemas neumticos, rels, sistemas de

estado slido, sistema microprocesadores y SPLCs. La eleccin depende generalmente del
tamao del SIS y su complejidad.
La arquitectura de cada una de las funciones instrumentadas de seguridad deben
cumplir con el SIL meta requerido, estas pueden ser arquitecturas con votaciones 1oo1,
1oo2, 2oo3, etc.
Una vez se ha seleccionado la arquitectura del sistema y sus componentes, se debe
calcular si se alcanza el SIL objetivo, teniendo en cuenta la velocidad de fallos de sus
componentes y el intervalo de pruebas de funcionalidad propuesto, esto asegura que el
124
diseo conceptual cumple con el SIL objetivo de las SRS. Se trata del tercer paso de
revisin de seguridad propuesta por el ciclo de vida de seguridad del SIS y previa a
desarrollar el diseo de detalle.
En el diseo y anlisis de un sistema de seguridad hay que tratar diferentes factores
como la tecnologa a seleccionar, arquitectura de la funcin de seguridad, modos y ratios
de fallo, diagnsticos, servicios de energa, interfaces, seguridad, intervalos de test, etc.
que harn cumplir con el SIL objetivo de las SRS.
Un sistema instrumentado de seguridad se compone principalmente de 3
subsistemas: sensores, elementos finales de control y procesador lgico aparte de sistemas
de soporte como aire de instrumentacin o electricidad. El balance final de los fallos entre
los principales subsistemas de un sistema de seguridad queda reflejado en la siguiente
figura (Fuente: Offshore Reliability Database (OREDA))
Figura 7.5.1 Porcentaje de fallos de los elementos principales de un sistema de seguridad
A continuacin se detallarn una serie de consideraciones generales basadas en las

normas de referencia IEC 61511 y ANSI/ISA-S84 y prcticas recomendadas para poder
disear un sistema instrumentado de seguridad que alcance el nivel de integridad de
seguridad objetivo.
[1]
[2]
[3]
7.5.1 Independencia entre los componentes del SIS y del BPCS

Cuando y como se pueden combinar sistemas de control y sistemas de seguridad es
un tema con cierta controversia en las industrias de proceso. Todos los estndares,
prcticas recomendadas y guas en industrias recomiendan separar ambos sistemas.
Aunque hoy en da los sistemas de control de proceso son altamente confiables y permiten
redundancia se plantea la pregunta, Por qu no?
La separacin entre las funciones de seguridad y las funciones bsicas de control
reduce la probabilidad de que ambas no realicen su funcin al mismo tiempo, asimismo
que cambios realizados en el sistema de control afecten al sistema de seguridad.
Slo si se realiza un estudio que evale que este riesgo es aceptable, se podrn
compartir parte de los equipos, ya que un fallo peligroso de un equipo comn causara un
posible fallo a demanda de la funcin del sistema de seguridad, por lo que se introduce un
125
nuevo riesgo. Este nuevo riesgo depende del ratio de fallo del componente comn, ya que
si el componente comn falla a demanda, la funcin del SIS no ser capaz de responder a
la situacin peligrosa. Por esta razn es preciso un estudio que asegure que el ratio de fallo
peligroso del componente comn es suficientemente bajo.
Dentro de los componentes utilizados en un SIS podemos diferenciar dos tipos de
separacin para la redundancia. La separacin idntica, debe constar de dos o ms
componentes idnticos e independientes entre s. La separacin diversa debe constar de dos
o ms componentes diferentes (diferente tecnologa, configuracin, etc.) e independiente
entre s, este tipo de separacin reduce la probabilidad de fallos sistemticos y los fallos de
causa comn.
Podemos decir que existen 3 partes de un sistema donde es plausible la separacin
entre el BPCS y el SIS y que deben ser evaluadas para asegurar el cumplimiento con el SIL
meta de cada funcin de seguridad, estas son:
Sensores y elementos finales de control
Revolvedor lgico
Comunicaciones entre el SIS y el BPCS y otros elementos
En resumen, se adopta que los sistemas de seguridad deben ser completamente

independientes del sistema de control. Si se precisa compartir entre ambos sistemas algn
elemento, la funcin instrumentada de seguridad ha de ser evaluada y siempre tendr
preferencia sobre el sistema de control.
7.5.2 Identificacin y etiquetado de las Funciones Instrumentadas de Seguridad y
Todos los componentes de un Sistema Instrumentado de Seguridad y todos los
componentes de un SIS (transmisores, equipos y suministros de energa, entradas/salidas
de un SPLC 1, etc.) deben estar claramente marcados.
En la documentacin: diagramas P&I, lista de tags 2 de los sistemas

instrumentados, diagramas lgicos, hojas de test, etc. Una forma de indicar que
un lazo pertenece a un sistema instrumentado de seguridad es relacionarlo con
lneas discontinuas desde un indicador en forma de rombo que indica a que
sistema pertenece (parte superior del rombo la letra S y la inferior el sistema a
que pertenece) y que funcin realiza (HH (enclavamiento por valor alto alto), H
(enclavamiento por valor alto), L (enclavamiento por valor bajo), LL
(enclavamiento por valor bajo, bajo) (ver figura 7.5.2).
SPLC: PLC de seguridad.
Se entiende por tag la etiqueta que da nombre al lazo de control y al instrumento.
126
Figura 7.5.2 Tag de lazos de seguridad en P&IDs.
Otra forma de expresar el tag del lazo con la letra Z (FICZSHHA, lazo de
control de caudal con paro por enclavamiento por caudal alto alto y alarma).
Como podemos observar la forma de denominar a los elementos de seguridad de
un SIS depende de cada compaa y de la normativa en la que se apoyen (DIN,
ISA, etc.).
En la planta: los elementos fsicos han de estar debidamente etiquetados en

campo (ver figura 7.5.3). Por ejemplo mediante un tringulo con la letra A
insertada en su interior que indica que pertenece a un lazo de seguridad Clase A y
de acuerdo a lo indicado en los diagramas P&I y a la lista de tags. Los cables
tambin se etiquetarn con el mismo tag que en el diagrama P&I.
Figura 7.5.3 Etiquetaje en planta equipos de seguridad
7.5.3 Sensores de campo

Como regla general, el 90% de los fallos del sistema se deben a los sensores y
elementos finales de control y solo el 10% restante se deben al sistema lgico (ver figura
7.5.1 del captulo 7.5). Estos nmeros son solo una aproximacin ya que pueden variar
segn la tecnologa y configuracin adoptada.
127
En general los sensores son usados para medir temperatura, presin, nivel, flujo,
concentracin, etc. Estos pueden ser discretos, cambian de estado cuando se alcanza un set
point o analgicos, dan una salida variable en relacin a la variable de proceso.
En sistemas de seguridad existen dos categoras de fallo principales que afectan a un
sensor. Puede ser un fallo seguro (fail safe) cuya causa nos llevar a un paro no esperado
de la planta, ejemplo de un cambio de estado del sensor sin que suceda un cambio en la
variable de proceso. O puede ser un fallo peligroso, por ejemplo que falle la respuesta a
una demanda actual o cambio de la variable de proceso sin indicacin por parte del sensor.
Est claro que un sensor puede fallar por diferentes razones: corrosin en los contactos,
suciedad en el contacto, termopares quemados, salidas errticas, transmisores inteligentes
(smart transmitter) en modo salida forzada, bloqueo de las lneas de proceso del
transmisor, etc.
El modo normal y recomendado por la mayor parte de compaas es disear el
sistema instrumentado de seguridad para que funcione en modo fail-safe, para asegurar que
los fallos sean siempre seguros. Esto quiere decir que cualquier anomala en la funcin de
seguridad que no responda a una situacin peligrosa en el proceso provocar llevar el
propio proceso a un estado seguro, puede implicar el paro de planta, es decir provocar
paros no deseados, molestos (spurious trip). Para minimizar estos paros no deseados
existen diferentes medidas a adoptar:
Uso de tecnologa fiable, seleccin de equipos uso probado 1 o basados en una

certificacin IEC 61508.
Uso de estructuras multicanal (p.ej. votaciones 2oo3).
Realizando instalaciones apropiadas de los equipos (p.ej. uso de tubing de acero

inoxidable en lugar de plstico).
Requerimientos bsicos para un sistema en operando en modo fail-safe:
Los sensores de contacto sern cerrados y energizados en condiciones normales

de operacin del proceso.
Las seales de los transmisores analgicos irn al punto de disparo bajo cualquier
fallo, a no ser que sea detectado por el sistema para que se tome una accin
correctiva.
Los contactos de salida del sistema lgico en operacin normal del proceso
estarn energizadas y cerrados.
Los elementos finales a fallo de aire irn a la posicin de seguridad (p.ej.

vlvulas).
Otros elementos finales como motores o turbinas se pararn.
El modo de fallo de los transmisores debe ser descrito en el documento SRS

(especificaciones de los requerimientos de seguridad), ya que para un estado seguro del
proceso, un transmisor en caso de fallo puede requerir ir a su estado bajo (Low) o alto
(High), dependiendo de su punto de disparo de seguridad.
Equipos uso probado (proven in use) son equipos aceptados por la IEC 61511 para el diseo de
sistemas de seguridad y basados en los aos de experiencia de las empresas en el uso de un equipo sin fallos
peligrosos y adecuadamente documentado, an cuando no cuente con certificacin de seguridad.
128
Hay que tener gran cuidado a la hora de elegir los sensores, ya que la precisin de
sus medidas depende del rango en que trabajen. As un sensor diseado para medir
presiones de hasta 15 bares, no es capaz de medir intervalos de 5 milibares.
Se ha de evitar compartir sensores entre el BPCS y el SIS. Cuando utilizamos
sensores redundantes y compartimos elementos de campo entre el BPCS y el SIS, un fallo
en el BPCS no debe inhibir el correcto funcionamiento del SIS, por lo que un aislador de
seal debe ser instalado entre el BPCS y el SIS.
Siempre que sea posible se utilizarn sensores y transmisores 2 analgicos ya que
estos presentan las siguientes ventajas ante los sensores de contacto:
Tenemos indicacin de la variable de proceso, por lo que nos dar una idea de si
su funcionamiento es correcto. Con un switch se debe hacer un test para saber si
es correcto su posicin.
Fcil de realizar un test parcial de la medida online el setpoint de disparo del

controlador puede ser modificado-.
Posibilidad de realizar diagnsticos.
Menor tasa de fallos peligrosos y seguros.
Podemos comparar la seal con la del BPCS.
Mejor precisin, rangeabilidad y fiabilidad que un switch.
Un nico transmisor puede sustituir algunos switches.
El controlador puede ser bloqueado por seguridad.
Es muy interesante el uso del protocolo HART (Highway Addressable Remote

Transducer) junto con transmisores inteligentes ya que son capaces de darnos a travs de la
seal 4-20 mA una serie de datos con los que podemos realizar diagnsticos y detectar
alguno de los siguientes fallos de seal:
Funcionamiento no correcto del transmisor.
Seal de entrada del sensor fuera de rango.
Seal de salida del transmisor congelada.
Salida analgica fuera de rango.
Solamente utilizando estos cuatro diagnsticos podemos incrementar

aproximadamente en un 20% la cobertura de diagnstico (DC) del transmisor. La
realizacin de un anlisis de modos de fallo, efectos y diagnsticos (FMEDA) nos dar el
nivel de cobertura de diagnstico del transmisor. Muchos fabricantes proveen evaluaciones
realizadas por terceros (EXIDA es un ejemplo) donde se incluye el FMEDA de diferentes
equipos utilizados en SIS.
El transmisor lo podemos considerar como parte del sensor y es el que nos da la seal analgica en
relacin a la variable fsica que pretendemos medir.
129
7.5.3.1 Transmisores inteligentes

Se trata de transmisores con diagnsticos adicionales y comunicacin digital en lugar
del convencional transmisor analgico con solo una salida 4-20 mA. Las ventajas de estos
transmisores son:
Mayor precisin.
Excelente estabilidad.
Mejora sustancialmente los diagnsticos, podemos llegar a unos factores de

cobertura de diagnstico y fraccin de fallo seguro (SFF) mayores al 80%.
Mayor prediccin de modo de fallos.
Capacidad de hacer mantenimiento y calibracin de forma remota (uso de

protocolo HART) con las ventajas que conlleva el no tener que ir a campo para
realizar mantenimiento 3.
Como desventajas para la seguridad funcional destacamos:
Fcil de dejar el instrumento en modo test o modo salida forzada.
Coste, son ms caros que los transmisores convencionales.
La respuesta puede ser ms lenta que los transmisores convencionales analgicos.
Pese a las desventajas cada vez ms se estn utilizando transmisores inteligentes en

aplicaciones de seguridad.
7.5.3.2 Diagnsticos de sensores
Mejorando los diagnsticos (aumenta la cobertura de diagnstico) de un sistema de
seguridad, mejoramos la seguridad del sistema. En otras palabras, reducimos la
probabilidad de fallo en demanda (PFD). Las siguientes frmulas nos muestran el impacto
de la cobertura de diagnstico en el ratio de fallos peligrosos:
dd = d * DCd
(1)
du = d * (1 DCd)
(2)
d = dd + du
(3)
DCd; Factor de cobertura de diagnstico de fallos peligrosos

d; tasa de fallos peligrosos
du; tasa de fallos peligrosos no detectados
dd; tasa de fallos peligrosos detectados
s; tasa de fallos seguros
sd; tasa de fallos seguros detectados
su; tasa de fallos seguros no detectados
El ajuste de los parmetros de proceso ha de estar protegido y bajo control para evitar cambios no
autorizados.
130
Si incrementamos el factor de cobertura, incrementa la tasa de fallos peligrosos

detectados y decrece la tasa de fallos no detectados. Notar que la tasa de fallos peligrosos
total no cambia con los diagnsticos, lo que mejora es el porcentaje de fallos que son
detectados.
La importancia de los diagnsticos reside en la posibilidad de no parar la produccin
por un fallo en un sensor y generar solo una alarma para que este sensor sea reparado. El
sistema puede bypasear la seal mientras se realiza la reparacin. Para realizar el bypass
deben existir procedimientos que asegure la seguridad del proceso mientras el equipo est
en bypass.
Otro parmetro muy utilizado para indicar la efectividad del diagnstico es la
fraccin de fallo seguro (SFF) y se define como la razn entre la tasa promedio de fallos
seguros ms tasa promedio de fallos peligrosos detectados, sobre el total de las tasas
promedio de fallos del sistema. El SFF puede ser determinado para cada componente del
sistema (sensor, elemento final, SPLC).
SFF =
sd + su + dd
sd + su + dd + du
(4)
El mantenimiento peridico y el test manual del equipo pueden ser reducidos

mejorando los diagnsticos del sensor. Los transmisores inteligentes aportan un gran nivel
de diagnstico que mejora sustancialmente el factor de cobertura y por tanto el SFF.
Resumiendo podemos decir que el diagnstico en lnea permite:
Reparacin rpida de las unidades en fallo, por lo que reduce el tiempo de

operacin en modo degradado (captulo 7.5.6 Requerimientos para la Tolerancia
a Fallos Hardware (HFT))
Conversin de los fallos peligrosos en fallos seguros.
[1]
[2]
[3]

2006.
[4]
Fiabilidad y Seguridad: Su aplicacin en procesos industriales. Antoni Creus i Sol. 2 edicin.

MARCOMBO, 2005.
7.5.4 Elementos finales de control

Los elementos finales de control son equipos utilizados para realizar un paro seguro
del proceso y alcanzar un estado seguro. El elemento final de control ms comn es la
vlvula de cierre y control operada por vlvulas solenoides (electrovlvulas).
Normalmente los mayores fallos de todo el lazo de seguridad se dan en los elementos
finales (50%) (Ver figura 7.5.1 del captulo 7.5), ya que son componentes mecnicos
sometidos muchas veces a condiciones severas de procesos. Las vlvulas normalmente se
encuentran en condiciones normales de proceso abiertas o cerradas (en menos casos) y no
131
actan durante largos periodos de tiempo. Un fallo tpico peligroso que pueden tener es el
atasco o bloqueo que en situacin de demanda har que la vlvula no acte. Un fallo tpico
seguro es la prdida o fallo de la bobina de la electrovlvula, cosa que al estar energizada
en condiciones normales de operacin nos llevara a un paro no deseado de la planta, pero
no a un estado peligroso (la vlvula se ir a su estado de seguridad prefijado).
Todas las vlvulas a prdida de alimentacin de aire deben ir a su posicin de
seguridad (fail safe), el actuador de estas vlvulas ser de simple efecto con retorno por
muelle. Vlvulas de doble efecto (aire para abrir y aire para cerrar) solo se utilizaran
cuando, por seguridad, se requiera mantener la ltima posicin en caso de fallo de aire.
Modos tpicos de fallo en las vlvulas son:
Vlvulas solenoides (electrovlvulas):
Bobina fuera de servicio, agotamiento de la bobina.
Taponamiento de las vas y purgas de la vlvula solenoide.
Corrosin de los terminales.
Ambiente hostil y/o calidad baja del aire de instrumentacin que provoca un
agarrotamiento de la vlvula solenoide.
Vlvulas de corte:
Fuga en la vlvula.
Incorrecta seleccin del tamao del actuador que resulta incapaz de mover la
vlvula a su posicin segura a falta de aire.
Atasco del vstago o asiento de la vlvula.
Atasco de la vlvula.
Taponamiento o rotura de la lnea de aire de alimentacin al actuador.
Las vlvulas de control del BPCS dan la sensacin de que continuamente se estn
probando en el proceso normal de operacin al estar en continuo movimiento y por tantopor qu no utilizarlas como vlvulas de corte? No es una prctica recomendable. Como
vimos en el captulo 7.5.1 se recomienda independizar los equipos del sistema de
seguridad y del sistema de control. Adems sabemos que los elementos finales de un lazo
de seguridad son los equipos que proporcionan ms fallos en un sistema y las vlvulas de
control no suelen estar diseadas para la seguridad (no contemplan parmetros como
rapidez de respuesta, resistencia al fuego, clase de fugas cero, etc.).
A pesar de todo pueden ser utilizadas en seguridad en casos en que no sea prctico
instalar una vlvula adicional de corte, o el coste de su instalacin no compensa la
seguridad que se pueda alcanzar. Para estos casos se estudiar la conveniencia o no de la
instalacin y se incluirn recomendaciones como instalacin directa de la vlvula
solenoide al actuador bypaseando el posicionador, uso de redundancia para las vlvulas
solenoides. Las vlvulas solenoides han de garantizar una respuesta rpida del actuador.
En todo caso el uso de una vlvula compartida por ambos sistema debe asegurar que
los riesgos asociados son aceptables y debe estar debidamente documentado.
El siguiente apartado se describe una serie de acciones que ayudan a detectar fallos
en vlvulas.
132
7.5.4.1 Diagnsticos de vlvulas

Durante la operacin normal 1 las vlvulas de corte permanecen estticas, en posicin
abierta o cerrada, y no tienen ninguna actuacin durante largos periodos de tiempo y solo
se mueven si han de actuar o si se realiza algn tipo de prueba. Es recomendable que en
operacin normal y cuando se acta la vlvula se realice algn tipo de diagnstico que nos
permita evaluar el estado de la instalacin, con lo que aumentaremos la cobertura de
diagnstico y disminuiremos la probabilidad de fallo en demanda, por degradacin de la
instalacin.
Tcnicas que se pueden realizar en operacin normal para diagnosticar el estado de
la vlvula:
Prueba manual online (ver captulo 7.5.12 Mantenimiento y pruebas

funcionales).
Uso de posicionadores inteligentes (DVC6000 de EMERSON, SVPII de

MASONEILAN, etc.).
Alarmas de cambio de estado de la vlvula sin que exista seal del sistema lgico
(p. ej. con finales de carrera).
PST (test de recorrido parcial).
Tcnicas cuando el sistema de seguridad se ha activado:
Utilizacin de finales de carrera en vlvulas que nos dan un feedback para saber
si la vlvula ha operado correctamente o no. Es el mtodo ms utilizado aunque
no siempre sea efectivo si la vlvula no ha realizado ningn movimiento en un
largo periodo de tiempo.
7.5.4.2 Posicionadores inteligentes en vlvulas

Cada vez ms se empiezan a utilizar posicionadores inteligentes para vlvulas de
corte con el objetivo de obtener datos adicionales para un correcto diagnstico. Estos
pueden ser utilizados nicamente para dar diagnsticos o tambin para que den la accin
de paro en caso de demanda. La informacin que nos pueden dar y que ms nos puede
interesar es:
Feedback de la posicin
Problemas con el suministro de aire o con le actuador
Estado de los finales de carrera
Estado de la posicin de la vlvula
Alarma y diagnstico propio del posicionador
Etc.
La mayor parte de estos posicionadores pueden realizar la funcin del PST (partial
Stroke Test) sobre las vlvulas de corte, tanto localmente como remotamente.
Como punto en contra es el alto precio de estos posicionadores que hace que no sean
atractivos econmicamente.
Para un Sistema de Seguridad la operacin normal del proceso corresponde a un estado estacionario
133
7.5.4.3 Test de recorrido parcial (PST Partial Stroke Test)

El PST consiste en mover la vlvula de corte que trabaja en demanda (un 10 % es lo
ms comn) y volver a su posicin normal. Todo este movimiento se monitoriza. Con esto
podemos verificar el movimiento libre de la vlvula. Esta prueba se realiza en operacin
normal de proceso y siempre que el proceso tolere el pequeo cambio de flujo que
representa. En vlvulas de paso reducido no podr realizarse el PST si una pequea
variacin de la carrera de la vlvula perturba considerablemente el paso de flujo.
Realizando el PST en plantas continuas se pueden lograr aproximadamente un 70%
de la cobertura de diagnstico en vlvulas.
El PST verifica que la vlvula est trabajando sin parar el proceso, pero no puede
confirmar el 100% de los fallos potenciales, como la vlvula no puede cerrarse
completamente, no podemos verificar fugas en el cierre, la carrera completa del vstago, la
indicacin del final de carrera de cerrar, etc., esto se comprobar con la planta parada y
realizando un Full Stroke Test (FST)
El PST gana popularidad al final de los aos 90 debido sustancialmente a 2 motivos:
el extracoste que representa poner vlvulas redundantes, sobre todo si tienen un tamao
considerable (6 pulgadas o ms) y la imposibilidad de realizar un recorrido total de la
vlvula en operacin normal (p. ej. trimestralmente) para comprobar su correcto
funcionamiento y que, por tanto, cumpla con el SIL meta establecido.
Impacto del PST en la reduccin del PFDavg a travs de un caso prctico:
Datos: Vlvula con un MTTFdu (fallos peligrosos) de 40 aos. Anualmente se realiza
una prueba total de la vlvula (Full Stroke Test):
MTTFdu = 1 / du
(1)
PFDavg = du (TI / 2)
(2)
PFDavg = (1 / 40aos ) (1ao / 2); PFDavg = 1.25E 2
RRF = 1 / PFD = 80 SIL1

Estamos asumiendo que la vlvula no tiene diagnsticos automticos (todos los fallos
peligrosos no son detectados) y que la prueba anual es 100% efectiva, el test revelar todos
los fallos. Como vemos el resultado entra dentro del rango de SIL 1 (slo la vlvula, no un
sistema entero). El aumentar el intervalo de test total solo provocar degradar ms el
sistema de seguridad, hace el RRF ms pequeo.
Un modo de fallo normal para una vlvula normalmente abierta es el atascamiento o
agarrotamiento del actuador o bien del elemento de corte del paso de caudal (bola, globo,
mariposa, etc.). Con el PST detectaremos este tipo de fallos sin alterar la operacin normal
de la planta. La frmula simplificada de clculo del PFDavg cuando realicemos pruebas
parciales ser la siguiente:
PFDavg = DC d TI 1
)+ ((1 DC ) d TI 2 2 )
DC = Factor de cobertura de diagnstico

TI1 = Intervalo del PST
TI2 = Intervalo del FST
134
(3)
DC 1 representa el porcentaje de fallos que el PST es capaz de revelar, es el % de

efectividad de la prueba. DC es un valor difcil de estimar. Est en el entorno del 60 al
90%. Hay diferentes reglas que vienen dadas por los intervalos de test. Hay fabricantes que
segn los intervalos de test definen unas tablas con el DC. As podemos considerar que si
realizamos un PST mensualmente y un FST (test completo) anualmente el DC es de 80%.
Por tanto si recogemos estos datos:
De la ecuacin (3) extraemos:
PFDavg = (0.8 (1 / 40aos ) ((1 / 12 )aos / 2 )) + (0.2 (1 / 40aos ) 1ao / 2);

PFDavg = 8.3E-4 + 2.5E-3 = 3.3E-3
RRF = 1 / PFD = 300 SIL 2

Jugando con los intervalos de test del PST y FST podemos variar el factor SIL del
componente.
Hemos hecho un estudio numrico donde vemos las ventajas de realizar el PST,
vamos ahora a intentar plasmar la intencin de estos clculos de una manera grfica. Para
ello partiremos de la ecuacin simplificada de la probabilidad de fallo de una vlvula o lo
que es lo mismo la no fiabilidad.
F(t) (Unreliability) No-fiabilidad: probabilidad de fallo durante un intervalo de
tiempo dado.
R(t) (Reliability) fiabilidad: probabilidad de xito durante un intervalo de tiempo
dado.
F (t ) = 1 e t
R(t ) = e t
(4)
(5)
donde (cte.) es la tasa de fallos del componente
Una aproximacin til que se realiza es la siguiente:

ex 1+ x +
x2 x3 x4
+
+
+ ... e x 1 + x ;
2! 3! 4!
e t 1 t ;
Existen numerosas bases de datos (p. ej EXIDA) as como software especializado en clculo de PFD,
factores SIL, etc. (p. ej. EXSILENTIA de EXIDA) que tienen tabulados los valores de DC dependiendo de
los intervalos de test que se practiquen.
135
F (t ) = 1 e t F (t ) t
(6)
Aproximacin vlida para probabilidades menores de 0,2 que es donde nos

moveremos
Por tanto la probabilidad de fallo media ser:

T
PFavg =
1
* PF(t ) * dt ;
T 0
PF (t ) * t
(7)
PFavg * TI / 2
(8)
Por tanto con aproximaciones, cada vez que hacemos un test total de la vlvula esta
vuelve a su valor inicial de probabilidad de fallo, con lo que la probabilidad de fallo media
se mantiene en un valor que depende del intervalo de tiempo entre pruebas.
Con el PST la probabilidad de fallo de la vlvula no vuelve al punto original (0) sino
que queda un residuo de probabilidad de fallo, ya que no es posible diagnosticar todos los
fallos posibles. El punto inicial de probabilidad de fallo se desplaza segn el factor de
cobertura de diagnstico (DC) que obtengamos fruto del periodo de test y de las
condiciones de la vlvula (son datos que obtenemos de bases de datos como EXIDA y
algn fabricante). La siguiente grfica sintetiza la ecuacin (3) de este apartado.
136
Qu conseguimos con el PST?

Verificar la vlvula sin parar el proceso, aunque no es una prueba total que
compruebe al 100% los fallos potenciales.
Como nos ayuda el PST a mantener o conseguir el ndice SIL meta especificado:
El esquema anterior refleja cmo podemos mantener un SIL 3 si hacemos

trimestralmente un PST y anualmente un FST (prueba total). Vemos que si no se hiciese el
PST el ndice SIL se degrada a un nivel de integridad 2.
El PST tambin se puede utilizar para lograr alargar el periodo de pruebas del 100%
que implican paro de la instalacin. El siguiente caso tenemos una vlvula con ndice SIL
de 2 y vemos que realizando un PST trimestralmente podemos alargar la inspeccin total
de la vlvula a 2 aos.
137
Indicar que todos estos clculos de verificacin para ver si una funcin
instrumentada de seguridad alcanza el SIL objetivo especificado se realizan mediante
software especializados en tema de seguridad funcional y que contienen bases de datos de
diferentes organizaciones, fabricantes y normas donde se incluyen todos los datos
referentes a confiabilidad y operabilidad de todos los componentes susceptibles de ser
utilizados por un Sistema Instrumentado de Seguridad y que automticamente generan
todos los documentos que requiere la norma. Un buen ejemplo de este software y
probablemente el ms utilizado sea EXSILENTIA 1 SILect + SRS + SILver, perteneciente
a EXIDA.
La siguiente tabla muestra los modos tpicos de fallo de los elementos finales y la
deteccin del fallo con diferentes estrategias de pruebas.
Modo de Fallo
Efecto
PST
FST
Prdidas del aire de

instrumentacin
Movimiento lento
de la vlvula para
abrir o cerrar
Detectable. Se
reporta como un
evento.
Detectable.
Lnea de aire al
actuador bloqueada
Vlvula falla a
cerrar (o abrir)
Detectable.
Movimiento
limitado
Detectable.
Empaquetaduras
muy apretadas
Movimiento lento
de la vlvula para
abrir o cerrar
Detectable. Se
reporta como un
evento.
Detectable.
Vstago atascado
Vlvula falla a
cerrar (o abrir)
Detectable.
Movimiento
limitado
Detectable.
EXSILENTIA es un paquete software realizado por EXIDA de generacin y documentacin en

seleccin y verificacin del SIL y SRS.
138
Actuador/vlvula
atascada
Vlvula falla a
cerrar (o abrir)
Detectable.
Movimiento
limitado
Detectable.
Asiento vlvula
daado
Vlvula presenta
fugas
No detectable.
Detectable. Precisa prueba

con medicin de fugas
Asiento vlvula
sucio o endurecido
Vlvula presenta
fugas
No detectable.
Detectable. Precisa prueba

con medicin de fugas
Tamao actuador
inapropiado para
operar en
condiciones de
emergencia
Vlvula no cierra (o
abre)
No detectable
Detectable
[1]
[2]
[3]

2006.
[4]

MARCOMBO, 2005.
[5]
Seminario: PAS Process Safety Seminar. Luis Garca (CFSE). Automation and Drives, SIEMENS.
[6]
The effects of Partial Stroke Testing on SIL level, EXIDA. www.exida.com
7.5.5 Tecnologa de control. Seleccin

Existen varias tecnologas de control disponibles utilizadas en sistemas
instrumentados de seguridad: neumticas, tecnologa con rels electromecnicos,
tecnologa de estado slido, y PLCs (controladores lgicos programables). No hay un
mejor sistema en general. Cada uno tiene ventajas y desventajas. La decisin sobre qu
sistema es el ms adecuado para la aplicacin depende de muchos factores tales como el
presupuesto, el tamao, el nivel de riesgo, la flexibilidad, la complejidad, el
mantenimiento, comunicaciones y requerimientos de interfaz, etc. y por supuesto la
poltica de estandarizar equipos dentro de la compaa, es decir, que para el diseo de los
sistemas de seguridad de sus plantas slo se acepten ciertas tecnologas y homologue 2, 3 o
como mucho 4 equipos diferentes, esto es una norma comn de empresas multinacionales
como EXXON, BASF, DOW, BAYER, REPSOL, BP, etc
Los sistemas neumticos aunque no muy usados actualmente, son equipos
perfectamente apropiados para ciertas aplicaciones. Los sistemas neumticos son
tpicamente usados en aplicaciones pequeas donde se requiere simplicidad, seguridad
intrnseca y donde no se dispone de posibilidad de suministro de energa elctrica en la
zona de aplicacin. Una aplicacin comn ha sido la industria offshore (plataformas
petrolferas fuera de costa), donde los sistemas deben funcionar sin energa elctrica. Son
sistemas fail-safe, un fallo o fuga resulta en el sistema una despresurizacin iniciando el
139
paro seguro de la planta. Precisa de gas seco y limpio. Un mal secado o filtrado del gas
puede ocasionar fallos en el sistema peligrosos como bloqueos de vlvulas, obstrucciones
de lnea, corrosin, etc. que hacen que el sistema no pueda funcionar cuando sea requerido.
Para evitar estos problemas se requieren frecuentes pruebas de funcionamiento (de forma
estndar mensualmente).
Los sistema con rels (aparecen en los aos 60) se basan en lgica cableada cuyos
principales elementos son rels. Se utilizan en sistema muy pequeos (menos de 15 I/O).
Son seguros y pueden alcanzar requerimientos SIL 3 si se realiza un diseo correcto.
Tienen un coste bajo, son inmunes a la mayora de la interferencias EMI/RFI, pueden
trabajar a diferentes rangos de tensin y poseen un tiempo de respuesta rpido (ms rpido
que un PLC). Se trata de un sistema fail-safe, esto significa que el modo de fallo es
conocido y predecible si trabajamos con rels de seguridad.
Como principales inconvenientes encontramos:
Paros molestos (spourious trips). Los sistemas con rels no suelen ser
redundantes, por lo que un fallo en un rel puede resultar un paro del proceso.
Complejo para sistemas grandes. Como mayor sea el sistema menos manejable
ser, la lgica rel se complica hasta el punto de llegar a perder la trazabilidad en un
seguimiento del circuito. Un sistema de 15 I/O es trazable. Un sistema de 500 I/O es
prcticamente imposible de seguir.
Cambio de lgica manual. Cualquier cambio de la lgica requiere un cableado y

un cambio de documentacin manual. El tener la documentacin actualizada requiere
un gran esfuerzo y un estricto seguimiento de los procedimientos. Imaginemos
cientos de rels conectados entre ellos en un panel, es difcil de seguir, difcil de
documentar y difcil de manipular. Estos problemas, junto con otros, fueron los que
llevaron al desarrollo de los PLC.
No existe interfaz de comunicacin. No existe la posibilidad de comunicacin con

otros sistemas.
No incorporan ningn estndar para realizar test y bypases. Estos se pueden

realizar incrementando considerablemente la complejidad y el coste de los paneles.
Solo admite seales digitales. No est pensado para la utilizacin de seales

analgicas de forma segura (fail-safe)
Sistemas de estado slido (surgen en los aos 70). Son lgicas cableadas sin software
y estn basadas en rels de estado slido. Los sistemas de estado slido (tecnologa
CMOS) fueron diseados para sustituir a los rels. Aunque an hoy en da son utilizados
para pequeas aplicaciones empiezan a estar en desuso. El principal defecto de los sistemas
de estado slido es que la probabilidad de modo de fallo es de 50/50 (50% fail safe y 50%
fallo peligroso).
Principales ventajas:
Capacidad de test y bypass. Los sistemas de estado slido dedicados a seguridad
incluyen estndar de test y posibilidad de bypasear (con llaves).
Comunicacin serie. Algunos sistemas tienen la posibilidad de realizar

comunicacin con sistemas externos, normalmente usado para alarmas y para
visualizar el estado del sistema.
Sistemas rpidos. Pueden llegar a ser ms rpidos que un PLC.

