Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
FATALIDAD Y EL NIVEL SIL DE UN SISTEMA INSTRUMENTADO DE SEGURIDAD
FSE. Ing. Raúl R. Roque Y.
Santa Cruz ‐ Bolivia
Resumen
Los sistemas instrumentados de seguridad (SIS) son en la mayoría de los casos funciones de protección, las
cuales se accionan cuando surgen condiciones peligrosas en el proceso, previniendo o en algunos casos
mitigando potenciales consecuencias catastróficas. Las consecuencias catastróficas pueden ser la pérdida
de vidas, daño al medio ambiente o perdida de inventario y de infraestructura, entonces los sistemas
instrumentados de seguridad son sistemas que deben cumplir requerimientos estrictos de confiabilidad o
fiabilidad.
El análisis de árbol de fallas (o FTA= Fault Tree Analysis) es una metodología que analiza un sistema para
determinar su confiabilidad. Debido a su natural potencia y flexibilidad, FTA es un método cuantitativo ideal
para analizar sistemas instrumentados de seguridad para determinar niveles de confiabilidad, tales como el
nivel de integridad de seguridad o SIL, la Probabilidad de falla en demanda (PFD).
1.‐ Introducción
Los procesos o sistemas críticos aparecen en muchas y diferentes industrias tales como, la industria nuclear,
química, petróleos, etc. Cuando estos sistemas no son apropiadamente controlados o mantenidos pueden dejar de
funcionar y en tal caso llevan al proceso bajo control a un riesgo significativo para la seguridad de personas, medio
ambiente y financiero. Ahora los sistemas instrumentados de seguridad o SIS como se los conoce son sistemas
diseñados para reducir el riesgo de procesos o sistemas críticos, cuando existen desviaciones o malfuncionamiento,
entonces el SIS lleva a un estado seguro dicho proceso bajo control.
Un SIS está compuesto por tres subsistemas, subsistema de sensado, subsistema de resolvedor lógico y subsistema
de actuación. Ahora el subsistema de sensado monitorea el proceso crítico examinando condiciones
potencialmente inseguras, el resolvedor lógico interpreta las entradas del subsistema de sensado y ejecuta
determinadas acciones mediante el subsistema de actuación. Este conjunto de hardware y software con
características bien definidas se denominad funciones instrumentadas de seguridad.
Fig. 1 Sistema instrumentado de Seguridad SIS
2.‐ Determinación de la integridad de la seguridad
Dentro del ciclo de vida de un sistema instrumentado de seguridad, una de las tareas más importantes en el
desarrollo de las Especificaciones de los requerimientos de seguridad es especificar la integridad de la seguridad o
SIL de cada función instrumentada de seguridad. El estándar IEC‐61508‐1 (pag 33) proporciona la tabla de
asignación SIL en funciona de la Probabilidad de falla en demanda. Esencialmente la tabla SIL proporciona una clase
de integridad de seguridad para satisfacer un rango de valores de la probabilidad de falla en demanda promedio
PFDavg.
Tabla1. Niveles de integridad de seguridad SIL según IEC‐611508 y ANSI ISA 84.01
El estándar ANSI/ISA 84.01 es similar a la tabla IEC 61508, con la diferencia que la primera define hasta SIL‐4, en
cambio la segunda solo hasta SIL 3. Se ve que esta última tabla incluye el rango de disponibilidad de la seguridad.
Ahora un SIS con nivel SIL 2 es más confiable que un SIL 1 y un SIL 3 es mucho más confiable que SIL 2. Una vez
que se tiene el nivel SIL del sistema instrumentado de seguridad para el proceso, conocemos que calidad,
complejidad y costo nos demanda el obtener lo solicitado. Debe quedar claro que a partir de esto conoceremos, si
podemos calcular la reducción de riesgos como un requerimiento de probabilidad de falla en demanda o como
disponibilidad segura, inmediatamente vamos a la tabla 1 y se define el nivel SIL que necesitamos para nuestro
sistema de seguridad. El costo de un SIS se incrementará gradualmente con el valor del nivel de integridad de la
seguridad SIL que requiera cumplir, como ejemplo si se adquiere un resolvedor lógico que alcanza nivel SIL 3,
entonces el costo de los sensores, actuadores y el trabajo de ingeniería será fuertemente influenciado con este
nivel de integridad.
Es importante entonces que se disponga de un método consistente para arribar a valor SIL para cualquier
aplicación de la industria de procesos. En ese sentido hay al menos 3 métodos reconocidos para hacer esto y estos
han sido ampliamente documentados en los últimos años hasta ser parte de los estándares de la IEC y la ISA.
