Siemens AG 2007

Seguridad funcional en la
instrumentacin de procesos
con clasificacin SIL
Preguntas, ejemplos, antecedentes

Folleto Abril 2007

 Siemens AG 2007

Desde la entrada en vigor de la IEC 61508, el tema "Seguridad
funcional" ha pasado a primer plano en los procesos industria-
les. A menudo se emplea slo la expresin SIL. Pero, qu sig- correspondiente bibliografa y las normas pertinentes. En con-
nifica exactamente SIL?
En este folleto pretendemos proporcionar una primera visin
general sobre el tema, enfocndolo principalmente en la ins-
trumentacin para la ingeniera de procesos. Queremos expo-
ner lo conceptos bsicos y para ello no utilizaremos demasiado
el lenguaje de la normativa. Por esta razn es posible que los
expertos consideren muchas descripciones faltas de precisin
o superficiales.
Este prospecto slo pretende ser una introduccin al tema.
Para obtener una informacin ms precisa debe consultarse la
secuencia, los ejemplos de clculo que aqu se ofrecen deben
entenderse slo como procedimiento bsico o de principio y
no pueden emplearse como referencia para clculos
"autnticos".
Este folleto se ha redactado con el mayor cuidado. No obstan-
te, pueden haberse infiltrado errores. Declinamos toda res-
ponsabilidad derivada en este sentido.

2 Prlogo
 Siemens AG 2007

Contenido

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Seguridad funcional. . . . . . . . . . . . . . . . . . . . . . . . . . 6
Para quin es relevante la IEC 61508? . . . . . . . . . . 7
Sistema instrumentado de seguridad (SIS). . . . . . . 8
Safety Integrity Level. . . . . . . . . . . . . . . . . . . . . . . . . 9
Clculo del ndice SIL necesario . . . . . . . . . . . . . . . . 9
Low Demand y High Demand Mode . . . . . . . . . . . 12
Comparacin entre SIL y AK . . . . . . . . . . . . . . . . . . 13
A quien afecta la clasificacin SIL? . . . . . . . . . . . . 14
Qu dispositivos pueden emplearse con los
diferentes SIL? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Si dos dispositivos SIL 2 operan con
redundancia, tengo automticamente SIL 3? . . . . 14
Dimensionado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Tipos de error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Ejemplos de clculo (errores aleatorios) . . . . . . . . 16
Comprobacin y certificacin . . . . . . . . . . . . . . . . . 18
Tiene ventajas tener el SIL ms alto posible? . . . 18
Por qu es ventajoso para un operador tener
una instalacin conforme a SIL/SIS?. . . . . . . . . . . . 18
Qu grado de seguridad ofrece la
comunicacin por bus? . . . . . . . . . . . . . . . . . . . . . . 19
Evaluaciones por parte de los fabricantes . . . . . . 20
Qu certificados son necesarios? Quin los
puede expedir?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Posibilidades de configuracin
(monocanal/redundante) . . . . . . . . . . . . . . . . . . . . 21
Qu se puede evaluar?. . . . . . . . . . . . . . . . . . . . . . 22
Instalaciones nuevas - Instalaciones antiguas
(proteccin de activos existentes) . . . . . . . . . . . . . 22
Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Prlogo 3
 Siemens AG 2007

Peligro y riesgo Un ejemplo sencillo:

En la vida diaria estamos continuamente expuestos a diferen- Para reducir el riesgo de daos por incendio, en un edificio se
tes peligros. La amplitud de gama de estos peligros abarca has- pueden adoptar diferentes medidas de proteccin.
ta catstrofes graves que pueden tener consecuencias graves
para la salud de las personas y para el medio ambiente. No
siempre tenemos la posibilidad de eludir un peligro y los ries- Detectores de humos
gos que conlleva. As, por ejemplo, una gran parte de la pobla-
cin mundial convive con los peligros de terremotos o inunda-

Riesgo sin tomar medidas

Instalacin de sprinklers

ciones. No existen medidas de proteccin contra los sucesos,

Salidas de emergencia
pero s que existen medidas de proteccin contra las amenaza-
doras consecuencias de dichos sucesos (por ejemplo presas y

de proteccin
Otras medidas
diques o edificios construidos a prueba de ssmos). (extintores,
materiales no combustibles)

Definicin de riesgo: Riesgo remanente

Riesgo = Probabilidad de que se produzca un suceso peligroso
x consecuencias (costes) de un suceso peligroso

El riesgo remanente aceptado depende de los factores
siguientes:
Regin/Pas
Sociedad de la correspondiente regin/pas
Leyes
Costes
La estimacin de este riesgo remanente aceptado debe efec-
tuarse individualmente. Lo que para uno es aceptable, para el
otro ya es inaceptable.
Reduccin del riesgo
Por consiguiente, en la vida diaria se valoran muchos peligros
en funcin de su riesgo y, consecuentemente, se aceptan o no
se aceptan. Si alguien planea un viaje largo, eligiendo selecti-
vamente los medios de transporte puede influir sobre el riesgo
de un accidente. El viajero puede reducir el peligro hasta un
riesgo remanente aceptable para l. Pero siempre queda un
riesgo remanente.
Medidas de proteccin
As por ejemplo, al proyectar el edificio se pueden prever las
correspondientes salidas de emergencia y vas de escape. Los
sensores de humo pueden activar una alarma que avisa de un
peligro a las personas que se encuentran dentro y fuera del
edificio. La instalacin de puertas cortafuegos y la utilizacin
de materiales no combustibles impiden la propagacin de un
incendio.
Los aspersores automticos extinguen las llamas y los extinto-
res tambin estn preparados para luchar contra el incendio.
Este ejemplo pone de manifiesto que hay mltiples posibilida-
des de reduccin del riesgo. Al materializarse, las medidas de
proteccin se adaptan a los correspondientes requisitos, pues
los riesgos de un almacn no son los mismos que los de un edi-
ficio de viviendas.
Medidas de proteccin en la industria
En la industria hay muchas mquinas e instalaciones que po-
seen diferentes potenciales de peligro. Para proteger contra
daos a las personas y al medio ambiente, pero tambin a las
mquinas e instalaciones, se determinan los riesgos y seguida-
mente se reducen adoptando las medidas de proteccin
apropiadas.

