METODO CUANTITATIVO PARA EL CÁLCULO DE LA PROBABILIDAD DE 

FATALIDAD Y EL NIVEL SIL DE UN SISTEMA INSTRUMENTADO DE SEGURIDAD 
FSE. Ing. Raúl R. Roque Y. 

Santa Cruz ‐ Bolivia 

Resumen 

Los sistemas instrumentados de seguridad (SIS) son en la mayoría de los casos funciones de protección, las 
cuales  se  accionan  cuando  surgen    condiciones  peligrosas  en  el  proceso,  previniendo  o  en  algunos  casos 
mitigando  potenciales  consecuencias  catastróficas.  Las  consecuencias  catastróficas  pueden  ser  la  pérdida 
de  vidas,  daño  al  medio  ambiente  o  perdida  de  inventario  y  de  infraestructura,  entonces  los  sistemas 
instrumentados de seguridad son sistemas  que deben cumplir requerimientos estrictos de confiabilidad o 
fiabilidad. 

El análisis de árbol de fallas (o FTA= Fault Tree Analysis) es una metodología que analiza un sistema para 
determinar su confiabilidad. Debido a su natural potencia y flexibilidad, FTA es un método cuantitativo ideal 
para analizar sistemas instrumentados de seguridad para determinar niveles de confiabilidad, tales como el 
nivel de integridad de seguridad o SIL, la Probabilidad de falla en demanda (PFD).  

1.‐ Introducción 

Los  procesos  o  sistemas  críticos  aparecen  en  muchas  y  diferentes  industrias  tales  como,  la  industria  nuclear, 
química, petróleos, etc. Cuando estos sistemas no son apropiadamente controlados o mantenidos pueden dejar de 
funcionar y en tal caso llevan al proceso bajo control a un riesgo significativo para la seguridad de personas, medio 
ambiente  y  financiero.  Ahora  los  sistemas  instrumentados  de  seguridad  o  SIS  como  se  los  conoce  son  sistemas 
diseñados para reducir el riesgo de procesos o sistemas críticos, cuando existen desviaciones o malfuncionamiento, 
entonces el SIS lleva a un estado seguro dicho proceso bajo control. 

Un SIS está compuesto por tres subsistemas, subsistema de sensado, subsistema de resolvedor lógico y subsistema 
de actuación. Ahora el subsistema de sensado monitorea el proceso crítico examinando condiciones 
potencialmente inseguras, el resolvedor lógico interpreta las entradas del subsistema de sensado y ejecuta 
determinadas acciones mediante el subsistema de actuación. Este conjunto de hardware y software con 
características bien definidas se denominad funciones instrumentadas de seguridad. 

Fig. 1  Sistema instrumentado de Seguridad SIS 

 
2.‐ Determinación de la integridad de la seguridad 

Dentro  del  ciclo  de  vida  de  un  sistema  instrumentado  de  seguridad,  una  de  las  tareas  más  importantes  en  el 
desarrollo de las Especificaciones de los requerimientos de seguridad es especificar la integridad de la seguridad o 
SIL  de  cada  función  instrumentada  de  seguridad.  El  estándar  IEC‐61508‐1  (pag  33)  proporciona  la  tabla  de 
asignación SIL en funciona de la Probabilidad de falla en demanda. Esencialmente la tabla SIL proporciona una clase 
de integridad de seguridad para satisfacer un rango de valores de la probabilidad de falla en demanda promedio 
PFDavg.   

Tabla1. Niveles de integridad de seguridad SIL según IEC‐611508 y ANSI ISA 84.01 

El estándar ANSI/ISA 84.01 es similar a la tabla IEC 61508, con la diferencia que la primera define hasta SIL‐4, en 
cambio la segunda solo hasta SIL 3. Se ve que  esta última tabla incluye el rango de disponibilidad de la seguridad.  

