Fundamentos SIS

Fundamentos de Sistemas Instrumentados
de Seguridad y Seguridad Funcional
FSE Ing. Raul Roque Y.

Santa Cruz Bolivia
Objetivos
 Mostrar el ciclo de vida de la Seguridad Funcional y las actividades necesarias para la
implementación de los Sistemas Instrumentados de Seguridad (SIS) según los estándares
IEC 61508 e IEC 61511
 Conocer conceptos básicos para la Especificación, Diseño, Evaluación y aplicación de los
Sistemas Instrumentados de Seguridad (SIS)
 Técnicas cualitativas y cuantitativas de análisis de riesgo.
 Determinación del SIL
A quienes está dedicado:
Este curso está dirigido a profesionales de las industrias de procesos tales como Gas y
Petróleo, Química y Petroquímica, Generación, Empresas de Ingeniería, tales como:
 Operación
 Ingeniería
 Mantenimiento
 Seguridad y medio ambiente
Raúl Rigoberto Roque Yujra
• Licenciado en Ingeniería Electrónica Mención Control, Universidad Mayor de San Andres 2002
• Diplomado en Instrumentación de Planta de Gas INEGAS, 2012
• Maestría en Automatización, Universidad de Ávila (España) 2013
• Functional Safety Engineer , TUV SUD 2015
• Facilitador de Cursos de Rockwell Automation en Sistemas ControlLogix en Bolivia 2007‐2008
• Supervisor de Mantenimiento en Medición de Gas Natural YPFB Transporte S.A.
• Supervisor de Mantenimiento de Sistemas de control y Seguridad YPFB Transporte S.A.
• Docente invitado UPB DICAPI desde 2014
• Docente invitado en INEGAS desde 2014
INTRODUCCION

Santa Cruz Bolivia
1. Introducción:
• Análisis de accidentes que impactaron en la
industria
• Seguridad funcional:
• Manejo de la seguridad Funcional
• Estándares
• Concepto de ciclo de vida
• Verificación y validación
1. INTRODUCCIÓN
ANÁLISIS DE ACCIDENTES QUE IMPACTARON EN LA INDUSTRIA
Piper Alpha 6 de julio de 1988
 Plataforma petrolífera en el Mar del Norte

 Explosión y posterior incendio
 Uno de los mayores accidentes petroleros de todos los tiempos
 167 personas murieron
 La plataforma quedó casi totalmente destruida
 Costo del accidente 1.270.000.000 US $
Piper Alpha antes Piper Alpha

del accidente después del
accidente
1. INTRODUCCIÓN
Piper Alpha – Secuencia de eventos

 El desastre comenzó con un procedimiento rutinario de mantenimiento para
controlar una válvula de seguridad en una bomba secundaria de propano
condensado
Al Flare
PSV504
PSV505
P504
De las bombas booster
de condensado
P505
1. INTRODUCCIÓN
Piper Alpha – Secuencia de eventos

 La válvula fue retirada y reemplazada por una brida ciega provisoria
 No tuvieron todo el equipo necesario hasta después que terminó el turno
 Se autorizó a los trabajadores a completar la tarea al día siguiente
 Esa noche, más tarde, la bomba de condensado falló

 El personal de la sala de control no sabía que se había realizado el mantenimiento
 Encendieron la bomba secundaria de condensado
 La brida provisoria no era adecuada
 Se produjo la fuga de productos de gas, se incendiaron y explotaron
Al Flare
PSV504
PSV505
P504
De las bombas booster
de condensado
P505
1. INTRODUCCIÓN
Piper Alpha – Escalada de eventos
 No había paredes protectoras contra incendios
 El sistema automático de inundación no se activó ya que había sido apagado
 Las tuberías de gas recién se desconectaron una hora después de que habían
estallado, lo que contribuyó a empeorar el incendio.
 La tripulación no había recibido instrucciones

 Falta de capacitación
 En este punto, las vías hacia los botes salvavidas ya estaban bloqueadas por el
humo y las llamas
 La mayoría de los 167 tripulantes falleció por asfixia con CO y humo en el área
de alojamiento.
1. INTRODUCCIÓN
Piper Alpha – Causas
 Fallas en la comunicación
 Falla de comunicación en el traspaso del turno. Los empleados del turno noche no
se enteraron del mantenimiento realizado en la bomba secundaria
 Durante el desastre, no hubo comunicación alguna a la tripulación. Para la
tripulación, la alerta fue haber escuchado la explosión/ haber visto el humo.
Confusión y pánico
 El área de alojamiento estaba en el trayecto directo de la bola de fuego. Muchos
tripulantes que fueron a esta área fallecieron.
 Comunicación inadecuada con las plataformas cercanas. La entrada de combustible
a las tuberías de gas se desconectó recién una hora después.
 Permiso de Trabajo
 Permiso de trabajo mal controlado. Se perdieron los formularios en los cuales se
informaba al personal del turno noche el mantenimiento que se estaba realizando.
 Falta de aplicación del sistema de permiso de trabajo por parte de la gerencia (Falla
organizativa)
1. INTRODUCCIÓN
Piper Alpha – Causas
 Capacitación en Seguridad
 Capacitación inadecuada de la tripulación sobre procedimientos de emergencia
 Capacitación inadecuada de la gerencia sobre liderazgo en una situación de
emergencia
 Entrenamiento en emergencia inadecuado
 Capacitación inadecuada sobre comunicación entre plataformas
 Fallas Organizativas
 Occidental Petroleum sabía que existía un riesgo grave de que las tuberías de gas
estallaran en caso de incendio. Se había recomendado a la gerencia la aplicación de
medidas de control de los riesgos. Occidental no actuó en base a esta información
 La gerencia no cumplió las directivas de capacitación
 No se aplicó el sistema de permiso de trabajo. Si se hubiera aplicado el sistema en la
forma adecuada, la explosión inicial no se habría producido jamás.
1. INTRODUCCIÓN
BP Texas City 23 de marzo de 2005
 Incendio y explosión en la Refinería de Texas City
 La tercera refinería más grande de los EE.UU.
 El peor accidente en los EE.UU. Ocurrido en más de una década
 15 muertos
 180 heridos
 Daños en casas ubicadas a más de tres cuartos de una milla (aprox. 1,2km) de la
refinería
 Costo: $1,5 billones
1. INTRODUCCIÓN
BP Texas City – Secuencia de eventos
 Re‐arranque de la torre de separación de refinado en la unidad de isomerización
(ISOM) de la refinería después del mantenimiento
 Los operarios no cumplieron con los procedimientos de arranque adecuados.
 Bombearon a la torre hidrocarburos líquidos inflamables durante más de tres
horas sin retirar nada de líquido
 Las alarmas críticas y los indicadores proporcionaron indicaciones falsas. Los
operarios no recibieron ninguna alerta sobre los niveles altos de líquido en la
torre
 La torre se llenó demasiado y el líquido se desbordó a la tubería aérea
 La presión en la tubería aumentó
 Se abrió la válvula de alivio de presión y se descargó una gran cantidad de
líquido en el tambor de purga con una chimenea de ventilación abierta a la
atmósfera
1. INTRODUCCIÓN
BP Texas City – Secuencia de eventos
 Sistema de purga antiguo e inadecuado

 El tambor y la chimenea de purga se llenaron excesivamente. El líquido se
expulsó como un géiser
 El líquido se evaporó a medida que caía al suelo formando una nube de vapor
inflamable
 El camión de diésel estaba ubicado a 8 m de la chimenea de purga.

 El camión hizo que la nube de vapor se incendiara
 Las oficinas provisorias estaban ubicadas a 37 m de la chimenea de purga

 15 muertos, 180 heridos
1. INTRODUCCIÓN
BP Texas City – Causas
 Diseño de la interfaz y alarma

 Las alarmas principales no se activaron
 Los indicadores principales suministraron información falsa
 El Visor del tablero de control no proporcionó la información apropiada
para determinar que la torre se estaba llenando excesivamente
 Dotación de personal y Carga de trabajo
 Durante el encendido, no había un operario extra, a pesar de que esto
era parte de las recomendaciones provistas en una evaluación de
dotación de personal
 Los operarios estaban fatigados por trabajar turnos de 12 horas más de
29 días seguidos
1. INTRODUCCIÓN
1. INTRODUCCIÓN
 Comunicaciones
 La información crítica relacionada con el arranque no se comunicó
en el traspaso del turno.
 BP no contaba con una política sobre los requerimientos de
comunicación en el traspaso de turnos de personal (falla
organizativa)
 Procedimientos
 Los procedimientos que eran inadecuados y no estaban
actualizados no consideraban los problemas operativos recurrentes
durante el encendido
 En base a esto, los operarios creían que podían modificar los
procedimientos o que no era necesario cumplirlos (falla
organizativa)
1. INTRODUCCIÓN
 Otras Fallas Organizativas

 No se habían solucionado fallas anteriores en los indicadores y válvulas
de presión
 Una serie de eventos anteriores demostró que el sistema de purga no
era seguro. No se hizo nada para resolver esta cuestión
 Se habían producido ocho escapes importantes de líquido inflamable
de la chimenea de purga. No se investigaron
1. INTRODUCCIÓN
Resumen
 Manejo de alarmas (Texas City)
 Interfaces (Texas City)
 Comunicaciones de seguridad crítica (Piper Alpha, Texas City)
 Supervisión (Texas City)
 Seguridad relacionada con el comportamiento (Texas City)
 Procedimientos (Texas City)
 Capacitación y Competencia (Piper Alpha)
 Cambio organizativo (Texas City)
 Niveles de dotación de personal y carga de trabajo (Texas City)
 Gestión de fallas humanas (Piper Alpha)
 Fatiga por el turno de trabajo y horas extra (Texas City)
 Cultura organizativa/ Cultura de seguridad (Piper Alpha, Texas City)
 Integración del Factor Humano en la evaluación de riesgos e investigaciones (Texas
City)
 Factor Humano en el diseño (Texas City)
1. INTRODUCCIÓN
¿ La seguridad es costosa?
 ¿Por qué deberíamos invertir en seguridad ?
 ¿Usted piensa que la seguridad es cara… ?

 Pruebe a tener un accidente
 Hoy un accidente cuesta al menos 10 veces lo que costó construir la planta.

 A nivel mundial 2 millones de personas mueren en accidents individuales.
 Hemos tenido accidentes terribles en el pasado
 Aprendimos de ello, pero aún sigue ocurriente grandes accidents.
 El entrenamiento es una forma de ayudar a la gente a hacerse mas conciente y

entendida acerca de seguridad.
1. INTRODUCCIÓN
SEGURIDAD FUNCIONAL
 La seguridad funcional está relacionada con el correcto funcionamiento de

una unidad o sistema diseñado para proteger personas, medio ambiente y
equipamiento de peligros.
 La seguridad funcional es un concepto dirigido al funcionamiento de
dispositivos de seguridad o sistemas de seguridad.
 Describe los aspectos de seguridad que están asociados con la funcionalidad
de cualquier dispositivo o sistema que ha sido destinado para proporcionar
seguridad.
 En el artículo “Functional safety in the fiel of industrial automation” de
HArtmut von Krosigk indica que, para que se logre la seguridad funcional de
una planta o maquina el sistema de control o de protección relacionado con la
seguridad debe funcionar correctamente y cuando ocurra una falla debe
disponer la manera definida para llevar a la planta o maquina a un estado
seguro o que permanezca en él.
1. INTRODUCCIÓN
SEGURIDAD FUNCIONAL
 En el estándar IEC‐61508, se define a la seguridad funcional como parte de
la seguridad general de una planta, depende del correcto funcionamiento
del sistema relacionado a la seguridad, tal como se ve en la figura
 Según la TUV, en su página de internet; responde la pregunta ¿Qué es la

seguridad funcional? E indica que es, que las fallas aleatorias de hardware o
fallas sistemáticas o errores humanos no resulten en un mal funcionamiento
del sistema relacionado control al seguridad ante una consecuencia
potencia de daño o muerte de humanos, peligro del medio ambiente y
perdida de equipamiento o producción.
1. INTRODUCCIÓN
SEGURIDAD FUNCIONAL
Una función de seguridad es cualquier función que tiene la capacidad de proporcionar
específicamente y de forma particular (no general) seguridad en cualquier situación.
 Por ejemplo tenemos el cinturón de seguridad y la bolsa de aire en un vehículo; una
válvula alivio de presión en una caldera; o la parada de emergencia de un sistema
instrumentado.
Para el caso de la bolsa de aire, el sistema de seguridad comprende del elemento sensor, el
mecanismo de liberación, el inflador y la bolsa misma, de este la bolsa de aire tiene una
función de seguridad, la de evitar lesiones o daños a los pasajeros y conductor en caso de
colisión.
Funcionamiento de la Bolsa de aire de un vehículo

1. INTRODUCCIÓN
SEGURIDAD FUNCIONAL
Un sistema relacionado a la seguridad puede ser:

 Un dispositivo simple como la unidad de control de un quemador a gas
 Un DCS con un sistema de parada de emergencia y Fire/Gas
 Un instrumento de campo
 Un equipo completo instrumentado de protección de una planta.
1. INTRODUCCIÓN
CAPAS DE PROTECCION
 Una capa de protección es un salvaguarda y esta destinada a reducir el riesgo.
 Una capa de protección debe ser independiente y especifica para un peligro.
 Debe ser auditable
1. INTRODUCCIÓN
SISTEMAS INSTRUMENTADOS DE SEGURIDAD
Un Sistemas instrumentado de seguridad (SIS) como un conjunto de sensores,

resolvedor lógico y actuadores con interfaces asociada al usuario y al Control básico de
procesos. De tal manera que un SIS es un sistema de control automático o dispositivo
cuya misión es proteger a personas, medio ambiente y equipamiento contra el daño
que pueda derivarse de una determinada condición peligrosa.
1. INTRODUCCIÓN
NIVEL DE INTEGRIDAD DE LA SEGURIDAD SIL
El Nivel de Integridad de la seguridad es una medida cualitativa de la seguridad.

En segundo lugar es una medición cuantitativa de la confiabilidad o de la probabilidad
de falla.
A mayor SIL mayores serán las medidas de prevención que habrá que tomar.
Se aplica a la función de seguridad completa y no independiente a sus componentes.
SIL mas alto significa requerimientos mas estrictos, cantidad y calidad de
componentes, realizar cálculos de confiabilidad.
Entre los requerimientos no técnicos esta por ejemplo la necesidad e la gestión de la
seguridad funcional, conocimiento del personal involucrado en el ciclo de vida,
independencia de los auditores, etc.
1. INTRODUCCIÓN
NIVEL DE INTEGRIDAD DE LA SEGURIDAD SIL
1. INTRODUCCIÓN
GESTION DE LA SEGURIDAD FUNCIONAL
Publicación de la HSE de Reino Unido
 Reino unido es uno de los mejores defensores en lo que respecta el uso del
enfoque sistemático para la ingeniería de seguridad con su entidad Health and
Safety Executive HSE.
 Con su publicación “Out of control” la cual a pesar de su reducido tamaño es
muy útil para expresar porqué los sistemas de control no funcionan
correctamente y cómo prevenir fallas.
 Esta publicación no solo ofrece extractos de los análisis de accidentes, sino
también se explica con gran claridad la necesidad de un enfoque sistemático
para la ingeniería de la seguridad funcional y proporciona un lineamientos
valiosos del ciclo de vida de la seguridad.
1. INTRODUCCIÓN
Temas de atención sobre la publicación de la HSE “Out of control”
Análisis de Accidentes
 La mayoría de los incidentes podrían haberse prevenido si se hubiera utilizado
durante todo el tiempo de vida del sistema un enfoque sistemático basado en
riesgo.
 Los principios de la seguridad son completamente independientes de la
tecnología.
 Muchas situaciones o eventos peligrosos se desconocen por no utilizar un
enfoque sistemático.
1. INTRODUCCIÓN
Publicación de la HSE “Out of control”

 Problemas de Diseño
 Problemas operacionales
 Especificación
 Diseño
 Mantenimiento y modificación
1. INTRODUCCIÓN
Uso del enfoque sistemático
Utilizar este enfoque permite:
 Beneficiarse con los conocimientos y experiencias adquiridas con anterioridad.
 Minimizar la posibilidad de errores.
 Demuestra a los demás que hemos hecho el trabajo correctamente, ya que se
reconocerá que nuestra forma de hacer las cosas es legítima.
 Permite la fácil comparación de problemas y sus soluciones control otros y por lo
tanto conduce generalmente a estándares de protección y seguridad aceptados.
 Permite la continuidad entre los individuos y entre diferentes participantes
emprendimiento común y hace que los sistemas de seguridad pierdan
dependencia de cualquier individuo.
 Fomenta el desarrollo de productos de seguridad que pueden ser utilizados por
muchos.
1. INTRODUCCIÓN
ESTANDARES
 Hasta la década de los 80 lo que respecta a la gestión de seguridad en los
procesos peligrosos fue tomado de forma individual por las compañías en la
industria de procesos.
 Las empresas más responsables fueron evolucionando sus directrices con sus
conocimientos y experiencias adquiridas.
 Por otro lado la industria química siempre fue consciente de que es mejor
tomar el camino de la autorregulación que estar bajo reglas impuestas por
acciones gubernamentales a efectos del público preocupado por los peligros
de esa industria.
 Más recientemente las directrices de la industria han madurado hasta
convertirse en normas internacionales y las regulaciones gubernamentales
están viendo potenciales beneficios para responder a las compañías y
productos ajustarse a lo que se está convirtiendo en estándares aceptados a
nivel mundial.
1. INTRODUCCIÓN
ESTANDARES
 Los primeros desarrollos fueron en los 80 en Alemania con el estándar VDE‐