Nos podemos proteger reduciendo la probabilidad de ocurren-

cia de un peligro o limitando su efecto.
medidas de proteccin

Riesgo sin tomar

medidas de proteccin
Medidas de

En nuestro mundo cada vez ms dominado por la tcnica, te-

proteccin
Riesgo sin tomar

nemos la posibilidad de detectar peligros con sistemas electr-

nicos y reducir riesgos para las personas y para el medio
Riesgo

ambiente.
Riesgo remanente aceptable

Representacin de la reduccin del riesgo

4 Introduccin
 Siemens AG 2007

Las medidas a adoptar para reducir un riesgo pueden ser muy

simples, pero tambin pueden ser muy complejas. Riesgo sin tomar medidas de proteccin

Medidas de proteccin
Instalaciones pblicas de emergencia
Ejemplos:

Proceso no asegurado
Medidas mecnicas
Medidas constructivas (p. ej., levantar muros de hormign pasivas de proteccin
alrededor de plantas de produccin) Medidas mecnicas
activas de proteccin
Distribucin de los peligros

Riesgo
Sistema electrnico para seguridad
Planes de evacuacin (parada de emergencia)

Dispositivos de control y de proteccin en versin de Riesgo tomando medidas de proteccin

seguridad
... y muchas otras
Como se puede observar en estos ejemplos, las medidas que
reducen el riesgo se han de asignar a soluciones en parte to-
talmente diferentes. Estas soluciones o planteamientos se
identifican tambin como niveles de proteccin. Estos diferen-
tes niveles de proteccin se han de configurar jerrquicamen-
te y se han de contemplar independientemente entre ellos. Si
un nivel de proteccin falla, interviene automticamente el ni-
vel de proteccin inmediato superior para limitar o evitar los
daos.
Riesgo re-
manente
Representacin de la reduccin del riesgo
Las medidas que en ltima instancia se adoptan dependen fre-
cuentemente de la magnitud del riesgo remanente que an
puede aceptarse y del coste (tambin de tipo financiero) que
hay que asumir para ello. Para ello, los dispositivos de control
y proteccin de seguridad en mquinas e instalaciones pueden
contribuir en gran medida a la reduccin del riesgo.

En el modelo de niveles de proteccin siguiente se puede ver

qu tipos de medidas de proteccin existen tpicamente y en
qu orden secuencial se han de clasificar:

Plan de
emergencia
Medidas mec.
pasivas de proteccin
(p. ej. balsa de acumulacin)
Medidas mecnicas
activas de proteccin
(p. ej. vlvula de sobrepresin)
Sistema instrumentado
de seguridad (SIS)
Nivel de alarma
Nivel de control y regulacin

Los niveles de proteccin son independientes entre s en cuan-

to a su funcin. Por eso, dispositivos de regulacin y control
del nivel ms bajo, por regla general no se emplean simult-
neamente para aplicaciones de seguridad de un nivel superior.

La reduccin global del riesgo resulta de la adopcin de las me-

didas de los distintos niveles de proteccin y, en ltima instan-
cia, debe resultar un riesgo remanente aceptable.

Introduccin 5
 Siemens AG 2007

Los sistemas de automatizacin se hacen cargo, cada vez ms,
de tareas relevantes para la seguridad. As pues, los procesos
de los cuales puede originarse un peligro para las personas y
el medio ambiente, son vigilados actualmente por sistemas de
seguridad. En caso de avera, stos intervienen en el proceso y
pueden reducir el riesgo de un estado peligroso. La seguridad
funcional es el correcto funcionamiento de estos dispositivos.
Puesto que muchos pases tenan normas distintas para el co-
rrecto funcionamiento de dispositivos de seguridad, se emiti
por este motivo en el ao 1998 una norma bsica IEC para se-
guridad funcional vlida para todo el mundo. A partir de esta
norma naci una serie de normas en las que se definieron los
requisitos organizativos y tcnicos exigidos a las instalaciones
de seguridad y a su implantacin.

Hasta ahora haba normas nacionales para la planificacin, la
construccin y la operacin de las instalaciones de seguridad.
As por ejemplo, para el mercado alemn, los fabricantes y
usuarios de dichas instalaciones pudieron remitirse a las nor-
mas de seguridad DIN/VDE 19250, DIN/VDE 19251 y
DIN/VDE 801. Con estas normas se describa el dimensiona-
miento de los dispositivos relevantes para la seguridad me-
diante las clases de seguridad (AK 1-8).
El 01.08.2004 se aprob una norma unificada para plantas de
la industria de procesos. Para la instrumentacin de procesos
son relevantes las dos normas siguientes:
IEC 61508 (norma bsica)
Es vlida en todo el mundo como base para especificacio-
nes, diseo y operacin de sistemas de seguridad (Sistemas
instrumentados de seguridad, SIS).
IEC 61511 (norma especfica de cada aplicacin para la in-
dustria de procesos)
Implementacin de la IEC 61508 para la industria de
procesos

IEC 62061
IEC 61511 IEC 61513
Seguridad en Otras normas
Industria de procesos Industria nuclear
mquinas

IEC 61508
Norma bsica (vlida para todas las industrias)

Normas que se emplean para la seguridad funcional

6 Seguridad funcional
 Siemens AG 2007

Para quin es relevante la IEC 61508?

Mediante un anlisis de peligros y de riesgos se pueden deter-

minar todos los peligros que se originan en una instalacin y
sus sistemas de control asociados. De este modo se analiza si
es necesaria la seguridad funcional para garantizar una protec-
cin razonable contra los posibles peligros. Si este fuera el ca-
so, deben incorporarse al desarrollo de esta instalacin los
conceptos asociados de una manera razonable.

La seguridad funcional es slo una de las posibilidades que

existen para manejar estos riesgos. Hay tambin otros proce-
dimientos de importancia bsica, como por ejemplo la seguri-
dad inherente realizada durante el desarrollo La IEC 61508 de-
fine unos mtodos adecuados para alcanzar la seguridad fun-
cional para los sistemas afectados.

Qu sistemas se ven afectados por la IEC 61508?

La IEC 61508 se ha de emplear en sistemas relacionados con
la seguridad si stos contienen uno o ms de los dispositivos
siguientes:

Dispositivos elctricos (E)

Dispositivos electrnicos (E)

Dispositivos electrnicos programables (PE)

La norma contempla los posibles riesgos que se originan como

consecuencia del fallo de funciones de seguridad. No estn cu-
biertos los peligros originados por los propios dispositivos
E/E/PE, como por ejemplo el choque elctrico (electrocucin).
La norma es utilizable en general en sistemas E/E/PE relaciona-
dos con la seguridad, independientemente de la correspon-
diente aplicacin.