La razón por la cual existe esta diversidad en los métodos de determinación de SIL se debe a las dificultades de
arribar a la estimación del riesgo que sea confiable y creíble considerando la amplia variedad de situaciones a
encarar en la industria de procesos. Mientras que una evaluación de riesgo tipo cuantitativa es posible que carezca
de valor y no ser válido si los datos disponibles sobre las tasas de falla (fault rate) son muy reducidos o están
sujetos a tolerancias demasiado grandes. Por otro lado un método cualitativo permite a las personas utilizar
elementos de juzgamiento y de experiencia para la evaluación del riesgo sin tener que utilizar valores numéricos
que son difíciles de justificar en la mayoría de los casos.
3.‐ Métodos para la determinación del SIL
Ya hemos visto que los métodos para la determinación del SIL de dividen en tipos cualitativos y cuantitativos. El
estándar IEC‐61508 parte 5 explica en términos generales un método cualitativo y dos de tipo cuantitativo, que son
los siguientes:
Método cuantitativo utilizando factores de reducción de riesgo objetivo.
Método cualitativo usando gráficos de riesgos.
Método cualitativo utilizando matrices de severidad de eventos peligrosos.
Para el sector de la industria de procesos el estándar IEC 61511 proporciona detalles más específicos sobre la
determinación del SIL y son los siguientes:
Método cuantitativo utilizando factores de reducción de riesgo objetivo
Método cualitativo utilizando grafico de riesgos con variaciones en el uso de conceptos donde las
consecuencias son daños al medio ambiente o pérdida de activos.
Método cualitativo utilizando matrices de capas de seguridad
Método cualitativo/cuantitativo utilizando análisis de capas de protección (LOPA)
Debemos tener mucho cuidado a la hora de afrontar la determinación del SIL de un proyecto, así, es muy
recomendable considerar el material descrito en la IEC 61508 parte 5 o en su defecto utilizar la IEC 61511 parte 3.
Métodos cuantitativos
Vamos inicialmente a recordar el concepto de reducción de riesgos aplicando el diagrama propuesto por el
estándar IEC 61508, en el cual se muestra gráficamente el procedimiento para la determinación de la reducción de
riesgos.
Fig. 2 Reducción de Riesgo IEC‐61508
El estándar IEC61508‐5 explica que las capas de protección son efectivamente funciones separadas de reducción
de riesgo, este modelo se muestra en la figura
Según IEC61508‐5‐A.5.1 los riesgos indicados en la figura 2 están definidos como:
Riesgo del EUC: indica el riesgo existente a un evento peligroso incluyendo el sistema de control y los
factores humanos.
Riesgo Tolerable: Basado en lo que se considera aceptable a la sociedad por ejemplo
Riesgo Residual: Es el riesgo remanente resultado posterior a la reducción de riesgos, en este caso un
sistema instrumentado de seguridad SIS u otra tecnología relacionada a la seguridad puede ser tomado en
cuenta.
Y depende de la cantidad de la reducción de riesgo que se requiere posterior a la reducción de riesgos realizada
por diferentes dispositivos. La medida de la cantidad de reducción de riesgo proporcionada por un SIS es el SIL
objetivo y se ilustra en el siguiente diagrama del estándar IEC‐61508. Nótese que este diagrama define que el SIL es
aplicable a todas las facilidades de reducción de riesgo, que generalmente es un término; sin embargo cuando es
aplicable a un SIS se convierte en medida del desempeño del sistema. El principio es ilustrado en la siguiente figura
donde la capa de protección proporcionada por un SIS se ve que es cuantificada como un factor de reducción de
riesgo FRR, el cual puede convertir a una probabilidad de falla en demanda promedio PFDavg a una clasificación
referenciada en la tabla más arriba definida.
Fnp FSIS
Fccpe
Fig. 3 Metodología de determinación de FRR
Método de Análisis de árboles de Falla FTA
El FTA, es un análisis tipo deductivo, el cual se enfoca sobre un evento particular no deseado y proporciona un
método para determinar las casusas de este evento. En el cual un peligro o falla catastrófica constituye el evento
tope. El evento tope es conectado hacia eventos básico por medio de compuertas lógicas intermedias, las cuales
combinan las fallas u ocurrencias que llevan al evento tope. De esta manera un árbol de fallas es un análisis
cualitativo. Los eventos básicos típicamente representan fallas de componentes u otros peligros o evento que
pueden contribuir al evento tope. Si se conoce los valores de probabilidad para estos eventos básicos entonces
tanto las leyes del algebra de Boole como de probabilidades pueden ser aplicadas para determinar el valor de la
probabilidad para el evento tope, de esta manera se tiene un enfoque de análisis cuantitativo.