140
Sistemas diseados para altos niveles de integridad de seguridad.
Principales inconvenientes (muy similares a los del sistema rel):

Complejidad. Son sistemas cableados, por lo que los paneles suelen ser complejos
de seguir y cualquier modificacin ha de ser cableada y documentada manualmente.
Lgica binaria. Son sistemas que se basan en la lgica ON/OFF como los rels.
No son capaces de realizar control analgico ni PID, aunque son capaces de adaptar
seales analgicas de entrada sin que puedan ser utilizadas en aplicaciones con
funciones matemticas.
Alto coste. Son sistemas muy caros, en muchos casos ms caros que un PLC con
redundancia triple.
Los primeros usos de los sistemas de estado slido fueron en aplicaciones pequeas
que requeran un alto nivel de seguridad, incluso SIL 4.
Como hemos comentado la utilizacin de estos sistemas estn en desuso. Slo para
muy pequeas instalaciones y para quienes no quieran depender de un software se utilizan
los sistemas con rels o los sistemas estado slido, y entre ambos para aquellos que quieran
ms funcionalidad se utilizarn los sistemas estado slido.
Sistemas basados en PLCs. Tecnologa que aparece en los aos 80. Desde su
aparicin han sido ampliamente utilizados en aplicaciones de proteccin y seguridad. Son
sistemas basados en software que requieren programacin ofreciendo un gran nmero de
ventajas como:
Coste razonable.
Facilidad y flexibilidad para hacer cambios.
Permite la comunicacin serie con otros sistemas.
Fcil documentacin.
Ocupan un tamao reducido.
Interfaz con el operador.
Sin embargo el diseo inicial del PLC no estaba concebido para aplicaciones de
seguridad y eran utilizados en tareas para las que no haban sido concebidos. Muchos
PLCs no tenan la capacidad de realizar diagnsticos, no eran fail-safe, es decir, no
garantizaban el conmutar a una posicin segura en caso de fallo, ni podan ofrecer un nivel
de redundancia para ser usados por encima de SIL 1.
Los principales modos de fallo detectados en los PLCs y que por tanto no
aconsejaban su uso para seguridad fueron los siguientes:
La CPU deja de ejecutar el programa.
Las entradas/salidas dejan de verificar los valores de proceso actuales, por lo que
las decisiones son tomadas en base a unos datos no reales.
Las seales digitales de entrada pueden quedar en posicin abierta 0 o en

posicin cerrada 1, por lo que la CPU no recibe el valor real del proceso.
Los valores de salida digitales quedan congelados en un valor 0 o 1 no

respondiendo a las rdenes de la CPU.
141
Un fallo en la memoria de la CPU hace que el programa se ejecute de forma no

correcta.
La ejecucin del programa se puede detener por fallo del temporizador guardin.
Para solucionar estos problemas se empez a desarrollar lo que actualmente se

conocen como PLCs de seguridad (SPLC 1). Actualmente es la tecnologa de control ms
utilizada.
PLCs de seguridad. Los PLCs de seguridad (tambin conocidos como PES
Programmable electronic systems, IEC 61508) aparecen a finales de la dcada de los 80 y
como principales rasgos incorporan un alto nivel de diagnsticos, implementan
redundancia, y son PLCs certificados por entidades independientes (TV, FM).
Aparece el trmino redundancia y tcnicas de diagnstico para mejorar seguridad y
disponibilidad de PLCs de seguridad. Se tratan de sistemas TMR (Triple Modular
Redundant), sistemas que triplican los PLCs y realizan una votacin 2oo3. Introducidos a
final de la dcada de los 80 fueron los primeros sistemas diseados para aplicaciones de
seguridad. Al tener los circuitos triplicados y poder realizar cierto grado de diagnsticos en
cada entrada/salida, mdulos y circuitos funcionales, ciertos fallos son detectados y
reportados en forma de alarmas. Se trata de sistemas que alcanzan SIL 3 y estn
certificados por TV. Como ejemplo tenemos el TMR Tricon de Triconex (INVENSYS).
Posteriormente en los aos 90 aparecen sistemas que incorporan un alto grado de
autodiagnsticos (D) que unido a una votacin 1oo2D o DMR dan niveles comparables de
disponibilidad y seguridad con ms tolerancia a fallos y menos coste que los sistemas
TMR. Tambin son sistemas certificados por TV y de acuerdo con los estndares IEC
61508 para cumplir con SIL 3. Ejemplo de estos sistemas son: FSC de Honeywell, Master
Safeguard de ABB y el H41q/H51q de Hima.
Una ltima generacin de PLCs de seguridad empieza a surgir en el ao 2000.
Emplea un altsimo grado de diagnstico (D) para alcanzar altos niveles de seguridad
funcional. La redundancia es opcional para alcanzar alta disponibilidad ya que al ofrecer
tan alto grado de diagnstico no es necesaria la votacin entre elementos para alcanzar
niveles de integridad SIL 3. Son sistemas altamente modulares y escalables. Ofrecen una
alta integracin con el DCS. Algunos Incorporan tecnologas de bus de campo (profisafe
DP) y herramientas avanzadas de programacin. Son sistemas tolerantes a ms de un fallo
a la vez. Tambin son sistemas certificados por TV y de acuerdo con los estndares IEC
61508 para cumplir con SIL 3. Ejemplo de estos sistemas son: SIMATIC S7 400 F/FH de
Siemens, DeltaV SIS de Emerson, 2oo4D FSC Release de Honeywell y ProSafe-RS de
Yokogawa.
Estos sistemas de ltima generacin son los llamados sistemas FMR (Flexible
Modular Redundancy).
En resumen existen diferentes tecnologas de control para aplicar en nuestros
sistemas de seguridad. La eleccin de cada una de ellas depende del grado de seguridad
que queramos obtener, de la inversin que se quiera realizar y de la cantidad de variables
que se quieran controlar.
Como el mercado es muy amplio las compaas crean estndares propios basndose
en las normas y guas existentes (IEC 61511, IEC 61508, etc.) y que cumplen con las
SPLC (Safety PLC), PLC de seguridad.
142
directivas existentes (ej. Seveso II en Europa). En estos estndares se marcan que

productos pueden ser utilizados en sus instalaciones y de qu forma para poder cumplir con
el SIL meta establecido en el anlisis de riesgos. Hoy en da, la tecnologa preferida por la
mayora de las empresas para nuevas aplicaciones SIS son los PLCs de seguridad (PES,
programmable electronic systems) por modularidad, disponibilidad de operacin y de
seguridad, alta capacidad de diagnsticos programables y facilidad de integracin y
programacin. Estamos hablando siempre de SPLCs certificados por organizaciones
independientes como TV o la americana FM.
[1]
[2]
7.5.6 PLC de seguridad

Si hablamos exclusivamente de sistemas programables electrnicos (PES) tambin
conocidos como PLCs de seguridad todos los requerimientos del PES a utilizar en el
sistema de seguridad deben estar especificados en las especificaciones de los requisitos de
seguridad (SRS). Como requerimientos bsicos contemplamos los siguientes:
Por lo general una empresa ha de elegir un SPLC aprobado por un organismo
certificado (TV, FM), de forma que cubra hardware, firmware, software de
ingeniera y utilidades de comunicacin.
Las funciones automticas de diagnsticos deben poder ser realizadas por el

programa de aplicacin, aunque ya disponga de un alto grado de diagnsticos.
El estado seguro de un SPLC y de los elementos de campo conectados a l debe

ser desenergizado o bajo (0).
Las seales implementadas sern, si es posible, analgicas para facilitar los
diagnsticos.
La conexin de elementos de campo redundantes al SPLC se realizar en tarjetas

de entrada o salida diferentes para aumentar disponibilidad y seguridad y evitar fallos
de causa comn. Estas seales redundantes deben ser comparadas por discrepancia
en la aplicacin software del SPLC. Los requerimientos para la conexin fsica de
estos elementos al SPLC deben estar en el manual del fabricante.
A la hora de configurar adecuadamente el SPLC se debe tener cuidado en asegurar

que todos los parmetros del sistema estn configurados dependiendo de cada aplicacin
especfica de seguridad. Se dar una atencin especial a:
El nivel SIL de la SIF.
Tiempo de ciclo mximo.
Arquitectura del sistema.
Tiempo de respuesta.
Tiempo lmite de monitorizacin y comunicacin.
143
Configuraciones I/O 1 y conexiones.
Acceso limitado de comunicacin externa (p. ej. con el BPCS).
Reaccin de las I/O y los sistemas de fallo.
Cualquier requerimiento definido en el documento de aprobacin del certificado

de seguridad (expedido por TV o FM) que acompaa al SPLC o PES.
7.5.6.1 Software de Aplicacin

La norma IEC 61511 describe 3 tipos de software: aplicacin, de servicios, y
embebido. El software de aplicacin es el que el usuario del sistema escribe y descarga al
controlador, es la lgica de seguridad. El software de servicios se utiliza para desarrollar y
verificar el programa de aplicacin. Software embebido es suministrado como parte del
sistema programable, es el firmware. Los dos ltimos estn regulados para aplicaciones de
seguridad por la IEC 61508, los cuales son explcitamente indicados en el certificado de
cumplimiento para aplicaciones de seguridad. En el caso del primero, que es el software de
aplicacin tiene la flexibilidad de desarrollar las SIF definidas por la especificacin de los
requerimientos de seguridad (SRS) lo cual debe cumplir con un ciclo de vida de seguridad
para el software, que est totalmente regulado por la IEC 61511 y la ANSI/ISA-84.00.012004. Este ciclo de vida toma como base la informacin de las SRS del SIS y la
arquitectura de los mismos previamente aprobados junto con las caractersticas propias del
sistema.
Asimismo la norma IEC 61511 contempla tres tipos de lenguaje software: fixed
program languages (FPL), limited variability languages (LVL), full variability languages
(FVL). FPL el usuario slo puede ajustar ciertos parmetros como el rango de un
transmisor, la lgica est fijada. LVL contiene funciones de librera predefinida de
funciones predesarrolladas y testeadas, incluyen lgicas de escalera, lgica secuencial,
funcin de diagramas de bloques. Este tipo de lenguaje permite al usuario combinar las
diferentes funciones para configurar o programar la aplicacin lgica requerida. FVL son
lenguajes mucho ms complejos y permiten un mayor rango de funcionalidad, Pascal y C
son dos ejemplos. Este ltimo est diseado para ser comprensible por programadores.
Actualmente muchos software de programacin para la electrnica programable (PE)
de los Sistemas Instrumentados de Seguridad emplean La Matriz de Causa Efecto para
configurarlos (un ejemplo es SIMATIC Safety Matrix de SIEMENS) y que es considerada
como una herramienta de configuracin, dado que funcionalmente es la representacin
grfica de la matriz causa efecto y est basada y crea internamente bloques funcionales o
alguna representacin en lenguajes LVL para desarrollar las distintas funciones de
seguridad de cada funcin instrumentada de seguridad que se indica en las propias
especificaciones de requerimientos de seguridad del SIS.
El estndar IEC 61511 se limita a tratar el desarrollo del software de aplicacin
usando los lenguajes FPL o LVL. La mayora de compaas recomiendan el uso de
lenguajes tipo LVL.
Un software de aplicacin para programacin de la lgica de seguridad ha de ser
desarrollado de tal forma que logre:
Modularidad y funcionalidad.
I/O son las entradas y salidas del sistema
144
Facilidad para probar la funcionalidad, incluyendo caractersticas de tolerancia a

fallos.
Posibilidad de realizar modificaciones seguras.
Posibilidad de aadir comentarios y nombres comprensibles a las variables (tags).
El software debe ser fcilmente legible a travs de la pantalla y tambin a travs

de la documentacin impresa.
El diseo de cada mdulo de aplicacin ha de ser robusto, ha de chequear los

datos de las variables. Si existe un error en alguna de las variables ha de ser capaz de
reconocerlo, reaccionar y corregirlo (incluyendo deteccin de fallo de la
instrumentacin de campo, como fuera de rango, seales pegadas, etc.).
En sistemas integrados con software comunes (ej. DeltaV SIS y DeltaV de

EMERSON o SIMATIC PCS7 y SIMATIC S7-400FH de SIEMENS) que utilizan un
software de aplicacin equivalente para seguridad y para control, los mdulos
programados de seguridad estarn separados de los de control y estarn etiquetados
como mdulos relativos a la seguridad.
Cada fabricante de SPLC certificados para seguridad incorporan su lenguaje de

programacin, su software de aplicacin, junto con su ciclo de vida y cumpliendo en gran
medida con todos los requisitos aqu mencionados.
Una de las ventajas de utilizar un sistema programable es la capacidad para probar la
lgica. Podemos realizar simulaciones con el SPLC fuera de lnea. La mayora de los
fabricantes entregan con sus equipos un programa de simulacin que permite probar la
aplicacin durante su desarrollo y una vez desarrollado.
Una vez se ha realizado la programacin y previo a la conexin de los elementos de
campo se ha de realizar un test del software para comprobar la funcionalidad lgica y la
interface con el operador del SPLC. Siempre se ha de testear el programa antes de su
instalacin definitiva en planta. Este test del software se realizar durante las pruebas FAT
(Test de Aprobacin en Fbrica) (Ver captulo 7.7 Pruebas de aceptacin de fbrica (FAT,
Factory Acceptance Test)).
En general:
Especificacin de los requisitos de seguridad (SRS) basados en el anlisis de
riesgos y peligros.
Hardware:
Diagramas de lazo y cableado.
Descripcin de la interface y diagramas.
Puntos de ajuste de parmetros del sistema.
Documentacin certificada de aprobacin del SPLC y sus componentes
Programa de aplicacin:
Descripcin del programa de aplicacin.
Descripcin de las funciones de librera.

145
Lgica programada.
Lista de variables, constantes,
Identificacin de las funciones de no-seguridad.
Copia del programa de aplicacin, escrita y guardada electrnicamente.
Pruebas:
Pruebas realizadas y resultados.
Persona/s que realizan la prueba y persona que lo aprueba.
Fecha de la prueba.
7.5.6.3 Operacin, mantenimiento y modificacin

El fabricante del SPLC indica en su manual de seguridad el ciclo de vida del equipo
y el mantenimiento preventivo que debe realizarse para asegurar su correcto
funcionamiento como:
Inspeccin peridica del armario/cabina donde se encuentra el SPLC para
inspeccin visual y eliminacin de polvo.
Inspeccin peridica de la refrigeracin del armario.
Cambio de bateras del SPLC, segn especificacin del fabricante.
Mantenimiento del UPS de la planta, incluyendo bateras.
Realizacin de Back ups despus de cada modificacin del software del SPLC y
como mximo anualmente a fin de tener siempre la ltima versin del programa instalado,
que nos asegure una rpida configuracin del sistema. (Ejemplo ANEXO Q: Proteccin de
la informacin).
Etc.
Las tarjetas I/O y controladores (CPUs) que estn en fallo o contengan algn
elemento en fallo debern ser cambiados inmediatamente. Si se trata de elementos
redundantes se podr hacer en lnea, teniendo en cuenta el tiempo lmite programado que
puede un sistema estar en un escenario de fallo antes de llevar el sistema a paro.
Se han de realizar test de funcionalidad del SPLC y de las funciones de seguridad
(ver captulo 7.9.2 Pruebas funcionales e inspeccin (Proof Testing)) y se han de leer
regularmente la lista de errores y eventos que recopila el SPLC, en una herramienta que se
llama SOE (secuencia de eventos).
El software de aplicacin debe estar protegido mediante passwords para evitar
cambios por personal no autorizado. El operador de planta no debe tener acceso al sistema
de seguridad ni posibilidad de cambio en el programa de aplicacin. (Ejemplo ANEXO Q:
Proteccin de la informacin).
Todos los cambios realizados deben estar documentados y aprobados.
En sistemas de seguridad, realizar una modificacin del programa, manipular una
tarjeta del sistema, realizar un cambio de cualquier tipo implica una situacin peligrosa,
por lo que slo personal autorizado podr acceder a la aplicacin software, a los
parmetros del sistema y al sistema hardware.
146
Cuando se deba hacer una actualizacin del firmware para actualizar versiones del
sistema, esta se har con la planta parada y por personal especialista en el sistema, a ser
posible personal de mantenimiento e ingeniera del fabricante.
Es una buena prctica el realizar un contrato de mantenimiento con el fabricante del
equipo de tal forma que el cliente, en este caso la empresa propietaria del SPLC se asegure
principalmente:
De que cualquier intervencin es su equipo de seguridad lo har personal
cualificado y certificado.
Estar informado de posibles eventos e incidentes que puedan suceder en equipos

similares en otras plantas y que pudiesen reproducirse en su sistema.
Estar informado del estado del SPLC frente a su ciclo de vida.
Guardar la ltima versin del programa instalado.
[1]
[2]
[3]
Catlogo DELTA V SIS for Process Safety Systems. Published by EMERSON.
7.5.7 Seleccin de equipos. Equipos Certificados o uso previo

El objetivo es escoger el equipo apropiado para el propsito requerido, desde
elementos finales y sensores hasta los resolvedores lgicos (PLCs de seguridad
normalmente).
La normativa IEC 61511 parte 1, recomienda que los equipos utilizados en los
sistemas instrumentados de seguridad se seleccionen basndose en una certificacin IEC
61508 para el SIL apropiado, o en una justificacin basada en el criterio de uso previo.
Actualmente existe una tendencia a certificar los instrumentos para sistemas de
seguridad segn la normativa IEC 61508. Estos instrumentos, (transmisores, PLC de
seguridad, actuadores, solenoides, vlvulas, etc.) se diferencian de los convencionales por
el nivel de diagnsticos que soportan. Como resultado final del proceso de certificacin se
emite un certificado donde se especifica el nivel de integridad SIL para el cual el producto
est calificado y las normativas que fueron usadas para la certificacin. Estos equipos
cumplen con todos los requerimientos de la norma IEC 61508. Comentar que hay
productos que se certifican con alguna restriccin y esencialmente indica cuando el
producto no cumple alguno de los requerimientos de la normativa. Estas restricciones se
detallan en el manual de seguridad del equipo y han de tenerse en cuenta a la hora de
disear el sistema de seguridad.
Todo equipo, por tanto, ir acompaado de su manual de seguridad donde se
especifica:
Requerimientos y restricciones para el uso.
Lmites ambientales.
Ajustes adicionales y opcionales.

147
Informacin de tasas y modos de fallos.
Informacin sobre vida til.
Estimaciones del factor b de fallos en modo comn.
Procedimientos de inspeccin y pruebas de calibracin.
Para poder obtener la certificacin hace falta que un tercero independiente realice
una evaluacin de seguridad para certificar que el equipo cumple con todos los
requerimientos de la normativa IEC 61508 (ejemplo TV, FM y EXIDA).
Para equipos basados en el criterio de uso previo la normativa IEC 61511 no da
detalles especficos acerca de lo que realmente significa. Sin embargo todo el mundo
acepta que si una empresa tiene muchos aos de experiencia con xito sobre un equipo (sin
fallos peligrosos), y adecuadamente documentado se puede justificar el uso del
instrumento, aun cuando no cuente con certificacin de seguridad.
Para ayudar a los usuarios finales, muchos fabricantes anexan evaluaciones
realizados por terceros que incluyen:
FMEDA (Failures Modes, Effects and Diagnostics Analysis): el fabricante provee

informacin sobre las tasas de fallos y los modos de fallos. Se trata de una gua de
anlisis para calcular y clasificar las tasas de fallos y el SFF (Safe Failure
Fraction) de un equipo electrnico o mecnico de acuerdo con los requerimientos
de la IEC 61508. Un ejemplo es EXIDA que realiza estudios FMEDA para
empresas fabricantes como EMERSON, Endress&Hauser, ABB y otros.
Uso previo: el fabricante provee historia de modificaciones e informacin de

comportamiento en campo. Se trata de componentes o subsistemas que se ha
demostrado por la experiencia que no experimentan fallos a lo largo de un periodo
de tiempo suficiente, por lo que pueden ser considerados como aptos para su uso.
La norma IEC 61508 parte 7 anexos B.5.4 y la IEC 61511 parte 1 seccin 11.4.4 y
11.5.3 indica que requerimientos deben cumplir estos componentes.
En ambos casos se acepta la utilizacin del instrumento sin la certificacin de

seguridad hecha por un tercero (TV, FM, EXIDA, etc.) segn IEC 61508 y IEC 61511.
Normalmente las grandes compaas con grandes recursos suelen tener un listado de
equipos autorizados para ser usados en seguridad y una arquitectura definida para cada SIL
objetivo. Con lo que se facilita y estandariza la ingeniera, diseo e instalacin de las
funciones instrumentadas de seguridad segn el SIL objetivo a lograr.
Si se usan equipos no estndares de la compaa se debe hacer un estudio de
seguridad y clculos para comprobar que se alcanza el SIL objetivo, por esta razn se
estandarizan sus arquitecturas y equipos en temas de seguridad con el fin de tener un
estndar global y de facilitar el diseo de nuevos sistemas de seguridad.
[1]
[2]

www.emersonprocess.com
[3]
[4]
http://www.exida.com
148
7.5.8 Tolerancia a Fallos Hardware (HFT). Seleccin de Arquitectura.

En todo sistema de seguridad lo que se pretende es alcanzar un sistema tolerante a
fallos sin comprometer la seguridad del proceso. Un sistema tolerante a fallos es aquel que
es capaz de continuar realizando la funcin de seguridad en presencia de uno o ms fallos
peligrosos en hardware.
La redundancia es la tcnica usada para conseguir un sistema tolerante a fallos. El
sistema ms comn de redundancia de hardware es la votacin por mayora. La votacin es
adecuada para fallos imprevistos que afectan a las acciones del sistema y se compensan
con funciones redundantes que enmascaran el sistema. La redundancia del sistema vendr
definida por la arquitectura seleccionada para el sistema. La seleccin de arquitecturas es
una actividad que debe ser definida durante el paso del diseo conceptual. La arquitectura
tiene un fuerte impacto sobre la integridad de la seguridad del sistema.
Hemos de determinar qu nivel de redundancia requerimos para lograr el SIL
objetivo y disponibilidad para todos los elementos que forman parte del SIS (sensores,
revolvedor lgico y elementos finales). Un ejemplo de esto se puede dar en un SIS que
requiera una arquitectura 1oo2 para alcanzar el nivel SIL requerido pero resulta que
preocupa posibles paros molestos (spurious trip), en esta situacin podemos elegir una
estructura 2oo3 que mantiene el nivel integro de seguridad pero aporta una mayor
disponibilidad.
Que 2 sensores fallen a la vez es difcil, pero puede producirse ya que existen los
fallos de causa comn y fallos sistemticos que podran afectar a varios sensores a la vez,
Los fallos de causa comn normalmente van asociados a factores externos como, calor,
vibracin, corrosin o errores humanos. Los errores sistemticos son errores de diseo. Por
lo que se recomienda que:
Mltiples sensores vayan conectados al proceso en diferentes ramas.
Mltiples sensores y equipos se alimenten de diferentes suministradores.
La seal de los sensores y equipos hasta el SIS vaya por diferentes caminos.
Otras recomendaciones que se pueden considerar en el diseo son:
Uso de diferentes tecnologas para una misma medida (p.ej. flujo por placa de
orificio y por medidor de turbina).
Utilizar redundancia diversa (diferente tecnologa, fabricante, diseo, software,

etc.) con el fin de reducir la influencia de los fallos de causa comn solo si es
estrictamente necesario.
Como hemos dicho HFT indica la capacidad que tiene un componente o subsistema a
realizar su funcin de seguridad incluso bajo alguna condicin de fallo. Un nivel 1 de HFT
significa que hay 2 equipos con una arquitectura tal que un fallo peligroso en uno de ellos
no impide la accin de la funcin de seguridad.
En este contexto HFT N significa que N + 1 fallos hardware puede ocasionar la
prdida de la funcin de seguridad.
Redundancia es un trmino que se utiliza en automatizacin para conseguir,
esencialmente, disponibilidad.
Repasemos el concepto de probabilidad de fallo en demanda. En sistemas sin
diagnstico el comportamiento de un sistema de seguridad se basa en la siguiente figura
7.5.8.1:
149
Figura 7.5.8.1 Probabilidad de comportamiento en un sistema sin diagnstico
PFD + PFS + Disponibilidad = 1
PFD: Probabilidad de que el sistema falle en forma peligrosa. Ante una demanda del
sistema este no actuara. Provoca una situacin peligrosa.
PFS: Probabilidad de que el sistema falle de forma segura. Provoca paros molestos.
Disponibilidad: Probabilidad de que el sistema realice con xito la funcin para la
que fue diseado en el instante de tiempo requerido
Ligado a la evolucin de los sistemas de seguridad, en un principio lo que se
pretenda lograr era disminuir las probabilidades de fallo en demanda (PFD) 1, mantener el
sistema seguro y alcanzar el SIL meta especificado para cada funcin de seguridad. Con
este fin se empez a aplicar el concepto de redundancia.
Por otro lado tambin era necesario evitar los paros innecesarios (paros molestos o
spourious trips) no producidos por una desviacin real del proceso sino por algn fallo en
modo seguro de algn componente y que llevan al paro de la planta con todos los
inconvenientes que se pueden derivar, prdidas econmicas, condiciones de paro
inestables, etc. En este caso tambin se recurre a la redundancia para aumentar
disponibilidad. Un caso tpico es utilizar fuentes redundantes de alimentacin para
aumentar disponibilidad. Son redundancias que estn a la espera.
En el siguiente anlisis utilizaremos siempre las ecuaciones simplificadas, sin tener
en cuenta los efectos de los fallos de causa comn, fallos sistemticos y en sistemas con
diagnsticos o sistemas con HFT > 1 la parte que debe ser aadida al PFD debida al tiempo
de reparacin del elemento en fallo (MTTR). Asimismo consideraremos sistemas fail safe
que en seguridad considera desenergizar para situacin segura.
PFD (Probabilidad de fallo en demanda): El sistema no acta cuando se produce una demanda, existe
una situacin peligrosa en el proceso. PFS (Probabilidad de fallo seguro): El sistema de seguridad acta sin
razn alguna.
150
Los principios de exclusin o tolerancias de fallos para subsistema 1 individuales son:
Arquitectura 1oo1 (1 out of 1)
PFD = D * Ti (1)
PFS = S * Ti (2)
NOTA: Ver el captulo 7.5.4.3 para ver cmo se llega a la ecuacin simplificada de
Probabilidad de Fallo:
PF (t ) * t
Utiliza un sistema de canal simple. Un fallo se traduce en la prdida de la funcin de
seguridad y en la parada del proceso. HFT = 0.
Fallo seguro: El contacto rel abre e interrumpe el suministro de energa a la
electrovlvula.
Fallo peligroso: Contacto rel soldado, imposible interrumpir el suministro de
energa a la electrovlvula.
Arquitectura 1002
Para disminuir la probabilidad de fallo en demanda (fallo peligroso), una de las

opciones por las que se opt fue duplicar y seriar el hardware. Para que el sistema falle en
Segn IEC 61511 por subsistema se entiende cualquier elemento del sistema que puede ser otro
sistema, bien de control o controlado, y puede incluir hardware, software e interaccin humana. Un sistema
incluye los sensores, los SPLCs, los elementos finales, las comunicaciones y equipos auxiliares
pertenecientes al SIS (cables, tubing, fuentes de alimentacin, etc.)
151
demanda de forma peligrosa es necesario que fallen los dos canales. El sistema slo
necesita un canal para realizar la funcin de seguridad.
Si un canal falla el sistema se degrada a un sistema 1oo1, por lo tanto tiene un
HFT=1.
De la aplicacin de rbol de fallos llegamos a las siguientes ecuaciones:
PFD = ( D *Ti ) (3)
PFS = 2 * (s * Ti ) (4)
Como D y S son < 0, vemos que este sistema es mucho ms seguro que un 1oo1,
llegando a valores de SIL 3, pero duplica la probabilidad de fallo seguro, disponibilidad
operacional baja, sistema molesto.
Arquitectura 2oo2
Este sistema no es muy utilizado debido a que es un sistema poco seguro, aunque sea
un sistema altamente disponible.
Del anlisis del rbol de fallos llegamos a:
PFS = ( S *Ti ) (6)
PFD = 2 * ( D * Ti ) (5)
152
Como vemos no es un sistema seguro, ambos canales han de activarse para realizar
la funcin de seguridad. Si un canal falla no se producir la funcin de seguridad, se trata
de una arquitectura con SIL 0. La disponibilidad operacional del sistema es alta.
De la misma manera que un sistema 1oo1 el fallo de uno de los canales implica la
perdida de la funcin de seguridad, por tanto HFT=0.
Arquitectura 2oo3
Con este sistema se busca aumentar la seguridad y a la vez aumentar la

disponibilidad operacional de la planta, evitando el efecto de los paros seguros.
Con este sistema se requieren que al menos dos elementos coincidan para realizar la
funcin de seguridad. Incrementa la disponibilidad operacional de la planta.
La funcin de seguridad de la planta sigue realizndose aun cuando si uno de los
canales falla. Incrementa la disponibilidad de seguridad.
Anlisis del rbol de fallos del sistema:
PFD = 3 * ( D * Ti ) (7)
2
153
PFS = 3 * ( S * Ti ) (8)
2
La gran ventaja de este sistema es que tiene una tasa de fallo seguro (disparos en
falso) mucho menor que un 1oo2, por lo que incrementa la disponibilidad de operacin,
aunque la probabilidad de fallo en demanda sea 3 veces mayor que un 1oo2, pero llega a
obtener valores SIL 3.
Asimismo puede tolerar el fallo de uno de sus canales (HFT=1), degradndose en un
sistema 2oo2 (SIL 0), que como hemos visto es el sistema ms peligroso y por tanto un
2oo3 degradado debe repararse rpidamente.
Este sistema fue el ms utilizado a finales de la dcada de los 70 y principios de los
80, hasta la aparicin de los sistemas con diagnsticos en la dcada de los 90.
Lo que realmente se busca es un sistema con mejor disponibilidad que un 2oo3, y un
mejor nivel de seguridad que un 1oo2 y con la capacidad de tolerar fallos sin comprometer
la seguridad. Con la capacidad de diagnstico lo que conseguimos es detectar fallos
peligrosos que pasan a convertirse en fallos seguros, por lo que solo deberemos
preocuparnos por los fallos peligrosos que el diagnstico no puede detectar y que sern la
base para calcular la seguridad del sistema.
Como se puede apreciar en las funciones instrumentadas de seguridad, los sensores,
los resolvedores lgicos (PLCs de seguridad en general) y los elementos finales debern
tener una tolerancia a fallo mnima para cumplir con los requisitos de seguridad. Asimismo
hemos visto que la tolerancia a fallos representa un mnimo de redundancia requerida para
satisfacer el nivel SIL meta de una funcin instrumentada de seguridad.
Con la aparicin de los diagnsticos surge una nueva variable que nos indicar la
efectividad del diagnstico segn la norma IEC 61511 parte 1. Se trata de la Fraccin de
Fallos Seguros (SFF) y se define como la razn entre la tasa promedio de fallos seguros
ms la tasa de fallos peligrosos detectados, sobre el total de las tasas promedio de fallos del
sistema.
Figura 7.5.8.2 Probabilidad de comportamiento en un sistema con diagnstico
154
Dnde:
SFF =
SD + SU + DD
SD + SU + DD + DU
(9)
Como vemos las tasas de fallos pasan a ser 4:

DU: tasa de fallo peligroso no detectable.
DD: tasa de fallo peligroso detectable.
SU: tasa de fallo seguro no detectable.
SD: tasa de fallo seguro detectable.
%SAFE: ratio de fallos que son fail-safe.
D: tasa de fallo peligroso.
D = TOTAL (1 % SAFE )
(10)
S: tasa de fallo seguro.
S = TOTAL % SAFE
(11)
La capacidad de diagnstico es medida por el factor de cobertura C, que representa el

porcentaje de fallos que pueden ser detectados:
CS: Factor de cobertura de fallos seguros.
CD: Factor de cobertura de fallos peligrosos.
Por tanto:
SD = S C S
(12)
SU = S (1 C S )
(13)
DD = D C D
(14)
DU = D (1 C D )
(15)
Ejemplo. Si tenemos un transmisor con una tasa de fallo de 500E-9 fallos por hora,
con un 62 % de fallos fail-safe, con factor de cobertura para fallos seguros del 74% y para
fallos peligrosos del 96%. Qu tasa de fallos tendr el transmisor? SFF del transmisor?
Qu SIL puede lograr dependiendo de la tolerancia a fallo hardware dispuesto?
TOTAL = 500 E 9
%SAFE = 0.62 (62%)
CS= 74%
CD= 96%
S = TOTAL % SAFE = 500 E 9 0.62 = 310 E 9 = 310 FIT 1
FIT: unidad fallos en tiempo. Indica el mximo de fallos en componentes por cada 109 horas de
funcionamiento.
1
155
D = TOTAL (1 % SAFE ) = 500 E 9 (1 0.62) = 190 E 9 = 190 FIT

SD = S C S = 310 0.74 = 229.4 FIT
SU = S (1 C S ) = 310 (1 0.74) = 80.6 FIT
DD = D C D = 190 0.96 = 182.4 FIT

DU = D (1 C D ) = 190 (1 0.96) = 7.6 FIT
SFF =
SD + SU + DD
229.4 + 80.6 + 182.4
=
= 0.9848 98%
SD + SU + DD + DU
500
Con SFF = 98% y tratndose de un dispositivo tipo B podemos decir:
(Ver apartado 7.5.8.1 HFT segn norma IEC 61511 y IEC 61508 de este captulo)
Indicar que todos los datos de tasas de fallos, ratios de cobertura de diagnsticos,
SFF, etc. son datos bsicos que han de proveer los fabricantes bien por Anlisis de Modos
de Fallos, Efectos y Diagnsticos (FMEDA) o por equipos de uso previo, para poder ser
utilizados en seguridad y son parmetros requeridos para la verificacin SIL. Se
recomienda utilizar equipos certificados por un organismo independiente (TUV, FM) que
justifique que cumple los criterios de la norma IEC 61508.
Arquitectura 1oo1D
Se trata de un sistema de un nico canal que incluye el autotest y un paro secundario

controlado por los diagnsticos que convierten un fallo peligroso en seguro. Salida es fallo
seguro.
Analizando el sistema:
= DD + DU + SD + SU (16)
Los fallos seguros no afectan a la seguridad de la planta aunque sean molestos e
impliquen un paro de proceso y con los diagnsticos somos capaces de detectar los fallos
156
peligrosos que se produzcan en el sistema e inhiben la capacidad de actuacin en caso de

demanda. Por tanto con diagnsticos podemos decir:
= DU
Como los fallos que pueden ser detectados dependen del factor de cobertura y es un
dato dado por el fabricante se deduce que:
DU = D * (1 C D )
(17)
SU = S * (1 C S )
(18)
Como ms se acerque el factor de cobertura a 1 para fallos en demanda, ms bajo

ser el valor de PFD. El sistema fallar cuando ocurra un fallo en demanda no detectado.
PFD = DU * Ti
(19)
PFS = SU * Ti
(20)
Con un sistema 1oo1D normalmente podemos alcanzar valores de SIL 2

dependiendo del factor de cobertura de que dispongan, aunque cada vez ms con los
equipos SMART (inteligentes) con una alta disposicin de diagnsticos podemos lograr
alcanzar SIL superiores.
Para obtener valores de SIL 3 debemos ir a arquitecturas 1oo2D.
Arquitectura 1oo2D
Se trata de un sistema de dos canales que incluyen el autotest y un paro secundario

controlado por los diagnsticos que convierten un fallo peligroso en seguro. Salida es fallo
seguro.
La funcin es idntica al 1oo1D pero incrementando la disponibilidad de seguridad y
de operacin.
Para que se produzca una fallo peligroso los dos canales deben fallar en forma
peligrosa, es decir los diagnsticos de ambos no deben haber detectado fallos peligrosas,
por tanto son fallos no detectados (DU) peligrosos. Notar que siempre hay un canal
157
calculando y otro verificando, por lo que cualquier variacin entre ambos canales ser
detectada por los diagnsticos que abrirn el circuito y avisarn del evento. Es decir el
valor de PFD 1oo2D es el producto del elemento que calcula y el que verifica.
PFD = (DU * Ti )
PFD = ( D * (1 C D ) * Ti )
(21)
2
(22)
De forma similar:
PFS = 2 * ( SU * Ti )
(23)
PFS = 2 * S * (1 C S ) * Ti
(24)
Con esta arquitectura se alcanzan niveles de integridad SIL 3. Esta arquitectura al

degradarse por falla peligrosa se convierte en un 1oo1D, se degrada a un nivel SIL 2.
Como vemos con la aparicin de los diagnsticos se logran sistemas mucho ms
seguros teniendo un fuerte impacto en la PFD y la disponibilidad del sistema. Los
diagnsticos slo tienen sentido si van acompaados de un buen sistema de alarmas y de
una reparacin rpida del componente en fallo. El diagnstico condujo a nuevas
arquitecturas que permiten la reconfiguracin del sistema una vez el diagnstico ha
detectado un fallo, ello lleva a configuraciones muy efectivas al proveer de valores muy
bajos de PFD y PFS, asimismo conseguir una mayor disponibilidad y en el caso de un
1oo2D tener un HFT=1.
Ya en los aos 2000 aparece lo que se denomina la 3 generacin de sistemas de
seguridad. Se trata de sistemas con un altsimo nivel de diagnsticos que permiten factores
de cobertura de diagnstico del 99.9%, lo que permite alcanzar seguridad independiente de
redundancia y votacin. En estos casos la redundancia es opcional y se utiliza para
alcanzar disponibilidad. Son sistemas altamente modulares y escalables con una alta
integracin en el DCS, hasta ahora el concepto era de separacin entre DCS y SIS, con esta
nueva generacin de sistemas este concepto est cambiando. Alcanzan certificaciones
TV de SIL 3 segn los estndares IEC 61508. Como se indic en el captulo 7.5.5
ejemplo de estos sistemas son: SIMATIC S7 400 F/FH de Siemens, Delta V SIS de
Emerson, 2oo4D FSC Release de Honeywell y ProSafe-RS de Yokogawa.
Se trata de arquitecturas FMR (Flexibles Modulares Redundantes).
Analizando la eq. (17) y la eq. (19) de un sistema 1oo1D llegamos a la expresin:
PFD = D * (1 C D ) * Ti
(25)
A medida que los diagnsticos son mayores el factor de cobertura se acerca al 100%,
C D tiende a 1, con lo que la PFD para fallos no detectados se acercar a 0 y los fallos
158
peligrosos detectados se convierten en fallos seguros por lo que el nivel de seguridad SIL
de una funcin depender de la tasa de fallos no detectados ( DU ). Si este valor es pequeo
podemos llegar a nivel SIL 3, y si es tan pequeo que duplicndolo sigue estando en los
valores de SIL 3 podemos decir que cualquier arquitectura que se disee con este elemento
Hardware se mantendr dentro del SIL 3. Es decir que podemos tener elementos
redundantes en cualquier sistema sin afectar la seguridad y aumentando la disponibilidad
(ver arquitectura 2oo2). Las arquitecturas FMR permiten mltiples fallas y poder trabajar
en modo degradado sin afectar el nivel de integridad de seguridad funcional original, aun
siendo este SIL 3. Ejemplos de esta arquitectura:
Simatic S7 400 F/FH de Siemens:
Figura 7.5.8.3 Ejemplo de FMR de Simatic S7 400 F/FH
Se trata de un sistema modular a todos los niveles. Los mdulos estn separados
fsicamente del controlador y conectados por un bus de comunicaciones estndar
certificado por TV para usos en seguridad funcional (Profisafe DP). Este bus permite la
comunicacin de cada componente con todos los dems.
El sistema puede tolerar mltiples fallas en diferentes componentes sin comprometer
la seguridad y sin parar la planta.
Una arquitectura que puede optar este sistema puede ser:
Figura 7.5.8.4 Ejemplo de configuracin Simatic S7 F/FH
159
1. Cada componente de cada elemento Hardware puede separarse fsicamente de los

dems (minimiza causa comn) y tiene capacidad de diagnstico independiente y
certificado a nivel SIL 3.
2. Tiene un valor de disponibilidad segura independiente de redundancia ya que tiene
un factor de cobertura altsimo.
3. Cada componente utiliza ms de un medio y procedimiento para intercambiar
informacin con los dems.
Despus de producirse 4 fallos, esta arquitectura continuar funcionando con su nivel
integral de seguridad inicial.
Figura 7.5.8.5 despus de 4 fallos el sistema sigue manteniendo la seguridad funcional.
Por tanto con esta configuracin se trata de un sistema que tolera 4 fallos hardware
HFT=4.
Para ms informacin consultar la pgina web http://www.automation.siemens.com.
Delta V SIS de Emerson:
Figura 7.5.8.6. Arquitectura de un mdulo de control DeltaV SIS redundante.
160
Se trata de un sistema altamente integrado con el DCS con un nivel de integracin

comn con el DCS DeltaV, utiliza la misma estacin de ingeniera y estaciones de
operacin que el DCS DeltaV. La arquitectura simple ya cumple con SIL 3 y est
certificada por TV, por lo que el equipo redundante no es necesario para aplicaciones con
requerimientos de SIL 3. Los diferentes mdulos se conectan usando una red redundante
de alta velocidad (High Speed SIS net). De la misma forma que el sistema Simatic S7 400
F/FH tiene una tolerancia a fallos elevada, que depende de la configuracin optada.
Constantemente realiza una funcin de supervisin del buen estado de la funcin
instrumentada, desde el instrumento de medida hasta el elemento final. Para mayor
informacin consultar la pgina web www.emersonprocess.com\DeltaVSIS.
Resumen evolucin tecnologa:
Ejemplo. Una compaa determina que para cierta aplicacin con SIL 3 requiere de 2
transmisores certificados segn la norma IEC 61508.
Concepcin tradicional sobre la funcionalidad del lazo indicara que dispare la
funcin de seguridad si se supera el punto de disparo de cualquiera de las 2 lecturas.
(1oo2).
Concepcin moderna sobre la funcionalidad del lazo mejora la disponibilidad y la
seguridad. Dispara la funcin de seguridad cuando una de las lecturas supera el punto de
disparo y la seal de lectura es correcta o cuando el estado de los 2 transmisores es
defectuoso. Nos da una alarma pero no disparo cuando existe un cortocircuito o fallo de un
solo transmisor (1oo2D). Con la concepcin tradicional esto no es posible.
La siguiente tabla presenta el resumen de las arquitecturas que hemos visto y que
suponen una evolucin en los sistemas instrumentados de seguridad.
Tabla 7.5.8.1. Evolucin de la arquitectura
7.5.8.1 HFT segn norma IEC 61511 y IEC 61508

Con la aparicin de los diagnsticos nos surge una variable de seguridad conocida
como la Fraccin de Fallos Seguros (SFF) (eq. 9) que nos indica simplemente el grado de
diagnsticos de un equipo programable. Resume en que a un mayor nivel de diagnsticos,
una menor redundancia ser necesaria para cumplir un SIL objetivo dado.
161
En el contexto del nivel de integridad de seguridad de los equipos, el nivel SIL

mximo que puede alcanzar un equipo est limitado por la tolerancia a fallos de hardware
y la fraccin de fallos seguros.
Para los revolvedores lgicos programables (PLCs de seguridad normalmente) la
mnima tolerancia al fallo hardware segn IEC 61511 ser el que se muestra en la siguiente
tabla:
Tabla 7.5.8.2. Nivel SIL para los revolvedores lgicos programables PE, relacin arquitectura/seguridad.
Como el SFF es un dato que nos debe dar el fabricante y que precisa de complicados
anlisis FMDEA o bien datos de la experiencia en campo proven in use se recomienda
utilizar sistemas certificados cuyos SFFs han sido determinados en el alcance de la
certificacin.
Para todos los dispositivos de campo como sensores, elementos finales y
revolvedores lgicos no programables la mnima tolerancia al fallo hardware segn IEC
61511 ser el que se muestra en la siguiente tabla:
Tabla 7.5.8.3. Nivel SIL para sensores, elementos finales y revolvedores lgicos no programables, relacin
arquitectura/seguridad
Teniendo en cuenta la diversidad de equipos de campo disponibles, algunos sin

diagnsticos, otros con un alto grado de diagnsticos, la tabla 7.5.8.3 tiene limitaciones
asociadas que son evidentes. Por lo que existe una serie de condiciones por las que el
mnimo HFT debe variar:
Incrementar en uno el mnimo HFT si el modo de fallo dominante no es hacia el

estado seguro o los fallos peligrosos no son detectados.
Reducir en uno el mnimo HFT si el hardware del equipo es seleccionado usando

el criterio de uso previo y el dispositivo permite slo el ajuste de los
parmetros relacionados con el proceso (rango de la medida, deteccin de fallo
por rango alto o rango bajo) y el ajuste est protegido (password) y la funcin
instrumentada tiene un requerimiento de integridad menor a 4.
De cualquier forma la tabla 7.5.8.3 indica que necesidad de redundancia de los

equipos de campo necesitamos para cumplir el SIL meta establecido, nos indica las
limitaciones de la arquitectura.
162
As como ejemplo, imaginemos que tenemos seleccionada una arquitectura como la

de la figura 7.5.8.7
Figura 7.5.8.7. Ejemplo de evaluacin de arquitectura.
Si determinamos el nivel de integridad hardware de la funcin de seguridad (tablas

7.5.8.2 y 3)
Sensor
SIL 1 (sin reduccin)
SPLC
SIL 2
Actuador
SIL 2 (con reduccin)
La funcin instrumentada de seguridad viene limitada por el sensor y como mximo

podr ser utilizada para SIL 1.
El subsistema con el SIL mnimo determina el SIL de la funcin instrumentada de
seguridad.
Una alternativa a las tablas anteriores son las tablas que presenta la norma IEC 61508
parte 2, seccin 7.4.3, donde el nivel mximo de integridad de seguridad viene dado por la
capacidad de tolerar fallos hardware (HFT) y la fraccin de fallo seguro (SFF) de cada uno
de los subsistemas 1 (Tabla 7.5.8.4), La normativa IEC 61508 diferencia entre dos tipos de
subsistemas:
Subsistema tipo A: Un subsistema puede clasificarse tipo A s, para los

componentes necesarios para lograr la funcin de seguridad:
1. los modos de fallo de todos los componentes que lo constituyen estn bien
definidas, y
2. el comportamiento del subsistema en condiciones de fallo pueden ser
plenamente determinado, y
3. existe suficiente informacin confiable de fallos, proveniente de la
experiencia en campo, para demostrar que se logran tasas de fallos peligrosos
detectadas y no detectadas declarada.
4. En general son sistemas simples donde se conoce el 100% de los fallos
posibles.
Subsistema tipo B: Un subsistema debe ser considerado como de tipo B s, para

los componentes necesarios para lograr la funcin de seguridad
1. el fallo de al menos uno de los componentes no est bien definido, o
1 Podemos considerar que un subsitema comprende un solo componente o un grupo de componentes.

Un sistema E/E/PE completo esta constituido por subsistemas identificables y diferenciables que unidos
realizan la funcin de seguridad considerada. Un subsistema puede estar constituido por diferentes canales.
E/E/PE es una definicin de IEC 61508 que equivale a SIS en IEC 61511.
163
2. el comportamiento del subsistema en condiciones de fallo no puede ser

plenamente determinado, o
3. no existen datos, obtenidos a travs de la experiencia en campo, plenamente
fiables para apoyar la tasa de fallos detectados o no detectados declarada.
4. En general sistemas ms complejos donde los posibles fallos no son
conocidos al 100%.
Tabla 7.5.8.4. Nivel SIL del subsistema, relacin arquitectura/seguridad. Subsistemas tipo A y B
Al realizar el anlisis de alcance de nivel SIL de un subsistema, entendiendo como

subsistema un conjunto de elementos que realizan una funcin identificable y
diferenciable, cada uno de los elementos del subsistema tendr asociado un valor SFF y un
valor SIL que determinar el valor global del subsistema. As la lectura de una variable por
el PLC de seguridad puede estar compuesta por un sensor, un convertidor de seal, una
barrera separadora, y la tarjeta de entrada al SPLC.
En los sistemas E/E/PE relativos a seguridad, cuya funcin de seguridad se ejecuta a
travs de un canal nico, el nivel SIL mximo que puede alcanzar la funcin de seguridad
tratada ser determinada por el subsistema que cumple los requisitos de nivel de seguridad
ms bajo.
Figura 7.5.8.8. Subsistemas en un canal realizando funcin de seguridad
As podemos analizar los subsistemas desde diferentes variantes. Ejemplo de un

canal de entrada:
Variante 1: Calculando el SFF para todo el canal de entrada, a partir de los datos
dados por el fabricante de los diferentes elementos.
El subsistema 1 est compuesto por el sensor, convertidor, separador, entrada, cada

uno de los elementos dispone de las tasas de fallos dadas por el fabricante (DD, DU, SD,
SU). Por tanto el SFF calculado del subsistema canal de entrada ser (eq. 9):
164
SFF =
+ +
+ + +
SD
SD
SU
SU
DD
DU
DD
El problema est en obtener todas las tasas de fallo de los componentes de una
manera fiable y como tratar los componentes con criterio uso previo IEC 61511. Los
componentes certificados por TV ya nos indican directamente el valor de SFF.
Variante 2: Conocidos los valores de SFF y de qu tipo de elementos se trata (A o
B), por la tabla 7.5.8.4 obtener el SIL mximo del subsistema:
Sensor
SFF = 65 %, tipo A
SIL 2
Convertidor
SFF = 98 %, tipo B
SIL 2
Separador
SFF = 89 %, tipo B
SIL 1
Entrada
SPLC SIL 3
SIL 3
Por lo tanto, en estas condiciones, el subsistema puede satisfacer un SIL 1, con

respecto a la arquitectura. Para realizar este anlisis bajo la norma IEC 61508 se requieren
todos los datos de SFF y tasa de fallos por parte del fabricante.
Variante 3: Combinacin de las dos anteriores. El sensor se estima por la tabla
7.5.8.3 y las reducciones por el criterio uso previo.
Sensor
uso previo reduccin 1
SIL 2 (IEC 61511)
Convertidor
SFF = 98 %, tipo B
SIL 2
Separador
SFF = 89 %, tipo B
SIL 1
Entrada
SPLC SIL 3
SIL 3
Por lo tanto, en estas condiciones, el subsistema puede satisfacer un SIL 1, con

respecto a la arquitectura.
Por otro lado s en un sistema E/E/PE relativo a seguridad, la funcin de seguridad se
implementa a travs de mltiples canales de subsistemas el mximo SIL hardware que
puede alcanzar la funcin de seguridad tratada ser determinada por:
Evaluacin de cada subsistema en relacin con los requisitos de la Tabla 7.5.8.4,

y
La agrupacin de los subsistemas y combinaciones, y
El anlisis de estas combinaciones para determinar el nivel de integridad de la

seguridad SIL global del equipo (hardware).
Consideremos el siguiente ejemplo donde la realizacin de la funcin de seguridad se

lleva a cabo por los subsistemas 1, 2, 3 4, 5, 3 tal y como se muestra en la figura 7.5.8.9.
Figura 7.5.8.9. Subsistemas multicanal realizando funcin de seguridad
165
Para determinar el nivel integro de seguridad hardware de la funcin de seguridad

realizaremos agrupaciones de subsistemas tal que:
1.
Agrupamos subsistemas 1 y 2. Obtenemos un SIL 2. El SIL viene dado por el

subsistema que tiene el nivel integro de seguridad ms bajo en un canal. En este
caso lo determina el subsistema 2.
2.
Agrupamos subsistema 4 y 5. Obtenemos un SIL 1. Mismo caso anterior.
3.
Si combinamos los subsistemas agrupados 1, 2 y 4, 5 el nivel integro de

seguridad hardware respecto a la tolerancia a fallos hardware se determina
decidiendo que agrupacin alcanza el nivel ms alto (en trminos de nivel de
integridad de seguridad) y que efecto tiene el otro subsistema agrupado en la
tolerancia a fallos hardware, en la nueva agrupacin de subsistema 1, 2, 4, 5. En
este caso el nivel ms alto se encuentra en la agrupacin 1, 2 (SIL 2), s un
evento o fallo ocurre en la agrupacin 1, 2 la funcin de seguridad se sigue
realizando por la agrupacin 4, 5. Este efecto hace que podamos incrementar en
uno el HFT de la agrupacin 1, 2 que hace que incremente en uno el nivel
integro de seguridad hardware de la agrupacin 1, 2 (ver tabla 7.5.8.4). Por tanto
el subsistema agrupado 1, 2, 4, 5 obtiene un SIL 3.
4.
El nivel integro de seguridad de la funcin de seguridad completa, subsistema

agrupado 1, 2, 3, 4, 5, respecto a la tolerancia a fallos hardware (HFT) vendr
dada por la combinacin del subsistema 1, 2, 4, 5 y el subsistema 3. Ambos
estn en un canal y por tanto el nivel SIL total vendr determinado por el
subsistema que tenga el nivel integro de seguridad hardware (SIL) ms bajo, en
este caso el subsistema 3, SIL 2. Por tanto podemos decir que el nivel mximo
integro de seguridad respecto a la tolerancia a fallos hardware de la funcin de
seguridad es SIL 2.
Figura 7.5.8.10. Reduccin de arquitectura en el subsistema multicanal ejemplo
Por tanto, la tolerancia a fallos depende de la arquitectura utilizada para realizar la

accin de seguridad.
Como ya se ha ido comentando las grandes empresas u organizaciones para facilitar
el trabajo y estandarizar productos realiza unos estndares propios globales basados en las
normas IEC 61508 y IEC 61511 donde se documentan arquitecturas capaces de alcanzar
los niveles SIL requeridos para la realizacin de la funcin de seguridad en funcin de los
intervalos de prueba de seguridad, tipos de conexiones, interfaces de comunicacin, tipo de
mantenimiento, etc. y en funcin a una lista estndar de equipos que pueden ser utilizados
en sistemas instrumentados de seguridad. Asimismo si por algn motivo no se puede
166
realizar la funcin de seguridad segn el estndar de la compaa se indica que

requerimientos, que anlisis, que clculos y que documentacin ha de cumplir los
elementos que salgan del estndar.
[1]
[2]

[3]
[4]

Systems. Parts 1-7, IEC (International Electrotechnical Comission). 1998.
[5]
7.5.9 Comunicacin entre el BPCS y el SIS

La comunicacin entre el BPCS y el SIS puede aumentar el conjunto de la seguridad
de la aplicacin. Pero hay que tener en cuenta que comunicaciones externas que puedan
escribir sobre el SIS pueden comprometer la integridad de la seguridad y hay que
asegurarse que esos valores sean vlidos. Por esta razn hay muchas compaas que en sus
estndares no permiten la escritura sobre el SIS. Los estndares de seguridad no prohben
esta comunicacin y la posibilidad de escribir en el SIS.
Es positivo tener la informacin del SIS en nuestras pantallas del DCS, informacin
como estado y lecturas de las I/O, bypass, alarmas, etc. Normalmente esto se hace con una
comunicacin serie desde el SIS al DCS. Actualmente todos los sistemas de seguridad
permiten la comunicacin serie.
Normalmente las plantas tienen sistemas de diferentes suministradores para
seguridad y para control, por lo que han de utilizar un protocolo comn de comunicacin,
el ms utilizado es el protocolo MODBUS. El problema de este protocolo es que lee
registros de memoria con valores y no las etiquetas (tags) de referencia. El utilizar
MODBUS requiere tener una documentacin de los registros de memoria actualizada, ya
que un cambio en la base de datos del SIS puede variar todos los valores de los registros
que estamos leyendo.
En general diremos que.
No habr comunicacin externa del BPCS al SIS. La comunicacin ser

unidireccional del SIS al BPCS, permitindose solo el paso de informacin del
BPCS al SIS en peticiones tipo request, es decir en modo peticin si y solo si la
funcin de seguridad me lo permite.
Se permitir la comunicacin cableada entre componentes comunes del BPCS y

SIS.
El SIS estar protegido contra escritura mediante contrasea.
167
7.5.10
Fuentes de energa
Las fuentes de energa ms comunes en sistemas de control y en sistemas de

seguridad principalmente son la energa elctrica y neumtica (aire de instrumentacin). La
conexin a tierra tambin se incluye en este apartado.
7.5.10.1 Fuentes de energa elctrica
La fuente de energa elctrica debe ser diseada para cumplir con las necesidades del
SIS tal y como se determina en la especificaciones de los requerimientos de seguridad. La
redundancia en las fuentes de energa elctrica es una prctica comn para mejorar la
fiabilidad del sistema SIS, aunque en muchos casos no es necesaria para lograr el ndice
SIL requerido en los sistemas de seguridad fail safe que desenergizan para el paro. Para
sistemas que energizan para el paro s que suele ser necesaria la aplicacin de redundancia
para conseguir los requerimientos de seguridad fijados.
Existen diferentes mtodos para proveer redundancia de fuentes elctricas, todas
ellas con sus pros y contras para cada aplicacin. Probablemente el ms utilizado sean los
sistemas UPS (Uninterruptible Power Supply), aunque existen otros como la utilizacin de
un backup de bateras o la utilizacin de una lnea elctrica alternativa que
automticamente pasa a suministrar energa en caso de cada de la primera lnea. En todos
los casos la conmutacin a una fuente de energa elctrica en caso de cada de tensin debe
cumplir unos requerimientos mnimos:
Deteccin de fallos previo a afectar al SIS.
Transferencia a la fuente secundara sin afectar a la operacin del SIS.
Capacidad de mantener las bateras o el sistema UPS sin afectar al SIS.
Minimizar fallos de causa comn.
Adicionalmente las unidades de energa deben contar con indicadores del estado en
que se encuentran las bateras o el estado de operacin del sistema UPS, as como de un
sistema de alarmas y diagnsticos que nos indiquen entre otras cosas el estado de
operacin del sistema redundante y que evite poner en funcionamiento el sistema SIS sin
todas las fuentes de energa disponibles.
Los PLCs incluyen fuentes de alimentacin que reducen y estabilizan el voltaje del
suministro elctrico, en estos casos ha de considerarse la redundancia en el suministro de
energa para cumplir con los requerimientos de fiabilidad de la aplicacin SIS. Los
sistemas electrnicos son sensibles al ruido elctrico por lo que un buen blindaje, unas
buenas prcticas en el cableado y una conexin apropiada a tierra, garantizar el buen
funcionamiento.
Las entradas y salidas del PLC deben tener distribucin separadas de energa para
minimizar el fallo de causa comn en caso de fallo en el cableado.
Los puntos a considerar en el suministro de corriente alterna son:
Rango de voltaje y corriente, incluyendo sobrecorriente transitoria.
Rango de frecuencia nominal.
Armnicos.
Cargas no lineales.
168
Tiempo de transferencia.
Proteccin por sobrecarga y cortocircuito.
Proteccin contra descargas atmosfricas.
Proteccin contra transitorios como ruidos y picos de tensin.
7.5.10.2 Conexin a tierra

Es preciso una adecuada conexin a tierra para el correcto funcionamiento y
proteccin de la instalacin, sobre todo para equipos electrnicos como los PLCs. La
conexin a tierra es uno de los puntos ms crticos en sistemas electrnicos, ms que para
los equipos elctricos (motores, etc.).
La conexin a tierra debe seguir las recomendaciones del fabricante, cualquier
variacin debe ser considerada y analizada, ya que no todos los sistemas con la misma
tierra se comportaran de la misma forma.
Los puntos a considerar en la conexin a tierra son:
Proteccin por corrosin.
Proteccin catdica.
Proteccin contra descargas atmosfricas.
Proteccin contra electricidad esttica.
Pruebas de conexin a tierra.
Barreras de seguridad intrnseca de conexin a tierra.
Fiabilidad de los terminales de conexin a tierra.
7.5.10.3 Fuentes de energa neumtica

La fuente de energa neumtica ms utilizada es el aire de instrumentacin (aire seco
y filtrado), aunque bien pueden utilizarse otros gases como nitrgeno. Principalmente se
usa para vlvulas de control, vlvulas todo/nada y en diferentes tipos de analizadores. El
aire de instrumentacin debe ser filtrado, secado y continuamente monitoreado para
asegurar que mantenga una presin apropiada. De la misma manera que las fuentes de
energa elctrica deben de disponer de un sistema redundante que asegure el suministro y
haga cumplir los requerimientos de confiabilidad.
Debe existir un sistema de alarmas que nos indique que se detecta una baja/alta
presin que podra o bien parar el proceso o bien daar equipos que se alimentan de este
aire. Asimismo debe haber sealizacin que nos indique que ha entrado el equipo de
reserva.
Los puntos a considerar para el suministro de aire de instrumentacin son:
Presin de trabajo.
Humedad permitida. Punto de roco.
Tamao de partcula aceptable.
Volumen necesario de suministro.