Seguridad funcional 7
 Siemens AG 2007

Sistema instrumentado de seguridad (SIS)

Un sistema instrumentado de seguridad (SIS) se utiliza para

proteger un proceso peligroso y para reducir el riesgo de un
accidente.

Los instrumentos de proceso forman parte de un sistema ins-

trumentado de seguridad. ste consta de los componentes
esenciales de una unidad de proceso completa de seguridad:

Sensor

Unidad de procesamiento de seguridad

Actuador

Sensores Controlador Actuadores

(p.ej. PLC de seguridad)

Componentes de un SIS

Todas las unidades combinadas dan como resultado un SIS. En ciertas condiciones, dentro de una instalacin pueden estar
Para poder valorar un SIS en cuanto a su seguridad funcional, unidos entre s componentes de seguridad con componentes
debe considerarse la cadena de procesamiento (desde el sen- que no son de seguridad. Para el SIS se tienen en cuenta sola-
sor hasta el actuador) en su conjunto. mente los componentes relevantes para la seguridad.

Sensores Seales importantes para

(p.ej. interruptor de nivel) la seguridad
(p.ej. elem. de corte de emergencia)

+ +

+ +
Sensores Controlador Actuadores

Los componentes de comunicaciones

deben considerarse tambin! Sensores Controlador Actuadores
(p.ej. transmisor (p.ej. vlvula con
de presin) posicionador)
Representacin de un SIS
Seales no
importantes
Dentro de un SIS pueden emplearse varios sensores, actuado- para seguridad

res o componentes de control. Seales procesadas en una instalacin

8 Seguridad funcional
 Siemens AG 2007

Clculo del ndice SIL necesario

Las instalaciones o las unidades de las mismas son el origen de Una metodologa cualitativa
diferentes riesgos. Por consiguiente, cuanto mayores son los La metodologa cualitativa es un modelo simplificado que ilus-
riesgos, mayores son tambin los requisitos impuestos a la se- tra perfectamente el SIL requerido para cada riesgo.
guridad frente a fallos del sistema instrumentado de seguridad
(SIS). Las normas IEC 61508 y IEC 61511 definen cuatro nive-
les de seguridad diferentes, que describen las medidas para la W3 W2 W1
reduccin del riesgo de estos componentes. Estos cuatro nive-
les de seguridad son el denominado Safety Integrity Level, Ca a
SIL.
a
Cuanto ms alta es la cifra del Safety Integrity Level (SIL), tanto Ga 1
mayor es la reduccin del riesgo. El ndice SIL representa, por Aa
Punto de Cb Gb
consiguiente, la probabilidad de que el sistema de seguridad 2 1 a
partida
cumpla correctamente las funciones de seguridad requeridas para la Ab Ga
durante un determinado intervalo de tiempo. estimacin Aa Gb
Cc 3 2 1
de riesgos
Para calcular el SIL necesario de una instalacin o de una parte Ab Ga
de la instalacin, hay diferentes metodologas. En las normas Aa Gb
4 3 2
IEC 61508 y IEC 61511 (Aplicacin de la IEC 61508 para la in- Cd Ga
dustria de procesos) se indican diferentes mtodos para defi- Ab
nir el ndice SIL. Puesto que la temtica es muy compleja, aqu Gb b 4 3
se ofrece slo al nivel necesario para la comprensin bsica.
a: sin requisitos especiales de seguridad
Una metodologa cuantitativa b: no basta un nico SIS
El riesgo de un proceso peligroso viene determinado por la 1, 2, 3, 4: Safety Integrity Level (SIL)
probabilidad con la que puede producirse un suceso peligroso
Determinacin del ndice SIL segn la"mtodologa cualitativa"
sin que haya medidas de seguridad, multiplicado por el efecto
del suceso peligroso. Debe determinarse cuan alta es la proba-
bilidad que puede conducir a un estado peligroso. Esta proba- Grado de los daos
bilidad puede estimarse empleando mtodos de valoracin de Ca lesiones leves de una persona, pequeos daos
riesgo cuantitativos y fijarse con un valor lmite numrico. medioambientales

La probabilidad se puede determinar mediante: Cb lesiones graves o muerte de una persona

Anlisis de las tasas de fallo en situaciones comparables Cc Muerte de varias personas

Cd Muerte de muchas personas

Datos contenidos en bases de datos relevantes

Clculo empleando mtodos de prediccin adecuados Duracin de la estancia de una persona en la zona peligrosa

Los mtodos de clculo precisos no pueden seguir tratndose Aa ocasional a frecuente

aqu y, si se precisa, se describen con mayor detalle en la Ab frecuente a permanente
IEC 61508 en parte 5.
Eliminacin del peligro

Ga posible en determinadas condiciones

Gb apenas posible

Probabilidad de ocurrencia

W1 muy reducida

W2 reducida

W3 relativamente alta

Safety Integrity Level 9

 Siemens AG 2007

Un pequeo ejemplo...
... de cmo asignar un ndice SIL.
En una industria qumica debe montarse una nueva planta de
produccin.
El procedimiento empleado para la fabricacin del producto
qumico determina el diseo de la planta. Puesto que, por prin-
cipio, con la operacin de una planta de dichas caractersticas
puede originarse un peligro para las personas y para el medio
ambiente, deben considerarse los posibles riesgos y efectos y,
dado el caso, deben incorporarse al proyecto las medidas de
proteccin adecuadas. A ttulo de ejemplo se contempla aqu
una columna de separacin.
Para contemplar los riesgos de seguridad que pueden originar-
se debido a la operacin de la columna de separacin, se rea-
liza un anlisis HAZOP (Hazard and Operability Study). Para
contemplar el nmero mayor posible de los diferentes aspec-
tos del riesgo de seguridad, la observacin la realizan diversos
expertos, tales como ingenieros qumicos, ingenieros de ope-
racin, expertos en seguridad industrial, tcnicos, personal
operador, direccin de planta, etc. Conjuntamente se realiza
un anlisis de peligros (observacin de fallos) a partir de los di-
ferentes puntos de vista y de l se deducen las medidas de pro-
teccin y de correccin necesarias.