El método inicia con un evento tope que es usualmente un evento peligroso relacionado, por ejemplo una
explosión. El árbol se construye desarrollando ramas de abajo hacia arriba hasta llegar al evento tope, también se
puede hacer de izquierda a derecha. Los operadores AND y OR se utilizan de manera similar a diagrama lógicos
binarios y su simbología se muestra en la figura siguiente:
AND OR
Fig. 4 Simbología para construir Arboles de falla
Las compuertas lógicas permiten contribuir con las causas del evento tope y establecen una salida de acuerdo a las
reglas simples de las compuertas AND y OR, tal como lo muestra la figura 5, donde podemos identificar un evento
tope que es la Explosión, del cual podemos obtener la frecuencia de ocurrencia del mismo. Ahora este evento será
causado cuando se cumpla dos condiciones, descarga de gas inflamable y cuando haya ocurrencia de una falla
eléctrica que libere una chispa o que en el área se desarrollen trabajos de soldadura con arco por ejemplo. La
frecuencia con se descarga un gas inflamable tiene un valor F1 , por otro lado la probabilidad de ocurrencia de la
existencia de una fuente de ignición es dada por P3 , esta última es resultado de la probabilidad de existencia de
una falla P1 eléctrica o soldadura P2 .
F F1 P3
P3 F1
P1 P2
Fig. 5 Ejemplo de una FTA
Funciones de las compuertas
La compuerta AND es utilizada para definir un conjunto de condiciones o causas y todos los eventos deben estar
presentes para su ocurrencia. El establecimiento de estos eventos sobre una compuerta AND deben ser
condiciones suficientes y necesarias. Causa necesario, significa que se requiere cada causa enumerada o
mencionada en el conjunto para que el evento pueda ocurrir. Si alguna de las causas es omitida de todas las
especificadas entonces el evento no ocurrer. Causa suficiente, significa que el evento podría ocurrir si el conjunto
de causas están presentes ninguna otra causa o condición es necesaria.
La compuerta OR, define un conjunto de eventos en los que cualquiera de los eventos en el conjunto definido por si
mismos puede hacer que el evento ocurra.
El conjunto de eventos debajo de la compuerta deben ser especificados como suficientes. La información
relacionada a cada evento puede ser descrita como sigue:
P = Probabilidad de la ocurrencia del evento
f= frecuencia del evento
fxt = duración del evento
Por lo tanto de los anteriores parámetros se obtienen las siguientes reglas combinacionales:
P1 , P2 P1 P2 P
P1 , f1 AND P1 f1 f
( f1 t1 ), ( f 2 t2 ) ( f1 f 2 )(t1 t2 ) f
P1 , P2 P1 P2 P
OR
f1 , f 2 f1 f 2 f
Tabla 2. Operación y valoración
Las reglas combinacionales permiten conocer la información relacionada a cada evento individual a ser combinado
de tal manera de predecir la frecuencia del evento peligroso final y cada evento intermedio.
Símbolos de evento
Los símbolos utilizados para el análisis de árboles de falla se muestran en la figura 6. Estos proporcionan un medio
para clasificar los eventos:
Un evento básico es el límite para el cual la lógica de falla puede resolverse. Un evento básico debe tener definición
suficiente para determinar una apropiada tasa de falla. Un evento no desarrollado es aquel que puede ser dividido
en subcomponentes, sin embargo para propósitos de modelado no se descomponen más. Como ejemplo de un
evento no desarrollado puede ser la falla de suministro de aire de instrumentos. Un símbolo de evento no
desarrollado y la información de la tasa de falla pueden ser utilizados para modelar la alimentación de aire de
instrumento en lugar de todos sus componentes propios. El FTA trata los eventos no desarrollados similarmente a
los eventos básicos. Los rectángulos son utilizados para declarar eventos presentes en una compuerta. Las
compuertas de transferencia son utilizadas para relacionar múltiples arboles de falla.
Evento
Evento basico con
representado por
datos sificientes
una compuerta
Evento no Transferencia a
desarrollado otro arbol de fallas
Fig.6 Símbolos de eventos
En el modelado de los SIS los elementos básicos serán típicamente las fallas de sensores y/o la ocurrencia de un
evento iniciador en la operación del proceso.
