Seguridad Funcional en La Industria de Procesos

M
A
N
U
A
L

D
E

S
E
G
U
R
I
D
A
D

D
E

P
R
O
C
E
S
O
S

1
Seguridad funcional en
la industria de proceso
Principios, normas e implementacin
Publicacin: SAFEBK-RM003A-ES-P Marzo de 2013 2013 Rockwell Automation, Inc. Todos los derechos reservados. M
A
N
U
A
L

D
E

S
E
G
U
R
I
D
A
D

D
E

P
R
O
C
E
S
O
S

1

S
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
e
n

l
a

i
n
d
u
s
t
r
i
a

d
e

p
r
o
c
e
s
o
s
/
P
r
i
n
c
i
p
i
o
s
,

n
o
r
m
a
s

e

i
m
p
l
e
m
e
n
t
a
c
i
n
Tambin disponible:
Manual de seguridad 4 Sistemas de control relacionados
con la seguridad de maquinaria.
Esta prctica gua trata los principios relativos a la seguridad de
la maquinaria, adems de la legislacin, la teora y la prctica.
Nmero de publicacin: SAFEBK-RM002B
Comunquese con su representante de Rockwell Automation
para obtener una copia de esta gua, o visite
www.rockwellautomation.com
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
1
Contenido
Captulo 1 Introduccin a IEC 61511 ........................................................................ 3
Captulo 2 Ciclo de vida de seguridad general ...................................................... 11
Captulo 3 Peligros e identificacin de peligros .................................................... 19
Captulo 4 Riesgo y reduccin de riesgos .............................................................. 30
Captulo 5 Principio ALARP .................................................................................... 41
Captulo 6 Determinacin de objetivos del SIL ..................................................... 47
Captulo 7 Diagramas de riesgos ........................................................................... 62
Captulo 8 Anlisis de capas de proteccin (LOPA) ............................................... 68
Captulo 9 Asignacin de funciones de seguridad ............................................... 81
Captulo 10 Especificacin de requisitos de seguridad para el SIS ....................... 85
Captulo 11 Diseo e ingeniera del SIS ................................................................... 87
Captulo 12 Tcnicas de fiabilidad ........................................................................... 89
Captulo 13 Verificacin SIL .................................................................................... 122
Captulo 14 Probabilidad de fallo de SIF, IEC 61511-1 ..........................................137
Captulo 15 Instalacin, puesta en servicio y validacin, IEC 61511-1 ............... 150
Captulo 16 Funcionamiento y mantenimiento, IEC 61511-1 .............................. 153
Captulo 17 Modificacin y desmantelamiento, IEC 61511-1 .............................. 156
Captulo 18 Gestin, evaluacin y auditora ......................................................... 158
Captulo 19 Referencias .......................................................................................... 165
Captulo 20 Definiciones ......................................................................................... 166
Captulo 21 Abreviaturas ........................................................................................ 173
2
Prefacio
La norma IEC 61508 abarca la gestin de la seguridad de sistemas elctricos, electrnicos
y electrnicos programables (E/E/PE) a lo largo de su vida til, desde el diseo hasta el
desmantelamiento. Aplica los principios de seguridad en la gestin de sistemas y la
ingeniera de seguridad en su desarrollo.
Como principio fundamental establece que, en la planificacin de seguridad, deben
fijarse objetivos de seguridad basados en la evaluacin de riesgos y que el rigor de la
gestin y de los procesos debe ser el adecuado para cumplir con ellos. Esto hace que
la norma se base en objetivos en lugar de ser prescriptiva, lo que significa que la
conformidad con la misma no exonera de culpa a los usuarios en caso de producirse
un problema de seguridad.
La norma est pensada tanto como base para la preparacin de normas ms especficas,
como para utilizarse de forma autnoma. Sin embargo se prefiere la primera aplicacin;
el segundo uso requiere la personalizacin de la norma, que la gerencia la comprenda de
manera significativa y la planificacin considerable de su introduccin y uso.
Para muchos, la norma ha resultado difcil de leer y de comprender. No obstante, ya ha
tenido una enorme influencia. Ha sido y continuar siendo la base de las normas de
seguridad y de los marcos legales modernos, de modo que es esencial que todo el
personal con alguna responsabilidad en cualquier fase de la vida til de un sistema
relacionado con la seguridad haga el esfuerzo de comprenderla bien.
El objetivo de este documento es ofrecer una introduccin a la seguridad funcional y una
gua para la aplicacin de la norma IEC 61511, la implementacin especfica de la norma
IEC 61508 en la industria de proceso. Aunque la norma americana ANSI/ISA-84.00.01 se basa
en la norma IEC 61511, es prcticamente idntica, por lo que esta gua se aplica a ambas.
El objetivo de este documento es ofrecer informacin y orientacin para poder comprender
mejor las normas y sus requisitos. El documento intenta utilizar un lenguaje sencillo, ilustrado
con ejemplos prcticos de proyectos reales, para explicar los principios y los requisitos
bsicos junto con las tcnicas que pueden utilizarse para cumplir dichos requisitos.
Exencin de responsabilidad
Aunque las tcnicas presentadas en este documento se han utilizado correctamente
para demostrar la conformidad en proyectos reales, debe tenerse en cuenta que la
conformidad, las tcnicas utilizadas para demostrar dicha conformidad y la recopilacin
de evidencias de apoyo siguen siendo responsabilidad del responsable a cargo.
El uso de corchetes [ ] indica una referencia cruzada a una seccin de este documento.
Introduccin a IEC 61511
3
1. Introduccin a la norma IEC 61511
1.1. En qu consisten las normas IEC 61508 y IEC 61511?
IEC 61508 es una norma internacional publicada por la Comisin Electrotcnica
Internacional (IEC), cuyo objetivo principal es abordar los aspectos que deben tenerse en
cuenta al utilizar sistemas elctricos, electrnicos o electrnicos programables (E/E/PE)
para desempear funciones de seguridad.
IEC 61508 [19.1] es una norma genrica aplicable a todos los sistemas E/E/PE relacionados
con la seguridad, independientemente de su uso o aplicacin. El ttulo de la norma es:
IEC 61508:2010 Seguridad funcional de sistemas elctricos/electrnicos/
electrnicos programables (E/E/PE) relacionados con la seguridad.
La norma se basa en el principio fundamental de que existe un proceso que puede
suponer un riesgo a la seguridad o al medio ambiente, si algo pudiera ir mal en el proceso
o en el equipo. El objetivo de la norma, por lo tanto, es resolver los contratiempos en los
procesos y los fallos en los sistemas, a diferencia de los peligros relacionados con la salud
y con la seguridad como tropiezos y cadas, y permitir manejar la seguridad de los
procesos de forma sistemtica y en base a los riesgos.
La norma da por supuesto que se deben facilitar funciones de seguridad para reducir
dichos riesgos. Las funciones de seguridad pueden formar en conjunto un sistema
instrumentado de seguridad (SIS), y su diseo y funcionamiento deben estar basados
en la evaluacin y la comprensin de los riesgos.
Un objetivo secundario de la norma IEC 61508 es permitir el desarrollo de sistemas E/E/PE
relacionados con la seguridad cuando no existan normas de aplicacin en el sector. Esta
gua de segundo nivel en la industria de proceso queda cubierta por la norma
internacional IEC 61511 [19.2]. El ttulo de esta norma es:
IEC 61511:2004 Seguridad funcional Sistemas instrumentados de
seguridad para el sector de la industria de proceso.
IEC 61511 no es una norma de diseo, sino una norma para la gestin de la seguridad
a lo largo del ciclo de vida til completo de un sistema, desde el diseo hasta el
desmantelamiento. En este enfoque es fundamental el ciclo de vida de seguridad general,
que describe las actividades relacionadas con la especificacin, el desarrollo, el
funcionamiento o el mantenimiento de un sistema instrumentado de seguridad (SIS).
4
1.2. Qu es la seguridad funcional?
La norma IEC 61511-1, 3.2.25 ofrece la siguiente definicin.
La seguridad funcional forma parte de la seguridad general relacionada con el
proceso y con el sistema bsico de control de proceso (BPCS), que depende del correcto
funcionamiento del sistema instrumentado de seguridad (SIS) y de otras capas de
proteccin.
Dicho de forma ms sencilla, la seguridad funcional es la reduccin de riesgos que
proporcionan las funciones implementadas para garantizar el funcionamiento seguro
del proceso.
1.3. Comisin Electrotcnica Internacional (IEC)
La Comisin Electrotcnica Internacional se fund en 1906, con el cientfico britnico Lord
Kelvin como primer presidente, y tiene su sede en Ginebra, Suiza. La IEC prepara y publica
normas internacionales para electrotecnologa, es decir, para los sectores de tecnologas
elctricas, electrnicas y otras afines.
La IEC apoya la seguridad y el rendimiento medioambiental de la electrotecnologa,
promueve la eficiencia energtica y las fuentes de energa renovables, y se hace cargo
de la evaluacin del cumplimiento normativo de equipos, sistemas o componentes de
acuerdo a sus normas internacionales.
La norma y el resto de publicaciones de la IEC estn protegidas y sujetas a determinadas
condiciones en cuanto a copyright, pero pueden adquirirse o descargarse en el sitio web
de la IEC [http://www.iec.ch].
1.4. Estructura de la norma
La norma se compone de tres partes, tal y como se muestra en la Figura 1.
5
Requisitos tcnicos
Elementos de respaldo
Parte 1
IEC 61511-1, 8: Desarrollo de los requisitos globales de seguridad
(concepto, defnicin del alcance, evaluacin de peligros y de riesgos)
Parte 1
IEC 61511-1, 9, 10: Asignacin de los requisitos de seguridad a las funciones instrumentadas
de seguridad y desarrollo de la especifcacin de los requisitos de seguridad
Parte 1
IEC 61511-1, 11, 12
Fase de diseo para los sistemas
instrumentados de seguridad
Fase de diseo para el software del
sistema instrumentado de seguridad
Parte 1
IEC 61511-1, 13, 14, 15: Prueba de aceptacin de fbrica, instalacin y puesta en
marcha y validacin de seguridad de los sistemas instrumentados de seguridad
Parte 1
IEC 61511-1, 16, 17, 18: Funcionamiento y mantenimiento, modifcacin y readaptacin,
desmantelamiento o desecho de los sistemas instrumentados de seguridad
Parte 1
IEC 61511-1, 2: Referencias
IEC 61511-1, 3: Defniciones y abreviaturas
IEC 61511-1, 4: Cumplimiento con la normativa
IEC 61511-1, 5: Gestin de la seguridad funcional
IEC 61511-1, 6: Requisitos del ciclo de vida de la seguridad
IEC 61511-1, 7: Verifcacin
IEC 61511-1, 19: Requisitos de informacin
IEC 61511-1, Anexo A: Diferencias
Parte 2
IEC 61511-2: Gua para la aplicacin de la parte 1
Parte 3
IEC 61511-3: Gua para la determinacin de los
niveles de integridad de seguridad requeridos
Figura 1: Estructura de la norma
6
La Parte 1 subraya los requisitos de cumplimiento normativo. Se define la planificacin
del proyecto, la administracin, la documentacin y los requisitos de competencia, as
como requisitos tcnicos para garantizar la seguridad a lo largo del ciclo de vida de
seguridad.
En general, la Parte 1 es normativa ya que define requisitos especficos de cumplimiento
normativo y presenta una estructura consistente que permite demostrar dicho
cumplimiento normativo clusula por clusula.
La Parte 2 ofrece una gua de uso de la Parte 1.
En la Parte 3 se dan ejemplos prcticos de evaluacin de riesgos con el fin de asignar
niveles de integridad de seguridad [4].
Las Partes 2 y 3 son informativas y proporcionan gua sobre los requisitos de
cumplimiento normativo.
1.5. Cumplimiento normativo con la norma IEC 61511
1.5.1. Requisitos de la Ley de Salud y Seguridad en el Trabajo, etc. de 1974
La Ley de Salud y Seguridad en el Trabajo, etc. de 1974 (HASAW o HSW) es la principal
legislacin sobre salud y seguridad laboral existente en el Reino Unido. La Autoridad de
Salud y Seguridad (HSE) es responsable de hacer cumplir dicha ley, as como otras leyes e
instrumentos legales aplicables al entorno laboral.
Nota: En muchos pases tienen una legislacin o normativa similar a la Health and Safety
at Work Act etc. 1974 del Reino Unido, citada en el texto como referencia. Para simplificar
en este documento, por favor asuma que cuando se cita la Health and Safety at Work act,
tambin implica otras leyes y normativas pertinentes que puedan existir en su pas.
El texto completo de la ley puede obtenerse en la Oficina de Informacin del Sector
Pblico (OPSI) o descargarse de forma gratuita. Los usuarios de informacin legal deben
actuar con cierta precaucin. Es posible que los documentos impresos o en lnea no estn
actualizados y, por lo tanto, lo usuarios deben solicitar asesoramiento legal independiente
o consultar la lnea informativa de la HSE [http://www.hse.gov.uk/contact/index.htm].
En trminos sencillos, la Ley de Salud y Seguridad en el trabajo establece que la
obligacin de cualquier empleador es garantizar, en la medida en que resulte
razonablemente prctico, la salud, la seguridad y el bienestar en el trabajo de sus
empleados. Esto incluye que la provisin y el mantenimiento de la planta y de los
sistemas de trabajo que, en la medida en que resulte razonablemente prctico, sean
seguros y no supongan ningn riesgo a la salud.
7
Adems, debe ser responsabilidad del empleador llevar a cabo sus tareas de forma que
garantice, en la medida en que resulte razonablemente prctico, que las personas a las
que no emplea y que pudieran verse afectadas no queden expuestas a riesgos a su salud
o a su seguridad.
1.5.2. Requisitos de conformidad
La norma IEC 61511 establece que para declarar la conformidad debe demostrarse que
se hayan cumplido los requisitos de la norma de acuerdo a los criterios requeridos y que,
en cada clusula o subclusula, se hayan cumplido todos los objetivos.
En la prctica, por lo general resulta difcil demostrar la conformidad total con cada
clusula y subclusula de la norma y se precisa cierto juicio para determinar el nivel
de rigor aplicado al cumplimiento de los requisitos. Normalmente, el grado de rigor
necesario depende de determinados factores como, por ejemplo:
la naturaleza de los peligros;
la gravedad de las consecuencias;
la reduccin de riesgos necesaria;
la fase del ciclo de vida que corresponda;
la tecnologa utilizada;
la novedad del diseo.
En otras palabras debe tomarse una decisin basada en el riesgo. En caso de falta de
experiencia, cierta participacin externa aumentara la credibilidad de la declaracin.
1.5.3. Consecuencias de la falta de conformidad
Puesto que la norma no es una ley, ya sea que usted cumpla con sus requisitos o no, usted
debe ser consciente de las consecuencias de la falta de conformidad. Como empleado,
responsable a cargo o responsable del riesgo, usted tiene la obligacin, conforme a la Ley
de Salud y Seguridad en el Trabajo, de controlar el riesgo en su lugar de trabajo.
Esta norma proporciona un enfoque sistemtico a la gestin de todas las actividades del
ciclo de vida de seguridad para sistemas que acostumbran a desempear funciones de
seguridad y constituye, por lo tanto, una fuente adecuada de informacin y de tcnicas.
En caso de que algo saliera mal y, como consecuencia, alguien resultara herido o
enfermara y usted no hubiera utilizado la mejor informacin a su disposicin sobre la
gestin del riesgo en cuestin, estara en riesgo de ser investigado y procesado de
acuerdo con la Ley de Salud y Seguridad en el Trabajo.
La informacin que recopile y el anlisis que realice sobre el cumplimiento de los
requisitos de la norma IEC 61511 se convierten de forma efectiva en su defensa ante
los tribunales en caso de que algo vaya mal.
8
1.5.4. Requisitos de conformidad en plantas nuevas
Est claro que, si usted est implicado en cualquier fase del ciclo de vida de seguridad,
sera razonable esperar que aplique la mejor informacin a su disposicin para
garantizar que los riesgos asociados a su planta se controlen a un nivel tolerable. Podra
argumentarse que la mejor informacin disponible es la norma IEC 61511 y, por lo tanto,
en caso de que algo fuera mal, el incumplimiento podra interpretarse como negligencia.
1.5.5. Requisitos de conformidad en plantas existentes
Existen numerosas plantas que fueron diseadas y construidas antes de que la norma
IEC 61511 se publicara formalmente y se encontrara disponible. Sin embargo, esta situacin
no supone un cambio en sus responsabilidades y, si usted est implicado en alguna fase
del ciclo de vida de seguridad de una planta antigua (por ejemplo, funcionamiento,
mantenimiento, etc.), entonces sus obligaciones permanecen conforme a la Ley de Salud y
Seguridad en el Trabajo y los riesgos deben seguir siendo controlados como corresponda.
La norma, por lo tanto, sigue siendo aplicable a estas plantas antiguas.
La norma ANSI/ISA-84 se refiere de forma especfica a los sistemas anteriores y establece
que, para un sistema instrumentado de seguridad (SIS) existente, diseado y construido
de acuerdo a los cdigos, las normas y las prcticas aplicables con anterioridad a la
publicacin de la norma, el propietario/operario debe determinar que el equipo haya
sido diseado, sometido a mantenimiento, inspeccionado, probado y puesto en
funcionamiento de forma segura. En efecto, usted debe comprobar que los sistemas
existentes sean seguros utilizando los mejores mtodos a su disposicin.
En realidad, puede que sienta la necesidad de volver a las fases iniciales del ciclo de vida
de seguridad de la planta existente y revisar o incluso realizar un nuevo estudio de riesgos
y operabilidad (HAZOP) partiendo de cero. Al llevar el proceso hasta su conclusin,
es posible que usted identifique riesgos no protegidos por las funciones de seguridad
existentes, y ser responsabilidad suya controlar dichos riesgos de algn modo.
Es muy probablemente que no resulte rentable disear nuevas funciones instrumentadas
de seguridad (SIF) para una planta con 20 aos de antigedad. No obstante, si su
planta ha funcionado con seguridad durante un periodo razonable de tiempo, los riesgos
que usted identifique y la posibilidad de que sucedan, teniendo en cuenta todos los
dispositivos de seguridad existentes, pueden seguir siendo tolerables.
Su obligacin es, como mnimo, documentar el proceso: asegurarse de que se hayan
identificado todos los peligros, que se hayan evaluado todos los riesgos y que se haya
valorado la efectividad de las funciones de proteccin o de los dispositivos de seguridad
existentes actualmente. En esta situacin, usted cuenta con la ventaja de la retrospectiva
9
y puede cuantificar la frecuencia de los peligros de una forma ms precisa, utilizando
sus propios registros histricos, que si se tratara de una instalacin nueva. Deber, por
lo tanto, poder demostrar mediante un anlisis que los riesgos que ha identificado son
tolerables.
En el peor de los casos, si se da la situacin de que hay determinados peligros sin
proteccin, o si se requiere una medida de reduccin de riesgos adicional, deber
saberlo y poner en prctica los pasos necesarios.
1.5.6. Motivos para cumplir con la norma IEC 61511
Adems de la obligacin legal implcita conforme a la Ley de Salud y Seguridad en el
Trabajo, existen otros motivos para cumplir con la norma:
Requisitos contractuales;
Optimizacin de la arquitectura del diseo;
Posible ventaja en lo que respecta a marketing.
Podra argumentarse que la primera obligacin de un negocio es sobrevivir, y que su
objetivo no debera ser maximizar las utilidades sino evitar las prdidas. A este respecto,
usted debe preguntarse si prefiere aprender de los errores de los dems o cometerlos
usted mismo.
1.6. Aplicacin de la norma IEC 61511
La seguridad funcional puede aplicarse nicamente a funciones completas que, por lo
general, consisten de un sensor, un ordenador o un controlador lgico programable (PLC),
y un dispositivo accionado. No tiene sentido aplicar el trmino a productos: elementos del
equipo como sensores o ordenadores.
Por lo tanto, cuando un fabricante declara, por ejemplo, que su producto es un sensor de
presin SIL2 o un PLC SIL3 en realidad significa que el sensor de presin es adecuado para
ser usado en una funcin de seguridad SIL2 o que el PLC es adecuado para ser usado en
una funcin de seguridad SIL3.
El fabricante debera calificar las declaraciones con advertencias y restricciones respecto
a su uso como, por ejemplo, los requisitos de tolerancia a fallos [13.3.1] o de prueba de
calidad [12.8] para obtener el nivel de integridad de seguridad (SIL) declarado.
Las declaraciones del fabricante pueden respaldarse incluso con un certificado SIL
emitido por un organismo de evaluacin independiente, pero esto no significa que la
funcin de seguridad original cumpla con los requisitos de nivel de integridad de
seguridad (SIL). El certificado SIL no es sustituto de la demostracin de conformidad,
10
y el responsable a cargo no puede utilizar dichas declaraciones del producto para
satisfacer sus responsabilidades conforme a la Ley de Salud y Seguridad en el Trabajo.
1.7. Es necesario cumplir la norma?
1.7.1. Nueva construccin
Como se ha explicado anteriormente, existe una obligacin legal implcita de cumplir la
norma. Esto significa que, aunque la norma no es una ley, la ley exige que el responsable
a cargo o el responsable del riesgo controle el riesgo a un nivel aceptable. La norma
proporciona un enfoque sistemtico para lograrlo y, por lo tanto, en caso de que algo
saliera mal y que alguien resultara herido, no haber utilizado la mejor informacin
disponible podra considerarse como una indicacin de negligencia y podra dar lugar
a acciones penales.
1.7.2. Planta existente
La Ley de Salud y Seguridad en el Trabajo sigue rigiendo en la planta existente y, por lo
tanto, es necesario seguir identificando y controlando los riesgos de la forma ms
adecuada [1.5.5]. La norma IEC 61511 sigue proporcionando un modelo aplicable para el
control de riesgos en plantas anteriores diseadas y utilizadas antes de que se publicara
la norma.
Ciclo de vida de seguridad general
11
2. Ciclo de vida de seguridad general
2.1. Ciclo de vida de seguridad
El ciclo de vida de seguridad engloba todas las actividades necesarias, desde la
especificacin, el desarrollo, el funcionamiento y el mantenimiento del sistema
instrumentado de seguridad (SIS). De acuerdo al alcance de sus actividades, puede que
a su caso se apliquen nicamente algunas de las fases (por ejemplo, funcionamiento y
mantenimiento), pero debe conocer el enfoque del ciclo de vida completo.
En la Figura 2 se presenta el ciclo de vida de seguridad.
2.2. Fases del ciclo de vida
En la fase 1 se define el alcance en trminos de barreras fsicas, sociales y polticas, y se
tratan las implicaciones de seguridad en lo que se refiere a peligros y a la percepcin de
G
e
s
t
i
n

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
,
e
v
a
l
u
a
c
i
n

y

a
u
d
i
t
o
r
a

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
10
E
s
t
r
u
c
t
u
r
a

y

p
l
a
n
i
f
c
a
c
i
n

d
e
l

c
i
c
l
o

d
e

v
i
d
a

d
e

l
a

s
e
g
u
r
i
d
a
d
11
V
e
r
i
f
c
a
c
i
n
9 Evaluacin de peligros y riesgos 1
Asignacin de funciones de
seguridad a capas de proteccin
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
2
Requisitos de seguridad
Especifcacin para el SIS
3
Diseo e ingeniera
para el SIS
4
Instalacin, puesta en marcha
y validacin
5
Funcionamiento y
mantenimiento
6
Modifcacin 7
Desmantelamiento 8
Figura 2: Ciclo de vida de seguridad IEC 61511
12
riesgo. Esto resulta fundamental para comprender los peligros y los riesgos que entraa el
proceso.
Una vez que se establece la reduccin de riesgos necesaria, se especifican los medios para
obtenerla durante la asignacin (fase 2) y los requisitos de seguridad generales (fase 3).
En la fase 4 se disean los requisitos de seguridad generales como funciones de
seguridad. En este punto se examinan la optimizacin de funciones, la separacin y otros
temas de diseo como la filosofa de pruebas, y la planificacin de estas actividades se
trata como parte de la fase 11.
En las fases de la 5 a la 10 se demuestra que la norma no est restringida al desarrollo de
sistemas, sino que tambin cubre la gestin de la seguridad funcional durante la vida til
de un sistema.
Muchos de los requisitos de la norma son tcnicos por naturaleza, pero el enfoque
del ciclo de vida concede la misma importancia a actividades de gestin efectivas
como la planificacin, la documentacin, el funcionamiento, el mantenimiento, etc.
y la modificacin, y stas deben incluirse en todas las fases. Las actividades de
documentacin, gestin y evaluacin son paralelas, y resultan aplicables, a todas las
fases y a las actividades del ciclo de vida que se muestran en la Figura 2.
2.3. Requisitos de conformidad
Puesto que la norma es no prescriptiva, la conformidad no es sencilla. Cunto o cun
poco haga usted al declarar su conformidad es una decisin personal, pero debe estar
convencido de que ha hecho lo suficiente. Se recomienda utilizar un enfoque de
conformidad clusula por clusula para asegurarse de que ha tenido en cuenta todo
lo que razonablemente se esperaba de usted. En otras palabras, que ha adoptado un
enfoque riguroso.
La conformidad con la norma requiere que demuestre, con evidencias, que se ha
adoptado un enfoque sistemtico para controlar el riesgo y que dicho enfoque se ha
aplicado a las fases adecuadas del ciclo de vida. Este enfoque sistemtico lo proporciona
la norma, y est basado en el ciclo de vida de seguridad.
La conformidad con la norma requiere comprender el ciclo de vida y que las actividades
especificadas se lleven a cabo y se documenten. El seguimiento del ciclo de vida no es
un ejercicio de papeleo que pueda satisfacerse generando informes y marcando casillas.
La conformidad requiere que las actividades se lleven a cabo de forma efectiva y que se
produzca informacin en casa fase, que permita ejecutar las fases posteriores.
13
Rara vez se aplica un alcance de actividad limitado y se recomienda tener en cuenta todas
las fases del ciclo de vida. Por ejemplo, para un operario, las modificaciones en las fases
de funcionamiento y de mantenimiento pueden requerir decisiones y evaluaciones
previas; por ejemplo, la re-evaluacin del HAZOP y del anlisis de riesgos volviendo atrs
en el ciclo de vida.
2.4. Fases 1 y 2 del ciclo de vida de seguridad
Cada fase del ciclo de vida describe una actividad, y cada actividad cuenta con requisitos
de informacin en forma de entradas. Cada fase consiste de una actividad, para la que
usted debe disponer de procedimientos documentados, que produce informacin en
forma de salidas para utilizar en las fases posteriores.
En la Figura 3 se muestran las actividades y los requisitos informativos de la fase 1
(Evaluacin de peligros y riesgos) y de la fase 2 (Asignacin de requisitos de seguridad).
En la figura se muestra la informacin necesaria como una entrada (I/P) a la actividad y
la informacin producida por la actividad para ser utilizada en una fase posterior.
Debe tenerse en cuenta que, a pesar de que la norma describe las fases del ciclo de vida
y los requisitos informativos de cada fase, en la prctica algunas de las fases y de los
documentos asociados a ellas pueden combinarse si resulta apropiado. La claridad y la
simplicidad son importantes, y las actividades deben llevarse a cabo y la informacin
debe presentarse de la forma ms efectiva posible.
El resultado de la fase 3 generalmente es un HAZOP y un anlisis de riesgos, en el que se
identifican los requisitos de las funciones de seguridad y los objetivos de reduccin de
riesgos.
En la fase 4 se trata la asignacin de funciones de seguridad de acuerdo a los requisitos
de seguridad identificados en la fase anterior. La asignacin de requisitos de seguridad
es el proceso de abordar cada uno de los requisitos de seguridad y de asignar funciones
instrumentadas de seguridad. Se trata de un proceso repetitivo en el que se toma
en cuenta el proceso y otras medidas de reduccin de riesgos que puedan encontrarse
disponibles para satisfacer los requisitos generales de integridad de seguridad.
Es importante que, cuando comience la asignacin de funciones de seguridad, se
planifiquen tambin las fases siguientes, incluidas la instalacin, la puesta en servicio y
la validacin, el funcionamiento y el mantenimiento (tambin consulte la Figura 5).
14
Toda la informacin relevante para cumplir
con los requisitos de la subclusula.
Familiaridad con el proceso, funciones de control, entorno
fsico; peligros y fuentes de peligro; informacin relativa a
peligros, p. ej., toxicidad, duraciones y fuentes de peligro;
informacin de peligro, p. ej., toxicidad, duraciones,
exposicin; reglamentos actuales; peligros como resultado
de las interacciones con otros sistemas.
Informacin relativa al proceso, el entorno y los
peligros.
Defnir el lmite del proceso, BPCS, otros sistemas, operadores;
equipo fsico; especifcar el entorno, consideracin de eventos
externos; otros sistemas; tipos de eventos iniciadores: fallos de
procedimiento, errores humanos, mecanismos de fallo.
Descripcin de informacin relacionada con
el anlisis de peligros y riesgos.
Anlisis de peligros y riesgos: Peligros; frecuencias de evento
iniciador; otras medidas para reducir riesgos; consecuencias;
riesgo; consideracin del riesgo mximo tolerable;
disponibilidad de datos; supuestos relativos a la documentacin.
Especifcacin para los requisitos de seguridad globales en
trminos de requisitos de funciones de seguridad y requisitos
de integridad de seguridad. Nota: las funciones de seguridad no
son especfcas en cuanto a tecnologa. El objetivo del SIL debe
especifcar la fabilidad especfca.
Especifcacin de funciones de seguridad.
Informacin sobre la asignacin de las funciones de seguridad
globales, sus medidas de fallo especfcas y los niveles de
integridad de seguridad asociados. Supuestos relativos a otras
medidas de reduccin de riesgo que necesitan ser gestionadas
a lo largo de la vida del proceso.
Defnir el alcance del anlisis de peligros.
11. Planif-
cacin
1. Anlisis de
peligros y
riesgos
2. Asignacin
de requisitos
de seguridad.
I/P
O/P
I/P
O/P
Figura 3: Fases 1 y 2 del ciclo de vida de seguridad
15
Especifcacin de funciones de seguridad.
Informacin sobre la asignacin de las funciones de seguridad
globales, sus medidas de fallo especfcas y los niveles de
integridad de seguridad asociados. Supuestos relativos a otras
medidas de reduccin de riesgo que necesitan ser gestionadas
a lo largo de la vida del proceso.
Especifcacin de los requisitos de seguridad SIS.
Puede incluir C y E.
Debe incluir:
a) especifcacin de estado de seguridad;
b) requisito para pruebas de calidad;
c) tiempo de respuesta;
d) interfaces de operador necesarias;
e) interfaces a otros sistemas;
f ) modos de operacin;
g) comportamiento a la hora de detectar un fallo;
h) requisitos para desactivacin manual;
i) requisitos de software de aplicacin;
j) medida de fabilidad SIL y especfca
k) ciclo de servicio y vida til;
l) condiciones medioambientales probables de encontrar;
m) lmites CEM;
n) limitaciones debido a CCF.
Ver IEC 61511-1, 10.3 para requisitos completos.
Realizacin de cada SIF conforme a la especifcacin de requisitos
de seguridad SIS
Realizacin de cada medida de reduccin de riesgos conforme
a los requisitos de seguridad para dicha medida
Diseo y
desarrollo de
otras medidas
3. Especifcacin
requisitos de
seguridad
4. Diseo e
ingeniera
I/P
O/P
I/P
O/P
16
En la fase 3 se trata la especificacin de requisitos de seguridad (SRS), que permite que
comience la fase de diseo e ingeniera (fase 4), Figura 4.
Es posible que su organizacin disponga de una lista de verificacin de elementos que
deben incluirse en la especificacin del diseo. De este modo se garantiza que en cada
proyecto se elabore una especificacin completa y exhaustiva, y se contribuye a
minimizar los fallos de la funcin de seguridad debidos a errores de especificacin.
La fase 4 se puede tratar adecuadamente en una especificacin de diseo funcional
(FDS) nica o en un documento similar, en el que se defina la situacin, el proceso y las
consideraciones medioambientales y de funcionamiento, y en el que se establezca el
alcance de las siguientes fases.
En las fases 5 y 6 se identifican los requisitos de instalacin, puesta en servicio, validacin,
funcionamiento y mantenimiento del sistema instrumentado de seguridad (SIS)
(Figura 5).
Las entradas, las salidas y las actividades asociadas con la fase 7 (Modificacin) son
esencialmente las mismas que las asociadas con la fase 8 (Desmantelamiento). De hecho,
el desmantelamiento es una modificacin que tiene lugar al final del ciclo de vida que se
inicia con los mismos controles y que se controla con los mismos dispositivos de
seguridad (Figura 6).
17
Plan para la validacin de seguridad global del SIS.
Proporciona planifcacin para la validacin de seguridad SIS
con respecto a SRS y otra informacin de referencia, p. ej.,
diagramas de causa y efectos. La validacin incluir todos los
modos relevantes de funcionamiento (puesta en marcha,
desactivacin, mantenimiento, condiciones anormales, etc.), los
procedimientos, tcnicas y medidas que se van a usar, as como
el personal y los departamentos responsables. Tambin incluir
la planifcacin de validacin para el software de aplicacin de
seguridad.
Realizacin de cada SIF conforme a la especifcacin de
requisitos de seguridad SIS
Plan para la instalacin y la puesta en marcha del SIS.
Proporciona planifcacin para las actividades de instalacin y puesta en
marcha; los procedimientos, las tcnicas y las medidas que se van a usar;
el programa, el personal y los departamentos responsables.
Confrmacin de que el SIS cumple la especifcacin para los
requisitos globales de seguridad en trminos de requisitos SIF
y los requisitos de integridad de seguridad, teniendo en cuenta
la asignacin de requisitos de seguridad. Los requisitos de
documentacin incluyen: actividades de validacin cronolgica;
versin de los requisitos de seguridad; funcin de seguridad
objeto de validacin; herramientas y equipo; resultados;
elemento objeto de prueba, procedimiento aplicado y entorno
de prueba; discrepancias; decisiones adoptadas como resultado.
Un plan para el funcionamiento y el mantenimiento del SIS
Proporciona planifcacin para las actividades operacionales
rutinarias y anormales; prueba de calidad, actividades de
mantenimiento, procedimientos, tcnicas y medidas que se van
a usar, as como el programa, el personal y los departamentos
responsables, el mtodo de verifcacin con respecto al
funcionamiento y los procedimientos de mantenimiento.
SIS totalmente instalado y puesto en marcha:
documentacin de instalacin; referencia a informes
de fallo; resolucin de fallos.
Logro constante de la seguridad funcional requerida para el SIS.
Debe implementarse lo siguiente: Plan F y M; procedimientos de
funcionamiento, mantenimiento y reparacin; implementacin de
procedimientos; seguimiento de los programas de mantenimiento;
documentacin de mantenimiento; ejecucin regular de auditoras
FS; documentacin de modifcaciones; documentacin cronolgica
del funcionamiento y el mantenimiento del SIS;
5. Instalacin,
puesta en marcha
y validacin
6. Funcionamiento,
mantenimiento
y reparacin
I/P
O/P
I/P
O/P
18
Logro constante de la seguridad funcional requerida
para el SIS. Debe implementarse lo siguiente:
Plan F y M;
funcionamiento, mantenimiento y procedimientos de
reparacin.
implementacin de procedimiento;
seguimiento de programas de mantenimiento;
mantenimiento de documentacin;
ejecucin de auditoras regulares FS;
documentacin de modifcaciones;
documentacin cronolgica del funcionamiento y
el mantenimiento del SIS.
Logro de la seguridad funcional requerida para el SIS,
durante y despus de que se haya llevado a cabo el
mantenimiento de la fase de modifcacin. La modifcacin
solamente debe iniciarse tras una solicitud autorizada con
arreglo al procedimiento para la Gestin FS. La solicitud
debe incluir: los peligros que pueden verse afectados;
cambio propuesto (hardware y software); razn del cambio.
Debe llevarse a cabo un anlisis de impacto. Documentacin
cronolgica del funcionamiento y mantenimiento del SIS.
7. Modifcacin
8. Desmantelamiento
I/P
O/P
Peligros e identificacin de peligros
19
3. Peligros e identificacin de peligros
En la Figura 7 se muestra la fase del ciclo de vida aplicable.
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 8.1, es determinar:
Los peligros/eventos peligrosos del proceso y del equipo asociado, la secuencia
de eventos que lleva al peligro y a los riesgos del proceso implicados [3.2 3.7];
Los requisitos de la reduccin de riesgos [5 y 6];
Las funciones de seguridad necesarias para conseguir la reduccin de riesgos
necesaria [7 y 8].
G
e
s
t
i
n

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
,
e
v
a
l
u
a
c
i
n

y

a
u
d
i
t
o
r
a

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
10
E
s
t
r
u
c
t
u
r
a

y

p
l
a
n
i
f
c
a
c
i
n

d
e
l

c
i
c
l
o

d
e

v
i
d
a

d
e

l
a

s
e
g
u
r
i
d
a
d
11
V
e
r
i
f
c
a
c
i
n
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
2
Requisitos de seguridad
Especifcacin para el SIS
3
Diseo e ingeniera
para el SIS
4
y validacin
5
Funcionamiento y
mantenimiento
6
Modifcacin 7
Desmantelamiento 8
Figura 7: Fase 1 del ciclo de vida
20
3.2. Peligros
El significado de la palabra peligro puede resultar algo confuso. A menudo los
diccionarios no ofrecen definiciones especficas, o combinan esta palabra con el trmino
riesgo, por ejemplo, como peligro o riesgo, lo que explica por qu muchas personas
utilicen ambos trminos de forma intercambiable.
En el contexto de la seguridad funcional, los peligros son eventos que tienen el potencial
de ocasionar daos tales como lesiones personales, efectos nocivos en el medio ambiente
o perjuicios al negocio.
Entre los ejemplos de peligros en casa se incluyen:
Cristal roto, ya que puede ocasionar cortes;
Charcos de agua, ya que pueden causar resbalones y cadas;
Demasiados enchufes en una toma, ya que pueden sobrecargarla y producir un
incendio.
Entre los ejemplos de peligros en el trabajo se incluyen:
Nivel de ruido elevado, ya que puede ocasionar prdida auditiva;
Respirar polvo de asbesto, ya que puede ocasionar cncer.
Entre los ejemplos de peligros en la industria de proceso se incluyen:
El nivel de lquido en una cmara: el nivel alto puede ocasionar derrames de
lquido en los caudales de gas, o el desbordamiento de un producto qumico o de
un lquido inflamable; el nivel bajo puede ocasionar que las bombas funcionen en
vaco, o un arrastre de gas hacia las cmaras anteriores en el proceso.
La presin de lquido en una cmara: la presin alta puede ocasionar prdidas
de contencin, fugas o la rotura de la cmara.
El primer paso para evaluar el riesgo es identificar los peligros. Aunque se utilizan
diferentes tcnicas para identificar peligros, la de uso ms comn es el Estudio de Peligros
y Operabilidad (HAZOP).
3.3. Utilizacin de HAZOP en la industria
Los estudios HAZOP fueron desarrollados originalmente en el Reino Unido por la empresa
qumica ICI despus del desastre de Flixborough del ao 1974, y empezaron a utilizarse
ms ampliamente en la industria de proceso como resultado de dicho desastre.
El sbado 1 de junio de 1974, las instalaciones de Nypro (Reino Unido) en Flixborough
sufrieron importantes daos a causa de una gran explosin en la que fallecieron
28 trabajadores y 36 resultaron heridos. Se reconoci que el nmero de vctimas podra
haber sido superior si el incidente hubiera ocurrido en un da laborable, puesto que el
21
bloque de oficinas central no estaba ocupado. Se registraron 53 casos de lesiones a
terceros fuera de las instalaciones y tambin se produjeron daos en las propiedades
de la zona circundante.
Las 18 vctimas de la sala de control fallecieron a consecuencia de la destruccin de las
ventanas y del hundimiento del techo. Nadie pudo escapar. El incendio sigui activo
durante varios das y dificult el trabajo de los equipos de rescate durante los 10 das
siguientes.
Desde la industria qumica, y a travs del intercambio general de ideas y de personal,
los HAZOP se adoptaron posteriormente en la industria petrolera, en la que existe un
potencial similar de desastres importantes. Despus fueron tambin adoptados por
las industrias alimentaria y del agua, en las que el peligro potencial es grande, pero en
las que la mayor preocupacin son los problemas de contaminacin en lugar de las
explosiones o los escapes de productos qumicos.
3.4. Motivos para utilizar un HAZOP
Aunque el diseo de la planta se basa en la aplicacin de cdigos y normas, el proceso
HAZOP permiti la posibilidad de aadir a estos una anticipacin imaginativa de las
desviaciones que podran producirse, por ejemplo, debido a condiciones o contratiempos
en los procesos, fallos de funcionamiento de los equipos o errores de los operarios.
Adems, la presin debida a la planificacin de proyectos puede traducirse en errores o
descuidos y el HAZOP permite corregirlos antes de que estas modificaciones resulten muy
caras. Al resultar muy sencillos de comprender y poder adaptarse a cualquier proceso o
negocio, los HAZOP se han convertido en la metodologa para la identificacin de riesgos
ms ampliamente utilizada.
3.5. Desviacin respecto a la finalidad del diseo
Todos los procesos, equipos bajo control o plantas industriales tienen una finalidad en
cuanto al diseo. Dicho propsito puede ser alcanzar una capacidad de produccin
objetivo en trminos de tonelaje anual de un producto qumico en particular o de un
nmero especfico de artculos fabricados.
No obstante, una importante finalidad secundaria del diseo puede ser llevar a cabo
el proceso de forma segura y eficiente y, para hacerlo, se requiere que cada uno de los
elementos del equipo funcione de forma efectiva. Este aspecto puede considerarse la
finalidad del diseo para ese elemento especfico del equipo.
Por ejemplo, como parte de los requisitos de produccin de nuestra planta podemos
necesitar unas instalaciones de enfriamiento de agua que contengan un circuito de
enfriamiento de agua con una bomba de circulacin y un intercambiador de calor, tal
y como se muestra en la Figura 8.
22
La finalidad del diseo de esta pequea seccin de la planta podra ser hacer circular de
forma continua agua de enfriamiento a una temperatura de X C y a una tasa de XXX
litros/hora. Normalmente, los estudios HAZOP se dirigen a esta finalidad del diseo de
nivel bajo. El uso de la palabra desviacin resulta ahora ms sencillo de comprender.
Una desviacin o divergencia respecto a la finalidad del diseo en el caso de nuestras
instalaciones de enfriamiento de agua sera la reduccin del flujo de circulacin o el
aumento de la temperatura del agua.
Tenga en cuenta la diferencia entre la desviacin y su causa. En el caso anterior, el fallo de
la bomba sera una causa, no una desviacin.
En este ejemplo, el aumento en la temperatura del agua sera el peligro, ya que tendra el
potencial de ocasionar daos como, por ejemplo, lesiones personales, efectos nocivos en
el medio ambiente o perjuicios al negocio.
3.6. Tcnica de estudios HAZOP
Los estudios HAZOP se utilizan para identificar peligros potenciales y problemas de
operabilidad ocasionados por desviaciones respecto a la finalidad del diseo, tanto en
plantas de procesos nuevas como existentes. Por lo general estos estudios se llevan a
cabo peridicamente durante la vida til de la planta. Por supuesto debe realizarse un
estudio HAZOP inicial o preliminar en los momentos iniciales de la fase de diseo. El
proceso debe revisarse a medida que progrese el desarrollo y siempre que se propongan
modificaciones importantes y, por ltimo, al final del desarrollo para garantizar que no
existan riesgos residuales antes de la fase de construccin.
Intercambiador
de calor
Suministro de
enfriamiento
Bomba
Depsito
Ventilador de
enfriamiento
Figura 8: Finalidad del diseo
23
El estudio HAZOP se lleva a cabo en un foro de encuentro entre las partes interesadas con
conocimientos y experiencia suficientes sobre el funcionamiento y el mantenimiento de
la planta. La reunin es una sesin de tormenta de ideas estructurada, en la que se
utilizan palabras gua para estimular ideas acerca de cules podran ser los peligros. En el
acta de la reunin se registran los temas de discusin y se rene la informacin acerca de
peligros potenciales, sus causas y sus consecuencias.
3.6.1. Equipo del estudio HAZOP
Es importante que el equipo del estudio HAZOP est formado por personal que aporte al
estudio el mejor equilibrio entre conocimientos y experiencia, teniendo en cuenta el tipo
de planta. Un equipo del estudio HAZOP tpico est formado del siguiente modo:
3.6.2. Informacin utilizada en el estudio HAZOP
Los siguientes elementos deben estar a disposicin del equipo del estudio HAZOP para
consultarlos:
Diagramas de tuberas e instrumentacin (P&ID) de las instalaciones;
Documentos de descripcin de procesos o de filosofa;
Procedimientos de funcionamiento y mantenimiento existentes;
Grficas de causas y efectos (C&E);
Esquemas de disposicin de la planta.
Nombre Puesto
Presidente Explicar el proceso HAZOP, mantener conversaciones y facilitar el HAZOP.
Alguien con experiencia en HAZOP, pero no involucrado directamente en
el diseo, para asegurarse de que el mtodo se siga en detalle.
Secretaria Registrar el acta de la reunin sobre HAZOP y facilitar un registro visible
de las charlas. Registrar recomendaciones o acciones.
Ingeniero de procesos Generalmente el ingeniero responsable del diagrama de flujo de
proceso y del desarrollo de los diagramas de tuberas e instrumentacin
(P y ID).
Usuario/operario Asesorar sobre el uso y la operabilidad del proceso y el efecto de las
desviaciones.
Especialista C e I Alguien con conocimientos tcnicos relevantes en materia de control e
instrumentacin.
Encargado de
mantenimiento
Persona encargada del mantenimiento del proceso.
Representante del
equipo de diseo
Asesorar sobre cualquier detalle de diseo o facilitar informacin
complementaria.
24
3.6.3. Procedimiento HAZOP
El procedimiento HAZOP implica partir de una descripcin completa del proceso y
cuestionar de forma sistemtica cada una de las fases del mismo para establecer qu
efecto negativo sobre el funcionamiento seguro y eficiente de la planta pueden tener
la desviaciones respecto a la finalidad del diseo.
El equipo del estudio HAZOP aplica el procedimiento de forma estructurada y depende
de que sus miembros recurran a su imaginacin para identificar peligros crebles.
En la prctica, muchos de los peligros sern obvios, como el aumento de temperatura,
pero el punto fuerte de la tcnica reside en la capacidad de descubrir peligros menos
obvios aunque pudieran parecer improbables a primera vista.
3.6.4. Palabras gua
En el proceso del estudio HAZOP se utilizan palabras gua para centrar la atencin del
equipo en las desviaciones respecto a la finalidad del diseo, sus posibles causas y
consecuencias. Estas palabras gua se dividen en dos subgrupos:
Palabras gua primarias, que centran la atencin en un aspecto en particular de
la finalidad del diseo o una condicin o parmetro asociados al proceso como,
por ejemplo, el flujo, la temperatura, la presin, el nivel, etc.;
Palabras gua secundarias que, combinadas con una palabra gua, sugieren
posibles desviaciones como, por ejemplo, mayor temperatura, menor nivel,
ausencia de presin, flujo inverso, etc.
La tcnica completa depende del uso efectivo de estas palabras gua, as que el equipo
debe comprender con claridad su significado y su uso.
Debe tenerse en cuenta que las palabras gua se utilizan simplemente para estimular
la imaginacin sobre lo que podra ocurrir. No todas las palabras gua tendrn mucho
sentido; no todos los peligros sern crebles. En estos casos, se recomienda que en caso
de que el equipo identifique eventos sin mucho sentido o no crebles, se registren como
tales y el equipo no pierda tiempo en continuar con su trabajo.
3.6.5. Modos de funcionamiento
Puesto que un HAZOP es un estudio de peligros y operabilidad, es importante tener
en cuenta no solo el funcionamiento normal del proceso, sino tambin otros modos
anormales como, por ejemplo, puesta en servicio, desactivacin, llenado, vaciado,
derivacin y prueba de calidad.
25
Para hacerlo se debe considerar cada uno de los modos de funcionamiento especificados en
el alcance, como ejercicio independiente y produciendo un anlisis HAZOP independiente
para cada uno. Como alternativa, en el caso de sistemas relativamente sencillos, puede
incluirse una columna adicional en las hojas de trabajo para identificar el modo. De este
modo un solo anlisis HAZOP puede considerar todos los modos de funcionamiento.
3.6.6. Registro del estudio HAZOP
Existen herramientas de software disponibles para guiarle a lo largo del proceso del
estudio HAZOP. Como alternativa puede elaborarse una sencilla hoja de clculo, para
registrar los debates y los resultados. Las hojas de clculo permiten realizar de forma
sencilla la clasificacin y la categorizacin, a la vez que proporcionan visibilidad y facilidad
de rastreo entre las diferentes entradas, de modo que se puedan mantener referencias
cruzadas con otros anlisis.
Se recomienda registrar cada evento y la combinacin de palabras gua considerada. En
los casos en que resulte aplicable, puede anotarse: Causa no creble; Sin consecuencias;
Sin peligro. Esto representa un registro completo y se traduce en un informe HAZOP que
demuestra que se ha llevado a cabo un estudio exhaustivo y riguroso. Esto ser
inapreciable en la evaluacin de la seguridad y de la operabilidad de modificaciones
posteriores a la planta.
Adems de lo anterior, con frecuencia se utilizan las palabras secundarias Todo y Resto.
Por ejemplo, determinadas combinaciones de palabras gua primarias pueden identificarse
como representantivas de causas crebles (por ejemplo, Flujo/No Flujo/Retroceso. En el caso
de otras combinaciones (Flujo/Menos, Flujo/Ms, Flujo/Otro), en las que no pueden utilizarse
causas crebles, puede utilizarse la combinacin Flujo/Resto.
3.6.7. Identificacin de peligros Encabezados de las hojas de trabajo del estudio HAZOP
En la siguiente tabla se presenta un ejemplo de hoja de trabajo del estudio HAZOP para
la cmara de descompresin. Tenga en cuenta que se trata de un ejemplo meramente
figurativo que no est pensado para ilustrar el sistema real.
Referencia
Siempre vale la pena incluir una columna de referencia de modo que pueda hacerse
referencia a cada entrada desde otros anlisis, lo que hace posible tambin la facilidad
de rastreo para un anlisis posterior (por ejemplo, un LOPA [8]).
Palabras gua
Deben utilizarse palabras gua primarias y secundarias. En Internet pueden encontrarse
varias listas de palabras gua aplicables a diferentes negocios e industrias.
26
Desviacin
La desviacin es la divergencia respecto a la finalidad del diseo iniciada por las palabras
gua primarias y secundarias, y representa el peligro identificado.
Causa
Causas potenciales que podran ocasionar una desviacin. Es importante incluir
informacin especfica sobre la causa. Por ejemplo, si nos preocupara un aumento en
la concentracin de oxgeno ocasionada por un fallo en el sensor de O2, el sensor podra
fallar de diferentes formas, pero nicamente leer una concentracin falsa baja de O2
tendra como resultado la condicin peligrosa.
Consecuencia
Las consecuencias que podran surgir del efecto de la desviacin y, si resulta apropiado,
de la propia causa. Siempre sea explcito al registrar las consecuencias. No d por hecho
que el lector comprender ms adelante cul es el peligro o cmo se desarrollarn las
consecuencias.
Al documentar consecuencias es importante recordar que el estudio HAZOP puede
utilizarse para determinar el riesgo, por lo que resulta esencial una descripcin total y
completa de cmo podra desarrollarse el peligro y ocasionar consecuencias. Por ejemplo,
las consecuencias pueden describirse como:
Sobrepresin potencial que provoca la ruptura de tuberas de descarga de gas y la prdida de
contencin. Liberacin de un gran volumen de gas que se enciende en el escape caliente de
la mquina y que produce una explosin o un fuego repentino con un nmero potencial de
vctimas de hasta dos miembros del personal de mantenimiento. Daos en el compresor
valorados de hasta 2 million, y prdida de produccin durante hasta 1 ao.
Al evaluar las consecuencias es importante no contabilizar los sistemas o
instrumentos de proteccin que ya estn incluidos en el diseo.
Dispositivos de seguridad
En esta columna se registran todos los dispositivos de proteccin existentes que ya sea
eviten la causa o que protejan contra las consecuencias. Es necesario que los dispositivos
de seguridad no se limiten al hardware; si resulta adecuado, pueden contabilizarse
aspectos de procedimiento tales como inspecciones regulares de la planta (si est seguro
de que realmente se realizan Y de que pueden actuar como prevencin o proteccin).
27
3.7. Ejemplo de HAZOP
3.7.1. Cmara separadora
En el siguiente ejemplo se muestra un esquema simplificado de una cmara separadora
de procesamiento. La cmara recibe el lquido de proceso, que se calienta por medio de
un quemador a gas. El vapor se separa del lquido de proceso y se libera para ser
exportado. El lquido concentrado restante se extrae de la parte inferior de la cmara una
vez que finaliza la reaccin (Figura 9).
La cmara incorpora un sistema de control distribuido (DCS), que controla el nivel de
lquido dentro de la cmara, as como la presin y la temperatura del gas.
En el siguiente diagrama se muestra un ejemplo de HAZOP para esta cmara separadora.
Exportacin
lquido
Suministro
gas combustible
Importacin
lquido
Exportacin
gas
XV101
LL101
TT100
FCV100
FCV100 XV100
T
P
Quemador
LH101
FCV102
XV102
PT102
LH
LL
Figura 9: Cmara separadora
28
3.7.2. HAZOP de la cmara separadora
R
e
f
.
P
a
l
a
b
r
a

g
u
a

p
r
i
m
a
r
i
a
P
a
l
a
b
r
a

g
u
a

s
e
c
u
n
d
a
r
i
a
D
e
s
v
i
a
c
i
n
P
e
l
i
g
r
o
C
o
n
s
e
c
u
e
n
c
i
a
0
1
.
0
1
F
l
u
j
o

e
l
e
v
a
d
o

d
e

l
q
u
i
d
o

d
e

p
r
o
c
e
s
o

e
n

l
a

c
m
a
r
a
.
U
n

f
u
j
o

e
l
e
v
a
d
o

e
n

l
a

c
m
a
r
a

p
u
e
d
e

d
a
r

l
u
g
a
r

a

u
n

n
i
v
e
l

e
l
e
v
a
d
o
,

c
o
n

a
r
r
a
s
t
r
e

d
e

l
q
u
i
d
o

a

l
a

e
x
p
o
r
t
a
c
i
n

d
e

g
a
s
.
L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

e
n

l
a

r
a
m
a

d
e
s
c
e
n
d
e
n
t
e

r
e
q
u
i
e
r
e
n

l
a

s
u
s
t
i
t
u
c
i
n

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

1
0
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

6

m
e
s
e
s
.