169
7.5.11
Interfaces
Aunque existen varios modos de interfaces en Sistemas Instrumentados de

Seguridad, los principales interfaces se encuentran como Interfaz Hombre-Mquina (HMI)
e interfaces de comunicacin. Podemos distinguir dos tipos de interfaces hombre-mquina:
Interfaces de operador.
Interfaces de mantenimiento/ingeniera.
7.5.11.1 Interfaces de operador

Las interfaces con el operador sirven para comunicar informacin al operador como
una accin de paro a tomar, diagnsticos del sistema, diagnsticos del sensor, diagnsticos
del elemento final, estado de la lgica, prdida de energa que afecte a la seguridad, bypass
actuales, etc. Existen mltiples equipos que pueden ser utilizados como interfaces de
operador: alarmas, botoneras, luces pilotos, paneles informativos, sistemas SCADA, etc.
Sin embargo es muy importante que la operacin del sistema instrumentado de seguridad
no dependa de la interfaz, ya que puede no estar siempre disponible o en funcionamiento
Para cada mensaje 1 que se quiera mostrar al operador es una buena prctica contestar
a las siguientes preguntas qua han de quedar reflejadas en la especificacin de requisitos de
cada tem a mostrar:
1. Qu eventos son la causa de visualizar este mensaje?
2. El mensaje mostrado puede y debe ser actualizado, y si es as bajo qu criterio
(p. ej. tiempo, acciones tomadas, etc.)?
3. Qu acciones causarn la desaparicin del mensaje?
El no realizar un anlisis claro de las situaciones que el operador debe conocer del
sistema pueden resultar en unas especificaciones incompletas y por tanto una fuente de
riesgo.
Es importante dar slo aquella informacin que es relevante a los operadores, y no
sobrecargarlos de alarmas y mensajes hasta el punto de que no sean capaces de reaccionar
ante una de ellas. La asociacin EMMUA 2 en 1999 emiti la publicacin 191 sobre la
gestin de sistemas de alarmas mundialmente aceptada y desarrollada por los usuarios de
los sistemas de alarma en la industria. Un buen diseo del sistema, un buen entrenamiento
de los operadores y una buena gerencia de las alarmas har que se reduzca
considerablemente el riesgo de tomar una accin equivocada ante un evento o el pasar por
alto un evento que est sucediendo por estar en un estado de sobrecarga de mensajes.
1 Como mensaje entendemos, alarmas, eventos, alertas, situaciones, informacin que se quiere dar al
operador del estado del Sistema Instrumentado de Seguridad.
2
EEMUA (The Engineering and Equipment Materials Users Association Asociacin de Usuarios
de Materiales y Equipos de Ingeniera) emiti la publicacin 191 sobre la gestin de sistemas de alarmas.
La OSHA (Occupational Safety and Health Administration La Administracin de Seguridad y Salud
Ocupacional de los Estados Unidos) ha emitido ciertos requerimientos para los sistemas de alarmas en el
estndar CFR 29 regulacin 1910.119, Gestin de Seguridad de Procesos con Materiales Qumicos
Altamente Peligrosos.
ANSI/ISA-18.2-2009 Management of Alarm Systems for the Process Industries.
170
La interfaz con el operador es importante, pero no debe ser crtica para el correcto
funcionamiento del sistema. Desde la interfaz del operador no debe ser posible modificar el
sistema de seguridad. Si por diseo se requiere el uso de acciones del operador, el diseo
incluir sistemas de seguridad de proteccin contra errores del operador.
Cualquier accin tomada por el operador deber ser confirmada.
Acciones tpicas que el operador puede hacer son los bypass de seales para realizar
mantenimiento. Estas acciones estarn protegidas con contraseas para evitar ser realizadas
por personal no autorizado. Normalmente este tipo de acciones son realizadas por el
personal de mantenimiento de instrumentacin que es quien suele realizar las pruebas de
seguridad de los lazos de seguridad en el periodo marcado en las especificaciones de los
requerimientos de seguridad.
La informacin que debera ser monitoreada y a la que debe tener acceso el operador
es la que permite saber el estado en que se encuentra el sistema instrumentado de seguridad
y que es crtica para que se mantenga el SIL requerido. Esta informacin debe incluir:
La secuencia del proceso.
Indicacin de activacin de la funcin de seguridad del SIS.
Indicacin de las funciones de seguridad bypaseadas.
Indicacin automtica de degradacin del voto de una funcin.
El estado de los sensores y elementos finales de control.
La prdida de energa cuando esta afecta a la seguridad.
Fallos de equipos que son necesarios para el correcto funcionamiento del SIS.
Los resultados de los diagnsticos.
Histricos de alarmas y secuencia de eventos (suele venir como software de

servicios del PLC de seguridad y se recomienda que sea utilizado por personal
autorizado y de mantenimiento).
Las interfaces de operador tpicas para comunicar informacin entre el sistema de

seguridad y el operador son:
Paneles de control que contienen lmparas, botoneras, indicadores e

interruptores.
Monitores de visualizacin.
Alarmas sonoras y visibles.
Impresoras.
El propio BPCS como interfaz, si esta comunicado con el SIS.
Los monitores de visualizacin pueden compartir seales de alarma del sistema de

control y del sistema de seguridad teniendo en cuenta que los datos visualizados deben ser
actualizados y refrescados en el tiempo requerido y especificado, y deben estar claramente
identificados para evitar la confusin al operador de una situacin de emergencia indicada
por el SIS o por alarmas del sistema de control (BPCS).
Los mensajes y alarmas deben ser claros y concisos y deben tener una jerarqua para
diferenciar aquellos que son crticos critical de los no crticas como los de alerta
warning o las que avisan de alguna mal funcin del equipo advisory, se diferencian
171
por su sonido y su color normalmente y sern visibles en modo intermitente hasta que se
reconozcan y una vez reconocidos y hasta que se solucione el problema en modo continuo
(recomendacin EEMUA publicacin 191 Alarm Management).
7.5.11.2 Interfaces de ingeniera y mantenimiento
La interfaz de ingeniera y mantenimiento permite realizar el mantenimiento
adecuado del SIS y modificaciones de ingeniera que se soliciten y aprueben, de una
manera clara y sencilla.
El interfaz de ingeniera y mantenimiento se disear de forma que asegure que
cualquier fallo de esta interfaz no afecte negativamente la capacidad de accin del sistema
de seguridad. Estas interfaces son los medios para programar, probar y mantener el SIS. Se
tratan de dispositivos que se usan para las funciones siguientes:
Configuracin hardware del sistema.
Desarrollo del software de aplicaciones, documentacin, y descargas al PLC de

seguridad del software del sistema de seguridad.
Acceso al software de aplicacin para cambios, pruebas y monitoreo (bypass de

equipos, calibracin de equipos, etc.).
Visualizacin de los recursos del sistema de seguridad y de los diagnsticos.
Cambio de los niveles de seguridad del sistema de seguridad y acceso a las

variables del software de aplicacin.
Ejecucin de bypass para realizacin de mantenimiento.
Solo personal autorizado ser quien haga uso de las interfaces de ingeniera y
mantenimiento y nunca ser utilizado como una interfaz de operacin.
7.5.11.3 Interfaz de comunicacin
El interfaz de comunicacin es un conjunto de lneas hardware que permiten la
transferencia de datos entre diferentes componentes de un sistema o entre sistemas. El
protocolo de comunicacin estndar ms utilizado para este tipo de aplicaciones es el
protocolo de comunicacin MODBUS.
El diseo interfaz de comunicacin con el SIS debe asegurar que ante cualquier fallo
en la comunicacin no afectar a la disponibilidad del SIS.
El SIS debe ser capaz de comunicar con el BPCS y otros sistemas (control de
compresores (CCC control), sistemas de monitoreo y proteccin de mquinas rotativas (p.
ej. Bently Nevada System), etc.) sin que afecten al funcionamiento correcto del SIS.
La interfaz de comunicacin debe ser suficientemente robusta contra las
interferencias electromagnticas, incluyendo las sobrecargas de tensin sin causar un fallo
peligroso de la SIF, asimismo debe ser adecuado para la comunicacin de dispositivos con
diferentes referencias de tensiones de tierra.
[1]
[2]
172
[3]
Artculo: Gestin de Alarmas: Un punto clave en la planificacin de la seguridad, Ignacio Queirolo,

Repsol YPF. Publicado en la revista Petrotecnia (feb 2011). (www.petrotecnia.com).
[4]
The Alarm Management Handbook 2nd Edition. Hill Hollifield and Eddie Habibi, published by PAS,
(2010).
7.5.12
Mantenimiento y pruebas funcionales
Las pruebas funcionales han de realizarse con el fin de verificar la correcta operacin
del sistema instrumentado de seguridad y asegurar que el SIL meta objetivo se sigue
cumpliendo. Las pruebas funcionales del lazo de seguridad deben ser vistas como una
actividad de mantenimiento preventivo con el fin de detectar posibles fallos en el correcto
funcionamiento del sistema de seguridad y que no se han detectado por diagnsticos en
operacin normal.
Segn la norma ANSI/ISA-84.00.01-2004 y la norma IEC 61511 parte 1, el diseo
del sistema de seguridad debe permitir la realizacin de pruebas de los lazos de seguridad y
componentes del SIS ya sea en lazo completo, desde la conexin del sensor al proceso
hasta la conexin del actuador final (sensores, SPLCs, elementos finales y alarmas
asociadas) o bien por partes o segmentos diferenciados. Cuando el intervalo de tiempo
entre inactividad del proceso programado, es decir el tiempo entre paradas programadas,
sea mayor que el intervalo de tiempo entre pruebas especificado para alcanzar el SIL
requerido, se requerir incluir en el diseo procedimientos y utilidades de pruebas y tests
en lnea, con la planta en funcionamiento.
El diseo e ingeniera del SIS debe realizarse de acuerdo a los requisitos de
mantenimiento y pruebas definidos en las especificaciones de los requisitos de seguridad.
Recordemos que el intervalo de prueba de las funciones de seguridad es un punto
importante a la hora de alcanzar un SIL meta propuesto.
Preguntas importantes que se suelen realizar son:
1. Cmo se realizar el test del sistema?
2. Qu partes de la funcin de seguridad se bypasear y si se realizar la prueba
manualmente?
3. Existe algn mtodo de prueba automtica que pueda implementarse en el
sistema?
Una buena prctica en el diseo de SIS es tomar como referencia un intervalo de test
anual (el periodo mximo de test no debe exceder los cinco aos), este es el periodo
comnmente ms utilizado, y es el intervalo que se marca como estndar a la hora de
escoger una arquitectura que cumpla con el SIL meta especificado.
Debe existir cierta racionalidad entre los requerimientos que se piden y cmo ser la
instalacin final. Puede darse el caso que la instalacin final tenga dispositivos de difcil
acceso, o bien que el diseador especifique poner un dispositivo en vlvulas que realicen la
pruebe de recorrido parcial (PST). En el primer caso, el personal de mantenimiento no
puede realizar adecuadamente las pruebas y en el segundo, el personal de operacin puede
estar preocupado de posibles paros molestos que pueda ocasionar la carrera parcial. Por lo
que es recomendable incluir tcnicos de mantenimiento y operacin durante la revisin del
diseo del sistema que puedan aportar soluciones a problemas potenciales de diseo.
Es muy importante involucrar y concienciar al personal de mantenimiento y
operacin de la importancia de estas pruebas peridicas, ya que en muchas ocasiones no es
173
extrao encontrar sistemas de seguridad que nunca han sido chequeados y cuando estos
son probados se encuentran fallos peligrosos que conducen a la inactividad de la funcin
de seguridad para la que fue diseada, sobre todo en elementos de campo.
Figura 7.5.12.1 Porcentaje de fallos de los elementos principales de un sistema de seguridad.

Fuente: Offshore Reliability Database (OREDA)
Para ello es preciso establecer un sistema de mantenimiento que incluya

procedimientos escritos de pruebas claros y ejecutables, sobre todo cuando la planta est en
marcha, y personal bien estrenado con un buen conocimiento de los equipos, proceso y
sistema que sea capaz de coordinar y ejecutar las pruebas eficazmente con el fin de
asegurar la integridad del sistema de seguridad y evitar realizar paros no deseados e
innecesarios que pueden producir prdidas de produccin y crear situaciones de riesgo.
No todos los componentes de un lazo de seguridad pueden ser testeados en
funcionamiento, por ejemplo compresores, bombas e incluso algunas vlvulas, por lo que
estos equipos deben ser diseados con la caracterstica fail-safe, con diagnsticos y
redundancia para que solo requieran una frecuencia de test igual al periodo de
funcionamiento entre paradas por mantenimiento de planta, en relacin al elemento final.
Para probar el resto de elementos del lazo, sensores y la lgica de actuacin de la funcin
de seguridad, se ha de proponer una serie de bypass que aseguren el funcionamiento del
elemento final.
La utilizacin de bypass cuando estos sean necesarios se realizaran de manera que el
operador en todo momento sepa que algn elemento del sistema de seguridad esta
bypaseado, normalmente va alarma en el sistema de control o por procedimientos. El
bypass est limitado a un periodo de tiempo, normalmente 8 horas (un turno), pasado este
tiempo el bypass se anular automticamente. Las especificaciones de los requerimientos
de seguridad (SRS) definen que tipo y como se puede bypasear una seal o un elemento
del lazo de seguridad (captulo 7.4).
Por qu es necesario y es motivo de auditoras de seguridad las pruebas de lazo de
seguridad?
Veamos un ejemplo:
Figura 7.5.12.1 SIF por alta presin
Supongamos un lazo de seguridad compuesto por un transmisor de presin, una

entrada analgica y una salida discreta en el SPLC y una vlvula ON/OFF como se
muestra en la figura 7.5.12.1. No existe redundancia ni diagnsticos automticos.
174
La probabilidad de fallo en demanda del lazo de seguridad y de forma resumida ser:

PFDavg = d (TI / 2)
(1)
Donde:
d = tasa de fallo peligroso de todo el sistema (sensor, SPLC y vlvula).

TI = intervalo de test.
Vemos que el intervalo de test es un factor importante en la seguridad de un sistema,
en teora si el sistema nunca es probado la probabilidad de que el sistema falle a una
demanda es muy alta, se puede decir que del 100%. La ecuacin (1) es una aproximacin y
no asume los diagnsticos automticos y asume la efectividad del 100% del test manual.
La siguiente ecuacin (2) permite el clculo cuando la efectividad del test no es del
100% y algunos fallos pueden no ser identificados en las pruebas.
) (
PFDavg = DC d TI1 + (1 DC ) d TI 2
2
2
(2)
Donde:
DC = Factor de cobertura de diagnstico (0 100%) (Eficacia del test).
TI1 = Intervalo del test.
TI2 = Intervalo cuando el sistema realiza el test completo del sistema, o es
remplazado, o puede ser el tiempo de vida de la planta si el sistema no se prueba
completamente o se cambia.
As, s la vlvula ON/OFF tiene un d de 0.025 fallos por ao (MTTF = 40 aos), un
test peridico anual garantiza una efectividad del 95% (detecta el 95% de fallos) y la
vlvula cada 10 aos es cambiada. Qu PFDavg tendr la vlvula durante los 10 aos de
operacin si:
1) La vlvula se prueba cada ao y se cambia cada 10 aos.
2) La vlvula no se testea pero se cambia cada 10 aos.
Caso 1)
De la eq. (2)
PFDavg = (0.95 * 0.025 * (1 ao/2)) + (0.05 * 0.025 * (10 aos/2) ;

PFDavg = 0.018 -> SIL 1
Caso 2)
De la eq. (2)
PFDavg = (0 * 0.025 * (0 ao/2)) + (1* 0.025 * (10 aos/2) ;

PFDavg = 0.125 -> SIL 0
Se trata de una ecuacin aproximada y tiene poco error siempre que el tiempo medio
de fallo sea significativamente mayor que el intervalo de test (MTTF >> TI1).
Como vemos es necesario que en el diseo se establezcan las frecuencias y los
procedimientos necesarios para realizar las pruebas de los lazos de seguridad. Cada lazo de
seguridad (SIF) deber tener su propio procedimiento de manera que podamos descubrir
los fallos peligrosos no detectados por diagnsticos. En cada procedimiento se describirn
los pasos a seguir para realizar el test de seguridad de forma segura y que evite paros en
falso de la planta, asimismo la hoja de prueba de lazo ha de incluir (IEC 61511 parte1):
El funcionamiento correcto de cada sensor y elemento final.

175
El funcionamiento correcto de la accin lgica.
El funcionamiento correcto de los indicadores y alarmas.
Adicionalmente al test, es una buena prctica realizar inspecciones visuales de los

elementos de cada funcin de seguridad con regularidad con el fin de evitar deterioro en
los elementos del lazo y de la instalacin (deterioro en la sujecin o protecciones de los
elementos de campo, deterioro de cables y tubings, traceados elctricos rotos, etc).
7.5.12.1 Como establecer la frecuencia del test
No hay reglas fijas para determinar los intervalos de prueba.
Algunas compaas establecen estndares donde se estipulan intervalos de test de un
ao y realizados por personal debidamente entrenado. La frecuencia de test es una variable
para cada sistema que depende de la tecnologa, arquitectura, redundancia y SIL objetivo a
alcanzar y disponibilidad de realizacin de las pruebas de seguridad.
Existen programas que determinan el intervalo ptimo de una manera cuantitativa (p.
ej. EXSILENTIA (paquete SILVER) de Exida). A partir de los resultados obtenidos
muchas ingenieras incrementan o decrementan la redundancia para obtener el SIL objetivo
requerido en funcin del intervalo de test.
La frecuencia de test se puede determinar usando los clculos de la PFDavg (eq. 2
aproximada). No todos los elementos del mismo lazo requieren el mismo intervalo de test
para conseguir el SIL especificado para el lazo de seguridad, en general elementos finales
como vlvulas requieren ms frecuencia de test que los PLCs de seguridad.
La duracin del test en lnea tiene un impacto sobre el PFD del sistema, ya que
cuando se realiza un test de seguridad hay parte del sistema que debe ser bypaseado.
Durante el test un sistema 1oo1 quedar fuera de lnea y su disponibilidad durante el test
ser cero. Un sistema 1oo2 o 2oo3 no pierde totalmente su funcin de seguridad. Un
sistema 1oo2 pasa a ser un sistema 1oo1 y un 2oo3 se reduce a 1oo2. Cuantitativamente
este efecto puede ser calculado (mtodo de Markov). A continuacin se muestran las
ecuaciones que cuantifican este impacto y que puede ser aadido a los clculos de los
PFDavg 1 de cada arquitectura (ver captulo 7.5.8). Se trata de ecuaciones aproximadas. Son
trminos que se suelen considerar despreciables si la duracin de la prueba es menor a 8
horas.
1oo1;
Td Ti
(3)
1oo2;
2 * Td * d * (((Ti 2) + MTTR ) / Ti )
(4)
2oo2;
2 * (Td Ti )
(5)
2oo3;
6 * Td * d * (((Ti 2 ) + MTTR ) / Ti )
(6)
Donde:
Td = duracin de test
Ti = intervalo de test
PDFavg =
1
PFD(t )dt
T
176
Todas las operaciones, pruebas, y procedimientos de mantenimiento deben estar
completamente documentados y puestos a disposicin del personal. Como se ha comentado
anteriormente es una buena prctica que todas las partes, ingeniera, produccin y
mantenimiento estn involucrados en el desarrollo de los procedimientos de las pruebas de
seguridad con el fin de que todas las partes conozcan y entiendan los procedimientos.
Todos los tests realizados se deben guardar en formato de papel. El usuario debe
mantener registros que verifican que los tests y las inspecciones han sido realizadas como
se requiere en el procedimiento. Esta documentacin puede ser requerida y auditada por
una persona, grupo u organismo independiente con posterioridad. Normalmente todas las
empresas estn sometidas a auditoras internas propias y a auditorias de seguridad externas
realizadas por organismos independientes. El no cumplir con los procedimientos
requeridos se considera una falta grave que ha de ser resuelta en la mayor brevedad
posible.
Los registros de las pruebas de seguridad como mnimo han de incluir:
1) Sistema probado (tag, nmero de equipo, nmero de lazo, )
2) Intervalo de test.
3) Descripcin de los test e inspecciones realizadas.
4) Fecha de la realizacin de la prueba e inspeccin.
5) Nombre de la persona que realiza la prueba.
6) Resultados de la prueba e inspeccin.
El comit ISA SP84 ha editado anexo tcnico sobre test de sistemas de seguridad.
ISA-TR84.00.03-2002 se trata de una gua para pruebas de funciones instrumentadas de
seguridad implementadas en SIS.
(ANEXO N: Pruebas de Lazos de Seguridad)
[1]
[2]
[3]
7.5.13
Cableado de los elementos de campo
El cableado y conexiones de los elementos de campo (instrumentos y equipos) deben

cumplir con los requisitostos del fabricante, los requisitos de seguridad especificados en las
SRS y con la normativa vigente en cada pas (REBT, Reglamento Electrotcnico de Baja
Tensin en el caso de Espaa y normativa ATEX, utilizacin de equipos para Atmsferas
Potencialmente Explosivas). Cualquier solucin adoptada que no se encuentre en las
normativas vigentes ha de ser analizada y ha de ser objeto de un anlisis de seguridad.
Los fallos ms tpicos en el cableado son:
Circuitos abiertos y/o en cortocircuito.

177
Problemas de tierra.
Inducciones electromagnticas, ruido elctrico.
A continuacin se resumen unas buenas prcticas que nos pueden ayudar a

minimizar problemas con el cableado:
Eliminar circuitos comunes. Cada equipo de campo tendr su propio y dedicado

cableado. Slo es posible utilizar un cableado comn en el caso de un bus de
campo (ej. profisafe de SIEMENS), siempre que cumpla con las especificaciones
requeridas de seguridad.
Cada entrada y salida de campo deben tener fusibles o limitadores de corriente,

que pueden ser parte de la lgica de los mdulos de entrada y salida del sistema o
usando fusibles externos.
Separar el cableado y cajas de conexin del sistema de seguridad de los dems

sistemas de control de la planta, asimismo etiquetar claramente los cables del
sistema de seguridad.
Se ha de tener en cuenta la inductancia, capacitancia y longitud de los cables.

Dependiendo de la seccin y la distancia se pueden producir inducciones que
impidan la actuacin de las entradas y salidas del sistema de seguridad por cada
de tensin.
En general los cables por bandeja debern llevar cubiertas metlicas o ser cables
armados para protegerse mecnicamente. Estas bandejas o cables armados deben
estar conectados a tierra al inicio y final y dependiendo de la distancia en puntos
intermedios con el fin de proteger las cables de interferencias electromagnticas y
proteccin contra rayos.
Aislar la tierra de los sistemas entre ellos y separar galvnicamente los elementos
comunes.
Disear los armarios de conexiones y cableado de manera que minimicen el ruido

elctrico y la alta temperatura.
[1]
[2]
7.5.14
Consideraciones ambientales
Es importante especificar qu requisitos ambientales necesitamos para nuestro

sistema de seguridad. Es importante especificar qu ambiente, entorno es necesario para
garantizar el correcto funcionamiento del SIS. Cuando se disea el sistema se ha de
considerar el efecto de variables como la temperatura, la humedad, los agentes
contaminantes, la vibracin, las interferencias electromagnticas y de radiofrecuencia
(EMI/RFI), las descargas electroestticas, la clasificacin elctrica del rea (normativa
ATEX Directriz de clasificacin de las reas segn Atmsferas Explosivas), etc.
En el diseo del SIS se debern adoptar soluciones concretas para resolver
diferencias entre las condiciones ambientales a las que estar sometido nuestro SIS y
condiciones especificadas por cada equipo que pertenece al SIS de manera que permita al
178
sistema funcionar en conformidad con lo especificado en las especificaciones de los

requerimientos de seguridad (SRS). Medidas como la instalacin de calefaccin, aire
acondicionado, ventiladores, filtros de aire, calorifugados, traceados elctricos, etc.
Comentar que un incremento de temperatura de 10C sobre la temperatura
especificada por el fabricante en un equipo electrnico disminuye su vida en
aproximadamente un 50%. Es muy importante tener bien reguladas variables como
temperatura y humedad en los armarios de instrumentacin para que los equipos funcionen
en los rangos de medida especificados por el fabricante.
7.5.15
Fallos de causa comn
Los posibles tipos de fallos que nos encontramos en un sistema se agrupan en 2

categoras:
1)
2)
Fallos fsicos.
a.
Fallos independientes.
b.
Fallos de causa comn.
Fallos sistemticos (captulo 7.5.16).
Un fallo se clasifica como fsico cuando algn estrs fsico excede la capacidad de
los elementos instalados. Un fallo sistemtico ocurre cuando el sistema, aunque est
funcionando, no es capaz de realizar la funcin especificada debido a errores de diseo o
instalacin.
Fallo de causa comn puede ser debido a diferentes situaciones. Puede producirse
por un estrs (figura 7.5.15.2) que produce un fallo en varios elementos o en una parte del
sistema y hace que sistemas redundantes fallen. Como fuentes de estrs tenemos
temperatura, humedad, corrosin, vibracin, interferencias electromagnticas, entre otras.
Asimismo un fallo en un elemento no redundante puede causar un fallo de causa comn,
por ejemplo podemos encontrar un controlador triplicado alimentado por una nica fuente
de alimentacin, el fallo de esta fuente hace que caigan los tres controladores. Un fallo de
causa comn puede resultar de un fallo sistemtico (p. ej. de diseo) que afecte a
elementos redundantes (figura 7.5.15.1).
Figura 7.5.15.1 Relacin de fallos de causa comn y los fallos sistemticos de canales individuales.
179
Figura 7.5.15.2 Fallos de causa comn producidos por estrs.
El efecto del estrs hace que la tasa esperada de fallos () del sistema aumente y en
muchos clculos que no se ha considerado el efecto de los fallos de causa comn la
confiabilidad del sistema no alcance los valores estimados.
= independiente + cc
(1)
Una forma de indicar el factor de influencia del estrs en los componentes idnticos
es el factor beta ( ). El factor beta representa la fraccin de la tasa de fallo en donde 2
ms fallos ocurrirn debido a un mismo estrs comn.
cc
(2)
cc =
(3)
Indicar que el modelo del factor es un modelo emprico, no es un modelo real sino
que se trata de una estimacin de la realidad.
La norma IEC 61508 parte 6 1 indica valores estimados de factor para diferentes
equipos de lo que podemos extraer:
= 0,005 0,05 en equipos electrnicos programables.
= 0,01 0,1 en equipos de campo.

El anexo tcnico ISA-TR84.00.02-2002 parte 1 emitido por el comit ISA SP84, en
su anexo A, nos da una metodologa para la obtencin emprica de los valores de las
funciones instrumentadas de seguridad.
Para disminuir los fallos de causa comn las prcticas recomendadas ms efectivas
son:
Separacin fsica: unidades redundantes tienen menos probabilidad de recibir el

mismo estrs. Se trata de separar equipos.
Tecnologa diversa: unidades redundantes responden diferente a un estrs comn.

Se trata de utilizar equipos diferentes.
Si controladores redundantes son alojados en diferentes paneles, armarios, y a la vez

estos armarios en diferentes salas de instrumentacin un fallo de causa comn ser poco
probable. Si usamos dos diferentes transmisores de caudal, de dos diferentes fabricantes y
basados en diferentes tecnologas de medida ser prcticamente improbable que tengan un
problema de fallo por una causa comn.
de
Referencia a la normativa IEC 61508 parte 6 para obtener ms informacin sobre diferentes valores
, procedentes de estudios empricos.
180
Un problema de causa comn tpico es la conexin de mltiples sensores en la

misma toma de proceso. Aunque parece obvio es un problema que pasa e inevitablemente
pasar.
El uso de redundancia es til para reducir fallos debido a fallos hardwares aleatorios,
pero no lo es contra fallos de diseo u otros fallos sistemticos. Los fallos sistemticos o
fallos funcionales se suelen confundir y categorizar como fallos de causa comn, no es lo
mismo aunque un fallo sistemtico que afecta a un sistema multicanal pasa a ser un fallo de
causa comn. Un ejemplo de error sistemtico seria el que padecera un diseo de un
sistema de vlvulas de bloqueo y purga trabajando a muy bajas temperaturas, pero no
diseadas para las temperaturas de trabajo, como resultado se bloquean y no operan
correctamente a bajas temperaturas. Se trata de un fallo sistemtico debido a un error de
diseo.
Veamos la influencia del fallo de causa comn en la probabilidad de fallo en
demanda de un sistema 1oo2. Incluimos la causa comn en un rbol de fallos:
Figura 7.5.15.1 Inclusin causa comn en un rbol de fallos
D = 0.02 fallos / ao ;
Ti = 1 ao;
= 0.05
En un sistema 1oo2:
Si PFD para cada componente: PFD1oo1 = D * Ti
(4)
En un sistema 1oo2:
PFD1oo 2 = D *Ti 2
Por tanto 1:
PFDavg1oo 2 = D TI 2 / 3
(5)
(6)
PFDavg1oo 2 = 0.000133
En un sistema 1oo2 con causa comn:
El PFDavg del sistema:
PFDavg1oo 2 ( cc ) = PFDavg1oo 2 + PFDavg cc
(7)
PFDavg causa comn:
PFDavg cc = (cc TI ) / 2
(8)
PFDavg1oo 2 ( cc ) =
Por tanto:
D 2 Ti 2
3
PFDavg1oo 2 ( cc ) = 0.000633
PDFavg =
1
PFD(t )dt
T
181
cc Ti
2
(9)
[1]
ISA-The Instrumentation, Systems, and Automation Society, 2004.
[2]
ISA-TRS84.00.02-2002-Part1, Safety Instrumented Functions (SIF) Safety Integrity Level (SIL).

Evaluation Techniques. ISA-The Instrumentation, Systems, and Automation Society, 2002.
[3]
7.5.16
Fallos sistemticos
Los fallos sistemticos son fallos que ocurren cuando los elementos fsicos de una
funcin instrumentada de seguridad, aunque estn en operacin no son capaces de realizar
su funcin de seguridad especificada debido a errores de diseo o comisin.
Los fallos de causa comn pueden ser resultado de un fallo sistemtico, normalmente
fallos debido a errores en el diseo o errores en procedimientos de operacin y/o
mantenimiento.
Los fallos sistemticos principalmente se deben a errores de diseo e implementacin
o comisionado y entre las posibles causas encontramos:
1) Errores de diseo de la SIF.
Errores en la especificacin de la lgica de la funcin de seguridad, seleccin
incorrecta de los componentes y errores en el diseo de la interfaz entre el elemento de
control (E/E/PES) y los sensores y actuadores. La redundancia no resuelve este tipo de
fallos.
2) Errores en la implementacin de componentes (hardware).
Son errores en la instalacin, configuracin (calibracin, puntos de disparo, etc.) y
puesta en marcha del SIS que no son detectados durante las pruebas funcionales del SIS.
Ejemplos de este tipo de errores:
a. Errores de cableado y alimentacin de aire.
b. Fuente de alimentacin elctrica/neumtica inadecuada.
c. Bloqueo de las conexiones al proceso o mala conexin al proceso.
d. Instalacin de sensores o elementos finales de control errneos.
3) Errores de programacin.
Errores en el programa de aplicacin, diagnsticos, rutinas de interfaz de usuario
(sistemas de visualizacin, etc.).
4) Errores de interaccin humana.
Son errores producidos en la operacin de la interfaz hombre-mquina de la SIF,
errores producidos en las pruebas funcionales de la SIF y durante la reparacin de
componentes de la SIF.
5) Errores de diseo de componentes hardware.
Errores en el diseo del fabricante o en la construccin de los componentes
seleccionados de la SIF que impiden una adecuada funcionalidad. Ejemplos de este tipo de
errores:
182
a. Cumplir con las condiciones de proceso especificadas (presin,

temperatura, etc.).
b. Correcto funcionamiento en el entorno de la instalacin (vibracin,
condiciones ambientales, etc.).
c. Seleccin incorrecta del tipo de componentes.
La mejor manera de evitar los errores sistemticos esta en realizar unas correctas
especificaciones del diseo, revisiones de este y unas pruebas exhaustivas de
funcionamiento (FAT, SIT y SAT), ya que como se ha comentado el encontrar los errores
sistemticos es difcil y solo cuando ocurre una situacin de riesgo es cuando se puede
analizar por qu y encontrar estos posibles errores.
[1]

