manual de seguridad de procesos - 01 - vaf

MAN

UAL

DE

SEG

URI

DAD

DE

PRO

CESO

S 1

Seguridad funcional en la industria de procesoPrincipios, normas e implementación

Publicación: SAFEBK-RM003A-ES-P – Marzo de 2013 © 2013 Rockwell Automation, Inc. Todos los derechos reservados. MA

NU

AL

DE

SEG

URI

DA

D D

E PR

OCE

SOS

1 –

Segu

ridad

func

iona

len

la in

dust

ria d

e pr

oces

os/P

rinci

pios

, nor

mas

e im

plem

enta

ción

También disponible:Manual de seguridad 4 – Sistemas de control relacionadoscon la seguridad de maquinaria.Esta práctica guía trata los principios relativos a la seguridad dela maquinaria, además de la legislación, la teoría y la práctica.Número de publicación: SAFEBK-RM002B

Comuníquese con su representante de Rockwell Automationpara obtener una copia de esta guía, o visitewww.rockwellautomation.com

MANUAL DE SEGURIDAD DE PROCESOS 1

Seguridad funcional en la industria de proceso

1

Contenido

Capítulo 1 Introducción a IEC 61511 ........................................................................ 3

Capítulo 2 Ciclo de vida de seguridad general ...................................................... 11

Capítulo 3 Peligros e identificación de peligros ....................................................19

Capítulo 4 Riesgo y reducción de riesgos .............................................................. 30

Capítulo 5 Principio ALARP .................................................................................... 41

Capítulo 6 Determinación de objetivos del SIL ..................................................... 47

Capítulo 7 Diagramas de riesgos ........................................................................... 62

Capítulo 8 Análisis de capas de protección (LOPA) ............................................... 68

Capítulo 9 Asignación de funciones de seguridad ............................................... 81

Capítulo 10 Especificación de requisitos de seguridad para el SIS ....................... 85

Capítulo 11 Diseño e ingeniería del SIS ................................................................... 87

Capítulo 12 Técnicas de fiabilidad ........................................................................... 89

Capítulo 13 Verificación SIL .................................................................................... 122

Capítulo 14 Probabilidad de fallo de SIF, IEC 61511-1 ..........................................137

Capítulo 15 Instalación, puesta en servicio y validación, IEC 61511-1 ............... 150

Capítulo 16 Funcionamiento y mantenimiento, IEC 61511-1 .............................. 153

Capítulo 17 Modificación y desmantelamiento, IEC 61511-1 .............................. 156

Capítulo 18 Gestión, evaluación y auditoría ......................................................... 158

Capítulo 19 Referencias .......................................................................................... 165

Capítulo 20 Definiciones ......................................................................................... 166

Capítulo 21 Abreviaturas ........................................................................................ 173

2



Prefacio

La norma IEC 61508 abarca la gestión de la seguridad de sistemas eléctricos, electrónicosy electrónicos programables (E/E/PE) a lo largo de su vida útil, desde el diseño hasta eldesmantelamiento. Aplica los principios de seguridad en la gestión de sistemas y laingeniería de seguridad en su desarrollo.

Como principio fundamental establece que, en la planificación de seguridad, debenfijarse objetivos de seguridad basados en la evaluación de riesgos y que el rigor de lagestión y de los procesos debe ser el adecuado para cumplir con ellos. Esto hace quela norma se base en objetivos en lugar de ser prescriptiva, lo que significa que laconformidad con la misma no exonera de culpa a los usuarios en caso de producirseun problema de seguridad.

La norma está pensada tanto como base para la preparación de normas más específicas,como para utilizarse de forma autónoma. Sin embargo se prefiere la primera aplicación; el segundo uso requiere la personalización de la norma, que la gerencia la comprenda demanera significativa y la planificación considerable de su introducción y uso.

Para muchos, la norma ha resultado difícil de leer y de comprender. No obstante, ya hatenido una enorme influencia. Ha sido y continuará siendo la base de las normas deseguridad y de los marcos legales modernos, de modo que es esencial que todo elpersonal con alguna responsabilidad en cualquier fase de la vida útil de un sistemarelacionado con la seguridad haga el esfuerzo de comprenderla bien.

El objetivo de este documento es ofrecer una introducción a la seguridad funcional y unaguía para la aplicación de la norma IEC 61511, la implementación específica de la norma IEC 61508 en la industria de proceso. Aunque la norma americana ANSI/ISA-84.00.01 se basaen la norma IEC 61511, es prácticamente idéntica, por lo que esta guía se aplica a ambas.