0
1
.
0
2
F
l
u
j
o

e
l
e
v
a
d
o

d
e
l

l
q
u
i
d
o

d
e

p
r
o
c
e
s
o

f
u
e
r
a

d
e
s
d
e

l
a

e
x
p
o
r
t
a
c
i
n

d
e

l
q
u
i
d
o

d
e

l
a

c
m
a
r
a
.
U
n

f
u
j
o

e
l
e
v
a
d
o

d
e
s
d
e

l
a

c
m
a
r
a

p
u
e
d
e

d
a
r

l
u
g
a
r

a

u
n

n
i
v
e
l

b
a
j
o
,

f
u
g
a

d
e

g
a
s

e
n

l
a

e
x
p
o
r
t
a
c
i
n

d
e

l
q
u
i
d
o
.
L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

e
n

l
a

r
a
m
a

d
e
s
c
e
n
d
e
n
t
e

r
e
q
u
i
e
r
e
n

l
a

l
i
m
p
i
e
z
a

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

2
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

6

s
e
m
a
n
a
s
.

0
1
.
0
3
F
l
u
j
o

e
l
e
v
a
d
o

d
e

g
a
s

h
a
c
i
a

f
u
e
r
a

d
e
s
d
e

l
a

e
x
p
o
r
t
a
c
i
n

d
e

g
a
s

d
e

l
a

c
m
a
r
a
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

0
1
.
0
4
F
l
u
j
o

b
a
j
o

d
e

l
q
u
i
d
o

d
e

p
r
o
c
e
s
o

e
n

l
a

c
m
a
r
a
.
U
n

f
u
j
o

b
a
j
o

h
a
c
i
a

l
a

c
m
a
r
a

p
u
e
d
e

d
a
r

l
u
g
a
r

a

u
n

n
i
v
e
l

b
a
j
o
,

f
u
g
a

d
e

g
a
s

e
n

l
a

e
x
p
o
r
t
a
c
i
n

d
e

l
q
u
i
d
o
.
L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

e
n

l
a

r
a
m
a

d
e
s
c
e
n
d
e
n
t
e

r
e
q
u
i
e
r
e
n

l
a

l
i
m
p
i
e
z
a

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

2
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

6

s
e
m
a
n
a
s
.

0
1
.
0
5
F
l
u
j
o

b
a
j
o

d
e
l

l
q
u
i
d
o

d
e

p
r
o
c
e
s
o

f
u
e
r
a

d
e
s
d
e

l
a

e
x
p
o
r
t
a
c
i
n

d
e

l
q
u
i
d
o

d
e

l
a

c
m
a
r
a
.
U
n

f
u
j
o

b
a
j
o

d
e
s
d
e

l
a

c
m
a
r
a

p
u
e
d
e

d
a
r

l
u
g
a
r

a

u
n

n
i
v
e
l

e
l
e
v
a
d
o
,

c
o
n

a
r
r
a
s
t
r
e

d
e

l
q
u
i
d
o

a

l
a

e
x
p
o
r
t
a
c
i
n

d
e

g
a
s
.
L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

e
n

l
a

r
a
m
a

d
e
s
c
e
n
d
e
n
t
e

r
e
q
u
i
e
r
e
n

l
a

s
u
s
t
i
t
u
c
i
n

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

1
0
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

6

m
e
s
e
s
.

0
1
.
0
6
F
l
u
j
o

b
a
j
o

d
e

g
a
s

h
a
c
i
a

f
u
e
r
a

d
e
s
d
e

l
a

e
x
p
o
r
t
a
c
i
n

d
e

g
a
s

d
e

l
a

c
m
a
r
a
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

0
1
.
0
7
R
e
t
r
o
c
e
s
o
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

0
1
.
0
8
T
a
m
b
i
n
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

0
1
.
0
9
O
t
r
o
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

0
1
.
1
0
M
s
P
r
e
s
i
n

e
l
e
v
a
d
a

e
n

l
a

c
m
a
r
a
.

R
o
t
u
r
a

d
e

l
a

c
m
a
r
a

y

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s
.

L
a

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s

p
r
e
n
d
e

e
n

e
l

q
u
e
m
a
d
o
r

y

l
a
s

s
u
p
e
r
f
c
i
e
s

c
a
l
i
e
n
t
e
s
.

P
o
s
i
b
l
e
m
e
n
t
e

d
o
s

v
c
t
i
m
a
s

e
n
t
r
e

e
l

p
e
r
s
o
n
a
l

d
e

m
a
n
t
e
n
i
m
i
e
n
t
o
.

L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

r
e
q
u
i
e
r
e
n

l
a

s
u
s
t
i
t
u
c
i
n

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

1
0
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

1

a
o
.

E
m
i
s
i
n

l
e
v
e

a
l

m
e
d
i
o

a
m
b
i
e
n
t
e
.

0
1
.
1
1
M
e
n
o
s
P
r
e
s
i
n

b
a
j
a

e
n

l
a

c
m
a
r
a
.

R
o
t
u
r
a

d
e

l
a

c
m
a
r
a

y

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s
.

L
a

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s

p
r
e
n
d
e

e
n

e
l

q
u
e
m
a
d
o
r

y

l
a
s

s
u
p
e
r
f
c
i
e
s

c
a
l
i
e
n
t
e
s
.

P
o
s
i
b
l
e
m
e
n
t
e

d
o
s

v
c
t
i
m
a
s

e
n
t
r
e

e
l

p
e
r
s
o
n
a
l

d
e

m
a
n
t
e
n
i
m
i
e
n
t
o
.

L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

r
e
q
u
i
e
r
e
n

l
a

s
u
s
t
i
t
u
c
i
n

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

1
0
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

1

a
o
.

E
m
i
s
i
n

l
e
v
e

a
l

m
e
d
i
o

a
m
b
i
e
n
t
e
.

0
1
.
1
2
R
e
t
r
o
c
e
s
o
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

0
1
.
1
3
T
a
m
b
i
n
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

0
1
.
1
4
O
t
r
o
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

0
1
.
1
5
M
s
T
e
m
p
e
r
a
t
u
r
a

e
l
e
v
a
d
a

e
n

l
a

c
m
a
r
a
.
U
n
a

t
e
m
p
e
r
a
t
u
r
a

e
l
e
v
a
d
a

c
o
n
l
l
e
v
a

u
n
a

p
r
e
s
i
n

e
l
e
v
a
d
a
,

l
a

r
o
t
u
r
a

d
e

l
a

c
m
a
r
a

y

l
a

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s
.

L
a

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s

p
r
e
n
d
e

e
n

e
l

q
u
e
m
a
d
o
r

y

l
a
s

s
u
p
e
r
f
c
i
e
s

c
a
l
i
e
n
t
e
s
.

P
o
s
i
b
l
e
m
e
n
t
e

d
o
s

v
c
t
i
m
a
s

e
n
t
r
e

e
l

p
e
r
s
o
n
a
l

d
e

m
a
n
t
e
n
i
m
i
e
n
t
o
.

L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

r
e
q
u
i
e
r
e
n

l
a

s
u
s
t
i
t
u
c
i
n

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

1
0
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

1

a
o
.

E
m
i
s
i
n

l
e
v
e

a
l

m
e
d
i
o

a
m
b
i
e
n
t
e
.

0
1
.
1
6
M
e
n
o
s
T
e
m
p
e
r
a
t
u
r
a

b
a
j
a

e
n

l
a

c
m
a
r
a
.
C
o
n
g
e
l
a
c
i
n

p
o
t
e
n
c
i
a
l

d
e
l

l
q
u
i
d
o

(
s
o
l
i
d
i
f
c
a
c
i
n
)
,

r
o
t
u
r
a

d
e

l
a

c
m
a
r
a

y

p
r
d
i
d
a

d
e

c
o
n
t
e
n
c
i
n
.
L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

r
e
q
u
i
e
r
e
n

l
a

s
u
s
t
i
t
u
c
i
n

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

1
0
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

6

m
e
s
e
s
.

E
m
i
s
i
o
n
e
s

a
l

m
e
d
i
o

a
m
b
i
e
n
t
e

q
u
e

r
e
q
u
i
e
r
e
n

n
o
t
i
f
c
a
c
i
n
.

0
1
.
1
7
R
e
t
r
o
c
e
s
o
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

0
1
.
1
8
T
a
m
b
i
n
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

0
1
.
1
9
O
t
r
o
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

0
1
.
2
0
M
s
N
i
v
e
l

e
l
e
v
a
d
o

e
n

l
a

c
m
a
r
a
.
U
n

n
i
v
e
l

e
l
e
v
a
d
o

e
n

l
a

c
m
a
r
a

p
u
e
d
e

d
a
r

l
u
g
a
r

a

a
r
r
a
s
t
r
e

d
e

l
q
u
i
d
o

e
n

l
a

e
x
p
o
r
t
a
c
i
n

d
e

g
a
s
.
L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

e
n

l
a

r
a
m
a

d
e
s
c
e
n
d
e
n
t
e

r
e
q
u
i
e
r
e
n

l
a

s
u
s
t
i
t
u
c
i
n

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

1
0
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

6

m
e
s
e
s
.

0
1
.
2
1
M
e
n
o
s
N
i
v
e
l

b
a
j
o

e
n

l
a

c
m
a
r
a
.
U
n

n
i
v
e
l

b
a
j
o

e
n

l
a

c
m
a
r
a

p
u
e
d
e

d
a
r

l
u
g
a
r

a

f
u
g
a

d
e

g
a
s

e
n

l
a

e
x
p
o
r
t
a
c
i
n

d
e

l
q
u
i
d
o
.
L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

e
n

l
a

r
a
m
a

d
e
s
c
e
n
d
e
n
t
e

r
e
q
u
i
e
r
e
n

l
a

l
i
m
p
i
e
z
a

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

2
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

6

s
e
m
a
n
a
s
.

0
1
.
2
2
R
e
t
r
o
c
e
s
o
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

0
1
.
2
3
T
a
m
b
i
n
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

0
1
.
2
4
O
t
r
o
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

N
i
v
e
l
F
l
u
j
o
M
s
M
e
n
o
s
P
r
e
s
i
n
T
e
m
p
e
r
a
t
u
r
a
29
3.7.3. Resultados del HAZOP
En resumen, los peligros identificados son:
La lista de peligros identificados forma un registro de peligros del sistema. El registro de
peligros debe ser un documento activo durante el ciclo de vida del sistema, al que se
puedan aadir datos o que pueda ser revisado a medida que se completen otros estudios.
Cada uno de los peligros identificados podra tener consecuencias en la seguridad,
medioambientales o comerciales pero, con el fin de responder a nuestras obligaciones
conforme a la Ley de Salud y Seguridad en el Trabajo [1.5.1], debemos determinar el nivel
de riesgo asociado a cada uno de los peligros [4].
Peligro Consecuencia
Un nivel elevado en la
cmara puede dar lugar a
arrastre de lquido a la
exportacin de lquido.
Los daos al equipo en la rama descendente requieren sustituir la
cmara, valorada en 10M, e interrupcin del proceso de 6 meses.
La presin elevada causa
la rotura de la cmara y
la liberacin de gas.
Gas liberado prende en el quemador y en superficies calientes.
Posiblemente dos vctimas del personal de mantenimiento.
Daos al equipo requieren sustituir la cmara, valorada en 10M, e
interrupcin del proceso de 1 ao. Emisin leve al medio ambiente.
La temperatura elevada
conlleva presin elevada,
rotura de la cmara y
liberacin de gas.
Un nivel bajo en la cmara
puede dar lugar a fuga de
gas a la exportacin de
lquido.
Los daos al equipo en la rama descendente requieren limpieza de la
cmara, valorada en 2M, e interrupcin del proceso de 6 semanas.
Una presin baja causa
la rotura de la cmara y
la liberacin de gas.
Baja temperatura,
congelacin potencial del
lquido (solidificacin),
prdida de contencin.
interrupcin del proceso de 6 meses. Emisiones al medio ambiente
que requieren notificacin.
30
4. Riesgo y reduccin de riesgos
4.1. Concepto de riesgo
Un riesgo es la posibilidad de que un peligro cause un efecto adverso que pueda medirse.
Se trata, por lo tanto, de un concepto con dos partes y, para que tenga sentido, es
necesario contar con ambas partes. Las posibilidades pueden expresarse de diferentes
formas como, por ejemplo, una probabilidad: 1 caso de cada 1000; como frecuencia o
tasa: 1000 casos al ao; o de forma cualitativa: insignificantes o significativas.
El efecto puede describirse de muchas formas diferentes. Por ejemplo:
Lesiones graves o fallecimiento de un nico empleado;
Mltiples lesiones a terceros;
Poblacin general expuesta a un gas txico.
El riesgo anual de que un empleado sufra un accidente mortal [efecto] en su puesto
laboral debido al contacto con maquinaria en movimiento [peligro] es inferior a 1 por
cada 100,000 [posibilidad].
Es necesario, por lo tanto, cuantificar el riesgo en dos dimensiones. Debe valorarse el
impacto, o sea las consecuencias del peligro, y debe evaluarse la probabilidad de suceso.
Para simplificar, valore cada uno en una escala del 1 al 4, tal y como se muestra en la
Figura 10, en la que, cuanto mayor es el nmero, mayor es el impacto o la probabilidad
de suceso. Como principio general, al utilizar una matriz de riesgos como esta, puede
establecerse una prioridad y evaluarse el riesgo.
Si la probabilidad de suceso es alta y la gravedad de la consecuencia es baja, esto podra
representar un riesgo Medio. Por otra parte, si la gravedad de la consecuencia es alta y la
Gravedad de la consecuencia
Baja
1
1
2
3
4
2 3 4
Alta
Media Crtica
P
r
o
b
a
b
i
l
i
d
a
d

d
e

q
u
e

o
c
u
r
r
a
Figura 10: Matriz de riesgos
Riesgo y reduccin de riesgos
31
probabilidad de suceso es baja, el riesgo podra considerarse Alto. Por lo general, una
oportunidad remota de que se produzca un evento catastrfico debera requerir mayor
atencin que una molestia menor que se da con frecuencia.
Hasta ahora, los ejemplos de riesgos estn relacionados nicamente a la seguridad del
personal, pero no existe ninguna razn para no adoptar el mismo enfoque con riesgos
medioambientales, al negocio en trminos de riesgos a un activo o a la capacidad de
obtener ingresos o incluso a la reputacin de una empresa, adems de para la seguridad
en lo que respecta a los problemas de suministro que pueden afectar a las empresas de
generacin energtica.
4.2. Anlisis de peligros (HAZAN)
A primera vista, puede llevarse a cabo una evaluacin de riesgos como parte del HAZOP,
lo que se conoce como anlisis de peligro (HAZAN). Como se muestra en la Figura 10,
cada peligro puede categorizarse en trminos de su gravedad (normalmente del 1 al 4,
siendo el 4 el ms grave) y de su probabilidad de suceso, o frecuencia (del 1 al 4, siendo
el 4 el ms probable).
Es posible desarrollar el ejemplo de HAZOP [3.7.2] y al multiplicar las categoras de
gravedad y frecuencia se obtiene una medicin preliminar de riesgo en forma de un
nmero de prioridad del riesgo (RPN) que puede utilizarse para priorizar acciones de
reduccin de riesgos, [4.3].
4.3. HAZAN de la cmara separadora
La columna Accin ofrece la oportunidad de realizar recomendaciones para iniciar una
accin correctiva, tal como investigar qu dispositivos de seguridad adicionales pueden
implementarse.
Las posibles acciones se clasifican en dos grupos:
Acciones que eliminan la causa;
Acciones que mitigan las consecuencias.
Eliminar la causa del peligro es siempre la solucin preferida. nicamente cuando no sea
factible, se debe considerar la opcin de mitigar las consecuencias.
4.3.1. Acciones del HAZOP
En las hojas de trabajo del HAZOP se identifican asimismo acciones para investigar a
mayor profundidad. En este ejemplo se identificaron las siguientes acciones.
32
R
e
f
.
D
e
s
v
i
a
c
i
n
P
e
l
i
g
r
o
C
o
n
s
e
c
u
e
n
c
i
a
C
a
t
.

g
r
a
v
.
C
a
t
.

f
r
e
c
.
R
P
N
D
i
s
p
o
s
i
t
i
v
o
s

d
e

s
e
g
u
r
i
d
a
d
A
c
c
i
n
0
1
.
0
1
F
l
u
j
o

e
l
e
v
a
d
o

d
e

l
q
u
i
d
o

d
e

p
r
o
c
e
s
o

e
n

l
a

c
m
a
r
a
.
U
n

f
u
j
o

e
l
e
v
a
d
o

e
n

l
a

c
m
a
r
a

p
u
e
d
e

d
a
r

l
u
g
a
r

a

u
n

n
i
v
e
l

e
l
e
v
a
d
o
,

c
o
n

a
r
r
a
s
t
r
e

d
e

l
q
u
i
d
o

a

l
a

e
x
p
o
r
t
a
c
i
n

d
e

g
a
s
.
L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

e
n

l
a

r
a
m
a

d
e
s
c
e
n
d
e
n
t
e

r
e
q
u
i
e
r
e
n

l
a

s
u
s
t
i
t
u
c
i
n

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

1
0
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

6

m
e
s
e
s
.

3
2
6
C
o
n
t
r
o
l

d
e

n
i
v
e
l
.
C
o
n
s
i
d
e
r
a
r

l
a

i
n
s
t
a
l
a
c
i
n

d
e

u
n
a

a
l
a
r
m
a

d
e

n
i
v
e
l

e
l
e
v
a
d
o
.
0
1
.
0
2
F
l
u
j
o

e
l
e
v
a
d
o

d
e
l

l
q
u
i
d
o

d
e

p
r
o
c
e
s
o

f
u
e
r
a

d
e
s
d
e

l
a

e
x
p
o
r
t
a
c
i
n

d
e

l
q
u
i
d
o

d
e

l
a

c
m
a
r
a
.
U
n

f
u
j
o

e
l
e
v
a
d
o

d
e
s
d
e

l
a

c
m
a
r
a

p
u
e
d
e

d
a
r

l
u
g
a
r

a

u
n

n
i
v
e
l

b
a
j
o
,

f
u
g
a

d
e

g
a
s

e
n

e
l

l
q
u
i
d
o
.
L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

e
n

l
a

r
a
m
a

d
e
s
c
e
n
d
e
n
t
e

r
e
q
u
i
e
r
e
n

l
a

l
i
m
p
i
e
z
a

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

2
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

6

s
e
m
a
n
a
s
.
2
1
2
C
o
n
t
r
o
l

d
e

n
i
v
e
l
.
C
o
n
s
i
d
e
r
a
r

l
a

i
n
s
t
a
l
a
c
i
n

d
e

u
n
a

a
l
a
r
m
a

d
e

n
i
v
e
l

b
a
j
o
.
0
1
.
0
3
F
l
u
j
o

e
l
e
v
a
d
o

d
e

g
a
s

h
a
c
i
a

f
u
e
r
a

d
e
s
d
e

l
a

e
x
p
o
r
t
a
c
i
n

d
e

g
a
s

d
e

l
a

c
m
a
r
a
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

N
i
n
g
u
n
a
.
0
1
.
0
4
F
l
u
j
o

b
a
j
o

d
e

l
q
u
i
d
o

d
e

p
r
o
c
e
s
o

e
n

l
a

c
m
a
r
a
.
U
n

f
u
j
o

b
a
j
o

h
a
c
i
a

l
a

c
m
a
r
a

p
u
e
d
e

d
a
r

l
u
g
a
r

a

u
n

n
i
v
e
l

b
a
j
o
,

f
u
g
a

d
e

g
a
s

e
n

e
l

l
q
u
i
d
o
.
L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

e
n

l
a

r
a
m
a

d
e
s
c
e
n
d
e
n
t
e

r
e
q
u
i
e
r
e
n

l
a

l
i
m
p
i
e
z
a

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

2
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

6

s
e
m
a
n
a
s
.

2
2
4
C
o
n
t
r
o
l

d
e

n
i
v
e
l
.
C
o
n
s
i
d
e
r
a
r

l
a

i
n
s
t
a
l
a
c
i
n

d
e

u
n
a

a
l
a
r
m
a

d
e

n
i
v
e
l

b
a
j
o
.
0
1
.
0
5
F
l
u
j
o

b
a
j
o

d
e
l

l
q
u
i
d
o

d
e

p
r
o
c
e
s
o

f
u
e
r
a

d
e
s
d
e

l
a

e
x
p
o
r
t
a
c
i
n

d
e

l
q
u
i
d
o

d
e

l
a

c
m
a
r
a
.
U
n

f
u
j
o

b
a
j
o

d
e
s
d
e

l
a

c
m
a
r
a

p
u
e
d
e

d
a
r

l
u
g
a
r

a

u
n

n
i
v
e
l

e
l
e
v
a
d
o
,

c
o
n

a
r
r
a
s
t
r
e

d
e

l
q
u
i
d
o

a

l
a

e
x
p
o
r
t
a
c
i
n

d
e

g
a
s
.
L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

e
n

l
a

r
a
m
a

d
e
s
c
e
n
d
e
n
t
e

r
e
q
u
i
e
r
e
n

l
a

s
u
s
t
i
t
u
c
i
n

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

1
0
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

6

m
e
s
e
s
.

3
1
3
C
o
n
t
r
o
l

d
e

n
i
v
e
l
.
C
o
n
s
i
d
e
r
a
r

l
a

i
n
s
t
a
l
a
c
i
n

d
e

u
n
a

a
l
a
r
m
a

d
e

n
i
v
e
l

e
l
e
v
a
d
o
.
0
1
.
0
6
F
l
u
j
o

b
a
j
o

d
e

g
a
s

h
a
c
i
a

f
u
e
r
a

d
e
s
d
e

l
a

e
x
p
o
r
t
a
c
i
n

d
e

g
a
s

d
e

l
a

c
m
a
r
a
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

N
i
n
g
u
n
a
.
0
1
.
0
7
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

N
i
n
g
u
n
a
.
0
1
.
0
8
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

N
i
n
g
u
n
a
.
0
1
.
0
9
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

N
i
n
g
u
n
a
.
0
1
.
1
0
P
r
e
s
i
n

e
l
e
v
a
d
a

e
n

l
a

c
m
a
r
a
.
R
o
t
u
r
a

d
e

l
a

c
m
a
r
a

y

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s
.

L
a

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s

p
r
e
n
d
e

e
n

e
l

q
u
e
m
a
d
o
r

y

l
a
s

s
u
p
e
r
f
c
i
e
s

c
a
l
i
e
n
t
e
s
.

P
o
s
i
b
l
e
m
e
n
t
e

d
o
s

v
c
t
i
m
a
s

e
n
t
r
e

e
l

p
e
r
s
o
n
a
l

d
e

m
a
n
t
e
n
i
m
i
e
n
t
o
.

L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

r
e
q
u
i
e
r
e
n

l
a

s
u
s
t
i
t
u
c
i
n

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

1
0
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

1

a
o
.

E
m
i
s
i
n

l
e
v
e

a
l

m
e
d
i
o

a
m
b
i
e
n
t
e
.

4
2
8
C
o
n
t
r
o
l

d
e

p
r
e
s
i
n
.
C
o
n
s
i
d
e
r
a
r

l
a

i
n
s
t
a
l
a
c
i
n

d
e

u
n
a

a
l
a
r
m
a

d
e

n
i
v
e
l

e
l
e
v
a
d
o
.
0
1
.
1
1
P
r
e
s
i
n

b
a
j
a

e
n

l
a

c
m
a
r
a
.
R
o
t
u
r
a

d
e

l
a

c
m
a
r
a

y

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s
.

L
a

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s

p
r
e
n
d
e

e
n

e
l

q
u
e
m
a
d
o
r

y

l
a
s

s
u
p
e
r
f
c
i
e
s

c
a
l
i
e
n
t
e
s
.

P
o
s
i
b
l
e
m
e
n
t
e

d
o
s

v
c
t
i
m
a
s

e
n
t
r
e

e
l

p
e
r
s
o
n
a
l

d
e

m
a
n
t
e
n
i
m
i
e
n
t
o
.

L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

r
e
q
u
i
e
r
e
n

l
a

s
u
s
t
i
t
u
c
i
n

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

1
0
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

1

a
o
.

E
m
i
s
i
n

l
e
v
e

a
l

m
e
d
i
o

a
m
b
i
e
n
t
e
.

4
1
4
C
o
n
t
r
o
l

d
e

p
r
e
s
i
n
.
C
o
n
s
i
d
e
r
a
r

l
a

i
n
s
t
a
l
a
c
i
n

d
e

u
n
a

a
l
a
r
m
a

d
e

n
i
v
e
l

b
a
j
o
.
0
1
.
1
2
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

N
i
n
g
u
n
a
.
0
1
.
1
3
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

N
i
n
g
u
n
a
.
0
1
.
1
4
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

N
i
n
g
u
n
a
.
0
1
.
1
5
T
e
m
p
e
r
a
t
u
r
a

e
l
e
v
a
d
a

e
n

l
a

c
m
a
r
a
.
U
n
a

t
e
m
p
e
r
a
t
u
r
a

e
l
e
v
a
d
a

c
o
n
l
l
e
v
a

u
n
a

p
r
e
s
i
n

e
l
e
v
a
d
a
,

l
a

r
o
t
u
r
a

d
e

l
a

c
m
a
r
a

y

l
a

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s
.
L
a

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s

p
r
e
n
d
e

e
n

e
l

q
u
e
m
a
d
o
r

y

l
a
s

s
u
p
e
r
f
c
i
e
s

c
a
l
i
e
n
t
e
s
.

P
o
s
i
b
l
e
m
e
n
t
e

d
o
s

v
c
t
i
m
a
s

e
n
t
r
e

e
l

p
e
r
s
o
n
a
l

d
e

m
a
n
t
e
n
i
m
i
e
n
t
o
.

L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

r
e
q
u
i
e
r
e
n

l
a

s
u
s
t
i
t
u
c
i
n

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

1
0
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

1

a
o
.

E
m
i
s
i
n

l
e
v
e

a
l

m
e
d
i
o

a
m
b
i
e
n
t
e
.

4
1
4
C
o
n
t
r
o
l

d
e

t
e
m
p
e
r
a
t
u
r
a
.
C
o
n
s
i
d
e
r
a
r

l
a

i
n
s
t
a
l
a
c
i
n

d
e

u
n
a

a
l
a
r
m
a

d
e

t
e
m
p
e
r
a
t
u
r
a

e
l
e
v
a
d
a
.
0
1
.
1
6
T
e
m
p
e
r
a
t
u
r
a

b
a
j
a

e
n

l
a

c
m
a
r
a
.
C
o
n
g
e
l
a
c
i
n

p
o
t
e
n
c
i
a
l

d
e
l

l
q
u
i
d
o

(
s
o
l
i
d
i
f
c
a
c
i
n
)
,

r
o
t
u
r
a

d
e

l
a

c
m
a
r
a

y

p
r
d
i
d
a

d
e

c
o
n
t
e
n
c
i
n
.
L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

r
e
q
u
i
e
r
e
n

l
a

s
u
s
t
i
t
u
c
i
n

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

1
0
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

6

m
e
s
e
s
.

E
m
i
s
i
o
n
e
s

a
l

m
e
d
i
o

a
m
b
i
e
n
t
e

q
u
e

r
e
q
u
i
e
r
e
n

n
o
t
i
f
c
a
c
i
n
.

3
1
3
C
o
n
t
r
o
l

d
e

t
e
m
p
e
r
a
t
u
r
a
.
C
o
n
s
i
d
e
r
a
r

l
a

i
n
s
t
a
l
a
c
i
n

d
e

u
n
a

a
l
a
r
m
a

d
e

t
e
m
p
e
r
a
t
u
r
a

b
a
j
a
.
0
1
.
1
7
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

N
i
n
g
u
n
a
.
0
1
.
1
8
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

N
i
n
g
u
n
a
.
0
1
.
1
9
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

N
i
n
g
u
n
a
.
0
1
.
2
0
N
i
v
e
l

e
l
e
v
a
d
o

e
n

l
a

c
m
a
r
a
.
U
n

n
i
v
e
l

e
l
e
v
a
d
o

e
n

l
a

c
m
a
r
a

p
u
e
d
e

d
a
r

l
u
g
a
r

a

a
r
r
a
s
t
r
e

d
e

l
q
u
i
d
o

e
n

l
a

e
x
p
o
r
t
a
c
i
n

d
e

g
a
s
.
L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

e
n

l
a

r
a
m
a

d
e
s
c
e
n
d
e
n
t
e

r
e
q
u
i
e
r
e
n

l
a

s
u
s
t
i
t
u
c
i
n

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

1
0
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

6

m
e
s
e
s
.

3
2
6
C
o
n
t
r
o
l

d
e

n
i
v
e
l
.
C
o
n
s
i
d
e
r
a
r

l
a

i
n
s
t
a
l
a
c
i
n

d
e

u
n
a

a
l
a
r
m
a

d
e

n
i
v
e
l

e
l
e
v
a
d
o
.
0
1
.
2
1
N
i
v
e
l

b
a
j
o

e
n

l
a

c
m
a
r
a
.
U
n

n
i
v
e
l

b
a
j
o

e
n

l
a

c
m
a
r
a

p
u
e
d
e

d
a
r

l
u
g
a
r

a

f
u
g
a

d
e

g
a
s

e
n

l
a

e
x
p
o
r
t
a
c
i
n

d
e

l
q
u
i
d
o
.
L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

e
n

l
a

r
a
m
a

d
e
s
c
e
n
d
e
n
t
e

r
e
q
u
i
e
r
e
n

l
a

l
i
m
p
i
e
z
a

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

2
M

y

u
n
a

i
n
t
e
r
r
u
p
c
i
n

d
e
l

p
r
o
c
e
s
o

d
e

6

s
e
m
a
n
a
s
.

2
1
2
C
o
n
t
r
o
l

d
e

n
i
v
e
l
.
C
o
n
s
i
d
e
r
a
r

l
a

i
n
s
t
a
l
a
c
i
n

d
e

u
n
a

a
l
a
r
m
a

d
e

n
i
v
e
l

b
a
j
o
.
0
1
.
2
2
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

N
i
n
g
u
n
a
.
0
1
.
2
3
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

N
i
n
g
u
n
a
.
0
1
.
2
4
N
o

c
r
e
b
l
e
.
N
i
n
g
n

p
e
l
i
g
r
o

c
r
e
b
l
e
N
i
n
g
u
n
a
.

N
i
n
g
u
n
a
.
33
Ref. Peligro Consecuencia Accin Accin
asignada
Fecha de
finalizacin
01.01 Un flujo elevado en la
cmara puede dar lugar
a un nivel elevado, con
exportacin de gas.
Daos al equipo en la
rama descendente.
Considerar la
instalacin de una
alarma de nivel
elevado.
S Smith
C&I_Dept
14/04/12
01.02 Un flujo elevado desde
la cmara puede dar
lugar a un nivel bajo,
con fuga de gas a la
rama descendente.
Considerar la
instalacin de una
alarma de nivel
bajo.
S Smith
C&I_Dept
14/04/12
01.04 Un flujo bajo hacia la
cmara puede dar
lugar a un nivel bajo,
con fuga de gas a la
rama descendente.
Considerar la
instalacin de una
alarma de nivel
bajo.
S Smith
C&I_Dept
14/04/12
01.05 Un flujo bajo desde la
cmara puede dar
lugar a un nivel
elevado, con arrastre
de lquido a la
exportacin de gas.
rama descendente.
Considerar la
instalacin de una
alarma de nivel
elevado.
S Smith
C&I_Dept
14/04/12
01.10 Rotura de la cmara y
liberacin de gas.
Posibles vctimas del
personal de
mantenimiento. Daos
al equipo. Emisiones al
medio ambiente.
Considerar la
instalacin de una
alarma de presin
elevada.
J Jones Process
Dept
21/04/12
01.11 Rotura de la cmara y
liberacin de gas.
personal de
mantenimiento. Daos
medio ambiente.
Considerar la
instalacin de una
alarma de presin
baja.
J Jones Process
Dept
21/04/12
01.15 Una temperatura
elevada conlleva
presin elevada, rotura
de la cmara y
liberacin de gas.
personal de
mantenimiento. Daos
medio ambiente.
Considerar la
instalacin de una
alarma de
temperatura
elevada.
V White
C&I_Dept
21/04/12
01.16 Congelacin potencial
del lquido, rotura de la
cmara y prdida de
contencin.
Daos al equipo.
Emisiones al medio
ambiente.
Considerar la
instalacin de una
alarma de
temperatura baja.
V White
C&I_Dept
21/04/12
01.20 Un nivel elevado en la
cmara puede dar
lugar a arrastre de
lquido a la
exportacin de gas.
rama descendente.
Considerar la
instalacin de una
alarma de nivel
elevado.
S Smith
C&I_Dept
14/04/12
01.21 Un nivel bajo en la
cmara puede dar
lugar a fuga de gas a la
rama descendente.
Considerar la
instalacin de una
alarma de nivel
bajo.
S Smith
C&I_Dept
14/04/12
34
4.4. Ejemplos de categorizaciones en la matriz de riesgos
En la Figura 11 se presenta informacin similar a la sencilla matriz de riesgos utilizada
anteriormente. La gravedad de la consecuencias ha sido clasificada por medio de sencillas
descripciones genricas como, por ejemplo, secundaria, menor, grave, catastrfica, etc. Si
se ha realizado un HAZOP, probablemente se conocen las posibles consecuencias de los
peligros identificados y estos pueden ser agrupados y categorizados.
La cuantificacin de la posibilidad de suceso resulta ms difcil. En la Figura 11 se muestra
un enfoque mediante el cual la posibilidad se categoriza de forma descriptiva desde muy
frecuente (el peligro se da varias veces al ao en las instalaciones) hasta muy raras veces
(nunca visto en la industria o nunca visto en ninguna industria). Con una descripcin
cualitativa de la posibilidad de suceso es posible asignar rangos de frecuencia a cada
categora.
La tabla resultante permite de este modo categorizar los riesgos de muy bajos (VL),
bajos (L), medios (M), altos (H) a muy altos (VH), de acuerdo a la categora de gravedad
y a la frecuencia.
35
N
u
n
c
a

c
o
n
s
t
a
t
a
d
o

e
n

n
i
n
g
u
n
a

i
n
d
u
s
t
r
i
a
/
t
i
p
o

d
e

t
r
a
b
a
j
o
N
u
n
c
a

c
o
n
s
t
a
t
a
d
o

e
n

n
i
n
g
u
n
a

i
n
d
u
s
t
r
i
a
/
t
i
p
o

d
e

t
r
a
b
a
j
o
C
o
n
s
t
a
t
a
d
o

e
n

l
a

i
n
d
u
s
t
r
i
a
/
t
i
p
o

d
e

t
r
a
b
a
j
o
O
c
u
r
r
i
d
o

e
n

e
l

n
e
g
o
c
i
o
O
c
u
r
r
e

v
a
r
i
a
s

v
e
c
e
s

e
n

e
l

n
e
g
o
c
i
o
O
c
u
r
r
e

e
n

l
a
s

i
n
s
t
a
l
a
c
i
o
n
e
s
O
c
u
r
r
e

v
a
r
i
a
s

v
e
c
e
s

e
n

l
a
s

i
n
s
t
a
l
a
c
i
o
n
e
s
O
c
u
r
r
e

v
a
r
i
a
s

v
e
c
e
s

a
l

a
o

e
n

l
a
s

i
n
s
t
a
l
a
c
i
o
n
e
s
A
B
C
D
E
F
G
H
C
a
t
a
s
t
r
f
c
a
1
0
-
6
/
a
o
G
r
a
v
e
1
0
-
5
/
a
o
I
m
p
o
r
t
a
n
t
e
1
0
-
4
/
a
o
M
o
d
e
r
a
d
o
1
0
-
3
/
a
o
M
e
n
o
r
1
0
-
2
/
a
o
I
n
c
i
d
e
n
t
e
1
0
-
1
/
a
o
<
1
0
-
6

/
a
1
0
-
6

1
0
-
5
/
a
o
1
0
-
5

1
0
-
4
/
a
o
1
0
-
4

1
0
-
3
/
a
o
1
0
-
3

1
0
-
2
/
a
o
1
0
-
2

1
0
-
1
/
a
o

1
0
-
1

1
/
a
o

>
1
/
a
o
V
L
V
e
r
o
s
i
m
i
l
i
t
u
d
G
r
a
v
e
d
a
d
6
M
H
V
H
V
L
L
V
H
V
H
V
H
5
L
M
H
V
H
V
H
V
H
4
V
L
L
M
H
V
H
V
H
3
V
L
L
M
H
V
H
2
V
L
L
M
H
1
V
L
L
M
Figura 11: Matriz de riesgos
36
4.5. Cuantificacin de riesgos
La tolerabilidad de riesgos hasta el momento ha sido cualitativa. La cuantificacin de la
tolerabilidad de riesgos para la seguridad personal depende de cmo se perciban los
riesgos, y en ello pueden influir varios factores, entre ellos:
la experiencia personal en cuanto a efectos adversos;
los antecedentes sociales o culturales y las creencias;
el grado de control que se tiene sobre un riesgo en particular;
la medida a la que la informacin se obtiene de diferentes fuentes como,
por ejemplo, los medios de comunicacin.
Claramente los riesgos que son muy altos resultan obviamente inaceptables (por ejemplo,
fumar al estar embarazada) y en otras situaciones en las que el riesgo es tan bajo que
resulta insignificante (por ejemplo, hervir leche). Por supuesto, el rea de discusin ms
interesante es la zona intermedia de riesgo tolerable. La tarea es, por lo tanto, definir las
dos condiciones lmite:
entre un riesgo inaceptable y tolerable;
entre un riesgo tolerable y aceptable.
El documento orientativo de la HSE sobre reduccin de riesgos y proteccin de personas
(R2P2) [19.3] propone que un riesgo individual de fallecimiento de 1 en 1,000,000 al
ao, tanto para empleados como para la poblacin general corresponde a un nivel de
riesgo muy bajo y debe usarse como lmite de riesgo ampliamente aceptable
(insignificante).
El documento R2P2 sugiere asimismo que un riesgo individual de fallecimiento de 1 en
1000 al ao debera representar la condicin lmite entre lo que es apenas tolerable en
una categora sustancial de trabajadores durante gran parte de su vida laboral, y lo que
es inaceptable para cualquiera, a excepcin de grupos de carcter bastante excepcional.
En el Reino Unido, el objetivo de la salud y la seguridad laboral es alcanzar un nivel al que
prcticamente toda la poblacin pudiera estar expuesta a diario, sin efectos adversos.
En el caso de la poblacin general que est sometida a riesgos, este lmite est
considerado en un orden de magnitud inferior a 1 en 10,000 al ao.
Los criterios adoptados por la HSE pueden demostrarse en un marco denominado
tolerabilidad del riesgo (TOR), (Figura 12). Ah se han identificado los criterios de riesgo
individual mximo tolerable y de riesgo ampliamente aceptable.
37
4.6. Tolerabilidad y aceptabilidad del riesgo
Al determinar el riesgo cuantitativo que presentan los peligros identificados en, digamos,
un HAZOP, es necesario establecer criterios de riesgo cuantitativo y tener en cuenta otros
peligros laborales a los que un individuo estar expuesto durante su jornada laboral. No
es irrazonable suponer que un individuo pueda estar expuesto a unos 10 peligros de
dicho tipo. La tolerabilidad de los criterios de riesgo (Figura 12) puede entonces
distribuirse entre estos 10 peligros, obteniendo un riesgo individual mximo tolerable de
fallecimiento de 1 en 10,000 al ao (Figura 13).
El lmite de riesgo ampliamente aceptable para el riesgo individual de fallecimiento, tanto
para empleados como para miembros de la poblacin general, se mantiene en 1 en
1,000,000 al ao, puesto que esto ya se considera insignificante. La tolerabilidad del riesgo
puede resumirse tal y como se presenta en la Figura 14.
rea
no aceptable
rea
tolerable
rea
ampliamente
aceptable
10
-6
pa
10
-3
pa
R
i
e
s
g
o

c
r
e
c
i
e
n
t
e
Figura 12: Tolerabilidad de riesgo
rea
no aceptable
rea
tolerable
rea
ampliamente
aceptable
10
-6
pa
10
-4
pa
R
i
e
s
g
o

c
r
e
c
i
e
n
t
e
Figura 13: Criterios de riesgo individuales
38
Desde el riesgo individual mximo tolerable de fallecimiento de 1 en 10,000 al ao, es
posible determinar otros valores de riesgo mximo tolerable en funcin de la gravedad
y de la participacin o falta de participacin de terceros (Figura 15).
RIESGO INDIVIDUAL por ao
Consecuencia Menor/Grave Grave/Fatdica Fatdica mltiple
Empleados 10
-3
10
-4
10
-5
Poblacin general 10
-4
10
-5
10
-6
RIESGO AMPLIAMENTE ACEPTADO (insignifcante)
Empleados 10
-5
10
-6
10
-6
Figura 15: Resumen de tolerabilidad de riesgo
RIESGO INDIVIDUAL por ao
Empleados 10
-3
10
-4
10
-5
Poblacin general 10
-4
10
-5
10
-6
RIESGO AMPLIAMENTE ACEPTADO (insignificante)
Empleados 10
-5
10
-6
10
-6
39
4.7. Tolerabilidad del riesgo
El resumen de tolerabilidad del riesgo (Figura 15) puede representarse en forma grfica,
tal y como se muestra en la Figura 16.
Mltiples
vctimas
Riesgo mximo
tolerable
empleado
Riesgo mximo
tolerable
poblacin general
Riesgo insignifcante
10
-6
10
-5
10
-4
10
-3
Frecuencia (/ao)
G
r
a
v
e
d
a
d

