SIS – Sistemas Instrumentados de Seguridad

Una visión práctica – Parte 1

Introducción

Los Sistemas Instrumentados de Seguridad (SIS) se utilizan para monitorear los valores y parámetros de una fábrica
dentro de los límites de funcionamiento, y bajo condiciones de riesgo deben generar alarmes y poner la planta en
condiciones seguras o también en paradas de emergencia.

Las condiciones de seguridad deben siempre seguirse y adoptarse en plantas y las mejores prácticas de
funcionamiento e instalación y son responsabilidad tanto de empleadores como de empleados. Téngase en mente
que el primer concepto de las regulaciones de seguridad es garantizar que todos los sistemas sean instalados y
manejados de manera segura y el segundo es que instrumentos y alarmes involucrados en seguridad funcionen con
confiabilidad y eficiencia.

Los Sistemas Instrumentados de Seguridad son responsables por la seguridad operacional y garantizan las paradas
de emergencia dentro de límites considerados seguros, siempre que se ultrapasen estos límites. El objetivo principal
es evitar accidentes dentro y fuera de las fábricas, tales como incendios, explosiones, daños a los equipos, además
de proteger la producción y la propiedad, evitando riesgos de vida o daños a la salud de las personas e impactos
catastróficos a la comunidad. Téngase en cuenta todavía que ningún sistema es totalmente inmune a fallos y
siempre deben proveer una condición segura en caso de fallo mecánico.

Durante muchos años los sistemas de seguridad fueron proyectados según los padrones alemanes DIN V VDE 0801
y DIN V 19250, que fueron bien aceptados por mucho tiempo por la comunidad mundial de seguridad y culminó en
los esfuerzos de alcanzar un estándar internacional, el IEC 61508. Esta norma actualmente abarca todos los
aspectos de seguridad industrial involucrando sistemas eléctricos, electrónicos y dispositivos programables para
cualquier sector de actividad, notadamente los de naturaleza electromecánica.

Los productos certificados según el IEC 61508 deben tratar básicamente de 3 tipos de fallos:

 Fallos aleatorios de hardware

 Fallos de sistemas
 Fallos de causas comunes

El IEC 61508 se divide en 7 partes de las cuales las 4 primeras son obligatorias y las 3 restantes sirven de guías de
orientación:

 Parte 1: Requisitos generales

 Parte 2: Requisitos para sistemas relacionados con seguridad E/E/P/E
 Parte 3: Requisitos de Software
 Parte 4: Definiciones y abreviaturas
 Parte 5: Ejemplos de métodos para determinar los niveles de integridad de seguridad
 Parte 6: Guías de aplicación de IEC 61508-2 y IEC 61508-3
 Parte 7: Conceptos básicos de técnicas y medidas

Este estándar trata de manera sistemática de todas las actividades del ciclo de vida de un SIS, Sistema
instrumentado de Seguridad, y trata de la performance exigida del sistema, o sea, siempre que se alcance el nivel de
SIL (nivel de integridad de seguridad) necesario, el nivel de redundancia y el intervalo de prueba quedan a criterio de
quien especificó el sistema.

El IED 61508 intenta potencializar la mejoría de los PES (Programmable Electronic Safety), que abarcan los PLC, los
sistemas de control distribuido, sensores y actuadores inteligentes, etc, de manera a uniformizar los conceptos
involucrados.
Recientemente diversas normas sobre desarrollo, proyecto y mantenimiento de SIS han sido elaborados, tales como
la IEC 61508, relativo a industrias en general y también la IEC 61511, vuelto a las industrias de proceso continuado,
de líquido y gases.

En la práctica existen muchas aplicaciones y especificaciones de equipos con certificación SIL para utilización en
sistemas de control, sin función de seguridad. También se cree que el mercado es desinformado, donde se prefiere
la compra de equipos más caros, desarrollados para funciones de seguridad, pero en realidad se aplicarán en
funciones de control de proceso, cuya certificación SIL no resulta en los beneficios esperados, que dificultan la
utilización y el funcionamiento de los equipos.