0801 y DIN 19250, los cuales incorporaban aseguramiento de la calidad para
hardware y software compatible para cada clase de riesgo que se requería.
 En estados Unidos el estándar de la ISA S84.01 fue utilizado en 1995 para
aplicaciones de la industria de procesos incluyendo sistemas programables.
 En Reino Unido la HSE promueve manejar un estándar internacional y dan como
resultado la emisión de una nueva norma o estándar para la seguridad funcional
y fue lanzada por la Comisión Internacional eléctrica IEC bajo el nombre IEC‐
61508 la misma que cubre una amplia gama de actividades y equipos
relacionados con la seguridad funcional, ya que brinda un nuevo enfoque en la
gestión y el diseño de funcional de los sistemas de seguridad.
 Posteriormente IEC lanza la IEC‐61511 la cual se caracteriza por realizar la
gestión de la seguridad funcional en la industria de procesos.
1. INTRODUCCIÓN
ESTANDARES
IEC 61508:2010 Seguridad funcional de sistemas
eléctricos/electrónicos/electrónicos programables (E/E/PE) relacionados con la
seguridad.
 Es una norma genérica aplicable a todos los sistemas E/E/PE relacionados con la
seguridad, independientemente de su uso o aplicación.
 La norma se basa en el principio fundamental de que existe un proceso que
puede suponer un riesgo a la seguridad o al medio ambiente, si algo pudiera ir
mal en el proceso o en el equipo.
 El objetivo de la norma, es resolver los contratiempos en los procesos y los fallos
en los sistemas, a diferencia de los peligros relacionados con la salud y con la
seguridad como tropiezos y caídas, y permitir manejar la seguridad de los
procesos de forma sistemática y en base a los riesgos.
 La norma da por supuesto que se deben facilitar funciones de seguridad para
reducir dichos riesgos.
 Las funciones de seguridad pueden formar en conjunto un sistema
instrumentado de seguridad (SIS), y su diseño y funcionamiento deben estar
basados en la evaluación y la comprensión de los riesgos
1. INTRODUCCIÓN
ESTANDARES
Aplicaciones típicas
 Sistemas Instrumentados de Seguridad (SIS)
 Sistemas Fire&Gas
 Sistemas de Protección de sobre velocidad
 Freno de Emergencia en Trenes
 Otros
1. INTRODUCCIÓN
ESTANDARES
La IEC‐61508 se divide en 7 partes y son las siguientes:
•Parte I: Requerimientos generales
•Parte II: Requerimientos para sistemas eléctricos/electrónicos/electrónicos
programables (E/E/PE)
•Parte III: Requerimientos de software
•Parte IV: Definiciones y abreviaciones
•Parte V: Ejemplos de métodos para la determinación del nivel de integridad de la
seguridad SIL
•Parte VI: Lineamientos sobre la aplicación de las partes 2 y 3
•Parte VII: Resumen de técnicas y medidas
1. INTRODUCCIÓN
ESTANDARES
El estándar de la IEC establece procedimientos para la gestión e implementación
del ciclo de vida de la seguridad de las actividades en el soporte para sistemas de
seguridad funcional
Parte 1: Documentación, Gestión y Evaluación de la Seguridad Funcional
Parte 7: Revisión de Técnicas y medidas
Parte 1: Desarrollo de los requerimientos generales de Parte 6: Lineamiento para Parte 1: Instalación y

seguridad Hardware y Software Comisionado
Parte 1: Asignación de los Parte 2: Fase de Realización Parte 1: Operación y

requerimientos de seguridad para el sistema mantenimiento
Parte 4: Definiciones
al sistema relacionad a la
seguridad E/E/EP
Parte 3: Fase de Realización
Parte 5: Riesgos basados en SIL para el software
Especificación de los
Identificación de Diseño y construcción del Operación y
requerimientos de
peligros sistema de seguridad Mantenimiento
seguridad
Modificaciones
1. INTRODUCCIÓN
ESTANDARES
Estándar IEC‐61511
La IEC‐61511 es la implementación de la parte 1 de IEC‐61508 al sector de la industria
de procesos lanzada en 2003.
Comprende 3 partes y son las siguientes:
 Parte 1: Estructura, definición, sistemas y requerimientos de hardware y software.
 Parte 2: Lineamientos de la aplicación de la Parte 1
 Parte 3: Lineamientos para la determinación del nivel de integridad de la
seguridad (SIL)
1. INTRODUCCIÓN
ESTANDARES
Estándar IEC‐61511
 La IEC‐61511 esta direccionado para el usuario final quien tiene la tarea de diseñar
y operar un SIS en un planta con peligros inherentes.
 Claro está que sigue los requerimientos de la IEC‐61508 pero esta modificada para
adaptarse a la situación practica en una planta de proceso.
 Sin embargo no cubre el diseño y fabricación de productos o equipamiento para su
uso en seguridad ya que estos permanecen cubiertos por la IEC‐61508.
 En 2004 la ISA S84.01 adopta la IEC para su uso en Estados Unidos bajo el nombre
ANSI/ISA S84.00.01 (IEC‐61511 Mod).
Áreas de Aplicación
La IEC‐61511 aplica a Sistemas instrumentados de seguridad
 Instrumentos E/E/EP o no.
 Resolvedores Lógicos o controladores E/E/EP o no.
 Elementos finales de actuación o actuadores E/E/EP o no
1. INTRODUCCIÓN
CONCEPTO DE CICLO DE VIDA
Modelo del Ciclo de vida de Seguridad y sus fases
 Los fundamentos de todas las directrices de los procedimientos en los
sistemas instrumentados de seguridad SIS, es el ciclo de vida de la seguridad.
 Ahora el modelo del ciclo de vida de la seguridad es una herramienta muy
utilizada en el desarrollo de sistema de control relacionados a la seguridad.
 Conceptualmente representa la interacción de etapas desde:
 La concepción
 La especificación
 Fabricación.
 Instalación, comisionado, operación, mantenimiento
 Modificación y eventualmente de‐comisionado o
desmantelamiento de la planta.
1. INTRODUCCIÓN
Modelo del Ciclo de vida de Seguridad y sus fases
1. INTRODUCCIÓN
1. INTRODUCCIÓN
1 Concepto
2 Definiciones de Alcance General
3 Analisis de Peligros y Riesgos
Requerimientos Generales de
4 Seguridad
Asignacion de Requerimientos
5 de Seguridad
Especificaciones de Requerimientos
9 de Seguridad del E/E/EP
Planificacion Planificacion Planificacion Otras medidas
general de general general de de Reduccion de
6 Opereacion y
7 Validacion de
8 Instalacion y
11 Riesgos y
Mantenimiento la Seguridad Comisionado Ciclo de Vida de Sistemas especificaciones
10 Relacionados a la Seguridad E/E/EP
Instalacion y Comisionado
12 General
13 Validacion General de Seguridad
Operacion, Mantenimiento y
14 Reparacion General
15 Modificaciones Generales
16 Decomisionado o Disposición
1. INTRODUCCIÓN
1. INTRODUCCIÓN
Un ciclo de vida nos ayuda en forma sistemática a:
 Identificar las actividades que es necesario realizar.
 Identificar la pericia y competencias requeridas para ejecutar las actividades.
 Identificar los requerimientos de documentación.
 Identificar la responsabilidad de cada departamento para cada actividad.
Todo ciclo de vida debe tener un responsable para su gerenciamiento, de tal
manera de:
 Tener suficiente autoridad a nivel gerencial.
 Ser responsable de coordinar los requerimientos y actividades del ciclo de
vida.
 Delegar ciertas responsabilidades sin perder la coordinación total y seguridad
funcional a nivel global.
1. INTRODUCCIÓN
El concepto fundamental es que la seguridad funcional comienza con una buena
gestión es decir:
 Documentación (IEC 61511 19.1)
 Verificación, validación, evaluación y auditoria
 Modificación (IEC 61511 17.1)
 Competencia (IEC 61511 5.2.2.2)
1. INTRODUCCIÓN
DOCUMENTACION (IEC 61511 19.1)
Por el solo hecho de trabajar en un ciclo de vida se necesita entregar información
a las diferentes disciplinas de ingeniería y cada una de las fases.
El propósito de la documentación es:
 Llevar a cabo el trabajo
 Verificar el trabajo
 Evaluar el trabajo
 Auditar el trabajo
La documentación debe ser técnicamente correcta, ser precisa, fácil de entender,
ajustarse al propósito con el cual se la genera y estar disponible y de fácil
mantenimiento.
La documentación debe ser formalmente correcta: poseer titulo, autor, fecha ,
índice de revisión, sujeta a revisiones y aprobaciones y sobre todo debe ser
trazable con respecto a los requerimientos.
1. INTRODUCCIÓN
DOCUMENTACION
1. INTRODUCCIÓN
COMPETENCIA (IEC 61511 5.2.2.2)
Las personas, departamentos u organismos implicados en actividades del ciclo de
vida de seguridad deben ser competentes para realizar las actividades de las que son
responsables.
Como mínimo, se deberían tratar los aspectos siguientes cuando se considere la
competencia de las personas, departamentos, organismos u otras unidades
implicados en las actividades del ciclo de vida de seguridad
a) conocimientos de ingeniería, formación y experiencia apropiados para la
aplicación de proceso.
b) conocimientos de ingeniería, formación y experiencia apropiados para la
tecnología de la aplicación usada (por ejemplo, elictrica, electrónica o electrónica
programable).
c) conocimientos de ingeniería, formación y experiencia apropiados para los
sensores y elementos finales.
d) conocimientos de ingeniería de seguridad (por ejemplo, análisis de seguridad de
procesos).
e) conocimientos de los requisitos de las reglamentaciones legales y de seguridad;
f) gestión adecuada y habilidades de liderazgo adecuadas para su papel en las
actividades del ciclo de vida de seguridad.
1. INTRODUCCIÓN
COMPETENCIA (IEC 61511 5.2.2.2)
La competencia se mide por medio de:
 Entrenamiento formal
 Conocimiento, demostración de que el entrenamiento formal fue efectivo
 Experiencia practica, demostración de que el conocimiento fue aplicado.
La competencia debe ser considerada en la áreas de:
 La aplicación, las herramientas y las técnicas con las que se trabaja
 La tecnología con la que se trabaja
 Las leyes, regulaciones o normas y procedimientos que aplican al trabajo de
cada uno
1. INTRODUCCIÓN
VERIFICACION , VALIDACION , EVALUACION Y AUDITORIA
Definamos de manera sencilla cada uno de estos términos
Verificación: Comprobar que las cosas se hicieron bien
Validación: Comprobar que se hicieron las cosas que se debieron hacer
Evaluación (Assessment): Realiza juzgamiento y toma de decisiones sobre el SIS
Auditoria: Son evaluaciones periodica.s.
1. INTRODUCCIÓN
VERIFICACION (IEC 61511 7.1)
Objetivo: demostrar mediante revisión, análisis y/o pruebas que las salidas
requeridas, identificadas en el plan de verificación, satisfacen los requerimientos
definidos para la fase apropiada del ciclo de vida de seguridad
Requerimientos: el plan de verificación define las actividades a llevar a cabo:
 Procedimientos, medidas y técnicas
 Cuando se llevan a cabo
 Personas, departamentos u organizaciones responsables, incluyendo
 nivel de independencia
 Identificación de los puntos a verificar
 Identificación de la información contra la que se lleva la verificación
 Como manejar las no conformidades
 Herramientas de análisis
 Documentación a generar como resultado
1. INTRODUCCIÓN
VALIDACION
 La validación se basa en las actividades de verificación agregando pruebas
completas del sistema instrumentado de seguridad instalado de manera de
comprobar que todo funcione como debe.
 Esto muestra que cada función de seguridad del sistema instrumentado de
seguridad, así como el sistema en sí cumplen con todos los requisitos
contenidos en la especificación de requisitos de seguridad SRS.
 Mientras que la verificación se hace en todo el proyecto y se puede realizar
donde se esta haciendo el trabajo, la validación ocurre solo en sitio,
después de que se ha instalado y comisionado el sistema.
1. INTRODUCCIÓN
VALIDACION
Las pruebas de validación pueden incluir la confirmación de que:
 El sistema funciona adecuadamente en todos los modos de operación
relevantes (puestas en marcha, parada, modo automático, modo semi
automático, etc.)
 El SIS funciona satisfactoriamente bajo los modos de operación normal y
anormal como se definen en la especificación de requisitos de seguridad.
 La interacción del sistema de control básico BPCS y otro sistemas conectados
no afecta o restringe la habilidad de respuesta del SIS.
 Los sensores, resolvedores lógicos y elementos actuadores funcionan como
se requiere.
 El SIS funciona adecuadamente con valores de proceso fuera de rango de
sensores por ejemplo.
 El SIS funciona como está diseñado cuando ocurre perdida y restauración de
servicios tales como energía eléctrica, aire de instrumentos o sistemas
hidráulicos.
La validación requiere una planificación precisa para identificar y documentar
los procedimientos, medidas y pruebas que se usaran, así como el orden y
programa de las pruebas y las aptitudes requeridas del personal que las
realizará.
1. INTRODUCCIÓN
EVALUACION DE LA SEGURIDAD FUNCIONAL
Las etapas del ciclo de seguridad en las cuales se tienen que llevar a cabo las
actividades de evaluación de la seguridad funcional se deben identificar durante
la planificación de la seguridad.
Puede ser necesario introducir actividades adicionales de evaluación de la
seguridad conforme se identifican nuevos peligros, después de las
modificaciones y a intervalos periódicos durante el funcionamiento.
1. INTRODUCCIÓN
Se debería dar consideración a la realización de actividades de evaluación de la
seguridad funcional en las etapas siguientes:
 Etapa 1 ‐ Después de haber llevado a cabo la evaluación de peligros y riesgos,
de haber identificado las capas de protección requeridas y de haber realizado
la especificación de los requisitos de seguridad.
 Etapa 2 ‐ Después de haber diseñado el sistema instrumentado de seguridad.
 Etapa 3 ‐ Después de haber completado la instalación, recepción previa y
validación final del sistema instrumentado y de haber redactado los
procedimientos de operación y el mantenimiento.
 Etapa 4 ‐ Después de adquirir experiencia en la operación y el mantenimiento
 Etapa 5 ‐ Después de la modificación y antes de la retirada de servicio de un
sistema instrumentado de seguridad.
1. INTRODUCCIÓN
1. INTRODUCCIÓN
Es una investigación, basada en evidencia, para juzgar la seguridad funcional
alcanzada por uno, o más, sistemas E/E/PE relacionados con seguridad, otros
sistemas relacionados con seguridad que emplean otras tecnologías o facilidades
externas para la reducción del riesgo.
Esta es una actividad crítica que asegura que la seguridad funcional se ha
alcanzado satisfactoriamente.
Las personas que ejecutan la evaluación de la seguridad funcional deben ser
competentes, deben tener la adecuada independencia y deben considerar las
actividades que se llevan a cabo y los resultados obtenidos durante cada fase de
cada ciclo de vida y juzgan si se han cumplido los objetivos y requerimientos de
IEC 61508.
1. INTRODUCCIÓN
AUDITORIAS
Las auditorias son similares a las Evaluaciones
 Se enfocan en la implementación general del SIS respecto del ciclo de vida,
que permite evaluar la efectividad de la implementación del SIS.
 Es una evaluación realizada en forma periódica
 Aplica a las fases del ciclo de vida más extensas, tal como operación,
mantenimiento y reparación
Los procedimientos de auditoria requieren:
 Frecuencia de realización
 Independencia entre las personas que desarrollan las tareas y las que hacen la
auditoria
 Registro de resultados y seguimiento
Riesgo y Análisis de Riesgo

Santa Cruz Bolivia
2. Riesgo y Análisis de Riesgo:
• Concepto de Riesgo
• Matriz de riesgo
• HAZOP
• Gráfico de riesgo
• Funciones de Seguridad
2. RIESGO Y ANALISIS DE RIESGO
INTRODUCCION A LOS RIESGOS Y PELIGROS
¿Qué es peligro y qué significado tiene riesgo?

 Un peligro es una característica inherente física o química que tiene potencial
para causar daños a personas, medio ambiente y a la propiedad. Por otro lado
en procesos químicos un peligro es la combinación de material peligroso, un
ambiente de operación y eventos no planeados que pueden resultar en un
accidente.
 Un riesgo es usualmente definido como la combinación de severidad y
probabilidad de un evento, en otras palabras que nos indica con que
frecuencia puede ocurrir el evento y cuánto daño podría causar cuando el
evento ocurra. Ahora un riesgo se puede evaluar de forma cuantitativa o
cualitativa. Rigurosamente hablando
Riesgo = Frecuencia x Consecuencia del Peligro;
Si no es posible quitar un peligro entonces tendremos que reducir el riesgo por
medio de reducir la frecuencia de corriente y/o reducir la consecuencia del peligro
cuando este ocurra.
Ejemplo: Juego de Baseball

Hugo y Usted son jugadores contrarios en un juego de baseball. En determinado
tiempo del juego, Hugo es el lanzador y Ud. Es el bateador. Hugo tiene una
probabilidad de lanzar arriba de bate 6 veces cada vez que toca un nuevo lanzador.
Como consecuencia podría Ud. tener contusiones por golpes con la pelota. Se
desea realizar un análisis de peligro, riesgo y consecuencia en este deporte.
 Peligro: en este caso se establece que Hugo es el peligro por ser lanzador de la
pelota (objeto en movimiento)
 Frecuencia o probabilidad: En este caso se tiene una frecuencia de 6
lanzamientos arriba del bate cada vez que hay un bateador nuevo
 Consecuencia: Contusiones en el bateador (es decir Ud).
Se define el riesgo :
Riesgo = Frecuencia x Consecuencia
Riesgo = 6 lanzamientos x Contusiones en el bateador
Riesgo = 6 contusiones cada vez que se cambia de bateador
Que se puede hacer para reducir el riesgo?
 En este caso particular podemos comunicar a Hugo que no se permite más de 2
lanzamientos por arriba del bate, caso contrario Hugo sería expulsado del juego
o no se le dejara jugar más.
Con esta medida hemos reducido el riesgo de que Ud. tenga contusiones a 2 por
cada vez que Hugo hace de lanzador.
Riesgo = 2 lanzamientos x Contusiones en el bateador
Identificando los Riegos
 Un paso clave para mantener o mejorar la seguridad es identificar los riesgos
que la amenazan.
 Tal como lo indica el diagrama, la identificación de los riesgos requiere que se
corresponda a ambas partes de la pregunta.
 Cual es la probabilidad de que ocurra un evento severo y cuales son sus
consecuencias?
RIESGO INHERENTE
Riesgo Inherente
 La mayoría de las instalaciones de procesos tienen demasiados componentes de
equipo que cada uno contribuye a lo que se llama riesgo inherente, en otras
palabras, el riesgo que existe debido a la naturaleza del proceso incluyendo el
equipo y los materiales presentes.
 Por ejemplo, los riesgos inherentes de viajas en un automóvil incluyen los
accidentes ocasionados por los errores del conductor, llantas pinchadas,
incendio del combustible, etc.
 La evaluación de todo el proceso ayuda a determinar la probabilidad de que
ocurra un evento no deseado y la evaluación de los materiales como tipo y
cantidad ayuda a determinar las consecuencias del riesgo.
RIESGO INHERENTE
Riesgo Inherente
 Veamos el tanque presurizado que contiene
 Al observar el proceso se hace evidente varios riesgos inherentes que podrían
conducir a una liberación de amoniaco:
Ruptura del tanque debido a un exceso de presión.
Fugas en las uniones de las tuberías, empaquetaduras de las válvulas.
Falla en los instrumentos de control de presión y válvulas de control.
TIPOS DE RIESGOS
EVALUACION DE RIESGOS
RIESGOS DE ACCIDENTES INDUSTRIALES
El riesgo está perfectamente caracterizado por un conjunto formado por

3 elementos:
ANALISIS DE RIESGO
En general se realiza una Análisis de Riegos para

CATEGORIAS DE FRECUENCIA
Es posible tomar de manera de ejemplo las siguiente categorías de

frecuencia, se debe estudiar y designar las frecuencias según la industria
CATEGORIAS DE SEVERIDAD
La severidad debe ser designada por la compañía o usuario final según
las leyes del país o normas internacionales.
CATEGORIAS DE RIESGOS
Los riesgos se podrán expresar por ejemplo mediante una matriz, la cual
puede denominarse Matriz de clasificación de Riesgos, en este caso se
tiene la severidad y la frecuencia como información de entrada.
RIESGO TOLERABLE
 La norma IEC 61511 describe el riesgo tolerable como el riesgo que se acepta en

un determinado contexto de acuerdo a los valores actuales de la sociedad.
 El riesgo tolerable está determinado por las consecuencias así como por la
probabilidad.
 La mayoría de las compañías incluyen lesiones, muertes y perdidas económicas
entre otros factores.
 Algunas veces los riesgos tolerable están disponibles en fuentes tales como OSHA
de USA, en ACGIH, EPA y similares.
Magnitud del Riesgo
El riesgo no se justifica
excepto en circunstancias
Region Intolerable extraordinarias
Tolerable solo si una mayor reducción de

riesgo es impracticable o si el costo es
desproporcionado a la mejora obtenida
Region tolerable o
ALARP
Tolerable solo si el costo de la reducción
de riesgo haría superar las mejoras
obtenidas
Tolerable solo si la reducción de riesgo es