Ahora un SIS con nivel SIL 2 es  más confiable que un SIL 1 y un SIL 3 es mucho más confiable que SIL 2. Una vez  
que  se  tiene  el  nivel  SIL  del  sistema  instrumentado  de  seguridad  para  el  proceso,  conocemos  que  calidad, 
complejidad y costo nos demanda el obtener lo solicitado. Debe quedar claro que a partir de esto conoceremos, si 
podemos  calcular  la  reducción  de  riesgos  como  un  requerimiento  de  probabilidad  de  falla  en  demanda  o  como 
disponibilidad  segura,    inmediatamente  vamos  a  la  tabla  1  y  se  define  el  nivel  SIL  que  necesitamos  para  nuestro 
sistema de seguridad. El costo de un SIS se incrementará gradualmente con el valor del nivel de integridad de la 
seguridad  SIL  que  requiera  cumplir,  como  ejemplo  si  se  adquiere  un  resolvedor  lógico  que  alcanza  nivel  SIL  3, 
entonces  el  costo  de  los  sensores,  actuadores  y  el  trabajo  de  ingeniería  será  fuertemente  influenciado  con  este 
nivel de integridad. 

Es importante entonces que se disponga de un método consistente para arribar a valor SIL para cualquier 
aplicación de la industria de procesos. En ese sentido hay al menos 3 métodos reconocidos para hacer esto y estos 
han sido ampliamente documentados en los últimos años hasta ser parte de los estándares de la IEC y la ISA. 

La razón por la cual existe esta diversidad en los métodos de determinación de SIL se debe a las dificultades de 
arribar a la estimación del riesgo que sea confiable y creíble considerando la amplia variedad de situaciones a 
encarar en la industria de procesos. Mientras que una evaluación de riesgo tipo cuantitativa es posible que carezca 
de valor y no ser válido si los datos disponibles sobre las tasas de falla  (fault rate) son muy reducidos o están 
sujetos a tolerancias demasiado grandes. Por otro lado un método cualitativo permite a las personas utilizar 
elementos de juzgamiento y de experiencia para la evaluación del riesgo sin tener que utilizar valores numéricos 
que son difíciles de justificar en la mayoría de los casos. 

3.‐ Métodos para la determinación del SIL 

Ya hemos visto que los métodos para la determinación del SIL de dividen en tipos cualitativos y cuantitativos. El 
estándar IEC‐61508 parte 5 explica en términos generales un método cualitativo y dos de tipo cuantitativo, que son 
los siguientes: 

 Método cuantitativo utilizando factores de reducción de riesgo objetivo. 
 Método cualitativo usando gráficos de riesgos. 
 Método cualitativo utilizando matrices de severidad de eventos peligrosos. 
Para el sector de la industria de procesos el estándar IEC 61511 proporciona detalles más específicos sobre la 
determinación del SIL y son los siguientes: 

 Método cuantitativo utilizando factores de reducción de riesgo objetivo 
 Método cualitativo utilizando grafico de riesgos con variaciones en el uso de conceptos donde las  
consecuencias son daños al medio ambiente o pérdida de activos. 
 Método cualitativo utilizando matrices de capas de seguridad 
 Método cualitativo/cuantitativo utilizando análisis de capas de protección (LOPA) 

Debemos  tener mucho cuidado a la hora de afrontar la determinación del SIL  de un proyecto, así,  es muy 
recomendable considerar el material descrito en la IEC 61508  parte 5 o en su defecto utilizar la IEC 61511 parte 3. 

Métodos cuantitativos 

Vamos inicialmente a recordar el concepto de reducción de riesgos aplicando el diagrama propuesto por el 
estándar IEC 61508, en el cual se muestra gráficamente el procedimiento para la determinación de la reducción de 
riesgos. 

 
Fig. 2 Reducción de Riesgo IEC‐61508 

El estándar IEC61508‐5 explica que las capas de protección son efectivamente funciones separadas  de reducción 
de riesgo,  este modelo se muestra en la figura 

Según IEC61508‐5‐A.5.1 los riesgos indicados en la figura 2 están definidos como: 

 Riesgo  del  EUC:  indica  el  riesgo  existente  a  un  evento  peligroso  incluyendo  el  sistema  de  control  y  los 
factores humanos. 
 Riesgo Tolerable: Basado en lo que se considera aceptable a la sociedad por ejemplo 
 Riesgo  Residual:  Es  el  riesgo  remanente  resultado  posterior  a  la  reducción  de  riesgos,  en  este  caso  un 
sistema instrumentado de seguridad SIS u otra tecnología relacionada a la seguridad puede ser tomado en 
cuenta. 