Salida de aire
TIC TI
008 011

Agua de
Condensador
refrigeracin
Tanque de
FIC condensado
PI ZA+ 003
010 LIC
007

FIC Producto cabeza

001

TIR
009
Entrada
Columna

TIC ZA+
LIC LSA+
006
004 005

Evaporador Vapor de caldeo

FIC Condensado
002

Producto decantado
Esquema de la columna de separacin

10 Safety Integrity Level

 Siemens AG 2007
Del anlisis de peligros resulta una observacin de fallos, de la
cual se representa aqu un extracto:
N. Fallo Causa(s) Efecto(s)
1 Productos de entrada a la Modificacin de la composicin Aumento de temperatura/pre-
columna errneos o con de la mezcla en la corriente pro- sin en la columna
impurezas cedente de unidades de proce-
so aguas arriba.
2 Corte de corriente Defecto elctrico local o a nivel Fallo de la refrigeracin y del
de planta caldeo as como de las bombas,
dado el caso, aumento de pre-
sin y de temperatura
3 Rebose en el colector de Fallo en lazo de regulacin de Inundacin de los fondos infe-
decantacin de la columna nivel LIC 004 riores de la columna con peligro
de destruccin de los fondos
4 Rebose del depsito de Fallo en lazo de regulacin de Inundacin del condensador y
condensado nivel LIC 007 prdida de capacidad de refri-
geracin, aumento de tempera-
tura en la columna
5 Temperatura excesiva en Fallo del agua de refrigeracin Aumento de la presin y des-
la columna en el condensador de cabeza carga a la salida del vapor de
bajo punto de ebullicin,
Caso A) Con vlvula de seguri-
dad: Actuacin de la vlvula de
seguridad y liberacin de mate-
rial al medio ambiente
Caso B) Sin vlvula de seguri-
dad: Exceso de la presin mxi-
ma admisible por la columna
con prdida de integridad
6 Temperatura excesiva en Fallo de regulacin en entrada Sobrecalentamiento del pro-
colector de decantacin de vapor de caldeo ducto del colector por encima
de la temperatura mxima ad-
misible, reaccin de descompo-
sicin con produccin de gas,
aumento de la presin por enci-
ma de la presin mxima que
admite el recipiente
Como relevante para la seguridad se ha identificado el punto
Monitoreo de presin
de medicin de monitoreo de la presin en la cabeza de la co-
con
lumna (010) y el monitoreo de temperatura en el fondo de la vlvula de
columna (006). Se hizo especial hincapi en la presencia de seguridad
una vlvula de seguridad del monitoreo de presin. Grado de los daos Cb
Tiempo de perma- Ab
En combinacin con el grfico para el clculo del ndice SIL ne- nencia en la zona de
cesario en la pgina 9, resultan las correspondientes clasifica- peligro
ciones en la columna de separacin para el monitoreo de pre- Posibilidad de elimi- Gb
nacin del peligro
sin y temperatura.
Probabilidad de ocu- W2
rrencia del suceso
Safety Integrity Level SIL 2
Safety Integrity Level
Medida(s) correctiva(s)
Las modificaciones en la composi-
cin en la entrada no se producen
repentinamente sino progresiva-
mente y se detectan durante los
anlisis peridicos de calidad.
Toda la valvulera pasa a la posi-
cin de seguridad.
La columna pasa automticamen-
te a un estado seguro (si el caldeo
se desconecta y la entrada se
cierra).
La proteccin contra rebose
LSA+ 005 cierra la vlvula del va-
por de caldeo y la vlvula de
entrada
Ver temperatura excesiva en la
columna
El monitoreo de presin PI
ZA+ 010 cierra las vlvulas del va-
por de caldeo y de entrada
Muchos puntos de medicin de
temperatura para una rpida reac-
cin del personal de operacin en
caso de un aumento inusual de la
temperatura.
El monitoreo de temperatura
TIC ZA+ 006 corta el vapor de
caldeo
Tempera-
tura
sin
vlvula de
seguridad
Cc Cc
Ab Ab
Gb Gb
W2 W1
SIL 3 SIL 2
11
 Siemens AG 2007

Low Demand y High Demand Mode

Puesto que las aplicaciones en la industria de procesos y en la High Demand

industria manufacturera son bastante diferentes, tambin al Modo de operacin con nivel de demanda alto o demanda
SIS se le exigen requisitos distintos. Por este motivo, para cada continua al sistema de seguridad. El sistema de seguridad tra-
una de estas dos ramas de la industria hay un sistema diferen- baja continuamente o se demanda su intervencin ms de una
te en el que se fija el nivel de demanda al SIS. Se diferencian vez al ao.
los sistemas por la probabilidad de fallos bajo demanda del SIS
(PFD, Probability of Failure on Demand). SIL PFH (por hora) Fallo mx. aceptado del SIS
-6 -5
Low Demand SIL 1 10 a < 10 un fallo peligroso en
100.000 horas
Tipo de operacin con nivel de demanda bajo al sistema de se-
SIL 2 10-7 a < 10-6 un fallo peligroso en
guridad. No se debe demandar la intervencin del sistema de 1.000.000 horas
seguridad ms de una vez al ao.
SIL 3 10-8 a < 10-7 un fallo peligroso en
10.000.000 horas
SIL PFD Fallo mx. aceptado del SIS
SIL 4 10-9 a < 10-8 un fallo peligroso en
SIL 1 10-2 a < 10-1 un fallo peligroso en 10 aos 100.000.000 horas
SIL 2 10-3 a < 10-2 un fallo peligroso en 100 aos Valores lmite de fallo para una funcin de seguridad que se
SIL 3 -4
10 a < 10 -3
un fallo peligroso en 1000 aos hace operar en el modo de operacin con nivel de demanda
-5 -4 alto o continuo (High Demand)
SIL 4 10 a < 10 un fallo peligroso en 10000 aos
En manufactura se emplea en la mayora de los casos el modo
Valores lmite de fallo para una funcin de seguridad que se High Demand (continuous mode). Aqu es necesario a menu-
hace operar en el modo de operacin con nivel de demanda do un monitoreo continuo de los procesos de trabajo para po-
bajo (Low Demand) der garantizar la seguridad de las personas y del medio
ambiente.

En la industria de procesos se utiliza tpicamente el modo Low

Demand (on demand). Un ejemplo tpico lo constituyen los
sistemas de desconexin de emergencia que slo se activan
cuando el proceso pasa a estar fuera de control. Normalmen-
te, esto sucede menos de una vez al ao. Por este motivo, para
la instrumentacin de procesos el modo High Demand carece
de significado en la mayora de casos.