Region aceptable impracticable o si el costo es
desproporcionado a la mejora ganada
REDUCCION DEL RIESGO I
 La reducción del riesgo es el trabajo que corresponde a las medidas de protección, en
algunos casos las medidas de protección son un camino alternativo a la reducción de
riesgos y otros llegan a ser sistemas de protección tales como sistemas instrumentados de
seguridad.
 Cuando se propone diseñar un sistema de protección es necesario decidir cuan bueno
debe ser, que cantidad de reducción de riesgo necesita el proceso o planta. Cabe resaltar
que esta actividad es la difícil de alcanzar. Entonces el objetivo de reducir el riesgo se trata
de llevar del riesgo inaceptable a por lo menos un riesgo tolerable (ver figura ALARP). Este
principio tiene un impacto fundamental en el camino por el que se tiene que recorrer para
diseñar un sistema de seguridad, tal como se muestra en la figura
Tasa Fatal de Accidentes
 Este es un método para establecer un nivel de riesgo tolerable, ya que si un grupo de
diseño se prepara para definir lo que se considera que es una determinada tasa de
accidente mortal para una situación particular, entonces se hace posible definir o
establecer un valor numérico para el riesgo tolerable.
 Aunque pareciera algo inhumano o tétrico fijar valores numéricos a esta variable, existe en
la realidad que ciertas compañías disponen de normas históricas y también objetivos para
mejorar los resultados estadísticos.
 La base general muy aceptada para establecer las cifras sobre la tasa fatal de accidentes
(FAR) tolerable, está dada por el número de muertes por cada 100 millones de horas de
exposición, esto puede ser tomado como la cantidad de víctimas fatales por cada 10 horas
trabajadas en un sitio o una actividad, sin embargo hay que tomar muy en cuenta también
el tiempo de exposición a una situación peligrosa o riesgo es menor al tiempo total de
trabajo.
 Ahora una persona podría trabajar 50 años en el lugar y cumplir 10 horas de trabajo, como
también 50 personas podrían trabajar en el lugar y cumplir 10 horas de trabajo; en ambas
situaciones se acumulan la misma cantidad de horas de exposición.
• Veamos como es el tratamiento de la cantidad de horas de exposición: si dentro una

industria química existen 50000 empleados, considerando que la jornada diaria de trabajo
es de 8 horas y durante la semana se trabaja de lunes a viernes entonces se tiene:
Horas de trabajo al año = 8 (horas/dia) x 5 (días /semana) x 52 (semanas/año) = 2098[h/año]
 Para facilitar los cálculos suponemos
Horas de trabajo al año = 2000 [h/año]
 Entonces la cantidad de horas trabajadas por el total de empleados es:

Horas Total de Trabajo en la planta Química = 50000 (empleados) x 2000 [h/año] = 10e8
[h/año];
 Ahora, si esta industria química tiene una tasa de accidentes fatales FAR de 4, significa que
existe la posibilidad de tener 4 fatalidades por cada año de trabajo cumplido.
En la tabla se muestra una escala de medida de la tasa de accidentes fatales FAR para algunas
actividades, esto permite hacer comparaciones entre las mismas. Por otro lado en otra columna se
dispone otra variable de medida que es la probabilidad de ocurrencia de un accidente fatal por
persona en un año para cada actividad [Ver A Healthier Mortality ISBN 0‐952 5072‐1‐8 y Realibilty
Maintainability and Risk, David Smith.].
Riesgo Individual de
Actividad FAR / 10e8 Muerte de persona
por año / 10e‐4
Viajes Aéreos 0 0,02
Viajes en tren 5 0,03
Viajes en Bus 4 2
Viajes en vehículo
particulares 60 2
Industria Química 4 0,5
Manufactura 8
Transporte 8 9
Agricultura 10 2
Agricultura 10
Boxeo 20000
Estadía en el hogar 4 1,4
Tiempo de vida 152 133
Suponga una planta que tiene en promedio 5 personas en sitio todo el tiempo y que existe la
posibilidad de que 1 evento de explosión cause la muerte de 1 persona. Esta planta tiene una
FAR de 2. Con esta información vamos a calcular el periodo promedio mínimo entre explosiones
que puede ser considerado tolerable (nótese que se acepta en un concepto ALARP lo tolerable):
Tasa de fatalidades por año = FAR [1/h] x Exposición [h/año]
Tasa de fatalidades por año = (2x10e‐8) x (5 operadores x 8700 horas) [h/año]
Tasa de fatalidades por año = 8.76x10e‐4[1/año]
Entonces el periodo de cada explosión es la inversa de la tasa de la tasa de fatalidades por año:
Años promedio por explosión = 1/(8.76x10e‐4) = 1140 [años]

Ahora se cambia el escenario con la siguiente restricción, la planta será operada por tres técnicos
las 24 horas y existirán 2 mantenedores solo en el turno diario de 8 horas, se desea calcular el
periodo de cada explosión.
Para resolver este problema debemos determinar la cantidad de horas al año que el personal
está expuesto, lo que significa:
Exposición por año = (3 operadores x 24 horas + 2 mantenedores x 8 horas) x 375 = 33000 h/año;
Tasa de fatalidades por año = FAR [1/h] x Exposición [h/año];
Tasa de fatalidades por año = (2x10e‐8) x (33000 [h/año]) = 6.6x10‐4;

Años promedio por explosión = 1/(6.66x10e‐4) = 1501 [años];
Esto significa que se aumentó el periodo entre explosiones lo que significa que se redujo el
riesgo bajando la frecuencia de ocurrencia del evento no deseado.
CAPAS DE PROTECCION
 El concepto de aplicación de capas de protección para usarse como medidas de seguridad y
todas ellas son diseñadas para prevenir los accidentes que se han visto como posibles.
 En esencia el concepto es de tener doble seguridad conocido en la lengua sajona como “belts
and braces” lo que involucra proporcionar protección frente a eventos peligrosos o en la
reducción de sus consecuencias.
 Las capas de protección son definidas claramente en el Anexo C del estándar IEC‐61511‐
3Mod, la cual indica que consiste en una agrupación de equipos y controles administrativos
que funcionan en acuerdo con otras capas de protección para el control o mitigación del
riesgo en un proceso. Una capa de protección independiente IPL :
Reduce el riesgo identificado por medio de un factor de 10

Tiene alta disponibilidad (0.09)
Está diseñada para un evento específico
Es independiente de otras capas de protección
Es auditable y trazable
CAPAS DE PROTECCION
 Esta definición es rigurosa debido a que soporta el formalismo utilizado de una capa de
seguridad in la determinación de los niveles de seguridad integro para el diseño de sistemas
instrumentados de seguridad.
 Las capas de protección pueden ser divididas en dos tipos principales: capas de prevención
y capas de mitigación.
CAPAS DE PROTECCION
Capas de Prevención
 Las capas de prevención tratan de detener la ocurrencia de un evento peligroso.
Algunas de estas capas de prevención son las siguientes:
Diseño de la Planta
 En la medida de lo posible una planta debe ser diseñada inherentemente segura,
este es el primer paso para la seguridad, por otro lado puede utilizarse diseños con
sistema de baja presión, inventario reducido.
Sistema de control de proceso
 El sistema de control juega un importante rol proporcionando una función de
seguridad que trata de mantener el proceso seguro dentro de ciertos límites, lo
anterior debe ser tomado con mucho cuidado pues como se mencionó
anteriormente el sistema de control es independiente del sistema de seguridad.
 El hecho de aceptar de que el sistema de control proporcione seguridad deberá
evaluarse, considerando el riesgo del proceso operando de esa manera.
CAPAS DE PROTECCION
Sistemas de Alarmas
 Tienen una estrecha relación con los sistemas de parada segura, lo que no significa que tengan la misma
función como un sistema instrumentado de seguridad SIS.
 En esencia las alarmas proporcionan visual y auditivamente las condiciones del proceso que están fuera de
rango considerando las condiciones operativas normales.
 Tales condiciones requieren decisión o intervención por parte de operadores, lo que podría afectar la
seguridad tomando en cuenta las limitaciones del operador humano para actuar.
Vamos a describir tipos de alarmas
Alarmas de proceso: Se puede tratar de eficiencia del proceso o indicar los defectos en el equipo. Estas
alarmas son normalmente incorporadas dentro del sistema de control de proceso y comparten los
mismos sensores que el sistema de control.
Alarmas de equipos o maquinarias: Estas alarmas se utilizan para detectar mal funcionamiento de un
equipo o máquina, por lo general no afectan la operación del proceso.
Alarmas relacionadas a seguridad: Estas alarmas son utilizadas para alertar al operador de condiciones
potencialmente peligrosas. Tales alarmas deben tener normalmente alta prioridad y ellas involucran una
protección contra la mala operación del sistema de control de proceso el cual tiene dispositivos
independientes para su monitoreo.
CAPAS DE PROTECCION
Capas de protección mecánicas o No SIS
 Hay una cantidad grande de capas de protección para evitar un peligro que a menudo son
desempeñadas por dispositivos de seguridad mecánica tales como válvulas de alivio o
dispositivos de sobreflujo; estas son capas independientes de protección que juegas un rol
importante en muchos esquemas de protección.
Enclavamientos
 Los enclavamientos proporcionan restricciones lógicas con el sistema de control y a menudo

proporcionan funciones de seguridad, las mismas que podrían estar embebidas (dentro) en el
sistema de control básico en forma de software o por medio de relays o por medio de
enclavamientos mecánicos directos enlazados al equipo o sistema. Se debe recalcar que cada
aplicación decide si el enclavamiento es parte del sistema de control o es un dispositivo de
seguridad independiente o parte del SIS.
Sistema de parada de emergencia (SIS)
 La última capa de protección es el sistema de parada de emergencia segura en la cual su

acción es independiente y automática, llevando el proceso a un modo seguro protegiendo al
personal y los equipos de la planta contra un daño potencialmente serio. La esencia del
sistema de parada es que está habilitado para tomar acción directa y no requiere de una
respuesta del operador.
GESTION DEL RIESGO
Para realizar la gestión del riesgo es necesario realizar los siguientes pasos
importantes:
 Identificar los peligros / eventos peligrosos
 Analizar los peligros/eventos peligrosos
 Reducir el riesgo donde sea necesario
IDENTIFICACION DEL PELIGRO
Vamos a listar los principales peligros
Físicos
 Movimiento de objetos, objetos emplazados en altura, meteoritos, asteroides.
 Colisiones
 Fatiga de materiales (Colapso de estructuras)
 Inundaciones
Mecánica en Plantas
 Efectos de liberación de presión: tanques fisurados, fugas de gas y líquidos,
tuberías cortadas, fuerzas internas, ondas de choque
 Vibración
 Maquinas rotativas, fuerzas excéntricas
 Abrasión, corte y trituración
 Falla en el control de maquinaria: cortadoras, prensas, bandas transportadoras,
moldeo por inyección, etc.
 Soldadura por arco, gas y soplete.
Materiales
 Mala identificación, mal dimensionamiento

 Fallas debido a stress, corrosión, rotura, ataque químico, fatiga
Eléctrica
 Fogonazos y quemaduras
 Electrocución durante mantenimiento de fuentes conmutadas
 Fuego por
 Explosión de cuadros eléctricos de control
 Conexionado erróneo, mala conexión
Química y Petróleos
 Explosión
 Fuego
 Liberaciones de materiales tóxicos
 Fallas mecánicas
 Química errónea, generación de sustancia erróneas por mal funcionamiento del proceso.
Energía Nuclear
 Contaminación radioactiva
 Escape de materiales tóxicos
 Pérdida de control
 Energía en exceso, vapor , presión
Domestico
 Calentadores de agua
 Cocinas
 Piscinas
 Criminalidad
 Nuestro enfoque esta en los procesos de fabricación e industria de procesos, pero
el estudio de los peligros puede ser aplicado a un amplio rango de circunstancias.
 Para nuestro tema de sistemas instrumentados de seguridad, necesitamos ver las
industrias donde los sistemas instrumentados de seguridad tienen base
establecida, ellas son las siguientes:
Fabricación química
Refinado de petróleo
Distribución de gas natural y estaciones de compresión
Generación de energía
Quemadores y hornos
Procesos de minería y metalúrgicos
Planta de fabricación y ensamblado, sistemas de protección de maquinaria
Control de trenes y sistemas de señalización
TECNICAS DE IDENTIFICACION DEL PELIGRO
 Existen muchas técnicas de identificación de peligros, algunos ejemplos e uso hoy
en día son los siguientes:
 Check List o Lista de verificación
 What if..
 Análisis de eventos y modos de falla FMEA
 Análisis por árbol de fallas FTA
 Análisis de peligros operabilidad HAZOP
IDENTIFICACION DEL PELIGRO POR CHEK LIST
IDENTIFICACION DEL PELIGRO WHAT IF …
 Desarrollada como una alternativa simple al HAZOP.
 Usa lista de preguntas guía para identificar desviaciones.
 Para cada caso se identifican consecuencias, causas y controles existente y se
discute si se requieren adicionales.
 Se puede usar una matriz de riesgos para establecer un orden en el nivel de
riesgo residual.
Ventajas:
Los riesgos mayores aparecen rápidamente.
Se orienta a identificar desviaciones de sistemas.
Limitaciones:
Requiere preparación y experiencia del facilitador.
No es un método de gran nivel de detalle.
IDENTIFICACION DEL PELIGRO POR FMEA
 Análisis de los efectos de diferentes modos de falla en los componentes
de un sistema.
 Se basa en el listado detallado de los componentes con un listado lo más
detallado disponible de las fallas que pueden tener dichos componentes.
 Se debe tener conocimiento de las funciones de cada componente o
etapa del proceso bajo análisis, así como sus consecuencias.
 Información histórica de las fallas y las tasas de fallas.
 Ventajas:
Aplicable a sistemas, procesos y equipos desde etapas tempranas
del diseño.
Identifica requerimientos de redundancias por seguridad.
Permite desarrollar programar de vigilancia y mantenimiento basado
en la criticidad.
 Desventajas:
Identifica fallas aisladas, no combinadas.
Se complica en proporción a la mayor complejidad del objeto de
análisis.
IDENTIFICACION DEL PELIGRO POR FMEA
IDENTIFICACION DEL PELIGRO POR FTA
 Técnica para identificar y analizar factores que llevan a un evento no

deseado específico, llamado “Top Event”.
 Las causas son identificadas de forma deductiva y organizadas de manera
lógica y representadas gráficamente en un diagrama tipo “Arbol”.
 En base al “top event” se identifican los eventos de falla primarios que lo
originan inmediatamente. Luego se sigue investigando sucesivamente las
causas de fallas de estos evento primarios hasta el nivel de detalle en que
se tienen los eventos de falla básicos.
 Ventajas:
Método de análisis sistemático y robusto de evaluación cuantitativa o
cualitativa.
El enfoque “top-down” y la representación gráfica permite el
entendimiento del comportamiento del sistema bajo análisis.
 Desventajas:
La mayoría de árboles son tan complejos que se requieren softwares
para calculas la probabilidad de los “top event”. Si no hay una buena
base de datos de probabilidades de los eventos básicos, la i
ncertidumbre crece en este cálculo.
No es dinámico, sólo incluye estados binarios (falla o no).
IDENTIFICACION DEL PELIGRO POR FTA
IDENTIFICACION DEL PELIGRO POR ETA
 Técnica gráfica usada para representar una secuencia de eventos

mutuamente excluyentes que siguen luego de la ocurrencia del
funcionamiento o no de los sistemas diseñados para mitigar sus
consecuencias.
 Se debe tener información de las barreras, controles y sus probabilidades
de falla.
 El proceso se inicia con la definición del evento a analizar, luego se listan
los controles que impiden las fallas y se desarrolla el árbol según el éxito o
falla de cada uno.
ANALISIS HAZOP
 Técnica desarrollada para identificar y evaluar peligros (problemas de seguridad)
en una planta de procesos y para identificar problemas operacionales que,
aunque aún no son peligrosos, podrían comprometer la habilidad de la planta en
obtener la productividad prevista en el proyecto.
 Comprobación rigurosa, sistemática, guiada y crítica de procesos y objetivos de

diseño para plantas nuevas y existentes, buscando estimar el potencial de
peligrosidad que podría generarse por errores de manipulación o mal
funcionamiento y los efectos que podrían producirse en el conjunto de la
instalación y el entorno
 Técnica inductiva: los accidentes se producen como consecuencia de una
desviación de las variables de proceso con respecto de los parámetros
normales de Operación
 Técnica multidisciplinar limitando el número de asistentes
 Análisis independiente de cualquier factor económico
OBJETIVOS DEL ANALISIS HAZOP
 Examinar sistemáticamente cada segmento de una instalación,

buscando identificar todos los posibles desvíos de las condiciones
normales de operación, relacionando sus causas y sus consecuencias;
 Identificar los casos en que una decisión no puede ser tomada
inmediatamente y decidir cuál información o acciones adicionales son
necesarias.
 Decidir sobre la necesidad de acciones para controlar el peligro o el
problema de operabilidad. En caso positivo, identificar caminos para la
solución del problema;
 Los problemas operacionales o de seguridad están siempre
relacionados con los desvíos en los parámetros del proceso
DIAGRAMA DEL METODO DE ANALISIS POR HAZOP
LISTA DE DESVIACIONES PARA PROCESOS CONTINUOS
PLANILLA DE ANALISIS POR HAZOP
SELECCIÓN DE NODOS PARA EL ANALISIS HAZOP
• Hornos
• Calderas
• Líneas y equipos relacionados a los mayores inventarios de productos
peligrosos
• Equipos sujetos a presurización excesiva
• Reactores de proceso
DEFINICION DE CONSECUENCIAS A SER CONSIDERADAS
 Seguridad de los empleados

 Seguridad de la población circundante
 Impactos ambientales
 Pérdida de instalación o equipamiento
 Pérdida de producción
 Disponibilidad de la instalación
 Daño a la imagen de la compañía
CAUSAS
EFECTOS Y CONSECUENCIAS
 Daños personales (quemaduras, contactos con superficie energizada,

etc.)
 Pérdida de contención (pérdida de productos), llevando a la formación de
nube tóxica y/o nube inflamable (incendio/explosión en nube)
 Contaminación del suelo
 Descontrol operacional (parada parcial y/o total del equipo)
PROTECCIONES EXISTENTES DEL PROCESO
 Alarmas
 Sistemas de Parada
 Lazos de control e instrumentacion
 Procedimientos operacionales (???)
 Válvulas de alivio (PSVs)
 Medios alternativos de producción
DOCUMENTACION REQUERIDA
•Diagramas P&Is (flujogramas de ingeniería)