Y depende de la cantidad  de la reducción de riesgo que se requiere posterior a la reducción de riesgos realizada 
por  diferentes  dispositivos.  La  medida  de  la  cantidad  de  reducción  de  riesgo  proporcionada  por  un  SIS  es  el  SIL 
objetivo y se ilustra en el siguiente diagrama del estándar IEC‐61508. Nótese que este diagrama define que el SIL es 
aplicable a todas las facilidades de reducción de riesgo, que generalmente es un término; sin embargo cuando es 
aplicable a un SIS se convierte en medida del desempeño del sistema. El principio es ilustrado en la siguiente figura 
donde la capa de protección proporcionada por un SIS se ve que es cuantificada como un factor de reducción de 
riesgo FRR, el cual puede convertir a una probabilidad de falla en demanda promedio PFDavg  a una clasificación  
referenciada en la tabla más arriba definida. 
 

Fnp FSIS
Fccpe

Fig. 3  Metodología de determinación de FRR 

Método de Análisis de árboles de Falla  FTA 

El  FTA,  es  un  análisis  tipo  deductivo,  el  cual  se  enfoca  sobre  un  evento  particular  no  deseado  y  proporciona  un 
método para determinar las casusas de este evento. En el cual un peligro o falla catastrófica constituye el evento 
tope. El evento tope es conectado hacia eventos básico por medio de compuertas lógicas intermedias, las cuales 
combinan  las  fallas  u  ocurrencias  que  llevan  al  evento  tope.  De  esta  manera  un  árbol  de  fallas  es  un    análisis 
cualitativo.  Los  eventos  básicos  típicamente  representan  fallas  de  componentes  u  otros  peligros  o  evento  que 
pueden  contribuir  al  evento  tope.  Si  se  conoce  los  valores  de  probabilidad  para  estos  eventos  básicos  entonces 
tanto las leyes del algebra de Boole como de probabilidades pueden ser aplicadas para determinar el valor de la 
probabilidad para el evento tope, de esta manera se tiene un enfoque de análisis cuantitativo. 

El  método  inicia  con  un  evento  tope  que  es  usualmente  un  evento  peligroso  relacionado,  por  ejemplo  una 
explosión.  El árbol se construye desarrollando ramas de abajo hacia arriba hasta llegar al evento tope, también se 
puede  hacer  de izquierda  a derecha. Los operadores AND  y OR se utilizan de manera similar a diagrama lógicos 
binarios y su simbología se muestra  en la figura siguiente: 

AND OR

Fig. 4  Simbología para construir Arboles de falla 

Las compuertas lógicas permiten contribuir con las causas del evento tope y establecen una salida de acuerdo a las 
reglas simples de las compuertas AND y OR, tal como lo muestra la figura 5, donde podemos identificar un evento 
tope que es la Explosión, del cual podemos obtener la frecuencia de ocurrencia del mismo. Ahora este evento será 
causado cuando se cumpla dos condiciones, descarga de gas inflamable y cuando haya ocurrencia de una falla 
eléctrica que libere una chispa o que en el área se desarrollen trabajos de soldadura con arco por ejemplo. La 
frecuencia con se descarga un gas inflamable tiene un valor  F1 , por otro lado la probabilidad de ocurrencia de la 
existencia de una fuente de ignición es dada por  P3 , esta última es resultado de la probabilidad de existencia de 
una falla   P1 eléctrica o soldadura  P2 .  
 F  F1  P3

P3 F1

P1 P2

Fig. 5 Ejemplo de una FTA 

Funciones de las compuertas 

La compuerta AND es utilizada para definir un conjunto de condiciones o causas y todos los eventos deben estar 
presentes para su ocurrencia. El establecimiento de estos eventos sobre una compuerta AND deben ser 
condiciones suficientes y necesarias. Causa necesario, significa que se requiere cada causa enumerada o 
mencionada en el conjunto para que el evento pueda ocurrir. Si alguna de las causas es omitida de todas las 
especificadas entonces el evento no ocurrer. Causa suficiente, significa que el evento podría ocurrir si el conjunto 
de causas están presentes ninguna otra causa o condición es necesaria. 