d
e

l
a

c
o
n
s
e
c
u
e
n
c
i
a
Una
vctima
Lesiones
40
4.8. Requisitos de conformidad
Los requisitos de los niveles de integridad de seguridad (SIL) derivan de las frecuencias
posibles de eventos peligrosos. En funcin de las consecuencias de un peligro, se
establece una frecuencia mxima tolerable y una funcin de seguridad diseadas para
reducir la frecuencia a un nivel tolerable.
La reduccin de riesgos requerida por parte de las funciones de seguridad presenta el
primer requisito de conformidad con la norma: se trata de la medicin numrica de
fiabilidad.
La medicin numrica de fiabilidad se categoriza en funcin del valor, en bandas o niveles
de integridad de seguridad. Existen 4 niveles de integridad de seguridad de acuerdo a la
medida de fiabilidad objetivo requerida. SIL4 representa el nivel de integridad ms alto,
la mayor magnitud de reduccin de riesgos y el objetivo de fiabilidad ms oneroso. SIL1
representa el nivel de integridad ms bajo y el objetivo de fiabilidad menos oneroso.
4.9. Principio ALARP
En la anterior descripcin general de anlisis de peligros y de riesgos se ilustra cmo
determinar los riesgos de proceso y cmo obtener el riesgo mximo tolerable. No
obstante, conforme a HSAWA, es necesario continuar haciendo esfuerzos adicionales
para reducir ms el riesgo por otros medios, hasta que se pueda demostrar que el riesgo
sea Tan bajo como resulte razonablemente practicable (ALARP), es decir, cuando
una mayor reduccin de riesgos no resulte rentable [5].
Principio ALARP
41
5. Principio ALARP
5.1. Beneficios y sacrificios
Al usar razonablemente practicable se establecen objetivos para los responsables a
cargo, en vez de prescribir. Esta flexibilidad supone una gran ventaja, ya que permite a los
responsables a cargo seleccionar el que consideren el mejor mtodo, por lo que apoya la
innovacin, aunque tambin tiene sus inconvenientes. Decidir si un riesgo cumple el
principio ALARP puede representar un reto, ya que para establecer un criterio se requiere
la opinin de los responsables a cargo y de asesores.
Las principales pruebas aplicables a la regulacin de riesgos industriales incluyen
determinar si:
a) el riesgo es tan elevado que debe rechazarse totalmente;
b) el riesgo es, o se ha hecho, tan pequeo como para resultar insignificante;
c) el riesgo se clasifica entre los dos estados especificados en los apartados
a) y b) anteriores, y se ha reducido a un nivel Tan bajo como resulte
razonablemente practicable.
El concepto razonablemente practicable resulta difcil de cuantificar. Implica que es
preciso realizar un cmputo en el que la reduccin adicional de riesgo que pueda
obtenerse est equilibrada con respecto al sacrificio que supone conseguirla (en dinero,
tiempo o problemas). Si existe una desproporcin excesiva entre ambos, es decir, si el
beneficio es insignificante con relacin al coste, el riesgo se considera ALARP.
As, la demostracin de que se han reducido los riesgos de acuerdo al principio ALARP
implica una evaluacin de:
el riesgo que debe evitarse;
el sacrificio (en dinero, tiempo y problemas) que supone adoptar medidas para
evitar dicho riesgo;
una comparacin entre ambos.
Este proceso puede abarcar diferentes grados de rigor, que dependen de:
la naturaleza del peligro;
el alcance del riesgo;
las medidas de control que deben adoptarse.
No obstante, los responsables a cargo (y el regulador) no deben asumir una carga
excesiva si no se justifica dicho rigor. Cuanto mayor sea el nivel de riesgo inicial que
se est considerando, mayor ser el grado de rigor necesario.
42
5.2. Desproporcionalidad
Un anlisis de coste-beneficio (CBA) puede ayudar a un responsable a cargo a emitir un
juicio sobre si est justificada la adopcin de medidas adicionales de reduccin de
riesgos. Las medidas adicionales de reduccin de riesgos pueden considerarse
razonablemente practicables a menos de que el coste de implementacin de dichas
medidas resulte excesivamente desproporcionado con relacin a los beneficios. Dicho de
forma sencilla: si coste/beneficio > factor de desproporcin, entonces se considera que
no merece la pena adoptar la medida dada la reduccin de riesgos que se obtiene.
Los factores de desproporcin que pueden considerarse excesivos varan desde ms de
1 en funcin de varios factores entre los que se incluyen la gravedad de las consecuencias
y la frecuencia en la que se hagan efectivas dichas consecuencias; es decir, cuanto mayor
sea el riesgo, mayor ser el factor de desproporcin.
5.3. Qu se considera una desproporcin excesiva?
La HSE no ha formulado un algoritmo que pueda utilizarse para determinar cundo
puede considerarse excesivo el grado de desproporcin. No existe una orientacin
acreditada por parte de los tribunales sobre qu factores deben tenerse en cuenta al
momento de determinar si el coste es excesivamente desproporcionado. Por lo tanto, se
debe emitir un juicio caso por caso, y se pueden obtener ciertas pistas u orientaciones a
partir de consultas de accidentes importantes.
A partir de la consulta realizada en 1987 sobre el reactor Sizewell B, se utilizaron los
siguientes factores de desproporcin:
para riesgos bajos para la poblacin general, un factor de 2;
se aplica un factor de hasta 3 (es decir, el coste triplica los beneficios) a riesgos a
los trabajadores;
para riesgos mayores, un factor de 10.
5.4. Anlisis de coste-beneficio (CBA)
En el caso de muchas decisiones en las que interviene el principio ALARP, la HSE no espera
que los responsables a cargo lleven a cabo un anlisis de coste-beneficio detallado, sino
que puede bastar una sencilla comparacin de costes a beneficios.
Los anlisis de coste-beneficio nicamente deben utilizarse para apoyar decisiones
basadas en el principio ALARP. No debe constituir el nico argumento de una decisin
basada en el principio ALARP ni debe utilizarse para restar autoridad a las normas y a las
buenas prcticas en vigor. Un anlisis de coste-beneficio en s no constituye un caso de
Principio ALARP
43
ALARP y no puede utilizarse como argumento frente a obligaciones legales, no puede
justificar riesgos intolerables ni justificar ingeniera evidentemente deficiente.
Entre los costes justificables que pueden tenerse en cuenta en un anlisis de coste-
beneficio se incluyen:
Instalacin;
Funcionamiento;
Formacin;
Todo mantenimiento adicional;
Prdidas comerciales derivadas de cualquier interrupcin ocasionada con el
nico propsito de introducir la medida;
Intereses derivados de produccin postergada; por ejemplo, petrleo o gas
restante en un campo petrolfero/de gas mientras se llevan a cabo trabajos en
una plataforma;
Todos los costes declarados deben ser aquellos en que haya incurrido el
responsable a cargo (no se tendrn en cuenta los costes en que hayan incurrido
las dems partes, por ejemplo, la poblacin general);
Los costes que deben considerarse deben ser nicamente aquellos
necesarios para implementar la medida de reduccin de riesgos (sin aadir
funcionalidades costosas e innecesarias ni adoptando medidas de lujo).
Entre los beneficios justificables que pueden declararse en un anlisis de coste-beneficio
pueden incluirse todos los beneficios derivados de implementar una medida de
mejora de seguridad en su conjunto, de modo que no se subestimen de modo alguno.
Los beneficios deben incluir todas las reducciones de riesgo a la poblacin general, a
trabajadores y a la comunidad en general, y entre ellos pueden incluirse:
Fallecimientos evitados;
Lesiones evitadas (de ms graves a menos graves);
Enfermedades evitadas;
Daos medioambientales evitados, si son relevantes (por ejemplo, COMAH).
Entre los beneficios declarados puede incluirse asimismo la elusin del despliegue de
servicios de emergencia y la elusin de contramedidas como la evacuacin y la
descontaminacin posterior al accidente, si se estimara oportuno. No obstante, para
comparar los beneficios de implementar una mejora de seguridad contra los costes
asociados, la comparacin debe establecerse sobre una base comn. Un mtodo sencillo
para llevar a cabo un primer filtro de medidas es indicar los costes y los beneficios en un
formato comn de al ao durante la vida til de una planta.
44
En la Tabla 1 se muestran algunos de los valores monetarios tpicos que pueden utilizarse.
Tabla 1: Concesiones tpicas en los tribunales (2003)
5.5. Ejemplo
Pregunta: Pensemos en una planta de productos qumicos en la que tiene lugar un
proceso en el que una explosin podra ocasionar:
20 vctimas mortales;
40 personas con lesiones permanentes;
100 heridos graves;
200 heridos leves.
Se ha analizado que la tasa de ocurrencia de una explosin de este tipo es de
aproximadamente 10
-5
al ao, lo que equivale a 1 en 100,000 al ao. La vida til
aproximada de la planta es de 25 aos. Cunto podra gastar la organizacin de
forma razonable para eliminar el riesgo de explosin?
Prdida 1,336,800 (el doble en
caso de cncer)
Lesin Lesin de incapacitacin permanente.
Algunas restricciones permanentes a
actividades de ocio y posiblemente algunas
actividades laborales.
207,200
Grave. Algunas restricciones a actividades
laborales y/o de ocio durante varias
semanas/meses.
20,500
Lesin leve que implica cortes menores y
cardenales con recuperacin rpida y
completa.
300
Enfermedad Enfermedad por incapacitacin permanente.
Igual que para lesin.
193,100
Otros casos de mala salud. Ms de una
semana de ausencia. Sin consecuencias
permanentes a la salud.
2,300 + 180 por da
de ausencia
Menor Hasta una semana de ausencia. Sin
consecuencias permanentes a la salud.
530
Principio ALARP
45
Respuestas: De eliminarse el riesgo de explosin, los beneficios podran evaluarse del
siguiente modo:
Vctimas mortales: 20 x 1,336,800 x 10
-5
x 25 aos = 6684
Personas con lesiones
permanentes: 40 x 207,200 x 10
-5
x 25 aos = 2072
graves: 100 x 20,500 x 10
-5
x 25 aos = 512
leves: 200 x 300 x 10
-5
x 25 aos = 15
Beneficios totales = 9283
La suma de 9,283 es el beneficio calculado que se deriva de eliminar una explosin
importante en la planta sobre la base de evitar vctimas mortales. (Este mtodo no incluye
descuentos ni tiene en cuenta la inflacin.)
Para que una medida se considere no razonablemente practicable, el coste debe ser
excesivamente desproporcionado con respecto a los beneficios. En este caso, el factor
de desproporcin refleja que las consecuencias de explosiones de ese tipo son altas. Es
improbable obtener un factor de desproporcin de ms de 10 y, por lo tanto, resultara
razonablemente prctico gastar hasta unos 93,000 (9300 x 10) para eliminar el riesgo
de una explosin. El responsable a cargo tendra que justificar el uso de un factor de
desproporcin menor.
Puede utilizarse este tipo de anlisis sencillo para eliminar o incluir determinadas medidas
costeando varios mtodos alternativos de eliminacin o de reduccin de riesgos.
Enfoque alternativo
Es ms probable que una medida de mejora de la seguridad no elimine un riesgo,
sino que simplemente lo reduzca parcialmente, de modo que ser necesario evaluar
la reduccin de riesgos obtenida como beneficio contra al coste de implementacin.
Normalmente, las organizaciones emplean un coste por objetivo de vida salvada (o valor
de prevencin de un fallecimiento estadstico (VPF).
El coste derivado de evitar vctimas mortales durante la vida til de la planta se compara
al valor de prevencin de un fallecimiento estadstico objetivo.
Las mejoras se implementan a menos que el coste sea excesivamente desproporcionado.
46
5.6. Ejemplo
Pregunta: Aplicacin del principio ALARP
En una industria en particular se utiliza un coste por objetivo de vida salvada de 2M. Se
ha establecido un objetivo de riesgo tolerable mximo de 10
-5
por ao para un peligro
especfico, con una posibilidad de ocasionar 2 vctimas mortales.
Se ha evaluado el sistema de seguridad propuesto y se ha predicho un riesgo de
8.0 x 10
-6
al ao. Dado que un riesgo ampliamente aceptable (insignificante) es de
10
-6
por ao, se requiere la aplicacin del principio ALARP.
En este ejemplo, para un coste de 10,000, instrumentacin y redundancia adicionales
reducen el riesgo a 2.0 x 10
-6
al ao (justo por encima de la regin insignificante) durante
la vida til de la planta, que es de 30 aos.
Debera adoptarse la propuesta?
Respuesta: El nmero de vidas salvadas durante la vida til de la planta viene dado por:
N = (reduccin de frecuencia de vctimas mortales) x nmero de vctimas
mortales por incidente x vida til de la planta
= (8.0 x 10
-6
2.0 x 10
-6
) x 2 x 30
= 3.6 x 10
-4
De ah que el coste por vida salvada sea de:
VPF = 10,000/3.6 x 10
-4
= 27.8M
El VPF calculado es > 10 veces el criterio de coste objetivo vida salvada de 2M y, por lo
tanto, la propuesta debe rechazarse.
Determinacin de objetivos del SIL
47
6. Determinacin de los objetivos de nivel de integridad de
seguridad (SIL)
6.1. Funciones de seguridad en modo a demanda y en modo continuo
Al evaluar un sistema de seguridad en trminos de fallos de funcionamiento, existen dos
opciones principales en funcin del modo de funcionamiento. Si un sistema de seguridad
experimenta una frecuencia baja de demanda, normalmente inferior a una vez al ao, se
puede decir que funciona en modo a demanda. Un ejemplo de este sistema de seguridad
sera el airbag de un vehculo.
Los frenos de un vehculo son un ejemplo de sistema de seguridad con un modo de
funcionamiento continuo, ya que se utilizan (casi) continuamente. En los sistemas de
seguridad de modo a demanda es habitual calcular el promedio de la probabilidad de
fallo a demanda, mientras que en los sistemas de seguridad que funcionan en modo
continuo se utiliza la probabilidad de fallo peligroso por hora (PFH).
6.2. Funcin de seguridad en modo a demanda
Por ejemplo, supongamos que en nuestra fbrica tenemos una media de 1 incendio
cada 2 aos y que, de no hacer nada ms, dicho incendio provocara vctimas mortales.
Podramos dibujar un diagrama de la frecuencia de vctimas mortales (Figura 17); dicha
frecuencia sera de 0.5/ao.
Fuego fbrica
Frecuencia de letalidad
Frecuencia
peligro
Uno cada 2 aos
Conlleva
vctima(s)
Riesgo inherente
al proceso
Figura 17: Frecuencia de mortalidad
48
En este caso, es fundamental que, al estudiar las consecuencias del incendio, no tomemos
en cuenta las medidas de seguridad existentes que puedan haberse instalado. Se buscan
las consecuencias en el peor de los casos.
Si posteriormente se instala una alarma de humo que, dijramos, funcionara 9 veces de
cada 10, se esperara una vctima mortal en la nica ocasin, de 10 incendios, en que se
produjera un fallo de funcionamiento de la alarma a demanda. En este caso, la frecuencia
de vctimas mortales se reducira de 1 cada 2 aos a 1 cada 20 aos.
En este ejemplo, la alarma de humo funciona en 9 de cada 10 incendios, por lo que
presenta una probabilidad de fallo a demanda de 1 de cada 10, o sea un 10%. En este
caso, PFD = 0.1. La alarma de humo, con una probabilidad de fallo a demanda (PFD) de
0.1, reduce la frecuencia de vctimas mortales en un factor de 10, dando un factor de
reduccin de riesgos (RRF) de 10.
En resumen, PFD = 1/RRF.
Resulta til recordar que, matemticamente, la probabilidad de fallo a demanda (PFD) es una
probabilidad y que, por lo tanto, se trata de una cantidad adimensional con un valor entre 0 y 1.
6.3. Ejemplo de objetivo de nivel de integridad de seguridad
El enfoque para determinar un objetivo de nivel de integridad de seguridad (SIL) es
calcular la reduccin de riesgos necesaria para reducir la frecuencia de las consecuencias
de un peligro a un nivel tolerable.
Fuego fbrica
Alarma de humo
Frecuencia de letalidad
Frecuencia
peligro
Uno cada 20 aos Uno cada 2 aos
Frecuencia de letalidad 1 por 20 aos
Conlleva
vctima(s)
Riesgo inherente
al proceso
La alarma de humo
funciona 9 de cada 10 veces
Figura 18: Frecuencia de mortalidad reducida
49
El enfoque recomendado para determinar los niveles de integridad de seguridad es
evaluar el riesgo que supone cada uno de los peligros en la planta. Si llevamos a cabo
un HAZOP en nuestra planta e identificamos un peligro en el proceso con el potencial
de causar daos, en caso de no hacer nada, deberemos evaluar las consecuencias
potenciales. Estas consecuencias en el peor de los casos determinan la frecuencia
mxima tolerable para dicho peligro.
Si el riesgo pudiera ocasionar una vctima mortal entre nuestros empleados, entonces
basndonos en la tolerabilidad y aceptabilidad de los criterios de riesgo [4.6], es posible
asignar una frecuencia mxima tolerable para dicho peligro. En otras palabras, para el
peligro identificado, podemos especificar un riesgo mximo tolerable de 10
-4
al ao.
Al analizar las causas iniciadoras del peligro podemos calcular la posibilidad del mismo,
suponiendo que no hacemos nada ms, y compararla con la frecuencia mxima tolerable
especificada. Es posible llevar a cabo ciertos anlisis y determinar que el peligro, de no
corregirse, podra producirse una vez al ao. Esto representa, por lo tanto, un intervalo de
riesgo: algo que debe tratarse (Figura 19).
Podemos entonces contabilizar los dispositivos de seguridad que pueden ya existir para
reducir la frecuencia del peligro, como por ejemplo una alarma (Figura 20). En este caso, la
alarma reduce la frecuencia de la consecuencia del peligro mediante su probabilidad de
fallo a demanda (PFD). Por lo tanto se reduce el intervalo de riesgo, pero el riesgo residual
general, a pesar de ser menor, sigue siendo mayor que el riesgo mximo tolerable.
Peligro del proceso
Frecuencia peligro
10
-4
/ao 1/ao
Intervalo de riesgo
Conlleva
vctima(s)
Riesgo inherente
al proceso
Nivel de riesgo
tolerable
Figura 19: Intervalo de riesgo
50
Alarmas Mec. Otro
Peligro del proceso
Frecuencia peligro
10
-4
/ao 10
-3
/ao 10
-2
/ao 0.1/ao 1/ao
Intervalo de riesgo
Conlleva
vctima(s)
Riesgo inherente
al proceso
Nivel de riesgo
tolerable
PFD <0.1 PFD = 0.1 PFD = 0.1 PFD = 0.1
Riesgo
intermedio
Figura 21: Considerar otras capas de proteccin
Alarmas
Peligro del proceso
Frecuencia peligro
10
-4
/ao 0.1/ao 1/ao
Intervalo de riesgo
Conlleva
vctima(s)
Riesgo inherente
al proceso
Nivel de riesgo
tolerable
PFD = 0.1
Figura 20: Contabilizar alarmas
51
El hecho de tomar en consideracin otras capas de proteccin puede reducir an ms
el riesgo residual. Es posible que haya dispositivos mecnicos como una vlvula de alivio
de presin, un muro contra explosiones o un muro cortafuego. Entre otras medidas de
reduccin de riesgos se pueden incluir control de procesos, instrumentacin o
procedimientos, y cada una de ellas puede reducir el riesgo residual (Figura 21) mediante
sus respectivas probabilidades de fallo a demanda (PFD). En este ejemplo hemos
contabilizado los diferentes dispositivos de seguridad existentes en la planta y seguimos
teniendo un intervalo de riesgo residual. Podemos ver que, para reducir la frecuencia del
peligro a menos de la frecuencia mxima tolerable se requiere otra capa, con una
probabilidad de fallo a demanda inferior a 0.1. sta es la tarea del sistema instrumentado
de seguridad (SIS) (Figura 22). Este clculo, realizado no obstante de forma grfica en este
caso, proporciona la probabilidad de fallo a demanda objetivo de nuestro sistema
instrumentado de seguridad (SIS) y permite determinar el objetivo de nivel de integridad
de seguridad (SIL). ste es un ejemplo de una funcin de seguridad en modo a demanda.
Alarmas Mec. Otro
Peligro del proceso
Frecuencia peligro
10
-4
/ao 10
-3
/ao 10
-2
/ao 0.1/ao 1/ao
Intervalo de riesgo
Conlleva
vctima(s)
Riesgo inherente
al proceso
Nivel de riesgo
tolerable
Riesgo
residual
PFD <0.1 PFD = 0.1 PFD = 0.1 PFD = 0.1
Riesgo
intermedio
SIS
Figura 22: Objetivo de la probabilidad de fallo a demanda (PFD)
52
6.4. Funciones de seguridad
En la Figura 23 se muestra la configuracin de un SIS y su proceso de forma tpica.
La funcin instrumentada de seguridad supervisa determinados parmetros de proceso
y adopta una accin ejecutiva para que el proceso resulte seguro en caso de superarse
ciertos lmites. En la Figura 24 se muestra un ejemplo de la industria de proceso.
Transmisor
de presin
Controlador
de presin
Lgica
ESD
Vlvula
solenoide
Suministro
hidrulico
Purga
hidrulica
Entrada
gasoducto
Exportacin
gasoducto
Vlvula
cierre
Vlvula
control presin
Clasifcado como 139 bar Clasifcado como 48 bar
PC
S
PT
Figura 24: Ejemplo de funcin instrumentada de seguridad
SIS
Sistema instrumentado
de seguridad
Proceso
Figura 23: Sistema instrumentado de seguridad
53
En la figura se muestra un gasoducto que proporciona suministro a una central de energa. El
gas pasa de izquierda a derecha a travs de una vlvula de cierre seguridad antes de llegar a
la vlvula de control de presin (PCV). La vlvula de control de presin se controla por medio
de un controlador de presin (PC) que mantiene la presin del gas a menos de 48 barias, la
capacidad nominal segura del gasoducto de exportacin. El fallo de esta funcin de control
de presin podra tener como consecuencia la sobrepresurizacin en la rama descendente
del gasoducto, una posible rotura, la ignicin o una vctima mortal, por lo que se ha diseado
una funcin de seguridad para evitar que se produzca esta situacin. La funcin de seguridad
consiste en un transmisor de presin (PT) independiente, cierta lgica de cierre de
emergencia (ESD) y una vlvula de cierre seguridad (SDV), activada por una vlvula hidrulica
accionada por solenoide (SOV) para cortar el suministro de gas en caso de que la presin en
la rama descendente supere un nivel de activacin preconfigurado.
6.5. Ejemplo de una funcin de seguridad en modo a demanda
ste es un ejemplo de una funcin de seguridad en modo a demanda. Las caractersticas
clave de una funcin de seguridad en modo a demanda son:
por lo general es independiente del proceso;
el fallo de la funcin de seguridad tiene como resultado la prdida de
proteccin, pero no es en s peligroso;
la frecuencia de la demanda a la que est sometida es baja (menos de una vez
al ao).
Transmisor
de presin
Controlador
de presin
Proceso y BPCS
Funcin instrumentada de seguridad
Lgica
ESD
Vlvula
solenoide
Suministro
hidrulico
Purga
hidrulica
Entrada
gasoducto
Exportacin
gasoducto
Vlvula
cierre
Vlvula
control presin
Clasificado como 139 bar Clasificado como 48 bar
PC
S
PT
Figura 25: Funcin de seguridad en modo a demanda
54
Entre las funciones de seguridad en modo a demanda se incluye la parada de proceso
(PSD), el cierre de emergencia (ESD) y los sistemas de proteccin de presin de alta
integridad (HIPPS).
A menudo resulta confuso que el transmisor de presin que forma parte de una funcin
de seguridad proporcione supervisin continua de la presin del proceso, lo que no
excluye de funcionar en modo a demanda. El trmino modo a demanda est relacionado
con la frecuencia de las demandas de accin ejecutiva (por ejemplo, la frecuencia de
episodios de alta presin).
6.6. Ejemplo de una funcin de seguridad en modo continuo
En la Figura 26 se muestra un ejemplo de una funcin de seguridad en modo continuo.
Gas combustible Gas principal
Regulador
A
i
r
e

d
e

c
o
m
b
u
s
t
i
n
S
S
Sistema de
administracin
de quemadores
TT
004
TE
003
TE
002
TT
001
TT
406
TE
405
TE
405
XY
101
S
XY
101
TY
102
HC
201
HC
202
S
XY
104
Figura 26: Funcin de seguridad en modo continuo
55
En la figura se muestra un sistema de gestin de quemadores (BMS) tpico, utilizado
para controlar un horno. El sistema controla el gas combustible y el aire de combustin
al horno y supervisa la llama en los quemadores por medio de detectores de llama.
En caso de ausencia de llama, el sistema de gestin de quemadores debe cortar el
gas para evitar que se acumule y posiblemente explote. De forma similar, antes del
encendido, el quemador debe purgarse para garantizar que no se haya acumulado
gas en el horno debido a la filtracin por las vlvulas o a fallos de control.
El sistema de gestin de quemadores debe, por lo tanto, ejercer el control durante la
secuencia de encendido, y realizar la purga correctamente, adems de supervisar la
operacin despus del encendido. En este ejemplo, el sistema de gestin de quemadores
y todas las vlvulas y todos los sensores asociados, constituyen una funcin de seguridad
en modo continuo.
Las caractersticas clave de una funcin de seguridad en modo continuo son:
por lo general proporciona algunas funciones de control;
el fallo de la funcin de seguridad provoca normalmente una situacin peligrosa;
la frecuencia de las demandas a las que est sometida es alta (ms de una vez al
ao o incluso continua).
Entre las funciones de seguridad en modo continuo se incluye normalmente los sistemas
de gestin de quemadores y de control de turbinas.
6.7. Objetivos del SIL en modo a demanda
IEC 61511-1, 9.2.4 agrupa los objetivos de probabilidad de fallo a demanda en bandas o
niveles de integridad de seguridad (SIL). En el ejemplo anterior [6.3], contamos con un
objetivo de probabilidad de fallo a demanda de <10
-1
para nuestra funcin de seguridad,
lo que da como resultado un requisito SIL1, como se muestra en la Tabla 2.
Tabla 2: Objetivos de nivel de integridad de seguridad (SIL) en modo a demanda
Modo de operacin a demanda
(Probabilidad promedio de fallo para ejecutar la funcin
prevista bajo demanda)
Nivel de integridad de
seguridad
10
-5
a <10
-4
4
10
-4
a <10
-3
3
10
-3
a <10
-2
2
10
-2
a <10
-1
1
56
Nota: el objetivo de la probabilidad de fallo a demanda se agrupa en bandas de nivel de
integridad de seguridad, puesto que la norma requiere un grado de rigor adecuado en
las tcnicas y en las medidas aplicadas con el fin de controlar y evitar fallos sistemticos.
Estos requisitos se tratan en mayor profundidad en el apartado [12.15].
6.8. Objetivos de nivel de integridad de seguridad (SIL) en modo continuo
IEC 61511-1, 9.2.4 proporciona asimismo objetivos de nivel de integridad de seguridad
(SIL) para sistemas que funcionan en modo continuo (Tabla 3).
Tabla 3: Objetivos de nivel de integridad de seguridad (SIL) en modo continuo
Nota: la medicin del fallo del objetivo para los objetivos del modo continuo es la
probabilidad de fallo por hora (PFH) o la tasa de fallo.
Nota a pie de pgina.
A primera vista, estos objetivos de tasa de fallo pueden parecer ms onerosos que los
objetivos para los sistemas en modo a demanda; por ejemplo, el SIL1 (modo a demanda)
debera presentar una probabilidad de fallo a demanda de <10
-1
, mientras que el SIL1
(modo continuo) presenta una probabilidad de fallo a demanda de <10
-5
fallos/hora.
No obstante, las tablas pueden alinearse si se convierten los objetivos del modo continuo
de fallos/hora a fallos/ao. En un ao hay aproximadamente 10
-4
horas (realmente 8760), de
modo que la tabla del modo continuo se puede modificar tal y como se muestra en la Tabla 4.
Tabla 4: Objetivos de nivel de integridad de seguridad (SIL) en modo continuo (PA)
Modo continuo de operacin
(Probabilidad de fallos peligrosos por ao)
seguridad
10
-5
a <10
-4
4
10
-4
a <10
-3
3
10
-3
a <10
-2
2
10
-2
a <10
-1
1
Modo continuo de operacin
(Probabilidad de fallo peligroso por hora, PFH)
seguridad
10
-9
a <10
-8
4
10
-8
a <10
-7
3
10
-7
a <10
-6
2
10
-6
a <10
-5
1
57
6.9. Modos de funcionamiento (sistemas en modo a demanda y continuo)
Al determinar el modo de funcionamiento de un sistema instrumentado de seguridad
(SIS), la norma IEC 61511-1, 3.2.43 ofrece las siguientes definiciones.
Modo a demanda
cuando se adopta una accin especfica en respuesta a las condiciones del
proceso o a otras demandas. En caso de fallo peligroso de las funciones
instrumentadas de seguridad (SIF), se produce un peligro potencial nicamente
en caso de un fallo en el proceso del sistema bsico de control de proceso
(BPCS);
Modo continuo
cuando, en caso de un fallo peligroso de las funciones instrumentadas de
seguridad (SIF), se produce un peligro potencial sin ningn fallo adicional,
a menos que se adopten las acciones necesarias para evitarlo.
Una buena regla general al decidir si la funcin de seguridad est en modo alto o en
modo a demanda, es identificar la mtrica significativa o la medida de fiabilidad.
Por ejemplo, los airbags de un vehculo proporcionan una valiosa funcin de seguridad
y, como conductor, me interesara conocer su probabilidad de fallo a demanda, lo que
indica que se trata de una funcin en modo a demanda. En referencia al apartado [6.5],
las caractersticas clave de una funcin de seguridad en modo a demanda son:
por lo general es independiente del proceso;
el fallo de la funcin de seguridad da como resultado la prdida de proteccin,
pero no es en s peligroso.
En la Tabla 2 se confirma que los objetivos para funciones en modo a demanda son la
probabilidad de fallo a demanda.
En el caso de los frenos de un vehculo, la mtrica significativa sera una tasa de fallo o
una probabilidad de fallo por hora. Como conductor, me interesara conocer la tasa de
fallo de la funcin de seguridad, lo que es indicativo de que se trata de una funcin en
modo continuo.
Para apoyar lo anteriormente dicho, las caractersticas clave de una funcin de seguridad
en modo continuo son:
por lo general proporciona determinadas funciones de control; en este caso,
el frenado
el fallo de la funcin de seguridad provoca normalmente una situacin
peligrosa; prdida de control de velocidad.
58
En la Tabla 3 se confirma que los objetivos del modo continuo son la probabilidad de fallo
peligroso por hora.
6.10. Funciones de seguridad en modo a demanda
6.10.1. Ejemplo
Pregunta: Un rea de proceso es atendida durante 2 horas al da. La sobrepresin del
proceso ocasiona una fuga de gas y se calcula que 1 de cada 10 fugas de gas provoca
una explosin que tiene como resultado el fallecimiento del operario.
Los anlisis indican que la condicin de sobrepresin se dar cada 5 aos (una tasa de
0.2 al ao).
Suponga que la frecuencia mxima tolerable para el peligro (fallecimiento del operario a
causa de una explosin) es de 10
-4
al ao.
Cul es la probabilidad de fallo a demanda (PFD) necesaria del sistema instrumentado
de seguridad (SIS)?
Respuesta: La tasa de mortalidad es de:
= 0.2 al ao x 2/24 x 1/10
= 1.67 x 10
-3
al ao
Por lo tanto, el sistema de seguridad debe presentar una probabilidad de fallo a demanda
de:
= 10
-4
al ao/1.67 x 10
-3
al ao
= 6.0 x 10
-2
, que equivale a un SIL1.
ste es un ejemplo de un sistema instrumentado de seguridad (SIS) en modo a demanda
cuyo funcionamiento nicamente se requiere a una frecuencia determinada por la tasa de
fallo del equipo bajo control.
Podemos confirmar que el resultado es realmente una probabilidad de fallo a demanda,
puesto que hemos dividido una tasa entre una tasa para obtener una cantidad
adimensional como, es decir una probabilidad.
6.11. Funciones de seguridad en modo continuo
En la Figura 27 se presenta un sencillo ejemplo de funcin de seguridad en modo
continuo. El producto qumico de la caldera se calienta por medio de un elemento
elctrico, que se controla a travs de un transmisor de temperatura que mide en la salida.
59
Suponga que el sobrecalentamiento de la caldera produce una rotura y una liberacin de
producto qumico, con el consiguiente incendio y el potencial de producir una vctima
mortal. Claramente existe un riesgo que debe gestionarse. En este ejemplo, la tasa de fallo
del proceso en su conjunto no debera superar el riesgo mximo tolerable del peligro.
6.11.1. Ejemplo
Pregunta: Suponga que un fallo en la caldera produce un sobrecalentamiento y un
incendio que, en 1 de cada 400 fallos tiene como resultado una vctima mortal. Suponga
asimismo que la tasa de mortalidad mxima tolerable es de 10
-5
al ao (mortalidad de
terceros).
Cul es la tasa de fallo mxima tolerable de la caldera?
Respuesta: Puesto que 1 de cada 400 fallos debe ser menor o igual al riesgo mximo
tolerable, podemos afirmar que:
10
-5
al ao B x 1/400
Donde B es la tasa de fallo de la caldera.
Por tanto:
B = 400 x 10
-5
al ao
= 4.0 x 10
-3
al ao, que equivale a un SIL2.
ste es un ejemplo de un sistema instrumentado de seguridad (SIS) en modo continuo,
es decir que est continuamente en riesgo, es decir, continuamente en uso. Se permite
que la caldera falle 400 veces con mayor frecuencia que la tasa de fallo mxima tolerable,
puesto que nicamente 1 de cada 400 fallos da como resultado una vctima mortal.
TT
Controlador
temperatura
Caldera
Entrada de
proceso
Salida de
proceso
Caldera
Calentador -
Potencia
Calentador
Figura 27: Funcin de seguridad en modo continuo
60
En este ejemplo, tendramos que disear y desarrollar el proceso; es decir, la caldera, el
elemento calentador y el sensor de temperatura segn un SIL2 y la tasa de fallo debera
ser inferior a 4.0 x 10
-3
al ao. Este proyecto representara todo un reto, pero existe otra
forma de enfocarlo.
6.11.2. Ejemplo
Suponga que hemos diseado el proceso de nuestra caldera y calculado su tasa de fallo
para que sea de 5.0 x 10
-2
al ao, lo que supera ampliamente el objetivo de 4.0 x 10
-3
al
ao.
Si ste fuera el caso y 1 de cada 400 fallos produjera una vctima mortal, la frecuencia de
mortalidad sera de:
= 5.0 x 10
-2
al ao x 1/400
= 1.25 x 10
-4
al ao
lo que supera la tasa mxima tolerable de 10
-5
al ao (mortalidad de terceros).
Un enfoque alternativo podra ser dejar que la caldera fallara a esta tasa
insatisfactoriamente elevada, y disear una funcin de seguridad en modo a demanda
para reducir la frecuencia de mortalidad hasta la tasa mxima tolerable (Figura 28).
TT TT
Controlador
temperatura
Caldera
Entrada de
proceso
Salida de
proceso
Transmisor de
temperatura
Caldera
Calentador
Potencia
Calentador
ESD
Rel
61
En esta configuracin dispondramos de un segundo transmisor de temperatura
independiente para medir la temperatura de la salida y desactivar la alimentacin al
calentador elctrico a travs de una lgica de cierre de emergencia (ESD), en caso del
fallo del proceso.
Podemos decir que:
10
-5
al ao B x PFDT
donde B es la tasa de fallo de la caldera, 1.25 x 10
-4
al ao y PFDT es la probabilidad de
fallo a demanda de la desactivacin independiente.
Por tanto:
PFDT 10
-5
al ao/1.25 x 10
-4
al ao
PFDT 0.08
lo que equivale a una funcin de seguridad en modo a demanda SIL1.
Nota: estos dos ejemplos nos ofrecen la posibilidad de disear el sistema de la caldera en
su conjunto y el equipamiento bajo control, a SIL2, o podemos dejar que el sistema de la
caldera falle y protegerlo con una funcin de seguridad en modo a demanda SIL1. Ambas
opciones cumplen el objetivo de riesgo mximo tolerable, pero el hecho de disear un
sistema SIL1 en modo a demanda de dimensiones reducidas es una opcin ms rentable
en comparacin con un sistema de control de la caldera SIL2.
62
7. Diagramas de riesgos
7.1. Introduccin
En los apartados [6.10] y [6.11] se presenta un mtodo para determinar los objetivos de
nivel de integridad de seguridad mediante clculos; no obstante, los diagramas de riesgos
suponen una alternativa til, especialmente cuando hay numerosos peligros que analizar.
El mtodo del diagrama de riesgos es una tcnica til de seguimiento rpido que puede
aplicarse cuando hay numerosos peligros que analizar.
Desde el punto de partida, en primer lugar se determinan las consecuencias del peligro:
Ca, Cb, Cc o Cd.
A continuacin, debe calcularse la frecuencia o la exposicin de la persona ms
sometida al riesgo derivado del peligro y elegir entre Fa, exposicin poco frecuente, o
Fb, exposicin frecuente. Normalmente, si la persona ms sometida al riesgo tiene una
probabilidad de encontrarse dentro del rango de alcance de los efectos peligrosos, del
10% o menos, puede seleccionarse la exposicin poco frecuente. En caso contrario, la
exposicin se puede considerar frecuente.
Desplazndonos por el diagrama de riesgos, si la persona sometida al riesgo tiene la
posibilidad de poder evitar el peligro, por ejemplo, escapando, siendo avisada o siendo
protegida por alguna funcin, enotnces podemos decir que es posible evitar el peligro y
Ca
Lesin
importante
Inicio
a
1
2
3
4
5
W3
--
a
1
2
3
4
W2
--
--
a
1
2
3
W1
Cb
Lesin grave,
una vctima
Cc
Varias
vctimas
Cd
Muchas
vctimas
Exposicin rara
Fa
Exposicin frecuente
Fb
Exposicin
frecuente Fb
Exposicin rara
Fa
Exposicin frecuente
Fb
Exposicin rara
Fa
Improbable
de evitar Pb
Posible
de evitar Pa
Improbable
de evitar Pb
Posible
de evitar Pa
Improbable
de evitar Pb
Posible
de evitar Pa
Improbable
de evitar Pb
Posible
de evitar Pa
Figura 29: Diagrama tpico de riesgos
Diagramas de riesgos
63
seleccionar dicha opcin en el diagrama de riesgos. De lo contrario debemos suponer que
no es posible evitar el peligro y llegamos a un punto determinado, una de las filas en las
columnas situadas a la derecha del diagrama de riesgos.
Por ltimo, debemos seleccionar la probabilidad de que el peligro se produzca eligiendo
ya sea la columna W3 (probabilidad de suceso relativamente alta), W2 (probabilidad de
suceso escasa) o W1 (probabilidad de suceso muy escasa). Donde se encuentren la fila y
la columna seleccionadas puede leerse el nivel de integridad de seguridad necesario.
7.2. Ejemplo
Como ejemplo, supongamos que un tanque de almacenamiento de petrleo se desborda y
libera vapor, que puede encenderse y causar varias vctimas mortales en la planta. Hemos
evaluado la frecuencia de las operaciones de llenado y decidido que la probabilidad de que
ocurra el peligro sera W1 (probabilidad muy escasa). No existen los medios por los que los
empleados de la planta puedan evitar el peligro en caso de que se produzca. El personal de la
planta se encuentra en las instalaciones rara vez nicamente para llevar a cabo actividades
de mantenimiento, normalmente menos de 1 hora al da. En la Figura 30 se muestra cmo
puede utilizarse el diagrama de riesgos para obtener un objetivo SIL1.
En este ejemplo, la funcin de seguridad podra ser un activacin de nivel alto que cierra
la vlvula de admisin del tanque. Esto tendra un objetivo SIL1.
Ca
Lesin
importante
Inicio
a
1
2
3
4
5
W3
--
a
1
2
3
4
W2
--
--
a
1
2
3
W1
Cb
Lesin grave,
una vctima
Cc
Varias
vctimas
Cd
Muchas
vctimas
Exposicin rara
Fa
Exposicin frecuente
Fb
Exposicin frecuente
Fb
Exposicin rara
Fa
Exposicin frecuente
Fb
Exposicin rara
Fa
Improbable
de evitar Pb
Posible
de evitar Pa
Improbable
de evitar Pb
Posible
de evitar Pa
Improbable
de evitar Pb
Posible
de evitar Pa
Improbable
de evitar Pb
Posible
de evitar Pa
Figura 30: Ejemplo de uso del diagrama de riesgos
64
No obstante, los diagramas de riesgos convencionales pueden ser subjetivos y verse
afectados por el problema de interpretacin de los parmetros de riesgo. Esto puede
llevar a resultados incoherentes que pueden traducirse en objetivos de nivel de
integridad de seguridad pesimistas.
En el diagrama de riesgos que se muestra, algunas de las casillas del objetivo de nivel de
integridad de seguridad (SIL) estn identificadas como a y otras como b. Los trminos
SILa y SILb se utilizan a menudo en la industria a pesar de que no se recogen en la norma.
SILa normalmente significa que debe ponerse en prctica cierta reduccin de riesgos,
pero que el factor de reduccin de riesgos no debe ser tan elevado como SIL1. En otras
palabras, se requiere una probabilidad de fallo a demanda (PFD) entre 1 (sin reduccin de
riesgos) y 0.1 SIL1. Tenga en cuenta que en algunas organizaciones se hace referencia a
SILa como (SIL1).
SILb se muestra en una posicin ms alta que SIL4. Por lo general, si dispone de un
requisito SIL4, se recomienda revisar el proceso, ya que resulta demasiado peligroso.
Un requisito SILb es an ms peligroso.
7.3. Ejemplo
En la Figura 31 se muestra un ejemplo de diagrama de riesgos similar a los utilizados
en la industria de proceso, en el que se ilustran algunos de los problemas potenciales
asociados a la interpretacin de los parmetros de riesgo.
-- -- --
1 -- --
2 1 --
2 1 1
3 2 1
3 3 2
NR 3 3
NR NR NR
Gravedad de la
consecuencia
-- =No se requieren caractersticas especiales de seguridad
NR =No recomendado
Alto =0.5 5 pa
Medio =0.05 0.5 pa
Bajo <0.05 pa
Exposicin del
personal
Alternativas para
evitar el peligro
Lesin menor
Lesin grave o
una vctima
Mltiples vctimas
Catastrfica
Exposicin baja
Exposicin baja
Exposicin alta
Exposicin alta
Inhibicin posible
Inhibicin no probable
Inhibicin posible
Tasa de demanda
A
l
t
a
M
e
d
i
a
B
a
j
a
Categoras de requisitos
Figura 31: Diagrama de riesgos en la industria de proceso
65
El principio de uso es exactamente el mismo que para el diagrama de riesgos que se
muestra en la Figura 29 pero, en este caso, se proporciona cierta orientacin para el
clculo de la tasa de demanda.
Si, por ejemplo, un peligro pudiera ocasionar varias vctimas mortales, con una exposicin
poco frecuente y una tasa de demanda de 0.05/ao, la tasa de demanda desciende hasta
situarse en algn punto entre las categoras baja y media y debe decidirse qu
columna elegir. El hecho de adoptar un enfoque conservador dara como resultado un
objetivo SIL3 (Figura 32).
Una interpretacin menos cauta habra dado como resultado un objetivo SIL2.
7.4. Ejemplo
En la Figura 33 se muestra un ejemplo de una matriz de riesgos tpica. Las columnas P, A,
E y R ofrecen descripciones de las posibles consecuencias del peligro; las frecuencias de
suceso se describen en trminos cualitativos y los niveles de integridad de seguridad (SIL)
objetivo se ofrecen en los puntos en los que se alinean las filas y las columnas.
-- -- --
1 -- --
2 1 --
2 1 1
3 2 1
3 3 2
NR 3 3
NR NR NR
Gravedad de la
consecuencia
Exposicin del
personal
Alternativas para
evitar el peligro
Lesin menor
Lesin grave o
una vctima
Multiple Fatalities
Catastrfca
Exposicin baja
Exposicin baja
Exposicin alta
Exposicin alta
Inhibicin posible
Inhibicin posible
Tasa de demanda
A
l
t
a
M
e
d
i
a
B
a
j
a
Categoras de requisitos
Figura 32: Ejemplo de uso del diagrama de riesgos
66
ste parece ser un enfoque sencillo y til, pero pueden producirse problemas potenciales
si no se tiene cuidado.
A: Las frecuencias de suceso deben cuantificarse de un modo que sea no solo
coherente con la descripcin, sino que tenga como resultado el objetivo de
nivel de integridad de seguridad correcto.
B: Nunca visto en la industria puede calcularse suponiendo, digamos,
5000 plantas en funcionamiento durante 20 aos, lo que dara como resultado
una frecuencia aproximada de digamos <10
-5
/ao y no <10
-2
/ao, como se
muestra. Con un riesgo mximo tolerable de <10
-4
/ao, el resultado podra ser
sin objetivo de nivel de integridad de seguridad (SIL).
C: Las frecuencias de riesgo mximas tolerables deben ser las adecuadas. Un
valor de <10
-3
/ao para una nica vctima mortal es demasiado elevado y
tendr como resultado unos objetivos SIL optimistas y una reduccin de
riesgos inadecuada.
D: Para que los SIL objetivo aumenten por fila y por columna como lo hacen en la
Figura 33, las frecuencias de suceso tambin deberan aumentar tambin entre
cada columna en un orden de magnitud.
P
Personas
A
Patrimonio
E
Medio
ambiente
R
Reputacin
<0.01/ao <0.05/ao <0.25/ao >2/ao >2/ao
Sin lesiones Sin daos Sin efectos Sin efectos
(SIL1)
Lesin
leve (<1/ao)
Daos
leves
(<$10K)
Efecto
leve
Impacto
leve (SIL1) SIL1
Lesin leve
(<1E-01/ao)
Daos
leves
(<$100K)
Efecto
leve
Impacto
leve (SIL1) SIL1 SIL2
Lesin
importante
(<1E-02/ao)
Dao
importante
(<$500K)
Efecto
localizado
Impacto
considerable (SIL1) SIL1 SIL2 SIL3
Una
vctima
(<1E-03/ao)
Dao
importante
(<$10M)
Efecto
importante
Impacto
nacional (SIL1) SIL1 SIL2 SIL3 NA
Mltiples
vctimas
(<1E-04/ao)
Extensos
daos
(>$10M)
Efecto
masivo
Impacto
internacional SIL1 SIL2 SIL3 NA NA
A
A D
E
F
C
B
B C D E
Nunca
constatado
en la
industria
Ha ocurrido
en la
industria
Ha ocurrido
en la
empresa
Ocurre
varias veces/
ao en la
empresa
Ocurre
varias veces/
ao en las
instalaciones
Figura 33: Ejemplo de uso de la matriz de riesgos
67
E: El objetivo SIL de (SIL1) significa que se precisa cierta reduccin de riesgos, pero
que no existe un efecto consiguiente. No se precisa ninguna proteccin si no
existe un evento peligroso.
F: Por ltimo, en categoras comerciales, la frecuencia de suceso de daos a
activos debe ser realista y coherente con el coste de implementar las funciones
instrumentadas de seguridad necesarias.
La matriz de riesgos requiere por lo tanto calibracin y se sugiere lo siguiente (Figura 34).
7.5. Resumen
Los diagramas de riesgos y las matrices de riesgos pueden resultar muy tiles, en
particular cuando se utilizan en una primera pasada como tcnica de seguimiento rpido
para descartar todo excepto los SIL ms elevados (por ejemplo, SIL2 y superiores). No
obstante, una cuidadosa calibracin de las tcnicas utilizadas debe evitar resultados
incorrectos obtenidos como resultado de algunos de los obstculos que se muestran
aqu.
P
Personas
A
Patrimonio
E
Medio
ambiente
R
Reputacin
<1E-04/ao <1E-03/ao <1E-02/ao <0.1/ao >0.1/ao
Sin lesiones Sin daos Sin efectos Sin efectos
Lesin leve
(<0.1/ao)
Daos
leves
(<$10K)
Efecto
leve
Impacto
leve (SIL1) SIL1
Lesin menor
(<1E-02/ao)
Daos
leves
(<$100K)
Efecto
leve
Impacto
leve (SIL1) SIL1 SIL2
Lesin
importante
(<1E-03/ao)
Dao
importante
(<$500K)
Efecto
localizado
Impacto
considerable (SIL1) SIL1 SIL2 SIL3
Una
vctima
(<1E-04/ao)
Dao
grave
(<$10M)
Efecto
grave
Impacto
nacional (SIL1) SIL1 SIL2 SIL3 NA
Mltiples
vctimas
(<1E-05/ao)
Extensos
daos
(>$10M)
Efecto
masivo
Impacto
internacional SIL1 SIL2 SIL3 NA NA
A B C D E
Nunca
constatado
en la
industria
Ha ocurrido
en la
industria
Ha ocurrido
en la
empresa
Ocurre
varias veces/
ao en la
empresa
Ocurre
varias veces/
ao en las
instalaciones
Figura 34: Calibracin de la matriz de riesgos
68
8. Anlisis de capas de proteccin (LOPA)
8.1. Introduccin
El anlisis de capas de proteccin (LOPA) es una forma estructurada de calcular objetivos
de reduccin de riesgos (y SIL). El LOPA se lleva a cabo en un foro similar al del HAZOP.
Se definen normalmente los peligros potenciales mediante el enfoque de HAZOP [3] y
dichos peligros se importan a las hojas de trabajo del LOPA, y as se mantiene un vnculo
rastreable entre los dos anlisis desde la identificacin de riesgos, por el requisito de
reduccin de riesgos y el objetivo SIL. El LOPA debe llevarse a cabo como una extensin
de la reunin HAZOP, puesto que se trata de la progresin natural de uno al otro.
8.2. Equipo del estudio LOPA
Es importante que el equipo del LOPA est compuesto por personal que aporte al estudio
el mejor equilibrio entre conocimientos y experiencia, de acuerdo al tipo de planta. Un
tpico equipo del LOPA se compone como sigue:
Nombre Puesto
Presidente Explicar el proceso LOPA, mantener conversaciones y facilitar el
LOPA. Alguien con experiencia en LOPA, pero no involucrado
directamente en el diseo, para asegurarse de que el mtodo se siga
en detalle.
Secretario Registrar la charla de la reunin sobre LOPA y facilitar un anlisis en
lnea de los objetivos del SIL. Registrar recomendaciones o acciones.
Ingeniero de procesos Generalmente el ingeniero responsable del diagrama de flujo de
proceso y del desarrollo de diagramas de tuberas e instrumentacin
(P y ID).
Usuario/operario Asesorar sobre el uso y la operabilidad del proceso y el efecto de las
desviaciones.
Especialista C e I Alguien con conocimientos tcnicos relevantes en materia de
control e instrumentacin.
Encargado de
mantenimiento
Persona encargada del mantenimiento del proceso.
Representante del equipo
de personal de diseo
Asesorar sobre cualquier detalle de diseo o facilitar informacin
complementaria.
Anlisis de capas de proteccin (LOPA)
69
8.3. Informacin utilizada en el LOPA
Los siguientes elementos deben estar disponibles para que los revise el equipo del LOPA:
Diagramas de tuberas e instrumentacin de las instalaciones;
Documentos de descripcin de procesos o de la filosofa;
Procedimientos de funcionamiento y mantenimiento en vigor;
Esquemas de configuracin de la planta.
8.4. Establecimiento de los objetivos de nivel de integridad de seguridad (SIL)
Para establecer los objetivos de nivel de integridad de seguridad (SIL) es posible utilizar
la tcnica del LOPA, tal y como se describe en el documento del Centro de Seguridad de
Procesos Qumicos del Instituto Americano de Ingenieros Qumicos (AIChE) Layer of
Protection Analysis, 2001 [19.4].
El LOPA considera los peligros identificados por otros medios, por ejemplo, un HAZOP,
pero puede llevarse a cabo como parte de una reunin HAZOP, realizando una evaluacin
de cada peligro a medida que se identifiquen.
El equipo del LOPA considera cada uno de los peligros identificados y documenta las
causas iniciadoras y las capas de proteccin que previenen o mitigan el peligro. Se
determina entonces la magnitud total de reduccin de riesgos y se analiza la necesidad
de llevar a cabo una reduccin de riesgos adicional. Si la proteccin adicional se
proporciona en forma de sistema instrumentado de seguridad, la metodologa permitira
determinar el nivel de integridad de seguridad apropiado y la probabilidad de fallo a
demanda necesaria.
El proceso del LOPA se registra en las hojas de trabajo del LOPA, que permiten cuantificar
los eventos iniciadores y sus frecuencias, junto con la reduccin de riesgos proporcionada
por las capas independientes de proteccin que deben declararse. En los siguientes
apartados se describen los encabezados de las hojas de trabajo y se presenta un ejemplo
de LOPA [8.5].
8.5. Ejemplo de LOPA
Si tomamos como ejemplo la cmara de presin [3.7], es posible importar los peligros
identificados a la hoja de trabajo del LOPA y analizar los riesgos.
70
8.6. Hojas de trabajo del LOPA
8.6.1. Introduccin
En los siguientes apartados se describen los encabezados de las hojas de trabajo y se
proporciona orientacin sobre la cuantificacin.
En este captulo se presenta un ejemplo de hoja de trabajo del LOPA.
8.6.2. Identificador y referencia del peligro
Proporciona un identificador para cada peligro. En el ejemplo, el peligro considerado
para su anlisis tiene la ref. 1.10: Presin alta en la cmara. Esta referencia proporciona
facilidad de rastreo hacia atrs con otros estudios, en este caso, el HAZOP, y a medida
que se avanza en el proyecto, proporciona facilidad de rastreo hacia adelante con
asignacin de las funciones instrumentadas de seguridad y verificacin del nivel de
integridad de seguridad.
8.6.3. Descripcin del evento (peligro)
Proporciona una descripcin del peligro potencial identificado.
8.6.4. Consecuencia
Describe las consecuencias del peligro. En el LOPA de ejemplo hemos analizado las
consecuencias del peligro en trminos de seguridad personal, riesgos al medio ambiente
y riesgos a los activos (es decir, riesgos comerciales).
8.6.5. Categora de gravedad (Sev Cat)
La gravedad de las consecuencias documentadas puede categorizarse y derivarse de una
tabla de clasificacin de riesgos (por ejemplo, Tabla 5).
8.6.6. Riesgo mximo tolerable (MTR)
Aunque la frecuencia mxima tolerable de la consecuencia del peligro se aplica a la
seguridad personal, normalmente tambin se aplica al medio ambiente, a la reputacin
de la organizacin y al dao potencial al medio ambiente, a la reputacin de la empresa
y a los costes comerciales resultantes de daos a los activos, a la prdida de ingresos o
a la seguridad de suministro. Las frecuencias mximas tolerables utilizadas deben estar
en concordancia con las directrices de la HSE (por ejemplo, R2P2 [19.3] para seguridad).
No obstante, las frecuencias mximas tolerables para el medio ambiente, la reputacin y
los riesgos comerciales deben ser una decisin empresarial. En la Tabla 5 se muestran los
valores tpicos que pueden utilizarse.
71
Tabla 5: Criterios de riesgo
Consecuencia Cat.
grav.
Frecuencia
objetivo de
riesgo (/ao)
Descripcin de la consecuencia
En las instalaciones Fuera de las instalaciones
Personas
(seguridad)
P1 1.0E-01 Tratamiento mdico al empleado o lesiones que
ocasionan restricciones de trabajo
Tratamiento mdico o lesiones que ocasionan
restricciones de trabajo (a terceros)
P2 1.0E-02 Accidente con tiempo perdido (LTA) del
empleado sin efecto permanente
Accidente con tiempo perdido (LTA) (de
terceros) sin efecto permanente
P3 1.0E-03 Efecto permanente al empleado Sin efectos permanentes
P4 1.0E-04 1 vctima entre los empleados y/o varios casos
de invalidez permanente
Efectos permanentes (a terceros)
P5 1.0E-05 Varias vctimas entre los empleados (2 10) Una vctima de una tercera parte y/o muchos
casos de invalidez permanente
P6 1.0E-06 Muchas vctimas entre los empleados
(ms de 10)
Varias vctimas entre terceras partes
Medio ambiente E1 1.0E-01 Sin notificacin a las autoridades, pero se
requiere limpieza
Sin notificacin a las autoridades, pero se
requiere limpieza mnima. (p. ej., derrame de
1 100 litros con kit desplegado)
E2 1.0E-02 Notificacin a las autoridades, pero sin
consecuencias medioambientales
Notificacin a las autoridades, pero sin
consecuencias medioambientales. (p. ej.,
derrame de > 100 litros en las instalaciones del
cliente aisladas/protegidas)
E3 1.0E-03 Contaminacin moderada dentro del
permetro
Contaminacin moderada que requiere
trabajos de reparacin (p. ej., la emisin sale de
las instalaciones, pero el sitio permanece
operativo)
E4 1.0E-04 Contaminacin significativa dentro del
permetro. Evacuacin de personas/cierre
temporal de las instalaciones O contaminacin
significativa fuera de las instalaciones.
Evacuacin de personas. (p. ej., derrame fuera de
las instalaciones en la estacin de servicio)
Contaminacin significativa fuera de las
instalaciones. Evacuacin de personas. (p. ej.,
derrame fuera de las instalaciones en la
estacin de servicio)
E5 1.0E-05 Vanse consecuencias fuera de las
instalaciones
Contaminacin importante con consecuencias
medioambientales reversibles fuera de las
instalaciones. (P. ej., accidente importante al
medio ambiente)
E6 1.0E-06 Vanse consecuencias fuera de las
instalaciones
Contaminacin grave y sostenida fuera de
las instalaciones y/o amplia prdida de vida
acutica (p. ej., prdida de cargamento
martimo)
Coste C1 1.0E-01 Prdida <10K NA
C2 1.0E-02 Prdida de 10K < 100K NA
C3 1.0E-03 Prdida de 100K < 1.0M NA
C4 1.0E-04 Prdida de 1.0M < 10M NA
C5 1.0E-05 Prdida de 10M < 100M NA
C6 1.0E-06 Prdida 100M NA
Reputacin R1 1.0E-01 Sin publicidad. Locales afectados. NA
R2 1.0E-02 Prensa local NA
R3 1.0E-03 Prensa nacional NA
R4 1.0E-04 Televisin de mbito nacional NA
R5 1.0E-05 Prensa internacional NA
R6 1.0E-06 Televisin de mbito internacional NA
72
Tenga en cuenta que, aplicado a la seguridad personal, representa la frecuencia con la
que el individuo ms sometido al riesgo est expuesto al peligro.
8.6.7. Causa iniciadora
Lista las causas identificadas del peligro. Estas causas se determinan durante la reunin
LOPA a partir de la experiencia de los asistentes. En el caso del peligro del ejemplo, la
sobrepresin, las causas iniciadoras potenciales, sus frecuencias de suceso y la fuente
de datos se presentan en la Tabla 6. La LOPA debera ofrecer visibilidad de todos los datos
presentando todos los eventos iniciadores y todas las frecuencias, en referencia a las
fuentes de datos, de este modo.
Tabla 6: Eventos iniciadores y frecuencias
8.6.8. Posibilidad de iniciacin (/ao), columna [a]
Cuantifica la tasa de suceso esperada de la causa iniciadora. Esta tasa puede calcularse
basndose en la experiencia de los asistentes y en la informacin histrica disponible,
o puede derivarse de la fuentes adecuadas sobre tasa de fallos [14.6].
En la Tabla 6, por ejemplo, se presentan los eventos iniciadores y sus frecuencias de
suceso.
Puesto que las posibilidades iniciadoras se basan en factores humanos tales como error
del operario, calcularlas puede resultar todo un reto. Una tcnica consiste en basar el
clculo en la frecuencia de oportunidades que tiene un operario de cometer un error,
y multiplicarla por la probabilidad de cometer un error peligroso.
Causa iniciadora Posibilidad
iniciadora
(al ao)
Fuente de datos
Fallo de DCS para controlar la presin. 1.65E-02 Exida 2007, elemento x.x.x
Fallo de LL101 de nivel de lquido y se registra
nivel bajo.
1.10E-02 Exida 2007, elemento x.x.x
Fallo de TT100 y se registra temperatura baja. 2.68E-03 Exida 2007, elemento x.x.x
Fallo de PT102 y se registra baja presin. 8.58E-04 Exida 2007, elemento x.x.x
Fallo de cierre de la exportacin de gas
FCV102.
1.01E-02 Oreda 2002, elemento x.x.x
Fallo de apertura de gas combustible FCV100. 1.01E-02 Oreda 2002, elemento x.x.x
Fallo de cierre de la exportacin de lquido
XV102.
Fallo de apertura de la importacin de lquido
XV102.
73
Por ejemplo, supongamos que un operario puede iniciar una sobrepresin en una tubera
cerrando una vlvula. Normalmente, el operario abre una vlvula de derivacin antes de
cerrar la vlvula principal y realiza esta accin todos los meses. La frecuencia base (B) de
esta actividad es, por lo tanto, de 12 al ao (una vez al mes).
Podemos suponer que el operario cuenta con buena formacin, que la tarea es rutinaria
y que el operario no se encuentra bajo presin, de modo que calculamos que la
probabilidad de que cometa un error, PE, como por ejemplo, que no abra primero la
vlvula de derivacin, sera de, digamos, 1%. La frecuencia del evento iniciador (INIT)
puede calcularse del siguiente modo:
INIT = B x PE
INIT = 12 x 1%/ao
INIT = 0.12/ao
Por lo general, podemos efectuar una comprobacin de sensibilidad de estos datos
preguntando a los participantes en el LOPA si han experimentado el suceso de un evento
de estas caractersticas o si consideran que la frecuencia es razonable. Una frecuencia de
0.12/ao equivale a un error cada 8 aos.
8.6.9. Modificadores condicionales
Distribucin de tamaos de fugas, columna [b]
En el ejemplo, las consecuencias propuestas del peligro de sobrepresin nicamente se
dan si la condicin de la presin tuviera como consecuencia la rotura de la cmara. Puede
argumentarse que la mayora de condiciones de sobrepresin no daran como resultado
la prdida de contencin y s en una fuga menor por una brida, por ejemplo. En el
ejemplo, el equipo del LOPA calcul que el 10% de los eventos iniciadores tendran
consecuencias.
Probabilidad de ignicin, columna [c]
Para las consecuencias para la seguridad y comerciales propuestas, es necesario que
se encienda el gas liberado. En este ejemplo hemos hecho referencia a un estudio de
seguridad antiincendios que predeca un 75% de probabilidades de ignicin en una
situacin de rotura importante. En lo que se refiere a las consecuencias a la seguridad,
podemos declarar, por lo tanto, 0.75 como modificador condicional y la frecuencia del
evento iniciador se reduce en este factor.
En el caso de consecuencias medioambientales, no puede declararse ninguna reduccin
de riesgos, ya que la ignicin no es necesaria para las consecuencias.
74
Diseo de uso general, columna [d]
Un ejemplo de diseo de uso general sera una tubera con revestimiento, que
proporcionara cierta proteccin frente a una prdida de contencin. En este ejemplo,
no se ha contabilizado el diseo de uso general, puesto que no existen caractersticas
especficas del diseo que proporcionen reduccin de riesgos.
8.6.10. Capas de proteccin independientes (IPL)
Cada capa de proteccin consiste en una agrupacin de equipos y/o de controles
administrativos que funcionan en conjunto con el resto de las capas de proteccin.
El nivel de proteccin proporcionado por cada capa de proteccin independiente se
cuantifica mediante la probabilidad de incumplimiento de su funcin especfica a demanda,
su probabilidad de fallo a demanda (PFD), un nmero adimensional entre 0 y 1. Cuanto
menor sea el valor de la probabilidad de fallo a demanda, mayor ser el factor de reduccin
de riesgos aplicado como factor modificador a la posibilidad de iniciacin calculada [8.6.8];
de ah que cuando no se declare ninguna capa de proteccin independiente, se introduzca
1 en la hoja de trabajo del LOPA.
En este ejemplo, las capas de proteccin independientes declaradas en las columnas [e] a
[h] pueden personalizarse para que se adapten a la aplicacin. Se han presentado capas
de proteccin independientes tpicas.
Sistema bsico de control de proceso (BPCS), columna [e].
Puede declararse una contabilizacin si un bucle de control del sistema bsico de control
de proceso (sistema de control distribuido o DCS) evita que ocurra el peligro como
resultado de una causa iniciadora potencial. En el ejemplo, en el caso de algunas de
causas iniciadoras (por ejemplo, un fallo de apertura de la vlvula XV102 de importacin
de lquido), el sistema bsico de control de proceso (sistema de control distribuido)
puede compensarlo al abrir la vlvula de exportacin de lquido y evitar as un nivel
elevado. Se ha declarado una probabilidad de fallo a demanda (PFD) de 0.1, lo que
significa que el sistema de control distribuido (DCS) evita que se produzcan
consecuencias en 9 de cada 10 eventos.
Una probabilidad de fallo a demanda (PFD) de 0.1 es, por lo general, la mayor reduccin
de riesgos que puede declararse en un sistema que no siga la clasificacin SIL. Esto se
debe a que el sistema de control distribuido (DCS) puede ajustarse manualmente; por
lo general no hay un control tan estricto sobre los ajustes de puntos de activacin y el
rgimen de prueba no es tan riguroso como en el caso de un sistema instrumentado de
seguridad (SIS).
75
Alarmas independientes, columna [f ].
Puede declararse contabilizacin de alarmas que son independientes del sistema bsico
de control de proceso (BPCS), avisan al operario y requieren una accin de su parte.
Solamente se puede declarar contabilizacin si la alarma es realmente independiente
del sistema bsico de control de proceso (BPCS) y de las funciones instrumentadas de
seguridad (SIF), y solo si el operario puede responder a la alarma y tomar accin para
hacer que el proceso resulte seguro, dentro del tiempo seguro del proceso.
Por lo general puede declararse una probabilidad de fallo a demanda (PFD) de 0.1 para
alarmas independientes. En este ejemplo no se ha declarado ninguna contabilizacin.
8.6.11. Mitigacin adicional
Ocupacin, columna [g].
Acceso Entre las capas de mitigacin puede incluirse la ocupacin, es decir, la
proporcin de tiempo durante la que un operario est expuesto a un peligro y tiene
acceso restringido a zonas peligrosas. En este ejemplo se ha declarado una ocupacin
basada en un turno de 8 horas.
Otros elementos de mitigacin: columna [h].
La mitigacin adicional puede estar disponible en forma de:
Fsica Las capas de mitigacin pueden ser barreras fsicas que protejan del
peligro una vez que se haya iniciado. Ejemplos seran dispositivos de alivio de
presin o muros cortafuego.
Accin del operario Puede declararse una contabilizacin de la deteccin y la
inspeccin a intervalos regulares, siempre y cuando el operario pueda adoptar
la accin adecuada.
En este ejemplo, no se ha declarado contabilizacin.
8.6.12. Posibilidad intermedia de evento
La posibilidad intermedia del evento se calcula multiplicando la posibilidad de la causa
iniciadora por las probabilidades de fallo a demanda (PFD) de las capas de proteccin. El
nmero calculado se expresa en unidades de eventos al ao. La posibilidad intermedia
total indica la tasa de demanda de cualquier funcin instrumentada de seguridad (SIF)
propuesta.
76
8.6.13. Probabilidad de fallo a demanda (PFD) necesaria para el sistema instrumentado de
seguridad (SIS)
Calculada al comparar el riesgo mximo tolerable (MTR) con la posibilidad intermedia de
evento o la frecuencia de peligro (HAZ).
PFD = MTR/HAZ
8.6.14. Nivel de integridad de seguridad (SIL) necesario para el sistema instrumentado de
seguridad (SIS)
Obtenido a partir de la Tabla 7, correspondiente a la probabilidad de fallo a demanda
(PFD) necesaria para el sistema instrumentado de seguridad (SIS).
Tabla 7: Probabilidad de fallo a demanda (PFD) y tasas de fallo especificadas por el nivel de
integridad de seguridad (SIL)
Debe tenerse en cuenta que la probabilidad de fallo a demanda y la tasa de fallo de cada
nivel de integridad de seguridad dependen del modo de funcionamiento en que se
planee utilizar el sistema instrumentado de seguridad respecto a la frecuencia de las
demandas a la que est sometido [8.6.12].
A continuacin figuran las hojas de trabajo del LOPA.
Nivel SIL Modo a demanda
Probabilidad de fallo a
demanda
Modo continuo
Tasa de fallo por hora
SIL4 10
-5
a <10
-4
10
-9
a <10
-8
SIL3 10
-4
a <10
-3
10
-8
a <10
-7
SIL2 10
-3
a <10
-2
10
-7
a <10
-6
SIL1 10
-2
a <10
-1
10
-6
a <10
-5
77