•Diagrama de flujo del proceso y balance de materiales
•Filosofía de proyecto y memoria descriptiva
•Hoja de datos de todos los equipos
•Datos de proyecto para instrumentos y válvulas de control
•Especificaciones de los materiales de las cañerías
•Diagrama lógico del sistema de interbloqueo
•Matrices de causa y efecto
•Layout de la instalación
DOCUMENTACION REQUERIDA
EJEMPLO DE HAZOP
1. Se trata de un sistema de calentamiento en una refinería consistente en un circuito
cerrado de aceite térmico que tiene la función de calentar otros fluidos y que es
calentado por medio de un horno que quema fue‐gas.
2. El aceite térmico utilizado es producido en la sección de destilación del crudo
sacándose como producto de fondo y tiene temperatura de inflamabilidad de 175 ºC.
3. La temperatura máxima alcanzada por el aceite térmico durante el proceso es de
330 ºC a la salida del horno F‐1.
4. El aceite térmico puede degradarse si no es sustituido al cabo de un determinado
tiempo o bien si se sobrecalienta por encima de una determinada temperatura
5. El calor residual de los humos en la zona convectiva del horno se utiliza para
producir vapor de media presión que se utiliza para alimentar a otros equipos del
proceso.
6. El combustible utilizado en el horno es el Fuel‐gas excedente de la propia Refinería.
7. El control del caudal del Fuel‐gas al quemador del horno se efectúa por medio de la
medición de la temperatura de salida del aceite térmico del horno que queda
regulado por la válvula TCV‐1.
EJEMPLO DE HAZOP
EJEMPLO DE HAZOP
Descripción de las protecciones del Horno
Las protecciones con las que está dotado el horno provocan el corte del
combustible del horno mediante la válvula TCV‐l por las causas siguientes:
‐ Alta temperatura en la salida de humos, por actuación el TSH situado en la
zona convectiva del horno
‐ Baja presión en la línea de Fuel‐gas de refinería, por actuación del PSL‐2
situado aguas arriba de la válvula de control TCV‐1
Por otra parte el horno tiene una protección para evitar la falta de
alimentación a este por fallo de la bomba de alimentación por medio del PSL‐
1.
EJEMPLO DE HAZOP
Consideraciones previas al analisis
Se estudia el sistema en condiciones normales de operación y esto requiere plantear las hipótesis
siguientes:
1. Se considera que la bomba P‐1A impulsa el aceite a través del horno; la bomba P‐1B es de
reserva y sólo entra en funcionamiento cuando se produce una caída de presión en la línea de
impulsión del aceite registrado por el PSL‐1.
2. El horno trabaja a tiro natural, es decir, el humo sale libremente debido a la disminución de su
densidad al aumentar su temperatura sin que exista ningún equipo de aspiración, de la misma
manera, la entrada de aire en la cámara de combustión es natural, no hay equipo de impulsión.
3. El calor residual de los humos que se utiliza para vaporizar el agua y producir vapor, esta
corriente no se tendrá en cuenta en nuestro estudio.
EJEMPLO DE HAZOP
Estudio Preliminar
La tabla siguiente muestra, mediante la matriz de interacción, el estudio preliminar
para determinar la peligrosidad de las substancias en las posibles condiciones de
proceso (normales de operación y anómalas).
Mediante la matriz de interacción se han identificado lo siguiente:
1. La presencia de gas en la aspiración del aire del horno puede producir la formación
de una atmósfera explosiva.
2. La presencia de aire en el aceite térmico puede favorecer la inflamación de materia
combustible, especialmente si está recalentado.
3. La temperatura normal de calentamiento del aceite está por encima de su punto de
inflamación, y un exceso de temperatura provoca la descomposición del aceite.
EJEMPLO DE HAZOP
EJEMPLO DE HAZOP
EJEMPLO DE HAZOP
EJEMPLO DE HAZOP
El diagrama de flujo de la instalación presentado en la figura anterior, con la aplicación
de las recomendaciones de la tabla quedaría modificado de la manera siguiente .
 Se añade un actuador para bajo caudal de aceite (FSL) bloquea la entrada de
combustible en el horno (F‐1) y protege los tubos interiores de aceite del posible
aumento de temperatura.
 Al mismo tiempo por su posición ( ubicado en la impulsión de las bombas ) protege
a éstas de trabajar al vacío y las bloquea en caso de falta de aceite desde la
refinería o por taponamiento de las tuberías.
 El actuador FSL no interfiere en la función del actuador (PSL‐1) que por baja
presión en la impulsión de las bombas activa la bomba de reserva.
Se separa totalmente el sistema de regulación del horno del sistema protector para que
éste pueda bloquear la instalación en caso de fallo del primero. Las modificaciones de
la instrumentación del horno son:
 Se añade una válvula de corte en la línea de combustible independiente de la válvula
de control y se permite el bloqueo de los quemadores independientemente del
bucle de control que lo protege de cualquier fallo de éste último.
 Se modifica la localización del dispositivo de corte por baja presión del fuel gas,
localizándolo aguas debajo de la válvula de control del fuel gas con lo que se permite
aumentar el numero de hipótesis de fallo que queda protegido con este medidor.
EJEMPLO DE HAZOP
 Se añade un actuador para alta temperatura (TSH) a la salida de producto
independiente del TC‐1 ya existente, que protege al horno de un exceso de
combustible y de una falta significativa de aceite, y que bloquea la llegada del
 combustible a los quemadores.
 Se instala un sistema de comprobación del caudal a la entrada y salida que nos
permite detectar roturas de tubos en el interior del horno.
 Instalamos un sistema que nos permite activar el corte del fuel gas en situaciones
de corte de la alimentación del aceite al horno.
 Y por ultimo se instala un sistema de alarma de alta temperatura a la salida del
horno para evitar que se produzca el deterioro del aceite por sobrecalentamiento.
Estas modificaciones introducidas en el sistema de control y protección de la
instalación mejoran su seguridad. La mejora se dan por:
‐ La redundancia de señales de bloqueo de los quemadores del horno.
‐ El resultado de la separación de los dos sistemas. Así pues, el sistema protector
puede proteger la instalación de cualquier fallo que se produzca en cualquiera de los
elementos que integran el bucle de control (falta de señalización en los indicadores,
falta de señal en los transmisores, fallo en la apertura de las válvulas, etc. )
EJEMPLO DE HAZOP
REDUCCION DEL RIESGO II
En este punto daremos un vistazo a los modelos y explicaciones dadas para la reducción de riesgo
que se establecen en el estándar IEC.61508‐5 “Annex1:Risk Reduction and Safety Integrity ”
El estándar IEC61508‐5 explica que las capas de protección son efectivamente funciones
separadas de reducción de riesgo.
•Riesgo del EUC: indica el riesgo existente a un evento peligroso incluyendo el sistema de control
y los factores humanos.
•Riesgo Tolerable: Basado en lo que se considera aceptable a la sociedad por ejemplo
•Riesgo Residual: Es el riesgo remanente resultado posterior a la reducción de riesgos, en este
caso un sistema instrumentado de seguridad SIS u otra tecnología relacionada a la seguridad
puede ser tomado en cuenta.
REDUCCION DEL RIESGO II
TECNICAS DE REDUCCION DEL RIESGO
 A esta altura conocemos ya los peligros de nuestro proceso, las
consecuencias de los mismos y la probabilidad o frecuencia en la que podría
ocurrir.
 Necesitamos ahora responder las preguntas
El riesgo es tolerable?
Si no lo es…
En que medida necesitamos reducirlo?
Y si es necesario utilizar un Sistema instrumentado de seguridad.
 Las técnicas de reducción de riesgos mas utilizadas son:
Matriz de riesgo
Grafico de Riesgo
FTA
ETA
LOPA
MATRIZ DE RIESGO
 La matriz de riesgo grafica el producto cartesiano de los valores de

frecuencia o probabilidad y de consecuencia.
 En esta se definen áreas de riesgo, las cuales de identifican con colores
para destacar los niveles de riesgo inaceptable, tolerable y aceptable.
 Para cada nivel de consecuencia se indican los calores de probabilidad o
frecuencia resultantes de técnicas de análisis de riesgos como FTA y ETA
obteniéndose así un mapa de riesgos
MATRIZ DE RIESGO
MATRIZ DE RIESGO CALIBRADA A SIL
ESCALA DE CONSECUENCIAS
Consecuencia Criterio cualitativo
Personal: Multiples fatalidades y daños criticos
Publico: Potencial para Multiples fatalidades y daños criticos
4 Ambiente: Alivio no confinado con impacto ambiental grande
Propiedad: Perdida de planta y produccion que excede 100MUSD
Personal: Potecial para daños serios o una sola fatalidades
Pupico: Potencial para daños serios y una fatalidad
3 Ambiente: Alivio no confinado con impacto ambiental mediano
Personal: Severos daños que requieren cuidados médicos de emergencia
Publico: Potencial para daños severos y cuidados medicos de emergencia
2 Ambiente: Alivio no confinado con impacto ambiental pequeños
Propiedad: Perdida de planta y produccion que no supera 10MUSD
Personal: Requiere asistencia primaria
Publico: No existe impactos directos
1 Ambiente: Alivio confinado con impacto ambiental localozado
ESCALA DE FRECUENCIAS
Frecuencia Criterio cuantitativo
4 Mas de una vez cada 100 años
3 Entre una vez cada 100 años y una vez cada 1000 años
2 Entre una vez cada 1000años y una vez cada 10000años
1 Menor a una vez cada 10000 alos
USO DE MATRIZ DE RIESGO CON HAZOP
Desviacion Causa Consecuencia Salvaguarda C F SIL Recomendacion
3 2 2
Chequear el tiempo de respuesta del sensor de
Incremento de los LEL
componentes
Sensor de LEL
organicos volatiles que causa
Proporcionar Finales de carrera sobre la valvula
VOC en la corriente liberacion de la
de gas corriente de gas Proporcionar Alarm de bajo flujo
Valvula FVC‐001 abriendo la
Bajo Flujo abierta valvula.
parcialmente
Verificar los procedimientos
Potencial explosion
y el VOC es mayor a
Paneles de
Verificar si la valvula de alivio es la adecuada
LEL y el gas alcance alivio de sobre
el incinerador presion
GRAFICO DE RIESGO
El grafico de riesgo considera posibles consecuencias y su evolución en caso de
existir ciertas capas de protección para determinar el nivel de reducción de riesgos
que se requerirá en una SIF, de acurdo con la frecuencia con que el evento peligroso
hubiera podido presentarse ante la ausencia de esta.
ANALISIS DE CAPAS DE PROTECCION LOPA
 La metodología LOPA viene de Layer Of Protection Analysis y fue introducida en los

años 90.
 Es una técnica de valoración de riesgo y como una herramienta de análisis de
riesgo.
 Es una técnica semicuantitativa que utiliza categorías numéricas para estimas los
parámetros requeridos para calcular la reducción del riesgo necesario con
determinados criterios de aceptación.
 Ayuda a determinar la frecuencia de ocurrencia de un evento peligroso
 Es una versión modificada de ETA.
 Toma en cuenta solo las capas de protección
LOPA Y ETA
Reacción Control de Control de Válvula de

Exotermica Temperatura Alivio
Consecuencia Frecuencia
Presión
7e‐1 Temperatura controlada, presión normal
1.61e‐2
Impacto sobre la calidad del producto
2.3e‐2
7e‐1 Temperatura muy alta, presión controlada
4.83e‐3
Impacto sobre el producto y el equipamiento
3e‐1
9.4e‐1 Temperatura muy alta, presión muy alta
1.95e‐3
Impacto sobre equipamiento y alivio
3e‐1
6e‐2 Temperatura muy alta, presión muy alta
1.24e‐4
Explosión, fatalidades, daño al equipamiento,
daño al medio ambiente
LOPA Y ETA CON REDUCCION DE RIESGO

FIS ESD SIL 2 Consecuencia Frecuencia
Exotermica Temperatura Presión Alivio
1.61e‐2
2.3e‐2
4.83e‐3
3e‐1
9.96e‐1 Parada del proceso alivio del producto
2.06e‐3
Alivio de presión via activación de válvula FO
3e‐1
7.83e‐6
4e‐3 Impacto sobre equipamiento y alivio
Explosión, fatalidades, daño al equipamiento, 5e‐7
LOPA Y ETA

FIS ESD SIL 2 Consecuencia Frecuencia
Exotermica Temperatura Presión Alivio
1.61e‐2
2.3e‐2
4.83e‐3
3e‐1
9.96e‐1 Parada del proceso alivio del producto
2.06e‐3
Alivio de presión via activación de válvula FO
3e‐1
7.83e‐6
4e‐3 Impacto sobre equipamiento y alivio
Explosión, fatalidades, daño al equipamiento, 5e‐7
HAZOP Y LOPA
RESULTADOS DEL ANALISIS DE CAPAS DE PROTECCION LOPA
 Ventajas
Modelo mas preciso comparado con el Grafico de Riesgos o la matriz de riesgos
Puede considerar una cantidad ilimitada de capas de protección disponibles.
 Desventajas
Se incrementa las horas de trabajo
Permite jugar con los números dando por ejemplo mas o menos crédito a las
capas de protección.
Se debe prestar mucha atención a cual es realmente una IPL y cual no lo es.
Se debe prestar atención a las fallas de causa comun entre capas de protección.

Santa Cruz Bolivia
3. Consideraciones generales para el diseño de un SIS:
• Especificaciones de los requerimientos de la seguridad
• Ciclo de vida del diseño
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
Evaluación de los requerimientos del SIS
El ingeniero de instrumentación debe colaborar y apoyar al equipo de estudio de
peligros en tres temas claves, que son los siguientes:
 Conocer las cualidades del SIS
 Conocer que información se requiere para evaluar la factibilidad y el costo de una
posible solución basada en SIS para resolver el problema del riesgo.
 Proporcionar una guía para el diseño del probable SIS incluyendo sensores y
actuadores.
Generalmente las alarmas y enclavamientos pueden ser considerados como parte del
sistema básico de control
Evaluación de los requerimientos del SIS
Para evaluar la factibilidad del SIS el ingeniero de instrumentación requiere
información esencial sobre el SIS y la tecnología disponible.
Se sugiere la lista de verificación siguiente para tal efecto
 Tabla resumen de Peligros
 Árbol de fallas o lógica de eventos que llevan a un peligro
 Frecuencia de riesgo del sistema sin protección
 Frecuencia de riesgo tolerable
 Capas de protección
 Estado seguro del proceso
 Acciones requeridas para el SIS de manera de llevar el proceso a un estado seguro
 Tiempo seguro de proceso
 Frecuencia tolerable de paradas inesperadas (spurious trips)
Desarrollando especificaciones de los requerimientos de seguridad
 Esta tarea es sencilla dado que tanto la IEC como ISA tienen los mismos contenidos
sobre las SRS muy claramente.
 Muchas compañías requieren desarrollar su propio formato estándar de
especificación para la especificación de los requerimientos de seguridad.
 Veremos partes de los componentes de las SRS mediante un check list que puede
ser utilizado para proporcionar un documento de especificación tipo proforma.
Componente de una SRS
Generalmente conviene estructurar la SRS en tres principales componentes como se
muestra seguidamente
 Entrada de información y requerimientos generales
 Requerimientos funcionales
 Requerimientos de Integridad de la seguridad
Sección de entrada de información
Esta sección debe
 Proporcionar información sobre el proceso y las condiciones de operación del
mismo
 Definir cualquier requerimiento regulatorio del país, ciudad, etc.
 Notificar consideraciones sobre fallas de causa común
 Listar todas las funciones de seguridad que se cubrirán en las SRS
Requerimientos funcionales de la SRS
Esta sección debe definir para cada función
 Los estados seguros del proceso
 Las principales condiciones de entradas
 La lógica
 Las acciones de salida para llevar el proceso a un estado seguro
 El tiempo de seguridad del proceso o velocidad de respuesta
Requerimientos de Integridad de la SRS
Esta sección debe definir los requerimientos de integridad para cada función
 LA reducción de riesgo requerido y el SIL
 La tasa de demanda esperada y el tipo de demanda (alta o baja demanda)
 Disparo a Energizar o des‐energizar
 Restricciones de disparo espurio
 Estrategia de prueba de calidad
 Condiciones ambientales
Desarrollo de la SRS
El objetivo de las especificaciones de los requerimientos de seguridad es capturar
toda la información necesaria para el diseño futuro y continuo soporte de la función
de seguridad. Existen dos versiones de SRS que pueden ser creadas durante la etapa
de desarrollo, estas son
 Requerimientos generales de seguridad
 Requerimientos de seguridad del SIS
En el estándar IEC61508 define las especificaciones de requerimientos generales de
seguridad, este describe los requerimientos de reducción de riesgos generales de
seguridad incluyendo no‐SIS y funciones de protección externa. La fase de asignación
de seguridad asigna el trabajo de la reducción de riesgos a ambas capas de
protección tipo SIS y NO‐SIS para cada función de seguridad.
Los requerimientos de seguridad del SIS son definidos en la fase 9 sobre la base del
conocimiento de los requerimientos de todos los contribuyentes de reducción de
riesgo
Fase de realización de los requerimientos funcionales
Para completar detalladamente la especificación de los requerimientos de seguridad se requiere
desarrollar información a ingeniería para satisfacer los requerimientos solicitados en el estándar.
A continuación se indica la lista de requerimientos para las ESR del SIS que son tomados del
estándar ISA S84.01 clausula 5.3 (Normativa anterior a la 2010)
 Definir el estado seguro del proceso para cada evento
 Entradas de proceso y puntos de disparo
 Rango de operación normal
 Salidas de proceso y acciones
 Relaciones y funciones del resolvedor lógico
 Disparo a des‐energizar o a energizar
 Consideraciones de parada manual
 Acciones en caso de pérdida de alimentación de energía al SIS
 Tiempo de respuesta para cada falla
 Interface HMI
 Funciones de restablecimiento
Lista de verificación para un ESR
Es posible finalmente establecer una lista de verificación o un formato para el documento de la
ERS, normalmente las compañías de ingeniería desarrollan modelos de ERS para utilizarlos en sus
proyectos.
Estos modelos llevaran secciones cabecera definiendo exactamente números y descripciones para
una función de seguridad en particular; entonces para cada una de ellas existirá un documento
completo. Luego en la sección general se listará cada función de seguridad cubierta por el
documento.
En la IEC 61508 parte 2, se encuentra una detallada descripción de los puntos dados en la lista de
verificación (checklist) para la especificación del SIS. Las mismas son utilizadas en la primera parte
de la fase 9 del ciclo de vida de la seguridad y se fundamentan en el párrafo 7.2.3 del mismo
estándar Secciones Generales
Título y tema de la ERS
Especificación de Nro / Fecha / Nro de Revision / Autor
P&Ids
Lista de las funciones de seguridad requeridas
Matriz causa y efecto
Diagramas logicos
Hojas de datos del proceso
Referencias del reporte de estudio de peligros
Información del proceso
Consideraciones de causas de falla común en el proceso
Requerimientos regulatorios internacionales, nacionales y locales que impacten al SIS
Especificaciones derivadas de la asignación de requerimientos de seguridad y de la
planificación de la seguridad
Función Instrumentada de seguridad
 Una función instrumentada de seguridad inicialmente debe disponer de un nivel
de integridad SIL especifico, el cual es necesario para mantener la seguridad
funcional y la cual puede ser una función de un sistema de protección
instrumentado de seguridad o una función en un sistema de control
instrumentado de seguridad.
 Una Función instrumentada tiene cinco propiedades básica
Detección
Lógica
Actuación
Tiempo de ejecución
Nivel de integridad de la seguridad SIL
Tipos de Función Instrumentada de seguridad
La norma IEC‐61511 establece la ruta para la selección de las funciones instrumentadas
de seguridad y las mismas.
Las funciones instrumentadas de seguridad son clasificadas en dos categorías de modo
continuo y las que operan bajo demanda
Modo Continuo
Cuando en el evento de una falla peligrosa en la función instrumentada de seguridad
exista precisamente en ese momento o posterior un evento peligroso y este puede
ocurrir sin necesidad que se presente un fallo a menos que se tomen medidas para
prevenirlo.
Modo de Demanda
Accion especifica la cual se toma en respuesta a las condiciones de proceso o de otras
demandas. En el caso de una falla peligrosa de la función instrumentada de seguridad
o de BPCS dado un peligro potencial del proceso.
Los Sistemas instrumentados que opera en forma continua son evaluados
calculando la frecuencia con la que son utilizados y los sistemas que operan bajo
demanda son evaluados calculando la probabilidad de falla sobre demanda
Sub‐función 1: Perdida de fluido refrigerante
El proceso que alimenta al reactor debe detenerse automáticamente si se detecta perdida de
flujo de líquido refrigerante, esto se debe realizar por un resolvedor lógico que debe leer la señal
de flujo FT‐02, entonces mediante comparación verifica si es menor a un valor especificado
denominado FSL‐02. LA alimentación al proceso se cierra por medio de la válvula FV‐01, la misma
que es accionada liberando el aire de alimentación (o también aire de instrumentación).
Paralelamente se activan dos temporizadores T1 y T2. El tiempo de referencia para T1 es de 30
[seg] y activa paro a la bomba P1. Por otro lado el tiempo de referencia para T2 es de 2[min] y
una vez cumplido este tiempo se deberá abrir la válvula de venteo PV‐02 del reactor.
Sub‐función 2: Evento de alta presión
Si el interruptor de presión PSH‐02 detecta alta presión en el reactor, entonces la válvula de
venteo PV‐02 debe abrirse inmediatamente y la alimentación al proceso debe detenerse como la
sub‐función 2.
Sub‐función 3: Parada manual de emergencia o perdida de servicios
Las sub‐funciones 1 y 2 también pueden ser iniciadas de forma manual a solicitud del operador
por medio de la llave de parada de emergencia HS‐01. En el evento de perdida de aire de
instrumentación o perdida alimentación de aire deben dispararse las válvulas FV‐01 y PV‐02 y
deberán aliviar inmediatamente, además la bomba P1 también debe detenerse.
DISEÑO DEL SISTEMA INSTRUMENTADO DE SEGURIDAD
Clasificación y reducción de riesgos