El objetivo de este documento es ofrecer información y orientación para poder comprendermejor las normas y sus requisitos. El documento intenta utilizar un lenguaje sencillo, ilustradocon ejemplos prácticos de proyectos reales, para explicar los principios y los requisitosbásicos junto con las técnicas que pueden utilizarse para cumplir dichos requisitos.

Exención de responsabilidad

Aunque las técnicas presentadas en este documento se han utilizado correctamente para demostrar la conformidad en proyectos reales, debe tenerse en cuenta que laconformidad, las técnicas utilizadas para demostrar dicha conformidad y la recopilaciónde evidencias de apoyo siguen siendo responsabilidad del responsable a cargo.

El uso de corchetes [ ] indica una referencia cruzada a una sección de este documento.


Introducción a IEC 61511

3

1. Introducción a la norma IEC 61511

1.1. ¿En qué consisten las normas IEC 61508 y IEC 61511?

IEC 61508 es una norma internacional publicada por la Comisión ElectrotécnicaInternacional (IEC), cuyo objetivo principal es abordar los aspectos que deben tenerse encuenta al utilizar sistemas eléctricos, electrónicos o electrónicos programables (E/E/PE)para desempeñar funciones de seguridad.

IEC 61508 [19.1] es una norma genérica aplicable a todos los sistemas E/E/PE relacionadoscon la seguridad, independientemente de su uso o aplicación. El título de la norma es:

IEC 61508:2010 Seguridad funcional de sistemas eléctricos/electrónicos/electrónicos programables (E/E/PE) relacionados con la seguridad.

La norma se basa en el principio fundamental de que existe un proceso que puedesuponer un riesgo a la seguridad o al medio ambiente, si algo pudiera ir mal en el procesoo en el equipo. El objetivo de la norma, por lo tanto, es resolver los contratiempos en losprocesos y los fallos en los sistemas, a diferencia de los peligros relacionados con la saludy con la seguridad como tropiezos y caídas, y permitir manejar la seguridad de losprocesos de forma sistemática y en base a los riesgos.

La norma da por supuesto que se deben facilitar funciones de seguridad para reducirdichos riesgos. Las funciones de seguridad pueden formar en conjunto un sistemainstrumentado de seguridad (SIS), y su diseño y funcionamiento deben estar basadosen la evaluación y la comprensión de los riesgos.

Un objetivo secundario de la norma IEC 61508 es permitir el desarrollo de sistemas E/E/PErelacionados con la seguridad cuando no existan normas de aplicación en el sector. Estaguía de segundo nivel en la industria de proceso queda cubierta por la normainternacional IEC 61511 [19.2]. El título de esta norma es:

IEC 61511:2004 Seguridad funcional – Sistemas instrumentados deseguridad para el sector de la industria de proceso.

IEC 61511 no es una norma de diseño, sino una norma para la gestión de la seguridad a lo largo del ciclo de vida útil completo de un sistema, desde el diseño hasta eldesmantelamiento. En este enfoque es fundamental el ciclo de vida de seguridad general,que describe las actividades relacionadas con la especificación, el desarrollo, elfuncionamiento o el mantenimiento de un sistema instrumentado de seguridad (SIS).

4



1.2. ¿Qué es la seguridad funcional?

La norma IEC 61511-1, 3.2.25 ofrece la siguiente definición.

“La seguridad funcional forma parte de la seguridad general relacionada con elproceso y con el sistema básico de control de proceso (BPCS), que depende del correctofuncionamiento del sistema instrumentado de seguridad (SIS) y de otras capas deprotección.”

Dicho de forma más sencilla, la seguridad funcional es la reducción de riesgos queproporcionan las funciones implementadas para garantizar el funcionamiento segurodel proceso.

1.3. Comisión Electrotécnica Internacional (IEC)

La Comisión Electrotécnica Internacional se fundó en 1906, con el científico británico LordKelvin como primer presidente, y tiene su sede en Ginebra, Suiza. La IEC prepara y publicanormas internacionales para electrotecnología, es decir, para los sectores de tecnologíaseléctricas, electrónicas y otras afines.

La IEC apoya la seguridad y el rendimiento medioambiental de la electrotecnología,promueve la eficiencia energética y las fuentes de energía renovables, y se hace cargode la evaluación del cumplimiento normativo de equipos, sistemas o componentes deacuerdo a sus normas internacionales.

La norma y el resto de publicaciones de la IEC están protegidas y sujetas a determinadascondiciones en cuanto a copyright, pero pueden adquirirse o descargarse en el sitio webde la IEC [http://www.iec.ch].

1.4. Estructura de la norma

La norma se compone de tres partes, tal y como se muestra en la Figura 1.