Por eso las consideraciones en este folleto se refieren ex-

clusivamente a sistemas Low Demand.

12 Safety Integrity Level

 Siemens AG 2007

Comparacin entre SIL y AK

DIN 19250/19251 y DIN 0801 eran normas de la industria ale- AK

mana y se emplearon como base para la valoracin de produc- En un SIS se consideran slo los componentes de los compu-
tos seguros, antes de introducirse la norma internacional tadores. Por ejemplo, para dimensionar adecuadamente una
IEC 61508. instalacin AK4, todos los componentes correspondientes de-
Clases de demanda (AK) definidas en DIN 19250 en lugar de ben tambin ser como mnimo AK4.
los niveles de integridad de seguridad (SIL 1 - 4) de la nueva La tabla siguiente ilustra una comparacin de las clases de de-
norma internacional IEC61508. manda AK con el Safety Integrity Level.
El principio bsico en la aplicacin de clases de demanda (AK)
se basaba en que mediante el uso exclusivo de dispositivos de DIN19250 IEC61508
Clase de requisito Safety Integrity Level
una clase de demanda, tambin el sistema completo cumpla
esta clase de demanda. Adems se consideraron exclusiva- AK 1 no definido
mente los componentes de clculo de un SIS. AK 2 SIL 1
AK 3
En la aplicacin con SIL se hacen dos consideraciones:
AK 4 SIL 2
1. Consideracin de los fallos sistemticos
Aqu ocurre, como en la aplicacin con AK, que mediante el AK 5 SIL 3
AK 6
enlace de todos los componentes importantes de una clase
SIL, el sistema global tambin cumple las demandas a la AK 7 SIL 4
AK 8
clasificacin SIL.
Comparacin AK (DIN 19250) y SIL (IEC 61508)
2. Consideracin de fallos aleatorios
(en algunos pocos casos puede no concordar)
Aqu se calcula el SIS completo. Puede ocurrir, por ejemplo,
que a pesar de la clasificacin de todos los dispositivos en
una clase SIL, las demandas no se cumplen.

SIL
El SIS se considera en su totalidad. Debe calcularse la probabi-
lidad de fallo y, con ello, el nivel SIL. Para ello se suman las pro-
babilidades de fallo individuales de todos los componentes del
SIS empleados. Tambin puede suceder que, a pesar del uso
exclusivo de componentes SIL 2, no se alcance el nivel SIL 2 en
un SIS. Adems deben considerarse tambin los fallos sistem-
ticos del SIS completo.

Safety Integrity Level 13

 Siemens AG 2007

A quin afecta la Qu dispositivos pueden em-

clasificacin SIL? plearse con los diferentes SIL?

En instalaciones que deben cumplir condiciones tcnicas de
seguridad, las partes implicadas estn afectadas por diferentes
motivos:
Operadores de instalaciones
Establecen los requisitos que han de cumplir los proveedo-
res de componentes de seguridad. stos deben documen-
tar el potencial de riesgo remanente.
Constructores de instalaciones
Deben dimensionar adecuadamente la instalacin.
Proveedores
Confirman la clasificacin de sus productos.
Aseguradoras, autoridades
Exigen la demostracin de que se ha realizado una reduc-
cin suficiente del riesgo remanente de la instalacin.
Para poder alcanzar un nivel (SIL 1 - 4), el SIS completo debe
cumplir los requisitos para fallos sistemticos (especialmente
el software) y fallos aleatorios (hardware). Por consiguiente, el
resultado del clculo del SIS completo debe atenerse al SIL
requerido.
En la prctica, esto depende principalmente del diseo con-
ceptual de la instalacin o del circuito de medicin. As, en una
instalacin SIL 3 pueden emplearse tambin dispositivos SIL 2.
Con dispositivos SIL 1 no se cumplen generalmente los
requisitos.
En muchos casos resulta ventajoso emplear dos sensores, ya
que el operador de la instalacin exige redundancia por moti-
vos de disponibilidad. Una pequea ventaja adicional radica
en que el coste de dos dispositivos SIL 2 en la mayora de los
casos es ms favorable que para un dispositivo SIL 3.

SIL 4 no es realizable con dispositivos tradicionales.

Si dos dispositivos SIL 2 operan con redundancia, tengo

automticamente SIL 3?

No. En principio se puede decir que la probabilidad de fallo del

,

SIS completo debe conducir por clculo a SIL 3. Mediante la

operacin redundante de dispositivos SIL 2 se puede reducir la
probabilidad de fallo para fallos aleatorios. Pero para saber si
es suficiente para SIL 3, debe determinarse contemplando los
fallos sistemticos y los aleatorios. Por lo que respecta a los fa-
llos sistemticos (p. ej. software) el sistema completo debe
cumplir tambin los requisitos para SIL 3. SIL2 SIL2 ?
Anlogamente, esta forma de proceder es aplicable tambin
para otros niveles SIL.