En este punto daremos un vistazo a los modelos y explicaciones dadas para la
reducción de riesgo que se establecen en el estándar IEC.61508‐5 “Annex1:Risk
Reduction and Safety Integrity ”
El estándar IEC61508‐5 explica que las capas de protección son efectivamente

funciones separadas de reducción de riesgo, este modelo se muestra en la figura 2.14
Según IEC61508‐5‐A.5.1 los riesgos indicados en la figura 2.14 están definidos como:
 Riesgo del EUC: indica el riesgo existente a un evento peligroso incluyendo el
sistema de control y los factores humanos.
 Riesgo Tolerable: Basado en lo que se considera aceptable a la sociedad por
ejemplo
 Riesgo Residual: Es el riesgo remanente resultado posterior a la reducción de
riesgos, en este caso un sistema instrumentado de seguridad SIS u otra tecnología
relacionada a la seguridad puede ser tomado en cuenta.

Uno de los problemas iniciales es que el riesgo no tiene unidades como voltios o
metros, ni tampoco tienen una escala universal; esto nos indica que lo permitido en
un tipo de industria puede no ser en otra.
Afortunadamente el método de cálculo es generalmente consistente y es posible
llegar a una escala razonable de valores para una industria en particular.
La IEC como resultado sugiere utilizar un sistema de clasificación de riesgos que es
adaptable a muchas situaciones seguras.
Como referencia ver el anexo C dela IEC61508‐5 tabla C.1 la cual proporciona tablas de
clasificación

La tabla de clasificación de riesgo se utiliza de la siguiente manera
 Determinar el elemento frecuencia del riesgo de EUC sin considerar la adición de
ninguna característica de protección Fnp
 Determinar la consecuencia C sin adicionar ninguna característica de protección
 Determinar mediante el uso de la tabla C.1 de IEC61508‐5 Anexo C si la frecuencia
y consecuencia determinada se logra como resultado un nivel de tolerancia
aceptable.
Si el resultado del uso de la tabla C.1 conduce a un riesgo Clase I, entonces se requiere
aplicar alguna capa de protección para la reducción del riesgo. En general los riesgos
clase III y IV se consideran tolerables, el riesgo clase II requiere de estudio e
investigación.
La tabla C.1 es utilizada para verificar si es o no necesaria una medida de reducción de
riesgo, dado que puede ser posible llegar al riesgo tolerable sin necesidad de adicionar
alguna característica protectiva.
En la práctica la tabla C.1 es genérica y se adapta según el tipo de industria, esto en el

entendido de que cualquier industria puede insertar campos en la tabla y establecer
sus normar aceptables.
Por ejemplo tenemos la siguiente tabla clasificación de riesgos establecida en una
industria química:
Consecuencia Catastrofica Critica Marginal Despreciable

Frecuencia  1 muerte 1 muerto o Daño menor Perdida de prod
daño
1 cada año I I I II
1 cada 5 años I I II III
1 cada 50 años I II III III
1 cada 500 años II III III IV
1 cada 5000 III III IV IV
años
1 cada 50000 IV IV IV IV
años
Este tipo de tabla se conoce como matriz de riesgo y muchas compañías tienen
generada su propia versión para direccionar su gerenciamiento de riesgos con su
organización. Para escribir una escala numérica en la frecuencia y la consecuencia
cada peligro puede ser evaluado y ubicado dentro de la matriz con un valor de riesgo.
Consecuencia
Frecuencia Menor: 1 Significante: 3 Mayor: 6 Catastrofico: 10
Frecuente: 10 6 10 60 100
Probable: 8 8 24 48 80
Posible: 4 4 12 24 40
Improbable:2 2 9 12 20
Remoto: 1 1 3 6 10

Asumiendo que se tienen una medida riesgo, vamos a tratar de reducir el riesgo del EUC a un
riesgo tolerable, para ello hacemos uso de la tabla 2.4 que nos indica que la reducción de
riesgo de un clase 1 a una clase III para una consecuencia critica tal como una muerte,
necesitamos reducir la frecuencia de 1 por año ) a por lo menos 1 cada 500 años (esta
reducción en frecuencia o riesgo está dado en términos de R donde
Ft 0.02
R   0.02
Fnp 1
Modelo Básico de Reducción de Riesgo
Este tipo de diagrama es llamado modelo de reducción de riesgo y es un método
poderoso para mostrar en detalle la reducción de riesgo para cualquier aplicación.
Riesgo Sin proteccion Riesgo Residual
Reduccion de Reduccion de Reduccion de
Riesgo de la Riesgo de la Riesgo de la
Capa 1 Capa 2 Capa 3
Capas de proteccion
Ecuaciones y terminología para la Reducción de Riesgos

Vamos a definir a continuación los términos utilizados para la reducción de riesgos
Factor de Reducción de Riesgo
A menudo es mas conveniente hablas en términos del factor de reducción de riesgos que
está dado por:
Fnp Ft  Frecuencia del Risgo Tolerable
FRR 
Ft Fnp  Frecuencia del Risgo sin protección
1 Ft 0.02
FRR  R   0.02
R Fnp 1
Introducción a la Probabilidad de promedio de falla en demanda

La probabilidad promedio de falla PFDavg para desempeñar una función diseñada
bajo demanda (para un modo de operación de baja demanda); es importante ser claro
con el concepto de probabilidad de falla en demanda, la figura ilustra este principio
El valor deseado de la frecuencia de riesgo del sistema con medida de protección Fp es igual a
la frecuencia de riesgo del EUC sin protección Fnp por la probabilidad promedio de falla en
demanda PFDavg .
Un nombre alternativo para la PFDavg es la fracción de tiempo muerto o FDT, tomando en
cuenta que es el tiempo en el que sistema se encuentra fuera de servicio. Por ejemplo, si el SIS
debe reducir una tasa de accidentes por un factor de 100, este no debe fallar más que una vez
cada 100 demandas, en este caso se requiere que PFDavg=0.01, que relaciona la tasa de falla;
pero no es lo mismo como lo veremos más adelante. También se cumple
1 F
PFDavg   R  t
RRF Fnp
Para el ejemplo estudiado anteriormente, el factor de reducción de riesgo FRR=500 entonces
tenemos que:
1 1
PFDavg    0.002
RRF 500
Ahora tenemos que revisar el caso de baja demanda versus alta demanda del SIS;
cuando el sistema es de baja demanda como una vez por año, la PFDavg sirve como
medida de reducción de riesgo que se puede esperar del sistema de seguridad.
En el caso de que la demanda sea alta es decir más de una vez por año o tipo
continuo , el estándar IEC recomienda utilizar el término de probabilidad de falla
peligrosa por hora conocido como tasa de falla peligrosa por hora.
Esta medida es aproximadamente lo mismo que la PFDavg cuando se toma como
periodo un año, pero es aplicado cuando hay un chance mínimo de hallar un falla
después de la siguiente demanda.
Concepto de Nivel de integridad de Seguridad (SIL = Safety Integrity Level )
Ahora la gran pregunta es:

¿Cuándo se debe utilizar un SIS y que tan bueno debe ser?
La respuesta:
Depende de la cantidad de la reducción de riesgo que se requiere posterior a la reducción de

riesgos realizada por otros dispositivos. La medida de la cantidad de reducción de riesgo
proporcionada por un sistema de seguridad es denominado: seguridad integra y se ilustra en el
siguiente diagrama del estándar IEC‐61508
Con el fin de obtener una escala del desempeño seguro, por practica se ha adoptado el concepto
de nivel de integridad de seguridad (safety integrity level = SIL), los cuales se derivan de
conceptos anteriores de clasificación de sistema de seguridad.
El principio es ilustrado en la siguiente figura donde la capa de protección proporcionada por un

SIS se ve que es cuantificada como un factor de reducción de riesgo, el cual puede convertir a una
probabilidad de falla en demanda promedio PFDavg a una clasificación referenciada como un
nivel de integridad de seguridad SIL.
Riesgo del Equipo Reduccion de Reduccion de Reduccion de

bajo Control EUC Riesgo Riesgo Riesgo Riesgo Residual
mediante mediante un medainte
Otras Capsa SIS Capas
de proteccion Externas
TABLA SIL
Esencialmente la tabla SIL proporciona una clase de integridad de seguridad para satisfacer un
rango de valores de la probabilidad de falla en demanda promedio PFDavg. Por lo tanto el nivel
de desempeño del sistema instrumentado necesario para satisfacer el SIL es divido entre un
número muy pequeño de las categorías o niveles. El estándar IEC‐61508‐1 (pag 33) proporciona
la tabla en cuestión.
El presente ejemplo supone que la planta de proceso tiene un calentador piro tubular a gas de
un gran tamaño. Un estudio de peligros ha identificado que la cámara de combustión podría
explotar si existe acumulación de gas no quemado y aire posterior a la perdida de llama en el
mismo. Este evento podría ocurrir cuando no se corta el gas combustible una vez detectado la
perdida de llama.
La perdida de llama tiene como probabilidad que ocurra 2 veces al año y la probabilidad que
exista una explosión es 0,25 al año.
Por otro lado se desea que el riesgo se reduzca de tal modo que el evento no deseado sea
tolerable como 1 vez cada 5000 años.
Los controladores de los quemadores estarán equipados de un sensor de perdida de llama el

cual dispara un enclavamiento principal el cual cierra la alimentación de gas principal y piloto al
mismo. Esta función está separada del sistema de control de tiempo de purga.
El sistema de protección de falta de llama está claramente reconocido como un sistema de

seguridad funcional y el problema es determinar el SIL apropiado para los equipos.
Diseño de funciones instrumentadas de seguridad (SIF)
La especificacion de requisitos de seguridad forma la base de diseno de las funciones
instrumentadas de seguridad y permite al equipo de diseno traducir la funcionalidad
en documentos de diseno como, por ejemplo, una especificacion de diseno funcional.
Asi, la especificacion de diseno funcional debe contener todos los requisitos
funcionales y de integridad necesarios para el diseno del sistema instrumentado de
seguridad.
Es importante que la documentacion del diseno incluya lo siguiente:
• Requisitos de comportamiento del sistema al detectar un fallo [13.2];
• Tolerancia a fallos de hardware [13.3];
• Seleccion de componentes y de subsistemas [13.4];
• Dispositivos de campo [13.5];
• Interfaces del operario, de mantenimiento y de comunicacion con el sistema
instrumentado de seguridad (SIS) [13.6];
• Requisitos de diseno relativos al mantenimiento o a las pruebas [13.7];
• Probabilidad de fallo de las funciones instrumentadas de seguridad (SIF) [13.8];
• Software de aplicacion [13.9].
DISEÑO DE HARDWARE