La compuerta OR, define un conjunto de eventos en los que cualquiera de los eventos en el conjunto definido por si 
mismos puede hacer que el evento ocurra.  

El conjunto de eventos debajo de la compuerta deben ser especificados como suficientes. La información 
relacionada a cada evento puede ser descrita como sigue:  

P = Probabilidad de la ocurrencia del evento 

f= frecuencia del evento 

fxt = duración del evento 

Por lo tanto de los anteriores parámetros se obtienen las siguientes reglas combinacionales:  

Entradas Compuerta Operacion Salida

P1 , P2 P1  P2 P

P1 , f1 AND P1  f1 f

( f1  t1 ), ( f 2  t2 ) ( f1  f 2 )(t1  t2 ) f

P1 , P2 P1  P2 P
OR
f1 , f 2 f1  f 2 f
 
Tabla 2. Operación y valoración 

Las reglas combinacionales permiten conocer la información relacionada a cada evento individual a ser combinado 
de tal manera de predecir la frecuencia del evento peligroso final y cada evento intermedio. 

Símbolos de evento 

Los símbolos utilizados para el análisis de árboles de falla se muestran en la figura 6. Estos proporcionan un medio 
para clasificar los eventos: 
Un evento básico es el límite para el cual la lógica de falla puede resolverse. Un evento básico debe tener definición 
suficiente para determinar una apropiada tasa de falla. Un evento no desarrollado es aquel que puede ser dividido 
en subcomponentes, sin embargo para propósitos de modelado no se descomponen más. Como ejemplo de un 
evento no desarrollado puede ser la falla de suministro de aire de instrumentos. Un símbolo de evento no 
desarrollado y la información de la tasa de falla pueden ser utilizados para modelar la alimentación de aire de 
instrumento en lugar de todos sus componentes propios. El FTA trata los eventos no desarrollados similarmente a 
los eventos básicos. Los rectángulos son utilizados para declarar eventos presentes en una compuerta. Las 
compuertas de transferencia son utilizadas para relacionar múltiples arboles de falla.   

Evento
Evento basico con
representado por
datos sificientes
una compuerta

Evento no Transferencia a
desarrollado otro arbol de fallas
 
Fig.6  Símbolos de eventos 

En el modelado de los SIS los elementos básicos serán típicamente las fallas de sensores y/o la ocurrencia de un 
evento iniciador en la operación del proceso.  

4.‐ Ejemplo de diseño 

Vamos a utilizar el ejemplo desarrollado en [2] donde se realiza el análisis de peligro de un proceso, ante un nivel 
alto en un tanque buffer por el cual circula una sustancia acida. Por otro lado se debe tomar en cuenta que la tasa 
de fatalidades por accidente tolerable según la ley es de 0.2 FAR.  

La figura 7, muestra un proceso en el cual un líquido inflamable es extraído de otro proceso y almacenado en un 
tanque buffer, al cual a su vez es bombeado hacia otra etapa de tratamiento. El sistema de control de proceso 
dispone de un lazo de control de nivel para mantener el tanque al 50%  de su capacidad, de lo contrario puede 
llegar a existir un peligro si  este llegara a llenarse completamente. El tanque debe tener una válvula de alivio de 
presión en caso de sobrepresión, sin embargo si existe un escape por la misma esto podría ocasionar una nube de 
vapor muy peligrosa. Las razones por las cuales puede fallar el lazo de control de nivel son las siguientes: 

 Válvula de alimentación de tanque atascada en abierta (suciedad o encastre) 
 Transmisor de nivel en falla 
 Lazo de control de nivel en modo manual con  válvula de alimentación abierta 
 Fuga por la válvula de control con la bomba de descarga apagada. 

Fig.7  Proceso bajo control 
Inicialmente realizamos el análisis de árbol de fallas del Sistema dibujando un esquema identificando la causa de un 
peligro y la estimación de la consecuencia de una posible fatalidad con una tasa estimada de accidente fatal.  