Evaluation Techniques. ISA-The Instrumentation, Systems, and Automation Society, 2002.
7.5.17
Revisin de seguridad de diseo e ingeniera
Una vez realizado el diseo del SIS, se ha desarrollado la aplicacin software y se ha

verificado que las funciones de seguridad alcanzan el valor SIL objetivo requerido (ver
captulo 7.6 Verificacin SIL de una SIF) se recomienda realizar una revisin del diseo,
se trata del PASO 3 Safety review del ciclo de vida de seguridad ejemplo (ver figura
Figura 7.1.3. Ciclo de Vida de Seguridad SIS ejemplo. Captulo 7.1) o de la ETAPA 2,
despus de realizar las Pruebas de Aceptacin en Fbrica (FAT) (Captulo 7.7) segn la
IEC 61511 (tabla 6.2.2.1 Implementacin de las actividades de valoracin y revisin
durante el ciclo de vida. Captulo 6.2.2).
En esta revisin se chequearn lo siguientes tpicos:
El hardware a instalar es adecuado para la instalacin y el cableado es correcto.
Todos los parmetros de seguridad estn establecidos segn sea necesario.
Los requerimientos de cada funcin estn correctamente implementados en la

aplicacin software.
Tiempos, lmites y constantes de cada aplicacin especfica son establecidos

segn la necesidad establecida por la aplicacin.
Existe un aislamiento entre las reas relacionadas con la seguridad y las relativas
a no seguridad.
Todos los requerimientos de seguridad aplicables a la planta son tal como se

refleja en el informe del certificado de seguridad.
Los requerimientos declarados en el manual de seguridad del PES (sistema

electrnico programable) se han cumplido.
La documentacin est completa.
Los requerimientos para el test de aceptacin en fbrica (FAT), test aprobacin

en el sitio (SAT) y el manual de pruebas peridicas se han realizado y estn
completas.
Recordar que la norma IEC 61511 define qu debemos hacer y por qu, pero no
cmo hacerlo. Se nos da libertad para organizar los procesos de revisin y verificacin que
183
consideremos necesarios y que se acoplen a nuestra situacin, siempre y cuando se

documente correctamente y constate que cumple con la especificacin de requisitos de
seguridad.
Por lo que se pueden adoptar procesos de verificacin y validacin que ya se usan
habitualmente en la industria, o crear un sistema propio para una compaa en particular.
7.6
Verificacin del SIL de una SIF.
7.6.1 Introduccin
En la especificacin de requisitos de seguridad (SRS) se define el diseo de los
elementos que intervienen en la funcin de seguridad, tecnologa de los sensores,
procesador lgico y elementos finales, que arquitectura (redundancia) necesito para
cumplir con el SIL objetivo establecido en el anlisis de riesgos del proceso, software a
utilizar y se ha decidido que filosofa de pruebas queremos realizar para poder encontrar y
reparar cualquier fallo potencial no detectado en el equipo de seguridad, es decir, se ha
establecido un poltica de inspeccin y mantenimiento. Todas estas decisiones afectan al
clculo de PFD de cada funcin de seguridad.
Comprobar que el lazo de seguridad instalado cumple con el SIL objetivo requiere
de un trabajo analtico adicional complejo en el que hemos de considerar parmetros como
el fallo de causa comn en equipos redundantes, intervalos de pruebas de equipos, tiempos
de reparacin fuera de lnea, tipo de redundancia, nmeros de elementos de una funcin de
seguridad y muchos otros detalles. Todos estos detalles hacen que la verificacin del SIL,
el desarrollo y mantenimiento de los procedimientos y las herramientas adecuadas capaces
de un anlisis riguroso puede que sean muy exigentes y costosas. Este alto nivel de los
costes adicionales normalmente es difcil de justificar, salvo tal vez por las grandes
empresas de la industria de procesos.
Los mtodos de verificacin deben ser coherentes, lgicos y verificables. La mejor
manera es realizar la verificacin a travs de un procedimiento claro, documentado y
probado. Como ya se coment, en el mundo de la industria de proceso qumico y
petroqumico el mtodo ms utilizado para la seleccin del SIL objetivo es el mtodo
HAZOP en combinacin con las matrices de riesgos. Un procedimiento claro que verifique
y asegure el SIL objetivo resulta difcil de desarrollar y mantener, ya que implica la
demanda de un programa de seguridad con la implicacin de importantes recursos
econmicos y personales que no repercuten directamente en la produccin y que por tanto
en pequeas empresas es difcil de justificar. En el actual entorno industrial solo puede ser
soportado por grandes multinacionales.
Otro problema aadido al procedimiento de verificacin es encontrar datos precisos
para la realizacin de los clculos. Informacin sobre las tasas de fallo y su clasificacin en
sensores, sistema de control de seguridad, actuadores y elementos finales de control, etc.
depende de un exhaustivo y detallado anlisis modal de fallos, efectos y diagnsticos
(FMEDA). Cuando no es prctico realizar este tipo de anlisis se pueden realizar ciertos
supuestos, simplificaciones que es importante que sean conservativas. Si los modos de
fallo no se conocen, hemos de asumir que todos los fallos son peligrosos. Si la cobertura de
diagnstico no es conocida, todos los fallos son no detectables. Si el factor de causa comn
() no es conocido, un valor del 10 % ser conservativo.
Una solucin es utilizar equipos uso previo, son equipos ya instalados y la
experiencia nos da una fiabilidad contrastada, no es un sistema viable para pequeas
184
empresas ya que requiere de una base de datos altamente contrastada. Actualmente la

opcin ms utilizada es la de disponer de los datos directamente de los fabricantes.
Existen diferentes bases de datos de confiabilidad con listados de mltiples de
equipos. El centro AlChE (American Institute of Chemical Engineers) para la seguridad de
procesos qumicos ha desarrollado la base de datos DPRE 2000. Empresas de seguridad de
terceros como EXIDA tambin mantiene y desarrolla una base de datos de equipos
utilizados en seguridad 1. Cooperacin de empresas con motivos comunes crean sus bases
de datos, como ejemplo OREDA 2. Empresas como TV, FM 3 (Factory Mutual), o
compaas especializadas como EXIDA usan mtodos como FMEDA (Anlisis Modal de
Fallos, Efectos y Diagnsticos) para obtener datos de fiabilidad del equipo o instrumento.
Existen diferentes tcnicas para el clculo de la fiabilidad y disponibilidad del
sistema (PFD y MTTF) que emplean metodologas sistemticas que descomponen un
sistema complejo (funcin de seguridad en su totalidad) en componentes bsicos que
interaccionan entre ellos y se fusionan en modelos de fiabilidad para determinar la
disponibilidad total del sistema. Los modelos ms utilizados son:
Ecuaciones simplificadas 4.
Anlisis del rbol de fallos (FTA) 5.
Modelo de Markov 6.
Por tanto, vemos que la industria de procesos necesita cada vez ms de un anlisis
riguroso y documentado de seguridad basado en tcnicas de clculo y datos slidos. En el
entorno que nos movemos es complejo disponer de un grupo de especialistas que puedan
abordar y dedicarse nicamente a estos temas en las empresas. Como resultado nacen
organizaciones, empresas especialistas en seguridad funcional que prestan estos servicios.
Un ejemplo es EXIDA, fundada en 1999 y que proporciona la capacitacin, las
herramientas, software especializado y personal experto en seguridad funcional y fiabilidad
para el desarrollo de sistemas de automatizacin.
Debido a la dificultad de encontrar datos fiables de todos los componentes utilizados,
a la gran variedad de mtodos de clculo a utilizar y a la variedad de mtodos de anlisis
de riesgos propuestos, muchas organizaciones y empresas estandarizan sus sistemas de
seguridad y crean su propia base de datos de componentes con el fin de facilitar su uso por
parte de sus ingenieros y utilizar sistemas, componentes y mtodos comunes basados en las
normas IEC 61511, IEC 61508 y ANSI/ISA S84.01 y en estndares regionales. As crean
un grupo de expertos en seguridad que se ocupan de actualizar la base de datos y
procedimientos. (Ver captulo 7.6.4 Observaciones. Uso de guas propias)
Safety Equipment Reliability Handbook - 3rd Edition. Publicado por EXIDA.
OREDA, Offshore REliability DAta, proyecto establecido en 1981 por cooperacin de empreas
petroloiferas con elobjetivo de recoleccin de datos de confiabilidad para equipos de seguridad.
www.oreda.com
3
http://en.wikipedia.org/wiki/FM_Global o www.fmglobal.com
IEC 61508-6 y Referencia ANSI/ISA-TR84.00.02-2002 Part 2
Referencia ANSI/ISA-TR84.00.02-2002 Part 3
Referencia ANSI/ISA-TR84.00.02-2002 Part 4
185
7.6.2 Procedimiento
La integridad de seguridad se define como la probabilidad de que una funcin
instrumentada de seguridad realice satisfactoriamente la funcin de seguridad requerida
bajo todas las condiciones establecidas y en un tiempo establecido.
La integridad de la seguridad se compone de 2 elementos:
1. La integridad de seguridad hardware.
2. La integridad de seguridad sistemtica.
La integridad de seguridad hardware se puede calcular con un nivel aceptable de
precisin y est basada en los fallos aleatorios del hardware del sistema. La norma
ANSI/ISA-84 y la IEC 61508 y 61511 se refiere a la integridad de seguridad hardware con
la especificacin de una medida objetivo de fallos para cada SIL. En una funcin
instrumentada de seguridad operando en modo demanda la medida objetivo de fallos es
dada por el valor PFDavg (probabilidad de fallo promedio para realizar la funcin de
seguridad en demanda) es la tasa de fallos peligrosos media. La integridad sistemtica de
la seguridad es difcil de cuantificar y las normas indican tcnicas, procedimientos y
medidas a seguir para reducir los fallos sistemticos introducidos en un sistema.
Normalmente son fallos producidos en las fases de especificacin, diseo, implementacin,
operacin y modificacin y afectan tanto al hardware como al software. Es en la
especificacin de los requisitos de seguridad donde se decide o se concluye el diseo de los
elementos (hardware, software, redundancia, etc.) y la forma de operar (poltica de
mantenimiento e inspeccin, frecuencia de las pruebas de lazos y equipos, etc.) y que
afectan a la PFD final de la funcin de seguridad.
Normalmente en la evaluacin de una SIF (funcin instrumentada de seguridad)
tambin se especifica una tasa de fallos seguros que sea aceptable. Estos fallos nos
conducen a disparos en falso o paros molestos. Aunque estos fallos producidos en el
sistema de seguridad no son fallos que nos llevan a una situacin de riesgo en demanda
como pasa con los fallos peligrosos, s que es cierto que nos conduce al paro y arranque del
proceso, que adems de consecuencias econmicas asociadas a la prdida de produccin, el
paro y arranque de una planta es un periodo crtico donde la probabilidad de que ocurra
algn riesgo es mayor, sobre todo en equipos como compresores y motores, o estrs en
tuberas y depsitos debido a cambio de temperatura o presin que puede ocasionar fugas
en bridas, tensiones en tuberas, etc. Por tanto el reducir los paros en falso aumentar la
seguridad del proceso. La tasa de fallos seguros es expresada como el tiempo medio para
fallos en falso MTTFspurious (mean time to fail - spurious).
A continuacin se puede ver un esquema lgico del proceso simplificado a seguir en
la selecccin y verificacin del SIL.
186
Figura 7.6.3.1 Procedimiento simplificado.
El mtodo escogido y que se analizar en este trabajo ser el de las ecuaciones

simplificadas. Como se indic anteriormente existen otros mtodos como el anlisis del
rbol de fallos y el modelo de Markov. No son mtodos sencillos de utilizar por lo que
existen software especializados que resuelve el clculo del PFDavg y MTTFspurious (ej.
SILVER de EXSILENTIA de EXIDA) y empresas especializadas en temas de seguridad que
asesoran, ayudan y realizan los estudios de seguridad y que estn certificadas por
organismos independientes como TV o FM global.
Para realizar los clculos del PFDavg y MTTFspurious, una buena prctica es tener un
procedimiento claro donde se detallen los pasos a seguir. A continuacin se detalla un
procedimiento que ayuda a realizar los clculos:
1.
Identificar el nivel de integridad de seguridad (SIL) de cada funcin

instrumentada de seguridad (SIF).
2.
Enumerar los componentes que tienen un impacto en cada una de las SIF.
Normalmente sern los sensores y los elementos finales de control identificados
en el anlisis de riesgos de procesos (PHA). Es el equipo encargado de hacer el
PHA quien asocia un SIL a una SIF.
3.
Definir todos los posibles tipos de fallos de elementos del SIS. Como el objetivo
de evaluar la integridad de seguridad es calcular la PFDavg y el MTTFspurious,
todos los fallos de los elementos del SIS se clasifican en fallos peligrosos y
seguros. Asimismo se definen los fallos detectados y no detectados mientras el
SIS est en lnea u operacin. Esta clasificacin de tasas de fallo se definen en
base al anlisis modal de fallo, efecto y diagnstico (FMEDA). Si no conocemos
los modos de fallo se considerar que todos son peligrosos. Si no se conoce la
cobertura de diagnstico se considerar que todos los fallos son no detectados y
si no se conoce el factor beta de causa comn se estimar un valor del 10%.
4.
Para poder determinar PFDavg y el MTTFspurious de una SIF se debe contar con
datos de tasa de fallos () de los componentes de la SIF. Pueden ser obtenidos de
bases de datos, de los propios fabricantes, de la experiencia en uso previo, de la
utilizacin de elementos certificados, etc.
5.
Calcular el PFDavg segn la arquitectura definida en la especificacin de los

requisitos de seguridad para cada SIF con la contribucin de todos los elementos
que impactan en la SIF, sensores, elementos finales, procesador lgico, fuente de
alimentacin, etc.
187
6.
Determinar si la PFDavg alcanza el SIL objetivo especificado para cada SIF.
7.
Determinar si es necesario modificar el SIS (arquitectura, hardware, intervalo de

pruebas, capacidad de diagnstico, etc.) y recalcular la PFDavg hasta lograr
cumplir la especificacin de los requisitos de seguridad de cada SIF.
8.
Determinar la tasa de disparos en falso (spurious trip) esperada para los

componentes del sistema y obtener el MTTFspurious para el SIS.
9.
Si el MTTFspurious calculado es menor que el requerido, modificar la

configuracin (aadir redundancia, usar componentes con mayor confiabilidad,
etc.) y recalcular hasta cumplir con la especificacin de los requisitos de
seguridad. Estos cambios suponen un reclculo de las PFDavg para cada SIF.
10. Cuando los valores de PFDavg y MTTFspurious cumplen o mejoran los

especificados en la especificacin de los requisitos de seguridad, el proceso de
verificacin se ha completado.
7.6.3 Clculo PFDavg y MTTFspurious. Modelo Ecuaciones Simplificadas.
El modelo de las ecuaciones simplificadas 1 presenta una estimacin matemtica para
configuraciones tpicas de funciones instrumentadas de seguridad que nos permite evaluar
el rendimiento del sistema, es decir, la probabilidad que la SIF no responda a la demanda
(PFDavg) y la probabilidad que se produzca un paro molesto (MTTFspurious), objetivo final
de todas las tcnicas de evaluacin de la integridad de seguridad.
Es una tcnica de evaluacin que permite al ingeniero de diseo utilizar una tcnica
general y relativamente sencilla para evaluar la eficacia del diseo de la funcin
instrumentada de seguridad.
Es un mtodo vlido para el clculo de SIL 1, 2 y 3, si bien para el clculo de un SIL
3 el usuario final debe comprender plenamente las limitaciones que presenta este mtodo y
tener un buen conocimiento del mtodo.
La probabilidad de fallo en demanda es la medida de integridad de seguridad de la
funcin instrumentada de seguridad (SIF) y es la probabilidad que la funcin de seguridad
falle de forma que no sea capaz de realizar la funcin de seguridad para la que fue
diseada, por lo que no responder a una demanda de seguridad y no iniciar ninguna
accin de seguridad. Se trata de un valor promedio entre el intervalo de las pruebas
funcionales. Es el valor usado para verificar que cada funcin instrumentada de seguridad
y por tanto el sistema instrumentado de seguridad satisface el nivel integro de seguridad
(SIL 2) requerido.
IEC 61508-6 y Referencia ANSI/ISA-TR84.00.02-2002 Part 2
3 niveles en ISA-TR84.01-1996, o 4 niveles en IEC 61508 y IEC 61511
188
Tabla 1
SIL
ISA
84.01
PFDavg
RRF
-4
-5
10000 -> 100000
-3
-4
10 -> 10
10 -> 10
1000 -> 10000
10-2 -> 10-3
100 -> 1000
10-1 -> 10-2
10 -> 100
Tabla 7.6.3.1 ndice SIL segn IEC 61511, IEC 61508 e ISA-TR84.01-1996
Para cumplir con un determinado nivel SIL requerido para una funcin
instrumentada de seguridad, el PFDavg debe ser menor que el lmite superior del SIL
dispuesto por la norma en cada nivel.
En general se puede afirmar que:
PFD = f (tasa de fallo (), tasa de reparacin (), intervalo de test (TI), causa comn
(), etc.)
Asimismo la funcin especfica f depender y ser un atributo de la arquitectura del
sistema seleccionada para el SIS.
La probabilidad de fallo en demanda se determina por la suma de las probabilidades
de fallo en demanda de todos los componentes implicados en cada funcin instrumentada
que asegura una proteccin contra eventos peligrosos de un proceso. Si la funcin de
proteccin incluye varias variables de proceso, necesitamos sumar sus probabilidades de
fallo, ya que slo que una de estas variables se encuentre en fallo el sistema instrumentado
de seguridad no funcionar correctamente.
Figura 7.6.3.2 Componentes bsicos de un sistema instrumentado de seguridad
Por tanto, la probabilidad de fallo bajo demanda (PFD) de un sistema instrumentado

de seguridad se obtiene como sigue:
PFDSIS = PFDS ,i + PFDLS + PFDFE ,i + PFDPS ,i
(1)
Dnde:
- PFDSIS es el PFDavg para la funcin de seguridad especfica SIF en el SIS.
- PFDS es el PFDavg del sensor para la funcin de seguridad especfica SIF en el SIS.
- PFDFE es el PFDavg del elemento final para la funcin de seguridad especfica SIF
en el SIS.
- PFDPS es el PFDavg de la fuente de alimentacin en el SIS.
- PFDLS es el PFDavg del procesador lgico (PLC de seguridad) del SIS.
189
- i representa cada tipo de componente que es parte de la especfica SIF.

Las siguientes ecuaciones calculan el valor del PFDavg segn las configuraciones
tpicas usadas en los sistemas instrumentados de seguridad. De todas las arquitecturas, las
ms representativas son: 1oo1, 1oo2 y 2oo3.
Obtencin del valor de DU , tasa de fallos peligrosos no detectados:
DU =
1
MTTF DU
(2)
Donde MTTF es el tiempo medio entre fallos.

Obtencin del valor cc , tasa de fallos de causa comn
cc = DU
(3)
Donde es el factor de causa comn
Configuracin 1oo1
TI
TI
PFDavg = DU + DF
2
2
(4)
Dnde: DU es la tasa de fallas peligrosas no detectadas.
DF es la tasa de fallos sistemticos peligrosos.

TI es el intervalo de tiempo entre test de pruebas funcionales.
TI
El trmino DF es la probabilidad de fallo debido a errores sistemticos.

2
Configuracin 1oo2
PFDavg = (1 ) DU
) TI3
2
(5)
2
TI D TI
DU
DD
DU
+ (1 ) MTTR TI + + F
2
2
El trmino (1 ) podemos asumir que prcticamente es 1, ya que los valores de

suelen estar en los siguientes rangos:
= 0,005 0,05 en equipos electrnicos programables.
= 0,01 0,1 en equipos de campo.

Por lo que la podemos reducir la ecuacin a:
PFDavg
= DU
( )
TI 2
TI D TI
DU
DD
DU
+ MTTR TI + + F (6)
3
2
2
Dnde: MTTR es el tiempo medio de reparacin.

190
DD es la tasa de fallos peligrosos detectados.

es el factor de causa comn, fraccin de fallos que impactan a ms de un
canal o un sistema redundante (causa comn).
El trmino DU DD MTTR TI representa la probabilidad de errores durante el

tiempo de reparacin de uno de los elemento, por tanto de un canal. Este valor se puede
considerar nulo si el tiempo de reparacin es corto, < 8 horas.
TI
DU
2 es la probabilidad de fallo debido a fallos de causa
El trmino
comn.
TI

2
Configuracin 1oo3
PFDavg = DU
( ) TI4
3
[(
[(
DU
+
)
2
DD
TI
TI
MTTR TI 2 + DU + DF (7)
2
2
El trmino DU DD MTTR TI 2 representa la probabilidad de errores durante

el tiempo de reparacin de uno de los elemento, por tanto de un canal. Este valor se puede
2
TI
DU
El trmino
comn.
TI

2
Configuracin 2oo2
] [
TI
PFDavg = DU TI + DU TI + DF (8)
2
El trmino DU TI es la probabilidad de fallo debido a fallos de causa comn.

TI
El trmino DF es la probabilidad de fallo debido a errores sistemticos

2
Configuracin 2oo3
[(
PFDavg = DU
) TI
2
]+ [3
DU
TI
TI
DD MTTR TI + DU + DF (9)
2
2
191
El trmino 3DU DD MTTR TI representa la probabilidad de errores durante el

tiempo de reparacin de uno de los elemento, por tanto de un canal. Este valor se puede
TI
DU
El trmino
comn.
TI

2
Configuracin 2oo4
[(
PFDavg = DU
) TI
3
[(
]+ [4(
)
DU 2
TI
TI
DD MTTR TI 2 + DU + DF (10)
2
2
El trmino 4 DU DD MTTR TI 2 representa la probabilidad de errores durante

el tiempo de reparacin de uno de los elemento, por tanto de un canal. Este valor se puede
El trmino
TI
DU
comn.
TI

2
Consideraciones:
1. Para todos los clculos se ha considerado que todos los componentes redundantes
tienen una misma tasa de fallo. Hemos de tener en cuenta que existe la
posibilidad de utilizar componentes redundantes con diferentes tasas de fallo,
diversidad de componentes.
2. Los trminos referidos a fallas sistemticas, fallos debidos errores en el diseo, en
la programacin, en la calibracin de los instrumentos, son excepcionalmente
introducidos en los clculos de verificacin del SIF debido a la dificultad de
evaluar los modos y efectos de fallos y la falta de datos de tasas de fallos
sistemticos. Sin embargo son muy importantes y pueden tener una repercusin
grave en el funcionamiento de nuestro sistema instrumentado de seguridad, por
ejemplo una vlvula de corte de gas cuyo actuador no es capaz de mover la
vlvula, si ocurre un evento peligroso la vlvula no actuar. Por esta razn las
normas IEC 61511, IEC 61508 y la ANSI/ISA-84.01 incorporan en el ciclo de
vida conceptos de diseo e instalacin, criterios de validacin y test, y un criterio
gestin de cambio si este es necesario. Por lo que la verificacin del SIL se basa
fundamentalmente en evaluar el rendimiento del SIS relacionados con los fallos
aleatorios y no los sistemticos, de diseo. Si de todas formas se quiere
incorporar un valor de probabilidad de fallo sistemtico al sistema, se puede
utilizar un nico valor de probabilidad de fallo sistemtico para toda la funcin,
ecuacin 11. Este valor lo podemos obtener de la experiencia de lazos similares
que podamos obtener de bases de datos o bien de nuestra propia experiencia.
192
TI
PFDSIS = PFDS ,i + PFDLS + PFDFE ,i + PFDPS ,i + DF

2
(11)
3. Si el tiempo de reparacin de un componente redundante averiado se estima que

es corto, normalmente menos de un turno de operacin (8 horas). El trmino que
incorpora la variable MTTR, y que se refiere a la probabilidad de que ocurra ms
de un fallo mientras se est reparando un componente, se puede considerar nulo.
4. Los fallos de causa comn, fallos debidos a fuentes de estrs como temperatura,
humedad, corrosin, vibracin, interferencias electromagnticas o eventos
externos como la cada de rayos, pueden ser obviados si son factores que
normalmente son tratados en fase de diseo usando componentes basados en la
experiencia de la planta.
Por tanto y derivado de las consideraciones anteriores podemos simplificar las
ecuaciones anteriores sin trminos de mltiples fallos durante la reparacin y sin los fallos
sistemticos. S que dejaremos el trmino referente a los fallos de causa comn, ya que
son de los que ms datos se suele disponer y ms modelos y tablas existen.
Las ecuaciones simplificadas para las arquitecturas ms utilizadas en industria de
procesos (1oo1, 1oo2, 2oo3), teniendo en cuenta la posibilidad de utilizar elementos
redundantes con diferentes tasas de fallos (diversidad de componentes) son:
Configuracin 1oo1
TI
PFDavg = DU
2
(4a)
Configuracin 1oo2
TI 2
TI
DU
DU
PFDavg = 1DU 2DU
+ 1 2
3
2
(6a)
Configuracin 2oo3
TI 2
TI
DU
DU
DU
3
PFDavg = 1DU 2DU + 1DU 3DU + 2DU 3DU
+ 1 2 3 (9a)
3
2
Dnde:
iDU es la tasa de fallo peligroso no detectado de cada componente. Un fallo

peligroso no detectado, impide que la funcin del sistema instrumentado de seguridad se
realice cuando sea demandada, o que no trabaje como se dise. Como ejemplos:
- Un medidor de presin con la rama de proceso obstruida. Si la funcin de
seguridad es actuar por alta presin, un evento en el proceso no ser detectado y
por tanto no se realizar la funcin de seguridad diseada.
193
- Un transmisor de medida que por fallo electrnico enva una seal fija. Segn la
capacidad de diagnsticos del sistema este tipo de fallo podr ser o no ser
detectado. Si se puede detectar pasar a ser un fallo peligroso detectado iDD .
es el factor de causa comn. Es la fraccin de fallos peligrosos en las que todas

las medidas o canales de control fallan debido a una causa comn. Como ejemplo:
- Entrada de agua en un instrumento por un diseo defectuoso. Por ejemplo, en un
sistema 1oo2 es difcil que se produzca un fallo en los 2 instrumentos a la vez,
pero si el PLC no realiza un diagnstico por comparacin de seales en el sistema
1oo2, puede ocurrir que en el periodo de test de prueba de los instrumentos ( TI =1
ao) se pueda producir el error en los 2 instrumentos.
Procedimiento bsico para el clculo del PFDavg de los sensores.
1. Identificar cada sensor que detecta una desviacin fuera de las condiciones
normales de proceso y que lleva a que la SIF acte en contra de esa desviacin.
Slo los sensores que prevengan o mitiguen la desviacin designada se incluyen
en los clculos del PFD.
2. Obtener los valores del MTTF DU para cada sensor.
3. Calcular el PFD para cada configuracin de sensores usando el MTTF DU y las
ecuaciones antes descritas considerando la redundancia adoptada.
4. Sumar los valores de PFD de cada grupo de sensores para obtener el PFDS de la
funcin de seguridad evaluada.
Procedimiento bsico para el clculo del PFDavg de los elementos finales.
1. Identificar cada elemento final que protege una desviacin fuera de las
condiciones normales de proceso y que lleva a que la SIF acte en contra de esa
desviacin. Slo los elementos finales que prevengan o mitiguen la desviacin
designada se incluyen en los clculos del PFD.
2. Obtener los valores del MTTF DU para cada elemento final.
3. Calcular el PFD para cada configuracin de elementos finales usando el
MTTF DU y las ecuaciones antes descritas considerando la redundancia adoptada.
4. Sumar los valores de PFD de cada grupo de elementos final para obtener el
PFDFE de la funcin de seguridad evaluada. Este paso slo se realiza si la
funcin de seguridad evaluada requiere de mltiples elementos finales.
Procedimiento bsico para el clculo del PFDavg del revolvedor lgico (PLC de seguridad).
1. Identificar el tipo de revolvedor lgico usado.
2. Obtener el valor de MTTF DU del revolvedor lgico. Normalmente es un valor
dado por el fabricante.
3. El PFDLS es un valor que viene dado por el fabricante. Hoy en da en sistemas de
seguridad slo se utilizan PLCs de seguridad aprobados por organismos
independientes tipo TV que garantizan un SIL determinado. Como regla
general el PFDLS puede ser despreciado si el PLC es failsafe, PLCs que en caso
de fallo lleva el proceso a un estado seguro.
194
Procedimiento bsico para el clculo del PFDavg de la fuente de alimentacin.

1. Obtener el MTTF DU de cada fuente de alimentacin del SIS.
2. Calcular el PFDPS usando las ecuaciones antes descritas segn redundancia.
3. Un SIS diseado para desenergizar para posicin segura (para paro) la fuente de
alimentacin no tiene impacto sobre el PFDavg de la SIF, ya que un fallo en la
alimentacin nos lleva a una accin que lleva el proceso a un estado seguro. Si el
SIS est diseado para energizar para paro, se realizan los puntos 1 y 2.
Como podemos mejorar el valor PFDavg para conseguir el valor SIL meta deseado.
1. Utilizando o aumentando la redundancia de componentes para asegurar
disponibilidad de proceso y aumentar la tolerancia a fallo Hardware (HFT).
2. Realizando un programa de mantenimiento ms ajustado. Reduciendo el
intervalo de test (TI), disminuyendo el MTTR.
3. Utilizando componentes ms fiables, con valores de tasa de fallo menores (), o
con mayor cobertura de diagnstico (C).
7.6.3.2 Clculo MTTFspurious
Un fallo seguro de un componente puede causar un paro molesto, pero seguro del
sistema. Es lo que conocemos como paros en falso. Son paradas del proceso, no debido a
problemas del proceso, sino a fallos en componentes que hace que el sistema acte y lleve
la planta a una posicin de seguridad. No se ve afectada la seguridad del sistema pero s
que conlleva una repercusin econmica al parar la produccin.
El MTTFspurious es la medida del tiempo medio entre fallos seguros, espurios o
molestos de un componente o sistema.
Es importante calcular la tasa de los disparos en falso de la funcin de seguridad y
del sistema, para mejorar la fiabilidad del SIS, porque aunque no compromete directamente
la seguridad s que se ve afectada la fiabilidad.
La norma ISA-TR84.01 y la IEC 61511 y IEC 61508 incluye el trmino STR (Tasa
de paros espurios) e indica la probabilidad de que un disparo molesto o espurio suceda en
el SIS. La tasa esperada de que suceda un disparo en la SIF por razones no asociadas a
problemas en el proceso para la que la SIF fue diseada.
En esta evaluacin se deben considerar todos los componentes que pueden causar un
disparo en falso del SIS incluso aquellos que no estn directamente relacionados con el
evento peligroso especfico tratado.
De la misma forma que para el clculo del PFDavg del sistema, la tasa de fallo o paro
molesto (STR) de un sistema instrumentado de seguridad se obtiene como sigue:
STRSIS = STRS ,i + STRLS + STRFE ,i + STRPS ,i
(12)
Dnde:
- STRSIS es el STR para la funcin de seguridad especfica SIF en el SIS.
- STRS es el STR del sensor para la funcin de seguridad especfica SIF en el SIS.
- STRFE es el STR del elemento final para la funcin de seguridad especfica SIF en
el SIS.
195
- STRPS es el STR de la fuente de alimentacin en el SIS.

- STRLS es el STR del resolvedor lgico (PLC de seguridad) del SIS.
- i representa cada tipo de componente que es parte de la especfica SIF.
Las siguientes ecuaciones calculan el valor del STR segn las configuraciones tpicas
usadas en los sistemas instrumentados de seguridad. De todas, las arquitecturas ms
representativas son: 1oo1, 1oo2 y 2oo3.
Obtencin del valor de S , tasa de fallos seguros:
S =
1
MTTF seguros
(13)
Donde MTTF spurious es el tiempo medio entre fallos espurios.

Configuracin 1oo1
STR = S + DD + SF
(14)
Dnde: S es la tasa de fallos seguros o espurios del componente.
DD es la tasa de fallo debido a fallos peligrosos detectados.

SF es la tasa de fallo seguro debido a errores sistemticos.
Configuracin 1oo2
[ (
)] [ (
)]
STR = 2 S + DD + S + DD + SF
(15)
Dnde: es el factor de causa comn, fraccin de fallos que impactan a ms de un

canal o un sistema redundante (causa comn).
[ (
El trmino S + DD
causa comn.
)] representa la tasa de fallos espurios debido a fallos de
El trmino SF es la tasa de fallo seguro debido a errores sistemticos.

Configuracin 1oo3
[ (
)] [ (
)]
STR = 3 S + DD + S + DD + SF
[ (
El trmino S + DD
causa comn.
(16)
Configuracin 2oo2
] [ (
)]
STR = 2 S S + DD MTTR + S + DD + SF
196
(17)
Donde
MTTR es el tiempo medio de reparacin.
[ (
El trmino S + DD
causa comn.

Configuracin 2oo3
] [ (
)]
Donde
(18)
[ (
El trmino S + DD
causa comn.

Configuracin 2oo4
[ (
)]
STR = 12 S + DD MTTR 2 + S + DD + SF (19)

Donde
[ (
El trmino S + DD
causa comn.