Además, la desinformación lleva los usuarios a creer que poseen un sistema de control seguro certificado, que son
no más que un dispositivo de control con funciones certificadas de seguridad.

El crecimiento del uso y de las aplicaciones de equipos e instrumentos digitales es de suma importancia a los
profesionales de proyectos o del día a día de la instrumentación que se capaciten y adquieran el conocimiento de
cómo determinar el desempeño exigido por los sistemas de seguridad y tengan el dominio de las herramientas de
cálculos y las tasas de riesgo ubicadas dentro de límites aceptables.

Por otro lado, es necesario:

 Comprender los fallos de modo común, saber cuales tipos de fallos seguros y no seguros son posibles en
un determinado sistema, como prevenirlas y aún más: cuando, como, donde y cual es el grado de
redundancia más adecuado a cada aplicación.
 Definir el nivel de mantenimiento preventivo o mismo certificados de cada aplicación.

El simple uso de equipos modernos, sofisticado o certificados por si mismos no garantiza la mejoría de confiabilidad
y seguridad de la maniobra, en comparación a las tecnologías tradicionales, excepto cuando el sistema se implanta
bajo criterios reveladores de las ventajas y limitaciones inherentes a cada tipo de tecnología existente. Además,
débese tener en cuenta toda la cuestión del ciclo de vida de un SIS.

Comúnmente vemos accidentes relacionados con dispositivos de seguridad contornados/ocurridos(?) en la

operación o durante el mantenimiento. Seguramente es muy difícil evitar, durante la etapa del proyecto, que un fallo
de estos venga a ocurriren el futuro, pero a través de un proyecto criterioso y vuelto a satisfacer mejor las
necesidades operacionales del usuario del sistema de seguridad, es posible eliminar o reducir considerablemente
los bypassesno autorizadas (¿?).(Se não for, me avisem, para meu conhecimento)

El funcionamiento correcto de un SIS requiere condiciones de desempeño y diagnósticos superiores a los sistemas
convencionales. La operación segura de un SIS se compone de sensores, programadores lógicos, procesadores y
elementos finales proyectados con la finalidad de causar una parada siempre que se están ultrapasando límites
seguros, tales como variables de proceso como presión y temperatura por encima de los límites de alarme muy
altos, o aún impedir el funcionamiento indeseable de condiciones seguras de operación.

Ejemplos típicos de sistemas de seguridad:

 Sistema de Parada de Emergencia (ESD)

 Sistema de Parada de Seguridad (SSD)
 Sistema de trabamiento de Seguridad
 Sistema de Fuego y Gas

En seguida, veremos una serie de artículos, nuevos detalles prácticos abarcando cálculos de probabilidad,
conceptos de confiabilidad, fallos y seguridad, SIS, etc.

Iniciaremos con el Ciclo de Vida de Seguridad y el Análisis de Riesgos.

Ciclo de Vida de Seguridad

Definición: “Es un proceso de ingeniería con el objetivo específico de alcanzar y garantizar la efectividad de un SIS y
permitir la reducción de niveles de riesgos a un costo rentable durante todo el tiempo de vida del sistema”.
En otras palabras, el ciclo se destina a ser un guía de evaluación de riesgo durante todo el tiempo de vida del
sistema, desde la concepción del proyecto al mantenimiento diario.

¿Porque el Ciclo de Vida de Seguridad?

 Accidentes suelen ocurrir y por eso existe la necesidad de reducir los en frecuencia y gravedad.
 Sistemas Instrumentados de Seguridad y Ciclo de Vida de Seguridad son proyectados para minimizar
riesgos.