B
P
C
S
[
D
C
S
]
A
l
a
r
m
a
s

i
n
d
e
p
e
n
-
d
i
e
n
t
e
s
M
i
t
i
g
a
c
i
n

a
d
i
c
i
o
n
a
l
:
O
c
u
p
a
c
i
n

(
n
i
v
e
l
e
s

d
e

p
e
r
s
o
n
a
l
)
M
i
t
i
g
a
c
i
n

a
d
i
c
i
o
n
a
l
,
p
. e
j
., m
u
r
o
s

c
o
r
t
a
f
u
e
g
o
s
/
p
r
o
c
e
d
i
m
i
e
n
t
o
s
o
p
e
r
a
c
i
o
n
a
l
e
s
/
v
l
v
u
l
a
s
d
e
a
l
i
v
i
o
V
e
r
o
s
i
m
i
l
i
t
u
d
d
e

n
i
v
e
l

i
n
t
e
r
m
e
d
i
o

d
e
l

e
v
e
n
t
o

(
p
a
)
P
D
F
r
e
q
u
e
r
i
d
a

d
e

S
R
S
S
I
L

r
e
q
u
e
r
i
d
o

d
e

S
R
S
C
o
m
e
n
t
a
r
i
o
s
/
s
u
p
u
e
s
t
o
s
[
a
]
[
b
]
[
c
]
[
d
]
[
e
]
[
f
]
[
g
]
[
h
]
D
C
S

f
a
l
l
a

a

l
a

h
o
r
a

d
e

c
o
n
t
r
o
l
a
r

l
a

p
r
e
s
i
n
.
1
.
6
5
E
-
0
2
0
.
1
0
0
.
7
5
0
.
3
3
4
.
1
3
E
-
0
4
[
a
]

V
e
r

d
a
t
o
s

d
e

e
v
e
n
t
o

i
n
i
c
i
a
d
o
r
.
[
b
]

E
l

e
q
u
i
p
o

L
O
P
A

c
a
l
c
u
l
a

l
a

p
r
o
b
a
b
i
l
i
d
a
d

d
e

u
n
a

f
u
g
a

g
r
a
n
d
e

(
r
o
t
u
r
a
)

e
n

u
n

1
0
%
.
[
c
]

E
l

e
s
t
u
d
i
o

d
e
l

r
i
e
s
g
o

d
e

i
n
c
e
n
d
i
o

c
a
l
c
u
l
a

l
a

p
r
o
b
a
b
i
l
i
d
a
d

d
e

i
g
n
i
c
i
n

e
n

u
n

7
5
%
.
[
d
]

N
o

s
e

r
e
i
v
i
n
d
i
c
a

u
n
a

c
o
n
t
a
b
i
l
i
z
a
c
i
n

d
e

l
a
s

c
a
r
a
c
t
e
r
s
t
i
c
a
s

d
e

d
i
s
e
o
.
[
e
]

D
C
S

e
s

l
a

c
a
u
s
a

i
n
i
c
i
a
d
o
r
a

p
o
r

t
a
n
t
o

n
o

s
e

r
e
i
v
i
n
d
i
c
a

u
n
a

c
o
n
t
a
b
i
l
i
z
a
c
i
n

d
e
l

D
C
S
.
[
f
]

N
o

h
a
y

a
l
a
r
m
a
s

i
n
d
e
p
e
n
d
i
e
n
t
e
s
.

N
o

s
e

r
e
i
v
i
n
d
i
c
a

u
n
a

c
o
n
t
a
b
i
l
i
z
a
c
i
n
.
[
g
]

r
e
a

d
e

c
m
a
r
a

o
c
u
p
a
d
a

8

h

p
o
r

d
a
.
[
h
]

S
i
n

v
l
v
u
l
a
s

d
e

a
l
i
v
i
o

d
e

p
r
e
s
i
n
.

N
o

s
e

r
e
i
v
i
n
d
i
c
a

u
n
a

c
o
n
t
a
b
i
l
i
z
a
c
i
n
.
F
a
l
l
o

d
e

P
T
1
0
2

y

s
e

r
e
g
i
s
t
r
a

b
a
j
a

p
r
e
s
i
n
8
.
5
8
E
-
0
4
0
.
1
0
0
.
7
5
0
.
3
3
2
.
1
5
E
-
0
5
C
o
m
o

a
r
r
i
b
a
.
F
a
l
l
o

d
e

a
p
e
r
t
u
r
a

d
e

l
a

i
m
p
o
r
t
a
c
i
n

d
e

l
q
u
i
d
o

X
V
1
0
2
.
2
.
8
9
E
-
0
3
0
.
1
0
0
.
7
5
0
.
1
0
0
.
3
3
7
.
2
3
E
-
0
6
C
o
m
o

a
r
r
i
b
a

e
x
c
e
p
t
o
:
[
e
]

e
l

D
C
S

p
u
e
d
e

c
o
m
p
e
n
s
a
r

l
o
s

f
a
l
l
o
s

d
e

l
a

v
l
v
u
l
a

d
e

i
m
p
o
r
t
a
c
i
n
.
C
l
c
u
l
o

P
F
D

=

0
.
1
.
F
a
l
l
o

d
e

c
i
e
r
r
e

d
e

l
a

e
x
p
o
r
t
a
c
i
n

d
e

g
a
s

F
C
V
1
0
2
.
1
.
0
1
E
-
0
2
0
.
1
0
0
.
7
5
0
.
1
0
0
.
3
3
2
.
5
2
E
-
0
5
C
o
m
o

a
r
r
i
b
a
.
F
a
l
l
o

d
e

c
i
e
r
r
e

d
e

l
a

e
x
p
o
r
t
a
c
i
n

d
e

l
q
u
i
d
o

X
V
1
0
2
.
2
.
8
9
E
-
0
3
0
.
1
0
0
.
7
5
0
.
1
0
0
.
3
3
7
.
2
3
E
-
0
6
C
o
m
o

a
r
r
i
b
a
.
F
a
l
l
o

d
e

T
T
1
0
0

y

s
e

r
e
g
i
s
t
r
a

t
e
m
p
e
r
a
t
u
r
a

b
a
j
a
2
.
6
8
E
-
0
3
0
.
1
0
0
.
7
5
0
.
1
0
0
.
3
3
6
.
7
0
E
-
0
6
C
o
m
o

a
r
r
i
b
a
.
F
a
l
l
o

d
e

a
p
e
r
t
u
r
a

d
e

g
a
s

c
o
m
b
u
s
t
i
b
l
e

F
C
V
1
0
0
.
1
.
0
1
E
-
0
2
0
.
1
0
0
.
7
5
0
.
1
0
0
.
3
3
2
.
5
2
E
-
0
5
C
o
m
o

a
r
r
i
b
a
.
F
a
l
l
o

d
e
l

n
i
v
e
l

d
e

l
q
u
i
d
o

L
L
1
0
1

y

s
e

r
e
g
i
s
t
r
a

n
i
v
e
l

b
a
j
o
.
1
.
1
0
E
-
0
2
0
.
1
0
0
.
7
5
0
.
1
0
0
.
3
3
2
.
7
4
E
-
0
5
C
o
m
o

a
r
r
i
b
a
.
5
.
3
4
E
-
0
4
P
5
1
.
0
0
E
-
0
5
1
.
8
7
E
-
0
2
C
o
n
s
e
c
u
e
n
c
i
a
1
.
1
0
C
m
a
r
a
U
n
a

p
r
e
s
i
n

e
l
e
v
a
d
a

c
a
u
s
a

l
a

r
o
t
u
r
a

d
e

l
a

c
m
a
r
a

y

l
a

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s
.
S
e
g
u
r
i
d
a
d
:
L
a

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s

p
r
e
n
d
e

e
n

e
l

q
u
e
m
a
d
o
r

y

l
a
s

s
u
p
e
r
f
c
i
e
s

c
a
l
i
e
n
t
e
s
.
P
o
s
i
b
l
e
m
e
n
t
e

d
o
s

v
c
t
i
m
a
s

e
n
t
r
e

e
l

p
e
r
s
o
n
a
l

d
e

m
a
n
t
e
n
i
-
m
i
e
n
t
o
.

S
I
L
1
R
i
e
s
g
o

m
x
.

t
o
l
e
r
a
b
l
e

(
p
a
)
C
a
u
s
a

i
n
i
c
i
a
d
o
r
a
V
e
r
o
s
i
m
i
l
i
t
u
d

i
n
i
c
i
a
d
o
r
a

(
p
a
)
D
i
s
t
r
i
b
u
c
i
n

d
e
l

t
a
m
a
o

d
e

f
u
g
a
P
r
o
b
a
b
i
l
i
d
a
d

d
e

i
g
n
i
c
i
n
D
i
s
e
o

d
e

u
s
o

g
e
n
e
r
a
l

(
c
l
a
s
i
f
c
a
-
c
i
n

d
i
s
e
o
)
C
a
p
a
s

i
n
d
e
p
e
n
d
i
e
n
t
e
s

d
e

p
r
o
t
e
c
c
i
n
I
D
/
R
e
f
.
Z
o
n
a

D
e
s
c
r
i
p
c
i
n

D
e
s
c
r
i
p
c
i
n

e
v
e
n
t
o

(
p
e
l
i
g
r
o
)
C
a
t
e
g
o
r
a

g
r
a
v
e
d
a
d
78

B
P
C
S
[
D
C
S
]
A
l
a
r
m
a
s

i
n
d
e
-
p
e
n
d
i
e
n
t
e
s
M
i
t
i
g
a
c
i
n

a
d
i
c
i
o
n
a
l
:
O
c
u
p
a
c
i
n

(
n
i
v
e
l
e
s

d
e

p
e
r
s
o
n
a
l
)
M
i
t
i
g
a
c
i
n

a
d
i
c
i
o
n
a
l
,
p
. e
j
., m
u
r
o
s

c
o
r
t
a
f
u
e
g
o
s
/
p
r
o
c
e
d
i
m
i
e
n
t
o
s
o
p
e
r
a
c
i
o
n
a
l
e
s
/
v
l
v
u
l
a
s
d
e
a
l
i
v
i
o
V
e
r
o
s
i
m
i
l
i
t
u
d
d
e

n
i
v
e
l

i
n
t
e
r
m
e
d
i
o

d
e
l

e
v
e
n
t
o

(
p
a
)
P
D
F
r
e
q
u
e
r
i
d
a

d
e

S
R
S
S
I
L

r
e
q
u
e
r
i
d
o

d
e

S
R
S
C
o
m
e
n
t
a
r
i
o
s
/
s
u
p
u
e
s
t
o
s
[
a
]
[
b
]
[
c
]
[
d
]
[
e
]
[
f
]
[
g
]
[
h
]
D
C
S

f
a
l
l
a

a

l
a

h
o
r
a

d
e

c
o
n
t
r
o
l
a
r

l
a

p
r
e
s
i
n
.
1
.
6
5
E
-
0
2
0
.
1
0
1
.
6
5
E
-
0
3
[
a
]

V
e
r

d
a
t
o
s

d
e

e
v
e
n
t
o

i
n
i
c
i
a
d
o
r
.
[
b
]

E
l

e
q
u
i
p
o

L
O
P
A

c
a
l
c
u
l
a

l
a

p
r
o
b
a
b
i
l
i
d
a
d

d
e

u
n
a

f
u
g
a

g
r
a
n
d
e

(
r
o
t
u
r
a
)

e
n

u
n

1
0
%
.
[
c
]

n
o

s
e

r
e
q
u
i
e
r
e

i
g
n
i
c
i
n

N
o

s
e

r
e
i
v
i
n
d
i
c
a

u
n
a

r
e
d
u
c
c
i
n

d
e
l

r
i
e
s
g
o
[
d
]

N
o

s
e

r
e
i
v
i
n
d
i
c
a

u
n
a

c
o
n
t
a
b
i
l
i
z
a
c
i
n

d
e

l
a
s

c
a
r
a
c
t
e
r
s
t
i
c
a
s

d
e

d
i
s
e
o
.
[
e
]

D
C
S

e
s

l
a

c
a
u
s
a

i
n
i
c
i
a
d
o
r
a

p
o
r

t
a
n
t
o

n
o

s
e

r
e
i
v
i
n
d
i
c
a

u
n
a

c
o
n
t
a
b
i
l
i
z
a
c
i
n

d
e
l

D
C
S
.
[
f
]

N
o

h
a
y

a
l
a
r
m
a
s

i
n
d
e
p
e
n
d
i
e
n
t
e
s
.

N
o

s
e

r
e
i
v
i
n
d
i
c
a

u
n
a

c
o
n
t
a
b
i
l
i
z
a
c
i
n
.
[
g
]

M
e
d
i
o

a
m
b
i
e
n
t
e

e
n

r
i
e
s
g
o

2
4
h
/
d
a
.

N
o

s
e

r
e
i
v
i
n
d
i
c
a

u
n
a

r
e
d
u
c
c
i
n

d
e
l

r
i
e
s
g
o
.
8
h

a
l

d
a
.
[
h
]

S
i
n

v
l
v
u
l
a
s

d
e

a
l
i
v
i
o

d
e

p
r
e
s
i
n
.

N
o

s
e

r
e
i
v
i
n
d
i
c
a

u
n
a

c
o
n
t
a
b
i
l
i
z
a
c
i
n
.
F
a
l
l
o

d
e

P
T
1
0
2

y

s
e

r
e
g
i
s
t
r
a

b
a
j
a

p
r
e
s
i
n
8
.
5
8
E
-
0
4
0
.
1
0
8
.
5
8
E
-
0
5
C
o
m
o

a
r
r
i
b
a
.
F
a
l
l
o

d
e

a
p
e
r
t
u
r
a

d
e

l
a

i
m
p
o
r
t
a
c
i
n

d
e

l
q
u
i
d
o

X
V
1
0
2
.
2
.
8
9
E
-
0
3
0
.
1
0
0
.
1
0
2
.
8
9
E
-
0
5
C
o
m
o

a
r
r
i
b
a

e
x
c
e
p
t
o
:
[
e
]

D
C
S

p
u
e
d
e

c
o
m
p
e
n
s
a
r

l
o
s

f
a
l
l
o
s

d
e

l
a

v
l
v
u
l
a

d
e

i
m
p
o
r
t
a
c
i
n
.
C
l
c
u
l
o

P
F
D

=

0
.
1
.
F
a
l
l
o

d
e

c
i
e
r
r
e

d
e

l
a

e
x
p
o
r
t
a
c
i
n

d
e

g
a
s

F
C
V
1
0
2
.
1
.
0
1
E
-
0
2
0
.
1
0
0
.
1
0
1
.
0
1
E
-
0
4
C
o
m
o

a
r
r
i
b
a
.
F
a
l
l
o

d
e

c
i
e
r
r
e

d
e

l
a

e
x
p
o
r
t
a
c
i
n

d
e

l
q
u
i
d
o

X
V
1
0
2
.
2
.
8
9
E
-
0
3
0
.
1
0
0
.
1
0
2
.
8
9
E
-
0
5
C
o
m
o

a
r
r
i
b
a
.
F
a
l
l
o

d
e

T
T
1
0
0

y

s
e

r
e
g
i
s
t
r
a

t
e
m
p
e
r
a
t
u
r
a

b
a
j
a
2
.
6
8
E
-
0
3
0
.
1
0
0
.
1
0
2
.
6
8
E
-
0
5
C
o
m
o

a
r
r
i
b
a
.
F
a
l
l
o

d
e

a
p
e
r
t
u
r
a

d
e

g
a
s

c
o
m
b
u
s
t
i
b
l
e

F
C
V
1
0
0
.
1
.
0
1
E
-
0
2
0
.
1
0
0
.
1
0
1
.
0
1
E
-
0
4
C
o
m
o

a
r
r
i
b
a
.
F
a
l
l
o

d
e
l

n
i
v
e
l

d
e

l
q
u
i
d
o

L
L
1
0
1

y

s
e

r
e
g
i
s
t
r
a

n
i
v
e
l

b
a
j
o
.
1
.
1
0
E
-
0
2
0
.
1
0
0
.
1
0
1
.
1
0
E
-
0
4
C
o
m
o

a
r
r
i
b
a
.
2
.
1
4
E
-
0
3
E
2
1
.
0
0
E
-
0
2
N
i
n
g
u
n
a
C
o
n
s
e
c
u
e
n
c
i
a
1
.
1
0
C
m
a
r
a
U
n
a

p
r
e
s
i
n

e
l
e
v
a
d
a

c
a
u
s
a

l
a

r
o
t
u
r
a

d
e

l
a

c
m
a
r
a

y

l
a

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s
.
M
e
d
i
o

a
m
b
i
e
n
t
e
:
R
o
t
u
r
a

d
e

l
a

c
m
a
r
a
,

e
s
c
a
p
e

d
e

g
a
s
,

n
o

h
a
y

i
g
n
i
c
i
n
.
L
i
b
e
r
a
c
i
n

e
n

l
a
s

i
n
s
t
a
l
a
c
i
o
n
e
s
.

S
e

r
e
q
u
i
e
r
e

l
i
m
p
i
e
z
a

y

n
o
t
i
f
c
a
c
i
n

a

l
a
s

a
u
t
o
r
i
d
a
d
e
s
,

p
e
r
o

s
i
n

c
o
n
s
e
c
u
e
n
c
i
a
s

m
e
d
i
o
a
m
b
i
e
n
-
t
a
l
e
s
.
N
i
n
g
u
n
a
R
i
e
s
g
o

m
x
.

t
o
l
e
r
a
b
l
e

(
p
a
)
C
a
u
s
a

i
n
i
c
i
a
d
o
r
a
V
e
r
o
s
i
m
i
l
i
t
u
d

i
n
i
c
i
a
d
o
r
a

(
p
a
)
D
i
s
t
r
i
b
u
c
i
n

d
e
l

t
a
m
a
o

d
e

f
u
g
a
P
r
o
b
a
b
i
l
i
d
a
d

d
e

i
g
n
i
c
i
n
P
r
o
p
s
i
t
o

g
e
n
e
r
a
l
D
i
s
e
o

(
c
l
a
s
i
f
c
a
-
c
i
n

d
e
l

d
i
s
e
o
)
C
a
p
a
s

i
n
d
e
p
e
n
d
i
e
n
t
e
s

d
e

p
r
o
t
e
c
c
i
n
I
D
/
R
e
f
.
Z
o
n
a

D
e
s
c
r
i
p
c
i
n

D
e
s
c
r
i
p
c
i
n

e
v
e
n
t
o

(
p
e
l
i
g
r
o
)
C
a
t
e
g
o
r
a

g
r
a
v
e
d
a
d
79

B
P
C
S
[
D
C
S
]
A
l
a
r
m
a
s

i
n
d
e
-
p
e
n
d
i
e
n
t
e
s
M
i
t
i
g
a
c
i
n

a
d
i
c
i
o
n
a
l
:
O
c
u
p
a
c
i
n

(
n
i
v
e
l
e
s

d
e

p
e
r
s
o
n
a
l
)
M
i
t
i
g
a
c
i
n

a
d
i
c
i
o
n
a
l
,
p
.
e
j
.,
m
u
r
o
s

c
o
r
t
a
f
u
e
g
o
s
/
p
r
o
c
e
d
i
m
i
e
n
t
o
s
o
p
e
r
a
c
i
o
n
a
l
e
s
/
v
l
v
u
l
a
s

d
e

a
l
i
v
i
o
V
e
r
o
s
i
m
i
l
i
t
u
d
d
e

e
v
e
n
t
o

n
i
v
e
l

i
n
t
e
r
-
m
e
d
i
o

(
p
a
)
P
D
F
r
e
q
u
e
r
i
d
a

d
e

S
R
S
S
I
L

r
e
q
u
e
r
i
d
o

d
e

S
R
S
C
o
m
e
n
t
a
r
i
o
s
/
s
u
p
u
e
s
t
o
s
[
a
]
[
b
]
[
c
]
[
d
]
[
e
]
[
f
]
[
g
]
[
h
]
D
C
S

f
a
l
l
a

a

l
a

h
o
r
a

d
e

c
o
n
t
r
o
l
a
r

l
a

p
r
e
s
i
n
.
1
.
6
5
E
-
0
2
0
.
1
0
0
.
7
5
1
.
2
4
E
-
0
3
[
a
]

V
e
r

d
a
t
o
s

d
e

e
v
e
n
t
o

i
n
i
c
i
a
d
o
r
.
[
b
]

E
l

e
q
u
i
p
o

L
O
P
A

c
a
l
c
u
l
a

l
a

p
r
o
b
a
b
i
l
i
d
a
d

d
e

u
n
a

f
u
g
a

g
r
a
n
d
e

(
r
o
t
u
r
a
)

e
n

u
n

1
0
%
.
[
c
]

E
l

e
s
t
u
d
i
o

d
e
l

r
i
e
s
g
o

d
e

i
n
c
e
n
d
i
o

c
a
l
c
u
l
a

l
a

p
r
o
b
a
b
i
l
i
d
a
d

d
e

i
g
n
i
c
i
n

e
n

u
n

7
5
%
.
[
d
]

N
o

s
e

r
e
i
v
i
n
d
i
c
a

u
n
a

c
o
n
t
a
b
i
l
i
z
a
c
i
n

d
e

l
a
s

c
a
r
a
c
t
e
r
s
t
i
c
a
s

d
e

d
i
s
e
o
.
[
e
]

D
C
S

e
s

l
a

c
a
u
s
a

i
n
i
c
i
a
d
o
r
a

p
o
r

t
a
n
t
o

n
o

s
e

r
e
i
v
i
n
d
i
c
a

u
n
a

c
o
n
t
a
b
i
l
i
z
a
c
i
n

d
e
l

D
C
S
.
[
f
]

N
o

h
a
y

a
l
a
r
m
a
s

i
n
d
e
p
e
n
d
i
e
n
t
e
s
.

N
o

s
e

r
e
i
v
i
n
d
i
c
a

u
n
a

c
o
n
t
a
b
i
l
i
z
a
c
i
n
.
[
g
]

r
e
a

d
e

c
m
a
r
a

o
c
u
p
a
d
a

8

h

p
o
r

d
a
.
[
h
]

S
i
n

v
l
v
u
l
a
s

d
e

a
l
i
v
i
o

d
e

p
r
e
s
i
n
.

N
o

s
e

r
e
i
v
i
n
d
i
c
a

u
n
a

c
o
n
t
a
b
i
l
i
z
a
c
i
n
.
F
a
l
l
o

d
e

P
T
1
0
2

y

s
e

r
e
g
i
s
t
r
a

b
a
j
a

p
r
e
s
i
n
8
.
5
8
E
-
0
4
0
.
1
0
0
.
7
5
6
.
4
4
E
-
0
5
C
o
m
o

a
r
r
i
b
a
.
F
a
l
l
o

d
e

a
p
e
r
t
u
r
a

d
e

l
a

i
m
p
o
r
t
a
c
i
n

d
e

l
q
u
i
d
o

X
V
1
0
2
.
2
.
8
9
E
-
0
3
0
.
1
0
0
.
7
5
0
.
1
0
2
.
1
7
E
-
0
5
C
o
m
o

a
r
r
i
b
a

e
x
c
e
p
t
o
:
[
e
]

e
l

D
C
S

p
u
e
d
e

c
o
m
p
e
n
s
a
r

l
o
s

f
a
l
l
o
s

d
e

l
a

v
l
v
u
l
a

d
e

i
m
p
o
r
t
a
c
i
n
.
C
l
c
u
l
o

P
F
D

=

0
.
1
.
F
a
l
l
o

d
e

c
i
e
r
r
e

d
e

l
a

e
x
p
o
r
t
a
c
i
n

d
e

g
a
s

F
C
V
1
0
2
.
1
.
0
1
E
-
0
2
0
.
1
0
0
.
7
5
0
.
1
0
7
.
5
6
E
-
0
5
C
o
m
o

a
r
r
i
b
a
.
F
a
l
l
o

d
e

c
i
e
r
r
e

d
e

l
a

e
x
p
o
r
t
a
c
i
n

d
e

l
q
u
i
d
o

X
V
1
0
2
.
2
.
8
9
E
-
0
3
0
.
1
0
0
.
7
5
0
.
1
0
2
.
1
7
E
-
0
5
C
o
m
o

a
r
r
i
b
a
.
F
a
l
l
o

d
e

T
T
1
0
0

y

s
e

r
e
g
i
s
t
r
a

t
e
m
p
e
r
a
t
u
r
a

b
a
j
a
2
.
6
8
E
-
0
3
0
.
1
0
0
.
7
5
0
.
1
0
2
.
0
1
E
-
0
5
C
o
m
o

a
r
r
i
b
a
.
F
a
l
l
o

d
e

a
p
e
r
t
u
r
a

d
e

g
a
s

c
o
m
b
u
s
t
i
b
l
e

F
C
V
1
0
0
.
1
.
0
1
E
-
0
2
0
.
1
0
0
.
7
5
0
.
1
0
7
.
5
6
E
-
0
5
C
o
m
o

a
r
r
i
b
a
.
F
a
l
l
o

d
e
l

n
i
v
e
l

d
e

l
q
u
i
d
o

L
L
1
0
1

y

s
e

r
e
g
i
s
t
r
a

n
i
v
e
l

b
a
j
o
.
1
.
1
0
E
-
0
2
0
.
1
0
0
.
7
5
0
.
1
0
8
.
2
1
E
-
0
5
C
o
m
o

a
r
r
i
b
a
.
1
.
6
0
E
-
0
3
C
5
1
.
0
0
E
-
0
5
6
.
2
4
E
-
0
3
C
o
n
s
e
c
u
e
n
c
i
a
1
.
1
0
C
m
a
r
a
U
n
a

p
r
e
s
i
n

e
l
e
v
a
d
a

c
a
u
s
a

l
a

r
o
t
u
r
a

d
e

l
a

c
m
a
r
a

y

l
a

l
i
b
e
r
a
c
i
n

d
e
l

g
a
s
.
C
o
m
e
r
c
i
a
l
:
R
o
t
u
r
a

d
e

l
a

c
m
a
r
a
,

e
s
c
a
p
e

d
e

g
a
s
,

i
g
n
i
c
i
n

y

d
a
o
s

a
l

p
a
t
r
i
m
o
n
i
o
.
L
o
s

d
a
o
s

d
e
l

e
q
u
i
p
o

r
e
q
u
i
e
r
e
n

l
a

s
u
s
t
i
t
u
c
i
n

d
e

l
a

c
m
a
r
a

v
a
l
o
r
a
d
a

e
n

1
0
M

y

l
a

p
r
d
i
d
a

d
e

p
r
o
d
u
c
c
i
n

d
e

1

a
o
S
I
L
2
R
i
e
s
g
o

m
x
.

t
o
l
e
r
a
b
l
e

(
p
a
)
C
a
u
s
a

i
n
i
c
i
a
d
o
r
a
V
e
r
o
s
i
m
i
l
i
t
u
d

i
n
i
c
i
a
d
o
r
a

(
p
a
)
D
i
s
t
r
i
b
u
c
i
n

d
e
l

t
a
m
a
o

d
e

f
u
g
a
P
r
o
b
a
b
i
l
i
d
a
d

d
e

i
g
n
i
c
i
n
D
i
s
e
o

d
e

u
s
o

g
e
n
e
r
a
l

(
c
l
a
s
i
f
c
a
-
c
i
n

d
i
s
e
o
)
C
a
p
a
s

i
n
d
e
p
e
n
d
i
e
n
t
e
s

d
e

p
r
o
t
e
c
c
i
n
I
D
/
R
e
f
.
Z
o
n
a

D
e
s
c
r
i
p
c
i
n

D
e
s
c
r
i
p
c
i
n

e
v
e
n
t
o

(
p
e
l
i
g
r
o
)
C
a
t
e
g
o
r
a

g
r
a
v
e
d
a
d
80
8.6.15. Resultados del LOPA
Los resultados (Tabla 8) muestran que el peligro de sobrepresin tiene consecuencias
en cuanto a la seguridad, que pueden protegerse con una funcin instrumentada de
seguridad SIL1 con una probabilidad de fallo a demanda (PFD) de 1.87E-02. No
obstante, el riesgo comercial es predominante y requiere una funcin instrumentada
de seguridad SIL2 con una probabilidad de fallo a demanda de 8.24E-03.
Tabla 8: Resultados del LOPA
No es extrao que predominen los peligros no relacionados con la seguridad. En este
ejemplo, el activo se encuentra siempre sometido al riesgo derivado del peligro mientras
que, en trminos de seguridad, el personal nicamente est sometido al riesgo parte del
tiempo.
La funcin instrumentada de seguridad (SIF) que debe disearse para proteger de la
sobrepresin debe, por lo tanto, cumplir los objetivos comerciales. La misma funcin
instrumentada de seguridad proporciona, por lo tanto, proteccin adecuada al personal.
Peligro Consecuencia Objetivo del
SIL
Objetivo de la
probabilidad
de fallo a
demanda
(PFD)
Seguridad Seguridad: Gas liberado prende en el
quemador y en superficies calientes.
Posiblemente dos vctimas del personal de
mantenimiento.
SIL1 1.87E-02
Medio ambiente Medio ambiente: Rotura de la cmara,
escape de gas, no se produce ignicin.
Liberacin en las instalaciones. Se requiere
limpieza y notificacin a las autoridades,
pero sin consecuencias medioambientales.
Ninguno Ninguno
Comercial Comercial: Rotura de la cmara, escape de
gas, ignicin y daos al patrimonio. Daos
al equipo requieren sustituir la cmara
valorada en 10M y la prdida de
produccin de 1 ao.
SIL2 6.24E-03
Asignacin de funciones de seguridad
81
9. Asignacin de funciones de seguridad
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 9.1, es asignar
funciones de seguridad a las capas de proteccin.
Como entradas, esta fase precisa una descripcin en trminos de requisitos funcionales
de seguridad y requisitos de integridad de seguridad.
Como salidas, la fase debe proporcionar informacin acerca de la asignacin de
funciones de seguridad generales, sus medidas objetivo de fallos y los niveles de
integridad de seguridad asociados. Se definen asimismo las suposiciones realizadas
sobre otras medidas de reduccin de riesgos que deben gestionarse durante la vida
til del proceso o de la planta.
G
e
s
t
i
n

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
,
e
v
a
l
u
a
c
i
n

y

a
u
d
i
t
o
r
a

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
10
E
s
t
r
u
c
t
u
r
a

y

p
l
a
n
i
f
c
a
c
i
n

d
e
l

c
i
c
l
o

d
e

v
i
d
a

d
e

l
a

s
e
g
u
r
i
d
a
d
11
V
e
r
i
f
c
a
c
i
n
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
2
Especifcacin de requisitos de
seguridad para el SIS
3
Diseo e ingeniera
para el SIS
4
y validacin
5
Funcionamiento y
mantenimiento
6
Modifcacin 7
Desmantelamiento 8
82
9.2. Asignacin de funciones de seguridad
A partir del ejemplo de la cmara de separacin, 3.7.1, se identificaron los siguientes requisitos de
funciones instrumentadas de seguridad (SIF) y de nivel de integridad de seguridad (SIL) (Tabla 9). El
anlisis de peligro, referencia 1.10 se mostr como parte del ejemplo del LOPA [8.5]. El LOPA se habra
utilizado para determinar los objetivos de nivel de integridad de seguridad (SIL) y los objetivos de la
probabilidad de fallo a demanda (PFD) para el resto de peligros identificados.
Tabla 9: Requisitos de funciones instrumentadas de seguridad (SIF)
Ref.
HAZOP
Peligro Consecuencia Objetivo
del SIL
Objetivo
de la PFD
1.01 Presin elevada causa
liberacin de gas.
Gas liberado prende en el quemador y en
superficies calientes. Posiblemente dos
vctimas del personal de mantenimiento.
Daos al equipo requieren sustituir la
cmara, valorada en 10M, e interrupcin
del proceso de 1 ao. Emisin leve al medio
ambiente.
SIL2 6.24E-03
1.11 Presin baja causa la
liberacin de gas.
ambiente.
Ninguno Ninguno
1.15 Temperatura elevada
conlleva presin
elevada, rotura de la
cmara y liberacin de
gas.
ambiente.
Ninguno Ninguno
1.16 Baja temperatura,
congelacin potencial
del lquido (solidifi -
cacin), rotura de la
cmara y prdida de
contencin.
del proceso de 6 meses. Emisiones al medio
ambiente que requieren notificacin.
Ninguno Ninguno
1.20 Nivel elevado en la
cmara puede causar
Daos al equipo en la rama descendente
requieren sustituir la cmara, valorada en
10M, e interrupcin del proceso de 6
meses.
SIL1 8.10E-02
1.21 Nivel bajo en la cmara
podra causar fuga de
gas a la exportacin de
lquido.
Daos al equipo en la rama descendente
requieren limpieza de la cmara, valorada en
2M, e interrupcin del proceso de 6
semanas.
SIL1 6.22E-02
Asignacin de funciones de seguridad
83
La posibilidad intermedia del evento indicada por el LOPA determin que debera considerarse todas las
funciones instrumentadas de seguridad en modo a demanda. Se establecieron los objetivos SIL1 para el
nivel alto y el nivel bajo y se propusieron, por lo tanto, las siguientes funciones instrumentadas de seguri -
dad (SIF). Para mitigar la alta presin, se instal una vlvula de alivio de presin como buena prctica de
ingeniera y se estableci una funcin instrumentada de seguridad, tal y como se muestra a continuacin.
Las funciones instrumentadas de seguridad individuales componen en su conjunto el sistema
instrumentado de seguridad (SIS) general:
Sistema
instrumentado
de seguridad
PHH100 ESDV100
P
LHH101 ESDV101
L
LHH102 ESDV102
L
Figura 35b: Fase 2 del ciclo de vida
Funcin
instrumentada
de seguridad
LHH102 ESDV102
L
Funcin
instrumentada
de seguridad
LHH101 ESDV101
L
Funcin
instrumentada
de seguridad
PHH100 ESDV100
P
Figura 35a: Fase 2 del ciclo de vida
84
En el siguiente diagrama se sealan las funciones instrumentadas de seguridad
asignadas:
Suministro
gas
combustible
Impor-
tacin
lquido
Exportacin
gas
XV101 ESDV101
LL101
TT100
FCV100
FCV100 XV100
T
P
Quemador
LH101
FCV102
XV102
ESDV102
PT102
PRV102
LH
LL
ESDV100
LLL101 SIS
LL
PHH100
P
LHH102 SIS
L
SIS
Expor-
tacin
lquido
Figura 35c: Fase 2 del ciclo de vida
Especificacin de requisitos de seguridad para el SIS
85
10. Especificacin de requisitos de seguridad del sistema
instrumentado de seguridad (SIS)
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 10.1, es especificar
los requisitos de las funciones instrumentadas de seguridad (SIF).
10.2. Requisitos de integridad de seguridad de una funcin instrumentada de
seguridad (SIF)
El nivel de integridad de seguridad de cada funcin instrumentada de seguridad ha sido
seleccionado durante el estudio de determinacin del nivel de integridad de seguridad
mediante un diagrama de riesgos, un LOPA o una matriz de riesgos.
Esta informacin debe comunicarse entonces al equipo de diseo mediante la
especificacin de requisitos de seguridad para garantizar que el diseo cumpla los
requisitos de integridad de seguridad de las funciones instrumentadas de seguridad
G
e
s
t
i
n