14 Safety Integrity Level

 Siemens AG 2007
Tipos de errores
En un sistema instrumentado de seguridad se diferencia entre
errores sistemticos y errores aleatorios. Para poder cumplir
un nivel SIL exigido, deben considerarse independiente-
mente entre s los dos tipos de error.
Errores aleatorios
En el momento de la entrega no existen errores aleatorios. Son
el resultado de averas del hardware y se originan aleatoria-
mente durante el funcionamiento. Los errores aleatorios pue-
den consistir, p.ej. en: Cortocircuito, interrupcin, deriva de
valores de un componente... La probabilidad de los errores y,
con ella, el valor de la probabilidad de fallo es calculable. Se
calculan los valores para los diferentes componentes de hard-
ware de un SIS. Los resultados obtenidos a partir de este clcu-
lo se expresan mediante el valor PFD (average probability of fa-
ilure on demand) y constituyen la base de clculo para la
determinacin del ndice SIL.
Errores sistemticos
Todos los dispositivos suministrados contienen errores siste-
mticos en el momento de la entrega. Tpicamente son errores
de desarrollo o errores en el diseo o en la configuracin.
Constituyen ejemplos de los mismos los errores de software,
un dimensionamiento incorrecto, un diseo incorrecto del ins-
trumento de medida... . Los errores de software de los dispo-
sitivos representan la mayor parte de los errores sistemticos.
La consideracin bsica en los errores de software sistemti-
cos es que los errores en la programacin tambin pueden ori-
ginar un fallo en el proceso.
Errores de causa comn
Unos errores sistemticos especiales son los "errores de causa
comn". Son errores causados por factores externos como, por
ejemplo, perturbaciones electromagnticas (CEM) u otros fac-
tores medioambientales, como por ejemplo la temperatura o
las solicitaciones mecnicas. Repercuten simultneamente so-
bre todos los componentes de un "Safety Instrumented
System" (sistema instrumentado de seguridad).
Los errores sistemticos deben evitarse adoptando medidas
especiales durante la etapa de desarrollo. Forman parte de
ellas, por ejemplo, los requisitos cualitativos que la norma IEC
exige al proceso de desarrollo, al proceso de modificaciones y
a la arquitectura de hardware/software del dispositivo.
Los fabricantes del dispositivo deben proporcionar los datos
sobre la clasificacin SIL en lo relativo a los errores sistemti-
cos. Por regla general, estos datos se incluyen en la declara-
cin de conformidad de los distintos dispositivos. Dependien-
do del SIL, los datos se proporcionan tambin por mediacin
de certificados de organismos independientes externos como
el TV o certificaciones de empresas especializadas en ensa-
yos como exida.
Estos datos no son valores para clculos ulteriores sino que
slo proporcionan informacin sobre la clasificacin SIL del
dispositivo en lo relativo a los errores sistemticos.
Para poder satisfacer los requisitos exigidos en cuanto a erro-
res sistemticos para un SIL determinado (p. ej., SIL 3), debe
dimensionarse convenientemente el SIS completo. El modo de
proceder ms simple, en este caso, consiste en que todos los
componentes tengan una clasificacin SIL 3 para errores
sistemticos.
Redundancia diversificada con errores sistemticos
Sin embargo, existe tambin la posibilidad de utilizar compo-
nentes SIL 2, si se han adoptado medidas que no permiten que
se produzca un error sistemtico en el nivel SIL 2. Si por ejem-
plo se han de utilizar instrumentos de medida de presin SIL 2
en un SIS SIL 3, deber emplearse un software distinto del dis-
positivo. Esto se consigue, por ejemplo, empleando dos dispo-
sitivos distintos, a ser posible de distintos fabricantes (redun-
dancia por diversificacin, ver tambin la figura de la
pgina 21). Puede considerarse tambin que hay redundancia
diversificada cuando, en lugar de utilizar dispositivos distintos
se emplean tecnologas distintas (siempre que sea posible),
por ejemplo con un instrumento de medida de presin o de
temperatura.
Dimensionado 15
 Siemens AG 2007

Ejemplos de clculo (errores aleatorios)

Clculo de un SIS con un sensor SIL 2 Clculo de un SIS exclusivamente con componentes SIL 3
Valores dados: Valores dados:

PFD sensor A 1,5 * 10-3 (apropiado para SIL 2) PFD sensor B 6,09 * 10-4 (apropiado para SIL 3)
PFD controlador 1,3 * 10-4 (apropiado para SIL 3) PFD controlador 1,3 * 10-4 (apropiado para SIL 3)
PFD actuador 7,5 * 10-4 (apropiado para SIL 3) PFD actuador 5,0 * 10-4 (apropiado para SIL 3)

Ejemplo de sensor 1oo1 Ejemplo de sensor 1oo1

(de 1 unidad disponible es necesaria 1 unidad para funcin) (de 1 unidad disponible es necesaria 1 unidad para funcin)

Sensor A Controlador (p.ej. PLC) Actuador Sensor B Controlador (p.ej. PLC) Actuador
SIL 2 SIL 3 SIL 3 SIL 3 SIL 3 SIL 3

PFDsist.= PFDS + PFDL + PFDA PFDsist. = PFDS + PFDL + PFDA

PFDsist. = 1,5 * 10-3 + 1,3 * 10-4 + 7,5 * 10-4 PFDsist. = 6,09 * 10-3+ 1,3 * 10-4 + 5,0 * 10-4

PFDsist. = 2,38 * 10-3 (SIL 2) PFDsist. = 1,24 * 10-3 (SIL 2)

Empleando estos componentes, el SIS alcanza el PFD para Empleando estos componentes, el SIS alcanza el PFD para
SIL 2. SIL 2.

Este ejemplo pone de manifiesto claramente que, a pesar

de utilizar exclusivamente componentes SIL 3, el SIS no al-
canza el PDF para SIL 3.

SIL PFD SIL PFD

SIL 1 10-2 a < 10-1 SIL 1 10-2 a < 10-1
-3 -2
SIL 2 10 a < 10 SIL 2 10-3 a < 10-2
-4 -3
SIL 3 10 a < 10 SIL 3 10-4 a < 10-3
-5 -4
SIL 4 10 a < 10 SIL 4 10-5 a < 10-4

Nota importante: Los clculos que se muestran se refieren En los ejemplos de clculo se emplean las abreviaturas
exclusivamente a los errores aleatorios! La comprobacin de siguientes:
que un SIS cumple tambin realmente los requisitos de un SIL
exigido, debe realizarse adems en relacin a los errores Abreviatura Explicacin
sistemticos. PFD Valor medio de la probabilidad de fallo de la
funcin bajo demanda
Observacin: PFDsist. Probabilidad de fallo del sistema (del SIS completo)
Los ejemplos que aqu se muestran estn representados de PFDS Probabilidad de fallo del sensor
forma muy simplificada y sirven exclusivamente para la com- PFDL Probabilidad de fallo de los componentes
lgicos/controlador
prensin bsica. Para un clculo exacto no puede hacerse uso
PFDA Probabilidad de fallo del actuador
de estos ejemplos!

16 Dimensionado
 Siemens AG 2007

Clculo de un SIS con sensores redundantes Clculo de un SIS con sensores redundantes (peor valor del
actuador)
Valores dados: Valores dados:

PFD sensor A 1,5 * 10-3 (apropiado para SIL 2) PFD sensor A 1,5 * 10-3 (apropiado para SIL 2)
PFD sensor A 1,5 * 10-3 (apropiado para SIL 2) PFD sensor A 1,5 * 10-3 (apropiado para SIL 2)

Sensor A Sensor A

Sensores AA Sensores AA

Sensor A Sensor A

PFDS = 1,52*10-4 PFDS = 1,52*10-4

El clculo del valor PFD para la interconexin redundante de
los dos sensores es demasiado complejo como para reprodu-
cirlo aqu de forma comprensible. El valor puede variar de for-
ma an ms acusada si se emplean por ejemplo diferentes tec-
nologas, diferentes fabricantes o diferentes diseos de los dis-
positivos.
El clculo del valor PFD para el caso de interconexin redun-
dante de los dos sensores es demasiado complejo como para
reproducirlo aqu de forma comprensible. El valor puede variar
de forma an ms acusada si se emplean por ejemplo diferen-
tes tecnologas, diferentes fabricantes o diferentes diseos de
los dispositivos.