Santa Cruz Bolivia
4. DISEÑO DE HARDWARE
TIPOS DE FALLA SEGURA Y PELIGROSA
4. Diseño de Hardware:
• Tipos de Falla segura y peligrosa
• Diseño seguro falla a des‐energiza y falla a Energizar
• Modo baja de manda y modo Alta demanda
• Fracion de falla segura (Safe Failure Fraction)
• Diagnósticos
• Proof Test
• FMEA
• Modelo de Markov
Tipos de fallas un sistema de seguridad
Existen tres categorías de fallas:
 Falla aleatoria de hardware
 Fallas de causa común de hardware
 Fallas sistemáticas
Como ejemplo de una falla aleatoria de hardware podemos tomar el caso de una
válvula la cual ha estado operando por diez años y de repente falla y se queda
abierta, esta falla puede ocurrir en cualquier momento.
 Falla aleatoria de hardware
Como ejemplo de una falla aleatoria de hardware podemos tomar el caso de una
válvula la cual ha estado operando por diez años y de repente falla y se queda
abierta, esta falla puede ocurrir en cualquier momento.
 Fallas de causa común de hardware
Una falla de causa común solo puede ocurrir cuando tenemos redundancia, en otras
palabras por ejemplo: dos válvulas conectadas en serie pero hay una falla que hace
que ambas válvula fallen al mismo tiempo. Sin embargo hay que tomar especial
atención cuando se habla de fallas de causa común siempre nos referimos al entorno,
de esta forma que la causa común pueda ser algo como una inundación, descarga
atmosférica, terremotos o humedad y son factores que hacen que todo el
equipamiento falle exactamente al mismo tiempo
 Fallas sistematicas
En cuestiones de seguridad la categoría mas importante es la de fallas sistemáticas, ya
que pueden aparecer en cualquier momento y en cualquier parte del ciclo de vida de
la seguridad y puede estar relacionada con el hardware o puede estar relacionada al
software, puede ser parte de la documentación, puede ser parte de un
procedimiento y finalmente es lo que la hace tan difícil de manejar, ya que con el fin
de poder evitar las fallas sistemáticas necesitamos tomar medidas para realmente no
cometer errores.
En otras palabras a fin de poder conseguir un sistema que sea 100% seguro
funcionalmente necesitamos estar seguros de que cuando diseñamos el sistema de
seguridad:
Tenemos el 100% de las fallas aleatorias, de las fallas de causa común y de
las fallas sistemáticas bajo de control
En realidad el tener un sistema que se 100% seguro funcionalmente hablando será el
esfuerzo que debemos hacer para que esas fallas estén bajo control.
Modos de Falla de un sistema de seguridad
Ahora sabemos que los sistemas de seguridad pueden fallar, pero hay dos modos
de falla que son de particular importancia, entonces cuando un sistema de
seguridad falle sea por falla aleatoria de hardware o por falla de causa común o
por una falla sistemática esto pondrá al sistema de seguridad en uno de estos
modos de falla:
 Falla segura
 Falla peligrosa
El modo de falla peligroso es el más importante desde el punto de vista de las
normas, ya que si un sistema de seguridad no puede ejecutar la función de
seguridad ante una demanda, entonces significa que tiene una falla peligrosa. En
nuestra industria esto se expresa como el nivel de integridad de la seguridad
(Safety integrity level) o también nivel SIL.
Modos de Falla peligroso
Modo de falla segura
Un sistema de seguridad falla en forma segura cuando ejecuta la función de
seguridad sin que haya una demanda real desde el proceso, es decir que el
proceso estaba produciendo sin problemas pero una falla interna del sistema de
seguridad provocó el disparo de la función de seguridad y detuvo el proceso. Claro
está que el usuario no desea tal situación, ya que cuando ocurra se pierde
producción. Un a falla segura se expresa como el nivel de disparo espurio STL
(Spurius Trip Level), que es un concepto introducido por Risknowlogy.
Modos de Falla peligroso
Modo de falla segura
Un sistema de seguridad falla en forma segura cuando ejecuta la función de
seguridad sin que haya una demanda real desde el proceso, es decir que el
proceso estaba produciendo sin problemas pero una falla interna del sistema de
seguridad provocó el disparo de la función de seguridad y detuvo el proceso. Claro
está que el usuario no desea tal situación, ya que cuando ocurra se pierde
producción. Un a falla segura se expresa como el nivel de disparo espurio STL
(Spurius Trip Level), que es un concepto introducido por Risknowlogy.
DISEÑO SEGURO DE FALLA A DESENERGIZAR Y FALLA A ENERGIZAR
Des‐energizar para disparar
Un sistema de seguridad tipo des‐energizar para disparar no necesita de energía para
ejecutar la función de seguridad y generalmente llamamos a este un diseño “falla
seguro”, es decir quitamos energía, cortamos la corriente eléctrica y la función de
seguridad se ejecuta inmediatamente.
 PLC’s de seguridad
 un actuador con retorno a resorte
 relay de seguridad
Energizar para disparar
En cambio “energizar” para disparar es exactamente lo contrario en este caso
necesitamos energía para ejecutar la función de seguridad, por supuesto no es un
diseño “falla seguro” ya que es mucho más difícil garantizar la energía que removerla.
 sistema de extinción (sprinkler)
 sistema de fuego y gas,
MODO BAJA DEMANDA Y MODO ALTA DEMANDA
Funciones de seguridad de “baja demanda” o “alta demanda”
Es un concepto que existe en la norma IEC‐61508, una función de seguridad es de baja
demanda si esta ocurre menos de una vez por año y ocurre menos de dos veces en el
intervalo de pruebas periódicas.
Por otro lado una función es de ata demanda se esta demanda ocurre más de una vez
por año u ocurre más de dos veces en el intervalo entre las pruebas periódicas.
Funciones de Modo continuo y modo demanda
El mismo concepto existe en la norma IEC‐61511 pero en esta se le llama de forma
diferente “modo demanda” y “modo continuo” que es de similar concepto pero en
esta última está mejor explicado.
En la IEC‐61511 se llama función de “modo demanda” a una función que cuando ella
misma falla no tiene un efecto inmediato en el proceso, lo que significa que el
proceso en si estará en peligro si la función de seguridad a fallado y aparece una
demanda, esto es muy importante de entender, es decir en tanto no ocurra una
demanda el proceso en si no está en peligro.
Por otro lado la función de “modo continuo” se comporta de manera muy diferente,
una falla del sistema de seguridad por si misma tiene un efecto inmediato en el
proceso, en otras palabras, el proceso está en peligro por la función de seguridad en
si ha fallado en forma peligrosa.
Tomemos dos ejemplo:
Vamos a suponer que se dispone de una válvula de parada de emergencia de cierre
ESDV, la cual en condiciones normales de proceso, esta válvula esta abierta.
Si esta válvula falla quedándose abierta el proceso no estará en peligro porque esta
opera abierta, ahora el proceso estará en peligro cuando se quiera cerrar esta válvula
al existir una demanda o solicitud de parada de emergencia. Así que primero
necesitamos tener una demanda y recién entonces estaremos en peligro.
Con la función en “modo continuo” sucede todo lo contrario, suponga que se tiene
una válvula de control que necesitamos que este abierta en el arranque de la
secuencia exactamente en un 40%, ahora bien después de muchos arranques
seguramente esta válvula fallará quedando totalmente abierta esto afectará
inmediatamente al proceso por lo cual llamamos a esta función una función de “modo
continuo”
Tiene que prestar atención a lo siguiente:
 Se ha encontrado usuarios en la industria de procesos que solicitaban la compra
de un sistema de seguridad de alta demanda porque ello tenían demasiadas
demandas en el proceso, sin embargo esa no es la forma en que esto trabaja,
usted deberá analizar casa una de las demandas para conocer el motivo de cada
una de estas y verá que a menudo es un mal sistema de control es que causa esta
alta tasa de demandas.
 Entonces no existe razón para la comprar de un sistema de alta demanda, lo que
debería hacer es analizar verificando sus procedimientos, manuales de operación y
tratar de resolver el problema. En la industria de procesos la mayor parde del
tiempo usted tendrá funciones de baja demanda.
Probabilidad de Falla
 Ahora bien, para cada función de seguridad necesitamos entender cuán a menudo
esta función falla, las normas IEC‐61508 y IEC‐61511 están particularmente
interesadas en la probabilidad de falla en demanda.
Probabilidad de falla en demanda PFD avg
 La probabilidad de falla en demanda PFD es una medida de cúan a menudo la
función de seguridad no trabaja cuando tenemos una demanda desde el proceso y
este es un requerimiento de las normas.
 Ahora los usuarios también están interesados en entender cuán a menudo la
función de seguridad se ejecuta sin que haya una demanda desde el proceso
porque esto dispara la función de seguridad y detiene la producción y esto se
expresa como la probabilidad de falla segura.
 Este concepto no está en la norma, pero es un parámetro muy importante que
usted como diseñador deberá entender cuando construya sistemas de seguridad
para estos usuarios.
 Si nuestra función es de “modo demanda” o en términos de la IEC‐61508 un
sistema de “baja demanda”, entonces se calcula la probabilidad de falla en
demanda, cuanto mas bajo sea el nivel SIL mayor será la frecuencia con el
sistema de seguridad o la función de seguridad podrá fallar, de forma practica
entonces es mas difícil de control un sistema de SIL 4 que uno de SIL 1.
 Por otro lado hablamos de operación en “modo continuo” o de “alta demanda”
según la IEC‐61508 y para este caso no se calcula la probabilidad de falla en
demanda por el contrario se calcula la probabilidad de falla por hora PFH y en la
tabla se puede ver la diferencia entre PFD y PFH donde verá un factor de relación
de 10000 entre cada uno de estos valores, esto se debe a que un año tiene 8760
horas.
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Conceptos fundamentales de hardware
Vamos a considerar los siguientes conceptos de diseño:
 Redundancia y diversidad
 Votación y tolerancia a falla de hardware
 Subsistemas tipo A y tipo B
 Modos de falla
 Falla detectadas o fallas reveladas
 Fracción de falla segura
 Restricciones de Arquitectura
Redundancia y diversidad
Redundancia es el uso de medios idénticos para conseguir la misma (o parte de la
misma) función de seguridad.
Por ejemplo, usted puede tener una sección de detección redundante mientras que el
resto de la función puede ser simple.
La redundancia puede conseguirse de diferentes formas, usted puede hacer el
hardware redundante o puede hacer el software redundante, inclusive puede
proporcionar una solución diversa que sea redundante.
Sin embargo hay que tomar especial atención a esto, ya que, sólo porque haya
implementado redundancia esto no significa que esto le ayude contra las fallas de
cauda común del hardware y con toda seguridad no le ayuda contra las fallas
sistemáticas.
Veamos algunos ejemplos:
Aquí ve usted dos sensores, dos válvulas , en ambos casos cada elemento cumple una
función que el otro dispositivo también lo hace, este es un ejemplo típico de
redundancia que ve en la industria.
Junto con la redundancia siempre se aborda el concepto de diversidad, la cual se
define como el uso de diferentes medios para desempeñar la misma (o parte de la
misma) función de seguridad.
Podemos conseguir diversidad de diferentes formas, podemos hacerlo por diferentes
métodos físicos o por diferentes filosofías de diseño, pero nuevamente preste
atención en lo siguiente, por solo el hecho de haber implementado diversidad no
significa que hayamos resuelto todos los problemas. La diversidad es una medida
contra las fallas de causa común y una medida contra las fallas sistemáticas, pero no
le ayuda necesariamente control todas las fallas de causa común y sistemáticas
Ejemplo: Si diseña un sistema que necesita ser a prueba de agua y adquiere dos sensores de
diferentes fabricantes estos gozan de la capacidad de diversidad, sin embargo si estos no son a
prueba de agua entonces no resolvió el problema de fallas de causa común.
Vemos entonces dos sensores que son de diferente modelo desarrolladores por diferentes
fabricantes, también tenemos dos válvulas diferentes.
Ahora veamos una solución de diseño con diversidad, se desea detectar el nivel de un
tanque de almacenamiento de hidrocarburos, ahora por un lado lo hacemos con un
medidor de nivel LIT‐1300 analógico tipo radar y por otro lado lo hacemos con un
switch de nivel LSHH‐3101, entonces tenemos soluciones distintas y se resuelve el
problema de falla de causa común y se dispone de la diversidad. Sin embargo si el
transmisor de nivel fue instalado y no dispone de aislamiento dieléctrico puede fallar,
el solo hecho de haber omitido el aislamiento dieléctrico sugerido por el fabricante
ocasiona una falla sistemática
Votación
LA votación se define como el número de vías independientes “M” que se requieren
dentro del total de vías existentes “N” a fin de poder ejecutar la función de seguridad.
Se la expresa a menudo como votación MooN (M out of N) donde la “M” expresa la
votación y “N” la redundancia que tenemos para la función de seguridad. Por
ejemplo tenemos los siguientes casos:
 1oo2
 2oo2
 2oo3
 2oo4
Votación
La votación en un concepto muy simple pero a veces se necesita poner atención a
cómo trabaja realmente, para ello veamos un ejemplo.
Se dispone de un sistema que cuenta en un tramo de tubería de dos válvulas en serie
y son falla cierre (FC) o normalmente abiertas tal como lo muestra en la figura.
Este arreglo muestra una configuración 1oo2, lo que significa que si cualquiera que
falle interrumpe el flujo y no está disponible el proceso. Debe tomar en cuenta que
en este caso se utiliza un diseño de falla seguro entonces la función de seguridad es
“ante una demanda cerrar el tramo y evitar el flujo de líquido”. El solenoide de cada
válvula debe estar energizado de esta manera si alguno falla entonces la válvula se
cierra y el proceso va a su modo seguro cerrando el tramo
Votación
Ahora el mismo sistema pero con válvulas falla abre o normalmente cerradas, y
tienen una configuración 2oo2 lo que significa que tienen que falla 2 de las 2 para no
tener disponible el proceso. Este sistema es contrariamente al primero, ya que la
función de seguridad indica que cuando exista una demanda abrir el flujo. Si solo una
válvula se quedara cerrada la función de seguridad habrá fallado, en otras palabras
necesitamos las dos válvulas para abrir el flujo ante una demanda y ejecutar la
función de seguridad.
Votación
Tolerancia a Fallas de hardware HFT
Un sistema tiene una tolerancia a falla de hardware de valor “H” cuando “H+1” fallas
pueden causar la pérdida de la función de seguridad de ese sistema.
Esta HFT es fácil de calcula si usted saque la arquitectura de votación de su
subsistema. Entonces la HFT se define tomando en cuenta una votación MooN, como
la diferencia entre el número total de vías o caminos “N” menos la cantidad de vías o
caminos disponibles (M) para ejecutar la función de seguridad, matemáticamente
hablando se expresa como :
H = N – M;
Entonces la HFT de un subsistema con votación 2oo3 es:
H = 3 – 2 = 1 ;
Esto significa que desde el punto de vista de las fallas peligrosas, un sistema con
votación 2oo3 puede manejar hasta una falla peligrosa y cuando este tenga dos fallas
peligrosas el sistema de seguridad o el subsistema habrá fallado y no podrá ejecutar
su función de seguridad.
Tolerancia a Fallas de hardware HFT
Ejemplo Práctico:
Calcular la HFT para las siguientes arquitecturas de votación
Arquitectura Votación Redundancia HFT

1oo1 1
2oo2 2
1oo2 1
2oo3 2
1oo3 1
2oo4 2
Subsistemas tipo A y tipo B
El concepto de sistemas tipo Ay B sólo existe en la norma IEC‐61508 en la misma se
hace una diferencia entre cada uno.
Los sistemas “Tipo A” son los que llamamos sistemas simples, ahora un sistema
simple se clasifica como “tipo A” si todos sus modos de falla están bien definidas.
Pero esto no es suficiente a demás necesitamos entender tres conceptos, el primero
sobre el comportamiento en falla para cada uno de estos modos de falla, es decir que
necesitamos entender como el sistema puede fallar , el segundo cuando éste falla
que sucede a continuación y finalmente que datos suficientes del sistema. Los
sistemas “tipo A” son todos aquellos componentes como válvulas, solenoides, relays
y actuadores.
Subsistemas tipo A y tipo B
Ahora vamos con las tres condiciones para definir sistemas “tipo B” .
Primeramente sabemos que los “tipo A” tienen un modo de fallas y es conocido, en
caso de que exista mas modos de fallas y sean desconocidos entonces le llamamos
sistemas “tipo B”.
Por otro lado la segunda condición es que si conocemos el modo de falla del sistema
pero no sabemos cómo este modo de falla se manifiesta dentro del sistema entonces
necesitamos considerarlo como sistema “tipo B”.
Tercera condición en que si no tenemos suficientes datos de tasas de fallas, también
necesitamos considerarlo como un sistema tipo “B”.
En la practica significa que si un sistema tiene internamente un circuito integrado o
software puede estar 99.99% seguro que se un sistema “tipo B”. Así que algo que tiene
dentro software en un circuito integrado es un sistema “tipo B” según la norma IEC‐
61508
Modos de falla de un subsistema
Ahora bien, así como una función de seguridad puede fallar de dos formas segura y
peligrosa, que un subsistema falle en forma segura significa que el subsistema ejecuta
una función de seguridad sin que haya una demanda desde el proceso y en
consecuencia la función de seguridad produce el disparo de la misma llevando al
proceso a su modo seguro.
Por otro lado si un sistema puede fallas en forma segura también puede fallar en
forma peligrosa. El subsistema falla en forma peligrosa cuando no puede ejecutar la
función de seguridad ante una demanda.
La norma IEC‐61508 fue especialmente diseñada porque hoy en día tenemos
electrónica y electrónica programable por lo que para subsistemas tenemos además
de los modos de falla que analizar si una falla es detectable o no.
Se hace las preguntas siguientes ¿Podemos o no detectar esta falla del subsistemas?
¿Cuándo estamos en condiciones de hablar de detección?
Falla detectadas o fallas reveladas
Una falla se dice que es detectable si el diagnostico interno logra descubrirla, en
otras palabras podemos decir que tenemos una falla detectada si ésta puede ser
descubierta por el diagnostico interno. Pero en la realizad o en la práctica podemos
descubrir fallas de diferentes maneras y a continuación se lista las tres formas
obvias en la industria de procesos
 Por medio de la operación normal del proceso
 Por medio de pruebas periódicas
• Por medio de pruebas de diagnostico
Falla detectadas o fallas reveladas
Una falla se dice que es detectable si el diagnostico interno logra descubrirla, en
otras palabras podemos decir que tenemos una falla detectada si ésta puede ser
descubierta por el diagnostico interno. Pero en la realizad o en la práctica podemos
descubrir fallas de diferentes maneras y a continuación se lista las tres formas
obvias en la industria de procesos
 Por medio de la operación normal del proceso
 Por medio de pruebas periódicas
• Por medio de pruebas de diagnostico
Detección de fallas por medio de operación normal del proceso
 Esto significa que el comportamiento del proceso (en otras palabras la forma en
que la planta se comporta en si misma) nos revela de alguna forma que la falla ha
aparecido.
 Por ejemplo el proceso se detiene debido a una falla segura por un transmisor de
presión, el cual mide la presión de un tanque, entonces este estaba midiendo bien
hasta que por si mismo dio una señal de muy alta presión e hizo detener el
proceso, claro está que es una falla segura revelada por medio del
comportamiento del proceso.
 Otro ejemplo es que el tanque no se puede vaciar debido a una válvula de drenaje
que queda trabada en posición cerrada o es proceso batch o por lotes y cada
semana se debe vaciar el tanque, entonces el tanque no se puede evacuar porque
la válvula de drenaje quedo cerrada.
 Sin embargo esta forma de descubrir fallas no es muy útil porque generalmente es
demasiado tarde ya que se desea saber acerca de este tipo de fallas antes de que
el proceso se detenga.
 De esta manera descubrir fallas por medio del comportamiento del proceso es
posible pero no es la forma deseada en la industria
Pruebas Periódicas
Una prueba es periódica cuando ésta no es automática o cuando su frecuencia es
muy baja.
Las pruebas periódicas son iniciadas en la mayoría de los casos por personal de
operación o de mantenimiento, generalmente no están incorporadas en el sistema de
seguridad, al no ser parte del sistema de seguridad para una prueba periódica se
requiere equipamiento adicional para ejecutar una prueba periódica.
Un aprueba periódica puede ser por ejemplo: el operador inicia una prueba de cierre
parcial (partial stroke) en una válvula.
Nota.‐ Para el ejemplo, por solo el hecho de que la prueba fue iniciada por el
operador esta prueba es periódica.
Pruebas de diagnostico
Una prueba de diagnóstico se define como una prueba que se ejecuta
automáticamente y debe ser ejecutada con mayor frecuencia y los resultados de esta
prueba deben ser utilizados para descubrir fallas que pudieran no permitir que se
ejecute la función de seguridad.
Por ejemplo, tenemos:
 Prueba de memoria
 Prueba de CPU
 Prueba temporizador Watchdog
estas se ejecutan automáticamente con una frecuencia determinada para descubrir
fallas que pudieran no permitir la ejecución de una función de seguridad, es decir sus
resultados producen una acción automática.
Generalmente una prueba de diagnóstico suele estar incorporada o embebida en el
equipamiento
La frecuencia juega un rol muy importante en la definición de cuándo una prueba es
periódica o de diagnóstico.
Según la IEC‐61508, para que una prueba sea considerada “prueba de diagnóstico” la
frecuencia debe ser al menos un orden de magnitud (10 veces) menor que la
frecuencia esperada para la demanda.
Por ejemplo si la frecuencia esperada para la demanda es una vez por año y nosotros
actuamos automáticamente para probar una válvula una vez por mes esta prueba en
particular puede ser clasificada como una prueba de diagnostico
Al ser la demanda menor que una vez por año, entonces un orden de magnitud (en
este caso dividimos el año entre 10 que aproximadamente da como 1 mes) y porque
es automática esta es una prueba de diagnóstico.
Sin embargo la misma prueba automatizada ejecutada cada dos meses sería una
prueba periódica porque la frecuencia en muy baja.
Cualquier dispositivo que encontraremos en la industria tiene una cierta tasa de fallos
expresada muchas veces como “Tiempo medio para falla” MTTF, también expresado
a veces en unidades de falla en el tiempo FIT, por lo tanto se puede afirmar que cada
dispositivo tiene una tasa global de fallas como se muestra en la figura:
Tasa global de
fallas del Seguras Peligrosas
comonente o
dispositivo
Sin embargo, a nosotros no nos interesa solo en la tasa global de fallas, ya que
quisiéramos saber cuantas de estas fallas con seguras y cuantas son peligrosa
Ahora bien, la norma IEC‐61508 se refiere a las fallas peligrosas no detectadas, como
a las que se tiene que poner todo el esfuerzo para reducirlas, es decir que las fallas
peligrosas no detectadas existan en menor cantidad posible.
Fallas
Fallas Seguras No
Prueba Periodica Falla segura no detectada SU Peligrosas No Detectadas
Detectadas
Seguro
Prueba de diagnostico Falla segura detectada SD

Dispositivo
Fallas Fallas
Prueba Periodica Falla peligrosa no detectada DU Peligrosas Seguras
Detectadas Detectadas
Peligroso
Prueba de diagnostico Falla peligrosa detectada DD

Fracción de falla segura
Se preguntaran por qué se hace este análisis acerca las fallas que sean detectables y
no detectables, pues bien la razón es que la norma hace referencia a un término muy
importante a nivel de hardware el cual se denomina Fracción de falla segura o SFF.
Este término es una medida de la efectividad del diseño falla seguro y/o del
autodiagnóstico.
Así que cada dispositivo tiene una fracción de falla segura SFF y esta nos dice algo
acerca de su diseño:
 Diseño para Falla a modo seguro
 Falla a modo seguro
 Tiene un diseño con bastante diagnostico
y son características muy requeridas en los dispositivos relacionados con la seguridad
funcional.
Fracción de falla segura
Se debe hacer notar que La fracción de falla segura es un parámetro de diseño y no
un parámetro operativo, lo que significa que este parámetro debe ser utilizado en la
etapa de diseño de la función de seguridad aplicado al dispositivo. Una vez que la
función de seguridad ha sido implementada este parámetro no juega ningún rol.
La expresión matemática de definición de la fracción de falla segura es:
SD  SU  DD