Figura 1 – Ejemplo típico de un Ciclo de Vida de Seguridad

El ciclo de Vida de Seguridad abarca análisis de probabilidades destinadas a garantizar la integridad del proyecto de
seguridad. Además, posibilita la reducción de riesgos a un costo rentable a través de los cálculos. Mantener la
integridad de un SIS durante el ciclo de vida de la fábrica es sumamente importante para la supervisión de la
seguridad. Un programa efectivo de supervisión debe incluir controles y procedimientos rigurosos que garantizan:

 Identificar puntos críticos, conceptos y elegir dispositivos sensores, tecnología, logic solver (solucionador
lógico), equipos y elementos finales, además de la necesidad de redundancia, que satisfacen los niveles
de seguridad y la reducción calculada de riesgos. Siempre que se elijan la tecnología y la arquitectura, con
un plan de análisis y revisión periódica de ellas, reevaluando la seguridad en todos sus aspectos.
 Las pruebas en cada etapa (proyecto, instalación, manejo, modificación/mantenimiento) se realicen según
los requisitos de seguridad, procedimientos y normas de seguridad.
 Que el SIS vuelva a su estatus de operación normal tras el mantenimiento.
 La integridad del sistema no sea perjudicada por acceso no autorizado a la programación, puntos de trip o
bypasses.

El Ciclo de Vida de Seguridad debe integrar el PSM (Process Safety Management System –Sistema de Supervisión
de Seguridad del Proceso). De esta manera el será adoptado y aplicado convenientemente, involucrando los
colaboradores en todas las etapas y niveles de la empresa.
Análisis de Riesgos
Cuanto más riesgos un sistema tiene, más difícil es satisfacer los requisitos de un sistema seguro. Básicamente, el
riesgo es la suma de la probabilidad de suceder algo indeseable con la consecuencia de esta ocurrencia.

El riesgo de un proceso se puede definir como el producto de la frecuencia de ocurrencia de un cierto evento (F) por
la consecuencia resultante de la ocurrencia del evento (C).

Riesgo = F x C.

Figura 2 – Consideraciones de riesgo según la IEC 61508.

En los sistemas de seguridad la búsqueda se hace por la minimización de riesgos en niveles tolerables y se pueda
determinar el nivel SIL para un lazo de control a través del control y la identificación de los riesgos del proceso. La
verificación del nivel SIL puede hacerse vía la probabilidad de fallo bajo demanda (PFD).

La IEC61508 define los requisitos para funcionalidad e integridad de un sistema. Los requisitos de funcionalidad se
basan en el proceso y los de integridad se vuelven a la confiabilidad, definida como el Nivel de Integridad de
Seguridad (SIL). Existen 4 niveles discretos y que tienen 3 importantes propiedades:

 Aplicable a la total función de seguridad;

 Cuanto mayor el nivel de SIL, mas rígidos son los requisitos;
 Aplicables a los requisitos técnicos y no técnicos
 Tabla 1 – Niveles de SIL

Como interpretar el nivel SIL? Hemos visto que el nivel SIL es una medida de integridad de un SIS y podemos
interpretar básicamente de dos maneras:

1) Teniéndose en cuenta la reducción de riesgo y la tabla 1:

 SIL1: reducción de riesgo >= 10 y <=100

 SIL2: reducción de riesgo >= 100 y <=1000
 SIL3: reducción de riesgo >= 10000 y <=10000
 SIL4: reducción de riesgo >= 10000 y <=100000

2) Interpretando la tabla 2, donde, por ejemplo, SIL 1 significa bajo riesgo de accidente o algo indeseable, y que el
SIS tiene 90%, o más, una posibilidad de fallo.

Tabla 2 – Niveles de SIL y SFF según la tolerancia a fallo de hardware

La evaluación de SIL ha crecido en los últimos años principalmente en aplicaciones químicas y petroquímicas. Se
puede mismo expremir la necesidad del nivel SIL en función del probable impacto en la planta y en la comunidad:

"4" – Impacto catastrófico a la comunidad.

"3" – Protección de los empleados y la comunidad.
"2" – Protección de la producción y de la propiedad. Posibles daños a los empleados.
"1" – Impacto pequeño a la propiedad y protección a la producción.

Figura 3 – SIL en función del probable impacto en la planta y en la

Este análisis es insatisfactorio pues es difícil clasificar lo que sea un impacto pequeño y un impacto grande. Hay
varios métodos de identificación de los riesgos:

 Técnica de HAZOP (Hazard and Operability Study) donde se identifican los riesgos y se son necesarios
niveles de SIL mayores;
 Técnica de Listas de Chequeo;
 Técnica de FMEA (Modos de Fallos y sus Efectos), que analiza el fallo de cada equipo y componente del
circuito de control.