PFD sensor AA 1,52 * 10-4 (apropiado para SIL 3) PFD sensor AA 1,52 * 10-4 (apropiado para SIL 3)
-4
PFD controlador 1,3 * 10 (apropiado para SIL 3) PFD controlador 1,3 * 10-4 (apropiado para SIL 3)
PFD actuador 6,8 * 10-4 (apropiado para SIL 3) PFD actuador 7,5 * 10-4 (apropiado para SIL 3)

Ejemplo de sensor 1oo2 Ejemplo de sensor 1oo2

(de 2 unidades disponibles es necesaria 1 unidad para funcin) (de 2 unidades disponibles es necesaria 1 unidad para funcin)

Sensores AA Controlador (p.ej. PLC) Actuador Sensores AA Controlador (p.ej. PLC) Actuador
SIL 3 SIL 3 SIL 3 SIL 3 SIL 3 SIL 3

PFDsist. = PFDS + PFDL + PFDA PFDsist. = PFDS + PFDL + PFDA

PFDsist. = 1,52 * 10-3+ 1,3 * 10-4 + 6,8 * 10-4 PFDsist. = 1,52 * 10-3+ 1,3 * 10-4 + 7,5 * 10-4

PFDsist. = 9,62 * 10-4 (SIL 3) PFDsist. = 1,03 * 10-3 (SIL 2)

Empleando estos componentes, el SIS alcanza el PFD para Empleando estos componentes, el SIS alcanza el PFD para
SIL 3. SIL 2.

Este ejemplo pone de manifiesto claramente que, a pesar Este ejemplo pone de manifiesto claramente que, a pesar
de utilizar componentes SIL 2, el SIS completo alcanza el de utilizar sensores SIL 2 redundantes, el SIS no alcanza el
PDF para SIL 3. PDF para SIL 3.

SIL PFD SIL PFD

SIL 1 10-2 a < 10-1 SIL 1 10-2 a < 10-1
SIL 2 10-3 a < 10-2 SIL 2 10-3 a < 10-2
SIL 3 10-4 a < 10-3 SIL 3 10-4 a < 10-3
SIL 4 10-5 a < 10-4 SIL 4 10-5 a < 10-4

Dimensionado 17
 Siemens AG 2007
Tiene ventajas tener un ndice Por qu es ventajoso para un
SIL ms alto posible? operador tener una instalacin
conforme a SIL/SIS?
Los operadores de la instalacin son responsables de acreditar
la seguridad funcional de su instalacin. A menudo no estn
seguros de si deben alcanzar un SIL alto o uno bajo para su ins-
talacin. El requisito de un determinado SIL se obtiene deter-
minando el riesgo remanente que deriva de la instalacin. En
principio se persigue un SIL lo ms bajo posible. Esto no slo
supone un considerable ahorro de costes, sino tambin una
gama de dispositivos mucho mayor.
Un SIL alto slo es necesario cuando es inevitable o cuando
con l se consigue un ahorro de costes en un apartado que
permita compensar los costes adicionales (por ejemplo, aho-
rrando medidas constructivas adicionales).
18 Comprobacin y certificacin
La norma proporciona tambin una base comn para fabrican-
tes y usuarios que permite vigilar la eficacia del proceso de de-
sarrollo. Si los usuarios eligen dispositivos seguros para conse-
guir el SIL previsto para su instalacin, pueden estar seguros
que en el desarrollo se han empleado procedimientos
unificados.
As se le facilita al operador de la instalacin la acreditacin de
la reduccin del riesgo exigida legalmente. Esta acreditacin la
precisa para obtener el permiso de funcionamiento de la ins-
talacin. No es obligatorio emplear productos con clasificacin
SIL. Sin embargo, con ellos se facilita considerablemente la
acreditacin porque en estos productos el riesgo remanente
ya es conocido (e inequvoco).
 Siemens AG 2007
Qu grado de seguridad ofrece la comunicacin por bus?
En la industria de procesos se puede observar claramente la
tendencia a que entre los componentes cada vez se transmiten
ms datos. Esto se realiza conforme a los protocolos ms diver-
sos, como HART, PROFIBUS o Foundation Fieldbus, o bien con
seales digitales moduladas sobre la seal de 4 a 20 mA o bien
mediante comunicacin por bus empleando un bus de campo.
Debido a la variedad de posibilidades de error, como p. ej. ra-
diacin electromagntica y por su complejidad los sistemas de
bus no son aceptados por la norma como seguros.
Por eso, para una comunicacin de datos segura mediante un
bus o bus de campo se precisan algoritmos de software espe-
ciales que puedan garantizar una transmisin segura. El nico
protocolo que actualmente cumple estos requisitos es
PROFIBUS con perfil PROFIsafe. En la industria manufacturera
se ha acreditado ya desde hace mucho tiempo PROFIsafe para
aplicaciones de seguridad. En la industria de procesos
PROFIsafe va cobrando cada vez ms importancia a medida
que aumenta el nmero de dispositivos de campo disponibles,
y contribuye a que tambin se pueda sacar provecho de las
ventajas de la tecnologa de bus de campo en los sistemas de
seguridad.
Comprobacin y certificacin 19
 Siemens AG 2007
Evaluaciones por parte de los
fabricantes
Evaluacin segn IEC 61508
Las especificaciones de la IEC 61508 abarcan el ciclo completo
de la vida del producto, desde la idea hasta la eliminacin del
producto. Para desarrollar un componente conforme a esta
norma deben seguirse y verificarse los correspondientes pro-
cedimientos y medidas tcnicas adicionales desde el desarro-
llo hasta la fabricacin. Debido a este gasto en parte adicional,
el desarrollo de un producto de seguridad es ms costoso que
el de un componente estndar sin certificado SIL.
Los dispositivos no pueden clasificarse a posteriori segn
IEC 61508.
Evaluacin segn IEC 61511 (probado en uso)
Actualmente hay muy pocos dispositivos que se hayan desa-
rrollado completamente segn la norma IEC 61508. Para per-
mitir realmente una seleccin de dispositivos que sea practica-
ble, en la IEC 61511 se contempl la posibilidad de evaluar la
prueba en uso o servicio. En la prctica los dispositivos anti-
guos ya llevan muchos aos emplendose con xito. Por esto,
el anlisis de las estadsticas de fallo se puede usar bajo ciertas
circunstancias para calificar la seguridad funcional. El objetivo
es determinar, sin lugar a dudas, si realmente se ha consegui-
do la seguridad funcional requerida. El proceso de justificacin
debe realizarse empleando un nmero de unidades suficiente-
mente grande y debe contener datos sobre la duracin del ser-
vicio y sobre las condiciones de utilizacin. La duracin de uso
mnima es de 1 ao y adicionalmente un nmero determinado
de horas de servicio. El resultado de una prueba en servicio
slo es vlido para la versin del producto para el cual se ha de-
mostrado. Todas las modificaciones futuras del producto de-
ben realizarse segn IEC 61508.
20 Comprobacin y certificacin
Qu certificados son
necesarios? Quin los puede
expedir?
Los operadores de la instalacin precisan un certificado de la
clasificacin SIL de los componentes empleados por el SIS. Se-
gn IEC 61511 son plenamente suficientes para ello las decla-
raciones del fabricante. Los certificados no son un requisito le-
gal ni los exige la norma.
Para poder expedir una declaracin del fabricante o un certifi-
cado, se precisa la valoracin tcnica de los componentes de
seguridad que se han de utilizar. A menudo, la evaluacin la
realiza un organismo independiente como p. ej. TV o exida.
Tras una evaluacin favorable, el fabricante puede expedir una
declaracin de fabricante y, dado el caso, remitirse al informe
de prueba respectivo.
A diferencia de las declaraciones del fabricante, los certifica-
dos slo los podr expedir un organismo acreditado (p. ej.
TV).
SIL 1 Persona independiente
SIL 2 Departamento independiente
SIL 3 Organizacin independiente
SIL 4 Organizacin independiente
Resumen de las instancias de evaluacin
Cuanto mayor es el grado de seguridad que se exige a una ins-
talacin, tanto ms independiente debe ser la persona que ex-
pide una evaluacin de la seguridad funcional.
Declaracin de conformi- El fabricante certifica que segn sus
dad (declaracin del fa- comprobaciones y clculos o debido a
bricante) que ha sido probado en uso se alcanza
un determinado nivel SIL. A menudo, la
verificacin la realiza un organismo de
inspeccin tcnica como p. ej. exida o
TV.
Certificado Lo expide un organismo acreditado in-
dependiente (p. ej. TV).
Resumen de los posibles certificados
 Siemens AG 2007