SFF 
SD  SU  DD  DU
Restricciones de Arquitectura
Cuando se trata del usuario final, el mismo que tiene definido una determinada
función de seguridad y que esta debe alcanzar un nivel de integridad SIL‐3, entonces
es claro que la función debe ser al menos SIL‐3. Es necesario para este caso elegir
dispositivos que realmente alcanzar este nivel de integridad. Veamos la tabla muy
utilizada que hace referencia a la tolerancia a fallas de hardware HFT (hardware fail
tolerance) la cual relaciona la redundancia con la fracción de falla segura SFF de tal
manera de llegar a obtener un nivel de integridad de la seguridad SIL deseado.
TIPO A TIPO B
SFF HFT HFT
0 1 2 0 1 2
SFF<60 SIL 1 SIL 2 SIL 3 NA SIL 1 SIL 2
60≤ SFF<90 SIL 2 SIL 3 SIL 4 SIL 1 SIL 2 SIL 3
90≤ SFF<99 SIL 3 SIL 4 SIL 4 SIL 2 SIL 3 SIL 4
99< SFF SIL 3 SIL 4 SIL 4 SIL 3 SIL 4 SIL 4
Si usted es un diseñador de productos y desea posicionar sus dispositivos en el
mercado, entonces necesita informarle qué valor tiene la fracción de falla segura SFF
de su dispositivo.
Suponiendo que desarrolla un relay de seguridad, este dispositivo por sus
características es un componente tipo A, si desea que este relay de seguridad pueda
alcanzar operar en un nivel SIL‐3, entonces necesita construir dicho equipamiento
siguiendo la tabla anterior con una 90%˃SFF˃99%.
Sin embargo un relay no tiene autodiagnóstico interno por lo que no dispone de valor
SFF, lo que quiere decir que la SFF<60% y para llegar a SIL‐3 con un relay, utilizando
nuevamente la tabla para un dispositvo tipo A cuyo SFF<60% requiere ser construido
bajo HFT=2; finalmente este relay debe ser construido de tal manera que
internamente disponga de una arquitectura de redundancia y votación de 1oo3 por
ejemplo. ΔΔ
Desde el punto de vista del hardware, la tabla de restricciones de arquitectura, le
permite combinar dispositivos para obtener un mayor nivel SIL, cuando integra dos
dispositivos tipo B aptos para SIL‐2 con una SFF˃90%, ¿cuál sería el nivel SIL de este
nuevo subsistema? , ¿ es SIL‐3?
Resp. La tabla solo refleja las fallas aleatorias del hardware, tal como vimos
anteriormente una función de seguridad puede fallar también por fallas sistemáticas,
entonces al disponer de componentes tipo B, existe software embebido en su interior
y el software solo presenta fallas sistemáticas, lo que quiere decir es que so deseamos
desarrollar un subsistema mediante un arreglo que alcance el nivel SIL‐3 necesitamos
estar seguros de que el software y el hardware sean aptos para el nivel SIL‐3, dicho de
forma general, combinar dos dispositivos para obtener un nivel SIL más alto, solo sería
posible si el software fue también desarrollado con el nivel SIL mas alto; para nuestro
caso la respuesta es que no será posible bajo las condiciones indicadas el desarrollo de
un subsistema que alcance el nivel SIL‐3.
Así como sucede con la IEC‐61508, la norma IEC‐61511 Parte I clausula 11.4 también
tiene tablas 5 y 6 de restricciones de arquitectura, pero en la IEC‐61511 no se hace
diferencia entre componentes tipo A y tipo B, esta tiene dos tablas: para dispositivos
o subsistemas resolvedores lógicos basados en controladores electrónicos
programables y para otros subsistemas.
RESOLVEDORES LOGICOS EP OTROS SUBSISTEMAS
HFT MINIMA
SIL SIL HFT MINIMA
SFF<60 60≤ SFF<90 90≤ SFF
1 1 0 0 1 0
2 2 1 0 2 1
3 3 2 1 3 2
4 VER REQ. IEC 61508 4 VER REQ. IEC 61508
Entonces, para poder alcanzar a un nivel SIL‐3 para el subsistema resolvedor lógico se
requiere mínimamente una arquitectura con HFT 1, la cual podría ser 1oo2 por
ejemplo, sin embargo la SFF del mismo debe ser mayor app 90%.
En la práctica este tipo arquitectura para resolvedores lógicos tipo PLC de seguridad
es alcanzable pues con los últimos avances de la electrónica y el software embebido
los fabricantes superan el valor de SFF mayor a 90%.
Para el caso de subsistemas diferentes a los resolvedores lógicos, tales como de
sensado utilizan la segunda tabla la misma que es mucho más sencilla de utilizar. Por
ejemplo si se requiere un subsistema de sensado SIL 3, entonces este debe tener una
HFT=2, lo cual puede ser cubierto con una arquitectura 1oo3 o 2oo4 por ejemplo.
Como se puede ver el tema de restricciones de hardware mediante la IEC‐61511
implica mucha redundancia, sin embargo existen reglas para reducir la exigencia de la
HFT de manera de disponer subsistemas más reducidos tal como lo indica en la
cláusula 11.5.3 denominado Requerimientos para la selección de componentes y
subsistemas probados en uso. Es posible reducir la HFT en 1 nivel, si aplican al caso
las siguientes condiciones:
 Que el mismo dispositivo sea seleccionado sobre la base del concepto “probado
en uso”
 Cuando por medio de este dispositivo solo pueda ajustarse parámetros del
proceso.
 Cuando este ajuste de parámetros de proceso esté protegido de alguna forma.
 Cuando la función de seguridad a implementar requiera un nivel menor a SIL‐4.
INTRODUCCION A LA CONFIABILIDAD
Definiciones
Para facilitar la comprensión a continuación figura una lista abreviada de términos clave junto
con sus definiciones correspondientes. En muchos textos normales sobre el tema se pueden
encontrar definiciones de los términos y nomenclatura más completa.
Confiabilidad – Medida del grado hasta el cual un elemento se encuentra en estado
operativo y capaz de llevar a cabo la función para la que se ha diseñado en cualquier
momento (aleatorio) durante un perfil de misión especifico, dada la disponibilidad al
inicio de la misma.
Disponibilidad – Medida del grado hasta el cual un elemento se encuentra en estado
operativo y ofrece garantías al inicio de la misión, cuando se requiere dicha misión en
un estado desconocido.
Fallo – Evento, o estado inoperativo, en el que un elemento o parte del mismo no
funciona o no funcionaria tal y como se ha especificado anteriormente.
Fallo, aleatorio – Fallo cuya suceso es predecible únicamente en sentido probabilístico o
estadístico. Este principio se aplica a todas las distribuciones.
Fiabilidad – (1) Duración o probabilidad de rendimiento sin fallos bajo condiciones
determinadas. (2) Probabilidad de que un elemento pueda llevar a cabo la funcion para la que ha
sido diseñado durante un intervalo especifico y bajo condiciones determinadas.
En el caso de elementos no redundantes, seria el equivalente a la definicion (1). En el caso de
elementos redundantes, seria la definicion de Confiabilidad de la mision.
Mantenibilidad – Medida de la capacidad de un elemento de mantenerse o volver a la
condición especificada cuando el mantenimiento lo lleva a cabo personal con un nivel
de conocimientos especifico, mediante los procedimientos y los recursos prescritos y a
cada nivel de mantenimiento y reparación prescritos.
Mantenimiento, correctivo – Todas las acciones que se llevan a cabo como resultado
de un fallo, para que un elemento recupere la condición especificada. El
mantenimiento correctivo puede incluir todos o alguno de los pasos siguientes:
localización, aislamiento, desmontaje, intercambio, nuevo montaje, alineamiento y
verificación.
Mantenimiento, preventivo – Todas las acciones llevadas a cabo en un intento por
mantener un elemento en una condición especifica llevando a cabo procesos de
inspección sistemática, detección y prevención de fallos incipientes.
Mecanismo de fallo – Proceso físico, químico, eléctrico térmico o de otro tipo que
produce el fallo.
Modo de fallo – Consecuencia del mecanismo por medio del cual se produce el fallo;
es decir: cortocircuito, apertura, fractura, desgaste excesivo.
Tasa de fallo – Numero total de fallos en una población de elementos, dividido entre
el numero total de unidades de vida útil empleadas por dicha población durante un
intervalo de medición en particular y bajo condiciones determinadas.
Tiempo medio entre fallos (MTBF) – Medición básica de Confiabilidad en el caso de
elementos reparables: numero medio de unidades de vida útil durante las que todos
los componentes del elemento funcionan dentro de sus limites específicos, durante un
intervalo de medición en particular y bajo condiciones determinadas.
Tiempo medio hasta el fallo (MTTF) – Medida básica de Confiabilidad en el caso de
elementos no reparables: numero medio de unidades de vida útil durante las que
todos los componentes del elemento funcionan dentro de sus limites específicos,
durante un intervalo de medición en particular y bajo condiciones determinadas.
Tiempo medio hasta la reparación (MTTR) – Medida básica de mantenibilidad: suma
de los tiempos de mantenimiento correctivo a cualquier nivel de reparación especifico,
dividida entre el numero total de fallos de un elemento reparar
Tasa de fallo
El objetivo de las mediciones cuantitativas de la Confiabilidad es definir la tasa de fallo
en relación al tiempo y modelar dicha tasa según una distribución matemática para
comprender los aspectos cuantitativos del fallo.
El bloque modular más básico es la tasa de fallo, que se calcula utilizando la siguiente
ecuación:
λ = F/T
Donde: λ = Tasa de fallo (a menudo se denomina tasa de peligro);
T = Número total de horas del dispositivo (tiempo de funcionamiento/ciclos/km/etc.)
durante un periodo de investigación, tanto para elementos que han fallado como para
los que no han fallado;
F = número total de fallos que ocurren durante el periodo de análisis.
Por ejemplo, si cinco motores eléctricos funcionan durante un tiempo colectivo total
de 50 años y se producen 5 fallos funcionales durante dicho periodo, la tasa de fallo es
de 0.1 al año.
Tiempo medio entre fallos MTBF y hasta el fallo MTTF.
La única diferencia entre el MTBF y el MTTF es que utilizamos el MTBF al referirnos a
elementos que se reparan cuando fallan.
En el caso de los elementos que simplemente se han desechado y sustituido,
utilizamos el MTTF y los cálculos son los mismos.
El cálculo básico para calcular el tiempo medio entre fallos (MTBF) y el tiempo medio
hasta el fallo (MTTF) es el valor reciproco de la función de la tasa de fallo. Se calcula
por medio de la siguiente ecuación.
θ = T/F
Donde: θ = Tiempo medio entre fallos/hasta el fallo;
T = Tiempo de funcionamiento total/ciclos/km/etc. durante un periodo de
investigación, tanto para elementos que han fallado como que no han fallado;
F = número total de fallos que ocurren durante el periodo de análisis.
El tiempo medio entre fallos (MTBF) en el ejemplo de un motor eléctrico industrial es
de10 años, lo que representa el valor reciproco de la tasa de fallo de los motores.
Casualmente, calcularíamos el tiempo medio entre fallos (MTBF) en el caso de
motores eléctricos que se hayan reconstruido después de un fallo.
En el caso de motores con dimensiones mas reducidas considerados desechables,
señalaríamos el tiempo medio hasta el fallo (MTTF).
Curva de la bañera
La curva de la bañera pone de manifiesto conceptualmente las tres características
básicas de la tasa de fallo de una maquina: en disminución, constante, en aumento.
En la práctica, la mayoría de las maquinas permanecen en la fase inicial de la vida útil
o en las regiones de la curva de la bañera en las que la tasa de fallo es constante.
Raramente se ven mecanismos de fallo dependientes del tiempo, puesto que las
maquinas industriales típicas tienden a sustituirse (por completo o alguno de sus
componentes) antes de que se desgasten.
Curva de la bañera
No obstante, a pesar de las limitaciones en cuanto al modelado, la curva de la bañera
es una herramienta útil para explicar los conceptos básicos de Confiabilidad aplicada a
la ingeniería.
El cuerpo humano constituye un excelente ejemplo de un sistema que sigue la curva
de la bañera.
Las personas y las maquinas tienden a sufrir una tasa de fallo elevada (mortalidad)
durante sus primeros años de vida, pero dicha tasa disminuye a medida que aumenta
la e dad del niño (producto). Suponiendo que una persona sobreviva sus años de
adolescencia, la tasa de mortalidad se vuelve bastante constante y permanece así
hasta que las enfermedades dependientes de la edad (tiempo) empiezan a aumentar
la tasa de mortalidad (desgaste).
 Los sistemas de control e instrumentación no solo han de cumplir con las
condiciones de operación, ellos también requieren cumplir con criterios de
confiabilidad tal como lo indica la ISO/TR 12489, lo cual no se logra por
casualidad (es decir suerte) más por el contrario requiere un diseño cuidadoso.
 Es necesario tratar de algunos aspectos para el modelado de tal manera que sea
aplicable para el diseño de partes, equipamiento (compuesto de partes) y
sistemas (compuesto de equipamientos).
 Se explica también algunos modelos adecuados para la predicción de la
probabilidad de falla PDF y la indisponibilidad.
 Como estas cantidades describen el comportamiento futuro del componente,
entonces se expresan como probabilidades; y se debe abordar de forma corta
los aspectos de distribución probabilística y otras referidas a la confiabilidad de
piezas, unidades y sistemas.
TEORIA DE LAS DISTRIBUCIONES
Distribución Normal
Distribución Normal
Distribución Exponencial
Distribución de Weibull
CALCULO DE LA CONFIABILIDAD
Cálculo de la Confiabilidad del sistema
Una vez se ha establecido la Confiabilidad de los componentes o de las maquinas en
relación al contexto de funcionamiento y al tiempo necesario para la misión, los
ingenieros de la planta deben evaluar la Confiabilidad de un sistema o proceso. De
nuevo, con propósitos de brevedad y simplicidad, abordaremos los cálculos de
Confiabilidad en los sistemas en serie, en paralelo y redundantes de carga compartida
(M de N) (sistemas MooN).
Sistemas En Serie
Antes de tratar el caso de los sistemas seriales, debemos abordar los diagramas de
bloques de fiabilidad (RBD). Un diagrama de bloques de fiabilidad sirve sencillamente
para esquematizar un proceso desde el principio hasta el final.
En el caso de un sistema serial, al subsistema 1 le sigue el subsistema 2, y así
sucesivamente. En el sistema serial, la capacidad para utilizar el subsistema 2 depende
del estado de funcionamiento del subsistema 1. Si el subsistema 1 no está en
funcionamiento, el sistema está inactivo, independientemente de la condición del
subsistema 2
Sistemas En Serie
Para calcular la confiabilidad del sistema en el caso de un proceso serial, solo se debe
multiplicar la fiabilidad aproximada del subsistema 1 en un tiempo (t) por la fiabilidad
aproximada del subsistema 2 en un tiempo (t). La ecuación básica para calcular la
fiabilidad del sistema en el caso de un sistema serial sencillo es:
Rs(t) = R1(t) . R2(t) . R3(t)
Donde:
Rs(t) – confiabilidad del sistema durante un tiempo determinado (t);
Rn(t) – confiabilidad del subsistema o de la subfunción durante un tiempo
determinado (t)
Asi, en el caso de un sistema sencillo con tres subsistemas o subfunciones, cada una de
ellas con una fiabilidad aproximada de 0.90 (90%) en un tiempo (t), la fiabilidad del
sistema se calcula del siguiente modo: 0.90 X 0.90 X 0.90 = 0.729, o alrededor del 73%.
Sistemas en paralelo
A menudo, los ingenieros encargados del diseño incorporan la redundancia en
maquinas fundamentales.
Los ingenieros encargados de la fiabilidad los denominan sistemas en paralelo.
Estos sistemas pueden diseñarse como sistemas en paralelo activos o como
sistemas en paralelo en espera.
En la Figura se muestra el diagrama de bloques de un sistema en paralelo sencillo de
dos componentes.
Sistemas en paralelo
Para calcular la fiabilidad de un sistema en paralelo activo, en el que ambas maquinas
están en funcionamiento, utilice la siguiente y sencilla ecuación:
Rs(t) = 1 – [ {1‐R1(t)} . {1‐R2(t)} ]
Donde:
Rs(t) – confiabilidad del sistema durante un tiempo determinado (t);
Rn(t) – confiabilidad del subsistema o de la subfuncion durante un tiempo
determinado (t).
El sistema en paralelo simple del ejemplo, con dos componentes en paralelo (cada uno
de ellos con una fiabilidad de 0.90) presenta una fiabilidad total del sistema de:
1 – (0.1 X 0.1) = 0.99.
De este modo, la fiabilidad del sistema ha aumentado en gran medida
Periodo de prueba de calidad (Tp) y tiempo improductivo medio (MDT)
Si se produce un fallo, se presupone que en promedio ocurre en el punto intermedio
del intervalo de prueba.
En otras palabras, el fallo sigue sin detectarse durante el 50% delperiodo de prueba.
Tanto en el caso de fallos detectados como de no detectados, el tiempo improductivo
medio (MDT) depende del intervalo de prueba y del tiempo medio hasta la
reparación (MTTR).
El tiempo improductivo medio (MDT) se calcula, por lo tanto, a partir de:
MDT = intervalo de prueba/2 + MTTR
En el caso de fallos detectados, el tiempo improductivo medio se aproxima, por lo
tanto, al tiempo medio hasta la reparación, ya que el intervalo de prueba
(autoprueba) es por lo general corto en comparación con el tiempo medio hasta la
reparación (MTTR).
En el caso de fallos no detectados, el tiempo de reparación es corto en comparación
al intervalo de prueba, el periodo de prueba de calidad (Tp) y, por lo tanto, el tiempo
improductivo medio (MDT) de este tipo de fallos se aproxima a Tp/2.
Modelado de la tasa de fallo del sistema (λsys)
La tasa de fallo de un sistema redundante λsys, puede calcularse teniendo en cuenta
las diferentes formas en que puede producirse el fallo del sistema.
En un sistema 3oo4, se requiere el funcionamiento de 3 de los 4 canales para que el
sistema funcione; por lo tanto, cada dos fallos se produce un fallo del sistema.
La tasa a la que se producen los dos fallos, λ2 se da por la tasa de fallo de un

elemento λ, multiplicada por la probabilidad de que se produzca un segundo
fallo durante el tiempo improductivo, el tiempo improductivo medio del primer
fallo, λ.MDT.
Por tanto:
λ2 = λ.( λ.MDT)
No obstante, existen 12 permutaciones (el orden es importante) de dos fallos en un
sistema 3oo4: A.B, A.C, A.D, B.C, B.D, C.D, B.A, C.A, D.A, C.B, D.B y deben tenerse en
cuenta todas ellas. La tasa de fallo del sistema se convierte, por lo tanto, en
aproximadamente:
λSYS = 12.λ2.MDT
Para ser exactos, debemos incluir todas las permutaciones de 3 y 4 fallos
concurrentes, asi como fallos debidos a causas comunes, puesto que estos tambien
dan como resultado un fallo del sistema; no obstante, como aproximacion de primer
orden, pueden obviarse estos terminos de orden superior.
En la Tabla se presenta la tasa de fallo del 3oo4 y otras configuraciones.