5

Requisitos técnicos

Elementos de respaldo

Parte 1IEC 61511-1, 8: Desarrollo de los requisitos globales de seguridad (concepto, definición del alcance, evaluación de peligros y de riesgos)

Parte 1IEC 61511-1, 9, 10: Asignación de los requisitos de seguridad a las funciones instrumentadas de seguridad y desarrollo de la especificación de los requisitos de seguridad

Parte 1IEC 61511-1, 11, 12

Fase de diseño para los sistemas instrumentados de seguridad

Fase de diseño para el software del sistema instrumentado de seguridad

Parte 1IEC 61511-1, 13, 14, 15: Prueba de aceptación de fábrica, instalación y puesta en marcha y validación de seguridad de los sistemas instrumentados de seguridad

Parte 1IEC 61511-1, 16, 17, 18: Funcionamiento y mantenimiento, modificación y readaptación, desmantelamiento o desecho de los sistemas instrumentados de seguridad

Parte 1IEC 61511-1, 2: ReferenciasIEC 61511-1, 3: Definiciones y abreviaturasIEC 61511-1, 4: Cumplimiento con la normativaIEC 61511-1, 5: Gestión de la seguridad funcionalIEC 61511-1, 6: Requisitos del ciclo de vida de la seguridadIEC 61511-1, 7: VerificaciónIEC 61511-1, 19: Requisitos de informaciónIEC 61511-1, Anexo A: DiferenciasParte 2IEC 61511-2: Guía para la aplicación de la parte 1Parte 3IEC 61511-3: Guía para la determinación de losniveles de integridad de seguridad requeridos

Figura 1: Estructura de la norma

6



La Parte 1 subraya los requisitos de cumplimiento normativo. Se define la planificacióndel proyecto, la administración, la documentación y los requisitos de competencia, asícomo requisitos técnicos para garantizar la seguridad a lo largo del ciclo de vida deseguridad.

En general, la Parte 1 es normativa ya que define requisitos específicos de cumplimientonormativo y presenta una estructura consistente que permite demostrar dichocumplimiento normativo cláusula por cláusula.

La Parte 2 ofrece una guía de uso de la Parte 1.

En la Parte 3 se dan ejemplos prácticos de evaluación de riesgos con el fin de asignarniveles de integridad de seguridad [4].

Las Partes 2 y 3 son informativas y proporcionan guía sobre los requisitos decumplimiento normativo.

1.5. Cumplimiento normativo con la norma IEC 61511

1.5.1. Requisitos de la Ley de Salud y Seguridad en el Trabajo, etc. de 1974

La Ley de Salud y Seguridad en el Trabajo, etc. de 1974 (HASAW o HSW) es la principallegislación sobre salud y seguridad laboral existente en el Reino Unido. La Autoridad deSalud y Seguridad (HSE) es responsable de hacer cumplir dicha ley, así como otras leyes einstrumentos legales aplicables al entorno laboral.

Nota: En muchos países tienen una legislación o normativa similar a la “Health and Safetyat Work Act etc. 1974” del Reino Unido, citada en el texto como referencia. Para simplificaren este documento, por favor asuma que cuando se cita la “Health and Safety at Work act”,también implica otras leyes y normativas pertinentes que puedan existir en su país.

El texto completo de la ley puede obtenerse en la Oficina de Información del SectorPúblico (OPSI) o descargarse de forma gratuita. Los usuarios de información legal debenactuar con cierta precaución. Es posible que los documentos impresos o en línea no esténactualizados y, por lo tanto, lo usuarios deben solicitar asesoramiento legal independienteo consultar la línea informativa de la HSE [http://www.hse.gov.uk/contact/index.htm].

En términos sencillos, la Ley de Salud y Seguridad en el trabajo establece que laobligación de cualquier empleador es garantizar, en la medida en que resulterazonablemente práctico, la salud, la seguridad y el bienestar en el trabajo de susempleados. Esto incluye que la provisión y el mantenimiento de la planta y de lossistemas de trabajo que, en la medida en que resulte razonablemente práctico, seanseguros y no supongan ningún riesgo a la salud.



7

Además, debe ser responsabilidad del empleador llevar a cabo sus tareas de forma quegarantice, en la medida en que resulte razonablemente práctico, que las personas a lasque no emplea y que pudieran verse afectadas no queden expuestas a riesgos a su saludo a su seguridad.

1.5.2. Requisitos de conformidad

La norma IEC 61511 establece que para declarar la conformidad debe demostrarse quese hayan cumplido los requisitos de la norma de acuerdo a los criterios requeridos y que,en cada cláusula o subcláusula, se hayan cumplido todos los objetivos.