Posibilidades de configuracin (monocanal/redundante)

Configuracin monocanal
un solo dispositivo

Configuracin redundante bicanal

dos dispositivos iguales

+
Configuracin redundante diversificada
dos dispositivos diferentes
(medida que hace que un error sistemtico no pueda 2WUR
producirse simultneamente) + GLVSRVLWLYR

7UDQVPLVRUSUHVLQ$ 7UDQVPLVRUSUHVLQ%

Dos tecnologas diferentes

+
3UHVLQ 1LYHO

Comprobacin y certificacin 21
 Siemens AG 2007
Qu se puede evaluar?
Se pueden evaluar los elementos siguientes:
el dispositivo completo
errores aleatorios (slo hardware)
errores sistemticos (hardware y software)
22 Comprobacin y certificacin
Instalaciones nuevas -
Instalaciones antiguas (protec-
cin de activos existentes)
Se aplica la proteccin de activos en instalaciones ya existen-
tes. Sin embargo, esto significa que, en caso de reestructura-
ciones o ampliaciones de la instalacin, los nuevos componen-
tes son evaluados segn las nuevas normas.
 Siemens AG 2007

A continuacin se hace hincapi en indicaciones importantes

en relacin con el tema de la "seguridad funcional" (SIL):

El proveedor del dispositivo no influye para nada en la cla-

sificacin SIL de la instalacin

Para poder evaluar a partir de qu instante un sistema ins-

trumentado de seguridad (SIS) cumple un SIL requerido,
debe calcularse siempre la probabilidad de fallo de los erro-
res aleatorios.

En ltima instancia, para el operador de la instalacin es

importante, por tanto, el valor de la probabilidad de fallo
de los componentes empleados. Por consiguiente, la clasi-
ficacin SIL del dispositivo a menudo sirve slo como refe-
rencia orientativa para el clculo.

Adems, la cadena de procesamiento debe cumplir los re-

quisitos necesarios para evitar errores sistemticos.

La indicacin del nivel SIL de un dispositivo significa slo

que es apropiado, en principio, para el uso de una instala-
cin con el correspondiente nivel SIL.

La norma requiere una evaluacin de la seguridad funcio-

nal. Los certificados no son un requisito legal ni los
exige la norma.

Para los procesos industriales vale la norma de aplicacin

IEC 61511.

Resumen 23
 Siemens AG 2007

Para ms informacin,
visite la web.

www.siemens.com/sil

Sujeto a cambios sin previo aviso | Referencia E86060-A6200-A101-A3-7800 | Dispo 09511 | KB 0407 1. ROT 24 ES/715186 | Impreso en Alemania | Siemens AG 2007
www.siemens.com/safety

www.siemens.com/processanalytics

www.siemens.com/processsafety

www.siemens.com/processinstrumentation

Siemens AG Este prospecto contiene descripciones o prestaciones que en el caso de aplica-

cin concreto pueden no coincidir exactamente con lo descrito, o bien haber
Automation and Drives sido modificadas como consecuencia de un ulterior desarrollo del producto. Por
Sensors and Communication ello, la presencia de las prestaciones deseadas slo ser vinculante si se ha es-
Postfach 48 48 tipulado expresamente al concluir el contrato. Reservadas las posibilidades de
76181 KARLSRUHE suministro y modificaciones tcnicas.
ALEMANIA Todas las designaciones de productos pueden ser marcas o nombres de
productos de Siemens AG o de subcontratistas suyos, cuyo uso por terceros
w w w. s i e m e n s . c o m / p ro c e ssi n s tr u m e n t a t i o n puede violar los derechos de sus titulares.