Según información del estudio de riesgos tenemos los siguientes valores de frecuencia y probabilidad de ocurrencia 
de eventos iniciadores. 

 Falla en el control de Nivel LC‐1:  0.2/año 
 Error en la operación de la válvula LV‐1: 0.8/año 
 Probabilidad de que una nube inflamable no se disperse:  0.3 
 Probabilidad de que el motor de la bomba produzca una chispa: 0.05 
 Probabilidad de que un operador este ubicado en el área del proceso: 0.2 

Fig. 8 FTA para el equipo bajo control 

La probabilidad de ocurrencia del sistema sin protección  Fnp se determina resolviendo el árbol de fallas, esto es: 

 fat 
Fnp  (0.2  0.8)  0.3  0.05  0.2  0.003  ; 
año 
Lo que significa que existirán 3 fatalidades por cada 1000 años, o dicho de otra manera 1 fatalidad cada 330 años.  
Este valor puede ser aceptable para unos y no aceptable para otros dependerá del grado de responsabilidad de la 
compañía con la sociedad. En este caso la sociedad impone un tasa de fatalidad aceptable  Ft de : 

0.2  fat  0.2  fat   h   fat 

Fnp  0.2FAR  8    (Tiempo_exposicion)  8   10000    0.00002  ; 
10  h  10  h  año  año 
Adición de Capas  externas de protección y/o de mitigación 

Una vez determinado el árbol de falla del proceso sin protección alguna, es tiempo de adicionar capas de 
protección externas de manera de reducir el riesgo. Estas capas externas pueden ser previas o denominadas de 
control  y de mitigación o denominadas también de recuperación.  

Se inicia con la adición de capas que no son instrumentadas, por ejemplo se determina la construcción de un muro 
alrededor del equipo bajo control de modo que la probabilidad de que el operador se encuentre cerca de la 
explosión se reduzca sustancialmente. Hay que recordar que esta acción no reduce el evento peligroso pero si 
reduce la frecuencia de riesgo de una fatalidad. 

Desarrollamos el árbol de fallas agregando esta capa y asignándole por ejemplo un valor de 10 a la reducción de 
riesgo de esta; entonces se tiene: 
  

Fig. 9 FTA para el equipo bajo control y una capa externa no instrumentada 

Entonces la frecuencia de fatalidad del proceso considerando una capa de protección externa  Fccpe  es dada: 

 fat 
Fccpe  (0.2  0.8)  0.3  0.05  0.02  0.0003  ; 
año 

Con la adición de un muro de contención, se ha reducido la  frecuencia de un accidente cada  3333 años. 

Calculo del nivel SIL del SIS requerido 

Una vez que se ha incluido una capa de protección externa y vemos que la probabilidad de fatalidad por año se ha 
reducido,  toca  determinar  con  la  información  hasta  ahora  aquí  determinada,  el  valor  que  el  SIS  agrega  para  la 
reducción del riesgo, de manera de llegar a la tasa de fatalidades aceptable que en este caso está definido como 
0.2FAR. 

Para determinar la cantidad de riesgo que debe reducir el SIS se utiliza la siguiente relación descrita en  [2] y en [3] 
la cual define el factor de reducción de riesgo del SIS como: 

Fccpe
FRRSIS  ; 
Ft

En este caso reemplazamos: 

Fccpe 0.0003
FRRSIS    15 ; 
Ft 0.00002

Convirtiendo este valor en probabilidad de falla en demanda  PFDavg : 

1 1
PFDavg    6.66 102 ; 
FRRSIS 15

Utilizando la tabla 1 de la IEC se obtiene que el SIS debe disponer de SIL 1 como nivel objetivo de integridad. 
  