Consideraciones:
1. El trmino DD , tasa de fallos peligrosos detectados, se incluye en el clculo de la
tasa de paros espurios cuando el fallo peligroso detectado pone el canal (para un
sistema redundante) o de todo el sistema (para un sistema no redundante) en un
estado seguro (desenergizado), es decir, activa el sistema de seguridad. Si el fallo
peligroso detectado no lleva al sistema a un estado seguro, el trmino DD no
debe tenerse en cuenta en las anteriores ecuaciones.
2. Las ecuaciones (17), (18) y (19) asumen que los fallos seguros pueden ser
detectados en lnea (on-line). Si los fallos seguros slo pueden ser detectados a
travs de inspecciones y tests, el trmino MTTR debe ser sustituido por el
intervalo de test TI .
3. Para todos los clculos se ha considerado que todos los componentes redundantes
tienen una misma tasa de fallo espurio. Hemos de tener en cuenta que existe la
posibilidad de utilizar componentes redundantes con diferentes tasas de fallo,
diversidad de componentes.
4. Los trminos referidos a fallos sistemticas seguras, son tratados de la misma
forma que para el clculo de la probabilidad de fallos peligrosos (PFDavg)
(captulo 7.6.3.1 apartado consideraciones). Por lo que si de todas formas se
quiere incorporar un valor de probabilidad de fallo sistemtico al sistema, se
197
puede utilizar un nico valor de probabilidad de fallo sistemtico para toda la

funcin, ecuacin (20). Este valor lo podemos obtener de la experiencia de lazos
similares que podamos obtener de bases de datos o bien de nuestra propia
experiencia.
STRSIS = STRS ,i + STRLS + STRFE ,i + STRPS ,i + SF
(20)
5. En sistemas redundantes, cuando se detecta un fallo ( DD ) si este es reparado en

un periodo de tiempo corto, normalmente 1 turno (8 horas) el que ocurran fallas
adicionales mientras se est realizando la reparacin es bastante improbable. Por
esta razn no se suele tener en cuenta este trmino.
6. Los fallos de causa comn, fallos debidos a fuentes de estrs como temperatura,
humedad, corrosin, vibracin, interferencias electromagnticas, o eventos
externos como la cada de rayos, pueden ser obviados si son factores que
normalmente son tratados en fase de diseo usando componentes basados en la
experiencia de la planta.
Por tanto y derivado de las consideraciones anteriores podemos simplificar las
ecuaciones anteriores para las arquitecturas ms utilizadas en industria de procesos (1oo1,
1oo2, 2oo3) y 2oo2 para fuentes de alimentacin redundantes.
Configuracin 1oo1
STR = S
(14a)
Configuracin 1oo2
STR = 2 S (15a)
Configuracin 2oo2
( ) MTTR
(17a)
( ) MTTR
(18a)
STR = 2 S
Configuracin 2oo3
STR = 6 S
El resultado final del valor de MTTFspurious para el sistema ser:

MTTF spurious =
1
STRsis
(21)
Procedimiento bsico para el clculo del STR de los sensores:

1. Identificar cada sensor que es un iniciador en el SIS.
2. Obtener los valores del MTTF spurious de cada sensor.
3. Obtener los valores del MTTR de cada sensor.
198
4. Calcular el STR para cada configuracin de sensores usando las ecuaciones antes
descritas considerando la redundancia adoptada.
5. Sumar los valores de STR de cada grupo de sensores para obtener el STRS de la
funcin de seguridad evaluada.
Procedimiento bsico para el clculo del STR de los sensores.
1. Identificar cada elemento final que es controlado por el SIS.
2. Obtener los valores del MTTF spurious de cada elemento final.
3. Obtener los valores del MTTR de cada elemento final.
4. Calcular el STR para cada configuracin de elementos finales usando las
ecuaciones antes descritas considerando la redundancia adoptada.
5. Sumar los valores de STR de cada grupo de elementos finales para obtener el
STRFE de la funcin de seguridad evaluada.
Procedimiento bsico para el clculo del STR del revolvedor lgico (PLC de seguridad).
1. Identificar el tipo de revolvedor lgico usado.
2. Obtener el valor de MTTF spurious del revolvedor lgico. Normalmente es un valor
dado por el fabricante.
3. El STRLS es un valor que viene dado por el fabricante. Hoy en da en sistemas de
seguridad slo se utilizan PLCs de seguridad aprobados por organismos
independientes tipo TV que garantizan un SIL determinado. El MTTF spurious
para un revolvedor lgico es una funcin no-lineal por lo que el usuario suele
pedir el MTTF spurious como una funcin de MTTR , por lo que el usuario solo
especifica el rango del MTTR aceptable.
Procedimiento bsico para el clculo del STR de la fuente de alimentacin.
1. En este apartado se refiere todas las fuentes de alimentacin externas al SIS,
como UPS (sistema de alimentacin ininterrumpida), generadores diesel, etc. Las
tasas de fallo seguro de las fuentes de alimentacin internas del revolvedor lgico
deben estar incluidas en las tasas de fallo del revolvedor lgico. Si no fuese as se
deberan tener en cuenta.
2. Obtener el MTTF spurious de cada fuente de alimentacin del SIS.
3. Obtener los valores del MTTF spurious de cada fuente de alimentacin.
4. Obtener los valores del MTTR de cada fuente de alimentacin.
5. Calcular el STRPS usando las ecuaciones antes descritas segn redundancia.
Como podemos reducir la tasa de paros espurios (STR).
1. Utilizando redundancia adicional de componentes para asegurar la disponibilidad
de proceso.
2. Utilizando componentes ms seguros, con valores de tasa de fallos espurios
menores.
3. Cualquier cambio que realicemos para aumentar la fiabilidad del sistema,
disminuir la tasa de fallo espurios requiere realizar de nuevo la evaluacin del
199
PFDavg del sistema para confirmar que se cumple con el SIL objetivo requerido
en las especificaciones de seguridad.
7.6.3.3 Supuestos realizados en el modelo de ecuaciones simplificadas
Un modelo es una aproximacin de la realidad. Es imposible modelar cada aspecto
de la realidad, por tanto se han de suponer una serie de supuestos, hiptesis que ayuden a
simplificar el esfuerzo para realizar el modelo. Cada modelo creado tendr asociado una
incertidumbre. Las tasas de fallos, tiempos medios de reparacin, etc. utilizados en
modelos de fiabilidad son inciertos, por muchas razones, las bases de datos pueden no ser
claras, puede que no dispongamos de datos precisos por no disponer de una buena base de
datos, o porque el equipo sea nuevo y no exista un histrico. Por ello, lo bien o mal que se
interprete el modelo y la disponibilidad o no de datos vlidos afectar a la eficacia y xito
de los valores obtenidos de los clculos de PFDavg y STR.
Supuestos realizados para los clculos por ecuaciones simplificadas:
1. La funcin instrumentada de seguridad ser diseada, instalada y mantenida de
acuerdo a la norma ANSI/ISA-84.01, IEC61511 y IEC61508.
2. Las tasas de fallo () y de reparacin () se asumen constantes durante todo el
ciclo de vida de la SIF. Esto determina la necesidad de realizar un mantenimiento
preventivo adecuado para evitar que el dispositivo pierda disponibilidad.
Dispositivos con una vida til ms corta debern ser remplazados a su debido
momento.
3. Una vez que un componente ha fallado en uno de los posibles modos de fallo, no
puede fallar otra vez en uno de los restantes modos de fallo. Slo podr fallar otra
vez si ha sido reparado. Es decir, el modelo no contempla la posibilidad de ms
de un modo de fallo del dispositivo.
4. Las ecuaciones suponen similares tasas de fallo para componentes redundantes.
5. La tasa de fallo del sensor incluye desde el sensor hasta el mdulo de entrada del
revolvedor lgico. Sensor, transductor, barrera separadora.
6. La tasa de fallo del elemento final incluye desde el mdulo de salida del
revolvedor lgico hasta el elemento final. Barrera separadora, solenoide, control
(control de vlvula), elemento final (vlvula).
7. La tasa de fallo del revolvedor lgico incluye los mdulos de entrada, el
procesador lgico, los mdulos de salida y las fuentes de alimentacin.
8. El intervalo de test entre pruebas de funcionalidad (TI) se asume mucho ms
corto que el tiempo medio entre fallos (MTTF).
9. Se supone que tras el test de funcionalidad o la reparacin de un componente del
sistema, este queda perfecto.
10. Todos los componentes de la SIF han sido debidamente especificados segn la
aplicacin del proceso. As, una vlvula fallar en la direccin segura segn la
aplicacin.
11. Todos los fallos de las fuentes de alimentacin se suponen para el estado
desenergizado.
12. No supone el PFD humano a la hora de responder ante un evento peligroso.
200
13. El valor objetivo target del PFDavg y MTTFspurious se define para cada SIF
implementada en el sistema.
14. Las ecuaciones asumen un camino de degradacin, es decir un sistema 2oo3
degrada como 3-2-0. Esto quiere decir que un fallo degrada a un sistema 1oo2 y
un segundo fallo degrada a parada.
15. Por ltimo se asume que el usuario ha de estar familiarizado con las tcnicas de
verificacin SIF y tiene un conocimiento general de la utilizacin de las bases de
datos de tasas de fallos, anlisis de modos de fallo y de efectos, y evaluacin de la
causa comn y la cobertura de diagnstico.
[1]

Evaluation Techniques Part 2. ISA-The Instrumentation, Systems, and Automation Society, 2002.
[2]
[3]

MARCOMBO, 2005.
[4]
[5]

[6]
Simplified Methods and Fault Tree Analysis of Safety Instrumented Systems. Staff from Premier
Consulting Services. INVENSYS performance solutions.
7.6.3.4 Ejemplo de clculo utilizando el modelo de ecuaciones simplificadas

Se trata de un ejemplo simplificado y aproximado del comportamiento de un horno.
El sistema de supervisin de hornos y calderas es un sistema particular que se define con
las siglas BMS (Burner Management System, sistema de supervisin de quemadores). La
misin del BMS es que cualquier fallo de un componente no prevenga la parada del
sistema, ante todo, el sistema ha de ser seguro. El estndar ms importante que cubre BMS
y ms reconocido a nivel mundial es el NFPA 85 y 86 (National Fire Protection
Association). Este estndar recoge extensamente y con requerimientos especficos los
diseos.
Los hornos y calderas son unos de los procesos que a lo largo de la historia han dado
ms accidentes, por ello la necesidad de los estndares especficos para evitar malas
operaciones y diseos.
El estndar NFPA 85 cubre gran parte del ciclo de vida de un BMS, diseo,
instalacin, operacin y mantenimiento. Est vinculada a la norma IEC 61508 por lo que
se contempla en el contexto de la IEC 61511 y ANSI/ISA-84.01.
En resumen un BMS es un Sistema Instrumentado de Seguridad.
Ejemplo:
Se trata de un proceso petroqumico que necesita calentar los hidrocarburos,
principalmente propano a una temperatura entre 550 y 650 C a travs de unos hornos para
que en la unidad de reaccin se produzca la reaccin qumica y se deshidrogene el propano
produciendo principalmente propileno. Se trata de una reaccin endotrmica. Para ello se
utiliza un horno con quemadores de gas.
201
El flujo de alimentacin al horno se regula por el lazo FIC-01. Un regulador de

presin local controla la presin de gas natural a las llamas piloto, PCV-08. El fuel gas a
quemadores, FIC-02, se realiza a travs de un control en cascada con la temperatura de
salida del horno del gas de alimentacin de proceso TIC-01. Todos los lazos de control y
regulacin se encuentran y son parte del Sistema Bsico de Control del Proceso (BPCS)
del horno.
En el HAZOP 1 realizado, los principales temas a estudiar son:
1. Tener suficiente aporte de gas natural a los quemadores piloto.
2. Tener suficiente aporte de gas natural y fuel gas a los quemadores principales.
3. Tener suficiente aporte de Oxgeno para realizar la combustin del gas. Se trata
de un horno por tiro natural.
Tras realizar el estudio HAZOP del proceso el horno se llega al siguiente diagrama
de instrumentacin y tubera (P&I Diagram).
Figura 7.6.3.3 Diagrama P&I, tras HAZOP (parte 1)
Del anlisis HAZOP realizado para el ejemplo, de todos los fallos con consecuencias
importantes que se sugieren se analiza el caso de prdida o exceso de flujo en la lnea de
gas natural a los pilotos (color rojo). El diagrama P&I mostrado en la figura 7.6.3.3 nos
muestra el resultado final tras realizar el HAZOP, despus de realizar la verificacin del
SIL objetivo para la funcin por clculo de PFDavg con el mtodo de ecuaciones
simplificadas. Los lazos en verde representan variaciones del proceso que han de ser
analizadas en el HAZOP, como parte de otras funciones de seguridad y que pueden tener
consecuencias importantes de seguridad 2.
A continuacin se muestra el resultado del estudio HAZOP (el estudio del HAZOP
para esta funcin de seguridad es un caso real).
1
HAZOP aproximado para la realizacin del ejemplo. Se analizar slo una SIF.
Representa el sistema de enclavamientos de seguridad perteneciente al rea que se estudia.

En este caso S-500 representa el sistema de seguridad del horno.
202
La obtencin del valor objetivo SIL se realizar por medio de la matriz de riesgos
(ver captulo 7.3 Definir SIL objetivo).
Figura 7.6.3.4 HAZOP horno por posible prdida de la llama piloto.
203
Otras consideraciones:
Cumplimiento reglamentario: Las vlvulas de aislamiento en las lneas de fuel gas y
gas natural a quemadores y pilotos se han de instalar con doble vlvula de corte y venteo
intermedio a travs de un borboteo conectado a colector de antorcha aguas arriba del
colector de presin con el fin de aislar las lneas de gas a pilotos y quemadores. Asimismo
estas vlvulas han de tener un reset local cercano a las vlvulas (HS 03). Las vlvulas
tendrn indicacin de posicin a travs de finales de carrera. A fallo de energa cierran
(posicin de seguridad cerrada). Segn norma NFPA 85.
Del Anlisis HAZOP obtenemos las funciones de seguridad a implementar en el
Sistema Instrumentado de Seguridad. En el caso de la llama piloto, una variacin del flujo
de gas natural a las llamas piloto puede provocar que estas se apaguen. La seguridad del
sistema vendr dado por la lectura de presin de la lnea, una fluctuacin en la presin de
la lnea implica una variacin del flujo de gas natural. La variacin de presin puede
provocar que los pilotos se extingan con el potencial de crear una atmsfera explosiva en el
hogar del horno.
Anlisis SIL: Baja presin de gas natural a pilotos.
Evaluacin de seguridad:
Matriz de riesgos:
Un riesgo clase B es inaceptable y requiere la instalacin de elementos de proteccin,

entre ellos un SIS que alcancen un SIL 3.
Configuracin, arquitectura especificada para SIL 3 del SIS:
204
Figura 7.6.3.5 Diagrama de bloque de la SIF del piloto.
Segn la norma IEC 61511 y la ANSI/ISA 84.01, un sistema de vlvulas block and
bleed (bloque y purga) es considerado un sistema 1oo2.
Se han realizado las siguientes suposiciones:
1. La SIF ha sido diseada como desenergizar para paro.
2. Todos los componentes redundantes tienen la misma tasa de fallos.
3. Hay redundancia externa de fuentes AC de alimentacin.
4. El PFDavg y el MTTFspurious para el PLC de seguridad redundante es dado por el
fabricante y se asume un valor de 0.00005 y 100 aos respectivamente.
5. Intervalo de test funcional de 12 meses (TI).
6. MTTR de 8 horas, se supone una reparacin perfecta.
7. Errores sistemticos y de causa comn se estiman negligibles.
Clculo del PFD:
PFD de los sensores:
Datos:
Transmisor de presin PI 03, 04, 05
MTTFDU = 100 aos;
DU =
1
= 0.01
MTTF DU
Eq. (9a) configuracin 2oo3
TI 2
DU
PFDavg = 1DU 2DU + 1DU 3DU + 2DU 3DU
=
3
( )
TI 2 = 1 4
PFD elementos finales:

Datos:
Vlvulas de Bloqueo + solenoides UV 11, 12, 13, 21, 22, 23
MTTFDU = 50 aos;
DU =
1
= 0.02
MTTF DU
TI 2
DU
PFDavg = 1DU 2DU
=
3
( ) TI3
2
= 1.33 4
Como la funcin de seguridad tiene dos bloques de elementos finales con la misma
configuracin 1oo2, el PFDFE ser:
PFDFE = PFDFE ,i = 1.33 4 + 1.33 4 = 2.66 4

PFD PLC de seguridad:
PFDavg = 5 5
205
PFD Fuente de alimentacin

Como el SIS desenergiza para paro, la fuente de alimentacin no tiene impacto PFD
sobre el sistema.
PFDavg del sistema:
Eq. (1); PFDSIS = PFDS ,i + PFDLS + PFDFE ,i + PFDPS ,i
PFDSIS = 1 4 + 5 5 + 2.66 4 = 4.16 4
RRF = 1 PFD = 2404
SIL 3: 1000 < RRF < 10000
El valor mximo permitido para SIL 3 es 0.001 por tanto el diseo cumple con las
especificaciones de seguridad. El diseo alcanza el SIL 3 especificado.
Clculo del MTTFspurious:
MTTFspurious de los sensores:
Datos:
Transmisor de presin PI 03, 04, 05
MTTFspurious = 50 aos;
S =
1
= 0.02
MTTF spurious
( ) MTTR = 6.57 6
STRS = 6 S
MTTFspurious elementos finales:

Datos:
Vlvulas de Bloqueo + solenoides UV 11, 12, 13, 21, 22, 23
MTTFspurious = 25 aos;
S =
1
= 0.04
MTTF spurious
STRFE = 2 S = 0.08
Como la funcin de seguridad tiene dos bloques de elementos finales con la misma
configuracin 1oo2, el STRFE ser:
STRFE = STRFE ,i = 0.16

MTTFspurious PLC de seguridad:
MTTFspurious = 100 aos
STRLS = 0.01
MTTFspurious Fuente de alimentacin
MTTFspurious para la fuente de alimentacin redundante viene dada por el fabricante.
MTTFspurious = 20 aos
206
STR PS = 0.05
MTTFspurious del sistema:
1
STRSIS
Eq. (21);
spurious
MTTFSIS
=
Eq. (20);
STRSIS = STRS ,i + STRLS + STRFE ,i + STRPS ,i + SF

STRSIS = 6.57 6 + 0.01 + 0.16 + 0.05 = 0.22
spurious
MTTFSIS
=
1
= 4.54 aos
STRSIS
Esto significa que cada 4 aos y medio aproximadamente puede haber un paro no
esperado (espurio) de la planta. Si este valor no fuese aceptable, hay que considerar
cambios en el lazo con el fin de aumentar el tiempo medio entre fallos. Se puede aumentar
la redundancia, o coger componentes con un mayor MTTF. Cualquier cambio que se
realice supone volver a verificar que el PFD del sistema cumple con los requerimientos
especificados.
[1]
[2]
NFPA 85: Boiler and Combustion Systems Hazards Code. Edicin 2001 desarrollada y publicada por
National Fire Protection Association (NFPA), 1 Batterymarch Park, Quincy, USA.
7.6.4 Observaciones. Uso de guas propias estandarizadas

Como ya se ha ido indicando, las grandes compaas multinacionales con suficientes
recursos suelen tener guas y estndares globales propios de ingeniera y diseo de todas
sus plantas y por tanto de sus sistemas. Por tanto es lgico pensar que tambin estandariza
el diseo e instalacin de sus sistemas de seguridad. Estos estndares facilitan el trabajo a
los ingenieros encargados en el desarrollo, instalacin y mantenimiento. Son guas que se
aplican en todo el entorno de la multinacional y permite trabajar de un modo comn y
global en plantas de diferentes pases.
Son guas basadas en las normas IEC 61511 y IEC 61508 y por defecto en la
ANSI/ISA-84.01. Adems, en cada pas se tendr que adaptar a la normativa y legislacin
de la zona.
Por lo que podemos concluir que el diseo conceptual de un SIS, si se realiza dentro
del mbito de una compaa con guas estndares propios, se adaptarn estos estndares.
A continuacin se listan los principales requerimientos de una gua o estndar tpico.
Es un listado muy resumido y bsico que podra ser utilizado por cualquier multinacional
del sector petroqumico y sobre el que se basaran todos sus diseos del Sistema
Instrumentado de Seguridad.
Recordemos el ciclo de vida que propusimos como ejemplo y basado en el ciclo de
vida expuesto en el estndar IEC 61511. (Figura 7.1.3. Ciclo de Vida de Seguridad SIS
ejemplo. Captulo 7.1).
207
Figura 7.1.3. Ciclo de Vida de Seguridad SIS ejemplo
1. General
1.1
En general se cumplirn todos los requerimientos de la norma IEC 61511. Estos

requerimientos se detallan en la gua global de la compaa.
2. Personal
2.1
Slo personal cualificado y entrenado participar en la realizacin de las diferentes

actividades englobadas en ciclo de vida de seguridad.
2.2
Todos los resultados de las actividades de las diferentes etapas definidas en el ciclo
de vida han de ser verificadas por una segunda persona que no haya estado
directamente involucrada en la actividad (principio de los 4 ojos). Estas etapas se
definen en detalle en la IEC 61511.
3. Anlisis de riesgo de proceso para sistemas instrumentados

3.1
Se utilizar el mtodo HAZOP principalmente, como alternativa podr utilizarse el

mtodo rbol de fallos para la realizacin del anlisis de riesgo.
208
3.2
Se usar la matriz de riesgos para asignar un valor objetivo SIL (nivel integro de
seguridad) a cada caso.
3.3
Slo funciones con SIL 2 o SIL 3 sern implementadas como funciones de seguridad
de un sistema instrumentado. Las funciones con un SIL < 2 se considerarn como
funciones de monitorizacin y alarma y se implementarn en el sistema bsico de
control de proceso (BPCS, normalmente un DCS). Funciones con un SIL > 3
requerir una modificacin del diseo del proceso o bien el uso de otros sistemas de
proteccin adems del sistema instrumentado de seguridad.
3.4
El diseo deber ser fijado y verificado en el paso 3 (Safety Review Process) para
cumplir con el SIL objetivo especificado (ver Figura 7.1.3. Ciclo de Vida de
Seguridad SIS ejemplo). Finalmente antes del start-up el diseo final instalado debe
ser verificado y validado en el paso 4 (PSSR). La disponibilidad y fiabilidad de una
funcin de seguridad depender de los equipos y arquitectura seleccionada, del
intervalo y mtodo de test definido, del tiempo medio de reparacin de componentes
(MTTR) y de la cobertura de diagnstico y fallos de causa comn.
3.5
Todos los resultados obtenidos en los pasos de revisin de seguridad de cada etapa
(safety review) han de estar documentados.
4. Implementacin del Sistema Instrumentado de Seguridad

4.1
Slo deben utilizarse instrumentos y equipos de campo que estn aprobados por la
compaa y por tanto que formen parte de la lista estndar de equipos. Los equipos
que no formen parte de la lista estndar aprobada por la compaa solo podrn
utilizarse si:
-
se puede demostrar que el equipo es un equipo proven in use (uso probado) en

una planta qumica sin haber tenido ningn fallo peligroso en el ltimo ao y
es aceptado por el comit de expertos regional encargado de establecer las

normas y redactar las guas.
4.2
Si se utilizan las arquitecturas tpicas estndares aprobados por la compaa y los

equipos pertenecientes a la lista estndar, no ser necesario realizar los clculos de
disponibilidad ni fiabilidad de la funcin de seguridad. El estndar de la compaa ya
nos dar en funcin de los elementos escogidos los test de frecuencia permitidos,
MTTRs, y que valor SIL es alcanzado (ver captulo 7.6.4.1 Arquitecturas tpicas).
4.3
Todos los componentes de las SIF y componentes que son parte del SIS deben estar
claramente marcados. En la documentacin se diferencian como elementos Clase A,
y en campo utilizando distintivos fsicos.
209
4.4
Si se hubiesen de hacer clculos de PFD (probabilidad de fallo en demanda) o SFF

(fraccin de fallo seguro) estos debern ser aprobados por el ingeniero cualificado
experto en SIS asignado al proyecto.
4.5
No se usarn arquitecturas de un solo canal para SIL 3.
4.6
Se utilizar el principio de desenergizar para paro de seguridad.
4.7
Slo se utilizarn PLCs de seguridad (PES) que estn certificados por un organismo
independiente (TV por ejemplo), que logren el SIL adecuado y estn aceptados en
la lista estndar de equipos de la compaa.
4.8
El DCS no soportar funciones de seguridad. Si existe alguna seal que tenga que ser
compartida con el DCS, un fallo en el DCS no debe afectar al sistema de seguridad.
4.9
Las funciones de seguridad sern tan simples como sea posible.
4.10 Una funcin que provoca un disparo del sistema de seguridad no se resetear
automticamente cuando recupere su valor normal, tendr que ser peseteada por
operacin una vez la situacin se d por controlada.
4.11 Se utilizarn valores analgicos en vez de digitales siempre que sea posible.
4.12 Siempre que sea posible se implantarn medidas de diagnstico online a fin de
aumentar la cobertura diagnstico. (por ejemplo comparacin de canales).
5. Validacin
5.1
Cada una de las funciones instrumentadas de seguridad ser validada en el sitio

(pruebas SAT), y aprobada por la compaa. Los resultados se documentarn (paso 4,
PSSR).
5.2
Los resultados de las pruebas de aceptacin en fbrica (FAT) de la lgica del PLC de
seguridad no son necesarios revalidarlos en planta si no ha habido modificaciones en
el programa despus de las pruebas FAT.
6. Mantenimiento
6.1
El mantenimiento y test de lazos se realizar de acuerdo a los resultados obtenidos y

fijados en la especificacin y revisin de seguridad. Todas las actividades de
mantenimiento se documentarn.
6.2
Cualquier fallo ocurrido en una SIF ha de ser estudiado y documentado, as como

comunicada la accin correctiva implementada. Todos los fallos reportados se
recopilan en una base de datos para evitar que el problema afecte a nuevas
instalaciones y poder obtener una base de datos ms fiable.
6.3
Cualquier fallo en el SIS debe ser reparado lo antes posible.
En la primera fase de la ingeniera y diseo del SIS, lo que se denomina diseo

conceptual es cuando debemos establecer la estrategia de con qu tipo de arquitectura y
componentes se pretende alcanzar los diferentes valores meta SIL. Otras variables que
impactan en alcanzar el valor SIL meta como test de pruebas, fallos de causa comn,
cobertura de diagnstico, etc. Estn reflejados en las especificaciones de los requisitos de
seguridad, documento que sirve de arranque para realizar la ingeniera y diseo del SIS.
210
7.6.4.1 Arquitecturas tpicas
Pgina intencionadamente en blanco:

Tratamiento confidencial
211
7.6.4.2 Desviacin de las arquitecturas tpicas

Como ya se ha comentado los sistemas instrumentados de seguridad pueden diferir
de las arquitecturas tpicas recomendadas por la compaa por diferentes razones:
1. El lazo no puede ser probado cada 12 meses por motivos de produccin, ya que
el test del lazo implica un paro de parte o del total de la planta con la consecuente
prdida de produccin. Normalmente ocurre en diversos equipos en plantas
continuas.
2. La funcin de seguridad no puede ser implementada con una arquitectura tpica.
Puede darse el caso que la funcin de seguridad precise de ms grupos de
sensores y/o actuadores.
3. Uso de equipos y/o instrumentos no aprobados por la compaa, equipos que no
se encuentran en la lista estndar de la compaa.
En todos estos casos se requiere realizar una evaluacin por parte de un equipo de
expertos (ver captulo 6. Gerencia de la Seguridad Funcional) que normalmente debe estar
compuesto por miembros de las siguientes reas:
Ingeniera de procesos: quien es conocedor de las propiedades del producto y de

los riesgos a reducir, normalmente el ingeniero de planta o proceso.
Ingeniero E&I (Electricidad e instrumentacin): normalmente el ingeniero E&I

responsable del mantenimiento de la planta.
Expertos tcnicos: personal experto en los equipos a utilizar, personal de taller

especialista en la unidad a tratar (compresores, bombas, unidades de destilacin,
etc.).
Si fuese necesario expertos en Sistemas Instrumentados de Seguridad y SPLC.
Este equipo deber tratar y resolver los siguientes puntos:
Evaluar la experiencia que se tiene de los equipos y configuraciones a utilizar en

aplicaciones idnticas o similares de la misma planta o de otras plantas con
productos comparables, aprovechando tambin la experiencia adquirida en
aplicaciones no SIS. Evaluar la experiencia adquirida por el fabricante o por otras
compaas del sector. Es importante poder obtener datos de mantenimiento y
reparacin de los dispositivos, as como caractersticas de confiabilidad. Es decir
queremos llegar a utilizar unos componentes que puedan entrar en la categora de
proven in use.
Realizar un anlisis de fallos de los equipos de campo implicados, teniendo en

cuenta la influencia de los productos del proceso. Utilizando un check list
estndar.
Tomar medidas adicionales en los equipos considerados de manera que

aseguremos su confiabilidad y que los fallos sean suficientemente improbables,
sobre todo si el intervalo de test ha de ir ms all de 12 meses.
Realizar una estimacin cuantitativa del valor PDF, y ver que cumple el SIL
objetivo de la funcin de seguridad.
Todos los resultados y acuerdos alcanzados deben estar documentados.

212
Hoy en da las grandes compaas qumicas y petroqumicas tienen multitud de

arquitecturas tpicas estudiadas y probadas as como un amplia lista estndar de equipos e
instrumentos que pueden ser utilizados en sus funciones de seguridad. El mayor problema
radica en poder mantener el intervalo de ensayo de funciones de seguridad en 12 meses,
sobretodo en plantas de operacin contina.
En los casos en que no es posible realizar un test de ensayo en un periodo inferior a
12 meses deberemos tomar las siguientes medidas.
Realizar una inspeccin visual anual que nos pueda indicar defectos visibles
externamente como suciedad, corrosin, etiquetado, solenoides con la ventilacin
limpia, etc.
Optimizar gestin de pruebas. El sistema ha de disearse de manera que podamos

probar el mayor nmero de componentes de una funcin de seguridad, por
ejemplo en una funcin de seguridad de corte rpido de suministro de vapor a una
turbina de vapor no podremos probar la vlvula de corte (implicara el paro de la
turbina), pero s que hemos de disear el sistema de forma que podamos probar
los enclavamientos que producen el cierre de la vlvula (presin de vapor,
sobrevelocidad del compresor, baja presin de succin del compresor, etc.). Las
paradas de produccin no esperadas se pueden utilizar para realizar pruebas de
seguridad y comprobar la efectividad de la vlvula, que es el nico elemento que
no podemos probar con la planta en marcha.
Aumentar el grado de redundancia del sistema. Esto permite alargar el periodo de

prueba de lazo manteniendo el mismo nivel SIL, disponibilidad de la funcin de
seguridad, aunque supone un sobrecoste.
Incrementar la cobertura de diagnstico de sensores y actuadores permite alargar

el periodo de prueba de lazo manteniendo la disponibilidad de la funcin de
seguridad.
Utilizar estructuras multicanal para los sensores permite realizar pruebas en cada
uno de ellos independientemente bajo el control de un procedimiento de test
apropiado.
En caso de actuadores y vlvulas.
Prevenir la contaminacin del aire de instrumentacin, que puede llevar al

bloqueo mecnico de la solenoide instalando filtros de aire a la entrada de cada
solenoide (mejor que un filtro a la salida del sistema de suministro de aire de
instrumentacin), utilizando lneas de acero inoxidable (evita la formacin de
xido), realizando una exhaustiva purga de las lneas antes de la puesta en
servicio de la planta o modificaciones realizadas en la planta para eliminar
impurezas, residuos y humedad en las lneas.
Evitar la introduccin de humedad y ambiente corrosivo en las lneas de aire para

evitar la corrosin de los actuadores (en concreto de los muelles) en las vlvulas
de control.
Para vlvulas de gran tamao que normalmente no operan (trabajan en demanda)

se ha de sobredimensionar el actuador ya que el par necesario para abrir/cerrar la
vlvula se ve incrementado cuando la vlvula no ha sido movida durante un
periodo largo.
213
De aqu la importancia de poder realizar carrera parcial, PST (Partial Stroke

Test), moveremos la vlvula ligeramente de manera que no influya en demasa en
el flujo de paso y as comprobaremos el estado del actuador y vlvula y posibles
problemas que puedan haber.
Si la funcin instrumentada de seguridad no puede ser adaptada por un tpico

intentaremos simplificar la funcin. En este rediseo de la funcin ha de estar involucrado
el equipo de anlisis de riesgos ya que la funcin de seguridad se ver rediseada.
Podemos hacer las siguientes reflexiones gua para ver si es posible redisear la SIF:
Todos los interlocks, acciones de seguridad son realmente parte de la funcin

instrumentada de seguridad y todos son requeridos a la vez con idntica
disponibilidad? O puede que parte de estas acciones sean acciones
suplementarias de monitorizacin?
Se trata de una nica funcin de seguridad, es decir la funcin de seguridad

responde a varios peligros detectados independientemente que requieren acciones
iguales o diferentes?
Es posible proteger un equipo con diferentes funciones de seguridad,

protegiendo individualmente partes del equipo sin ver afectada la seguridad
global del equipo?
Los dispositivos de campo se usan en ms de un funcin instrumentada de

seguridad? Son estos necesarios para aumentar los requisitos de fiabilidad?
Finalmente si no utilizamos equipos y componentes estndar hemos de evaluar y

considerar la siguiente informacin:
Los documentos aportados por el fabricante, incluyendo los documentos del

sistema de calidad en el desarrollo y produccin del equipo.
Certificados existentes, por ejemplo certificados expedidos por un organismo

inspector aprobado y en conformidad con IEC 61508.
Informacin y experiencia aportada por otras empresas respecto a un uso

satisfactorio en aplicaciones idnticas o comparables.
Es positivo realizar una prueba del dispositivo por una unidad especializada antes
de su utilizacin.
Si tenemos alguna duda, realizar pruebas de test en intervalos de tiempo ms

cortos (6 meses).
Realizar un examen detallado del dispositivo en el taller cuando sea posible, por
ejemplo en la prxima parada.
214
7.6.4.3 Clculo PFDavg 1

Los clculos de PFDavg se realizan segn el modelo de ecuaciones simplificadas ya
comentado en captulo 7.6.3 Clculo PFDavg y MTTFspurious. Modelo ecuaciones
simplificadas y en concreto se utilizan las ecuaciones de las arquitecturas ms tpicas sin
tener en cuenta el aporte de los fallos sistemticos y de los mltiples fallos durante la
reparacin. S que valoraremos el trmino referente a los fallos de causa comn, ya que
son de los que ms datos se suele disponer y ms modelos y tablas existen.
En resumen utilizaremos generalmente las siguientes ecuaciones para arquitecturas
1oo1, 1oo2, 2oo3 que tpicamente son las ms utilizadas en industrias de procesos:
Configuracin 1oo1
TI
PFDavg = DU
2
(4a)
Configuracin 1oo2
TI 2
TI
DU
DU
PFDavg = 1DU 2DU
+ 1 2
3
2
(6a)
Configuracin 2oo3
PFDavg
DU
TI 2
TI
DU
DU
DU
DU
DU
DU
DU
DU
3
= 1 2 + 1 3 + 2 3
+ 1 2 3 (9a)
3
2
iDU = (1 DC )
Donde
Y donde el PFDavg de la funcin instrumentada ser:
PFDSIS = PFDS ,i + PFDLS + PFDFE ,i
(1)
Dnde:
- PFDSIS es el PFDavg para la funcin de seguridad especfica SIF en el SIS.
- PFDS es el PFDavg del sensor para la funcin de seguridad especfica SIF en el SIS.
- PFDFE es el PFDavg del elemento final para la funcin de seguridad especfica SIF
en el SIS.
- PFDLS es el PFDavg del resolvedor lgico (PLC de seguridad) del SIS. Como regla
general si el PLC utilizado es un SPLC (PLC fail safe) su contribucin es despreciable, ya
que cualquier fallo nos llevar a una posicin de seguridad.
- i representa cada grupo de componentes que es parte de la especfica SIF.
Por lo que las nicas variables que necesito para el clculo del PFDavg son:
: tasa de fallos del dispositivo.
: factor de causa comn.
DC: Cobertura de diagnstico. Fraccin de fallos que son detectados por
diagnsticos no realizados por el elemento de campo, por ejemplo en el SPLC.
Ver captulo 7.6.3 ClculoPFDavg y MTTFspurious. Modelo ecuaciones simplificadas
215
TI: intervalo de tiempo entre pruebas de la funcin instrumentada de seguridad.