4.‐ Ejemplo de diseño
Vamos a utilizar el ejemplo desarrollado en [2] donde se realiza el análisis de peligro de un proceso, ante un nivel
alto en un tanque buffer por el cual circula una sustancia acida. Por otro lado se debe tomar en cuenta que la tasa
de fatalidades por accidente tolerable según la ley es de 0.2 FAR.
La figura 7, muestra un proceso en el cual un líquido inflamable es extraído de otro proceso y almacenado en un
tanque buffer, al cual a su vez es bombeado hacia otra etapa de tratamiento. El sistema de control de proceso
dispone de un lazo de control de nivel para mantener el tanque al 50% de su capacidad, de lo contrario puede
llegar a existir un peligro si este llegara a llenarse completamente. El tanque debe tener una válvula de alivio de
presión en caso de sobrepresión, sin embargo si existe un escape por la misma esto podría ocasionar una nube de
vapor muy peligrosa. Las razones por las cuales puede fallar el lazo de control de nivel son las siguientes:
Válvula de alimentación de tanque atascada en abierta (suciedad o encastre)
Transmisor de nivel en falla
Lazo de control de nivel en modo manual con válvula de alimentación abierta
Fuga por la válvula de control con la bomba de descarga apagada.
Fig.7 Proceso bajo control
Inicialmente realizamos el análisis de árbol de fallas del Sistema dibujando un esquema identificando la causa de un
peligro y la estimación de la consecuencia de una posible fatalidad con una tasa estimada de accidente fatal.
Según información del estudio de riesgos tenemos los siguientes valores de frecuencia y probabilidad de ocurrencia
de eventos iniciadores.
Falla en el control de Nivel LC‐1: 0.2/año
Error en la operación de la válvula LV‐1: 0.8/año
Probabilidad de que una nube inflamable no se disperse: 0.3
Probabilidad de que el motor de la bomba produzca una chispa: 0.05
Probabilidad de que un operador este ubicado en el área del proceso: 0.2
Fig. 8 FTA para el equipo bajo control
fat
Fnp (0.2 0.8) 0.3 0.05 0.2 0.003 ;
año
Lo que significa que existirán 3 fatalidades por cada 1000 años, o dicho de otra manera 1 fatalidad cada 330 años.
Este valor puede ser aceptable para unos y no aceptable para otros dependerá del grado de responsabilidad de la
compañía con la sociedad. En este caso la sociedad impone un tasa de fatalidad aceptable Ft de :
Una vez determinado el árbol de falla del proceso sin protección alguna, es tiempo de adicionar capas de
protección externas de manera de reducir el riesgo. Estas capas externas pueden ser previas o denominadas de
control y de mitigación o denominadas también de recuperación.
Se inicia con la adición de capas que no son instrumentadas, por ejemplo se determina la construcción de un muro
alrededor del equipo bajo control de modo que la probabilidad de que el operador se encuentre cerca de la
explosión se reduzca sustancialmente. Hay que recordar que esta acción no reduce el evento peligroso pero si
reduce la frecuencia de riesgo de una fatalidad.
Desarrollamos el árbol de fallas agregando esta capa y asignándole por ejemplo un valor de 10 a la reducción de
riesgo de esta; entonces se tiene:
Fig. 9 FTA para el equipo bajo control y una capa externa no instrumentada
fat
Fccpe (0.2 0.8) 0.3 0.05 0.02 0.0003 ;
año
Con la adición de un muro de contención, se ha reducido la frecuencia de un accidente cada 3333 años.
Calculo del nivel SIL del SIS requerido
Una vez que se ha incluido una capa de protección externa y vemos que la probabilidad de fatalidad por año se ha
reducido, toca determinar con la información hasta ahora aquí determinada, el valor que el SIS agrega para la
reducción del riesgo, de manera de llegar a la tasa de fatalidades aceptable que en este caso está definido como
0.2FAR.
Para determinar la cantidad de riesgo que debe reducir el SIS se utiliza la siguiente relación descrita en [2] y en [3]
la cual define el factor de reducción de riesgo del SIS como:
Fccpe
FRRSIS ;
Ft
En este caso reemplazamos:
Fccpe 0.0003
FRRSIS 15 ;
Ft 0.00002
Convirtiendo este valor en probabilidad de falla en demanda PFDavg :
1 1
PFDavg 6.66 102 ;
FRRSIS 15
Utilizando la tabla 1 de la IEC se obtiene que el SIS debe disponer de SIL 1 como nivel objetivo de integridad.