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
,
e
v
a
l
u
a
c
i
n

y

a
u
d
i
t
o
r
a

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
10
E
s
t
r
u
c
t
u
r
a

y

p
l
a
n
i
f
c
a
c
i
n

d
e
l

c
i
c
l
o

d
e

v
i
d
a

d
e

l
a

s
e
g
u
r
i
d
a
d
11
V
e
r
i
f
c
a
c
i
n
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
2
3
Diseo e ingeniera
para el SIS
4
y validacin
5
Funcionamiento y
mantenimiento
6
Modifcacin 7
Desmantelamiento 8
86
durante su implementacin. La especificacin de requisitos de seguridad es la base de la
validacin de las funciones instrumentadas de seguridad.
10.3. Marco de la especificacin de requisitos de seguridad (SRS)
Antes de llevar a cabo cualquier trabajo de diseo debe prepararse la especificacin de
requisitos de seguridad (SRS) en base a la orientacin facilitada en la norma IEC 61511-1/2,
clusulas 10 y 12. La especificacin de requisitos de seguridad contiene los requisitos
funcionales y de integridad para cada funcin instrumentada de seguridad (SIF), y debe
proporcionar informacin suficiente para disear e implementar la ingeniera del sistema
instrumentado de seguridad (SIS). Debe expresarse y estructurarse de modo que resulte
clara, precisa, verificable, sostenible y factible para facilitar que la comprendan aquellos
que probablemente utilizarn la informacin en cualquier fase del ciclo de vida.
La especificacin de requisitos de seguridad (SRS) debe incluir enunciados sobre los
siguientes puntos para cada funcin instrumentada de seguridad (SIF):
Descripcin de las funciones instrumentadas de seguridad (SIF);
Fallo por causas comunes;
Definicin de estado de seguridad de las funciones instrumentadas de
seguridad (SIF);
Tasa de demanda;
Intervalos de prueba de calidad;
Tiempo de respuesta para que el proceso vuelva a un estado de seguridad;
Nivel de integridad de seguridad (SIL) y modo de funcionamiento (a demanda
o continuo);
Mediciones del proceso y puntos de disparo;
Acciones de salida del proceso y criterios de funcionamiento exitosos;
Relacin funcional entre entradas y salidas;
Requisitos para la desactivacin manual;
Energizacin o desenergizacin para disparo;
Restablecimiento despus de una desactivacin;
Tasa de disparos errneos mxima permitida;
Modos de fallo y respuesta del sistema instrumentado de seguridad (SIS) a
fallos;
Arranque y reinicio del sistema instrumentado de seguridad (SIS);
Interfaces entre el sistema instrumentado de seguridad (SIS) y cualquier otro
sistema;
Software de aplicacin;
Anulaciones/inhibiciones/derivaciones y cmo borrarlas;
Acciones posteriores a la deteccin de un fallo del sistema instrumentado de
seguridad (SIS).
El sistema instrumentado de seguridad (SIS) puede ejecutar funciones instrumentadas no
relacionadas con la seguridad para garantizar la desconexin organizada o la puesta en
marcha ms rpida.
Diseo e ingeniera del SIS
87
11. Diseo e ingeniera del sistema instrumentado de seguridad (SIS)
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 11.1, es:
Disear el sistema instrumentado de seguridad (SIS) para que proporcione las
funciones instrumentadas de seguridad (SIF) necesarias [11.2];
Comprobar que el diseo de las funciones instrumentadas de seguridad (SIF)
cumpla el nivel de integridad de seguridad (SIL) especificado, definido durante
la determinacin del SIL [13].
G
e
s
t
i
n

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
,
e
v
a
l
u
a
c
i
n

y

a
u
d
i
t
o
r
a

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
10
E
s
t
r
u
c
t
u
r
a

y

p
l
a
n
i
f
c
a
c
i
n

d
e
l

c
i
c
l
o

d
e

v
i
d
a

d
e

l
a

s
e
g
u
r
i
d
a
d
11
V
e
r
i
f
c
a
c
i
n
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
2
3
Diseo e ingeniera
para el SIS
4
y validacin
5
Funcionamiento y
mantenimiento
6
Modifcacin 7
Desmantelamiento 8
88
11.2. Diseo de funciones instrumentadas de seguridad (SIF)
La especificacin de requisitos de seguridad forma la base de diseo de las funciones
instrumentadas de seguridad y permite al equipo de diseo traducir la funcionalidad en
documentos de diseo como, por ejemplo, una especificacin de diseo funcional. As, la
especificacin de diseo funcional debe contener todos los requisitos funcionales y de
integridad necesarios para el diseo del sistema instrumentado de seguridad.
Es importante que la documentacin del diseo incluya lo siguiente:
Requisitos de comportamiento del sistema al detectar un fallo [13.2];
Tolerancia a fallos de hardware [13.3];
Seleccin de componentes y de subsistemas [13.4];
Dispositivos de campo [13.5];
Interfaces del operario, de mantenimiento y de comunicacin con el sistema
instrumentado de seguridad (SIS) [13.6];
Requisitos de diseo relativos al mantenimiento o a las pruebas [13.7];
Probabilidad de fallo de las funciones instrumentadas de seguridad (SIF) [13.8];
Software de aplicacin [13.9].
Tcnicas de fiabilidad
89
12. Tcnicas de fiabilidad
12.1. Introduccin
Este apartado ofrece una breve introduccin a las tcnicas de fiabilidad. En ningn caso
se trata de un estudio integral sobre mtodos de ingeniera de fiabilidad, ni es de ningn
modo nuevo o poco convencional. Los mtodos que se describen en l son utilizados de
forma rutinaria por los ingenieros de fiabilidad.
12.2. Definiciones
Para facilitar la comprensin a continuacin figura una lista abreviada de trminos clave
junto con sus definiciones correspondientes. En muchos textos normales sobre el tema
se pueden encontrar definiciones de los trminos y nomenclatura ms completa.
Capacidad Medida de la capacidad de un elemento de alcanzar los objetivos de la
misin dadas las condiciones durante la misma.
Confiabilidad Medida del grado hasta el cual un elemento se encuentra en estado
operativo y capaz de llevar a cabo la funcin para la que se ha diseado en cualquier
momento (aleatorio) durante un perfil de misin especfico, dada la disponibilidad al
inicio de la misma.
Disponibilidad Medida del grado hasta el cual un elemento se encuentra en estado
operativo y ofrece garantas al inicio de la misin, cuando se requiere dicha misin en
un estado desconocido.
Fallo Evento, o estado inoperativo, en el que un elemento o parte del mismo no
funciona o no funcionara tal y como se ha especificado anteriormente.
Fallo, aleatorio Fallo cuya suceso es predecible nicamente en sentido probabilstico
o estadstico. Este principio se aplica a todas las distribuciones.
Fallo, dependiente Fallo ocasionado por el fallo de un elemento o de elementos
asociados. No independiente.
Fallo, independiente Fallo que se produce sin que est ocasionado por el fallo de
ningn otro elemento. No dependiente.
Fiabilidad (1) Duracin o probabilidad de rendimiento sin fallos bajo condiciones
determinadas. (2) Probabilidad de que un elemento pueda llevar a cabo la funcin para la
que ha sido diseado durante un intervalo especfico y bajo condiciones determinadas.
En el caso de elementos no redundantes, sera el equivalente a la definicin (1). En el caso
de elementos redundantes, sera la definicin de fiabilidad de la misin.
90
Mantenibilidad Medida de la capacidad de un elemento de mantenerse o volver a la
condicin especificada cuando el mantenimiento lo lleva a cabo personal con un nivel de
conocimientos especfico, mediante los procedimientos y los recursos prescritos y a cada
nivel de mantenimiento y reparacin prescritos.
Mantenimiento, correctivo Todas las acciones que se llevan a cabo como resultado
de un fallo, para que un elemento recupere la condicin especificada. El mantenimiento
correctivo puede incluir todos o alguno de los pasos siguientes: localizacin, aislamiento,
desmontaje, intercambio, nuevo montaje, alineamiento y verificacin.
Mantenimiento, preventivo Todas las acciones llevadas a cabo en un intento por
mantener un elemento en una condicin especfica llevando a cabo procesos de
inspeccin sistemtica, deteccin y prevencin de fallos incipientes.
Mecanismo de fallo Proceso fsico, qumico, elctrico trmico o de otro tipo que
produce el fallo.
Modo de fallo Consecuencia del mecanismo por medio del cual se produce el fallo;
es decir: cortocircuito, apertura, fractura, desgaste excesivo.
Tasa de fallo Nmero total de fallos en una poblacin de elementos, dividido entre
el nmero total de unidades de vida til empleadas por dicha poblacin durante un
intervalo de medicin en particular y bajo condiciones determinadas.
Tiempo medio entre fallos (MTBF) Medicin bsica de fiabilidad en el caso de
elementos reparables: nmero medio de unidades de vida til durante las que todos
los componentes del elemento funcionan dentro de sus lmites especficos, durante un
Tiempo medio hasta el fallo (MTTF) Medida bsica de fiabilidad en el caso de
elementos no reparables: nmero medio de unidades de vida til durante las que todos
los componentes del elemento funcionan dentro de sus lmites especficos, durante un
Tiempo medio hasta la reparacin (MTTR) Medida bsica de mantenibilidad: suma
de los tiempos de mantenimiento correctivo a cualquier nivel de reparacin especfico,
dividida entre el nmero total de fallos de un elemento reparado a dicho nivel, durante
un intervalo en particular y bajo condiciones determinadas.
91
12.3. Conceptos matemticos bsicos en ingeniera aplicada a la fiabilidad
En ingeniera aplicada a la fiabilidad se utilizan numerosos conceptos matemticos,
en particular en las reas de probabilidad y estadstica. Asimismo, es posible utilizar
diferentes distribuciones matemticas para distintos propsitos, incluida la distribucin
gaussiana (normal), la distribucin logartmica normal, la distribucin de Rayleigh,
la distribucin exponencial, la distribucin de Weibull y muchas otras. En esta breve
introduccin nos limitaremos a tratar la distribucin exponencial.
Tasa de fallo y tiempo medio entre fallos/hasta el fallo (MTBF/MTTF).
El objetivo de las mediciones cuantitativas de la fiabilidad es definir la tasa de fallo
en relacin al tiempo y modelar dicha tasa segn una distribucin matemtica para
comprender los aspectos cuantitativos del fallo. El bloque modular ms bsico es la
tasa de fallo, que se calcula utilizando la siguiente ecuacin:
= F/T
Donde: = Tasa de fallo (a menudo se denomina tasa de peligro);
T = Nmero total de horas del dispositivo (tiempo de funcionamiento/ciclos/km/etc.)
durante un periodo de investigacin, tanto para elementos que han fallado como para
los que no han fallado;
F = nmero total de fallos que ocurren durante el periodo de anlisis.
Por ejemplo, si cinco motores elctricos funcionan durante un tiempo colectivo total de
50 aos y se producen 5 fallos funcionales durante dicho periodo, la tasa de fallo es de
0.1 al ao.
Otro concepto muy bsico es el tiempo medio entre fallos/hasta el fallo (MTBF/MTTF).
La nica diferencia entre el MTBF y el MTTF es que utilizamos el MTBF al referirnos a
elementos que se reparan cuando fallan. En el caso de los elementos que simplemente
se han desechado y sustituido, utilizamos el MTTF. Los clculos son los mismos. El clculo
bsico para calcular el tiempo medio entre fallos (MTBF) y el tiempo medio hasta el fallo
(MTTF) es el valor recproco de la funcin de la tasa de fallo. Se calcula por medio de la
siguiente ecuacin.
= T/F
Donde: = Tiempo medio entre fallos/hasta el fallo;
T = Tiempo de funcionamiento total/ciclos/km/etc. durante un periodo de investigacin,
tanto para elementos que han fallado como que no han fallado;
F = nmero total de fallos que ocurren durante el periodo de anlisis.
92
El tiempo medio entre fallos (MTBF) en el ejemplo de un motor elctrico industrial es de
10 aos, lo que representa el valor recproco de la tasa de fallo de los motores. Casualmente,
calcularamos el tiempo medio entre fallos (MTBF) en el caso de motores elctricos que se
hayan reconstruido despus de un fallo. En el caso de motores con dimensiones ms
reducidas considerados desechables, sealaramos el tiempo medio hasta el fallo (MTTF).
La tasa de fallo es un concepto bsico en el que intervienen clculos mucho ms
complejos relacionados con la fiabilidad. En funcin del diseo mecnico/elctrico, el
contexto de funcionamiento y/o la efectividad del mantenimiento, la tasa de fallo de
una mquina expresada en funcin del tiempo puede reducirse, permanecer constante,
aumentar linealmente o aumentar geomtricamente. No obstante, para que los clculos
sean ms precisos, se presupone una tasa de fallo constante.
12.4. Curva de la baera
La curva de la baera pone de manifiesto conceptualmente las tres caractersticas bsicas
de la tasa de fallo de una mquina: en disminucin, constante, en aumento. En la prctica,
la mayora de las mquinas permanecen en la fase inicial de la vida til o en las regiones
de la curva de la baera en las que la tasa de fallo es constante. Raramente se ven
mecanismos de fallo dependientes del tiempo, puesto que las mquinas industriales
tpicas tienden a sustituirse (por completo o alguno de sus componentes) antes de que se
desgasten. No obstante, a pesar de las limitaciones en cuanto al modelado, la curva de la
baera es una herramienta til para explicar los conceptos bsicos de fiabilidad aplicada a
la ingeniera.
El cuerpo humano constituye un excelente ejemplo de un sistema que sigue la curva de la
baera. Las personas y las mquinas tienden a sufrir una tasa de fallo elevada (mortalidad)
durante sus primeros aos de vida, pero dicha tasa disminuye a medida que aumenta la
edad del nio (producto). Suponiendo que una persona sobreviva sus aos de
adolescencia, la tasa de mortalidad se vuelve bastante constante y permanece as hasta
que las enfermedades dependientes de la edad (tiempo) empiezan a aumentar la tasa de
mortalidad (desgaste).
Existe la nocin de que la curva de la baera est compuesta por varias distribuciones de
fallos (Figura 38).
La disminucin de la tasa de fallo en la fase inicial de la vida til se debe a razones
sistemticas como, por ejemplo, a los puntos dbiles en el proceso de fabricacin que
estn presentes en un producto. Al producirse un lote de productos, una proporcin de la
poblacin contendr puntos dbiles que fallarn durante el funcionamiento. Puesto que
los elementos con fallos se devuelven para su reparacin, la proporcin de productos con
puntos dbiles en la poblacin se reduce y la tasa de fallo disminuye en consecuencia.
93
El aumento de los fallos por desgaste puede deberse a razones sistemticas similares.
Los mecanismos de fallo pueden deberse a la degradacin de la fuerza como, por
ejemplo, la acumulacin de daos debidos a la fatiga. En electrnica, los mecanismos de
fallo dependientes del tiempo tienden a ser mecnicos por naturaleza e incluyen el fallo
debido a la fatiga de las juntas de soldadura.
El periodo de la tasa de fallo constante representa la mayor parte de la vida til de un
producto y es una medida de la calidad del diseo. Es en esta regin de la tasa de fallo
constante en la que pueden llevarse a cabo clculos sencillos relacionados con la
fiabilidad.
12.5. Distribucin exponencial
La distribucin exponencial, la frmula de prediccin ms bsica y ms utilizada, se utiliza
para modelar las mquinas con la tasa de fallo constante o la seccin plana de la curva de
la baera. La mayora de mquinas industriales pasan la mayor parte de su vida til en la
tasa de fallo constante, por lo que es ampliamente aplicable.
0
0
0.1
0.2
0.3
0.4
0.5
0.6
0.7
0.8
0.9
1
10 20 30
Tiempo
Decreciente
Constante
Creciente
Total
Curva de baera
T
a
s
a

d
e

f
a
l
l
o
40 50 60
Figura 38: Curva de baera
94
A continuacin se indica la ecuacin bsica para el clculo de la fiabilidad de una
mquina que sigue la distribucin exponencial, donde la tasa de fallo es constante
expresada en funcin del tiempo.
R(t) = exp. {- . t}
Donde: R(t) = Clculo de fiabilidad durante un periodo de tiempo, ciclos, km, etc. (t);
= Tasa de fallo (1/MTBF o 1/MTTF) y t = el tiempo durante el que existe el riesgo.
En el ejemplo del motor elctrico, si se presupone una tasa de fallo constante, la
posibilidad de hacer funcionar un motor durante seis aos sin que se produzca un fallo,
o la fiabilidad proyectada, es del 55 %. El clculo sera el siguiente:
R(t) = exp. { 0.1 x 6}
= exp. { 0.6}
= 0.5488 55%
En otras palabras, despus de seis aos, desde el punto de vista probabilstico se podra
esperar que se produjera un fallo en alrededor del 45% de la poblacin de motores
idnticos en funcionamiento en una aplicacin idntica. Merece la pena reiterar en este
punto que estos clculos proyectan la probabilidad para una poblacin general. Cada
individuo especfico dentro de la poblacin podra fallar el primer da de funcionamiento,
mientras que otro podra durar 30 aos. sta es la naturaleza de las proyecciones de
fiabilidad probabilsticas.
Una caracterstica de la distribucin exponencial es que el tiempo medio entre fallos
(MTBF) se produce en el punto en el que la fiabilidad calculada es del 36.78% o en el
punto en el que el 63.22% de las mquinas ya han fallado. En el ejemplo del motor,
despus de 10 aos, es de esperar que falle el 63.22% de los motores de una poblacin
de motores idnticos utilizados en aplicaciones idnticas. En otras palabras, la tasa de
supervivencia es del 36.78% de la poblacin.
12.6. Clculo de la fiabilidad del sistema
Una vez se ha establecido la fiabilidad de los componentes o de las mquinas en relacin
al contexto de funcionamiento y al tiempo necesario para la misin, los ingenieros de la
planta deben evaluar la fiabilidad de un sistema o proceso. De nuevo, con propsitos de
brevedad y simplicidad, abordaremos los clculos de fiabilidad en los sistemas en serie,
en paralelo y redundantes de carga compartida (M de N) (sistemas MooN).
12.6.1. Sistemas seriales
Antes de tratar el caso de los sistemas seriales, debemos abordar los diagramas de
bloques de fiabilidad (RBD). Un diagrama de bloques de fiabilidad sirve sencillamente
95
para esquematizar un proceso desde el principio hasta el final. En el caso de un sistema
serial, al subsistema 1 le sigue el subsistema 2, y as sucesivamente. En el sistema serial,
la capacidad para utilizar el subsistema 2 depende del estado de funcionamiento del
subsistema 1. Si el subsistema 1 no est en funcionamiento, el sistema est inactivo,
independientemente de la condicin del subsistema 2 (Figura 39).
Para calcular la fiabilidad del sistema en el caso de un proceso serial, solo se debe
multiplicar la fiabilidad aproximada del subsistema 1 en un tiempo (t) por la fiabilidad
aproximada del subsistema 2 en un tiempo (t). La ecuacin bsica para calcular la
fiabilidad del sistema en el caso de un sistema serial sencillo es:
Rs(t) = R1(t) . R2(t) . R3(t)
Donde: Rs(t) Fiabilidad del sistema durante un tiempo determinado (t);
Rn(t) Fiabilidad del subsistema o de la subfuncin durante un tiempo determinado (t)
As, en el caso de un sistema sencillo con tres subsistemas o subfunciones, cada una de
ellas con una fiabilidad aproximada de 0.90 (90%) en un tiempo (t), la fiabilidad del
sistema se calcula del siguiente modo: 0.90 X 0.90 X 0.90 = 0.729, o alrededor del 73%.
12.6.2. Sistemas en paralelo
A menudo, los ingenieros encargados del diseo incorporan la redundancia en mquinas
fundamentales. Los ingenieros encargados de la fiabilidad los denominan sistemas en
paralelo. Estos sistemas pueden disearse como sistemas en paralelo activos o como
sistemas en paralelo en espera. En la Figura 40 se muestra el diagrama de bloques de un
sistema en paralelo sencillo de dos componentes.
R1(t)
R2(t)
Figura 40: Sistema en paralelo
R1(t) R2(t) R3(t)
Subsistema 1 Subsistema 2 Subsistema 3
Figura 39: Sistema en serie
96
Para calcular la fiabilidad de un sistema en paralelo activo, en el que ambas mquinas
estn en funcionamiento, utilice la siguiente y sencilla ecuacin:
Rs(t) = 1 [ {1-R1(t)} . {1-R2(t)} ]
Donde: Rs(t) Fiabilidad del sistema durante un tiempo determinado (t);
Rn(t) Fiabilidad del subsistema o de la subfuncin durante un tiempo determinado (t)
El sistema en paralelo simple del ejemplo, con dos componentes en paralelo (cada uno de
ellos con una fiabilidad de 0.90) presenta una fiabilidad total del sistema de 1 (0.1 X 0.1)
= 0.99. De este modo, la fiabilidad del sistema ha aumentado en gran medida.
12.6.3. Sistemas M de N (MooN)
Un concepto importante para los ingenieros encargados de la fiabilidad de la planta es el
de los sistemas MooN. Estos sistemas requieren que M unidades de una poblacin total
de N se encuentren disponibles para ser utilizados. Un buen ejemplo en la industria son
los pulverizadores de carbn de una planta de generacin de energa elctrica. A
menudo, los ingenieros disean esta funcin en la planta mediante un enfoque MooN.
Por ejemplo, una unidad tiene cuatro pulverizadores y la unidad precisa que tres de los
cuatro estn operativos para que la unidad funcione a carga plena (Figura 41).
12.7. Fallos peligrosos y seguros
Para que los clculos relacionados con la fiabilidad resulten significativos, no solo nos
preocupa la tasa de fallo del sistema, sino tambin cmo puede fallar el sistema, es decir,
el modo de fallo.
Los modos de fallo pueden clasificarse como seguros o peligrosos. En la figura 42 se
muestra un gasoducto. Si el gasoducto suministra combustible a una central de energa y
la vlvula de cierre seguridad falla y se cierra errneamente, el suministro de combustible
se interrumpe y quiz se produzca una prdida de ingresos, pero el modo de fallo (fallo en
posicin cerrada) es un fallo seguro.
Si la misma vlvula falla en posicin abierta, se mantiene el suministro de combustible
pero, en caso de producirse una condicin de sobrepresin, no se podr aislar el
combustible y garantizar la seguridad del oleoducto. Este modo de fallo (fallo en
posicin abierta) se considera por lo tanto un fallo peligroso.
97
En este ejemplo, el modo de fallo peligroso en posicin abierta no se descubre sino hasta
que la vlvula se sometiera a una demanda; es decir, hasta que se le diera la orden de
cierre. Este se considera un fallo peligroso no detectado.
Transmisor
de presin
Controlador
de presin
Lgica
ESD
Vlvula
solenoide
Suministro
hidrulico
Purga
hidrulica
Entrada
gasoducto
Exportacin
gasoducto
Vlvula
cierre
Vlvula
control presin
Clasifcado como 139 bar Clasifcado como 48 bar
PC
S
PT
R1(t)
R2(t)
R3(t)
R4(t)
Figura 41: Sistema 3oo4
98
Como alternativa, si el oleoducto est suministrando caudal de refrigerante a la central
de energa y la vlvula SSV969A falla y se cierra errneamente, se interrumpe el caudal de
refrigerante y la central de energa podra sobrecalentarse. En esta aplicacin, la misma
vlvula y el mismo modo de fallo (fallo en posicin cerrada) constituye un fallo peligroso.
Si la vlvula falla en posicin abierta, se mantiene el caudal de refrigerante y, por lo tanto,
este modo de fallo (fallo en posicin abierta) se considera un fallo seguro.
Un fallo peligroso de un componente en una funcin instrumentada de seguridad evita
que la funcin alcance un estado seguro cuando se precise que as lo haga. La tasa de
fallos peligrosos se representa mediante el smbolo: D.
Un fallo seguro no tiene el potencial de poner el sistema instrumentado de seguridad en un
estado peligroso o de fallo de funcionamiento, pero el fallo se produce de tal forma que el
sistema debe apagarse o la funcin instrumentada de seguridad debe activarse cuando no
hay ningn peligro presente. La tasa de fallos seguros se representa mediante el smbolo: S.
Puede haber modos de fallo que no afecten en absoluto la funcin de seguridad. Entre
ellos pueden incluirse las funciones de mantenimiento, los elementos indicadores, los
registros de datos y otras funciones no relacionadas (no RS) con la seguridad. La tasa de
fallos no RS se representa mediante el smbolo: no RS.
La tasa de fallo total de un elemento es igual a la suma de las tasas de fallo relacionadas
y no relacionadas con la seguridad. Por lo general solamente se incluyen en los clculos
relacionados con la fiabilidad D y S.
= D + S + no RS
12.8. Fallos detectados y no detectados
La probabilidad de fallo a demanda (PFD) est relacionada con los fallos peligrosos que
evitan que el sistema instrumentado de seguridad (SIS) funcione cuando se precise que
as lo haga. Estos modos de fallo se clasifican como fallos detectados, que se pueden
detectar mediante un diagnstico, o fallos no detectados, que no se detectan excepto
mediante pruebas de calidad manuales, que por lo general se llevan a cabo anualmente.
Se recomienda que los modos de fallo clasificados segn la metodologa FMECA como
fallos detectados peligrosos se detecten como parte del diagnstico y se verifiquen en
la validacin del software. Adems, los procedimientos de la prueba de calidad deben
garantizar que los modos de fallos no detectados peligrosos se descubran para garantizar
que las pruebas de calidad resulten efectivas.
De acuerdo con la norma IEC 61508-6, Anexo B.3.1, en el anlisis se puede considerar que
para cada funcin de seguridad existe una prueba de calidad y una reparacin perfecta;
es decir, que todos los fallos no detectados se descubren mediante una prueba de
calidad.
99
12.9. Periodo de prueba de calidad (Tp) y tiempo improductivo medio (MDT)
Si se produce un fallo, se presupone que en promedio ocurre en el punto intermedio del
intervalo de prueba. En otras palabras, el fallo sigue sin detectarse durante el 50% del
periodo de prueba.
Tanto en el caso de fallos detectados como de no detectados, el tiempo improductivo
medio (MDT) depende del intervalo de prueba y del tiempo medio hasta la reparacin
(MTTR).
El tiempo improductivo medio (MDT) se calcula, por lo tanto, a partir de:
MDT = intervalo de prueba + MTTR
2
En el caso de fallos detectados, el tiempo improductivo medio se aproxima, por lo tanto,
al tiempo medio hasta la reparacin, ya que el intervalo de prueba (autoprueba) es por lo
general corto en comparacin con el tiempo medio hasta la reparacin (MTTR). En el caso
de fallos no detectados, el tiempo de reparacin es corto en comparacin al intervalo
de prueba, el periodo de prueba de calidad (Tp) y, por lo tanto, el tiempo improductivo
medio (MDT) de este tipo de fallos se aproxima a Tp/2.
12.10. Modelado de la tasa de fallo del sistema (sys)
La tasa de fallo de un sistema redundante sys, puede calcularse teniendo en cuenta
las diferentes formas en que puede producirse el fallo del sistema. En un sistema 3oo4,
se requiere el funcionamiento de 3 de los 4 canales para que el sistema funcione; por lo
tanto, cada dos fallos se produce un fallo del sistema.
Figura 43: Sistema 3oo4

100
La tasa a la que se producen los dos fallos, 2 se da por la tasa de fallo de un elemento ,
multiplicada por la probabilidad de que se produzca un segundo fallo durante el tiempo
improductivo, el tiempo improductivo medio del primer fallo, .MDT.
Por tanto:
2 = .( .MDT)
No obstante, existen 12 permutaciones (el orden es importante) de dos fallos en un
sistema 3oo4: A.B, A.C, A.D, B.C, B.D, C.D, B.A, C.A, D.A, C.B, D.B y deben tenerse en cuenta
todas ellas. La tasa de fallo del sistema se convierte, por lo tanto, en aproximadamente:
SYS = 12.
2
.MDT
Para ser exactos, debemos incluir todas las permutaciones de 3 y 4 fallos concurrentes,
as como fallos debidos a causas comunes, puesto que estos tambin dan como resultado
un fallo del sistema; no obstante, como aproximacin de primer orden, pueden obviarse
estos trminos de orden superior. En la Tabla 10 se presenta la tasa de fallo del 3oo4 y
otras configuraciones. Tenga en cuenta que se trata de aproximaciones en las que
tambin se obvian los trminos de orden superior.
Tabla 10: Tasa de fallos del sistema
Tenga en cuenta que la contribucin de fallos por causas comunes se trata
posteriormente [12.17].
Configuracin sys
1oo1
1oo2 2.
2
.MDT
2oo2 2.
1oo3 3.
3
.MDT
2
2oo3 6.
2
.MDT
3oo3 3.
1oo4
4
.MDT
3
2oo4 12.
3
.MDT
2
3oo4 12.
2
.MDT
4oo4 4.
101
12.11. Modelado de tasas de fallos peligrosos detectados y no detectados (DD) y
(DU)
Al sustituir DD y DU, por en la Tabla 10, y al utilizar el tiempo improductivo medio (MDT)
o el Tp/2 (segn resulte adecuado) puede derivarse la tasa de fallo del sistema a causa de
fallos peligrosos detectados o no detectados Tabla 11.
Tabla 11: Tasa de fallos peligrosos del sistema
12.12. Modelado de la tasa de disparos errneos del sistema (STR)
Puesto que se presupone que todas las tasas de fallos seguros, por lo general, se detectan,
en una configuracin redundante los canales que hayan fallado se repararn siempre y
cuando el sistema no se dispare. Por lo tanto, es aplicable el enfoque adoptado para fallos
peligrosos detectados, excepto en que el nmero de fallos necesarios para un disparo
errneo puede diferir del necesario para un fallo peligroso.
Por lo general, en los disparos errneos se incluyen nicamente las tasas de fallos seguros
pero, en funcin del comportamiento del sistema al detectar un fallo, pueden incluirse los
fallos peligrosos detectados, de modo que la tasa de disparos errneos es la suma de los
dos.
En la Tabla 12 se resumen las tasas de disparos errneos del sistema en el caso de fallos
seguros.
Configuracin Detectado No detectado
sys sys
1oo1 DD DU
1oo2 2.DD
2
.MDT DU
2
.TP
2oo2 2.DD 2.DU
1oo3 3.DD
3
.MDT
2
DU
3
.TP
2
2oo3 6.DD
2
.MDT 3.DU
2
.TP
3oo3 3.DD 3.DU
1oo4 DD
4
.MDT
3
DU
4
.TP
3
2oo4 12.DD
3
.MDT
2
4.DU
3
.TP
2
3oo4 12.DD
2
.MDT 6.DU
2
.TP
4oo4 4.DD 4.DU
102
Tabla 12: Tasas de disparos errneos del sistema
12.13. Modelado de disponibilidad de sistemas de seguridad en el modo a demanda
En el caso de un sistema de seguridad, la disponibilidad debida a fallos peligrosos
detectados, ADD se calcula:
ADD = 1/(1 + .DD(SYS).MDT)
donde DD(SYS) es la tasa de fallo del sistema como resultado de los fallos peligrosos
detectados [12.11].
En el caso de fallos peligrosos no detectados, la ADU se calcula:
ADU = 1/(1 + .DU(SYS).TP/2)
donde DU(SYS) es la tasa de fallo del sistema como resultado de los fallos peligrosos no
detectados [12.11].
En el caso de fallos seguros, AS se calcula:
AS = 1/(1 + .S(SYS).MDT)
donde S(SYS) es la tasa de fallo del sistema como resultado de fallos errneos (seguros)
[12.12].
Configuracin Errneo
str
1oo1 S
1oo2 2.S
2oo2 2.S
2
.MDT
1oo3 3.S
2oo3 6.S
2
.MDT
3oo3 3.S
3
.MDT
2
1oo4 4.S
2oo4 12.S
2
.MDT
3oo4 12.S
3
.MDT
2
4oo4 S
4
.MDT
3
103
La disponibilidad del sistema es, por lo tanto, producto de las disponibilidades debidas a
fallos peligrosos detectados, fallos peligrosos no detectados y fallos seguros:
ASYS = ADD . ADU . AS
Este mtodo puede utilizarse para modelar sistemas seriales (simplex) y tambin sistemas
redundantes.
12.14. Modelado de disponibilidad de sistemas de seguridad en modo continuo
Cuando se aplica el mtodo a sistemas de seguridad en modo continuo, el analista
debe comprender la naturaleza de las demandas a la que est sometida la funcin de
seguridad. Ciertas funciones de seguridad en modo continuo funcionan a demanda
(igual que una funcin de seguridad en modo a demanda), pero se clasifican como en
modo continuo debido a la frecuencia de la demanda (por ejemplo, superior a una vez
al ao). En este caso, la disponibilidad puede calcularse al igual que para una funcin de
seguridad en modo a demanda, excepto que el intervalo de prueba de calidad TP debe
sustituirse por el intervalo de demanda TD. Los fallos peligrosos no detectados no se
descubren sino hasta que la funcin de seguridad se somete a una demanda.
Cuando la funcin de seguridad en modo continuo proporciona control continuo de forma
eficaz, la disponibilidad puede calcularse como si se tratase de un sistema de control [12.15].
12.15. Modelado de disponibilidad de sistemas de control
Cuando se trata de modelar la disponibilidad de los sistemas de control, nos preocupan
los fallos que afectan el proceso y debemos decidir si un fallo afecta al proceso hasta tal
punto que el sistema de control se encuentra efectivamente no disponible.
La deteccin de un fallo se lleva a cabo ya sea mediante diagnstico y alarmas de fallo,
en cuyo caso se precisa una reparacin y el sistema no est disponible sino hasta que se
restaure, o mediante sntomas, en cuyo caso el proceso bajo control funciona fuera de los
lmites de los puntos de ajuste.
Los fallos que no se detectan no tienen como consecuencia inmediata que el sistema
de control se encuentre no disponible. Con el tiempo, el fallo no detectado puede tener
como consecuencia la desviacin de los lmites especficos para los parmetros de
proceso y, en dicho punto, se descubre y se traduce en una falta de disponibilidad.
La disponibilidad de los sistemas de control puede, por lo tanto, modelarse teniendo en
cuenta que la tasa de fallo total del sistema ASYS viene dada por:
ASYS = 1/(1 + SYS.MDT)
donde SYS es la tasa de fallo total del sistema como resultado de todos los fallos
[Tabla 10].
104
12.16. Probabilidad de fallo peligroso/hora (PFH) y probabilidad de fallo a demanda
(PFD)
En la Tabla 13 se presentan las frmulas simplificadas de la probabilidad de fallo
peligroso/hora (PFH) y de la probabilidad de fallo a demanda (PFD) de configuraciones
comunes en el caso de fallos detectados, y en la Tabla 14 en el caso de fallos no
detectados.
Tabla 13: Clculo de PFH/PFD (fallos detectados)
Configuracin PFH PFD
1oo1 DD DD.MDT
1oo2 2.DD
2
.MDT 2.DD
2
.MDT
2
2oo2 2.DD 2.DD.MDT
1oo3 3.DD
3
.MDT
2
3.DD
3
.MDT
3
2oo3 6.DD
2
.MDT 3.DD
2
.MDT
2
3oo3 3.DD 3.DD.MDT
1oo4 4.DD
4
.MDT
3
DD
4
.MDT
4
2oo4 12.DD
3
.MDT
2
4.DD
3
.MDT
3
3oo4 12.DD
2
.MDT 6.DD
2
.MDT
2
4oo4 4.DD 4.DD.MDT
105
Tabla 14: Clculo de PFH/PFD (fallos no detectados)
12.17. Consideracin de fallos por causas comunes (CCF)
Los fallos por causas comunes son fallos que pueden producirse por una nica causa,
pero que afectan de forma simultnea a ms de un canal. Pueden ser el resultado de
un fallo sistemtico, por ejemplo, un error de especificacin de diseo o una influencia
externa como temperatura excesiva que pudiera dar lugar a un fallo de componentes en
los dos canales redundantes. Es responsabilidad del diseador del sistema adoptar las
medidas necesarias para minimizar la posibilidad de que se produzcan fallos por causas
comunes empleando las prcticas de diseo adecuadas.
La contribucin de fallos por causas comunes en rutas redundantes en paralelo se
contabiliza mediante la inclusin de un factor . La tasa de fallos por causas comunes que
se incluye en el clculo es igual a x la tasa de fallo total de una de las rutas redundantes.
El modelo del factor - [IEC 61508-6, Anexo D] es la tcnica preferida puesto que es
objetiva y proporciona facilidad de rastreo en el clculo de . El modelo se ha compilado
para responder a una serie de preguntas especficas que, a continuacin, se han
puntuado mediante un juicio objetivo en materia de ingeniera. La puntuacin mxima
de cada pregunta se ha ponderado en el modelo mediante la calibracin de los resultados
de varias evaluaciones (contra datos conocidos de fallos de campo).
Configuracin PFH PFD
1oo1 DU DD.TP/2
1oo2 DU
2
.TP DD
2
.TP
2
/3
2oo2 2.DU DD.TP
1oo3 DU
3
.TP
2
DD
3
.TP
3
/4
2oo3 3.DU
2
.TP DD
2
.TP
2
3oo3 3.DU 3.DD.TP/2
1oo4 DU
4
.TP
3
DD
4
.TP
4
/5
2oo4 4.DU
3
.TP
2
DD
3
.TP
3
3oo4 6.DU
2
.TP 2.DD
2
.TP
2
4oo4 4.DU 2.DD.TP
106
En las puntuaciones de las listas de verificacin se utilizan dos columnas. La columna A
contiene las puntuaciones de aquellas caractersticas de proteccin contra fallos por
causas comunes que se considera que han mejorado mediante un aumento en la
frecuencia de diagnstico (autoprueba o prueba de calidad). La columna B contiene las
puntuaciones de aquellas caractersticas que se considera que no han mejorado
mediante un aumento en la frecuencia de diagnstico.
El modelo permite modificar la puntuacin mediante la frecuencia y la cobertura de la
prueba de diagnstico. Las puntuaciones de la columna A se multiplican por un factor C,
que se deriva de las consideraciones relacionadas con el diagnstico. El factor final se
calcula entonces a partir de la puntuacin bruta total:
Puntuacin bruta = (A * C) + B
La relacin entre y la puntuacin bruta es esencialmente una funcin exponencial
negativa, puesto que no existen datos para justificar la divergencia respecto a la
suposicin de que, a medida que disminuye (mejora), las sucesivas mejoras resultan
cada vez ms difciles de conseguir.
Si una pregunta en particular no es aplicable al sistema que est siendo evaluado, se introduce
una puntuacin de 100% o 0% en funcin de lo que resulte ms adecuado al sistema.
Las siguientes representan restricciones tpicas que deben tenerse en cuenta para calcular
la contribucin de los fallos por causas comunes (CCF):
los canales redundantes estn separados fsicamente;
tecnologas diversas; por ejemplo, un canal electrnico y un canal basado en
rel;
el sistema por escrito de trabajo en las instalaciones debe garantizar que los
fallos se investiguen;
los procedimientos de mantenimiento por escrito deben evitar modificar el
tendido de tramos de cable;
el acceso del personal es limitado;
el entorno de funcionamiento est controlado y el equipo ha sido clasificado
respecto al rango medioambiental completo.
El rendimiento real durante el funcionamiento, no obstante, depende de la instalacin
especfica y del diseo, de las prcticas de funcionamiento y mantenimiento adoptadas pero,
siempre y cuando se adopten las buenas prcticas de ingeniera adecuadas, el modelo ofrece
un clculo rasteable de la contribucin de los fallos por causas comunes (CCF).
Al tener en cuenta los fallos por causas comunes en la frmula de la probabilidad de fallo
a demanda (PDF) y de la probabilidad de fallo por hora (PFH) [Tabla 13 y Tabla 14], puede
utilizarse el siguiente enfoque. Las ecuaciones utilizadas son simplificaciones de
ecuaciones estndar y se derivan en [19.6].
107
Para fallos detectados:
PFD1oo1 = DD.MDT Ref. IEC 61508-6, B.3.2.2.1
PFD1oo2 = DD
2
.MDT
2
+ .DD.MDT Ref. IEC 61508-6, B.3.2.2.2
Para fallos no detectados:
PFD1oo1 = DU.TP/2 Ref. IEC 61508-6, B.3.2.2.1
PFD1oo2 = DU
2
.TP
2
/3 + .DU.TP/2 Ref. IEC 61508-6, B.3.2.2.2
Donde DD es la tasa de fallos peligrosos detectados, DU es la tasa de fallos peligrosos no
detectados y es la contribucin de los fallos por causas comunes. TP es el intervalo de
prueba de calidad y MDT es el tiempo improductivo medio.
En el apartado [19.7] se examinan las formas genricas de estas ecuaciones de varias
configuraciones, tanto para sistemas en modo continuo como en modo a demanda.
12.18. Tasas de fallo
Al calcular la probabilidad de fallo a demanda y la fraccin de fallos seguros, el anlisis
utiliza la hiptesis subyacente de IEC 61508-6, Anexo B.3 segn la cual las tasas de fallo
de componentes son constantes a lo largo de la vida til del sistema.
Las tasas de fallo utilizadas en los clculos pueden obtenerse mediante un anlisis de
modos de fallos, efectos y criticidad (FMECA) y cuantificarse mediante los datos de campo
o mediante una referencia a datos publicados de fuentes industriales. Las tasas de fallo
utilizadas deben compararse con los datos disponibles de mdulos de complejidad
y tecnologa similares. Este enfoque asegura un enfoque conservador en trminos de
modelo de fiabilidad, y aporta confianza en cuanto a que el rendimiento de fiabilidad
calculado debe conseguirse en servicio.
Las tasas de fallo y sus fuentes se tratan en 14.8.
12.19. Modelado de sistemas 1oo2, 1oo2D y secundario simultneo
En los siguientes ejemplos se presentan diagramas de bloques de fiabilidad que modelan
algunas configuraciones de sistema habituales.
1oo2
Un sistema 1oo2 representa una arquitectura 1 de 2, en la que cualquiera de los dos
canales puede llevar a cabo la funcin de seguridad. Se trata de una configuracin con
tolerancia a fallos en la que se puede tolerar el fallo de un canal.
Si el fallo del canal es un fallo peligroso no descubierto, no ser detectado por el
diagnstico y no se producir una indicacin de fallo. No obstante, la funcin de
seguridad seguir funcionando puesto que el canal restante puede iniciar el disparo.
108
Si el fallo del canal es un fallo peligroso detectado, normalmente se produce una
indicacin de fallo.
En el apartado 12.20 se muestra un ejemplo de un diagrama de bloques de fiabilidad.
1oo2D
Una arquitectura de sistema 1oo2D presenta dos canales conectados en paralelo, y
cada canal incluye circuitos de diagnstico para detectar fallos con una cobertura de
diagnstico elevada. Ambos canales deben acordar la ejecucin de una accin de cierre
durante el funcionamiento normal del sistema. Un canal en buen estado controla el
sistema si el circuito de diagnstico del otro lado detecta un fallo.
En trminos de modelado de fiabilidad, en el caso de fallos peligrosos detectados, el
sistema 1oo2D funciona como configuracin 1oo2 y la tasa de fallo del sistema y la
probabilidad de fallo a demanda pueden modelarse como 1oo2 en lo que respecta
a fallos detectados.
Un nico fallo peligroso no detectado en un canal en un sistema 1oo2D evita que el
sistema funcione y, por lo tanto, la tasa de fallo del sistema y la probabilidad de fallo a
demanda deben moderarse como 2oo2 en lo que respecta a fallos no detectados. En
otras palabras, ambos canales deben funcionar.
En el apartado 12.21 se muestra un ejemplo de un diagrama de bloques de fiabilidad.
Sistema secundario simultneo (hot standby)
Un sistema secundario simultneo incluye dos canales conectados en paralelo, en el que
un canal se designa como maestro y controla la funcin de seguridad. El otro canal acta
como secundario simultneo, de modo que si se detecta un fallo peligroso en el canal
maestro este canal secundario asume el control de la funcin de seguridad.
En trminos de modelado de fiabilidad, en el caso de fallos peligrosos detectados el
sistema secundario simultneo funciona como configuracin 1oo2 y la tasa de fallo del
sistema y la probabilidad de fallo a demanda pueden modelarse como 1oo2 en lo que
respecta a fallos detectados.
Un nico fallo peligroso no detectado en un canal de un sistema evita que el sistema
funcione y, por lo tanto, la tasa de fallo del sistema y la probabilidad de fallo a demanda
deben moderarse como 1oo1 en lo que respecta a fallos no detectados. En otras palabras,
la funcin de seguridad no puede tolerar un fallo no detectado del canal maestro y en
el caso de los fallos no detectados no existe redundancia. En el apartado 12.22 se muestra
un ejemplo de un diagrama de bloques de fiabilidad.
109
C
C
F
5
%
C
a
n
t
.
1
1
1
1
2
1
1
C
o
n
f
g
u
r
a
c
i
n
1
o
o
1
1
o
o
1
1
o
o
1
1
o
o
2
1
o
o
2
1
o
o
2
1
o
o
2
D
D

(
d
i
a
g
n
s
t
i
c
o
s
)
1
.
1
6
E
-
0
6
0
.
0
0
E
+
0
0
0
.
0
0
E
+
0
0
8
.
1
9
E
-
0
8
2
.
9
5
E
-
0
7
2
.
0
3
E
-
0
7
1
.
3
8
E
-
0
7
5
.
2
5
E
-
0
8
D
D
*
c
a
n
t
.
1
.
1
6
E
-
0
6
0
.
0
0
E
+
0
0
0
.
0
0
E
+
0
0
8
.
1
9
E
-
0
8
5
.
9
0
E
-
0
7
2
.
0
3
E
-
0
7
1
.
3
8
E
-
0
7
5
.
2
5
E
-
0
8
D
D

p
a
r
a

b
i
f
u
r
c
a
c
i
n
1
.
1
6
E
-
0
6
1
.
0
1
E
-
0
6
5
.
2
5
E
-
0
8
M
D
T
2
4
2
4
2
4
T
o
t
a
l

D
D
1
.
1
6
E
-
0
6
4
.
9
3
E
-
1
1
5
.
2
5
E
-
0
8
D
U

(
p
r
u
e
b
a

d
e

c
a
l
i
d
a
d
)
3
.
6
6
E
-
0
7
2
.
0
0
E
-
0
7
2
.
0
0
E
-
0
7
9
.
1
0
E
-
0
9
3
.
2
8
E
-
0
8
2
.
2
6
E
-
0
8
1
.
5
4
E
-
0
8
5
.
8
4
E
-
0
9
D
U
*
c
a
n
t
.
3
.
6
6
E
-
0
7
2
.
0
0
E
-
0
7
2
.
0
0
E
-
0
7
9
.
1
0
E
-
0
9
6
.
5
6
E
-
0
8
2
.
2
6
E
-
0
8
1
.
5
4
E
-
0
8
5
.
8
4
E
-
0
9
D
U

p
a
r
a

b
i
f
u
r
c
a
c
i
n
7
.
6
6
E
-
0
7
1
.
1
3
E
-
0
7
5
.
8
4
E
-
0
9
P
e
r
i
o
d
o

d
e

p
r
u
e
b
a

d
e

c
a
l
i
d
a
d
,

T
8
7
6
0
8
7
6
0
8
7
6
0
T
o
t
a
l

D
U
7
.
6
6
E
-
0
7
1
.
1
1
E
-
1
0
5
.
8
4
E
-
0
9
S

(
d
i
a
g
n
s
t
i
c
o
s
)
2
.
1
5
E
-
0
6
3
.
0
0
E
-
0
7
3
.
0
0
E
-
0
7
9
.
1
0
E
-
0
8
3
.
2
8
E
-
0
7
2
.
2
6
E
-
0
7
1
.
5
4
E
-
0
7
5
.
8
4
E
-
0
8
S
*
c
a
n
t
.
0
.
0
0
E
+
0
0
0
.
0
0
E
+
0
0
2
.
6
3
E
-
0
3
9
.
1
0
E
-
0
8
6
.
5
6
E
-
0
7
2
.
2
6
E
-
0
7
1
.
5
4
E
-
0
7
5
.
8
4
E
-
0
8
S

p
a
r
a

b
i
f
u
r
c
a
c
i
n
2
.
6
3
E
-
0
3
1
.
1
3
E
-
0
6
5
.
8
4
E
-
0
8
M
D
T
2
4
2
4
2
4
T
o
t
a
l

S
2
.
6
3
E
-
0
3
2
.
2
5
E
-
0
6
5
.
8
4
E
-
0
8
T
o
t
a
l

D
D
1
.
2
1
E
-
0
6
T
o
t
a
l

D
U
7
.
7
2
E
-
0
7
T
o
t
a
l

S
2
.
6
3
E
-
0
3
T
o
t
a
l

S
Y
S
2
.
6
3
E
-
0
3
/
h
S
a
l
i
d
a

d
i
g
i
t
a
l
C
C
F
C
N
B
C
P
U
C
N
B
E
n
t
r
a
d
a
a
n
a
l
g
i
c
a
C
P
U
T
r
a
n
s
m
i
s
o
r

d
e

p
r
e
s
i
n
P
T
-
x
x
x
C
a
r
g
a
v
e
n
t
i
l
a
d
o
r

F
L
-
x
x
x
C
a
r
g
a
v
e
n
t
i
l
a
d
o
r

F
L
-
x
x
x
E
n
t
r
a
d
a
a
n
a
l
g
i
c
a
S
a
l
i
d
a

d
i
g
i
t
a
l
Tasa de fallos del sistema
para un sistema 1oo2
110
S
a
l
i
d
a

d
i
g
i
t
a
l
C
C
F
C
N
B
C
P
U
C
N
B
E
n
t
r
a
d
a

a
n
a
l
g
i
c
a
C
P
U
T
r
a
n
s
m
i
s
o
r

d
e

p
r
e
s
i
n
P
T
-
x
x
x
C
a
r
g
a

v
e
n
t
i
l
a
d
o
r

F
L
-
x
x
x
C
a
r
g
a

v
e
n
t
i
l
a
d
o
r

F
L
-
x
x
x
C
N
B
E
n
t
r
a
d
a
a
n
a
l
g
i
c
a
C
P
U
S
a
l
i
d
a

d
i
g
i
t
a
l
C
C
F
5
%
C
a
n
t
.
1
1
1
1
2
1
1
2
4
2
2
C
o
n
f
g
u
r
a
c
i
n
1
o
o
1
1
o
o
1
1
o
o
1
1
o
o
2
1
o
o
2
1
o
o
2
1
o
o
2
2
o
o
2
2
o
o
2
2
o
o
2
2
o
o
2
D
D