Si utilizamos las estructuras tpicas tratadas en este captulo podemos realizar una
aproximacin y asumir unos valores estndar de las variables que intervienen en el clculo
del PFDavg.
Si se asume el diseo de las funciones instrumentadas de seguridad utilizando
cualquiera de las arquitecturas tpicas descritas en el apartado anterior 7.6.4.1 y para
desviaciones en cuanto a la eleccin de los instrumentos se toman las medidas comentadas,
podemos realizar las siguientes aproximaciones para las variables que entran en el clculo
del PFDavg.
Valores estndar de tasa de fallo : Como se coment en anteriores captulos existen
varios mtodos para la obtencin de la tasa de fallo .
Obtencin de la tasa de fallo ideal, se trata de determinar la tasa de fallo en

condiciones ideales, es decir sin influencia ni del producto ni de las condiciones
ambientales. En este caso se determina realizando un gran nmero de
operaciones de prueba (p. ej. abrir y cerrar una vlvula 10000 veces) en un
laboratorio. En este caso el rango resultante de tasa de fallo suele estar entre
1/10000 y 1/1000 por ao.
Datos del fabricante en los que si se tiene en cuenta el producto del proceso a que
se dirige. Con ello se intenta evaluar la influencia del producto sobre la medida
de la tasa de fallo. En este caso la cifra ideal se ve empeorada. El resultado de
obtenido es dispar dependiendo del producto utilizado para el anlisis.
Valoraciones obtenidas de las compaas miembros de NAMUR 1. NAMUR

realiza anualmente encuestas sobre los equipos utilizados en sistemas
instrumentados de seguridad por las compaas miembro y el resultado de
satisfaccin en fiabilidad y disponibilidad. Estos datos no solo incluyen el equipo
sino que tambin la influencia del producto que pasa a travs de ellos y la
ingeniera e instalacin realizada. Posiblemente sea una de las fuentes ms fiables
para la eleccin e instalacin de equipos de seguridad.
Utilizacin de bases de datos como EXIDA y OREDA (para evaluacin de datos

en plataformas offshore). En estas bases de datos encontramos equipos peores a
tasas de fallo de 1/100 al ao.
NAMUR se trata de una asociacin internacional de usuarios de tecnologia de automatizacin en

procesos industriales. www.namur.de
216

[1]
[2]

[3]
217
7.7
Pruebas de aceptacin de fbrica (FAT, Factory Acceptance Test)
El apartado 13.1.1 de la norma ANSI/ISA 84.00.01-2004, y la clusula 13 de IEC

61511-Parte 1 define los objetivos de la realizacin de las pruebas FAT como el test del
sistema lgico junto con el software asociado para asegurar que satisface los
requerimientos definidos en las SRS (Especificaciones de los Requerimientos de
Seguridad) antes de ser instalado en la planta, de tal forma que posibles errores puedan ser
encontrados y corregidos. El estndar tambin nos da una serie de recomendaciones para la
realizacin de las pruebas FAT.
Quin participa en la realizacin de las pruebas FAT?
El nmero de participantes depende de la complejidad y tamao del sistema, pero en
general participar todo el personal involucrado en la construccin y verificacin del
sistema a probar, debindose definir las responsabilidades de cada participante en las
pruebas. Como mnimo se recomienda la participacin de:
Un representante de la casa contratista del sistema de seguridad, normalmente es

la persona que ha dirigido y ha tenido la responsabilidad del diseo y
programacin del sistema lgico (hardware y software incluyendo los interfaces
con otros sistemas), y que normalmente ser el encargado de liderar y coordinar
las pruebas y preparar los procedimientos de pruebas requeridos. Si hubiese
diferentes proveedores de subsistemas integradores del sistema podr participar
en las pruebas representantes de cada uno de ellos.
Un representante de la propiedad, normalmente el Ingeniero E&I encargado del

diseo del SIS. Ser quien aprobar junto con el ingeniero de proceso los
procedimientos de las pruebas FAT redactados por la empresa suministradora del
sistema.
El usuario final, como personal de operacin y mantenimiento.
Qu debe ser probado?
Todo el hardware del sistema lgico, mdulos de entradas y salidas, terminales,

cableado interno, procesadores lgicos, mdulos de comunicacin, redundancia
del sistema, interfaz con el operador, etc.
Auto switchover, bypass y redundancia.
Software y programa lgico.
Las pruebas deben estar basadas en procedimientos documentados aprobados por el

suministrador del equipo o sistema y por el usuario final. Como criterios ms usuales,
aunque no nicos para la realizacin de las pruebas FAT destacamos:
Inspeccin visual del sistema.
Inyectar seales de entrada (digitales, 4-20 mA, pulsos, termopares) y observar la

respuesta del sistema.
Forzar valores de salidas analgicas o digitales.
Crear diferentes escenarios de fallos para ver la respuesta de los backup del
sistema (redundancia de buses de comunicacin, tarjetas entrada/salida,
controladores redundantes, etc.).
218
Simulacin lgica para realizar una prueba completa de la lgica. Es decir,

probar la funcionalidad del sistema lgico (PLC de seguridad) y la interfaz con el
operador sin que las entradas/salidas de campo se encuentren conectadas. La
prueba debe realizarse antes de la instalacin en campo y para la simulacin se
utilizar la misma interfaz del operador que se utilizar en el sitio (en planta). El
sistema debe probarse al 100%.
Existen diferentes formas de realizar una completa comprobacin de la funcionalidad

de la lgica. Podemos hacerlo cableando los mdulos de entradas y salidas a switches,
generadores 4-20 mA, paneles de lmparas piloto, todo etiquetado como los equipos de
campo. Simular estados de operacin por los switches (seales discretas) y por los
generadores 4-20 mA (seales analgicas) y ver los resultados por las lmparas piloto, todo
ello se comparara con la matriz causa efecto de funcionalidad con el fin de verificar la
operabilidad del sistema. Otra forma de realizar la prueba total es mediante un programa de
simulacin separado de la lgica principal que nos crea un enlace entre las salidas del
programa principal y las entradas del simulador, por ejemplo utilizando un PC conectado al
SIS y que contiene el programa de simulacin.
Si durante las pruebas FAT se detecta algn error y requiere alguna modificacin, ha
de estudiarse que impacto provoca la modificacin sobre la integridad del SIS, por lo que
es posible tener que rehacer clculos de integridad (PFD) de las funciones afectadas.
La importancia de realizar unas pruebas de la lgica y equipo de control de seguridad
antes de la instalacin en campo conlleva una serie de beneficios que ayudan a resolver
problemas y evitan prdidas de tiempo como:
El sistema hardware y software es revisado y probado en un entorno libre de

estrs al estar fuera de la planta donde va a ir instalado.
Cualquier problema que se encuentre puede resolverse con ms facilidad al

disponer de mayores recursos tcnicos al realizar las pruebas en casa del
fabricante.
Las pruebas FAT suponen un entrenamiento para el personal usuario del sistema
que est involucrado en las pruebas (normalmente responsables de
mantenimiento y de operacin).
Se adquiere conocimiento del sistema por parte del personal usuario del sistema,
pudiendo clarificar malentendidos.
[1]
[2]
[3]
7.8
En esta fase del proyecto es cuando llega la hora de instalar y comisionar el sistema
instrumentado de seguridad que se ha diseado cuidadosamente. En muchos proyectos se
puede decir que marca un hito, un punto de entrega, donde el personal de ingeniera pasa el
diseo del sistema al contratista para su instalacin.
219
En esta etapa se debe garantizar que el sistema instrumentado de seguridad se instale

de acuerdo con el diseo y opere de acuerdo a la especificacin de los requerimientos de
seguridad. Antes de que el sistema sea llevado al sitio debe ser probado hasta su correcta
operacin, una vez en el sitio, el contratista (instalador) debe verificar que el sistema
instalado est de acuerdo al diseo incluyendo los dispositivos de campo. Una vez el
sistema est instalado se debe realizar una validacin del sistema o pruebas SAT (Pruebas
de Aceptacin en Sitio) y tambin lo que se conoce como PSAT (Pre-Start Acceptance
Test, captulo 7.8.1), arranque en frio.
La figura siguiente muestra una secuencia de pruebas y validacin para la instalacin
y puesta en marcha del sistema SIS segn la IEC 61511.
Cualquier cambio o modificacin que se realice en algn equipo especfico del SIS
durante la instalacin, comisionado o PSAT requiere volver a realizar el estudio de
seguridad correspondiente y debe estar debidamente documentado y consensuado.
La instalacin del sistema incluye todos los elementos hardware relacionados con el
SIS como sensores, elementos finales de control, cableado de campo, cajas de conexiones,
armarios de instrumentacin, PLC de seguridad, interfaces con el operador, sistemas de
alarmas, etc.
Para garantizar una correcta instalacin y comisionado del sistema el contratista debe
proporcionar y establecer unas pautas y puntos de trabajo como:
Las actividades de instalacin y comisionado.
Procedimientos, tcnicas y medidas a usar para la instalacin y comisionado.
Planificacin de esas actividades.
Personas, departamentos y organismos responsables para esas actividades.
Y como requerimientos generales relacionados con el proceso de instalacin se

recomienda:
Considerar la instalacin del SIS de manera separada a otros trabajos elctricos o

de instrumentacin de otros sistemas que puedan tener lugar, aunque el
contratista ejecutor de la instalacin sea el ejecutor de estos otros trabajos. De
esta manera minimizaremos posibles problemas de causa comn en la instalacin
y se refuerza la visin de criticidad del sistema de seguridad que se instala.
Asegurar que el diseo entregado al contratista esta completo y correcto. Es

importante que el contratista este altamente cualificado y experimentado en este
tipo de instalaciones.
220
Todos los dispositivos y equipos deben ser instalados segn las recomendaciones
de los fabricantes y de manera que permitan un fcil acceso para mantenimiento y
pruebas.
El contratista no debe realizar ningn cambio de material sin ser autorizado y

aprobado por la ingeniera del sistema.
El contratista no debe realizar ningn cambio en la calibracin de los equipos de

campo existentes.
Proteger los dispositivos y equipos de campo de daos fsicos y

medioambientales antes de la instalacin.
El comisionado asegura que el SIS se ha instalado conforme al diseo detallado.

Constituye un chequeo fsico que confirma que los equipos, dispositivos y cableados se
encuentran instalados de acuerdo al diseo y que los dispositivos de campo son operativos
y por tanto el sistema est listo para realizar las PSAT (Pre-Start Acceptance Test), para
poder concluir con la validacin del sistema.
El chequeo de la instalacin se puede separar en dos diferentes fases:
1. Comprobacin del dispositivo y cableado de campo. Se trata de comprobar como
el dispositivo de campo esta fsicamente instalado, cableado, continuidad en el
cableado, cajas de conexiones, etiquetado, terminales, etc. Normalmente el
contratista termina esta fase sin energa en el sistema y por tanto sin comprobar
funcionalidad.
2. Comprobacin funcional de los equipos y dispositivos. Comprobacin funcional
de los dispositivos de campo y del sistema lgico despus que el SIS ha sido
conectado y energizado.
El propsito final es confirmar que:
Las fuentes de energa son operativas.
Los equipos y cableado han sido adecuadamente instalados.
Los instrumentos han sido adecuadamente calibrados.
Los dispositivos de campo son operativos.
El PLC de seguridad y los mdulos entrada/salida son operativos.
Existen varias publicaciones IEC que contienen procedimientos y formularios para

llevar a cabo las comprobaciones mencionadas y que ayudan a asegurar la correcta
instalacin y chequeo de los dispositivos como la IEC62381 ed. 1.0 2004. Activities during
the factory acceptance test (FAT), site acceptance test (SAT) and site integration test (SIT)
for automation systems in the process industry.
SAT 1 (Pruebas de aceptacin en el sitio): Inspeccin y pruebas en la planta para
validar que el sistema instrumentado de seguridad instalado, as como sus funciones
instrumentadas de seguridad, logran cumplir las especificaciones de los requerimientos de
seguridad. Ver captulo 7.8.1 PSAT (Pre-Start Acceptance Test).
SAT (Site Acceptance Test).
221
SIT 1 (Pruebas de integracin en el sitio): Una vez completadas las pruebas SAT del
SIS, se integran las comunicaciones entre BPCS y el SIS, as como cualquier otro tipo de
comunicacin. El sistema integrado es probado como uno solo para garantizar que trabaja
adecuadamente. Las seales del SIS, diagnsticos, alarmas desplegadas en las pantallas de
control del BPCS (HMI) deben ser probadas.
A continuacin se muestra un esquema a modo de informacin de las diferentes
etapas para la correcta integracin del sistema BPCS y SIS.
7.8.1 PSAT (Pre-Start Acceptance Test)

En esta etapa del proyecto es cuando se valida el SIS instalado en la planta, por esta
razn tambin se conoce como validacin de seguridad funcional total del sistema de
seguridad, o lo que ms comnmente se nombra como SIS safety validation. El principal
objetivo de esta etapa es confirmar que el sistema instalado y comisionado o bien
modificado y sus funciones instrumentadas de seguridad asociadas alcanzan y cumplen los
requerimientos especificados, incluyendo la funcionalidad del sistema lgico. Las pruebas
PSAT han de certificar el correcto funcionamiento del SIS antes de ser operacionalmente
funcional.
Las PSAT proporcionan un test funcional completo del SIS para comprobar la
conformidad con las especificaciones de seguridad solicitadas.
Para realizar la validacin, una buena prctica esta en definir un plan de las
actividades a realizar durante la PSAT, teniendo en cuenta las siguientes consideraciones:
Las especificaciones de los requisitos de seguridad incluyendo la implementacin

y resolucin de recomendaciones.
Validacin de todos los modos de operacin del proceso y sus equipos asociados
incluyendo:
Preparativos del SIS para su uso incluyendo ajustes y reglajes de equipos.
Modos de operacin: arranque, automtico, manual, estado normal de

operacin.
Reajustes, paros y mantenimiento.
Las condiciones no normales de operacin previsible que son obtenidas a

travs del anlisis de riesgos (HAZOP).
Personal y departamentos responsables de las actividades de validacin.
Procedimientos y tcnicas a utilizar durante la validacin.
Referencia e informacin de los puntos sobre los que se realizarn pruebas para
validar el sistema.
SIT (Site Integration Test).
222
Como ejemplos de actividades de validacin tenemos:
Las pruebas de lazo.
Procedimientos de calibracin.
Simulacin del software de aplicacin.
Etc.
Las actividades de validacin del sistema han de confirmar el correcto

funcionamiento del sistema antes de proceder a poner el sistema en operacin. Las
actividades PSAT estarn dirigidas, como mnimo, a comprobar las siguientes
funcionalidades del sistema:
El sistema funciona correctamente en modo de operacin normal y en modo de

operacin no normal como arranque, paro de planta, mantenimiento, etc.
El sistema SIS comunica correctamente con el sistema bsico de control (BPCS)

o con cualquier otro sistema de control o red y que no se ve afectada su integridad
funcionalidad.
Los sensores, procesador lgico y elementos finales, realizan correctamente su

funcin de acuerdo con las especificaciones de los requerimientos del diseo.
La documentacin del sistema instrumentado de seguridad es consistente con el

sistema instalado y con los procedimientos de operacin.
Los sensores activan los puntos de disparo (trip points) definidos en las
especificaciones de los requerimientos de seguridad.
Confirmacin de que las funciones de seguridad se realizan como se especifica

para valores no vlidos de variables de proceso, por ejemplo valores fuera de
rango.
La secuencia de paro, cuando se activa, es la correcta.
Cualquier evento que sucede en el SIS ofrece una correcta visualizacin al

operador.
Las funciones de bypass y restablecimiento funcionan correctamente.
El restablecimiento (reset) de las funciones de seguridad una vez han sido

activadas se realiza segn las especificaciones del diseo.
Los sistemas de disparo manual (manual shutdown) funcionan correctamente.
Confirmacin de que fallos, o actuaciones incorrectas en el sistema de control

bsico (BPCS) u otros sistemas no afectan la funcionalidad del SIS.
Comprobacin de la funcionalidad segn las especificaciones requeridas de

diseo del SIS ante eventos de prdida de energa o fallo de algn suministro de
energa (elctrica, aire de instrumentacin, etc.) y posterior retorno al estado
deseado una vez la energa es restablecida y la funcin de restablecimiento es
activada.
Operacin correcta de las funciones de alarma y diagnstico.
Los intervalos de prueba de las funciones de seguridad estn documentados en

procedimientos de mantenimiento segn el SIL requerido.
223
Todos los equipos usados para la calibracin y pruebas deben presentar certificados
de calibracin por parte del contratista encargado de realizar las PSAT o bien por parte de
la propiedad si fuese el caso.
La documentacin requerida una vez realizado el comisionado y las pruebas PSAT
dependen de la complejidad del sistema de seguridad y de los documentos elaborados por
el equipo del diseo, pero como mnimo la documentacin debe incluir de forma general:
Identificacin de que el SIS ha sido probado.
Confirmacin de que el comisionado esta completado y finalizado.
Fecha de realizacin de las PSAT.
Aceptacin por parte de la propiedad. Firma autorizada que confirma que las
PSAT han sido realizadas y completadas satisfactoriamente.
Referencia de los procedimientos utilizados en las PSAT.
Normalmente cuando un sistema completo se est probando es necesario realizar y

seguir procedimientos detallados de pruebas, por lo que habitualmente precisaremos de la
siguiente documentacin como apoyo a la validacin del SIS, aparte de la documentacin
mnima mencionada anteriormente:
Procedimientos de validacin.
Copia de las especificaciones de los requisitos de seguridad.
Listado de la programacin del PLC de seguridad.
Diagrama de bloques del sistema.
Lista completa de entradas/salidas.
Diagramas de proceso e instrumentacin (P&ID).
ndice de instrumentos.
Hojas tcnicas de los equipos.
Diagramas de lazo.
Esquemas elctricos.
Configuracin del sistema bsico de control (BPCS) para cualquier entrada/salida

del SIS.
Planos de implantacin de los principales equipos.
Diagramas de conexiones en cajas de conexin y armarios, as como las

interconexiones y terminales de todo el cableado.
Diagrama de tubings y sistema neumtico.
Documentacin del fabricante de los equipos, incluyendo manuales.
Si durante las pruebas PSAT existiese alguna discrepancia y no se cumpliese con los
requisitos establecidos durante el diseo se deben estudiar las implicaciones sobre la
integridad del sistema que conlleva y evaluar si es necesario regresar a alguna etapa
anterior del ciclo de vida de seguridad. Si el fallo es debido a algn problema con los
equipos, se debe documentar el fallo y corregirse.
224
En esta etapa del ciclo de vida de seguridad ya hemos comprobado que el sistema
instrumentado de seguridad trabaja correctamente segn las especificaciones requeridas.
Aqu finalizara la fase Realizacin o Implementacin, con el SIS instalado y listo para
ser puesto en servicio. Solo nos quedara comprobar que el plan de mantenimiento este
realizado y sea acorde con los periodos establecidos en las SRS y realizar una ltima
revisin de seguridad llamada PSSR (Pre-Start Safety Review) para poder poner en
servicio el SIS (Captulo 7.9 Operacin y Mantenimiento).
[1]
[2]
[3]
[4]

7.9
Se trata de la fase ms larga del ciclo de vida del SIS, es el periodo durante el cual la
planta es operativa. Es importante realizar una poltica de mantenimiento y operacin
adecuada que garantice que el SIL de cada SIF no se degrada y se mantiene dentro de los
lmites especificados y que la seguridad funcional del sistema instrumentado de seguridad
se mantiene dentro de las especificaciones de integridad de seguridad requerida. Por lo que
se considera que el mantenimiento del SIS es una de las partes ms importantes a realizar
durante la operacin de la planta con el fin de garantizar que el SIS no se ha deteriorado o
degradado, manteniendo el nivel de integridad especificado.
7.9.1 Procedimientos de operacin y mantenimiento
Antes de poner en marcha el sistema instrumentado de seguridad (start up) y en
paralelo con el desarrollo de la ingeniera y diseo del sistema, se han de haber
desarrollado y aprobado los procedimientos de operacin y mantenimiento (ver ciclo de
vida de seguridad, captulo 7.1), as como haber establecido unas pautas de entrenamiento
del personal de operacin y mantenimiento. Estos procedimientos y entrenamiento del
personal son requisitos bsicos para la validacin del SIS y posterior puesta en marcha.
La norma IEC 61511 clusula 16 requiere que haya una planificacin de operacin y
mantenimiento para el sistema instrumentado de seguridad, que incluya los procedimientos
para trabajar con el plan de mantenimiento y operacin establecido.
El plan de mantenimiento detallar de manera escrita los procedimientos para
realizar mantenimiento, pruebas y reparacin del SIS a fin de mantener el nivel de
integridad de seguridad requerido y definido a lo largo de su vida til. El plan de
mantenimiento ha de disearse de tal forma que permita revelar problemas que el SIS no
detecta automticamente. Entre los procedimientos que debe incluir un programa de
mantenimiento del sistema instrumentado de seguridad destacamos:
225
Planificacin regular de pruebas funcionales 1 (proof testing) de las funciones de

seguridad segn el intervalo de pruebas definido para alcanzar el SIL objetivo de
cada funcin (normalmente anual).
Mantenimiento planificado e inspeccin del PLC de seguridad. Cambio de

bateras de la CPU, cambio de filtros de ventilacin de equipos y armarios, test de
las fuentes de alimentacin e inspeccin visual del equipo segn
recomendaciones del fabricante con el fin de mantener la fiabilidad del equipo.
Una buena prctica es realizar un contrato de mantenimiento con el fabricante
que gestione y supervise el mantenimiento del equipo en coordinacin con el
ingeniero E&I de la planta. Los fabricantes disponen de sus propios planes de
mantenimiento y son quienes mejor conocen sus equipos y de esta manera
siempre nos mantendrn informados de posibles upgrades y del ciclo de vida
del hardware y software del equipo PLC de seguridad.
Mantenimiento planificado e inspeccin de sensores, elementos finales de

control, cableado y alimentacin de aire a vlvulas.
Procedimiento de pruebas despus de realizar la reparacin de fallos detectados

con la realizacin de pruebas.
Personal y departamentos responsables para estas actividades.
El plan de operacin detalla de manera escrita procedimientos para que el SIS

proporcione el nivel de reduccin de riesgo requerido. Detallar la manera correcta de
operar el SIS, estos procedimientos suele estar incluidos en el procedimiento de operacin
de cada unidad de planta. Un plan de operacin cubre temas como:
Actividades operacionales de rutina, vlvulas de carrera parcial, pruebas de

instrumentos redundantes, etc.
Actividades operacionales anormales, como pasos a seguir cuando un transmisor

SIS falla, que se debe hacer si mantenimiento trabaja en una vlvula de bloqueo
mientras la produccin contina, etc.
Conocimiento de los lmites de operacin segura (puntos de disparo) y que

implicaciones conlleva, as como se debe actuar en caso de alarma o disparo del
SIS.
Como el SIS lleva el proceso a un estado seguro.
Correcto uso de bypass de operacin, permisivos, reset de sistemas, etc.
Personal y departamentos responsables para estas actividades.
Los procedimientos de operacin y mantenimiento son desarrollados para explicar

mtodos correctos y seguros de operar y mantener el SIS. Estos procedimientos, aunque no
los nicos, suelen ser los siguientes:
Procedimientos de acciones rutinarias necesarias para mantener la seguridad

funcional del SIS tal y como se dise, por ejemplo los intervalos de pruebas de
lazos y funciones definidos al determinar el SIL correspondiente, pruebas de
vlvulas de carrera parcial y pruebas de aceptacin total del lazo completo.
Ver captulo 7.9.3 Pruebas funcionales del SIS (proof. testing)
226
Procedimientos de acciones a tomar para prevenir estados inseguros o reducir las

consecuencias de un estado peligroso durante la realizacin de mantenimiento o
desvos de operacin, por ejemplo cuando un sistema necesita ser bypaseado para
la realizacin de pruebas o mantenimiento.
Procedimientos de acciones a tomar a alarmas y disparos en demanda o en falso

del SIS, investigacin, anlisis y reporte del disparo. Procedimientos de
restablecimiento y de reinicio del sistema.
Procedimientos que aseguran el correcto funcionamiento de los equipos del SIS.
Procedimientos de cmo mantener los resultados de las pruebas realizadas en el

SIS.
Procedimientos de mantenimiento de cmo actuar en caso de detectar fallos en

cualquier parte del SIS, procedimientos de reparacin y diagnstico, de
revalidacin, presentacin de informes de lo ocurrido, etc.
Procedimiento que asegure que los equipos utilizados en pruebas y

mantenimiento estn correctamente calibrados.
Dependiendo de la complejidad del SIS, procedimientos de como el SIS lleva el

proceso a un estado seguro, dependiendo del disparo ocurrido.
Incluso la mejor planificacin no puede prever todos los eventos, por lo que los
procedimientos podrn requerir revisin eventualmente. Esta revisin generalmente
seguir a pruebas y auditorias de seguridad funcional del sistema de seguridad, y se
realizar con los datos recopilados por el departamento de mantenimiento.
Requerimientos de formacin. El personal de operacin y mantenimiento debe
estar completamente formado, entrenado y evaluado en todos los aspectos de los planes y
procedimientos y su competencia debe estar documentada y se debe mantener actualizada.
Generalmente el personal de mantenimiento, operacin e instrumentacin realizar cursos
de operacin y mantenimiento del Sistema Instrumentado de Seguridad. Estos cursos
deben considerar la filosofa de operacin, del mantenimiento preventivo, predictivo y de
las pruebas de diagnosis del SIS, interpretacin de fallos y diagnsticos, operacin del
software de control, supervisin y alarmas, arranque y puesta en servicio del sistema, etc.
Por tanto los operadores estarn capacitados en funcin y operacin del SIS, y su
formacin asegurar el conocimiento de:
Como se realizan las funciones del SIS (puntos de disparo y acciones resultantes
que toma el SIS).
Los riesgos contra los que protege el SIS.
Operacin y consecuencia de todos los bypass y bajo qu circunstancias deben

ser aplicados.
Cuando y bajo qu circunstancias se ha de realizar un paro manual y que

afectacin recibe la planta, incluye el reset del sistema y el rearranque del sistema
para que funcione de manera segura otra vez.
Acciones a tomar bajo la activacin de cualquier alarma del SIS.
El operador debe comprender los requisitos de prueba del SIS y que ocurre si se
retrasan las pruebas.
227
El personal de mantenimiento estar capacitado para mantener el SIS funcionalmente

operativo, manteniendo su integridad objetivo (SIL). Para ello debe estar capacitado para:
Tener conocimientos de programacin bsica y configuracin del SIS.
Analizar, entender y aplicar la lgica del SIS.
Entendimiento de los requerimientos operacionales del sistema desde la

perspectiva de operacin y desde la perspectiva de los ingenieros a cargo del SIS.
Entendimiento de los estndares y normas existentes referidos al uso del SIS,

incluido las guas propias que establece la compaa.
A lo largo del desarrollo del SIS se dan diferentes oportunidades y medios que
pueden aprovecharse para realizar una formacin bastante efectiva, estas son:
Preparacin de las especificaciones de los requisitos de seguridad.
Realizacin de las pruebas FAT.
Simulacin de la lgica.
Aula de formacin.
Cursos especficos de equipos.
Manuales.
Etc.
La norma OHSA 29 CFR 1910.119 (Process Safety Management of Highly