En términos de nivel SIL, cuanto mayor es el nivel exigido, mayor será el costo, debido a las especificaciones mas
compleja y estrictas de hardware y software. Normalmente la elección del SIL de cada función de seguridad está
asociada a la experiencia de los profesionales, pero se puede optar por el análisis de la matriz de HAZOP o aún el
Análisis de lo extractos de Protección (LOP – Layers of Protection), que abarcan la política, los procedimientos, las
estrategias de seguridad y la instrumentación.
Siguen algunas etapas y detalles del Análisis de Riesgos:

 Identificación de riesgos potenciales

 Iniciar con HAZOP (Estudio de Peligro y Problemas Operacionales).
 La empresa debe tener un grupo de especialistas en el proceso y sus riesgos.
 Se pueden aplicar diversas tecnologías como PHA (Proceso de Análisis de Peligros), HAZOP para
identificación de riesgos, HAZOP modificado, consecuencias de accidentes, matriz de riesgos o análisis
cuantitativo para identificación del nivel de seguridad deseado.
 Las normas sugieren metodologías para identificación de SIL.
 Los métodos disponibles son cualitativos, cuantitativos o semi-cuantitativos.
 Determinar el SIL adecuado al SIS, cuyo riesgo inherente al proceso debe ser igual o inferior al nivel de
riesgo aceptable, garantizando la seguridad necesaria a la operación de la planta.

 Avaluar la probabilidad de riesgo potencial relacionado a

o Fallo de equipos
o Errores humanos
 Evaluar los riesgos potenciales y las consecuencias de los impactos de eventos

4 SIL 2 SIL 3 SIL 4 SIL 4

3 SIL 2 SIL 3 SIL 3 SIL 4

Frecuencia
2 SIL 1 SIL 2 SIL 3 SIL 3

1 SIL 1 SIL 1 SIL 2 SIL 2

Severidad de la Consecuencia 1 2 3 4

Tabla 3 – Ejemplo de Matriz de Riesgos

Banda de
Critério Qualitativo
Frecuencia
(> 1/100 año): Fallos en equipos simples o válvulas, fallos en pipería o un simple
4 error en actividades rutinarias.
(1/100 – 1/1000 año): Fallos en equipos dobles o válvulas,rupturas en piperías,
3 escapes o error humano.
(1/1000 – 1/10000 año): Mezcla de fallos de dispositivos y errores humanos o
2 fallos en pequeñas líneas de procesos.
(< 1/10000 año): Fallos diversos en dispositivos y errores humanos o fallos
1 espontáneos en tanques y recipientes de procesos.

Tabla 4 – Banda de Frecuencia – Criterio Cualitativo

Banda de Consecuencia Criterio Cualitativo

4 Personal: Heridas críticas múltiples o fatalidades
 Pública: Potencial para heridas críticas múltiples o fatalidades
Ambiente: Liberación de contaminantes con impacto ambiental alto
Propiedad : Pérdida > U$100M
Personal: Posibilidad de heridas serias o pequeñas fatalidades
Pública: Posibilidad de heridas serias o pequeñas fatalidades
3 Ambiente: Liberación de contaminantes con medio impacto ambiental
Propiedad : Pérdida entre U$10M y U$100M
Personal: Heridas serias exigiendo emergencia médica
Pública: Posibilidad de heridas serias exigiendo emergencia médica
2 Ambiente: Liberación de contaminantes con bajo impacto ambiental
Propiedad: Pérdida entre U$1M y U$10M
Personal: Heridas exigiendo primeros socorros
Pública: Olor, ruido/perturbación, sin impacto directo
1 Ambiente: Liberación de contaminantes con impacto restricto
Propiedad: Pérdida entre U$100k e U$1M