(
d
i
a
g
n
s
t
i
c
o
s
)
1
.
1
6
E
-
0
6
0
.
0
0
E
+
0
0
0
.
0
0
E
+
0
0
8
.
1
9
E
-
0
8
2
.
9
5
E
-
0
7
2
.
0
3
E
-
0
7
1
.
3
8
E
-
0
7
5
.
2
5
E
-
0
8
D
D
*
c
a
n
t
.
1
.
1
6
E
-
0
6
0
.
0
0
E
+
0
0
0
.
0
0
E
+
0
0
8
.
1
9
E
-
0
8
5
.
9
0
E
-
0
7
2
.
0
3
E
-
0
7
1
.
3
8
E
-
0
7
5
.
2
5
E
-
0
8
D
D

p
a
r
a

b
i
f
u
r
c
a
c
i
n
1
.
1
6
E
-
0
6
1
.
0
1
E
-
0
6
5
.
2
5
E
-
0
8
M
D
T
2
4
2
4
2
4
T
o
t
a
l

D
D
1
.
1
6
E
-
0
6
4
.
9
3
E
-
1
1
5
.
2
5
E
-
0
8
D
U

(
p
r
u
e
b
a

d
e

c
a
l
i
d
a
d
)
3
.
6
6
E
-
0
7
2
.
0
0
E
-
0
7
2
.
0
0
E
-
0
7
9
.
1
0
E
-
0
9
3
.
2
8
E
-
0
8
2
.
2
6
E
-
0
8
1
.
5
4
E
-
0
8
D
U
*
c
a
n
t
.
3
.
6
6
E
-
0
7
2
.
0
0
E
-
0
7
2
.
0
0
E
-
0
7
1
.
8
2
E
-
0
8
1
.
3
1
E
-
0
7
4
.
5
2
E
-
0
8
3
.
0
7
E
-
0
8
D
U

p
a
r
a

b
i
f
u
r
c
a
c
i
n
7
.
6
6
E
-
0
7
2
.
2
5
E
-
0
7
P
e
r
i
o
d
o

d
e

p
r
u
e
b
a

d
e

c
a
l
i
d
a
d
,

T
8
7
6
0
8
7
6
0
T
o
t
a
l

D
U
7
.
6
6
E
-
0
7
9
.
8
7
E
-
0
4
S

(
d
i
a
g
n
s
t
i
c
o
s
)
2
.
1
5
E
-
0
6
3
.
0
0
E
-
0
7
3
.
0
0
E
-
0
7
9
.
1
0
E
-
0
8
3
.
2
8
E
-
0
7
2
.
2
6
E
-
0
7
1
.
5
4
E
-
0
7
5
.
8
4
E
-
0
8
S
*
c
a
n
t
.
0
.
0
0
E
+
0
0
0
.
0
0
E
+
0
0
2
.
6
3
E
-
0
3
9
.
1
0
E
-
0
8
6
.
5
6
E
-
0
7
2
.
2
6
E
-
0
7
1
.
5
4
E
-
0
7
5
.
8
4
E
-
0
8
S

p
a
r
a

b
i
f
u
r
c
a
c
i
n
2
.
6
3
E
-
0
3
1
.
1
3
E
-
0
6
5
.
8
4
E
-
0
8
M
D
T
2
4
2
4
2
4
T
o
t
a
l

S
2
.
6
3
E
-
0
3
2
.
2
5
E
-
0
6
5
.
8
4
E
-
0
8
T
o
t
a
l

D
D
1
.
2
1
E
-
0
6
T
o
t
a
l

D
U
9
.
8
8
E
-
0
4
T
o
t
a
l

S
2
.
6
3
E
-
0
3
T
o
t
a
l

S
Y
S
3
.
6
2
E
-
0
3
/
h
E
n
t
r
a
d
a

a
n
a
l
g
i
c
a
S
a
l
i
d
a

d
i
g
i
t
a
l
para un sistema 1oo2D
111
S
a
l
i
d
a

d
i
g
i
t
a
l
C
C
F
C
N
B
C
P
U
C
N
B
E
n
t
r
a
d
a

a
n
a
l
g
i
c
a
C
P
U
T
r
a
n
s
m
i
s
o
r

d
e

p
r
e
s
i
n
P
T
-
x
x
x
C
a
r
g
a
v
e
n
t
i
l
a
d
o
r

F
L
-
x
x
x
C
a
r
g
a
v
e
n
t
i
l
a
d
o
r

F
L
-
x
x
x
C
N
B
E
n
t
r
a
d
a

a
n
a
l
g
i
c
a
C
P
U
S
a
l
i
d
a

d
i
g
i
t
a
l
E
n
t
r
a
d
a

a
n
a
l
g
i
c
a
S
a
l
i
d
a

d
i
g
i
t
a
l
C
a
n
t
.
1
1
1
1
2
1
1
1
2
1
1
C
o
n
f
g
u
r
a
c
i
n
1
o
o
1
1
o
o
1
1
o
o
1
1
o
o
2
1
o
o
2
1
o
o
2
1
o
o
2
1
o
o
1
1
o
o
1
1
o
o
1
1
o
o
1
D
D

(
d
i
a
g
n
s
t
i
c
o
s
)
1
.
1
6
E
-
0
6
0
.
0
0
E
+
0
0
0
.
0
0
E
+
0
0
8
.
1
9
E
-
0
8
2
.
9
5
E
-
0
7
2
.
0
3
E
-
0
7
1
.
3
8
E
-
0
7
5
.
2
5
E
-
0
8
D
D
*
c
a
n
t
.
1
.
1
6
E
-
0
6
0
.
0
0
E
+
0
0
0
.
0
0
E
+
0
0
8
.
1
9
E
-
0
8
5
.
9
0
E
-
0
7
2
.
0
3
E
-
0
7
1
.
3
8
E
-
0
7
5
.
2
5
E
-
0
8
D
D

p
a
r
a

b
i
f
u
r
c
a
c
i
n
1
.
1
6
E
-
0
6
1
.
0
1
E
-
0
6
5
.
2
5
E
-
0
8
M
D
T
2
4
2
4
2
4
T
o
t
a
l

D
D
1
.
1
6
E
-
0
6
4
.
9
3
E
-
1
1
5
.
2
5
E
-
0
8
D
U

(
p
r
u
e
b
a

d
e

c
a
l
i
d
a
d
)
3
.
6
6
E
-
0
7
2
.
0
0
E
-
0
7
2
.
0
0
E
-
0
7
9
.
1
0
E
-
0
9
3
.
2
8
E
-
0
8
2
.
2
6
E
-
0
8
1
.
5
4
E
-
0
8
D
U
*
c
a
n
t
.
3
.
6
6
E
-
0
7
2
.
0
0
E
-
0
7
2
.
0
0
E
-
0
7
9
.
1
0
E
-
0
9
6
.
5
6
E
-
0
8
2
.
2
6
E
-
0
8
1
.
5
4
E
-
0
8
D
U

p
a
r
a

b
i
f
u
r
c
a
c
i
n
7
.
6
6
E
-
0
7
1
.
1
3
E
-
0
7
P
e
r
i
o
d
o

d
e

p
r
u
e
b
a

d
e

c
a
l
i
d
a
d
,

T
8
7
6
0
8
7
6
0
T
o
t
a
l

D
U
7
.
6
6
E
-
0
7
4
.
9
3
E
-
0
4
S

(
d
i
a
g
n
s
t
i
c
o
s
)
2
.
1
5
E
-
0
6
3
.
0
0
E
-
0
7
3
.
0
0
E
-
0
7
9
.
1
0
E
-
0
8
3
.
2
8
E
-
0
7
2
.
2
6
E
-
0
7
1
.
5
4
E
-
0
7
5
.
8
4
E
-
0
8
S
*
c
a
n
t
.
0
.
0
0
E
+
0
0
0
.
0
0
E
+
0
0
2
.
6
3
E
-
0
3
9
.
1
0
E
-
0
8
6
.
5
6
E
-
0
7
2
.
2
6
E
-
0
7
1
.
5
4
E
-
0
7
5
.
8
4
E
-
0
8
S

p
a
r
a

b
i
f
u
r
c
a
c
i
n
2
.
6
3
E
-
0
3
1
.
1
3
E
-
0
6
5
.
8
4
E
-
0
8
M
D
T
2
4
2
4
2
4
T
o
t
a
l

S
2
.
6
3
E
-
0
3
2
.
2
5
E
-
0
6
5
.
8
4
E
-
0
8
T
o
t
a
l

D
D
1
.
2
1
E
-
0
6
T
o
t
a
l

D
U
4
.
9
4
E
-
0
4
T
o
t
a
l

S
2
.
6
3
E
-
0
3
T
o
t
a
l

S
Y
S
3
.
1
3
E
-
0
3
/
h
para un sistema secundario simultneo
112
S
a
l
i
d
a

d
i
g
i
t
a
l
C
C
F
C
N
B
C
P
U
C
N
B
E
n
t
r
a
d
a

a
n
a
l
g
i
c
a
C
P
U
T
r
a
n
s
m
i
s
o
r
d
e

p
r
e
s
i
n
P
T
-
x
x
x
C
a
r
g
a
v
e
n
t
i
l
a
d
o
r

F
L
-
x
x
x
C
a
r
g
a
v
e
n
t
i
l
a
d
o
r

F
L
-
x
x
x

C
C
F
5
%
C
a
n
t
1
1
1
1
2
1
1
C
o
n
f
g
u
r
a
c
i
n
1
o
o
1
1
o
o
1
1
o
o
1
1
o
o
2
1
o
o
2
1
o
o
2
1
o
o
2
D
D

(
d
i
a
g
n
s
t
i
c
o
s
)
1
.
1
6
E
-
0
6
0
.
0
0
E
+
0
0
0
.
0
0
E
+
0
0
8
.
1
9
E
-
0
8
2
.
9
5
E
-
0
7
2
.
0
3
E
-
0
7
1
.
3
8
E
-
0
7
5
.
2
5
E
-
0
8
D
D
*
c
a
n
t
1
.
1
6
E
-
0
6
0
.
0
0
E
+
0
0
0
.
0
0
E
+
0
0
8
.
1
9
E
-
0
8
5
.
9
0
E
-
0
7
2
.
0
3
E
-
0
7
1
.
3
8
E
-
0
7
5
.
2
5
E
-
0
8
D
D

p
a
r
a

b
i
f
u
r
c
a
c
i
n
1
.
1
6
E
-
0
6
1
.
0
1
E
-
0
6
5
.
2
5
E
-
0
8
M
D
T
2
4
2
4
2
4
T
o
t
a
l

D
D
1
.
1
6
E
-
0
6
4
.
9
3
E
-
1
1
5
.
2
5
E
-
0
8
D
U

(
p
r
u
e
b
a

d
e

c
a
l
i
d
a
d
)
3
.
6
6
E
-
0
7
2
.
0
0
E
-
0
7
2
.
0
0
E
-
0
7
9
.
1
0
E
-
0
9
3
.
2
8
E
-
0
8
2
.
2
6
E
-
0
8
1
.
5
4
E
-
0
8
5
.
8
4
E
-
0
9
D
U
*
c
a
n
t
3
.
6
6
E
-
0
7
2
.
0
0
E
-
0
7
2
.
0
0
E
-
0
7
9
.
1
0
E
-
0
9
6
.
5
6
E
-
0
8
2
.
2
6
E
-
0
8
1
.
5
4
E
-
0
8
5
.
8
4
E
-
0
9
D
U

p
a
r
a

b
i
f
u
r
c
a
c
i
n
7
.
6
6
E
-
0
7
1
.
1
3
E
-
0
7
5
.
8
4
E
-
0
9
P
e
r
i
o
d
o

d
e

p
r
u
e
b
a

d
e

c
a
l
i
d
a
d
,

T
8
7
6
0
8
7
6
0
8
7
6
0
T
o
t
a
l

D
U
7
.
6
6
E
-
0
7
1
.
1
1
E
-
1
0
5
.
8
4
E
-
0
9
S

(
d
i
a
g
n
s
t
i
c
o
s
)
2
.
1
5
E
-
0
6
3
.
0
0
E
-
0
7
3
.
0
0
E
-
0
7
9
.
1
0
E
-
0
8
3
.
2
8
E
-
0
7
2
.
2
6
E
-
0
7
1
.
5
4
E
-
0
7
5
.
8
4
E
-
0
8
S
*
c
a
n
t
0
.
0
0
E
+
0
0
0
.
0
0
E
+
0
0
2
.
6
3
E
-
0
3
9
.
1
0
E
-
0
8
6
.
5
6
E
-
0
7
2
.
2
6
E
-
0
7
1
.
5
4
E
-
0
7
5
.
8
4
E
-
0
8
S

p
a
r
a

b
i
f
u
r
c
a
c
i
n
2
.
6
3
E
-
0
3
1
.
1
3
E
-
0
6
5
.
8
4
E
-
0
8
M
D
T
2
4
2
4
2
4
T
o
t
a
l

S
2
.
6
3
E
-
0
3
2
.
2
5
E
-
0
6
5
.
8
4
E
-
0
8
T
o
t
a
l

D
D
=
1
.
2
1
E
-
0
6
A
v

(
D
D
)
=
0
.
9
9
9
9
7
T
o
t
a
l

D
U
=
7
.
7
2
E
-
0
7
A
v

(
D
U
)
=
0
.
9
9
3
2
8
T
o
t
a
l

S
=
2
.
6
3
E
-
0
3
A
v

(
S
)
=
0
.
9
4
0
6
2
T
o
t
a
l

S
Y
S
=
2
.
6
3
E
-
0
3
/
h
D
i
s
p
o
n
i
b
i
l
i
d
a
d
=
0
.
9
3
4
3
E
n
t
r
a
d
a

a
n
a
l
g
i
c
a
S
a
l
i
d
a

d
i
g
i
t
a
l
Disponibilidad de un
sistema complex
113
12.24. Ejemplo de hoja de datos
Los datos de la tasa de fallo utilizados en los diagramas de bloques de fiabilidad anteriores
deben estar visibles en el informe y demostrar facilidad de rastreo a la fuente. La fuente,
cuando se refiera a datos publicados, debe presentarse de forma suficientemente detallada,
de modo que terceros puedan comprobar independientemente los datos utilizados. Este
grado de detalle puede incluir identificacin de documentos, nmero ISBN (si es aplicable) y
nmero de pgina y de elemento.
En la Tabla 15 se muestra una tabla de datos tpica de los diagramas de bloques de
fiabilidad del ejemplo anterior.
Tabla 14: Clculo de probabilidad de fallo por hora (PFH)/probabilidad de fallo a demanda
(PFD) (fallos no detectados)
Descripcin Nm. de
pieza
Total D DD DU S Comentarios/fuente
Transmisor
de presin
PT-xxx
PT-xxx 3.68E-06 1.53E-06 1.16E-06 3.66E-07 2.15E-06 Manufacturers PT-xxx
Functional Safety
Manual, M-xxx-xxx,
Month-20xx
Carga
ventilador
FL-xxx
transfor -
mador de
corriente
FL-xxx 5.00E-07 2.00E-07 0.00E+00 2.00E-07 3.00E-07 FARADIP-THREE V6.4,
Reliability Data Base.
Technis, 26 Orchard
Drive, Tonbridge,
Kent TN10 4LG,
ISBN 0-951-65623-6.
Mdulo
comunic.
ControlNet
CNB
1756-
CNB
1.82E-07 9.10E-08 8.19E-08 9.10E-09 9.10E-08 Allen-Bradley
documento Using
ControlLogix in SIL2
Applications
Mdulo de
entrada
analgica
1756-
AI16
documento Using
Applications
ControlLogix
CPU
1756-
L63
documento Using
Applications
Mdulo de
salida digital
1756-
OB32
documento Using
Applications
114
12.25. Modelado de sistemas de fuego y gas (F y G)
En el modelado de sistemas F y G, es importante ofrecer una cierta orientacin respecto
a la tolerancia a fallos. El modelado de sistemas ESD o similares sigue por lo general la
misma configuracin utilizada por la votacin del dispositivo de resolucin lgica. Por
ejemplo, la fiabilidad de transmisores de presin en los que un sistema de cierre de
emergencia (ESD) vota por uno de dos (1oo2) en condiciones de alta presin, se modela
como 1oo2. Este mismo principio no siempre es aplicable a los sistemas F y G.
En general, puede llevarse a cabo un anlisis conservador sin confiar en la cobertura del
detector y en la redundancia en la configuracin de la alarma, pero en la prctica puede dar
como resultado un anlisis pesimista e imposibilidad de cumplir los objetivos. Cuando surgen
dificultades de este tipo, un conocimiento detallado de los peligros permite desarrollar un
modelo ms dirigido y, en consecuencia, realizar un anlisis ms realista de fiabilidad.
Los sistemas F y G no solo protegen a las personas, sino que tambin pueden utilizarse
para proteger un activo contra un riesgo comercial o unas instalaciones frente a un riesgo
medioambiental; la accin ejecutiva requerida por las funciones instrumentadas de
seguridad al proporcionar esta proteccin determina el modelo de fiabilidad adecuado
que debe utilizarse.
Al modelar las funciones instrumentadas de seguridad de un sistema de F y G para
determinar la conformidad frente a los objetivos de fiabilidad del hardware, por ejemplo
la probabilidad de fallo a demanda, deben adoptarse decisiones para determinar
exactamente qu configuracin del hardware debe modelarse.
Como ejemplo, en los datos C y E de una funcin instrumentada de seguridad para un
sistema de F y G se especifica, por lo general:
a) cualquier detector de gas de seis (1oo6) en el estado de la alarma se
denomina alarma sencilla de gas y activa una alarma en la sala de control;
b) cualquiera dos detectores de gas de seis (2oo6) en el estado de la alarma se
denomina alarma confirmada de gas, y activa alarmas y balizas de las
instalaciones y genera un cierre de emergencia en la planta.
No obstante, para que el modelado sea correcto, debemos entender las funciones
instrumentadas de seguridad y el peligro contra el que protege. La accin ejecutiva
requerida por las funciones instrumentadas de seguridad determina el modelo que
resulta adecuado utilizar.
12.26. Modelado de configuraciones de detectores en sistemas F y G
En la prctica, un operario investiga una seal sencilla de gas para determinar si es real o
errnea, o si se debe a un fallo de un detector. nicamente se adopta una accin ejecutiva
como resultado del estado de alarma confirmada de gas, lo que garantiza la evacuacin
115
del personal de la planta por motivos de seguridad. sta es la funcin de seguridad que
ha atrado el objetivo del nivel de integridad de seguridad y, por lo tanto, el caso b)
anterior debe ser el punto de partida para el modelado de fiabilidad: una alarma
confirmada de gas garantiza la evacuacin del personal por motivos de seguridad.
La configuracin en la Figura 44 muestra seis detectores de gas posicionados en una
zona; la votacin del dispositivo de resolucin lgica 2oo6 est configurada para que
se adopte una accin ejecutiva si cualesquiera 2 sensores de los 6 detectan gas.
No obstante, el modelado de las funciones instrumentadas de seguridad frente a los
objetivos de la probabilidad de fallo a demanda consiste en calcular la probabilidad de no
reaccionar al gas cuando se precise. La liberacin de gas suficientemente grande como
para ser peligrosa puede encontrarse dentro de la cobertura de, digamos, la mitad de los
6 detectores (Figura 45).
Zona con 6 detectores de gas
Gas
Zona 01
F&G
Accin ejecutiva al
recibir alarma de
2 detectores cualquiera de 6.
Votacin lgica 2oo6
G
G
G
G
G
G
Figura 45: Cobertura de sistema de F y G
Zona con 6 detectores de gas Zona 01
F&G
Accin ejecutiva al
recibir alarma de
2 detectores cualquiera de 6.
Votacin lgica 2oo6
G
G
G
G
G
G
Figura 44: Configuracin de sistema de F y G
116
En la prctica, es probable que se requiera iniciar una accin ejecutiva lo antes posible,
por ejemplo, cuando un mnimo de dos sensores se encuentren dentro de la nube de
gas. En este caso, los sensores deben modelarse como 2oo2, sin redundancia y, como
consecuencia, no podran tolerarse fallos en ellos. Si se consiguen los objetivos con una
configuracin no redundante, este caso representara entonces un enfoque conservador,
ya que no confa en la justificacin de ningn supuesto de la cobertura de los detectores.
En realidad, la probabilidad de fallo a demanda del subsistema del sensor probablemente
es mejor que la calculada para una configuracin no redundante, ya que probablemente
existe superposicin en la cobertura de los sensores debido a su ubicacin y podra
tolerarse el fallo de uno de los sensores.
En trminos de modelado de fiabilidad, el analista debe juzgar, por lo tanto, la magnitud
mxima de liberacin de gas (el tamao de la nube) que podra tolerarse antes de que sea
necesario adoptar una accin ejecutiva, y debe calcular cuntos sensores quedaran
dentro de la nube en ese momento.
En este ejemplo, si se puede permitir que la nube de gas sea suficientemente grande
como para cubrir 3 sensores antes de adoptar la accin ejecutiva, con la votacin lgica
de cualesquiera 2 de 6 se podra tolerar el fallo de un sensor. En otras palabras, la
fiabilidad de deteccin de gas podra modelarse como 2 de 3.
12.27. Efecto de modelado incorrecto en la probabilidad de fallo a demanda (PFD)
En el ejemplo anterior, puesto que la votacin lgica de los detectores de gas es 2oo6,
algunos analistas sucumben a la tentacin de modelar la fiabilidad del sistema como
2oo6 en lugar de como 2oo3, o incluso 2oo2. Obviamente, la discrepancia resultante en
la probabilidad de fallo a demanda general de la funcin de seguridad y su rendimiento
frente a los objetivos de nivel de integridad de seguridad entre configuraciones
redundantes y no redundantes puede ser significativa.
Dando por supuesto que puede declararse de forma razonable cierta tolerancia a fallos,
por ejemplo, mediante el modelado 2oo3 o 2oo4, entonces las diferencias resultantes en
la probabilidad de fallo a demanda general de la funcin de seguridad y su rendimiento
frente a los objetivos de nivel de integridad de seguridad sern menores. La probabilidad
de fallo a demanda en configuraciones redundantes est limitada por los fallos por
causas comunes, por lo que las mejoras en la probabilidad de fallo a demanda no son
significativas cuando la tolerancia a fallos de hardware (HFT) aumenta por encima de 1.
No obstante, si la tolerancia a fallos no puede garantizarse ya sea debido a la ubicacin
de los detectores o al tamao de la nube de gas que puede tolerarse cuando se requiere
accin ejecutiva, la discrepancia resultante entre configuraciones redundantes y no
redundantes puede ser significativa (Figura 46).
117
Nota: La probabilidad de fallo a demanda se calcula para las tasas de fallo y para los
tiempos de reparacin tpicos de los sensores y se da por supuesta una contribucin de
causas comunes en las configuraciones redundantes. Una tolerancia a fallos de cero en
este ejemplo representa una configuracin 2oo2, mientras que una tolerancia a fallos de
1 representa 2oo3, de 2 representa 2oo4, y as sucesivamente.
Los resultados demuestran que, en funcin de la arquitectura, o de la tolerancia a fallos
de hardware (HFT) seleccionada para el modelado, la probabilidad de fallo a demanda
calculada podra encontrarse en la banda SIL1, SIL2 o SIL3.
12.28. Efecto de modelado incorrecto en la arquitectura
Un modelado incorrecto tiene un efecto ms significativo en el rendimiento
arquitectnico de la funcin de seguridad. En el caso de una fraccin de fallos seguros
(SFF) determinada, el rendimiento del nivel de integridad de seguridad del subsistema
de detectores depende de su tolerancia a fallos de hardware (HFT).
Por ejemplo, en el caso de un detector tipo B con una fraccin de fallos seguros
comprendida entre el 60% y el 90%, pueden declararse las siguientes capacidades
arquitectnicas de nivel de integridad de seguridad:
0
1.00E-04
1.00E-03
1.00E-02
1.00E-01
1.00E+00
1 2 3
Tolerancia a fallos del hardware (HFT)
PFD del sistema F y G
2oo2
2oo3
SIL2
SIL3
SIL1
2oo4 2oo5 2oo6
P
F
D
4
Figura 46: Clculo de la probabilidad de
fallo a demanda (PFD)del sistema de F y G
118
De nuevo, si el analista presupone una configuracin 2oo6 debido a la lgica de votacin,
entonces una arquitectura optimista tendra como resultado la declaracin de un SIL3,
cuando realmente solo podra aplicarse un nivel de integridad de seguridad inferior.
12.29. Modelado de configuraciones de alarma en un sistema de F y G
El personal est protegido de los peligros ocasionados por fuego y gas mediante una
alarma confirmada. Las alarmas visibles y sonoras son lo nico que se necesita para
garantizar la evacuacin del personal por motivos de seguridad. Por lo tanto, en caso de
peligros de seguridad, en la configuracin de salida nicamente se debe considerar la
existencia de elementos de aviso visibles y sonoros.
En el caso de sistemas F y G, la accin ejecutiva puede especificarse por lo general como
la activacin de una alarma 6oo6 visual Y de una alarma 4oo4 sonora. El modelado de
estas configuraciones normalmente da lugar a problemas para obtener un resultado
mejor que un objetivo SIL1 de la probabilidad de fallo a demanda, debido al nmero de
dispositivos que deben incluirse. Adems, dado que las alarmas y las balizas presentan
una fraccin de fallos seguros muy baja, su rendimiento arquitectnico por lo general no
es suficiente para obtener un resultado mejor que un SIL1 en configuraciones simplex.
Teniendo en cuenta que una zona puede incluir equipos ruidosos que pueden interferir
con una baliza o evitar que se escuche una alarma sonora, una buena prctica consistira
en posicionar las alarmas de modo que el personal que se encuentre en la zona
peligrosa pueda ver o escuchar siempre ms de un elemento de aviso al mismo tiempo.
Si puede verificarse este supuesto, el analista podra aprovechar esta tolerancia a fallos en
el modelado de fiabilidad de la configuracin de alarmas.
Una configuracin 6oo6 de elementos de aviso puede cubrir 2 o 3 zonas independientes
con quiz 2 o 3 elementos de aviso por zona. El analista debe decidir entonces, a partir de
los esquemas de configuracin, qu tolerancia a fallos puede declararse para cada zona y
llevar a cabo el modelado como corresponda (Figura 47).
HFT Configuracin SIL (arquitectura)
0 2oo2 SIL1
1 2oo3 SIL2
2 4oo4 SIL3
119
La clave est en decidir cuntas balizas pueden verse y cuntas est permitido que fallen
sin ocasionar la prdida de la funcin de seguridad. En la configuracin del caso prctico
se decidi que en cada zona pudieran verse siempre 2 balizas de las 3 de la zona.
En una configuracin con estas caractersticas, un enfoque razonable sera modelar
cada zona 1 como 1oo2, puesto que solo es necesario ver 1 baliza. No obstante, puesto
que ambas zonas tienen que quedar protegidas, ambas deben incluirse en el modelo
(por ejemplo, 1oo2 + 1oo2).
Como ejemplo adicional, con 6 balizas en una sola zona se decidi que, en cualquier
momento, se pueden ver 4 de las 6 balizas (Figura 48). Entonces se necesitara
que funcionara una baliza de las 4 que pueden verse, por lo que las alarmas podran
modelarse como 1oo4.
Zona 01 Zona 02
Baliza Baliza
Baliza
Baliza
Baliza
Baliza
Dispositivo de
resolucin
lgica F y G
Salidas 6oo6
Figura 47: Ejemplo configuracin sistema de alarma
120
12.30. Entradas de sistemas F y G a sistemas de cierre de emergencia (ESD)
Hasta ahora no se ha hecho mencin al requisito, en el estado de alarma confirmada
de fuego/gas, para generar un cierre de emergencia en la planta. La inclusin o no del
disparo del cierre de emergencia (ESD) como parte de las funciones instrumentadas de
seguridad del sistema de F y G depende de las consecuencias del peligro y de la
proteccin necesaria.
Si el peligro tiene como resultado un riesgo a la seguridad personal, puede argumentarse
que las alarmas son suficientes para garantizar la proteccin. Normalmente, los disparos
de sistemas F y G generan tambin una entrada al cierre de emergencia (ESD) pero, en
muchos casos, el objetivo es evitar la escalada del peligro y proteger el activo. El disparo
del sistema de cierre de emergencia (ESD) puede iniciarse tambin como una buena
prctica, permitiendo as que la puesta en marcha se realice de forma ms controlada
despus de la resolucin del peligro. La misin del sistema de F y G es proteger contra
fuego o gas, mientras que la del sistema de cierre de emergencia (ESD) es proteger
contra otros peligros. Siempre y cuando el sistema de F y G cumpla sus objetivos en
trminos de reduccin de riesgos, no debera haber razn alguna, excepto lo indicado
anteriormente, para la activacin del cierre de emergencia (ESD). Por lo tanto, el cierre
de emergencia (ESD) no se incluira normalmente en las funciones instrumentadas de
seguridad del sistema de F y G.
Zona 01
Baliza
Baliza
Dispositivo de
resolucin
lgica F y G
Salidas 6oo6
Baliza Baliza
Baliza Baliza
Figura 48: Ejemplo de configuracin de sistema de alarma (1 zona)
121
No obstante, existen excepciones. Cuando el peligro acarrea daos medioambientales o
a los activos o bienes, las alarmas por s solas no proporcionan proteccin y, por lo tanto,
puede ser necesario aislar la planta en cuanto a la deteccin de fuego o gas. En estos
casos, es necesario incluir el cierre y el aislamiento, tal y como se precise en el modelado
de fiabilidad de las funciones instrumentadas de seguridad del sistema de F y G.
12.31. Resumen
Se puede apreciar que el modelado del subsistema de entradas puede ofrecer resultados
optimistas si la configuracin de votacin lgica se modela en lugar de la tolerancia
a fallos de detectores. El mismo enfoque ofrece resultados muy pesimistas cuando se
modela el subsistema de salidas. Entre los dos subsistemas, el enfoque de modelado
adoptado puede dar lugar a una gran diferencia en el rendimiento arquitectnico y en la
probabilidad de fallo a demanda calculada y, por lo tanto, puede darse una gran variacin
en el nivel de integridad de seguridad delcarado.
Por tanto es importante adoptar un enfoque minucioso para el modelado de los sistemas
de F y G, y comprender claramente las tcnicas de modelado as como los peligros y los
sistemas analizados. As se logra una evaluacin precisa de la reduccin de riesgos a cargo
de un sistema de F y G y los usuarios finales no reciben informacin errnea por
declaraciones optimistas.
122
13. Verificacin de nivel de integridad de seguridad (SIL)
13.1. Cumplimiento de los objetivos de nivel de integridad de seguridad
Muchas personas preguntan qu deben hacer para demostrar la conformidad. No basta
con adquirir componentes con el distintivo SIL certified y asumir que de este modo se
consiga la conformidad predefinida; por otro lado, dado que la norma no es prescriptiva,
tampoco es posible facilitar una lista de verificacin o similar de qu debe hacerse.
En realidad, el grado de implicacin depende de muchas cosas. El enfoque depende
de cunta informacin o datos estn disponibles, la profundidad del anlisis o el rigor
aplicado que debe satisfacer a su cliente o ente regulador, pero sobre todo usted debe
estar convencido de que ha hecho lo suficiente.
Si algo va mal y alguien fallece, podra dirigirse a las familias y demostrar que hizo todo
lo que se esperaba (dentro de lo razonable) por su parte?
Una propuesta de plan de cara al cumplimiento normativo sera cumplir con los requisitos
de IEC 61511-1, 10 y 12. stos incluyen las siguientes subclusulas, tal y como se muestra
en la Figura 49:
Requisitos de comportamiento del sistema al detectar un fallo [13.2];
Tolerancia a fallos de hardware [13.3];
Seleccin de componentes y de subsistemas [13.4];
Dispositivos de campo [13.5];
Interfaces de operario, de mantenimiento y de comunicacin con el sistema
instrumentado de seguridad [13.6];
Requisitos de diseo relativos al mantenimiento o a las pruebas [13.7];
Probabilidad de fallo de las funciones instrumentadas de seguridad [13.8];
Software de aplicacin [13.9].
Si estas clusulas se subdividen en requisitos ms detallados, se muestan cuando
corresponde.
Cumplimiento normativo con la norma IEC 61511-1, 5: La gestin de seguridad funcional
se discute en ms detalle en el apartado [18].
Verificacin SIL
123
I
E
C

6
1
5
1
1
-
1
,

1
1
,

1
2
D
i
s
e
o

e

i
n
g
e
n
i
e
r
a

d
e
l

s
i
s
t
e
m
a

i
n
s
t
r
u
m
e
n
t
a
d
o

d
e

s
e
g
u
r
i
d
a
d

I
E
C

6
1
5
1
1
-
1
,

1
1
.
2
R
e
q
u
i
s
i
t
o
s

g
e
n
e
r
a
l
e
s
I
E
C

6
1
5
1
1
-
1
,

1
1
.
3
R
e
q
u
i
s
i
t
o
s

p
a
r
a

e
l

c
o
m
p
o
r
t
a
m
i
e
n
t
o

d
e
l

s
i
s
t
e
m
a

a

l
a

h
o
r
a

d
e

d
e
t
e
c
t
a
r

u
n

f
a
l
l
o
I
E
C

6
1
5
1
1
-
1
,

1
1
.
4
R
e
q
u
i
s
i
t
o
s

p
a
r
a

t
o
l
e
r
a
n
c
i
a

a

f
a
l
l
o
s

d
e

h
a
r
d
w
a
r
e
I
E
C

6
1
5
1
1
-
1
,

1
1
.
5
R
e
q
u
i
s
i
t
o
s

p
a
r
a

s
e
l
e
c
c
i
n

d
e

c
o
m
p
o
n
e
n
t
e
s

y

s
u
b
s
i
s
t
e
m
a
s
I
E
C

6
1
5
1
1
-
1
,

1
1
.
5
.
3
R
e
q
u
i
s
i
t
o
s

b
a
s
a
d
o
s

e
n

u
s
o

a
n
t
e
r
i
o
r
I
E
C

6
1
5
1
1
-
1
,

1
1
.
5
.
5
R
e
q
u
i
s
i
t
o
s

p
a
r
a

d
i
s
p
o
s
i
t
i
v
o
s

p
r
o
g
r
a
m
a
b
l
e
s

L
V
L

b
a
s
a
d
o
s

e
n

u
s
o

a
n
t
e
r
i
o
r
I
E
C

6
1
5
1
1
-
1
,

1
1
.
5
.
2
R
e
q
u
i
s
i
t
o
s

g
e
n
e
r
a
l
e
s
I
E
C

6
1
5
1
1
-
1
,

1
1
.
5
.
6
R
e
q
u
i
s
i
t
o
s

p
a
r
a

d
i
s
p
o
s
i
t
i
v
o
s

p
r
o
g
r
a
m
a
b
l
e
s

F
V
L
I
E
C

6
1
5
1
1
-
1
,

1
1
.
6
D
i
s
p
o
s
i
t
i
v
o
s

d
e

c
a
m
p
o
I
E
C

6
1
5
1
1
-
1
,

1
1
.
7
I
n
t
e
r
f
a
c
e
s

d
e
l

o
p
e
r
a
d
o
r
,

p
e
r
s
o
n
a
l

d
e

m
a
n
t
e
n
i
m
i
e
n
t
o

y

c
o
m
u
n
i
c
a
c
i
n
I
E
C

6
1
5
1
1
-
1
,

1
1
.
8
R
e
q
u
i
s
i
t
o
s

d
e

d
i
s
e
o

r
e
l
a
t
i
v
o
s

a
l

m
a
n
t
e
n
i
m
i
e
n
t
o

o
p
r
u
e
b
a
I
E
C

6
1
5
1
1
-
1
,

1
1
.
9
P
r
o
b
a
b
i
l
i
d
a
d

d
e

f
a
l
l
o

S
I
F

I
E
C

6
1
5
1
1
-
1
,

1
1
D
i
s
e
o

e

i
n
g
e
n
i
e
r
a

S
I
S

I
E
C

6
1
5
1
1
-
1
,

1
2
R
e
q
u
i
s
i
t
o
s

p
a
r
a

s
o
f
t
w
a
r
e

d
e

a
p
l
i
c
a
c
i
n
I
E
C

6
1
5
1
1
-
1
,

1
2
.
4
D
i
s
e
o

y

d
e
s
a
r
r
o
l
l
o

d
e
l

s
o
f
t
w
a
r
e

d
e

a
p
l
i
c
a
c
i
n
I
E
C

6
1
5
1
1
-
1
,

5
G
e
s
t
i
n

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
I
E
C

6
1
5
1
1
-
1
E
v
a
l
u
a
c
i
n

S
I
L

R
e
q
u
i
s
i
t
o
s

p
a
r
a

c
o
n
f
o
r
m
i
d
a
d
I
E
C

6
1
5
1
1
-
1
,

1
1
.
5
.
4
R
e
q
u
i
s
i
t
o
s

p
a
r
a

d
i
s
p
o
s
i
t
i
v
o
s

p
r
o
g
r
a
m
a
b
l
e
s

F
P
L

b
a
s
a
d
o
s

e
n

u
s
o

a
n
t
e
r
i
o
r
Figura 49: Plan de conformidad
124
13.2. Requisitos de comportamiento del sistema al detectar un fallo IEC 61511-1,
11.3
Debe especificarse el comportamiento del sistema al detectar un fallo. Puede detallarse,
por ejemplo, en la especificacin de requisitos de seguridad o en las especificaciones de
diseo.
A continuacin se muestran ejemplos tpicos de los tipos de parmetros que pueden
considerarse para su inclusin:
1. Todos los bloques de salidas tienen una votacin de 1oo2 en demandas de PLC
y cambian a 1oo1 al detectar la prdida de comunicacin de un PLC.
2. Las especificaciones de diseo indican que se aplica un principio de proteccin
en caso de fallos. Todos los elementos de cierre del sistema instrumentado de
seguridad llegan a un principio de proteccin en caso de fallos.
3. En el caso de un sistema de cierre de emergencia (ESD) se ha implementado
una funcin de desenergizacin a disparo.
4. En el caso del sistema de F y G, se ha implementado una energizacin a disparo
de agente extintor. La deteccin de un fallo peligroso individual en una
configuracin redundante se indica mediante una condicin de alarma. El
sistema de F y G continua funcionando con seguridad durante el tiempo
permitido para la reparacin y se han implementado otras medidas de
reduccin de riesgos adicionales tales como la disponibilidad de liberacin
manual cableada de agente extintor.
13.3. Requisitos de tolerancia a fallos de hardware, IEC 61511-1, 11.4
13.3.1. Enfoque
Para abordar los requisitos relativos a la tolerancia a fallos de hardware (HFT), se
requiere una evaluacin cuantitativa respecto a la fraccin de fallos seguros (SFF)
y a las restricciones arquitectnicas.
13.3.2. Fraccin de fallos seguros
En el contexto de la integridad de seguridad de hardware, el nivel de integridad de
seguridad ms elevado que puede declararse para una funcin de seguridad est
limitado por la tolerancia a fallos de hardware (HFT) y por la fraccin de fallos seguros
(SFF) de los subsistemas que llevan a cabo dicha funcin de seguridad.
Una tolerancia a fallos de hardware de 1 indica que la arquitectura del subsistema es
tal que un fallo peligroso de uno de los subsistemas no evita que ocurra la accin de
seguridad. Es decir, una configuracin de 1oo2 o 2oo3 tendra una tolerancia a fallos de
Verificacin SIL
125
hardware de 1 o una configuracin de 1oo3 o 2oo4 tendra una tolerancia a fallos de
hardware de 2.
Con respecto a estos requisitos, IEC 61508 [19.1] proporciona la siguiente orientacin
adicional:
una tolerancia a fallos de hardware de N significa que N+1 fallos podra causar
la prdida de la funcin de seguridad. Al determinar la tolerancia a fallos de
hardware, no deben contabilizarse otras medidas que pudieran controlar los
efectos de fallos tales como diagnsticos;
cuando un fallo conlleve directamente el suceso de uno o ms fallos
subsiguientes, se consideran como un solo fallo;
al determinar la tolerancia a fallos de hardware, pueden excluirse algunos fallos,
siempre y cuando la posibilidad correspondiente de que sucedan sea muy baja
con respecto a los requisitos de integridad de seguridad del subsistema.
Cualquier exclusin de dichos fallos se debe justificar y documentar.
Se utilizan las siguientes relaciones generales.
SFF = ( S + DD)/( S + D) Ref. IEC 61508-2.C.1
Donde:
D = DU + DD
Debe calcularse la fraccin de fallos seguros (SFF) de cada elemento de la funcin de
seguridad. El valor debe entonces usarse en la Tabla 16 para determinar el cumplimiento
normativo de nivel de integridad de seguridad (SIL) para el nivel de tolerancia a fallos de
hardware.
13.3.3. Restricciones arquitectnicas
IEC 61511-1, 11.4.5 permite evaluar la tolerancia a fallos de hardware mediante los
requisitos de IEC 61508-2, Tablas 2 y 3.
En la norma IEC 61508 [19.1] los subsistemas se dividen en dos categoras, tipo A o tipo B.
Por regla general, si los modos de fallo estn bien definidos, puede determinarse
completamente el comportamiento bajo condiciones de fallo y si a su vez hay datos de
campo adecuados y suficientes, el subsistema se considera entonces de tipo A. Si no se
cumple alguna de estas condiciones, el subsistema se considera entonces de tipo B.
Los dispositivos mecnicos simples tales como vlvulas se consideran generalmente
como tipo A. Los dispositivos de resolucin lgica suelen ser de tipo B dado que
126
contienen ciertas caractersticas de procesamiento y, por lo tanto, su comportamiento
bajo condiciones de fallo no puede determinarse por completo. Los sensores pueden
ser de tipo A o de tipo B de acuerdo a la tecnologa y a la complejidad del dispositivo.
Las restricciones arquitectnicas para una funcin de seguridad estn resumidas en la
Tabla 16.
Tabla 16: Restricciones arquitectnicas
Nota: una tolerancia a fallos de hardware de N significa que N+1 fallos podran causar la
prdida de la funcin de seguridad.
13.3.4. Ejemplo
En este ejemplo, Figura 50, la funcin de seguridad consta de dos transmisores de nivel
que funcionan en una configuracin 1oo2. Si un transmisor detecta un nivel elevado, el
PLC Allen Bradley desenergiza la vlvula accionada por solenoide, lo que permite que
cierre la vlvula de cierre de emergencia.
Definicin de subsistemas tipo A:
Modos de fallo de todas las partes constituyentes bien definidos, y comportamiento del
subsistema bajo condiciones de fallo completamente determinado y suficientes datos
dependientes de la experiencia de campo para mostrar que se cumplen las tasas de fallo
declaradas de fallos peligrosos detectados y no detectados
Fraccin de fallos
seguros
Tolerancia a fallos de hardware (N)
0 1 2
<60% SIL1 SIL2 SIL3
60% <90% SIL2 SIL3 SIL4
90% <99% SIL3 SIL4 SIL4
99% SIL3 SIL4 SIL4
Definicin de subsistemas tipo B:
El modo de fallo de al menos un componente constituyente no est bien definido, o el
comportamiento del subsistema bajo condiciones de fallo no puede determinarse
completamente o no hay suficientes datos dependientes de la experiencia de campo para
respaldar las tasas de fallo declaradas de fallos peligrosos detectados y no detectados
Fraccin de fallos
seguros
0 1 2
<60% No permitido SIL1 SIL2
60% <90% SIL1 SIL2 SIL3
90% <99% SIL2 SIL3 SIL4
99% SIL3 SIL4 SIL4
Verificacin SIL
127
La evaluacin del rendimiento arquitectnico requiere que primero identifiquemos qu
tipo de elemento es cada uno, A o B. Puede determinarse generalmente con ayuda de
las definiciones que figuran en la Tabla 16. Por regla general se ha de estar seguro de los
modos de fallo y del comportamiento de fallo de un elemento y tener muy buenos datos
de fallos para poder considerarlo como tipo A. De lo contrario, el elemento debe
considerarse como tipo B.
Nuestros datos de fallo de cada elemento nos permiten entonces calcular la fraccin de
fallos seguros (SFF). El tipo de elemento y la fraccin de fallos seguros figuran debajo de
cada elemento en la Figura 50.
La tolerancia a fallos de hardware (HFT) se refiere al nivel de tolerancia a fallos de cada
elemento. Los transmisores de nivel funcionando en una configuracin 1oo2 tienen una
tolerancia a fallos de hardware de 1. Otros elementos no tienen tolerancia a fallos y por lo
tanto presentan una tolerancia a fallos de hardware de 0.
Por ltimo, el nivel de integridad de seguridad que puede declararse para el rendimiento
arquitectnico de cada elemento puede determinarse con ayuda de esta informacin en
la Tabla 16.
Los conmutadores de nivel son de tipo A; por lo tanto, se aplican los criterios de tipo A.
Con una fraccin de fallos seguros (SFF) de 0.40 y una tolerancia a fallos de 1, los
transmisores de nivel cumplen con las restricciones arquitectnicas de SIL2.
De forma similar puede evaluarse tambin la vlvula accionada por solenoide y la vlvula
de cierre de emergencia. La vlvula accionada por solenoide, tambin de tipo A, presenta
una tolerancia a fallos de 0 y una fraccin de fallos seguros (SFF) de 0.72 que da lugar a
SIL2. La vlvula de cierre de emergencia, de tipo A, con una tolerancia a fallos de 0 y una
fraccin de fallos seguros (SFF) de 0.25 da lugar a SIL1.
Tipo
SFF
HFT
SIL arquitectnico
SIL permitido (arq.)
SIL global permitido
A
0.40
1
2
1
SIL1
B
0.95
0
2
A
0.72
0
2
A
0.25
0
1
CCF 5%
Conmutador
nivel
Conmutador
nivel
PLC 1oo1
NE
SOV Vlvula ESD
128
Figura 51: Restricciones arquitectnicas de transmisor de nivel
El PLC se ha considerado un dispositivo de tipo B. Esto se cumple para la mayora de los
PLC, puesto que al estar controlados por software, existe un elemento de incertidumbre
sobre su comportamiento en caso de fallo y, por lo tanto, no se cumplen todas las
condiciones requeridas para el tipo A.
La evaluacin del PLC debe llevarse a cabo entonces con respecto a los requisitos de
tipo B, Figura 52.
Figura 52: Restricciones arquitectnicas de PLC
A modo de resumen, en la Figura 50 se muestra el rendimiento arquitectnico del nivel
de integridad de seguridad (SIL) de cada elemento y el SIL que puede declararse para la
funcin de seguridad total es SIL1. El rendimiento arquitectnico del SIL de la funcin de
seguridad total est limitado por el SIL ms bajo declarado.
Definicin de subsistemas tipo B:
El modo de fallo de al menos un componente constituyente no est bien definido o el
comportamiento del subsistema bajo condiciones de fallo no puede determinarse
completamente o no hay suficientes datos dependientes de la experiencia de campo para
respaldar las tasas de fallo declaradas de fallos peligrosos detectados y no detectados
Fraccin de fallos
seguros (SSF)
0 1 2
<60% no permitido SIL1 SIL2
60% <90% SIL1 SIL2 SIL3
90% <99% SIL2 (PLC) SIL3 SIL4
99% SIL3 SIL4 SIL4
Definicin de subsistemas tipo A:
Modos de fallo de todas las partes constituyentes bien definidos y comportamiento del
subsistema bajo condiciones de fallo completamente determinado y suficientes datos
dependientes de la experiencia de campo para mostrar que se cumplen las tasas de fallo
declaradas de fallos peligrosos detectados y no detectados
Fraccin de fallos
seguros (SSF)
0 1 2
<60% SIL1 (valor ESD) SIL2 (LT) SIL3
60% <90% SIL2 (SOV) SIL3 SIL4
90% <99% SIL3 SIL4 SIL4
99% SIL3 SIL4 SIL4
Verificacin SIL
129
13.4. Requisitos de seleccin de componentes y subsistemas, IEC 61511-1, 11.5
13.4.1. Enfoque
En el caso de aplicaciones del sector de procesos, la seleccin de componentes y de
subsistemas puede basarse en una evaluacin de idoneidad. Los objetivos son especificar
los requisitos:
para la seleccin de componentes y de subsistemas;
permitir que un componente o un subsistema se integre en la arquitectura de
una funcin instrumentada de seguridad;
especificar los criterios de aceptacin para los componentes y los subsistemas.
13.4.2. Requisitos generales, IEC 61511-1, 11.5.2
Este procedimiento no debe utilizarse para aplicaciones SIL4, sino que para el resto de
componentes y de subsistemas debe aplicarse lo siguiente.
La demostracin de idoneidad debe incluir una evaluacin de nivel de integridad
de seguridad basada en el clculo de la probabilidad de fallo a demanda y de las
restricciones arquitectnicas respecto a los objetivos.
La demostracin de idoneidad tambin debe tener en cuenta el hardware del
fabricante y la documentacin de software incorporada. En prctica, la documentacin
que acompae a los componentes y a los subsistemas seleccionados ser en forma de
especificaciones tcnicas que cubran el rendimiento funcional y medioambiental. La
especificacin de diseo funcional debe por lo tanto incluir un enunciado que justifique
la idoneidad de los componentes y de los subsistemas seleccionados de acuerdo a la
documentacin de especificaciones disponible del fabricante respecto a los requisitos
funcionales.
Los componentes y los subsistemas deben ser consistentes con la especificacin de
requisitos de seguridad. En la prctica, los componentes y los subsistemas se seleccionan
sobre la base de su capacidad para cumplir los requisitos de seguridad. La demostracin
de conformidad se lleva a cabo por evaluacin y siguen aplicndose los requisitos para las
restricciones arquitectnicas y la probabilidad de fallo a demanda.
13.4.3. Uso previo, IEC 61511-1, 11.5.3
En primer lugar, la seleccin del componente debe llevarse a cabo sobre la base de la
especificacin de suministro procedente de proveedores autorizados.
130
La evaluacin del proveedor debe incluir los sistemas de gestin de calidad del fabricante
y de gestin de configuracin, y deben formar parte de la evidencia de la idoneidad
presentada en la especificacin de diseo funcional (FDS).
En todos los componentes y los subsistemas seleccionados, la especificacin de diseo
funcional tambin debe hacer referencia a una prueba de uso acumulado. La prueba
puede basarse en:
horas acumuladas del dispositivo para SIL1 y dispositivos de campo;
horas acumuladas del dispositivo con la identificacin de los fallos peligrosos
para SIL2 y elementos complejos.
Para aplicaciones de resolucin lgica SIL3 se requiere una certificacin.
El uso acumulado requerido para un componente o un subsistema depende de la tasa de
fallo objetivo y de si se han notificado fallos. La Figura 53 solamente se facilita a modo de
gua y muestra el nmero requerido de aos acumulados de los dispositivos (nmero de
dispositivos x aos en uso) para varios valores de la tasa de fallo especfica.
1.00E-07
1
10
100
1000
10000
1000000
1.00E-06 1.00E-05 1.00E-04
Tasa de fallos especfca (/h)
X
X
X
A
o
s