Hazardous Chemicals) define requisitos para la formacin y entrenamiento sobre sistemas
de seguridad.
7.9.2 PSSR (Pre-Startup Safety Review)
Una vez el SIS ha sido instalado y antes de la puesta en marcha del sistema se ha de
realizar una revisin de seguridad (Paso 4 del ciclo de vida de seguridad SIS y etapa 3
recomendada por la IEC 61511) (Ver captulo 6.2.2 y captulo 7.1). La subclusula
5.2.6.1.1 de ANSI/ISA 84 y la IEC 61511 1-3 indica que un procedimiento deber ser
definido, ejecutado y evaluado en una evaluacin de la seguridad funcional, de tal manera
que se pueda tener juicio en cuanto a la seguridad funcional y la integridad de seguridad
alcanzado por el sistema instrumentado de seguridad. El procedimiento requiere ser
aprobado por un equipo de evaluacin designado que incluye expertos necesarios en la
aplicacin, en la tcnica y en la operacin para la instalacin en particular. Como en todo
equipo de evaluacin de seguridad como mnimo ha de haber una persona snior
competente (ingeniero E&I con experiencia en SIS) no involucrada en el equipo de diseo
del proyecto
La PSSR incluir las siguientes actividades del SIS:
Verificacin que el SIS fue diseado, instalado y probado de acuerdo a las

especificaciones de los requerimientos de seguridad (SRS) y que cualquier
diferencia ha sido identificada y resuelta.
Los procedimientos de seguridad, operacin, mantenimiento y emergencia

pertenecientes al sistema instrumentado de seguridad estn en su lugar y son los
adecuados.
228
Las recomendaciones derivadas de la evaluacin de peligros y riesgos que

aplican al SIS han sido implementadas y resueltas.
Los cambios de diseo durante el proyecto han sido procedimentados, estn en su

lugar y han sido implementados.
Las recomendaciones derivadas de evaluaciones y revisiones sobre seguridad

funcional han sido resueltas.
La formacin y entrenamiento del personal involucrado con la operacin y

mantenimiento del SIS se ha completado.
Todos los resultados de las actividades han de ser documentados y firmados por el
director de la planta y por el ingeniero E&I. Una vez realizada la prueba de validacin el
SIS es entregado por parte del ingeniero de diseo y mantenimiento a operacin y en
concreto al plant manager (director de planta) para comenzar con la etapa de arranque,
operacin, mantenimiento, segn los procedimientos realizados, y pruebas funcionales
peridicas. (ANEXO O: PSSR)
7.9.3 Pruebas funcionales del SIS (Proof Testing) 1
El requerimiento bsico para realizar las pruebas funcionales del sistema est en
asegurar que las funciones de seguridad SIF y por tanto el SIS sigue cumpliendo con la
reduccin de riesgo para el que fue diseado, es decir, sigue cumpliendo el SIL objetivo
deseado.
Ya en la fase de diseo se tienen en cuenta unos requerimientos especficos de test y
mantenimiento como el intervalo de test (captulo 7.5.12 Mantenimiento y pruebas
funcionales) y es en esta fase donde se han de desarrollar los procedimientos de pruebas de
funcionamiento para cada funcin instrumentada de seguridad con el fin de revelar fallos
no detectados por diagnsticos (covert faults) que hacen que la funcin de seguridad no
opere de acuerdo con las especificaciones de los requisitos de seguridad establecidos.
Los procedimientos de cada prueba funcional describir todos los pasos a realizar
para cada funcin instrumentada de seguridad e incluir pruebas de:
Funcionamiento correcto de cada sensor (calibracin incluida) y elemento final.
Realizacin correcta de la accin lgica.
Monitoreo correcto de alarmas e indicaciones.
Las pruebas funcionales (test de funcionamiento) han de realizarse segn los

procedimientos y con una periodicidad establecida, normalmente un ao (no excediendo
nunca de cinco aos). Como aspectos fundamentales considerados para establecer una
frecuencia de pruebas y que se recoge en las especificaciones de los requisitos de seguridad
(SRS) tenemos:
Reduccin de riesgo requerido.
Fiabilidad de los componentes utilizados en el SIS.
En el captulo 7.5.12 Mantenimiento y pruebas funcionales se di una visin general del porque de
estas pruebas, como inciden en el clculo del nivel de integridad de seguridad objetivo deseado y como
establecer un periodo de pruebas que se ajuste a las necesidades del sistema y de la planta.
229
Requerimientos especficos de la planta (condiciones ambientales, de proceso,

etc.).
Arquitectura de la SIF (redundancia).
7.9.3.1 Metodologa de test

El test debe ser realizado de manera que refleje las condiciones de trabajo de una
manera lo ms realista posible.
Siempre que sea posible se har la prueba del lazo completo, sensor, lgica SPLC y
actuador.
Cualquier bypass que sea necesario para la realizacin de las pruebas funcionales
debe estar procedimentado para mantener el estado seguro del proceso. En plantas
continuas es un elemento comnmente utilizado.
Peridicamente se deben realizar inspecciones visuales, fuera del intervalo de prueba
que marca el procedimiento, para asegurar que los elementos de seguridad no sufren
deterioros (tornillera defectuosa, cableado en estado precario, bandejas y conductos rotos,
calorifugado en mal estado, perdida de etiquetado de seguridad, soportacin en mal estado,
etc.) y que no se ha realizado ninguna modificacin no autorizada.
El test debe realizarse cuando establezca el plan de mantenimiento de pruebas
peridicas de las SIF y siempre despus de realizar una reparacin, sustitucin, etc., de
algn dispositivo o elemento de la SIF. Asimismo si temporalmente se ha parado la planta
y antes de la puesta en marcha.
Una vez realizado el test, toda la informacin relevante ser documentada. Para ello
es recomendable tener unas hojas de test que nos sirvan de gua para no descuidar ningn
elemento en la prueba. Por tanto para la realizacin de las pruebas funcionales de
seguridad de las funciones instrumentadas de seguridad se requiere seguir un
procedimiento escrito y llenar unas hojas de test para documentar el estado de la prueba
realizada.
Cualquier deficiencia encontrada durante la prueba debe ser corregida de manera
segura y rpida.
La frecuencia de test de algunos lazos ser reevaluada con el fin de ajustar a una
realidad que obtenemos de la experiencia de nuestro proceso y planta, obtenida por varios
factores como datos histricos de test, experiencia en de la planta, degradacin de los
dispositivos utilizados, fiabilidad del software, etc.
El ingeniero de mantenimiento de electricidad e instrumentacin (E&I engineer) de
la planta es el responsable de desarrollar el procedimiento especfico de pruebas, de
planificar y coordinar las pruebas y finalmente de validarlas.
Las pruebas sern realizadas por los tcnicos instrumentistas bajo la supervisin del
ingeniero E&I, siendo los responsables de realizar los trabajos segn especifica el
procedimiento.
El jefe de operacin o ingeniero de operacin junto con el personal de operacin de
la planta son los responsables de mantener la planta en estado seguro mientras se realiza el
test.
230
El ingeniero E&I archivar todos los informes, se recomienda en formato electrnico
y en papel, que certifican que las pruebas funcionales de seguridad e inspecciones han sido
realizadas como es requerido. Los informes, como mnimo, deben contener la siguiente
informacin:
Nmero Tag.
Intervalo de test.
Descripcin del test e inspeccin realizada.
Fecha de realizacin del test e inspeccin.
Firmas de las personas que realizan el test e inspeccin.
Firmas del ingeniero de planta E&I y del Plant Manager.
Resultado del test e inspeccin.
(ANEXO N: Pruebas de Lazo Clase A)

[1]
[2]
[3]
[4]

[5]

7.10 Modificacin del SIS durante operacin

A lo largo de toda la vida de operacin de la planta es inevitable que se realicen
cambios. Cambios en el proceso, en equipos, en tecnologa, software, procedimientos,
incluso seguridad. Cualquier cambio que se realice, sin importar la magnitud del cambio y
que afecte a la seguridad de la planta ha de ser manejado y dirigido con sumo cuidado ya
que pueden tener grandes impactos con relacin a la seguridad.
Como ejemplo 1 podemos tomar la explosin e incendio de 1974 en Flixborough
(Reino Unido) en la fbrica Nypro, donde murieron 28 trabajadores de la planta debido a la
inadecuada atencin que se dio al impacto de seguridad de un cambio de tubera. Este
accidente cambio la forma de tratar la seguridad por parte de las industrias. La planta de
Nypro produca un producto intermedio para producir Nylon. El proceso consista en una
serie de seis reactores de 20 toneladas de capacidad y conectados parcialmente por un junta
flexible, donde reaccionaba ciclohexano lquido con el aire fresco aportado en cada uno de
los reactores para producir ciclohexanol. Al descubrir una grieta y fuga en uno de los
1
La universidad URV de Taragona dispone de Ctedra Enresa-URV de Seguridad Industrial donde se

describen algunos casos de accidentes catastrficos sucedidos en los ltimos aos.
231
reactores, se opt por bypasear el reactor con una tubera temporal con el fin de mantener
la produccin y sacar de lnea el reactor para ser reparado.
No se consult a ningn ingeniero especializado en seguridad ni en proceso. El nico
diseo que se realiz sobre el cambio fue un plano dibujado con una tiza en el suelo del
taller. Una vez modificado el proceso se realiz un test de presin neumtico a 127 psig en
lugar de un test hidrulico y a una presin de 156 psig, como marcaba el lmite de la
vlvula de seguridad del proceso, por lo que se violaban los estndares y guas britnicas
del momento. La tubera funcion durante aproximadamente 2 meses hasta que hubo un
ligero incremento de presin (por debajo del punto de disparo de la vlvula de seguridad)
que caus flexin en la tubera de tal forma que fue suficiente para expulsar la tubera y
dejar las dos bridas de 28 pulgadas abiertas, produciendo una nube de gas que explosiono
con el resultado de 28 muertes y 36 heridos de gravedad, destruccin de la planta,
destruccin de edificios en un rea de 600 metros, rotura de cristales en un rea de 12
kilmetros y fuego en la planta durante 10 das que obstaculiz las labores de rescate.
Como principal leccin que podemos tomar es que todas las modificaciones deben
ser diseadas y revisadas por personal cualificado y que hay que seguir procedimientos
estrictos de gestin de cambios 1 para analizar el impacto de los cambios.
OSHA 29 CFR 1910.119 Process Safety Management of Highly Hazardous
Chemicals requiere establecer e implementar procedimientos escritos para gestionar los
cambios en procesos qumicos, en la tecnologa, equipos y procedimientos, y cambios en
las instalaciones que afecten al proceso.
ANSI/ISA 84.00.01 establece que los procedimientos de la gestin de
modificaciones deben estar realizados para poder iniciar, documentar, revisar, implementar
y aprobar los cambios en el sistema instrumentado de seguridad antes de realizar el
cambio.
IEC 61511 Parte 1 Clasula 17 establece los requerimientos para las modificaciones
del sistema instrumentado de seguridad.
En ambas normas y estndares no aplica a los cambios en especie replacement in
kind, es decir, por ejemplo, un instrumento por otro igual (misma tasa y modo de fallos) y
realizando la misma funcin.
7.10.1
Cuando es necesario aplicar la gestin de modificaciones (MOC)
Los procedimientos MOC (Management Of Change) deben ser realizados para

cambios que se realicen en:
El proceso.
Los procedimientos de operacin.
Las regulaciones de seguridad.
Las especificaciones de los requerimientos de seguridad.
El sistema de seguridad.
El software o firmware 1 (embebido, de aplicacin o de utilidades)

upgrade del sistema.
Tambin conocido como control de cambios
232
por un
Para correcciones de fallos sistemticos.
Los procedimientos de pruebas funcionales o mantenimiento, por ejemplo

incorporacin de bypass para la realizacin de las pruebas.
El diseo del sistema como resultado del incremento de la probabilidad de fallo

en demanda del SIS
7.10.2
Requerimientos de los procedimientos MOC
Como se coment el objetivo de gestionar las modificaciones esta en asegurar que

los cambios en cualquier sistema instrumentado de seguridad estn adecuadamente
planificados, revisados y aprobados antes de realizar la modificacin y asegurar que la
integridad de seguridad requerida se mantiene.
Es muy importante, antes de realizar modificaciones, obtener las autorizaciones
adecuadas. Normalmente las autorizaciones vienen dadas por ms de una persona de la
gerencia de cambios y probablemente tambin requerir la autorizacin del departamento
de produccin (operativa). Es operativa quien opera la planta y precisan saber en todo
momento que sucede.
El hecho de mantener al departamento de operativa dentro del grupo de gerencia es
muy importante como podemos ver despus de lo ocurrido en la plataforma petrolfera
Piper Alpha 2 ubicada en el Mar del Norte y propiedad de OPCAL, donde el 6 de julio de
1988 una serie de explosiones destruyeron toda la plataforma con un balance de 167
hombres muertos (59 lograron sobrevivir). Es considerado el mayor desastre de la historia
en la industria de extraccin de petrleo. En resumen, la causa principal del accidente fue
el desconocimiento por parte de operativa del turno entrante de que se haba quitado de
servicio un compresor y se haba tapado con un disco la tubera. Hubo un fallo en un
segundo compresor y operacin realiz una serie de maniobras para llevar el petrleo al
primer compresor sin saber que estaba fuera de servicio. Una serie de fallos y malas
actuaciones llevo al desastre.
Consideraciones a tomar antes de realizar modificaciones en el sistema de seguridad:
Base tcnica de la propuesta de cambio.
El impacto que tendr el cambio sobre la seguridad.
Como afecta y modifica la operacin y procedimientos.
Periodo de tiempo necesario para realizar el cambio.
Que autorizaciones son necesarias para realizar el cambio y obtencin de las

mismas.
1 Un cambio en el firmware constituye una modificacin lo suficientemente significativa para

justificar seguir los procedimientos MOC. Los fabricantes tienen la capacidad de modificar y agregar
funcionalidad a los dispositivos a travs de cambios de software. Normalmente es el fabricante quien
gestiona que los cambios no distorsionan la seguridad requerida.
2 Existen numerosos videos, reportajes y reseas donde se enumeran la serie de eventos que condujo al
desastre. Uno de los documentales ms tcnico y relacionado con el sistemas de seguridad lleva por nombre
Piper Alpha, la espiral hacia el desastre realizado por Coastal Training Technologies Corportaion. Se trata
de un documental bsico para entender la importancia de procedimentar la gestin de cambios.
233
Espacio de memoria requerido en el controlador lgico, as como el impacto que

tendr en el mismo.
Efecto que tendr el cambio sobre el tiempo de respuesta.
A continuacin es importante realizar una evaluacin del cambio para asegurar que
el requisito de integridad de la seguridad ha sido evaluado y se mantiene y que personal de
las disciplinas afectadas ha sido incluido en el proceso de evaluacin.
Todo el personal afectado por el cambio ha de ser informado y formado antes de
implementar el cambio y ponerlo en lnea.
7.10.3
Documentacin
Las modificaciones que se realizan en un sistema instrumentado de seguridad han de

estar debidamente documentadas y mantenidas para todo el personal que trabaje con el
sistema. La documentacin al menos ha de incluir:
Una descripcin de la modificacin.
Motivo de la modificacin.
Peligros que pueden verse afectados.
Anlisis del impacto de la modificacin en el sistema instrumentado de

seguridad.
Todas las aprobaciones que se han reunido hasta la implementacin del cambio.
Documentacin del diseo (hardware y software).
Aplicacin lgica.
Las pruebas utilizadas para verificar que la modificacin se ha implementado

adecuadamente y que el sistema instrumentado de seguridad trabaja como es
requerido, y los resultados. Similar a un pre-strat acceptance test (PSAT).
Las pruebas utilizadas para verificar que la modificacin no ha tenido impacto en

el resto del sistema instrumentado de seguridad, y los resultados.
Procedimientos de operacin y mantenimiento actualizados.
Documentacin secundaria afectada por el cambio como manuales, planos,

registros de instrumentos, recomendaciones de recambios, etc.
Realizacin de las especificaciones de los requisitos de seguridad del cambio

realizado y sistema que se haya visto afectado.
Por ltimo y muy importante, eliminar toda la documentacin obsoleta. Esta

documentacin solo puede producir errores en trabajos de operacin, mantenimiento,
futuras modificaciones, etc.
[1]
[2]
[3]
234
7.10.4
Decomisionado
El decomisionado de un sistema instrumentado de seguridad no deja de ser una

modificacin del SIS. Cuando un SIS es desactivado, se requieren los mismos pasos y
procedimientos del MOC, de forma que se asegure que otros sistemas o procesos que
puedan estar relacionados con el sistema a decomisionar no se vean afectados, por lo que
todas las actividades de decomisionado requiere procedimentales como un cambio y ser
dirigido como una actividad de modificacin del sistema instrumentado de seguridad.
235
Anexos
Anexo A: Vista general del Ciclo de Vida
ANEXOS
8.1
ANEXO A: Vista general del ciclo de vida (IEC 61511)
Vista general del ciclo de vida de seguridad segn norma IEC 61511.
Fase o actividad del Ciclo de
Vida de Seguridad
Objetivos
Caja
nmero
1
Ttulo
Anlisis y
evaluacin de
riesgos.
Determinar los peligros

y eventos peligrosos del
proceso y los equipos
asociados, la secuencia
de eventos que llevaron
al evento peligroso, los
riesgos asociados del
proceso al evento
peligrosos, los
requisitos para la
reduccin de los riesgos
y las funciones de
seguridad requeridas
para satisfacer la
necesaria reduccin de
riesgo.
Asignacin de
funciones de
seguridad a las
capas de
proteccin.
Asignacin de las
funciones de seguridad
para las capas de
proteccin y para cada
SIF, con el SIL
asociado.
Especificacin de
los requisitos de
seguridad del SIS.
Especificar los
requisitos para cada
SIS, en trminos de las
SIF requeridas y su
integridad de seguridad
asociada, a fin de lograr
la seguridad funcional
requerida.
Diseo e ingeniera
del SIS.
Disear el SIS para

satisfacer los requisitos
de las SIF y la
integridad de seguridad.
Instalacin,
comisionado y
validacin del SIS.
Integrar y probar el SIS.
Operacin y
mantenimiento del
SIS.
Garantizar que la
seguridad funcional del
SIS se mantiene durante
la operacin y
mantenimiento.
Modificacin del
SIS
Hacer correcciones,
mejoras o adaptaciones
al SIS, asegurando que
el SIL objetivo se
alcanza y mantiene.
Validar que el SIS

cumple en todo
respecto a los requisitos
de seguridad en
trminos de SIF y de
integridad de seguridad
requerida.
Requisitos
Clusula de
la norma
IEC 61511
8
del presente
trabajo 7.2
9
del presente
trabajo 7.3
10
del presente
trabajo 7.4
11 y 12.4
del presente
trabajo 7.5
12.3, 14 y
15
del presente
trabajo 7.8
16
del presente
trabajo 7.9
17
del presente
trabajo 7.10
236
Entradas
Salidas
Diseo de proceso,
planos de
distribucin,
objetivos de
seguridad.
Una descripcin de los

peligros, de la funcin de
seguridad requerida y de la
reduccin de los riesgos
asociados.
Una descripcin de
las FIS (SIF)
requeridas y los
requisitos de
integridad de
seguridad asociados.
Descripcin de la asignacin
de los requisitos de seguridad
(ver clusula 9 de norma IEC
61511).
Descripcin de la
asignacin de los
requisitos de
seguridad (ver
clusula 9 de norma
IEC 61511).
requisitos de seguridad de
los SIS;
Requisitos de seguridad del
software.
Requisitos de
seguridad del SIS.
Requisitos de
seguridad de los
programas.
Diseo del SIS de acuerdo con

los requisitos de seguridad
del SIS;
planificacin para pruebas de
integracin del SIS.
Diseo del SIS;

Plan de pruebas de
integracin del SIS;
Requisitos de
seguridad del SIS;
Plan para la
validacin de la
seguridad del SIS.
Funcionamiento completo
del SIS de acuerdo con los
resultados del diseo de SIS
resultado de las pruebas de
integracin del SIS.
Resultados de las actividades
de instalacin, comisionado
y validacin.
Requisitos del SIS;

Diseo del SIS.
Plan para operacin
y mantenimiento del
SIS.
Resultados de las actividades

de operacin y mantenimiento.
Requisitos de
seguridad del SIS
revisados.
Resultados de la modificacin
del SIS.
Anexos
10
Anexo A: Vista general del Ciclo de Vida
Desmantelamiento
Garantizar la correcta
revisin, organizacin
del sector a desmantelar
y garantizar que las SIF
que permanecen son
apropiadas.
Verificacin del
SIS
Probar y evaluar los

resultados de una fase
dada para garantizar la
exactitud y consistencia
con respecto a los
productos y normas
establecidas, como
entrada a esa fase.
Evaluacin de la
Seguridad
funcional del SIS.
Investigar y llegar a una

decisin sobre la
seguridad funcional
alcanzada por el SIS.
18
del presente
trabajo
7.10.4
7 y 12.7
del presente
trabajo 6.2
5
del presente
trabajo 6.1
Requisitos de
seguridad e
informacin del
proceso de como
qued (as built).
SIF puesta fuera de servicio.
Plan para la
verificacin del SIS
para cada fase.
Resultados de la verificacin
del SIS para cada fase.
Planificacin para la
evaluacin de la
seguridad funcional
del SIS.
Resultados de la evaluacin de
la seguridad funcional del SIS.
Requisitos de
seguridad del SIS.
237
Anexos
8.2
Anexo B: Ejemplo HAZOP Sistema Antorcha
ANEXO B: Ejemplo HAZOP Sistema Antorcha.
Descripcin:
El sistema de antorcha cumple las siguientes funciones:
Eliminacin segura de gases y lquidos procedentes del sistema de descarga,
descarga manual o descarga por presin excesiva en diferentes sistemas (columna
depropanizadora, columna deetanizadora, PP-Splitter, activacin EBDD 1, etc.).
Despresurizacin y vaciado de las instalaciones de proceso en caso de incidentes o
para fines de mantenimiento.
Evaporacin de los lquidos despus de (y durante) el vaciado del sistema.

EBDD: sitema de Emergencia, Bloqueo, Drenaje y Despresurizacin que se activa de forma manual
para reducir riesgos en diferentes unidades de fraccionamiento de la planta.
238
Pgina intencionadamente en blanco: Tratamiento confidencial
Anexos
8.3
Anexo C: Respuestas a las Recomendaciones
ANEXO C: Respuestas a las Recomendaciones

240
Anexos
8.4
Anexo D: Asignacin SIL: Matriz de Riesgo
ANEXO D: Asignacin SIL a una SIF: Matriz de Riesgo

241
Anexos
8.5
Anexo E: P&ID
ANEXO E: P&ID
242
Anexos
8.6
Anexo F: CEM; Matriz Causa Efecto
ANEXO F: CEM, Matriz Causa Efecto
243
Anexos
8.7
Anexo G: SRS: Especificaciones para las SIF
ANEXO G: SRS; Especificaciones para las Funciones Instrumentadas de

Seguridad (SIF)
8.7.1 SRS: SIF N 1:

8.7.2 SRS: SIF N 2:

244
Anexos
Anexo H:Clculo SIL; Verificacin
8.8
ANEXO H: Clculo SIL; Verificacin
8.8.1 SIF N 1:
Parte intencionadamente en blanco:

SIL requerido: SIL3

Parte Sensor:
3 interruptores de nivel con votacin 2oo3 por nivel alto (80%). Mobrey horizontal
switches.
Del manual de seguridad funcional del equipo (M310/FSM, enero 2012) y del anlisis
FMEDA realizado por EXIDA obtenemos los siguientes resultados:
Clasificacin del interruptor de nivel: TIPO A (Ver IEC61508 parte 2 seccin 7.4.3).
Basndonos en el anlisis (SFF entre 0 y 60%) el elemento alcanza SIL 1 con HFT=0
(1oo1) y SIL 2 con HFT=1.
Si se justifica que en la seleccin del equipo se ha usado el criterio de uso previo el

valor HFT puede ser reducido en 1 (SIL aumenta en 1) (Ver captulo 7.5.8.1 HFT segn
norma IEC61511 y IEC61508). Por lo que podemos asumir un SIL 3 con HFT = 1.
Votacin:
2oo3
HFT:
MTTR
8 horas
Intervalo de test
12 meses
Cobertura de test
100%
245
Anexos
Utilizando el mtodo de las ecuaciones simplificadas votacin 2oo3:
[(
PFDavg = DU
) TI
2
]+ [3
DU
TI
TI
DD MTTR TI + DU + DF
2
2
] [ (
)]
PFDavg,s = 2.918E-06
SIL 3
HFT= 1
MTTFS,S = 34274 aos
Parte PLC de seguridad
El comportamiento de la seguridad funcional y los disparos en falso del PLC de
seguridad se puede cuantificar de la forma siguiente:
PFDavg,LS = 1E-05
SIL 3
HFT = 1
MTTFS,LS = 600 aos
El PLC de seguridad est certificado por TV para aplicaciones hasta SIL 3.
Equipo:
NN
MTTR:
8 horas
Intervalo de test:
12 meses
Parte Elemento final

Vlvulas ON/OFF: XOMOX tipo
.
La vlvula por su condicin fail safe retorna a su posicin de seguridad a falta de
energa por lo que el anlisis se centrar en la disponibilidad y fiabilidad de la electrovlvula.
La electrovlvula ASCO tipo 551 est certificada por EXIDA para aplicaciones hasta
SIL 3.
Del manual de seguridad funcional del equipo (I&M V9629 ASCO solenoid valves
used in safety instrumented systems) y del certificado emitido por EXIDA obtenemos los
siguientes resultados:
Clasificacin del equipo solenoide: TIPO A (Ver IEC61508 parte 2 seccin 7.4.3).
y SIL 2 con HFT=0.
246
Anexos

Votacin:
1oo1
HFT:
MTTR
8 horas
Intervalo de test
6 meses
Cobertura de test
100%
Utilizando el mtodo de las ecuaciones simplificadas:

TI
TI
PFDavg = DU + DF
2
2
PFDavg,FE = 7,55E-04
STR = S + DD + SF
SIL 3
HFT= 0
MTTFS,FE = 90 aos
247
Anexos
8.8.2 SIF N 2:
Parte intencionadamente en blanco:

SIL requerido: SIL2

Parte Sensor:
1 transmisor de presin con votacin 1oo1 por baja presin (1.2 barg). Transmisor de
presin Fisher Rosemount (EMERSON) tipo 2088G.
Del anlisis FMEDA realizado por EXIDA (Project: 2088 pressure transmitter)
obtenemos los siguientes resultados:
Clasificacin del transmisor de presin: TIPO B (Ver IEC61508 parte 2 seccin 7.4.3).
(1oo1).
FIT is the abbreviation for Failure In Time. One FIT is 1E-09 failure per hour

Votacin:
1oo1
HFT:
MTTR
8 horas
Intervalo de test
12 meses
Cobertura de test
100%
248
Anexos

TI
TI
PFDavg = DU + DF
2
2
PFDavg,s = 5.52E-04
STR = S + DD + SF
SIL 3
HFT= 0
MTTFS,S = 313 aos
Parte PLC de seguridad
El comportamiento de la seguridad funcional y los disparos en falso del PLC de
seguridad se puede cuantificar de la forma siguiente:
PFDavg,LS = 1E-05
SIL 3
HFT = 1
MTTFS,LS = 600 aos
El PLC de seguridad est certificado por TV para aplicaciones hasta SIL 3.
Equipo:
NN
MTTR:
8 horas
Intervalo de test:
Parte Elemento final
12 meses
PV64012
Vlvula de globo ON/OFF MASONEILAN serie 21000
La vlvula por su condicin fail safe retorna a su posicin de seguridad a falta de

energa por lo que el anlisis se centrar en la disponibilidad y fiabilidad de la electrovlvula.
La electrovlvula ASCO tipo 553 est certificada por EXIDA para aplicaciones hasta
SIL3.
Del manual de seguridad funcional del equipo (I&M V9629 ASCO solenoid valves
used in safety instrumented systems) y del certificado emitido por EXIDA obtenemos los
siguientes resultados:
Clasificacin del equipo solenoide: TIPO A (Ver IEC61508 parte 2 seccin 7.4.3).
Basndonos en el anlisis (SFF entre 60 y 90%) el elemento alcanza SIL 2 con HFT=0.
249
Anexos

Votacin:
1oo1
HFT:
MTTR
8 horas
Intervalo de test
6 meses
Cobertura de test
100%

TI
TI
PFDavg = DU + DF
2
2
PFDavg,FE = 7.6E-04
STR = S + DD + SF
SIL 3
HFT= 0
MTTFS,FE = 90 aos
Resultado para la funcin de seguridad SIF N2 con arquitectura 1oo1 en parte sensor y
1oo1 en parte elemento final:
PFDSIF = PFDS ,i + PFDLS + PFDFE ,i

STRSIF = STRS ,i + STR LS + STR FE ,i
MTTF spurious =
1
STRSIF
PFDavg = 1.32E-03
RRF = 756
SIL 2
SIL
(PFDavg)
SIL
(Restricciones HFT
IEC61508)
MTTFS,SIF = 62.5 aos

PFDavg
RRF
1.32E-03
756
SIL 2
250
SIL 2
Anexos
251
Anexos
8.9
Anexo I:Hojas Tcnicas
ANEXO I: Hojas Tcnicas

252
Anexos
Anexo J:Lazos de Control
8.10 ANEXO J: Lazos de Control

253
Anexos
Anexo K: Diagramas Lgicos
8.11 ANEXO K: Diagramas Lgicos

254
Anexos
Anexo M: Sinpticos BPCS
8.12 ANEXO M: Sinpticos BPCS

EL sistema bsico de control del proceso est basado en un sistema DeltaV de
EMERSON versin 10.3.

255
Anexos
Anexo N: Pruebas de Lazo de Seguridad
8.13 ANEXO N: Pruebas de Lazo de Seguridad

Las pruebas del correcto funcionamiento de los lazos de seguridad y por tanto de todos
sus componentes, elemento de medicin (sensor), PLC de seguridad, elemento final de
control (actuador) as como el correcto funcionamiento de la lgica es un requisito de
seguridad de obligado cumplimiento.
El intervalo de test vendr dado por las especificaciones de los requisitos de seguridad y
es un punto clave a la hora de calcular el SIL alcanzado por cada uno de las funciones de
seguridad. Como norma general las pruebas son de carcter anual, aunque en aquellos
elementos finales de control que normalmente estn en una posicin fija se recomienda y es
una buena prctica realiza la prueba de funcionamiento en intervalos de 6 meses.
(Ver captulo 7.9.3 Pruebas funcionales del SIS)
A continuacin se mostrar algn ejemplo de procedimientos de diferentes pruebas de
lazo del sistema de antorcha

256
Anexos
Anexo O: PSSR Pre-Start Safety Review
8.14 ANEXO O: Hojas PSSR; (Pre Start Safety Review)

257
Anexos
Anexo P: Proteccin de la informacin SIS
8.15 ANEXO P: Proteccin de la informacin: Sistema Instrumentado de

Seguridad
El Anexo P consta de 2 documentos:
Clasificacin Sistemas de Automatizacin.
Instrucciones de trabajo Back Up
El primero (Clasificacin Sistemas de Automatizacin.XXXXXXXX) analiza los

diferentes sistemas de automatizacin que contienen informacin de configuracin o
proceso susceptible de daarse y que requiere un procedimiento para asegurar esa
informacin. Definiendo para cada sistema:
Responsabilidades.
Enumeracin de los sistemas instalados y susceptibles para mantener la

informacin.
Criticidad para el negocio: impacto que tiene para el negocio la prdida de

informacin.
Confidencialidad del sistema.
Poltica de copia de seguridad, dependiendo de la criticidad y confidencialidad del

sistema.
Poltica de accesibilidad a los sistemas.
A partir de este documento se elabora el segundo documento (Instrucciones de

trabajo Back up) donde se definen las instrucciones bsicas para la realizacin y custodia
de las copias de seguridad del Sistema Instrumentado de Seguridad .
Asimismo se anexa la poltica de acceso al Sistema Instrumentado de Seguridad al
que se hace referencia en los documentos arriba mencionados
.
258
Anexos
Anexo P: Proteccin de la informacin SIS

259

Hazop Sil

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Hazop Sil

Încărcat de

Drepturi de autor:

Formate disponibile

Sistemas Instrumentados de Seguridad

TITULACI: Enginyeria en Automtica i Electrnica Industrial

AUTORS: Xavier Galindo Dez.

DATA: juny / 2012.

Sistemas Instrumentados de Seguridad

IEC 61508, IEC 61511

ndice SIL. Nivel ntegro de Seguridad

SIF. Funcin Instrumentada de Seguridad

Auditoria de seguridad funcional (Functional safety audit)

BPCS. Sistema Bsico de Control de Proceso.

Ciclo de vida de seguridad (CVS). Safety LifeCicle (SLC)

Sistemas Instrumentados de Seguridad

Desenergizado/Energizado para disparo.

Cobertura de diagnstico (DC)

Elemento final de control

Especificaciones de los requisitos de seguridad (SRS). (Safety Requirement Specifications)

Factor de Reduccin de Riesgo (RRF). (Risk reduction Factor)

Fallo de causa comn

Fallo de modo comn

Funcin lgica (Logic function)

Instalaciones externas de reduccin de riesgo

Interfaz Mantenimineto/Ingenieria (Maintenance/engineering interface)

Lenguajes Software en subsistemas SIS. (Software languages in SIS subsystems)

Manual de seguridad. (Safety Manual)

Sistemas Instrumentados de Seguridad

MooN system (Sistema MooN)

MOC, Management of change

Modo de operacin (Mode of operation)

Nivel ntegro de Seguridad (SIL). (Safety Integrity Level)

Operator interface. Interface Operador

Probabilidad de fallo en demanda (PFD)

Resolvedor Lgico. (Logic Solver)

Riesgo del proceso (Risk Process)

Seguridad Funcional (Functional Safety)

Sistema Instrumentado de Seguridad (SIS). (Safety Instrumented System)

Test de ensayos (Proof Test)

Valoracin, evaluacin de la seguridad funcional (Functional safety assessment)

GERENCIA DE SEGURIDAD FUNCIONAL

Sistemas Instrumentados de Seguridad

Evaluacin y Revisin de las actividades durante el ciclo de vida

SISTEMA INSTRUMENTADO DE SEGURIDAD

Sistemas Instrumentados de Seguridad

7.5.6.1 Software de Aplicacin

Pruebas de aceptacin de fbrica (FAT, Factory Acceptance Test)

7.10 Modificacin del SIS durante operacin

ANEXO A: Vista general del ciclo de vida (IEC 61511)

Sistemas Instrumentados de Seguridad

ANEXO B: Ejemplo HAZOP Sistema Antorcha.

ANEXO C: Respuestas a las Recomendaciones

ANEXO D: Asignacin SIL a una SIF: Matriz de Riesgo

ANEXO F: CEM, Matriz Causa Efecto

ANEXO G: SRS; Especificaciones para las Funciones Instrumentadas de Seguridad (SIF)

ANEXO I: Hojas Tcnicas

ANEXO J: Lazos de Control

ANEXO K: Diagramas Lgicos

ANEXO M: Sinpticos BPCS

ANEXO N: Pruebas de Lazo de Seguridad

ANEXO O: Hojas PSSR; (Pre Start Safety Review)

ANEXO P: Proteccin de la informacin: Sistema Instrumentado de Seguridad

Sistemas Instrumentados de Seguridad

La seguridad en las plantas es la mayor preocupacin en la industria de procesos

Eslogan de muchas empresas primero seguridad

Sistemas Instrumentados de Seguridad