Tabla 5 – Banda de Consecuencia – Criterio Cualitativo

Algunos términos y conceptos involucrados en sistemas de seguridad

 Demanda: toda condición o evento que genera necesidad de actuación de un sistema de seguridad
 PFD (Probabilidad de Fallo en Demanda): indicador de confiabilidad apropiado para sistemas de seguridad
 MTBF es una medida básica de la confiabilidad en artículos sujetos a reparos de un equipo. Puede
exprimirse en horas o años. Se usa comúnmente en análisis de onfiabilidad y sustentabilidad en sistemas.
 MTBF: se puede calcular por la siguiente fórmula:

MTBF = MTTR + MTTF

Donde:

 MTTR = Tiempo Meio de Reparo

 MTTF = Tiempo Meio para fallar = al inverso de la suma de todas las tasas de fallos
 SFF = Safe Failure Fraction, é a fração de todas as taxas de falhas de um equipamento que resulta em
uma falha segura ou falha não segura, mas diagnosticada.
 SFF = Safe Failure Fraction, es la fracción de todas las tasas de fallos de un equipo que resulta en un fallo
seguro o fallo no seguro, pero diagnosticada.

 Tipos de fallos analizados en un FMDEA (Failure Modes, Effects and Diagnostic Análisis):
o Dangerous Detected (DD): fallo detectable y que puede llevar a un error mas grande que 2% en
la salida.
o Dangerous Undetected (DU): fallo no detectable que puede llevar a un error más grande que
2% en la salida.
o Safe Detected (SD): fallo detectable que no afecta la variable medida, pero juega la corriente de
salida a un valor seguro y avisa el usuario.
 o Safe Undetected (SU): en este caso hay un problema en el equipo, pero no se logra detectarlo,
pero la salida funciona con éxito dentro de un límite de 2% de tolerancia de seguridad. Si esta
tolerancia es usada como parámetro de proyecto, se puede ignorar el fallo.
o Diagnostic Annunciation Failure (AU): un fallo que no tiene impacto inmediato, pero una
ocurrencia puede llevar el equipo a una condición de riesgo.
o Se pueden aun identificar los siguientes fallos:
 Fallos aleatorios: un fallo espontáneo de componente (hardware). Los fallos aleatorios
pueden ser permanentes (existentes hasta ser eliminados) o intermitentes (ocurren en
determinadas circunstancias y desaparecen en seguida).
 Fallos de Sistemas: Um fallo ocultado dentro del proyecto o montaje (hardware o
normalmente software) o fallos debido a errores (incluyéndose engaños u omisiones) en
las actividades de ciclo de actividades de seguridad que provocan fallo del SIS en
ciertas circunstancias, bajo combinaciones de entradas o determinada condición
ambiental.
 Fallo en modo común.
 Defecto en modo común: Una única causa que puede provocar fallos en varios
elementos del sistema.

Curiosidad

Figura 3 – Estudio sobre las causas de accidentes con sistemas de control HSE – Health and Safety
Executive

Conclusión
En términos prácticos lo que se busca es la reducción de fallos y la consecuente reducción de paradas del proceso y
riesgos de operación. Se busca el aumento de la disponibilidad de funcionamiento y, en términos de proceso, la
minimización de la variabilidad con el aumento directo de la rentabilidad.

En los próximos artículos de esta serie veremos más detalles sobre SIS. En la segunda parte veremos un poco
sobre Sistemas de Ingeniería de Confiabilidad y algunos cálculos.

Referencias

 EC 61508 – Functional safety of electrical/electronic/programmable electronic safety-related systems.

 IEC 61511-1, clause 11, " Functional safety - Safety instrumented systems for the process industry sector -
Part 1: Framework, definitions, system, hardware and software requirements", 2003-01
 ESTEVES, Marcello; RODRIGUEZ, João Aurélio V.; MACIEL, Marcos. Sistema de intertravamento de
segurança, 2003.
 Sistemas Instrumentados de Segurança - César Cassiolato
 “Confiabilidade nos Sistemas de Medições e Sistemas Instrumentados de Segurança” - César Cassiolato
 Manual LD400-SIS