En la práctica, por lo general resulta difícil demostrar la conformidad total con cadacláusula y subcláusula de la norma y se precisa cierto juicio para determinar el nivelde rigor aplicado al cumplimiento de los requisitos. Normalmente, el grado de rigornecesario depende de determinados factores como, por ejemplo:

• la naturaleza de los peligros;• la gravedad de las consecuencias;• la reducción de riesgos necesaria;• la fase del ciclo de vida que corresponda;• la tecnología utilizada;• la novedad del diseño.

En otras palabras debe tomarse una decisión basada en el riesgo. En caso de falta deexperiencia, cierta participación externa aumentaría la credibilidad de la declaración.

1.5.3. Consecuencias de la falta de conformidad

Puesto que la norma no es una ley, ya sea que usted cumpla con sus requisitos o no, usteddebe ser consciente de las consecuencias de la falta de conformidad. Como empleado,responsable a cargo o responsable del riesgo, usted tiene la obligación, conforme a la Leyde Salud y Seguridad en el Trabajo, de controlar el riesgo en su lugar de trabajo.

Esta norma proporciona un enfoque sistemático a la gestión de todas las actividades delciclo de vida de seguridad para sistemas que acostumbran a desempeñar funciones deseguridad y constituye, por lo tanto, una fuente adecuada de información y de técnicas.En caso de que algo saliera mal y, como consecuencia, alguien resultara herido oenfermara y usted no hubiera utilizado la mejor información a su disposición sobre lagestión del riesgo en cuestión, estaría en riesgo de ser investigado y procesado deacuerdo con la Ley de Salud y Seguridad en el Trabajo.

La información que recopile y el análisis que realice sobre el cumplimiento de losrequisitos de la norma IEC 61511 se convierten de forma efectiva en su defensa antelos tribunales en caso de que algo vaya mal.

8



1.5.4. Requisitos de conformidad en plantas nuevas

Está claro que, si usted está implicado en cualquier fase del ciclo de vida de seguridad,sería razonable esperar que aplique la mejor información a su disposición para garantizar que los riesgos asociados a su planta se controlen a un nivel tolerable. Podríaargumentarse que la mejor información disponible es la norma IEC 61511 y, por lo tanto,en caso de que algo fuera mal, el incumplimiento podría interpretarse como negligencia.

1.5.5. Requisitos de conformidad en plantas existentes

Existen numerosas plantas que fueron diseñadas y construidas antes de que la normaIEC 61511 se publicara formalmente y se encontrara disponible. Sin embargo, esta situaciónno supone un cambio en sus responsabilidades y, si usted está implicado en alguna fase del ciclo de vida de seguridad de una planta antigua (por ejemplo, funcionamiento,mantenimiento, etc.), entonces sus obligaciones permanecen conforme a la Ley de Salud ySeguridad en el Trabajo y los riesgos deben seguir siendo controlados como corresponda.La norma, por lo tanto, sigue siendo aplicable a estas plantas antiguas.

La norma ANSI/ISA-84 se refiere de forma específica a los sistemas anteriores y estableceque, para un sistema instrumentado de seguridad (SIS) existente, diseñado y construidode acuerdo a los códigos, las normas y las prácticas aplicables con anterioridad a lapublicación de la norma, el propietario/operario debe determinar que el equipo haya sido diseñado, sometido a mantenimiento, inspeccionado, probado y puesto enfuncionamiento de forma segura. En efecto, usted debe comprobar que los sistemasexistentes sean seguros utilizando los mejores métodos a su disposición.

En realidad, puede que sienta la necesidad de volver a las fases iniciales del ciclo de vidade seguridad de la planta existente y revisar o incluso realizar un nuevo estudio de riesgosy operabilidad (HAZOP) partiendo de cero. Al llevar el proceso hasta su conclusión, es posible que usted identifique riesgos no protegidos por las funciones de seguridadexistentes, y será responsabilidad suya controlar dichos riesgos de algún modo.

Es muy probablemente que no resulte rentable diseñar nuevas funciones instrumentadasde seguridad (SIF) para una planta con 20 años de antigüedad. No obstante, si su planta ha funcionado con seguridad durante un periodo razonable de tiempo, los riesgosque usted identifique y la posibilidad de que sucedan, teniendo en cuenta todos losdispositivos de seguridad existentes, pueden seguir siendo tolerables.