Fig. 10 Equipo bajo control y su SIS
El valor de la probabilidad para el SIS es 0.066, sin embargo se toma el valor de la probabilidad 0.07 con un criterio
más conservador. Realizando el árbol de fallas con estas dos capas de protección tenemos:
Fig. 11 FTA Equipo bajo control y su SIS
Realizando las operaciones matemáticas de árbol de fallas tenemos que :
fat
Fnp 0.07 (0.2 0.8) 0.3 0.05 0.2 0.00002 ;
año
fat
Fnp 0.00002 0.2FAR ;
año
Una vez determinado el nivel SIL de la función instrumentada del SIS, en la etapa de diseño del hardware se debe
garantizar que el conjunto , elementos sensores, elementos actuadores y resolvedor lógico mediante un calculo de
probabilidad de falla en demanda sea menor o igual al calculado para llegar al nivel de riesgo tolerable exigido. La
verificación y el juzgamiento de la veracidad del nivel SIL obtenido por la función implementada en el SIS debe ser
obtenida de los valores de probabilidad y confiabilidad que cada producto utilizad para tal fin. No se puede obtener
el valor de SIL mediante ensayos, cada fabricante propone al mercado sus productos con características las cuales
deben ser evaluadas a la hora de su adquisición y su puesta en marcha.
5.‐ Conclusiones
Como se pudo ver el método de análisis de árbol de falla FTA es un método bastante eficaz para abordar temas
relacionados a análisis de confiabilidad, probabilidad y cálculo del nivel SIL de una función instrumentada.
Como se indicó más arriba el tema de la verificación del nivel SIL es muy importante dentro del ciclo de vida de la
seguridad y esta debe ser ejecutada a la hora de realizar el diseño de la función instrumentada, de manera que
cuando sea necesario verificar este nivel SIL mediante documentación se afirme que la función instrumentada
implementada cumple el nivel de confiabilidad requerido por las especificaciones de los requerimientos de la
seguridad que fueron obtenidos de la etapa de diseño.
6.‐ Bibliografía
[1] Macdonald D., “Practical insdustrial Safety: Risk assessment ans shutdown systems” Elsevier Sciencie,
January 2004.
[2] Macdonald D., “ Pratical HAZOPs, trips and alarms” , ELSEVIRE, First edition 2004
[3] Creus A., “Fiabilidad y Seguridad”, Marcombo Ediciones técnicas, 2da Edicion 2005
[4] Fernandez I. et al . “Sistemas Instrumentados de Seguridad y análisis SIL”, ISA Sección España Diaz de
Santos. 2012
[5] Belland J. “Using Fault Trees to Analyze Safety‐Instrumented Systems”
[6] Magnetrol. “Understanding Safety Integrity level” Special application Series.
[7] Catelani M., Ciani L. y Luongo V. “A simplified procedure for the analysis of safety instrumented systems
in the process industry applications”. Departament of electronic and Telecomunications, University of
Florence, Italia. Microelectronics Reliability. August 2011
[8] MAchiavelo V.”Introducción a los Análisis de Arboles de Fallas (Fault Tree Analysis ‐FTA)”. Diplomado en
Análisis de Riesgos y Seguridad Funcional. RiskSoftware S.A.
[9] IEC 61508. “Functional safety of eléctricas/electronic/programable electronic safety‐related systems. Part
1 General requirements. 2010.
[10] IEC 61511. “Functional safety ”safety instrumented sytems for process industry sector, Part 1, part 2 and
Part 3.
Sobre el Autor
Raúl Roque nació en La Paz Bolivia, concluyó la Carrera de Ingeniería Electrónica en la Facultad de Ingeniería de la Universidad
Mayor de San Andrés el año 2002. Desde 2003 desarrolla su trabajo en el área de Instrumentación, Sistemas de control y
medición en el sector de hidrocarburos. En 2015 obtiene el certificado TUV SUD de Ingeniero en Seguridad Funcional FSE.
Actualmente se desempeña como Supervisor de Mantenimiento en YPFB Transporte S.A., docente invitado para el DICAPI de
la Universidad Privada Boliviana, docente invitado de INEGAS. Su línea de investigación está centrada a Control No lineal,
Control por Modos deslizantes, Electrónica de Potencia y Sistemas Instrumentados de Seguridad.
raul_roque_y@hotmail.com