d
e

d
i
s
p
o
s
i
t
i
v
o

r
e
q
u
e
r
i
d
o
s
0 fallos
1 fallo
5 fallos
10 fallos
15 fallos X
Figura 53: Gua del uso requerido
Verificacin SIL
131
Por ejemplo, si la tasa de fallo especfica es 1,00E-06/h y se han notificado cero fallos,
entonces a partir de la Figura 53 deben demostrarse aprox. 137 aos-dispositivo, que se
pueden lograr con 14 dispositivos funcionando sin fallo durante 10 aos. Si se notifican
fallos en la poblacin en el campo, entonces la tasa actual de fallo de dispositivos ser
mayor y, consecuentemente, se requerirn ms horas de funcionamiento exentas de
fallos para demostrar la misma tasa de fallos objetivo.
La figura se basa en una distribucin
2
- a un lmite de confianza del 70%, y debe
utilizarse solamente como gua y para obtener una indicacin de cundo se ha
acumulado un nmero suficiente de aos-dispositivo.
IEC 61511 tambin requiere supervisin documentada de los datos de devolucin y
un proceso de modificacin a cargo del fabricante que evala el impacto de los fallos
notificados.
En la prctica, la informacin relativa a fallos raramente est disponible y la seleccin
puede, por lo tanto, incluir una evaluacin de los componentes y de los subsistemas para
asegurarse de que su rendimiento ser el requerido. Esta evaluacin puede requerir
discusiones con otros usuarios o con fabricantes o usuarios de dispositivos o aplicaciones
similares. Esta evidencia justificativa debe documentarse en la especificacin de diseo
funcional (FDS) como parte de la idoneidad de los componentes y de los subsistemas.
13.4.4. Dispositivos programables en lenguaje de programa fijo (FPL), IEC 61511-1, 11.5.4
Si van a usarse componentes y subsistemas programables en lenguaje de programa fijo
(FPL), (por ejemplo, dispositivos de campo), deben cumplirse para las aplicaciones SIL1 y
SIL2 todos los requisitos generales [13.4.2], los requisitos para uso previo [13.4.3] y los
siguientes requisitos para componentes y subsistemas programables FPL.
Adems, en cada componente seleccionado, la especificacin de diseo funcional (FDS)
debe justificar la seleccin de los componentes FPL haciendo constar que el componente
cumple con los requisitos especificados en cuanto a funcionalidad; para ello debe incluir:
a) caractersticas de seales de entrada y de salida;
b) modos de uso;
c) funciones y configuraciones utilizadas;
d) las caractersticas no utilizadas raramente pueden repercutir en las funciones
de seguridad.
En el caso de las aplicaciones SIL3 se requiere una evaluacin formal.
Un enfoque alternativo que adoptan algunos integradores de sistemas es facilitar un
dispositivo de lenguaje de programa fijo (FPL) compatible con SIL3. Estos dispositivos ya
132
deberan haber sido sometidos a una evaluacin formal a cargo de una organizacin
apropiada y debe facilitarse una certificacin SIL3 junto con una prueba documental
justificativa.
La prueba debe demostrar que el dispositivo es capaz de llevar a cabo la funcin
requerida y de que existe una probabilidad suficientemente mnima de fallo peligroso
como resultado de fallos de hardware aleatorios, o fallos de software o de hardware
sistemticos. Tambin debe haber disponible un manual de seguridad para el dispositivo
que detalle las restricciones de funcionamiento y de mantenimiento.
13.4.5. Dispositivos programables de lenguaje de variabilidad limitada (LVL), IEC 61511-1,
11.5.5
Si van a usarse componentes y subsistemas programables de lenguaje de variabilidad
limitada (LVL), (por ejemplo, dispositivos de resolucin lgica), deben cumplirse para las
aplicaciones SIL1 y SIL2 todos los requisitos generales [13.4.2], los requisitos para uso
previo [13.4.3], los requisitos para dispositivos programables de lenguaje de programa fijo
(FPL) [13.4.4] y los siguientes requisitos para componentes y subsistemas programables
de lenguaje de variabilidad limitada (LVL).
La documentacin debe incluir una justificacin de que cuando exista una diferencia
entre el perfil operacional y el entorno fsico como se ha experimentado previamente
y el perfil operacional y el entorno fsico cuando se usa en la funcin de seguridad, la
especificacin de diseo funcional (FDS) debe identificar estas diferencias y justificar
que la probabilidad de fallo a demanda (PFD) no se vea afectada adversamente.
En el caso de aplicaciones SIL1 o 2, un dispositivo de resolucin lgica electrnico
programable (PE) configurado con fines de seguridad (que se trata de un dispositivo de
resolucin lgica PE de grado industrial para uso general, configurado especficamente
para su uso en aplicaciones de seguridad) puede utilizarse siempre y cuando su uso est
justificado en la documentacin.
La documentacin de especificacin disponible del fabricante debe mostrar que la
informacin apropiada relativa al hardware y al software est disponible para asegurarse
de que el comportamiento de fallos se haya entendido. Esto debe confirmarse en la
especificacin de diseo funcional (FDS) mediante el listado de todos los modos de fallo
peligrosos y mediante la identificacin, cuando resulte necesario, de medidas de
diagnstico y acciones de proteccin. La especificacin de diseo funcional tambin debe
identificar los medios de proteccin empleados frente a una modificacin no autorizada o
involuntaria.
Verificacin SIL
133
En el caso de las aplicaciones de resolucin lgica SIL2, la especificacin de diseo
funcional debe confirmar la tcnica de proteccin empleada frente a los siguientes
fallos durante la ejecucin del programa:
a) monitorizacin de la secuencia del programa;
b) proteccin del cdigo frente a las modificaciones o deteccin de fallos con
monitorizacin en lnea;
c) afirmacin de fallo o programacin diversa;
d) comprobacin de rango de variables o comprobacin de plausibilidad de
valores;
e) enfoque modular;
f ) se han utilizado estndares de codificacin apropiados para el software
incorporado.
Adems, debe demostrarse lo siguiente:
g) se ha probado en configuraciones tpicas, con casos de prueba representativos
de los perfiles de operacin previstos;
h) se han usado mdulos y componentes de software verificados y fiables;
i) el sistema ha sido sometido a un anlisis y prueba de tipo dinmico;
j) el sistema no utiliza inteligencia artificial ni reconfiguracin dinmica;
k) se ha llevado a cabo una prueba documentada de insercin de fallos.
En el caso de aplicaciones SIL2, la especificacin de diseo funcional debe identificar
restricciones para el funcionamiento, el mantenimiento y la deteccin de fallos que cubra
las configuraciones del dispositivo de resolucin lgica electrnico programable (PE) y los
perfiles de funcionamiento previstos.
En el caso de aplicaciones SIL3, la documentacin debe presentar homologacin SIL para
todos los dispositivos de resolucin lgica LVL.
13.4.6. Dispositivos de programacin en lenguaje de variabilidad completa (FVL),
IEC 61511-1, 11.5.6
La documentacin debe presentar homologacin SIL para todos los dispositivos de
resolucin lgica de lenguaje de variabilidad completa (FVL).
13.5. Dispositivos de campo, IEC 61511-1, 11.6
Para seleccionar los dispositivos de campo, deben cumplirse todos los requisitos
generales [13.4.2], los requisitos para uso previo [13.4.3] y los siguientes requisitos para
dispositivos de campo. Si procede, tambin deben cumplirse los requisitos para los
dispositivos programables en lenguaje de programa fijo (FPL).
134
Los dispositivos de campo se deben seleccionar e instalar para minimizar fallos que pudieran
dar lugar a datos imprecisos debido a condiciones derivadas del proceso y de las condiciones
medioambientales. Las condiciones que deben considerarse incluyen la corrosin,
la congelacin de materiales en tuberas, slidos en suspensin, polimerizacin, coccin,
temperatura y presin extremos, condensacin en lneas de impulso de tramo seco y
condensacin insuficiente en lneas de impulso de tramo hmedo.
En el caso de los dispositivos de campo, la documentacin de especificacin debe
mostrar que el componente cumple con los requisitos especficos en trminos de
funcionalidad para todos los procesos y todas las condiciones medioambientales y la
especificacin de diseo funcional debe confirmar esto en tal caso. La especificacin de
diseo funcional tambin debe confirmar que todos los circuitos de entrada/salida
discretos de energizacin a disparo deben aplicar un mtodo para garantizar la integridad
del circuito y de la fuente de alimentacin elctrica, p. ej., un monitorizacin de lnea.
Los sensores inteligentes deben contar con proteccin frente a escritura para evitar la
modificacin inadvertida desde una ubicacin remota, a menos que una revisin de
seguridad apropiada permita el uso de lectura/escritura.
13.6. Interfaces del operario, encargado de mantenimiento y comunicacin,
IEC 61511-1, 11.7
En todas las interfaces de comunicacin deben cumplirse los siguientes requisitos.
El diseo de la interfaz de comunicacin del sistema instrumentado de seguridad debe
garantizar que cualquier fallo de la interfaz de comunicacin no afecte de forma negativa
la capacidad del sistema instrumentado de seguridad de llevar el proceso a un estado de
seguridad. Esto debe confirmarse en la documentacin de diseo.
La documentacin tambin debe confirmar:
a) la tasa de error pronosticada de la red de comunicacin;
b) que la comunicacin con el sistema bsico de control de proceso (BPCS) y los
perifricos no tenga impacto sobre las funciones instrumentadas de seguridad
(SIF);
c) que la interfaz de comunicacin sea lo suficientemente robusta para resistir las
interferencias electromagnticas, incluidas las sobretensiones elctricas sin
causar un fallo peligroso de las funciones instrumentadas de seguridad (SIF);
d) la interfaz de comunicacin sea adecuada para la comunicacin entre los
dispositivos referenciados a distintos potenciales elctricos de conexin a
tierra. NOTA: puede requerirse un medio alternativo (por ejemplo, fibras
pticas).
Verificacin SIL
135
13.7. Requisitos de diseo relativos al mantenimiento o a pruebas, IEC 61511-1, 11.8
El diseo del sistema instrumentado de seguridad debe ser tal que la prueba pueda
llevarse a cabo de forma integral o por partes. Debe tener en cuenta lo siguiente segn
proceda:
Prueba de calidad en lnea. El diseo de prueba debe asegurar que los fallos no
detectados puedan descubrirse de forma adecuada;
Instalaciones de prueba y omisin. El operario debe ser alertado en caso de que
una parte del sistema instrumentado de seguridad (SIS) se haya omitido con
fines de mantenimiento o prueba;
No debe permitirse un forzado de entradas y de salidas sin establecer el
sistema instrumentado de seguridad fuera de lnea a menos que existan
procedimientos y medidas de seguridad adecuadas. En cuanto a la funcin
de bypass, debe informarse al operario si se fuerza alguna entrada/salida.
13.8. Probabilidad de fallo de funciones instrumentadas de seguridad (SIF),
IEC 61511-1, 11.9
Ver apartado [14].
13.9. Requisitos para el software de aplicacin, IEC 61511-1, 12
IEC 61511-1, 12 lista los requisitos que se aplican a cualquier software que forme parte de
un sistema instrumentado de seguridad o que se utilice para desarrollar uno. El requisito
define los requisitos del ciclo de vida de seguridad del software de aplicacin para
garantizar que:
todas las actividades requeridas para desarrollar el software de aplicacin estn
definidas;
las herramientas de software que se utilizan para desarrollar y verificar el
software de aplicacin, es decir, el software de utilidad est totalmente
definido;
se ha adoptado un plan para cumplir con los objetivos de seguridad funcional.
El requisito general es definir las fases aplicables del ciclo de vida de seguridad del
software que se vaya a considerar y documentar toda la informacin relevante. Esto
incluye lo siguiente:
especificacin de requisitos de seguridad del software; similar a los requisitos
de hardware, debe definirse una especificacin que liste todos los requisitos de
seguridad del software de manera clara y estructurada que permita al equipo
de diseo desarrollar el software de aplicacin de forma correspondiente;
136
planificacin de validacin de seguridad del software; debe llevarse a cabo
como parte de una planificacin de validacin del sistema instrumentado de
seguridad general;
diseo y desarrollo; el software de aplicacin debe desarrollarse para cumplir
los requisitos de diseo del sistema, indicados en la especificacin de requisitos
de seguridad del software, en trminos de funciones de seguridad y niveles de
integridad de seguridad. Deben utilizarse lenguajes, herramientas de
programacin y de apoyo apropiadas, que ayuden en las tareas de verificacin,
validacin, evaluacin y modificacin. El diseo debe ser modular y
estructurado, de manera que se consiga la verificabilidad y se permita la
modificacin segura. Debe llevarse a cabo una prueba de mdulo de software
adecuada para verificar la funcionalidad. Ntese que la verificacin debe
llevarse a cabo en cada fase del ciclo de vida de seguridad del software;
integracin; una vez probado y verificado, el software debe ser integrado al
subsistema del sistema instrumentado de seguridad (SIS) y probado con el fin
de demostrar que cumple con los requisitos en la especificacin de requisitos
de seguridad cuando se ejecuta en el hardware;
validacin de seguridad del software; debe llevarse a cabo como parte de la
validacin general del sistema instrumentado de seguridad (SIS) (fase 5);
modificacin; cualquier modificacin de software validado debe llevarse a cabo
de manera controlada, de tal forma que se mantenga la integridad del software.
Probabilidad de fallo de SIF
137
14. Probabilidad de fallo de funciones instrumentadas de seguridad
(SIF), IEC 61511-1, 11.9
14.1. Conformidad con la norma
Hasta ahora hemos identificado que debemos establecer medidas de fiabilidad especficas
con el fin de garantizar que el riesgo general no supere el riesgo tolerable mximo.
Tambin hemos visto que la medida de fiabilidad especfica puede expresarse en niveles
de integridad de seguridad (SIL) y, para cumplir con la norma, no solo tenemos que
demostrar que la funcin de seguridad cumple los objetivos cuantitativos sino tambin
que aplicamos controles apropiados.
Cumplir con la norma requiere que las medidas de fiabilidad especficas se consigan de
forma apropiada al nivel de integridad de seguridad (SIL) aplicado.
14.2. Requisitos de fiabilidad especficos del nivel de integridad de seguridad (SIL)
La probabilidad de fallo a demanda (PFD) en cada nivel de integridad de seguridad (SIL)
depende del modo de operacin relativo al uso previsto del sistema instrumentado de
seguridad (SIS) con respecto a la frecuencia de las demandas a las que se ha sometido.
Estas figuran definidas en el apartado [6.9] y pueden ser:
Modo a demanda, en el que se adopta una accin especfica en respuesta a las
condiciones del proceso o a otras demandas. En caso de fallo peligroso de las funciones
instrumentadas de seguridad (SIF), nicamente se produce un peligro potencial en caso
de un fallo del proceso del sistema bsico de control de proceso (BPCS);
Modo continuo, segn el cual en caso de fallo peligroso de las funciones instrumentadas
de seguridad (SIF) ocurre un peligro potencial sin ms fallos a menos que se adopte una
accin para evitarlo.
Sobre la base de estos criterios se pueden aplicar los objetivos apropiados que figuran en
la tabla 17.
Tabla 17: Probabilidad de fallo a demanda (PFD) y tasas de fallo especficas de nivel de
integridad de seguridad (SIL)
Nivel SIL Modo a demanda
Probabilidad de fallo a
demanda
Modo continuo
Tasa de fallo por hora
SIL4 10
-5
a <10
-4
10
-9
a <10
-8
SIL3 10
-4
a <10
-3
10
-8
a <10
-7
SIL2 10
-3
a <10
-2
10
-7
a <10
-6
SIL1 10
-2
a <10
-1
10
-6
a <10
-5
138
14.3. Clculo de probabilidad de fallo a demanda (PFD) de una funcin de seguridad
en modo a demanda
Al realizar clculos de fiabilidad, asumimos que los fallos ocurren aleatoriamente en el
tiempo a una tasa constante y que cuando ocurre un fallo, el elemento objeto de fallo no
est disponible sino hasta que el fallo se haya detectado y solucionado.
Por lo que respecta al clculo de la probabilidad de fallo a demanda (PFD), bsicamente
estamos calculando la probabilidad de que el sistema instrumentado de seguridad (SIS)
no est disponible cuando se someta a una demanda. En un sistema 1oo2 redundante,
partiendo de que hemos tenido un fallo de canal, la probabilidad de fallo a demanda
(PFD) es la probabilidad de que el segundo canal falle subsecuentemente durante el
tiempo improductivo del primero.
Se pueden utilizar las siguientes relaciones generales a la hora del clculo de la
probabilidad de fallo a demanda (PFD). Las ecuaciones utilizadas son simplificaciones
de ecuaciones estndar y se derivan en [19.6].
En el caso de fallos detectados:
PFD1oo1 = DD.MDT Ref. IEC 61508-6, B.3.2.2.1
PFD1oo2 = DD
2
.MDT
2
+ .DD.MDT Ref. IEC 61508-6, B.3.2.2.2
En el caso de fallos no detectados:
PFD1oo1 = DU.TP/2 Ref. IEC 61508-6, B.3.2.2.1
PFD1oo2 = DU
2
.Tp2/3 + .DU.TP/2 Ref. IEC 61508-6, B.3.2.2.2
Donde DD es la tasa de fallo peligroso detectado, DU es la tasa de fallo peligroso no
detectado y es la contribucin del apartado de fallos por causas comunes [12.17]. TP es
el intervalo de prueba de calidad y MDT es el tiempo improductivo medio.
Las formas genricas de estas ecuaciones para varias configuraciones, tanto para sistemas
de modo continuo como a demanda, se detallan en [12.9].
14.4. Tasas de fallo
Al calcular la probabilidad de fallo a demanda (PFD) y la fraccin de fallos seguros (SFF), el
anlisis utiliza la hiptesis subyacente de IEC 61508-6, Anexo B.3 segn la cual las tasas de
fallo de componentes son constantes a lo largo de la vida til del sistema.
Las tasas de fallo utilizadas en los clculos pueden obtenerse mediante un anlisis de
modos de fallos, efectos y criticidad (FMECA), cuantificarse por los datos de campo o por
139
referencia a datos publicados de fuentes de la industria. Las tasas de fallo utilizadas
deben compararse con los datos disponibles en mdulos similares de complejidad y
tecnologa. Este enfoque asegura un enfoque conservador en trminos de modelo de
fiabilidad, y aporta confianza en cuanto a que el rendimiento de fiabilidad calculado
debe conseguirse en servicio.
Las tasas de fallo y sus fuentes se tratan en 14.8.
14.5. Modelo de fiabilidad
En este ejemplo de [6.5], el proceso y las funciones instrumentadas de seguridad (SIF)
estn resaltados, Figura 54.
Transmisor
de presin
Controlador
de presin
Proceso y BPCS
Funcin instrumentada de seguridad
Lgica
ESD
Vlvula
solenoide
Suministro
hidrulico
Purga
hidrulica
Entrada
gasoducto
Exportacin
gasoducto
Vlvula
cierre
Vlvula
control presin
Clasificado como 139 bar Clasificado como 48 bar
PC
S
PT
Figura 54: Funcin instrumentada de seguridad en modo a demanda
140
El clculo de la probabilidad de fallo a demanda (PFD) se lleva a cabo de forma ms
sencilla con la tcnica de diagrama de bloques de fiabilidad (RBD). En los diagramas de
bloques de fiabilidad, los diagramas muestran los elementos o los componentes que
se requieren para que el sistema sea fiable y no representan necesariamente un diseo
fsico ni conexiones. El modelo de diagrama de bloques de fiabilidad se describe en
IEC 61508-6, Anexo B, 4.2.
Se muestra el diagrama de bloques de fiabilidad para el sistema instrumentado de
seguridad (SIS) descrito, Figura 55.
El diagrama de bloques de fiabilidad muestra el clculo de la probabilidad de fallo a
demanda. Bajo cada elemento figuran los valores para la tasa de fallo peligroso detectado
DD, la tasa de fallo peligroso no detectado DU, tiempo improductivo medio (MDT), el
tiempo improductivo medio y el periodo de prueba de calidad T.
14.6. Ejemplo de evaluacin de nivel de integridad de seguridad para la
modificacin del bucle prepolmero en modo a demanda
A continuacin se describe un ejemplo de una evaluacin de la probabilidad de fallo a
demanda (PFD) de un nivel de integridad de seguridad (SIL) y del rendimiento
arquitectnico de una funcin instrumentada de seguridad (SIF).
Alcance
La funcin de cierre de emergencia (ESD), S-005 previene una reaccin fuera de control en
39-R-050, y consecuentemente protege contra una prdida de contencin del reactor que
podra dar lugar a lesiones de los operarios y a su vez a daos medioambientales. La
DD
MTD
Confguracin PFD
DU
Periodo de prueba de calidad
Confguracin PFD
PFD (descubierta)
PFD (no descubierta)
PFD
SIL permitido (PFD)
2.64E-07
48
1.27E-05
4.00E-08
8760
1.75E-04
1.77E-04
2.38E-02
2.40E-02
SIL1
0.00E+00
48
0.00E+00
6.00E-07
8760
2.63E-03
3.42E-06
48
1.64E-04
1.63E-07
8760
7.14E-04
0.00E+00
48
0.00E+00
4.64E-06
8760
2.03E-02
Transmisor
de presin
Lgica
ESD
Vlvula
solenoide
Vlvula
cierre
141
funcin de seguridad S-005 se inicia con la deteccin de temperatura alta o presin alta
en el reactor, y la vlvula de alivio de presin ROV0503 se abre para aliviar la presin.
Se entiende que haya dudas de que ROV0503 no ofrezca capacidad suficiente para la
descarga de presin y, por lo tanto, la accin de cierre de emergencia (ESD) de S-005 se
ha modificado para incluir la activacin de una vlvula de alivio adicional ROV0501.
Adems, durante el programa de actualizacin, se han incorporado dos conmutadores
manuales (HS0900 permisivo y HS2004 de anulacin) con fines de mantenimiento.
Objetivos
El cliente mantiene un gran nmero de sensores como parte del sistema instrumentado
de seguridad (SIS), y tiene inters en minimizar estos gastos fijos. El objetivo de este
anlisis es, por lo tanto:
1. determinar qu elementos deben incluirse en un anlisis de la funcin de
seguridad de cierre de emergencia (ESD) modificada S-005;
2. construir un diagrama de bloques de fiabilidad para determinar la
probabilidad de fallo a demanda y la arquitectura de S-005;
3. sugerir una filosofa de prueba de calidad (intervalos de prueba para sensores,
conmutadores, lgica y vlvulas de alivio) que permita que se cumplan los
objetivos (Tabla 18) al tiempo que se minimiza la frecuencia de prueba del
sensor.
Nota: el cliente ha informado que los intervalos de prueba de calidad de cualquier
elemento no deben superar los 36 meses. Desde un punto de vista de ingeniera, al
cliente no le agrada que ciertas partes del sistema instrumentado de seguridad (SIS)
no se ejecuten durante perodos de tiempo prolongados.
Permisivo y anulacin
Hay dos conmutadores manuales, HS2004 y HS0900, asociados a cierre de emergencia
(ESD) S-005.
Se entiende que HS0900 se usa para dirigir el catalizador al reactor y consecuentemente,
si el conmutador est en la posicin equivocada o falla en un estado errneo, el peligro
no puede ocurrir. HS2004 se usa como anulacin de activacin en S-005. Si HS2004 se
deja involuntariamente en la posicin de anulacin tras una accin de mantenimiento o
si falla en el estado de anulacin, entonces la funcin de seguridad S-005 se deshabilita.
142
Configuracin de hardware
El dispositivo de resolucin lgica est basado en una configuracin triple modular
redundante (TMR) con una votacin de 2 de 3 (2oo3). La Figura 56 presenta un esquema
de la configuracin del hardware.
Funciones de seguridad analizadas
La Tabla 18 presenta el nivel de integridad de seguridad (SIL) establecido y los objetivos
de la probabilidad de fallo a demanda (PFD).
Tabla 18: Funciones de seguridad para anlisis
Cobertura de diagnstico
Se ha asumido que todos los modos de fallo no detectados sern descubiertos con la
prueba de calidad, es decir, con la ejecucin completa de la funcin del sistema
instrumentado de seguridad (SIS).
Bucle Iniciador Accin
ESD
Condiciones requeridas
para mitigar el peligro
Objetivo
de la PFD
Objetivo
del SIL
1 Presin elevada
[PT0500H] o
temperatura
elevada [TT0504HH]
Activa
S-005
ROV0503 y
ROV0501- apertura
5.56E-03 SIL2
Lgica (2oo3)
AI
1oo2
Barrera IS
AI
1oo2
AI
1oo2
DI DI DI CPU CPU CPU DO DO DO
ROV0501
ROV0503
-005S-P
Transmisor
de presin
PT0500H
Transmisor
temperatura
PT0500H
Conmutador
manual
Conmutador
manual
Figura 56: Esquema hardware
143
Tiempo improductivo medio
En este anlisis debe utilizarse el tiempo improductivo medio (MDT) de 72 horas.
Periodo de prueba de calidad
Los intervalos de prueba de calidad deben seleccionarse para conseguir los objetivos a la
vez que se maximiza el intervalo de prueba de los sensores.
Consideracin de fallos por causas comunes
Los fallos por causas comunes (CCF) son fallos que pueden derivarse de una causa
individual, pero que pueden afectar simultneamente a ms de un canal. Pueden ser el
resultado de un fallo sistemtico, por ejemplo, un error de especificacin de diseo o
una influencia externa como temperatura excesiva que pudiera dar lugar a un fallo del
componente en los dos canales redundantes.
La contribucin de los fallos por causas comunes en rutas redundantes en paralelo debe
considerarse en el modelo con la incorporacin de un factor . La tasa de fallos por causas
comunes incluida en el clculo es igual a x la tasa de fallo total de una de las rutas
redundantes. Los factores que deben utilizarse en el anlisis estn resumidos en la
Tabla 19.
Tabla 19: Factores
Componentes tipo A
Los siguientes elementos pueden considerarse como tipo A:
Barrera de seguridad intrnseca (aislante de la fuente de alimentacin elctrica
de transmisor; PB0500);
Configuracin
redundante
Factor Justificacin
Sensores PT0500,
TT0504
3% Dado que los sensores son una tecnologa diferente que mide
diferentes variables de procesos, el potencial para fallos por
causas comunes est limitado al proceso en s mismo, al
mecanismo para fijar los sensores y al enrutado y la separacin
de las conexiones de los sensores. El valor de 3% se considera
por lo tanto un valor razonablemente conservador.
Lgica TMR PLC 5% Los fallos por causas comunes en una configuracin triple
modular redundante (TMR) son pequeos. No obstante, se ha
utilizado un valor de 5% para mantener un enfoque
conservador.
144
Transmisor de temperatura (TT0504);
Conmutador manual (HS0900, HS2004);
Vlvulas de alivio de pre-polimerizacin.
Componentes tipo B
Los siguientes elementos se consideraron como tipo B:
Mdulos lgicos PLC;
Transmisores de presin (PT0500).
Tasas de fallo de componentes
El anlisis debe asumir tasas de fallo constantes dado que se espera eliminar los efectos
de fallos prematuros mediante procesos apropiados. Estos procesos incluyen el uso de
productos muy desarrollados de fuentes autorizadas, pruebas en fbrica antes de la
entrega, y funcionamiento ampliado y prueba funcional como parte de la instalacin y
la puesta en servicio. Los datos de devolucin de campo en otros proyectos similares
indican que los fallos de vida prematuros no dan lugar a un nmero significativo de
devoluciones y, por lo tanto, las tcnicas empleadas se estiman suficientes.
Tambin se asume que los componentes no se utilizan ms all de su vida til, por lo que
as se garantiza que no ocurran fallos causados por el desgaste de ciertos mecanismos.
Las tasas de fallo (en fallos/hora) que pueden ser utilizados en el modelo para el clculo
de la probabilidad de fallo a demanda (PFD), DD y DU estn resumidos en la Tabla 20. Las
tasas de fallo se obtuvieron a partir de una combinacin de fuentes.
145
Tabla 20: Tasas de fallo (/h) y clculo de fraccin de fallos seguros (SFF)
Elemento
ref/etiqueta
Descripcin D DU DD S SFF
Dispositivos de entrada
PT 0500 Transmisor de presin (IS) 1.5E-06 1.4E-06 6.0E-07 7.5E-07 1.5E-07 0.60
PT 0501 Transmisor de presin (seguridad
intrnseca)
1.5E-06 1.4E-06 6.0E-07 7.5E-07 1.5E-07 0.60
PB 0500 Barrera para transmisor de presin
anterior (no seguridad intrnseca)
2.1E-07 6.3E-08 6.3E-08 0.0E+00 1.5E-07 0.70
PB 0501 Barrera para transmisor de presin
anterior (no seguridad intrnseca)
2.1E-07 6.3E-08 6.3E-08 0.0E+00 1.5E-07 0.70
FT 0041 Medidor de flujo Coriolis 2.6E-06 2.2E-06 9.0E-07 1.3E-06 4.0E-07 0.65
TT 0504 RTD de 3 conductores con
transmisor montado sobre un
cabezal
2.0E-06 1.4E-06 4.0E-07 1.0E-06 6.0E-07 0.80
HS 2004 Conmutador de anulacin 2.00E-06 8.00E-07 8.00E-07 0.00E+00 1.20E-06 0.60
HS0900 Conmutador permisivo 2.00E-06 8.00E-07 8.00E-07 0.00E+00 1.20E-06 0.60
Dispositivos lgicos
CPU CPU 1.51E-06 5.16E-07 6.42E-09 5.09E-07 9.91E-07 1.00
Mdulo DI
32pt
Mdulo DI 32pt 2.19E-08 1.09E-08 9.91E-11 1.08E-08 1.09E-08 0.99
Mdulo AI
32pt
Mdulo AI 32pt 1.40E-08 7.00E-09 9.86E-11 6.90E-09 7.00E-09 0.99
Mdulo DO
16pt
Mdulo DO 16pt 2.95E-08 1.47E-08 9.93E-11 1.46E-08 1.47E-08 0.99
Dispositivos de salida
39-PM-050 Estado de funciona miento de la
bomba desde el contactor y rel
SIN contacto
3.0E-07 2.0E-07 1.95E-07 0.00E+00 1.05E-07 0.35
ROV 0501 AOV (FO) vlvula de descarga
con SOV incluida
5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734
con SOV incluida
5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734
ROV 0404 AOV (FC) SOV incluida 9.72E-06 3.03E-06 3.03E-06 0.00E+00 6.69E-06 0.688
con SOV incluida
5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734
con SOV incluida
5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734
146
Una posible solucin
El objetivo de este anlisis es:
1. determinar qu elementos deben incluirse en un anlisis de la funcin de
seguridad de cierre de emergencia (ESD) modificada S-005;
2. construir un diagrama de bloques de fiabilidad para determinar la
probabilidad de fallo a demanda y la arquitectura de S-005;
3. sugerir una filosofa de prueba de calidad (intervalos de prueba para sensores,
conmutadores, lgica y vlvulas de alivio) que permita que se cumplan los
objetivos (Tabla 18) al tiempo que se minimiza la frecuencia de prueba del
sensor.
El diagrama de bloques de fiabilidad en la Figura 57 muestra los elementos que se
requieren como parte de la funcin de seguridad. No es necesario incluir HS0900 en
la evaluacin de la funcin de seguridad dado que su fallo no puede evitar el
funcionamiento de la funcin de seguridad. Si el conmutador HS0900 falla o se deja
en una posicin incorrecta, el peligro no puede ocurrir.
HS2004 debe incluirse porque si se deja involuntariamente en la posicin de anulacin
tras una accin de mantenimiento o si falla en el estado de anulacin, entonces la funcin
de seguridad S-005 estar desactivada.
El clculo de la probabilidad de fallo a demanda (PFD) requiri la aplicacin de ciertos
criterios con respecto a la determinacin de los intervalos de prueba de calidad, Tp. El
requisito era maximizar el intervalo hasta 3 aos y a la vez conseguir la probabilidad de
fallo a demanda (especfica. Habr muchas soluciones potenciales y en la prctica ser
objeto de discusin con el cliente. La Tabla 21 muestra un posible enfoque de prueba
de calidad.
Tabla 21: Intervalos de prueba de calidad posibles
Estos intervalos de prueba de calidad ofrecen una probabilidad de fallo a demanda
calculada de 4.91E-03 con respecto a un objetivo de 5.56E-03, y tanto la probabilidad
de fallo a demanda como el rendimiento arquitectnico cumplen el SIL2 objetivo.
Periodo de prueba de calidad (sensores) 24 meses 17,520 horas
Periodo de prueba de calidad (conmutador manual) 6 meses 4380 horas
Periodo de prueba de calidad (lgica) 36 meses 26,280 horas
Periodo de prueba de calidad (vlvulas) 3 meses 2190 horas
147
M
d
u
l
o

D
O
6
p
t
M
d
u
l
o

D
I
3
2
t
M
d
u
l
o

D
I
3
2
p
t
C
C
F
H
S

2
0
0
4
M
d
u
l
o

D
O
6
p
t
C
C
F
C
P
U
C
P
U
C
P
U
M
d
u
l
o

D
I
3
2
p
t
M
d
u
l
o

D
O
1
6
p
t
M
d
u
l
o

A
I
3
2
p
t
M
d
u
l
o

A
I
3
2
p
t
M
d
u
l
o

A
I
3
2
p
t
T
T

0
5
0
4
P
T

0
5
0
0
B
i
f
u
r
c
a
c
i
n

A
B
i
f
u
r
c
a
c
i
n

B
P
B

0
5
0
0

C
o
n
t
r
i
b
u
c
i
n

C
C
F
3
%
5
%
C
a
n
t
.
1
1
1
1
1
1
1
1
C
o
n
f
g
u
r
a
c
i
n
1
o
o
2
2
o
o
3
D
D

[
b
i
f
u
r
c
a
c
i
n

A
]
7
.
5
0
E
-
0
7
0
.
0
0
E
+
0
0
2
.
2
5
E
-
0
8
0
.
0
0
E
+
0
0
6
.
9
0
E
-
0
9
5
.
0
9
E
-
0
7
1
.
0
8
E
-
0
8
1
.
4
6
E
-
0
8
2
.
7
1
E
-
0
8
D
D

[
b
i
f
u
r
c
a
c
i
n

B
]
1
.
0
0
E
-
0
6
0
.
0
0
E
+
0
0
D
D

p
a
r
a

b
i
f
u
r
c
a
c
i
n
2
.
2
5
E
-
0
8
0
.
0
0
E
+
0
0
5
.
4
2
E
-
0
7
2
.
7
1
E
-
0
8
M
D
T
7
2
7
2
7
2
7
2
7
2
C
o
n
f
g
u
r
a
c
i
n

P
F
D
3
.
8
9
E
-
0
9
1
.
6
2
E
-
0
6
0
.
0
0
E
+
0
0
4
.
5
6
E
-
0
9
1
.
9
5
E
-
0
6
D
U

[
b
i
f
u
r
c
a
c
i
n

A
]
6
.
0
0
E
-
0
7
6
.
3
0
E
-
0
8
1
.
9
9
E
-
0
8
8
.
0
0
E
-
0
7
9
.
8
6
E
-
1
1
6
.
4
2
E
-
0
9
9
.
9
1
E
-
1
1
9
.
9
3
E
-
1
1
3
.
3
6
E
-
1
0
D
U

[
b
i
f
u
r
c
a
c
i
n

B
]
4
.
0
0
E
-
0
7
0
.
0
0
E
+
0
0
D
U

p
a
r
a

b
i
f
u
r
c
a
c
i
n
1
.
9
9
E
-
0
8
8
.
0
0
E
-
0
7
6
.
7
2
E
-
0
9
3
.
3
6
E
-
1
0
P
e
r
i
o
d
o

d
e

p
r
u
e
b
a

d
e

c
a
l
i
d
a
d
,

T
1
7
,
5
2
0
1
7
,
5
2
0
4
3
8
0
2
6
,
2
8
0
2
6
,
2
8
0
C
o
n
f
g
u
r
a
c
i
n

P
F
D
2
.
7
1
E
-
0
5
1
.
7
4
E
-
0
4
1
.
7
5
E
-
0
3
3
.
1
1
E
-
0
8
4
.
4
1
E
-
0
6
P
F
D

(
d
e
s
c
u
b
i
e
r
t
a
)
3
.
5
8
E
-
0
6
P
F
D

(
n
o

d
e
s
c
u
b
i
e
r
t
a
)
4
.
9
1
E
-
0
3
P
F
D
4
.
9
2
E
-
0
3
S
I
L

p
e
r
m
i
t
i
d
o

(
P
F
D
)
2
T
i
p
o
B
A
A
B
B
B
S
F
F
0
.
6
0
0
.
7
0
0
.
6
0
>
9
9
>
9
9
>
9
9
R
e
d
u
n
d
a
n
c
i
a
1
0
0
1
1
1
S
I
L

a
r
q
u
i
t
e
c
t
n
i
c
o
2
2
2
3
3
3
S
I
L

p
e
r
m
i
t
i
d
o

(
a
r
q
.
)
2
Figura 57: Solucin de diagrama
de bloques de fiabilidad
148
14.7. Trazabilidad de la tasa de fallo
Al realizar clculos de probabilidad de fallo a demanda es crtico que todos los clculos
sean visibles y que todos los datos utilizados se puedan rastrear con respecto a la fuente.
Microsoft Excel es una herramienta til en este sentido, dado que cumple estos dos
requisitos y tambin permite desarrollar una representacin grfica del modelo de
fiabilidad, tal y como se muestra en la Figura 57.
La hoja de clculo permite que cada celda de datos remita a una tabla de datos en la
que figuran todos los datos de tasas de fallo recogidos as como las fuentes de datos. La
Tabla 22 es un ejemplo de tabla de datos. Es importante que la referencia de fuente de
datos est lo suficientemente detallada para que cualquiera pueda comprobar y
confirmar los valores utilizados.
Si se utiliza un formato Excel, conviene tambin indicar el tipo de componente adems
del tiempo improductivo medio (MDT) asumido y el intervalo de prueba de calidad (Tp)
utilizado para el clculo. Esto permite cambiar fcilmente el intervalo de prueba de
calidad y calcular automticamente el efecto sobre la probabilidad de fallo a demanda
(PFD).
Tabla 22: Tabla de datos tpica
Elemento/
nmero de
pieza
D DD DU S Tipo SFF MDT Tp Fuente
de
datos
PT0500 1.35E-
06
8.18E-
07
7.50E-
07
6.80E-
08
5.27E-
07
B 0.95 4380 4380 exida
[14.8.2]
Dispositivo
de resolucin
lgica SIL3
5.57E-
06
2.23E-
06
2.21E-
06
2.20E-
08
3.34E-
06
B 1.00 168 4380 Sintef
[14.8.8]
Mdulo de
entrada
analgica
1.07E-
06
5.34E-
07
5.08E-
07
2.60E-
08
5.34E-
07
B 0.98 168 4380 Sintef
[14.8.8]
Mdulo de
salida
discreta
5.26E-
07
2.63E-
07
2.50E-
07
1.30E-
08
2.63E-
07
B 0.98 168 4380 Sintef
[14.8.8]
Vlvula HIPPS
12"
5.29E-
06
2.12E-
06
0.00E+
00
2.12E-
06
3.17E-
06
A 0.60 730 4380 Oreda
2002
[14.8.6]
149
14.8. Fuentes de datos de tasa de fallo
14.8.1. Enfoque
Los datos relativos a la tasa de fallo tan solo deben obtenerse de fuentes adecuadas y esto
depende de la aplicacin. A continuacin figuran fuentes de datos que se han utilizado y
que resultan apropiadas para el sector de proceso.
14.8.2. Exida.com Safety Equipment Reliability Handbook, 2007, 3rd Edition Volume 1
Sensors, ISBN 978-0-9727234-3-5/Volume 2 Logic Solvers and Interface Modules,
ISBN978-0-9727234-4-2/Volume 3 Final Elements, ISBN 978-0-9727234-5-9
14.8.3. Handbook of Reliability Data for Electronic Components used in
Telecommunications Systems, HRD-5.
14.8.4. Hydrocarbon Leak and Ignition Database Report No. 11.4/180 May 1992
14.8.5. IEEE Standard 500-1984. Guide to the Collection and Presentation of Electrical,
Electronic, Sensing Component, and Mechanical Equipment Reliability Data.
14.8.6. OREDA, The Offshore Reliability Data Handbook 4th Edition 2002
ISBN 82-14-02705-5
14.8.7. Parloc 2001: 5th Edition, The Institute of Petroleum, published by the Energy
Institute ISBN 0 85293 404 1.
14.8.8. Reliability Data for Control and Safety Systems, 2006 Edition, PDS Data Handbook,
SINTEF, ISBN 82-14-03898-7.
14.8.9. Reliability Technology, AE Green and AJ Bourne, Wiley, ISBN 0-471-32480-9.
150
15. Instalacin, puesta en servicio y validacin, IEC 61511-1, 14, 15
La Figura 58 muestra la fase del ciclo de vida aplicable.
Los objetivos de las fases definidas en IEC 61511-1, 14 y 15 son:
instalar el sistema instrumentado de seguridad conforme a las especificaciones
y a la documentacin [15.2];
poner en servicio el sistema instrumentado de seguridad, de modo que est
listo para la validacin final del sistema [15.3];
validar que el sistema instrumentado de seguridad, instalado y puesto en
servicio, logre los requisitos definidos en la SRS [15.4].
G
e
s
t
i
n

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
,
e
v
a
l
u
a
c
i
n

y

a
u
d
i
t
o
r
a

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
10
E
s
t
r
u
c
t
u
r
a

y

p
l
a
n
i
f
c
a
c
i
n

d
e
l

c
i
c
l
o

d
e

v
i
d
a

d
e

l
a

s
e
g
u
r
i
d
a
d
11
V
e
r
i
f
c
a
c
i
n
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
2
3
Diseo e ingeniera
para el SIS
4
y validacin
5
Funcionamiento y
mantenimiento
6
Modifcacin 7
Desmantelamiento 8
Instalacin, puesta en servicio y validacin
151
15.2. Instalacin de funciones instrumentadas de seguridad (SIF)
Los requisitos de instalacin deben definirse en el plan de instalacin y puesta en servicio
o integrarse en el plan general del proyecto. Los procedimientos de instalacin deben
definir las actividades que deben llevarse a cabo, las tcnicas y las medidas que se vayan a
utilizar, las personas, departamentos u organizaciones responsables y la temporizacin de
las actividades de instalacin.
15.3. Puesta en servicio de funciones instrumentadas de seguridad (SIF)
El sistema instrumentado de seguridad debe ponerse en servicio de conformidad con la
planificacin y con los procedimientos. Deben facilitarse registros con los resultados de
las pruebas e indicando si se han cumplido los criterios de aceptacin definidos durante
la fase de diseo. Los fallos deben ser objeto de investigacin y registro. En caso de que
se establezca que la instalacin actual no cumple con la informacin de diseo, debe
investigarse la divergencia y determinarse el impacto sobre la seguridad.
15.4. Validacin de funciones instrumentadas de seguridad (SIF)
Los procedimientos de validacin deben incluir todos los modos de operacin del
proceso y del equipo asociado y deben incluir:
puesta en marcha, funcionamiento normal, cierre;
funcionamiento manual o automtico;
modos de mantenimiento, omisin de bypass;
temporizacin;
roles y responsabilidades;
procedimientos de calibracin.
Adems, la validacin del software de aplicacin debe incluir:
identificacin del software de cada modo de operacin;
procedimiento de validacin que se vaya a usar;
herramientas y equipo que se vayan a usar;
criterios de aceptacin.
La validacin debe garantizar que el sistema instrumentado de seguridad funcione en
todos los modos de servicio y que no se vea afectado por la interaccin del sistema bsico
de control de proceso (BPCS) y otros sistemas conectados. La validacin de rendimiento
debe garantizar que todos los canales redundantes funcionen, as como las funciones de
omisin, las anulaciones de puesta en marcha y los sistemas de cierre manual.
152
Debe llegarse al estado definido, o seguro, en caso de prdida de energa, p. ej., energa
elctrica o hidrulica o aire de instrumentacin. Las funciones de alarma de diagnstico
definidas en la especificacin de requisitos de seguridad deben funcionar y ofrecer un
rendimiento tal y como se especifica en variables de proceso no vlidas, p. ej., entradas
fuera de rango. Despus de la validacin deben facilitarse registros apropiados y se deben
identificar el elemento de prueba, el equipo de prueba, los documentos de prueba y los
resultados de prueba adems de cualquier discrepancia y anlisis o solicitudes de cambio
que surjan al respecto.
Funcionamiento y mantenimiento
153
16. Funcionamiento y mantenimiento, IEC 61511-1, 16
Los objetivos de esta fase tal y como se define en IEC 61511-1, 16.1 son:
Garantizar que el nivel de integridad de seguridad requerido de cada funcin
instrumentada de seguridad se mantenga durante el funcionamiento y el
mantenimiento [16.2];
Utilizar y efectuar el mantenimiento del sistema instrumentado de seguridad,
de tal manera que se mantenga la seguridad funcional diseada [16.3].
G
e
s
t
i
n

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
,
e
v
a
l
u
a
c
i
n

y

a
u
d
i
t
o
r
a

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
10
E
s
t
r
u
c
t
u
r
a

y

p
l
a
n
i
f
c
a
c
i
n

d
e
l

c
i
c
l
o

d
e

v
i
d
a

d
e

l
a

s
e
g
u
r
i
d
a
d
11
V
e
r
i
f
c
a
c
i
n
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
2
3
Diseo e ingeniera
para el SIS
4
y validacin
5
Funcionamiento y
mantenimiento
6
Modifcacin 7
Desmantelamiento 8
154
16.2. Funcionamiento y mantenimiento (F y M) de funciones instrumentadas de
seguridad (SIF)
Los requisitos para el F y M deben definirse en el plan de F y M o integrarse en el plan
general del proyecto. Los procedimientos de F y M deben definir las operaciones
rutinarias que han de llevarse a cabo para mantener la seguridad funcional del sistema
instrumentado de seguridad. Estas operaciones deben incluir requisitos para:
pruebas de calidad;
omitir una funcin instrumentada de seguridad para prueba o reparacin;
recogida rutinaria de datos: p. ej., resultados de auditoras y pruebas del
sistema instrumentado de seguridad, registros de demandas de funciones
instrumentadas de seguridad, tiempos improductivos por fallos, reparaciones
y pruebas de calidad.
Deben desarrollarse procedimientos de pruebas de calidad, de tal manera que cada
funcin instrumentada de seguridad se ponga a prueba a fin de sacar a la luz fallos
peligrosos que no sean detectados mediante diagnsticos [16.4].
Se requieren procedimientos de mantenimiento para el diagnstico y la reparacin de
fallos, y la revalidacin del sistema tras una reparacin, acciones que deben tomarse tras
discrepancias entre el comportamiento esperado y el comportamiento real, la calibracin
y el mantenimiento del equipo de prueba y la generacin de informes de mantenimiento.
Se requieren procedimientos de generacin de informes para informar sobre fallos,
analizar fallos sistemticos y por causas comunes, y para dar seguimiento al rendimiento
del mantenimiento.
16.3. Formacin para F y M
La formacin del personal de F y M se debe planificar y realizar oportunamente, de
manera que se pueda llevar a cabo el funcionamiento y el mantenimiento del sistema
instrumentado de seguridad de acuerdo con la especificacin de requisitos de seguridad
(SRS). La formacin debe incluir:
peligros;
puntos de disparo;
acciones ejecutivas;
funcionamiento de todos los bypasses y cualquier restriccin sobre su uso;
operaciones manuales, p. ej., puesta en marcha, cierre y cualquier restriccin
relativa a su uso;
funcionamiento de alarmas y diagnsticos disponibles.
Funcionamiento y mantenimiento
155
16.4. Pruebas de calidad
Los procedimientos de pruebas de calidad deben poner a prueba las funciones
instrumentadas de seguridad (SIF) completas, desde el elemento de deteccin hasta el
dispositivo final accionado. El intervalo de prueba de calidad debe ser el mismo que se
utilice en la cuantificacin de la probabilidad de fallo a demanda (PFD) [14].
Se acepta probar distintos elementos de las funciones instrumentadas de seguridad (SIF)
a intervalos diferentes siempre y cuando:
la probabilidad de fallo a demanda (PFD) calculada siga siendo aceptable;
haya cierta superposicin en la prueba para que ninguna parte de las funciones
instrumentadas de seguridad se quede sin ser sometida a prueba.
156
17. Modificacin y desmantelamiento, IEC 61511-1, 17, 18
La Figura 60 muestra las fases del ciclo de vida aplicables.
Los objetivos de esta fase tal y como se define en IEC 61511-1, 17.1 y 18.1 son garantizar
que:
toda modificacin relativa a cualquier funcin instrumentada de seguridad (SIF)
se planifique, revise y apruebe convenientemente antes de implementar el
cambio [17.2];
la integridad de seguridad requerida se mantenga despus de cualquier cambio
que se haya llevado a cabo [17.3];
antes de proceder al desmantelamiento, se efecte una revisin apropiada y se
consiga autorizacin para asegurarse de que la integridad de seguridad quede
garantizada durante el desmantelamiento [17.4].
G
e
s
t
i
n