Fig. 10 Equipo bajo control y su SIS 

El valor de la probabilidad para el SIS es 0.066, sin embargo se toma el valor de la probabilidad 0.07 con un criterio 
más conservador. Realizando el árbol de fallas con estas dos capas de protección tenemos: 

Fig. 11 FTA Equipo bajo control y su SIS 

Realizando las operaciones matemáticas de árbol de fallas tenemos que : 

 fat 
Fnp  0.07  (0.2  0.8)  0.3  0.05  0.2  0.00002  ; 
año 

 fat 
Fnp  0.00002   0.2FAR ; 
año 

Una vez determinado el nivel SIL de la función instrumentada del SIS, en la etapa de diseño del hardware se debe 
garantizar que el conjunto , elementos sensores, elementos actuadores y resolvedor lógico mediante un calculo de 
probabilidad de falla en demanda sea menor o igual al calculado para llegar al nivel de riesgo tolerable exigido. La 
verificación y el juzgamiento de la veracidad del nivel SIL obtenido por la función implementada en el SIS debe ser 
obtenida de los valores de probabilidad y confiabilidad que cada producto utilizad para tal fin. No se puede obtener 
el valor de SIL mediante ensayos, cada fabricante propone al mercado sus productos con características las cuales 
deben ser evaluadas a la hora de su adquisición y su puesta en marcha.  

5.‐ Conclusiones 

Como se pudo ver el método de análisis de árbol de falla FTA es un método bastante eficaz para abordar temas 
relacionados a análisis de confiabilidad, probabilidad y cálculo del nivel SIL de una función instrumentada. 

Como se indicó más arriba el tema de la verificación del nivel SIL es muy importante dentro del ciclo de vida de la 
seguridad y esta debe ser ejecutada a la hora de realizar el diseño de la función instrumentada, de manera que 
cuando sea necesario verificar este nivel SIL mediante documentación se afirme que la función instrumentada 
implementada cumple el nivel de confiabilidad requerido por las especificaciones de los requerimientos de la 
seguridad que fueron obtenidos de la etapa de diseño. 

6.‐ Bibliografía 

[1]  Macdonald D., “Practical insdustrial Safety: Risk assessment ans shutdown systems” Elsevier Sciencie, 
January 2004. 
[2]  Macdonald D., “ Pratical HAZOPs, trips and alarms” , ELSEVIRE, First edition 2004 
[3]  Creus A., “Fiabilidad y Seguridad”, Marcombo Ediciones técnicas, 2da Edicion 2005 
[4]  Fernandez I. et al . “Sistemas Instrumentados de Seguridad y análisis SIL”, ISA Sección España Diaz de 
Santos. 2012 
[5]  Belland J. “Using Fault Trees to Analyze Safety‐Instrumented Systems” 
[6]  Magnetrol. “Understanding Safety Integrity level” Special application Series.  
[7]  Catelani M., Ciani L. y Luongo V. “A simplified procedure for the analysis of safety instrumented systems 
in the process industry applications”. Departament of electronic and Telecomunications, University of 
Florence, Italia. Microelectronics Reliability. August 2011 
[8]  MAchiavelo V.”Introducción a los Análisis de Arboles de Fallas (Fault Tree Analysis ‐FTA)”. Diplomado en 
Análisis de Riesgos y Seguridad Funcional. RiskSoftware S.A. 
[9]  IEC 61508. “Functional safety of eléctricas/electronic/programable electronic safety‐related systems. Part 
1 General requirements. 2010. 
[10]  IEC 61511. “Functional safety  ”safety instrumented sytems for process industry sector, Part 1, part 2 and 
Part 3.  
   
   
Sobre el Autor 

Raúl Roque nació en La Paz Bolivia, concluyó la Carrera de Ingeniería Electrónica en la Facultad de Ingeniería de la Universidad 
Mayor  de  San  Andrés  el  año  2002.  Desde  2003  desarrolla  su  trabajo  en  el  área  de  Instrumentación,  Sistemas  de  control  y 
medición  en  el  sector  de  hidrocarburos.  En  2015  obtiene  el  certificado  TUV  SUD  de  Ingeniero  en  Seguridad  Funcional  FSE. 
Actualmente se desempeña  como Supervisor de Mantenimiento en YPFB Transporte S.A., docente invitado para el DICAPI de 
la  Universidad  Privada  Boliviana,  docente  invitado  de  INEGAS.  Su  línea  de  investigación  está  centrada  a  Control  No  lineal, 
Control por Modos deslizantes,  Electrónica de Potencia y Sistemas Instrumentados de Seguridad. 

raul_roque_y@hotmail.com