Tenga en cuenta que se trata de aproximaciones en las que tambien se obvian
los términos de orden superior
Modelado de la tasa de disparos erróneos del sistema (λSTR)

Puesto que se presupone que todas las tasas de fallos seguros, por lo general,
se detectan, en una configuración redundante los canales que hayan fallado se
repararan siempre y cuando el sistema no se dispare.
Por lo tanto, es aplicable el enfoque adoptado para fallos peligrosos
detectados, excepto en que el numero de fallos necesarios para un disparo
erroneo puede diferir del necesario para un fallo peligroso.
Por lo general, en los disparos erroneos se incluyen unicamente las tasas de
fallos seguros pero, en funcion del comportamiento del sistema al detectar un
fallo, pueden incluirse los fallos peligrosos detectados, de modo que la tasa de
disparos erroneos es la suma de los dos.
Modelado de la tasa de disparos erróneos del sistema (λSTR)

Probabilidad de fallo peligroso/hora (PFH) y probabilidad de fallo a demanda (PFD)
En la Tabla se presentan las formulas simplificadas de la probabilidad de fallo
peligroso/hora (PFH) y de la probabilidad de fallo a demanda (PFD) de configuraciones
comunes en el caso de fallos detectados, y en la Tabla 14 en el caso de fallos no
detectados.
Probabilidad de fallo peligroso/hora (PFH) y probabilidad de fallo a demanda (PFD)
Consideración de fallos por causas comunes (CCF)
 Los fallos por causas comunes son fallos que pueden producirse por una unica
causa, pero que afectan de forma simultanea a mas de un canal.
 Pueden ser el resultado de un fallo sistemático, por ejemplo, un error de
especificación de diseño o una influencia externa como temperatura excesiva que
pudiera dar lugar a un fallo de componentes en los dos canales redundantes.
 Es responsabilidad del diseñador del sistema adoptar las medidas necesarias para
minimizar la posibilidad de que se produzcan fallos por causas comunes empleando
las practicas de diseño adecuadas.
 La contribución de fallos por causas comunes en rutas redundantes en paralelo se
contabiliza mediante la inclusión de un factor β. La tasa de fallos por causas
comunes que se incluye en el calculo es igual a β x la tasa de fallo total de una de
las rutas redundantes.
Consideración de fallos por causas comunes (CCF)
Las siguientes representan restricciones típicas que deben tenerse en cuenta para
calcular la contribución de los fallos por causas comunes (CCF):
Los canales redundantes están separados físicamente;
Tecnologías diversas; por ejemplo, un canal electrónico y un canal basado en
rele;
El sistema por escrito de trabajo en las instalaciones debe garantizar que los
fallos se investiguen;
Los procedimientos de mantenimiento por escrito deben evitar modificar el
tendido de tramos de cable;
El acceso del personal es limitado;
El entorno de funcionamiento esta controlado y el equipo ha sido clasificado
respecto al rango medioambiental completo.

Santa Cruz Bolivia
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Fases del ciclo de vida
La Figura muestra la fase del ciclo de vida aplicable.
Pruebas de aceptación de Fabrica FAT
 En esta etapa el sistema instrumentado de seguridad y toda la lógica de control
debe ser completamente probado antes de ser enviado por el proveedor a la
planta final.
 Todos los responsables involucrado en la implementación y verificación del
sistema bajo prueba deben participar en las pruebas FAT.
 Estas pruebas son completadas en el lugar de fabricación previo al envio al
usuario final.
 En el apartado 13.1.1 de la IEC‐61511 define los objetivos de la realización de las
pruebas FAT com el test o verificación del sistema lógico junto con el software
asociado de manera de asegurar que satisface los requerimientos definidos en la
ESR, antes de ser instalado en la planta, de tal forma que posibles errores puedan
ser encontrado y corregidos.
Participante en las Pruebas de aceptación de Fabrica FAT
 El numero de participantes depende de la complejidad y tamaño del sistema, sin
embargo en general participará todo el personal involucrado en la construcción y
verificación del sistema a probar, debiéndose definir las responsabilidades de
cada participante en las pruebas. Como mínimo es recomendable
Un representante de la compañía integradora del SIS, responsable del diseño y
programación del sistema lógico tanto en hardware como en software
incluyendo las interfaces con otros sistemas.
Un representante de la compañía constructora del proyecto que normalmente
es el ingeniero en instrumentación y control encargado del diseño del SIS. Este
será quien aprobará junto con el ingeniero de proceso los procedimientos de las
pruebas FAT redactados por las empresas suministradoras del sistema.
El usuario final como personal de operación y mantenimiento.
Se debe realizar pruebas de
 Todo el hardware del sistema lógico, módulos de entradas y salidas, terminales,
cableado interno, procesadores lógicos, módulos de comunicaciones,
redundancia del sistemas, interfaz con el operador.
 Auto switchover, bypass y redundancia
 Software y programa lógico
Las pruebas deben estar basados en procedimientos documentados aprobados por
el suministrados del equipo o sistemas por el usuario final.
Inspección visual del sistema
Inyección de señales digitales, 4‐20mA, pulsos, termopares y RTD y observar la
respuesta del sistema.
Forzar valores de salidas analógicos o digitales
Crear diferentes escenarios de fallos para ver la respuesta de los backups del
sistema como redundancia de buses de comunicación, tarjetas de
entradas/salidas, controladores redundantes , etc.
La Figura muestra la fase del ciclo de vida aplicable.
Los objetivos de las fases definidas en IEC 61511-1, 14 y 15 son:

 Instalar el sistema instrumentado de seguridad conforme a las
especificaciones y a la documentación ;
 Poner en servicio el sistema instrumentado de seguridad, de modo que este
listo para la validación final del sistema ;
 Validar que el sistema instrumentado de seguridad, instalado y puesto en
servicio, logre los requisitos definidos en la SRS .
Instalación de funciones instrumentadas de seguridad (SIF)
 Los requisitos de instalación deben definirse en el plan de instalación y puesta en
servicio o integrarse en el plan general del proyecto.
 Los procedimientos de instalación deben definir las actividades que deben llevarse
a cabo, las técnicas y las medidas que se vayan a utilizar, las personas,
departamentos u organizaciones responsables y la temporización de las actividades
de instalación.
Puesta en servicio de funciones instrumentadas de seguridad (SIF)
 El sistema instrumentado de seguridad debe ponerse en servicio de conformidad
con la planificación y con los procedimientos.
 Deben facilitarse registros con los resultados de las pruebas e indicando si se han
cumplido los criterios de aceptación definidos durante la fase de diseño.
 Los fallos deben ser objeto de investigación y registro.
 En caso de que se establezca que la instalación actual no cumple con la información
de diseño, debe investigarse la divergencia y determinarse el impacto sobre la
seguridad.
Validación de funciones instrumentadas de seguridad (SIF)
Los procedimientos de validación deben incluir todos los modos de operación del
proceso y del equipo asociado y deben incluir:
• puesta en marcha, funcionamiento normal, cierre;
• funcionamiento manual o automático;
• modos de mantenimiento, omisión de bypass;
• temporización;
• roles y responsabilidades;
• procedimientos de calibración.
Además, la validación del software de aplicación debe incluir:
• identificación del software de cada modo de operacion;
• procedimiento de validación que se vaya a usar;
• herramientas y equipo que se vayan a usar;
• criterios de aceptación.
Pruebas de aceptación en Sitio SAT
Una ve el SIS esté instalado se debe realizar una validación del sistema denominada
SAT.
Cualquier cambio o modificación que se realice en algún equipo especifico del SIS
durante la instalación, comisionado o SAT requiere volver a realizar el estudio de
seguridad correspondiente y debe esta debidamente documentado y consensuado.
La instalación del sistema incluye todos los elementos hadware relacionado con el SIS
como sensores, elementos finales de control, cableado, cajas de conexiones, tableros
de instrumentación, PLC de seguridad, interfaces con el operador, sistemas de alarma,
etc.
El chequeo de la instalación se puede separar en dos diferentes fases
Comprobación del dispositivo y cableado de campo.
Comprobación funcional de los equipos y dispositivos.
Con el propósito final de confirmar que:
Las fuentes de energía están operativas
Los equipos y cableado han sido adecuadamente instalados
Los instrumentos han sido adecuadamente calibrados
Los dispositivos de campo están operativos
El PLC de seguridad y los módulos están operativos.
Normalmente cuando un sistema completo se esta probando, es necesario realizar y
seguir procedimientos detallados de pruebas por lo que habitualmente precisaremos
de la siguiente documentación como apoyo a la validación del SIS
Procedimiento de validación
Copia de las ESR
Listado de la programación del PLC de seguridad
Diagrama de bloques del sistema
Lista completa de entradas/salidas
Diagramas P&Ids
Hojas tecnicas de los equipos
Diagrama de lazo
Configuracion del BPCS
Diagramas de conexión en casa y tableros así como de terminales de todo el
cableado
Diagrama del sistema neumático
Manuales de operación y mantenimiento de los instrumentos
Manuales de seguridad de los subsistemas relacionados a la seguridad.
Validación de funciones instrumentadas de seguridad (SIF)
 La validación debe garantizar que el sistema instrumentado de seguridad funcione
en todos los modos de servicio y que no se vea afectado por la interacción del
sistema básico de control de proceso (BPCS) y otros sistemas conectados.
 La validación de rendimiento debe garantizar que todos los canales redundantes
funcionen, así como las funciones de omisión, las anulaciones de puesta en marcha
y los sistemas de cierre manual.
 Debe llegarse al estado definido, o seguro, en caso de perdida de energía, p. ej.,
energía eléctrica o hidráulica o aire de instrumentación.
 Las funciones de alarma de diagnostico definidas en la especificación de requisitos
de seguridad deben funcionar y ofrecer un rendimiento tal y como se especifica en
variables de proceso no validas, p. ej., entradas fuera de rango.
 Después de la validación deben facilitarse registros apropiados y se deben
 identificar el elemento de prueba, el equipo de prueba, los documentos de prueba
y los resultados de prueba además de cualquier discrepancia y análisis o
solicitudes de cambio que surjan al respecto.
Operación y mantenimiento
Operación y mantenimiento
Los objetivos de esta fase tal y como se define en IEC 61511‐1, 16.1 son:
• Garantizar que el nivel de integridad de seguridad requerido de cada función
instrumentada de seguridad se mantenga durante el funcionamiento y el
mantenimiento [16.2];
• Utilizar y efectuar el mantenimiento del sistema instrumentado de seguridad,
de tal manera que se mantenga la seguridad funcional diseñada [16.3].
Operacion y mantenimiento de funciones instrumentadas de seguridad (SIF)
 Los requisitos para el O&M deben definirse en el plan de O&M o integrarse en el
plan general del proyecto.
 Los procedimientos de O&M deben definir las operaciones rutinarias que han de
llevarse a cabo para mantener la seguridad funcional del sistema instrumentado de
seguridad.
 Estas operaciones deben incluir requisitos para:
pruebas de calidad;
Omitir(bypass) una función instrumentada de seguridad para prueba o reparación;
recogida rutinaria de datos: p. ej., resultados de auditorias y pruebas del sistema
instrumentado de seguridad, registros de demandas de funciones instrumentadas
de seguridad, tiempos improductivos por fallos, reparaciones y pruebas de
calidad.
Operación y mantenimiento de funciones instrumentadas de seguridad (SIF)
 Deben desarrollarse procedimientos de pruebas de calidad, de tal manera que cada
función instrumentada de seguridad se ponga a prueba a fin de sacar a la luz fallos
peligrosos que no sean detectados mediante diagnósticos.
 Se requieren procedimientos de mantenimiento para el diagnostico y la reparación
de fallos, y la revalidación del sistema tras una reparación, acciones que deben
tomarse tras discrepancias entre el comportamiento esperado y el comportamiento
real, la calibración y el mantenimiento del equipo de prueba y la generación de
informes de mantenimiento.
 Se requieren procedimientos de generación de informes para informar sobre fallos,
analizar fallos sistemáticos y por causas comunes, y para dar seguimiento al
rendimiento del mantenimiento.
Formación para O&M
 La formación del personal de F y M se debe planificar y realizar oportunamente, de
manera que se pueda llevar a cabo el funcionamiento y el mantenimiento del sistema
instrumentado de seguridad de acuerdo con la especificación de requisitos de
seguridad (SRS).
 La formación debe incluir:
peligros
puntos de disparo
acciones ejecutivas
funcionamiento de todos los bypasses y cualquier restricción sobre su uso;
operaciones manuales, p. ej., puesta en marcha, cierre y cualquier restricción
relativa a su uso;
funcionamiento de alarmas y diagnósticos disponibles.
Pruebas de calidad
 Los procedimientos de pruebas de calidad deben poner a prueba las funciones
instrumentadas de seguridad (SIF) completas, desde el elemento de deteccion hasta el
dispositivo final accionado.
 El intervalo de prueba de calidad debe ser el mismo que se utilice en la
cuantificación de la probabilidad de fallo a demanda (PFD).
 Se acepta probar distintos elementos de las funciones instrumentadas de seguridad
(SIF) a intervalos diferentes siempre y cuando:
La probabilidad de fallo a demanda (PFD) calculada siga siendo aceptable;
Haya cierta superposición en la prueba para que ninguna parte de las funciones
instrumentadas de seguridad se quede sin ser sometida a prueba.
Modificación y desmantelamiento
Modificación y desmantelamiento
Los objetivos de esta fase tal y como se define en IEC 61511‐1 son garantizar que:
 Toda modificación relativa a cualquier función instrumentada de seguridad (SIF) se
planifique, revise y apruebe convenientemente antes de implementar el cambio.
 La integridad de seguridad requerida se mantenga después de cualquier cambio que
se haya llevado a cabo.
 Antes de proceder al desmantelamiento, se efectué una revisión apropiada y se
consiga autorización para asegurarse de que la integridad de seguridad quede
garantizada durante el desmantelamiento.
Modificación de funciones instrumentadas de seguridad (SIF)
 Antes de proceder a cualquier modificación, deben existir procedimientos para la
autorización y el control de los cambios.
 Esto se gestiona generalmente con una nota de solicitud de cambio (CRN), que
normalmente forma parte de un sistema de gestión de calidad (QMS).
 Cualquier solicitud de cambio debe describir el cambio requerido y las razones para
la solicitud.
 Esto lo puede proponer el personal de O& como resultado de incidentes durante el
funcionamiento o el mantenimiento.
 El proceso de aprobación habitual de solicitudes de cambio debe englobar a
distintos departamentos dentro de una organización para determinar el impacto del
cambio relativo al diseño, la base instalada y la implementación requerida.
 Una vez que una organización esta involucrada en la seguridad funcional, cualquier
solicitud de cambio debe además ser revisada por una persona competente, p. ej. La
autoridad de seguridad (HSA), para determinar si el cambio puede afectar la
seguridad y, en tal caso, se requiere un análisis de impacto adecuado.
Análisis de impacto
 Los resultados del análisis pueden requerir una nueva inspección de las primeras
partes del ciclo de vida y, por ejemplo, puede ser necesario revisar los peligros
identificados y las evaluaciones de riesgos.
 Las actividades de modificación no pueden empezar sino hasta que este proceso
haya sido completado y la autoridad de seguridad haya autorizado el cambio.
 El impacto de los cambios relativos a las funciones instrumentadas de seguridad
puede afectar consecuentemente al personal de O&M, y podría ser necesaria
formación adicional.
Desmantelamiento de funciones instrumentadas de seguridad (SIF)
 El desmantelamiento debe ser una actividad planificada como parte de la fase 11 del
ciclo de vida, y debe tratarse como una modificación al final de la vida del proyecto.
 El comienzo de la fase de desmantelamiento se debe iniciar un análisis de impacto
para determinar el efecto del desmantelamiento en la seguridad funcional.
 El análisis debe incluir la revisión de la identificación de peligros y la evaluación de
riesgos, con consideración particular de los peligros que pueden ocurrir como
resultado de la actividad de desmantelamiento.
Requisitos de la Gestión de seguridad funcional
Los requisitos para la gestión de la seguridad funcional figuran resumidos en la Tabla, la
mayor parte de los requisitos pueden ya estar cubiertos en un sistema de gestión de
calidad (QMS) de la organización.
Las siguientes secciones resaltan ciertas áreas que generalmente deben ser abordadas.
Requisitos de Gestión de seguridad funcional

Fundamentos SIS

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Fundamentos SIS

Încărcat de

Drepturi de autor:

Formate disponibile

Fundamentos de Sistemas Instrumentados

de Seguridad y Seguridad Funcional

FSE Ing. Raul Roque Y.

FSE Ing. Raul Roque Y.

 Plataforma petrolífera en el Mar del Norte

Piper Alpha antes Piper Alpha

Piper Alpha – Secuencia de eventos

Piper Alpha – Secuencia de eventos

 Esa noche, más tarde, la bomba de condensado falló

 La tripulación no había recibido instrucciones

BP Texas City – Secuencia de eventos

 Sistema de purga antiguo e inadecuado

 El camión de diésel estaba ubicado a 8 m de la chimenea de purga.

 Las oficinas provisorias estaban ubicadas a 37 m de la chimenea de purga

 Diseño de la interfaz y alarma

 Otras Fallas Organizativas

 ¿Usted piensa que la seguridad es cara… ?

 Hoy un accidente cuesta al menos 10 veces lo que costó construir la planta.

 El entrenamiento es una forma de ayudar a la gente a hacerse mas conciente y

 La seguridad funcional está relacionada con el correcto funcionamiento de

 Según la TUV, en su página de internet; responde la pregunta ¿Qué es la

Funcionamiento de la Bolsa de aire de un vehículo

Un sistema relacionado a la seguridad puede ser:

Un Sistemas instrumentado de seguridad (SIS) como un conjunto de sensores,

El Nivel de Integridad de la seguridad es una medida cualitativa de la seguridad.

Publicación de la HSE “Out of control”

 Los primeros desarrollos fueron en los 80 en Alemania con el estándar VDE‐

Parte 1: Desarrollo de los requerimientos generales de Parte 6: Lineamiento para Parte 1: Instalación y

Parte 1: Asignación de los Parte 2: Fase de Realización Parte 1: Operación y

FSE Ing. Raul Roque Y.

¿Qué es peligro y qué significado tiene riesgo?

Ejemplo: Juego de Baseball

El riesgo está perfectamente caracterizado por un conjunto formado por

En general se realiza una Análisis de Riegos para

Es posible tomar de manera de ejemplo las siguiente categorías de

 La norma IEC 61511 describe el riesgo tolerable como el riesgo que se acepta en

Tolerable solo si una mayor reducción de

Tolerable solo si la reducción de riesgo es

• Veamos como es el tratamiento de la cantidad de horas de exposición: si dentro una

Horas de trabajo al año = 8 (horas/dia) x 5 (días /semana) x 52 (semanas/año) = 2098[h/año]

 Para facilitar los cálculos suponemos

Horas de trabajo al año = 2000 [h/año]

 Entonces la cantidad de horas trabajadas por el total de empleados es:

Tasa de fatalidades por año = FAR [1/h] x Exposición [h/año]

Tasa de fatalidades por año = (2x10e‐8) x (5 operadores x 8700 horas) [h/año]

Tasa de fatalidades por año = 8.76x10e‐4[1/año]

Años promedio por explosión = 1/(8.76x10e‐4) = 1140 [años]

Tasa de fatalidades por año = FAR [1/h] x Exposición [h/año];

Tasa de fatalidades por año = (2x10e‐8) x (33000 [h/año]) = 6.6x10‐4;

Reduce el riesgo identificado por medio de un factor de 10

Vamos a describir tipos de alarmas

 Los enclavamientos proporcionan restricciones lógicas con el sistema de control y a menudo

Sistema de parada de emergencia (SIS)

 La última capa de protección es el sistema de parada de emergencia segura en la cual su

 Mala identificación, mal dimensionamiento

 Técnica para identificar y analizar factores que llevan a un evento no

 Técnica gráfica usada para representar una secuencia de eventos

 Comprobación rigurosa, sistemática, guiada y crítica de procesos y objetivos de

 Examinar sistemáticamente cada segmento de una instalación,

 Seguridad de los empleados

 Daños personales (quemaduras, contactos con superficie energizada,

•Diagramas P&Is (flujogramas de ingeniería)

 La matriz de riesgo grafica el producto cartesiano de los valores de

Desviacion Causa Consecuencia Salvaguarda C F SIL Recomendacion