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
,
e
v
a
l
u
a
c
i
n

y

a
u
d
i
t
o
r
a

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
10
E
s
t
r
u
c
t
u
r
a

y

p
l
a
n
i
f
c
a
c
i
n

d
e
l

c
i
c
l
o

d
e

v
i
d
a

d
e

l
a

s
e
g
u
r
i
d
a
d
11
V
e
r
i
f
c
a
c
i
n
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
2
3
Diseo e ingeniera
para el SIS
4
y validacin
5
Funcionamiento y
mantenimiento
6
Modifcacin 7
Desmantelamiento 8
Figura 60: Fase 7 y 8 del ciclo de vida
Modificacin y desmantelamiento
157
17.2. Modificacin de funciones instrumentadas de seguridad (SIF)
Antes de proceder a cualquier modificacin, deben existir procedimientos para la
autorizacin y el control de los cambios. Esto se gestiona generalmente con una nota de
solicitud de cambio (CRN), que normalmente forma parte de un sistema de gestin de
calidad (QMS).
Cualquier solicitud de cambio debe describir el cambio requerido y las razones para la
solicitud. Esto lo puede proponer el personal de F y M como resultado de incidentes
durante el funcionamiento o el mantenimiento. El proceso de aprobacin habitual de
solicitudes de cambio debe englobar a distintos departamentos dentro de una
organizacin para determinar el impacto del cambio relativo al diseo, la base instalada
y la implementacin requerida.
Una vez que una organizacin est involucrada en la seguridad funcional, cualquier
solicitud de cambio debe adems ser revisada por una persona competente, p. ej. la
autoridad de seguridad (SA), para determinar si el cambio puede afectar la seguridad y,
en tal caso, se requiere un anlisis de impacto adecuado.
17.3. Anlisis de impacto
Los resultados del anlisis pueden requerir una nueva inspeccin de las primeras partes
del ciclo de vida y, por ejemplo, puede ser necesario revisar los peligros identificados y las
evaluaciones de riesgos. Las actividades de modificacin no pueden empezar sino hasta
que este proceso haya sido completado y la autoridad de seguridad haya autorizado el
cambio.
El impacto de los cambios relativos a las funciones instrumentadas de seguridad puede
afectar consecuentemente al personal de F y M, y podra ser necesaria formacin
adicional.
17.4. Desmantelamiento de funciones instrumentadas de seguridad (SIF)
El desmantelamiento debe ser una actividad planificada como parte de la fase 11 del ciclo
de vida, y debe tratarse como una modificacin al final de la vida del proyecto.
El comienzo de la fase de desmantelamiento se debe iniciar un anlisis de impacto
para determinar el efecto del desmantelamiento en la seguridad funcional. El anlisis
debe incluir la revisin de la identificacin de peligros y la evaluacin de riesgos, con
consideracin particular de los peligros que pueden ocurrir como resultado de la
actividad de desmantelamiento.
158
18. Gestin de seguridad funcional, y evaluacin y auditora de
seguridad funcional
El objetivo de esta fase, tal y como se define en IEC 61511-1, 5, es identificar las
actividades de gestin y la documentacin necesarias con el fin de habilitar las fases
del ciclo de vida aplicables para que puedan ser abordadas convenientemente por
los responsables respectivos.
La norma lista requisitos generales para la gestin y la documentacin para permitir que
las fases del ciclo de vida aplicables sean abordadas adecuadamente por los respectivos
responsables.
G
e
s
t
i
n

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
,
e
v
a
l
u
a
c
i
n

y

a
u
d
i
t
o
r
a

d
e

l
a

s
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
10
E
s
t
r
u
c
t
u
r
a

y

p
l
a
n
i
f
c
a
c
i
n

d
e
l

c
i
c
l
o

d
e

v
i
d
a

d
e

l
a

s
e
g
u
r
i
d
a
d
11
V
e
r
i
f
c
a
c
i
n
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
2
3
Diseo e ingeniera
para el SIS
4
y validacin
5
Funcionamiento y
mantenimiento
6
Modifcacin 7
Desmantelamiento 8
Figura 61: Fase 10 y 11 del ciclo de vida
Gestin, evaluacin y auditora
159
Esto significa que la documentacin de proyecto debe contener suficiente informacin
para cada fase del ciclo de vida general que se haya completado, para las fases
subsiguientes y para las actividades de verificacin, de modo que puedan completarse
de forma efectiva.
La conformidad con la norma requiere la especificacin de:
las responsabilidades en la gestin de la seguridad funcional;
las actividades que deben llevar a cabo los responsables.
La conformidad respecto a los requisitos puede abordarse mediante la disposicin
de procedimientos que traten cada requisito en alcance, implementando dichos
procedimientos y asegurndose de que haya informacin adecuada disponible para
permitir que la gestin de la seguridad funcional sea efectiva.
18.2. Gestin de seguridad funcional
Los requisitos para la gestin de la seguridad funcional figuran resumidos en la Tabla 23.
La mayor parte de los requisitos pueden ya estar cubiertos en un sistema de gestin de
calidad (QMS) de la organizacin. Las siguientes secciones resaltan ciertas reas que
generalmente deben ser abordadas.
Gestin de requisitos de seguridad
funcional
Descripcin
Requisitos generales IEC 61511-1, 5.2.1
Debe especificarse una poltica y una estrategia
junto con los medios de comunicacin internos
de la organizacin.
Poltica y comunicaciones
Debe estar implementada una poltica de seguridad
funcional que debe comunicarse en toda la organizacin.
Se recomienda que el contenido de la poltica incluya
objetivos de seguridad funcionales especficos junto con los
medios de evaluacin sobre si se han logrado y el mtodo de
comunicacin dentro de la organizacin.
Debe estar implementado un sistema de gestin
de seguridad funcional para cerciorarse de que
el sistema instrumentado de seguridad tenga la
capacidad de implementar y mantener el
proceso en un estado seguro.
Debe estar disponible un documento de gestin de
seguridad funcional de alto nivel que identifique todas las
fases del ciclo de vida del alcance. El documento de gestin
debe referenciar los procedimientos necesarios de todas las
actividades relacionadas con la seguridad.
Debe haber procedimientos implementados para especificar
todas las actividades de gestin y tcnicas que se llevarn a
cabo en el proyecto. Los procedimientos deben identificar
los documentos que deben elaborarse.
Los proyectos deben controlarse usando un plan de calidad
y seguridad que identifique las actividades que se llevarn a
cabo, los medios de control y que permita la aprobacin una
vez completados.
160
funcional
Descripcin
Organizacin y recursos IEC 61511-1, 5.2.2
Deben identificarse las personas, los departamentos,
las organizaciones y otras unidades responsables de
ejecutar y revisar cada fase del ciclo de vida de
seguridad. Asimismo deben ser informados acerca de
las responsabili dades atribuidas segn corresponda
(inclusive cuando proceda, autoridades reguladoras u
organismos normativos en materia de seguridad).
Roles y responsabilidades
Deben identificarse todas las personas, departamentos y
organizaciones responsables de ejecutar y revisar las actividades
relacionadas con la seguridad, y sus responsabilidades deben
quedar definidas de forma clara.
Por lo general, en una organizacin, se puede lograr con la
publicacin de diagramas que identifiquen a las personas y sus
roles. Las descripciones de trabajo identificaran entonces las
responsabilidades asignadas a cada rol.
Las personas, los departamentos y las
organizaciones involucradas en las actividades del
ciclo de vida de seguridad deben ser competentes
para realizar las actividades que les hayan sido
atribuidas y de las que sean responsables.
Competencia
La competencia de todas las personas responsables definidas
anteriormente debe quedar documentada.
Debe haber procedimientos implementados para asegurarse de
que las personas responsables tengan la competencia apropiada
para las actividades que les sean asignadas. El procedimiento debe
incluir la revisin y la evaluacin de la competencia, adems de las
necesidades de formacin.
La documentacin relativa a la competencia debe considerar:
a) conocimientos de ingeniera (aplicables al proceso, la tecnologa,
la novedad y la complejidad de la aplicacin, los sensores y los
elementos finales);
b) gestin adecuada y habilidades de liderazgo apropiadas al rol en
el ciclo de vida de seguridad;
c) comprensin de la consecuencia potencial del evento;
integridad de la seguridad de las funciones instrumentadas de
seguridad; ingeniera de seguridad y requisitos normativos
legales y de seguridad.
Evaluacin de riesgos y gestin de riesgos
IEC 61511-1, 5.2.3
Deben identificarse los peligros, evaluarse los
riesgos y determinarse la reduccin de riesgos
necesaria.
Establecimiento del SIL
Ver apartado [6].
Planificacin IEC 61511-1, 5.2.4
Debe implementarse la planificacin de seguridad
para definir las actividades que se han de llevar a
cabo junto con las personas, los departamentos,
la organizacin u otras unidades responsables de
llevar a cabo dichas actividades. Debe actualizarse
esta planificacin segn sea necesario a lo largo de
todo el ciclo de vida de seguridad.
Planificacin
La planificacin debe asegurar que la gestin, la verificacin y las
actividades de evaluacin de la seguridad funcional tengan un
calendario y que se apliquen en las fases relevantes del ciclo de vida.
La planificacin debe estar incluida en el plan de calidad del
proyecto y debe identificar todas las actividades relacionadas con
la seguridad, la temporizacin y las organizaciones o individuos
responsables.
Cada actividad relacionada con la seguridad puede incluir
referencias a procedimientos o a prcticas laborales, a desarrollo
o a herramientas de produccin.
Implementacin y supervisin de
IEC 61511-1, 5.2.5
Deben implementarse procedimientos para ase gu rar
el seguimiento rpido y la resolucin satisfactoria de
las recomendaciones derivadas de:
a) anlisis de peligro y evaluacin de riesgos;
b) evaluacin y auditoras;
c) verificacin y validacin;
d) actividades posteriores al incidente.
Implementacin y supervisin
Los procedimientos deben permitir obteber recomendaciones
basadas en actividades de anlisis y revisin, y debe
implementarse un mtodo para revisar y dar seguimiento de las
recomendaciones para su resolucin.
Debe haber un procedimiento que asegure que se pueda abordar
cualquier recomendacin basada en los incidentes o peligros.
161
funcional
Descripcin
Deben implementarse procedimientos para evaluar
el rendimiento del sistema instrumentado de
seguridad respecto a los requisitos de seguridad,
que incluya:
a) recogida y anlisis de datos de fallo de campo
durante la operacin;
b) registro de demandas relativas a las funciones
instrumentadas de seguridad para asegurarse
que los supuestos tomados durante el
establecimiento del SIL sigan siendo vlidos.
Siempre que la organizacin sea responsable de las fases de
funcionamiento y mantenimiento, debe haber implementados
procedimientos para reconocer las operaciones y el rendimiento
del mantenimiento que incluyan:
fallos sistemticos;
fallos recurrentes;
evaluacin de tasas de demanda y de tasas de fallo de
acuerdo con los supuestos durante el diseo o la evaluacin
de la seguridad funcional.
Los requisitos para las auditoras de seguridad funcional deben
incluir: frecuencia, independencia, documentacin requerida y
seguimiento.
Cualquier proveedor que facilite productos o
servicios a una organizacin, que tenga
responsabilidad general respecto a una o ms
fases del ciclo de vida de seguridad, debe entregar
productos o servicios tal y como vienen
especificados a cargo de esta organizacin,
y debe contar con un sistema de gestin de
calidad apropiado.
Debe haber principios implementados para
establecer la adecuacin del sistema de gestin
de la calidad.
Gestin de proveedores
Los proveedores deben entregar productos conforme a las
especificaciones y deben contar con un sistema de gestin de
calidad apropiado. Por lo general, el suministro debe proceder de
una lista de proveedores aprobados y con un control conforme a
la especificacin de suministro.
Debe haber implementados procedimientos para auditar la
aprobacin de proveedores.
Evaluacin, auditora y revisiones IEC 61511-1,
5.2.6
Debe definirse y ejecutarse un procedimiento para
una evaluacin de la seguridad funcional, de tal
manera que pueda determinarse la seguridad
funcional y la integridad de seguridad conseguidas
con el sistema instrumentado de seguridad.
Los procedimientos deben requerir que se asigne un
equipo de evaluacin que incluya conocimientos
tcnicos, de aplicacin y operacionales especializados
necesarios para la aplicacin en particular.
El equipo de evaluacin debe incluir al menos
una persona snior y competente que no est
involucrada en el equipo de personal de diseo
del proyecto.
Las etapas en el ciclo de vida de seguridad en las
que se han de llevar a cabo las actividades de
evaluacin de la seguridad funcional deben
identificarse durante la planificacin de seguridad.
Evaluacin de seguridad funcional
Actividades de evaluacin de la seguridad funcional, ver
apartado [13].
Debe implementarse un procedimiento que permita la puesta
en prctica de una evaluacin de la seguridad funcional. Los
requisitos para demostrar la conformidad de acuerdo con los
objetivos SIL y probabilidad de fallo a demanda (o probabilidad
de fallo por hora) establecidos durante la determinacin del
SIL [6] estn detallados en [11.1].
Puede asignarse un equipo dentro de la organizacin si se
cumplen los requisitos de competencia e independencia. Si
se usa una organizacin externa, entonces los requisitos de
competencia deben formar parte del procedimiento de gestin
de proveedores.
Los requisitos de riesgo mximo tolerable (MTR) deben estar
incluidos en el alcance [8.6.6].
162
Tabla 23: Requisitos de la gestin de la seguridad funcional
funcional
Descripcin
Debe llevarse a cabo al menos una evaluacin
de la seguridad funcional antes de que los
peligros identificados estn presentes; debe
confirmar que:
se haya llevado a cabo la evaluacin de
peligros y riesgos;
se hayan resuelto las recomendaciones
basadas en la evaluacin de peligros y
riesgos;
el sistema instrumentado de seguridad haya
sido diseado, construido e instalado de
acuerdo a la especificacin de requisitos de
seguridad;
estn implementados los procedimientos de
seguridad, funcionamiento y mantenimiento;
se hayan completado las actividades de
validacin;
se haya completado la formacin de F y M,
y se haya facilitado informacin apropiada
acerca del sistema instrumentado de
seguridad;
existan estrategias para evaluaciones
complementarias.
La evaluacin de la seguridad funcional debe seguir un plan
de conformidad. Deben quedar especificados en el plan de
calidad y seguridad del proyecto los puntos en el calendario
de proyecto o ciclo de vida de seguridad, as como el
momento de su puesta en prctica.
Es importante que al menos una evaluacin de seguridad
funcional se lleve a cabo antes de que los peligros
identificados estn presentes en la planta o proceso.
Deben definirse y ejecutarse procesos con el fin
de asegurarse de que se cumplan los requisitos
conforme a la auditora, incluidos:
a) la frecuencia de actividades de auditora;
b) el grado de independencia entre las personas,
los departamentos, las organizaciones u otras
unidades que lleven a cabo el trabajo y
aquellos que lleven a cabo actividades de
auditora;
c) el registro y las actividades de seguimiento.
Deben llevarse a cabo auditoras de seguridad funcionales
para verificar que existan procedimientos apropiados acerca
del proyecto y que se hayan implementado.
Por lo general, debe llevarse a cabo una auditora de
seguridad funcional en una fase muy inicial en el ciclo
de vida del proyecto para asegurarse de que existan
procedimientos para cubrir todas las actividades
relacionadas con la seguridad. A lo largo del proyecto y
en intervalos correspondientes deben realizarse auditoras
subsiguientes para asegurarse de que los procedimientos
se estn siguiendo y de que se estn llevando a cabo las
recomendaciones o las actividades de seguimiento.
Gestin de configuracin del SIS IEC 61511-1,
5.2.7
Deben estar disponibles procedimientos para
la gestin de la configuracin del sistema
instrumentado de seguridad (SIS) durante el
ciclo de vida. Debe especificarse lo siguiente:
a) la etapa en la que se implemente el control
de configuracin formal;
b) el mtodo de identificacin de las piezas
(hardware y software);
c) procedimientos para evitar que entren en
servicio partes no autorizadas.
Gestin de configuracin
Los procedimientos para la gestin de configuracin,
la iniciacin de la modificacin, el procedimiento de
aprobacin y el aseguramiento del seguimiento de
peticiones de cambio probablemente ya existan en
un sistema de gestin de calidad tpico.
Sin embargo, al considerar cambios respecto a una funcin
de seguridad, debe existir algn tipo de anlisis del impacto
con el fin de determinar si el caso podra comprometer la
seguridad y a qu punto retornar dentro del ciclo de vida con
el fin de empezar el proceso de reevaluacin.
Puede ser necesario un procedimiento para realizar el anlisis
de impacto y gestionar la reevaluacin.
163
18.3. Requisitos generales
Debe haber una poltica y una estrategia para lograr la seguridad funcional dentro de la
organizacin y deben identificarse los medios que se utilizan en la organizacin para
dicha comunicacin.
Es importante que la organizacin desarrolle su propia poltica de seguridad funcional,
ya que esto supondr que las personas interesadas en la organizacin reflexionen sobre
lo que implica la seguridad funcional en la organizacin, sobre cmo puede comunicarse
dicha informacin para crear una cultura de seguridad funcional que alcance a toda la
organizacin en todas las actividades.
18.4. Organizacin y recursos
Todo el personal de proyecto debe estar identificado conforme a sus competencias y sus
responsabilidades deben estar definidas. Las competencias del personal deben quedar
registradas en un registro de competencias y debe existir un procedimiento para revisar
dichas competencias, para actualizar peridicamente el registro con las experiencias que
se vayan acumulando y para revisar las necesidades de formacin. Deben definirse
requisitos relativos a las competencias para cada rol del proyecto.
La mayora de las organizaciones que acceden por primera vez a la seguridad
funcional pueden encontrar ventajoso el hecho de asignar una autoridad de seguridad
(SA). Esta persona se encargar de la seguridad funcional, de la poltica corporativa y de
comunicaciones, de las fases del ciclo de vida y de la planificacin de actividades. La
autoridad de seguridad ser independiente respecto a los proyectos.
Con toda probabilidad se tendr que establecer y gestionar un registro de competencias
o desarrollar un sistema existente para incluir actividades de seguridad funcional y
responsabilidades.
18.5. Implementacin y supervisin del proyecto
Si en el alcance existen algunas actividades nuevas, p. ej., HAZOP, entonces debe crearse
un procedimiento para abordar HAZOP. Si, por ejemplo, un desarrollo consiste en incluir
software de una aplicacin relacionada con la seguridad, entonces debe disponerse un
procedimiento para asegurarse que el software se desarrolle conforme a la fase 4 del ciclo
de vida [11].
18.6. Gestin y modificacin de la configuracin
Los procedimientos para la gestin de la configuracin, la iniciacin de la modificacin,
el procedimiento de aprobacin y el aseguramiento del seguimiento de peticiones de
cambio ya suelen existir en un sistema de gestin de calidad tpico.
164
Sin embargo, al considerar cambios respecto a una funcin de seguridad, debe existir
algn tipo de anlisis del impacto con el fin de determinar si el caso podra comprometer
la seguridad y a qu punto retornar dentro del ciclo de vida con el fin de empezar el
proceso de reevaluacin. Puede ser necesario un procedimiento para realizar el anlisis
de impacto y gestionar la reevaluacin.
18.7. Rendimiento del F y M
En funcin de las fases del ciclo de vida en el alcance, puede ser necesario implementar
procedimientos para tratar, recopilar y mantener la informacin derivada de: peligros,
incidentes y modificaciones. Los procedimientos tambin pueden describir:
cmo abordar incidentes peligrosos;
anlisis de peligro detectados;
actividades de verificacin.
Puede resultar necesario recopilar datos y dar mantenimiento a dichos datos porque
durante la evaluacin de seguridad se ha podido asumir que la funcin de seguridad era,
por ejemplo, un sistema de modo a demanda. Al supervisarse la tasa de demanda a la que
se somete la funcin de seguridad se asegura que los objetivos apropiados y las medidas
de rendimiento fueron fijadas y siguen siendo vlidas.
Referencias
165
19. Referencias
19.1. IEC 61508:2010, Functional Safety of Electrical/Electronic/Programmable
Electronic Safety Related Systems.
19.2. IEC 615112004: Functional Safety: Safety Instrumented Systems for the
Process Industry.
19.3. Reducing Risks, Protecting People, HSE 2001, ISBN 0 7176 2151 0.
19.4. AIChE Centre for Chemical Process Safety, Layer of Protection Analysis (LOPA),
2001
19.5. IEC 61784-3:2010 Industrial Communications Networks. Profiles Part-3:
Functional safety Fieldbuses General Rules and profile Definitions.
19.6. Derivation of the Simplified PFDavg Equations, D Chauhan,
Rockwell Automation (FSC).
19.7. General Reliability Calculations for MooN Configurations, KJ Kirkcaldy,
Rockwell Automation (FSC).
19.8. Functional Safety: Safety Instrumented Systems for the Process Industry
Sector. ANSI/ISA-84.00.01-2004 Part 1 (IEC 61511-1 Mod).
166
20. Definiciones
2oo3 Dos de tres circuitos lgicos (circuito lgico 2/3) Un circuito lgico con tres entradas
independientes. La salida del circuito lgico tiene el mismo estado que cualquiera de
los dos estados de entrada coincidentes. Por ejemplo, un circuito de seguridad en el
que hay tres sensores y una seal de cualquiera de estos dos sensores es necesaria para
solicitar un cierre. Este sistema 2oo3 se considera tolerante a un solo fallo (HFT = 1),
es decir, en caso de que uno de los sensores falle peligrosamente, el sistema podra
desconectarse con seguridad. Otros sistemas de votacin incluyen 1oo1, 1oo2, 2oo2,
1oo3 y 2oo4.
ALARP Tan bajo como resulte razonablemente practicable (As Low As Reasonably Practicable).
La filosofa de tratar con riesgos que se hallan entre un extremo superior e inferior. El
extremo superior es donde el riesgo es tan grande que es rechazado completamente,
mientras que el extremo inferior es donde el riesgo es o se ha logrado que sea
insignificante. Esta filosofa considera los costes y los beneficios de la reduccin de
riesgos para hacer que el riesgo sea tan bajo como resulte razonablemente
practicable.
Anlisis de rbol de
eventos
Mtodo de modelo de propagacin de fallos. El anlisis construye una imagen en forma
de rbol de las cadenas de eventos, desde un evento iniciador hasta varios resultados
potenciales. El rbol se expande desde el evento iniciador en ramas de eventos de
propagacin intermedios. Cada rama representa una situacin en la que es posible un
resultado distinto. Despus de incluir todas las ramas apropiadas, el rbol de eventos
termina con mltiples resultados posibles.
Apertura en error Condicin en la que el componente de vlvula de cierre se sita en una posicin de
apertura cuando falla la fuente de energa de accionamiento.
Arquitectura Estructura de voto de elementos diferentes en una funcin instrumentada de
seguridad. Ver Restricciones arquitectnicas, tolerancia a fallos y 2oo3.
BPCS Ver Sistema bsico de control de proceso.
Capa de proteccin Ver IPL.
Cierre en error Condicin en la que el componente de vlvula de cierre se sita en una posicin
cerrada cuando falla la fuente de energa de accionamiento.
Cobertura de
diagnstico
Medicin de la capacidad del sistema para detectar fallos. Se trata de una relacin entre
las tasas de fallos para fallos detectados y la tasa de fallo de todos los fallos en el
sistema.
Cobertura de prueba
de calidad
Fallos porcentuales detectados durante el servicio de un equipo. En general se asume
que cuando se lleva a cabo una prueba de calidad se detectan y corrigen los errores en
el sistema (cobertura 100% de la prueba de calidad).
Consecuencia Magnitud de dao o medicin del resultado de un evento perjudicial. Uno de los dos
componentes utilizados para definir un riesgo.
Diagnsticos D Algunos dispositivos de resolucin lgica con clasificacin de seguridad estn
designados como dispositivos que tienen diagnsticos con D mayscula. Se diferencian
de los diagnsticos regulares en el hecho de que la unidad es capaz de reconfigurar su
arquitectura despus de que un diagnstico haya detectado un fallo. El mayor efecto se
aplica en los sistemas 1oo2D que pueden reconfigurarse a funcionamiento 1oo1
cuando detectan un fallo seguro. As pues la tasa de disparos errneos de un sistema de
este tipo se reduce enormemente.
Definiciones
167
Diagrama de rbol de
fallos
Mtodo de combinacin basado en la probabilidad para valorar probabilidades
complejas. Dado que adopta generalmente la vista de fallos de un sistema, resulta til
en modelos de modo de fallo mltiple. Se debe proceder con sumo cuidado al usarlo
para calcular probabilidades promedio integradas.
Diagrama de bloques
de fiabilidad
Mtodo de combinacin basado en la probabilidad para valorar probabilidades
complejas. Dado que adopta generalmente la vista de xito de un sistema, puede
resultar confuso cuando se usa en modelos de modo de fallos mltiples.
Diagrama de causa y
efecto
Mtodo utilizado habitualmente para demostrar la relacin de las entradas de los
sensores respecto a la funcin de seguridad y a las salidas requeridas. Utilizado
frecuentemente como parte de la especificacin de requisitos de seguridad. Los
puntos fuertes del mtodo son bajo nivel de esfuerzo y representacin visual clara,
mientras que los puntos dbiles son formato rgido (algunas funciones no pueden ser
representadas con diagramas C-E) y el hecho de que puede simplificar excesivamente
la funcin.
Disparo errneo Ver Fallo seguro
Disponibilidad Probabilidad de que un dispositivo funcione correctamente en un momento
determinado en el tiempo. Se trata de una medida de tiempo productivo y se define
en unidades porcentuales. En la mayora de componentes de sistemas de seguridad
probados y reparados, la disponibilidad vara como un diente de sierra con el tiempo
segn lo dispuesto en los ciclos de prueba de calidad y reparacin. As pues, la
disponibilidad media integrada se usa para calcular la probabilidad media de fallo a
demanda. Ver PFDavg.
E/E/PE
Elctrico/electrnico/
el ectrnico
programable
Ver 61508 y 61511.
Estado de seguridad El estado del proceso despus de actuar para eliminar el peligro, y que no conlleva
ningn dao significativo.
Fallo aleatorio Fallo que ocurre en un tiempo aleatorio y que resulta de uno o ms mecanismos de
degradacin. Los fallos aleatorios se pueden predecir de forma efectiva con estadsticas
y son la base para los requisitos de clculo basados en la probabilidad de fallo a
demanda para el nivel de integridad de seguridad. Ver Fallo sistemtico.
Fallo de modo comn Estrs aleatorio que causa el fallo de dos o ms componentes simultneamente y por el
mismo motivo. Difiere de un fallo sistemtico en el hecho de que es aleatorio y basado
en la probabilidad, pero no procede conforme a un patrn fijo, predecible y de causa y
efecto. Ver Fallo sistemtico.
Fallo peligroso Fallo de un componente en una funcin instrumentada de seguridad que evita que
dicha funcin alcance un estado de seguridad cuando as se requiere. Ver Modo de
fallo.
Fallo seguro Fallo que no tiene potencial para poner el sistema de seguridad en estado de peligro o
de anomala de funcionamiento. Situacin que se da cuando un sistema o componente
relacionado con la seguridad falla a la ejecucin, de manera que se requiere la
desactivacin del sistema o la activacin de la funcin instrumentada de seguridad
cuando no hay ningn peligro presente.
168
Fallo sistemtico Fallo que ocurre de manera predecible y determinista (no aleatoria) como resultado de
una causa concreta, y que solo puede eliminarse con la modificacin del diseo o del
proceso de fabricacin, procedimientos operacionales, documentacin u otros factores
relevantes. Dado que estos elementos no son predecibles desde un punto de vista
matemtico, el ciclo de vida de la seguridad incluye un gran nmero de procedimientos
para evitar que ocurran. Los procedimientos son ms rigurosos para sistemas y
componentes con un nivel de integridad de seguridad ms elevado. Este tipo de
errores no pueden evitarse con una redundancia simple.
Fiabilidad 1. Probabilidad de que un dispositivo lleve a cabo su objetivo de forma adecuada en el
periodo de tiempo especificado, bajo las condiciones de funcionamiento especificadas.
2. Probabilidad de que un componente, un elemento de equipo o de sistema lleve a
cabo su funcin prevista durante un periodo de tiempo especificado, generalmente las
horas de servicio, sin que se requiera mantenimiento correctivo.
FMECA Anlisis de modos de fallo, efectos y nivel de criticidad (Failure Modes Effects and
Criticality Analysis). Se trata de un anlisis detallado de los diferentes modos de fallo y
anlisis de criticidad para un equipo individual.
Fraccin de fallos
seguros
Ver SFF.
HAZOP Estudio de peligros y operabilidad (Hazards and operability study). Procedimiento de
anlisis de peligro relativo al proceso que inicialmente desarroll ICI en los aos 1970.
El mtodo est muy estructurado y divide el proceso en distintos nodos operativos e
investiga el comportamiento de las diferentes partes de cada nodo en base a un
conjunto de posibles condiciones de desviacin o palabras gua.
HFT Tolerancia a fallos de hardware (ver Tolerancia a fallos)
HSE (UK) Autoridad de Salud y Seguridad en el Reino Unido
IEC Comisin Electrotcnica Internacional. Organizacin mundial para fines de
normalizacin. La finalidad de la IEC es fomentar la cooperacin internacional para
todas las cuestiones que ataen a la normalizacin en los campos elctrico y
electrnico. Para tal fin y adems de otras actividades, la IEC publica normas
internacionales. Ver 61508 y 61511. Actividad de anlisis de impacto para determinar
el efecto que un cambio en una funcin o componente tendr con respecto a otras
funciones o componentes en el sistema as como en otros sistemas.
IEC 61508 La norma IEC que comprende la seguridad funcional de sistemas elctricos/
electrnicos/electrnicos programables relacionados con la seguridad. El principal
objetivo de la norma IEC 61508 es utilizar sistemas instrumentados de seguridad con
el fin de reducir el riesgo a un nivel tolerable siguiendo para ello los procedimientos
del ciclo de vida de seguridad generales de hardware y software, y respetando la
documentacin asociada. Desde que fue publicada en 1998 y 2000 viene siendo
utilizada principalmente por proveedores de equipos de seguridad con el fin de
demostrar que su equipo es apto para el uso en sistemas clasificados con nivel de
integridad de seguridad.
IEC 61511 La norma IEC para el uso de sistemas elctricos/electrnicos/electrnicos programables
relacionados con la seguridad en la industria de proceso. Al igual que la IEC 61508, se
centra en un conjunto de procesos relacionados con el ciclo de vida de la seguridad con
el fin de gestionar el riesgo del proceso. Fue publicada originalmente por la Comisin
Electrotcnica Internacional en 2003, y adoptada por los EE.UU. en 2004 como
ISA 84.00.01-2004. A diferencia de la IEC 61508, esta norma est orientada a los usuarios
de sistemas instrumentados de seguridad de la industria de proceso.
Definiciones
169
Incidente Resultado de un evento iniciador cuya propagacin no puede evitarse. El incidente
es ms bien una descripcin bsica de un accidente no deseado y ofrece informacin
mnima. El trmino incidente se usa simplemente para transmitir el hecho de que
el proceso ha perdido el control sobre el producto qumico u otra fuente de energa
potencial. Por tanto el potencial que causa dao se ha liberado, pero el resultado
perjudicial no ha adoptado una forma especfica.
Intervalo de prueba
de calidad
Intervalo de tiempo entre el mantenimiento del equipo.
IPL Capa o capas de proteccin independientes. Se refiere a otros mtodos de reduccin
de riesgos que son posibles para un proceso. Los ejemplos incluyen elementos como
discos de ruptura y vlvulas de alivio que reducen independientemente la posibilidad
de que el peligro pueda convertirse en un accidente total con un resultado perjudicial.
Para ser efectiva, cada capa debe especficamente evitar que el peligro en cuestin
cause dao, debe actuar independientemente de otras capas, presentar una
probabilidad razonable de funcionamiento y ser capaz de ser auditada una vez que la
planta est en funcionamiento con respecto a su rendimiento original esperado.
Lambda Tasa de fallo de un sistema. Ver Tasa de fallo.
LOPA Anlisis de capas de proteccin. Mtodo de anlisis de la posibilidad (frecuencia) de
un resultado perjudicial basado en una frecuencia de evento de iniciacin y en la
probabilidad de fallo de una serie de capas independientes de proteccin capaces de
evitar el resultado perjudicial.
Modo (continuo) Cuando las demandas de activacin de una funcin de seguridad (SIF) son frecuentes
en comparacin con el intervalo de prueba de las funciones instrumentadas de
seguridad (SIF). Ntese que otros sectores definen un modo de alta demanda
independiente, basado en si los diagnsticos son capaces de reducir la tasa de
accidentes. En cualquier caso, el modo continuo es aquel en el que la frecuencia de
un accidente no deseado se determina esencialmente por la frecuencia de un fallo
peligroso de funcin instrumentada de seguridad (SIF). Cuando falla la funcin
instrumentada de seguridad, la demanda de accin correspondiente tiene lugar en
un intervalo de tiempo ms corto que la prueba de funcin, por lo que no es relevante
hablar de su probabilidad de fallo. Bsicamente todos los fallos peligrosos de una
funcin instrumentada de seguridad (SIF) en funcionamiento de modo continuo sern
descubiertos por una demanda de proceso en lugar de una prueba de funcin. Ver
modo de demanda baja, modo de demanda elevada y SIL.
Modo (demanda baja) (tambin modo a demanda segn IEC 61511) cuando las demandas para activar la
funcin instrumentada de seguridad son poco frecuentes en comparacin con el
intervalo de prueba de las funciones instrumentadas de seguridad. La industria de
proceso define este modo cuando las demandas para activar las funciones
instrumentadas de seguridad son inferiores a uno de cada dos intervalos de prueba
de calidad. El modo de demanda baja de la operacin es el modo ms comn en las
industrias de procesos. Al definir el nivel de integridad de seguridad para el modo de
demanda baja, el rendimiento de una funcin instrumentada de seguridad (SIF) se
mide en trminos de promedio de probabilidad de fallo a demanda (PFDavg). En este
modo a demanda, la frecuencia del evento iniciador, modificada por la probabilidad de
fallo a demanda de las funciones instrumentadas de seguridad (SIF) por la tasa de
demanda y cualquier capa de proteccin en la rama descendente determinan la
frecuencia de accidentes no deseados.
170
Modo (demanda
elevada)
(tambin modo continuo segn IEC 61511) Similar al modo continuo salvo que a los
diagnsticos automticos se les asigna una contabilizacin especfica. La divisin entre
demanda elevada y modo continuo se aplica cuando los diagnsticos automticos son
ejecutados muchas veces ms rpido que la tasa de demanda de la funcin de
seguridad. Si los diagnsticos son ms lentos que sta, entonces no se contabilizan y se
aplica el modo continuo.
Modos de fallo Manera en la que falla un dispositivo. Estas maneras generalmente estn agrupadas
en uno de los cuatro modos de fallo: seguro detectado (Safe Detected, SD), peligroso
detectado (Dangerous Detected, DD), seguro no detectado (Safe Undetected, SU) y
peligroso no detectado (Dangerous Undetected, DU) segn ISA TR84.0.02.
MTTR Tiempo medio hasta la reparacin. Tiempo promedio entre la ocurrencia de un fallo y la
finalizacin de la reparacin de dicho fallo. Incluye el tiempo necesario para detectar el
fallo, iniciar la reparacin y completar completamente la reparacin.
Ocupacin Medida de probabilidad de que la zona efecto de un accidente cuente con uno o ms
receptores del efecto entre el personal. Esta probabilidad debe determinarse con la
aplicacin del enfoque terico y prctico del personal especfico de la planta.
P&ID Diagrama de tubos e instrumentacin. Muestra la interconexin del equipo del proceso
y la instrumentacin utilizada para controlar el proceso. En la industria de proceso, un
conjunto estndar de smbolos que se utiliza para preparar diagramas de proceso. Los
smbolos de instrumentos utilizados en estos diagramas estn basados generalmente
en la norma S5 de la ISA (Instrument Society of America). 1. 2. El diagrama esquemtico
principal utilizado para configurar la instalacin de un control de proceso.
Peligro Potencial de daos.
PFDavg Promedio de probabilidad de fallo a demanda. Es la probabilidad de que un sistema
falle peligrosamente y no sea capaz de ejecutar la funcin de seguridad cuando se
requiera. La probabilidad de fallo a demanda (PFD) puede determinarse como
probabilidad promedio o como probabilidad mxima a lo largo de un periodo de
tiempo. IEC 61508/61511 e ISA 84.01 usan PFDavg como mtrica de sistema sobre la
que se define el SIL.
Posibilidad Frecuencia de un evento perjudicial expresado habitualmente en eventos por ao o
eventos por millones de horas. Uno de los dos componentes utilizados para definir un
riesgo. Ntese que difiere de la definicin inglesa tradicional que significa probabilidad.
Probado en uso Base para utilizar un componente o un sistema como parte de un nivel de integridad de
seguridad (SIL) clasificado como sistema instrumentado de seguridad (SIS) que no ha
sido diseado de conformidad con IEC 61508. Requiere suficientes horas operacionales
del producto, historial de revisiones, sistemas de notificacin de fallos y datos de fallo
de campo para determinar si hay evidencia de fallos de diseo sistemtico en un
producto. IEC 61508 proporciona niveles de historial operacional requeridos para cada
nivel de integridad de seguridad.
Proteccin en caso de
fallos (o mejor
desenergizar a
disparo)
Caracterstica de un dispositivo en particular que hace que el dispositivo pase a un
estado seguro cuando pierde energa elctrica o neumtica.
Definiciones
171
Prueba de calidad Prueba de los componentes del sistema de seguridad para detectar cualquier fallo no
detectado por los diagnsticos automticos en lnea, es decir, fallos peligrosos, fallos de
diagnstico, fallos de parmetros seguidos por la reparacin de dichos fallos hasta
conseguir el equivalente a un estado nuevo. La prueba de calidad es una parte vital del
ciclo de vida de seguridad y es crtica para asegurar que un sistema consigue el nivel de
integridad de seguridad requerido a lo largo del ciclo de vida de seguridad.
Redundancia Uso de mltiples elementos o sistemas para realizar la misma funcin. La redundancia
puede implementarse con elementos idnticos (redundancia idntica) o con diversos
elementos (redundancia diversa). Redundancia primaria utilizada para mejorar la
fiabilidad o disponibilidad.
Restricciones
arquitectnicas
Limitaciones que se imponen en el hardware seleccionado para implementar una
funcin instrumentada de seguridad independientemente del rendimiento
calculado para un subsistema. Las restricciones arquitectnicas se especifican (en
IEC 61508-2-Tabla 2 y en IEC 61511 Tabla 5) conforme al SIL requerido del subsistema,
tipo de componentes utilizados y fraccin de fallos seguros de los componentes del
subsistema. Los componentes tipo A son dispositivos simples que no incorporan
microprocesadores, y los dispositivos tipo B son dispositivos complejos como los que
incorporan microprocesadores. Ver Tolerancia a fallos.
RRF Factor de reduccin de riesgos. Lo contrario de promedio de probabilidad de fallo a
demanda (PFDavg)
Seguridad funcional Ausencia de riesgo inaceptable que se consigue a travs del ciclo de vida de seguridad.
Ver IEC 61508, IEC 65111, ciclo de vida de seguridad, y riesgo tolerable.
SFF Fraccin de fallos seguros. Fraccin de la tasa de fallos general de un dispositivo que da
lugar a un fallo seguro o a un fallo no seguro diagnosticado (detectado). La fraccin de
fallos seguros incluye los fallos peligrosos detectables cuando dichos fallos son
anunciados y existen procedimientos para reparacin o desactivacin.
SIF Funcin instrumentada de seguridad. Conjunto de equipamiento previsto para reducir
el riesgo causado por un peligro especfico (un bucle de seguridad). Su finalidad es
1. Conseguir automticamente que un proceso industrial vuelva a ser seguro cuando se
vulneran las condiciones especificadas; 2. Permitir que un proceso avance de manera
segura cuando las condiciones especificadas lo permiten (funciones permisivas); o
3. Adoptar medidas para mitigar las consecuencias de un peligro industrial. Incluye
elementos que detectan que un accidente es inminente, deciden adoptar medidas y
a continuacin llevan a cabo las acciones necesarias para conseguir que el proceso
vuelva a ser seguro. Su habilidad para detectar, decidir y actuar es designada por el
nivel de integridad de seguridad (SIL) de la funcin. Ver SIL.
SIL Nivel de integridad de seguridad. Objetivo cuantitativo para medir el nivel de
rendimiento necesario para que la funcin de seguridad consiga un riesgo tolerable
para un peligro en el proceso. Al definir un nivel de SIL especfico para el proceso debe
tomarse como base la evaluacin de la posibilidad de que ocurra un incidente y las
consecuencias de dicho incidente. La siguiente tabla describe el SIL para diferentes
modos de funcionamiento.
SIS Sistema instrumentado de seguridad. Implementacin de una o ms funciones
instrumentadas de seguridad. Un sistema instrumentado de seguridad (SIS) consta
de cualquier combinacin de sensores, dispositivos de resolucin lgica y elementos
finales. Un sistema instrumentado de seguridad (SIS) suele tener un nmero de
funciones de seguridad con distintos niveles de integridad de seguridad (SIL), as que
es mejor evitar describirlo como un SIL individual. Ver SIF.
172
Sistema bsico de
control de proceso
Sistema que responde a seales de entrada procedentes del proceso, equipo asociado
y/o un operario, y que genera seales de salida que hacen que el proceso y el equipo
asociado funcionen de una manera determinada. El sistema bsico de control de
proceso (BPCS) no puede ejecutar ninguna funcin instrumentada de seguridad
clasificada con un nivel de integridad de seguridad de 1 o mayor a menos que cumpla
los requisitos probados en uso. Ver Probado en uso.
Tasa de fallos Nmero de fallos por unidad de tiempo de un elemento del equipo. Por regla general
se asume que es un valor constante. Se puede desglosar en varias categoras como:
seguro y peligroso, detectado y no detectado e independiente/normal y causa comn.
Debe prestarse atencin a fin de garantizar que la prueba de funcionamiento y el
desgaste se aborden convenientemente para que el supuesto de la tasa de fallo
constante sea vlido.
Tolerancia a fallos Capacidad de una unidad funcional de continuar ejecutando una funcin requerida en
presencia de fallos o errores aleatorios. Por ejemplo, un sistema de voto 1oo2 puede
tolerar un fallo de componente aleatorio y seguir ejecutando la funcin. La tolerancia
a fallos es uno de los requisitos especficos para el nivel de integridad de seguridad
(SIL) y figura descrita en ms detalle en IEC 61508 Parte 2, Tablas 2 y 3 y en IEC 61511
(ISA 84.01 2004) en la Clusula 11.4
Verificacin del SIL Proceso de calcular la probabilidad promedio de fallo a demanda (o la probabilidad
de fallo por hora) y las restricciones arquitectnicas para un diseo de la funcin de
seguridad con el fin de ver si cumple el SIL requerido.
Abreviaturas
173
Abreviaturas
Tasa de fallo, relacin del nmero total de fallos que ocurren en un perodo determinado
de tiempo
D Tasa de fallo de fallos peligrosos
DD Tasa de fallo de fallos peligrosos detectados mediante diagnsticos
DU Tasa de fallo de fallos peligrosos no detectados mediante diagnsticos
S Tasa de fallo de fallos de seguridad
1oo1 Votacin 1 de 1 (Simplex)
1oo2 1 de 2
AI Entrada analgica (Analogue Input)
ANSI Instituto Nacional Americano de Normalizacin (American National Standards Institute)
ALARP Tan bajo como resulte razonablemente practicable (As Low As Reasonably Practicable)
BMS Sistema de gestin de quemadores (Burner Management System)
BPCS Sistema bsico de control de proceso (Basic Process Control System)
C&E Causa y efecto (Cause and Effect)
CBA Anlisis de costes y beneficios (Cost Benefit Analysis)
CCF Fallo por causas comunes
COMAH Control de principales peligros de accidente (Control Of Major Accident Hazards)
DCS Sistema de control distribuido (Distributed Control System)
DD Peligroso detectado (Dangerous Detected)
DI Entrada digital (Digital Input)
DO Salida digital (Digital Output)
DU Peligroso no detectado
E/E/PES Sistema elctrico/electrnico/electrnico programable (Electrical/Electronic/Programmable
Electronic System)
ESD Cierre de emergencia (Emergency Shutdown)
ESDV Vlvula de cierre de emergencia (Emergency Shutdown Valve)
F y G Fuego y gas (Fire and Gas)
F y M Funcionamiento y mantenimiento
f/h Fallos por hora (Failures per hour)
Fallo peligroso Modo de fallo que tiene el potencial de poner el sistema de seguridad en un estado de
peligro o de fallo de funcionamiento
Fallo seguro Modo de fallo que no tiene potencial para poner el sistema de seguridad en un estado de
peligro o de fallo de funcionamiento.
FC Fallo de cierre (Fail Closed)
FDS Especificacin de diseo funcional (Functional Design Specification)
FMECA Modos de fallo, anlisis de efectos y criticidad (Failure Modes, Effects and Criticality Analysis)
FO Fallo de apertura (Fail Open)
FPL Lenguaje programable fijo (Fixed Programmable Language)
FSC Capacidad de seguridad funcional (Functional Safety Capability)
FVL Lenguaje de variabilidad completa (Full Variability Language)
HAZAN Anlisis de peligros (Hazard Analysis)
HASAW Ley de Salud y Seguridad en el Trabajo (Health and Safety at Work Act (HSW))
HAZOP Estudio de peligros y operabilidad (Hazard and Operability Study)
HFT Tolerancia a fallos de hardware (Hardware Fault Tolerance)
HIPPS Sistema de proteccin de presin de alta integridad (High Integrity Pressure Protection
System)
HSE Autoridad de Salud y Seguridad en el Reino Unido (Health and Safety Executive)
I/O Entrada/salida (Input/Output)
IEC Comisin Electrotcnica Internacional (International Electrotechnical Commission)
IPL Capa de proteccin independiente (Independent Protection Layer)
ISA Sociedad Internacional de Automatizacin (International Society of Automation)
LOPA Anlisis de capas de proteccin (Layer of Protection Analysis)
LVL Lenguaje de variabilidad limitada (Limited Variability Language)
MDT Tiempo improductivo medio (Mean Down Time)
MooN M de N (caso general)
174
MTBF Tiempo medio entre fallos (Mean Time Between Failures)
MTR Riesgo mximo tolerable (Maximum Tolerable Risk)
MTTF Tiempo medio hasta el fallo (Mean Time To Failure)
MTTR Tiempo medio de reparacin (Mean Time To Repair)
No RS No relacionado con la seguridad
OPSI Oficina de Informacin del Sector Pblico (Office of Public Sector Information)
P&ID Diagrama de tubos e instrumentacin (Piping and Instrumentation Diagram)
PA Por ao (Per Annum)
PE Electrnica programable (Programmable Electronic)
PFD Probabilidad de fallo a demanda (Probability of Failure on Demand)
PFH Probabilidad de fallo por hora (Probability of Failure per Hour)
PSD Cierre del proceso (Process Shutdown)
PT Transmisor de presin (Pressure Transmitter)
PTI Intervalo de prueba de calidad (Proof Test Interval)
QMS Sistema de gestin de calidad (Quality Management System)
R2P2 Reducir riesgos, proteger a personas (Reducing Risk Protecting People)
RBD Diagrama de bloques de fiabilidad (Reliability Block Diagram)
RRF Factor de reduccin de riesgos (Risk Reduction Factor)
S Seguridad (Safe)
SA Autoridad de seguridad (Safety Authority)
SFF Fraccin de fallos seguros (Safe Failure Fraction)
SIF Funcin instrumentada de seguridad (Safety Instrumented Function)
SIL Nivel de integridad de seguridad (Safety Integrity Level)
SIS Sistema instrumentado de seguridad (Safety Instrumented System)
SOV Vlvula accionada por solenoide (Solenoid Operated Valve)
SRS Especificacin de requisitos de seguridad (Safety Requirements Specification)
STR Tasa de activaciones errneas (Spurious Trip Rate)
TMR Triple modular redundante (Triple Modular Redundant)
Tp Intervalo de prueba de calidad (Proof Test Interval)
175
176
M
A
N
U
A
L

D
E

S
E
G
U
R
I
D
A
D

D
E

P
R
O
C
E
S
O
S

1
Seguridad funcional en
la industria de proceso
Principios, normas e implementacin
Publicacin: SAFEBK-RM003A-ES-P Marzo de 2013 2013 Rockwell Automation, Inc. Todos los derechos reservados. M
A
N
U
A
L

D
E

S
E
G
U
R
I
D
A
D

D
E

P
R
O
C
E
S
O
S

1

S
e
g
u
r
i
d
a
d

f
u
n
c
i
o
n
a
l
e
n

l
a

i
n
d
u
s
t
r
i
a

d
e

p
r
o
c
e
s
o
s
/
P
r
i
n
c
i
p
i
o
s
,

n
o
r
m
a
s

e

i
m
p
l
e
m
e
n
t
a
c
i
n
Tambin disponible:
Manual de seguridad 4 Sistemas de control relacionados
con la seguridad de maquinaria.
Esta prctica gua trata los principios relativos a la seguridad de
la maquinaria, adems de la legislacin, la teora y la prctica.
Nmero de publicacin: SAFEBK-RM002B
Comunquese con su representante de Rockwell Automation
para obtener una copia de esta gua, o visite
www.rockwellautomation.com

Seguridad Funcional en La Industria de Procesos

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Seguridad Funcional en La Industria de Procesos

Caricato da

Copyright:

Formati disponibili

M

Figura 43: Sistema 3oo4

Potrebbero piacerti anche