Su obligación es, como mínimo, documentar el proceso: asegurarse de que se hayanidentificado todos los peligros, que se hayan evaluado todos los riesgos y que se hayavalorado la efectividad de las funciones de protección o de los dispositivos de seguridadexistentes actualmente. En esta situación, usted cuenta con la ventaja de la retrospectiva



9

y puede cuantificar la frecuencia de los peligros de una forma más precisa, utilizando sus propios registros históricos, que si se tratara de una instalación nueva. Deberá, porlo tanto, poder demostrar mediante un análisis que los riesgos que ha identificado sontolerables.

En el peor de los casos, si se da la situación de que hay determinados peligros sinprotección, o si se requiere una medida de reducción de riesgos adicional, deberásaberlo y poner en práctica los pasos necesarios.

1.5.6. Motivos para cumplir con la norma IEC 61511

Además de la obligación legal implícita conforme a la Ley de Salud y Seguridad en elTrabajo, existen otros motivos para cumplir con la norma:

• Requisitos contractuales;• Optimización de la arquitectura del diseño;• Posible ventaja en lo que respecta a marketing.

Podría argumentarse que la primera obligación de un negocio es sobrevivir, y que suobjetivo no debería ser maximizar las utilidades sino evitar las pérdidas. A este respecto,usted debe preguntarse si prefiere aprender de los errores de los demás o cometerlosusted mismo.

1.6. Aplicación de la norma IEC 61511

La seguridad funcional puede aplicarse únicamente a funciones completas que, por logeneral, consisten de un sensor, un ordenador o un controlador lógico programable (PLC),y un dispositivo accionado. No tiene sentido aplicar el término a productos: elementos delequipo como sensores o ordenadores.

Por lo tanto, cuando un fabricante declara, por ejemplo, que su producto es un sensor depresión SIL2 o un PLC SIL3 en realidad significa que el sensor de presión es adecuado paraser usado en una función de seguridad SIL2 o que el PLC es adecuado para ser usado enuna función de seguridad SIL3.

El fabricante debería calificar las declaraciones con advertencias y restricciones respectoa su uso como, por ejemplo, los requisitos de tolerancia a fallos [13.3.1] o de prueba decalidad [12.8] para obtener el nivel de integridad de seguridad (SIL) declarado.

Las declaraciones del fabricante pueden respaldarse incluso con un certificado SILemitido por un organismo de evaluación independiente, pero esto no significa que lafunción de seguridad original cumpla con los requisitos de nivel de integridad deseguridad (SIL). El certificado SIL no es sustituto de la demostración de conformidad,

10



y el responsable a cargo no puede utilizar dichas declaraciones del producto parasatisfacer sus responsabilidades conforme a la Ley de Salud y Seguridad en el Trabajo.

1.7. ¿Es necesario cumplir la norma?

1.7.1. Nueva construcción

Como se ha explicado anteriormente, existe una obligación legal implícita de cumplir lanorma. Esto significa que, aunque la norma no es una ley, la ley exige que el responsablea cargo o el responsable del riesgo controle el riesgo a un nivel aceptable. La normaproporciona un enfoque sistemático para lograrlo y, por lo tanto, en caso de que algosaliera mal y que alguien resultara herido, no haber utilizado la mejor informacióndisponible podría considerarse como una indicación de negligencia y podría dar lugara acciones penales.

1.7.2. Planta existente

La Ley de Salud y Seguridad en el Trabajo sigue rigiendo en la planta existente y, por lotanto, es necesario seguir identificando y controlando los riesgos de la forma másadecuada [1.5.5]. La norma IEC 61511 sigue proporcionando un modelo aplicable para elcontrol de riesgos en plantas anteriores diseñadas y utilizadas antes de que se publicarala norma.


Ciclo de vida de seguridad general

11

2. Ciclo de vida de seguridad general

2.1. Ciclo de vida de seguridad

El ciclo de vida de seguridad engloba todas las actividades necesarias, desde laespecificación, el desarrollo, el funcionamiento y el mantenimiento del sistemainstrumentado de seguridad (SIS). De acuerdo al alcance de sus actividades, puede quea su caso se apliquen únicamente algunas de las fases (por ejemplo, funcionamiento ymantenimiento), pero debe conocer el enfoque del ciclo de vida completo.

En la Figura 2 se presenta el ciclo de vida de seguridad.

2.2. Fases del ciclo de vida

En la fase 1 se define el alcance en términos de barreras físicas, sociales y políticas, y setratan las implicaciones de seguridad en lo que se refiere a peligros y a la percepción de

Ges

tión

de la

seg

urid

ad fu

ncio

nal,

eval

uaci

ón y

aud

itoría

de

la s

egur

idad

func

iona

l

10

Estr

uctu

ra y

pla

nific

ació

n de

l cic

lo d

e vi

da d

e la

seg

urid

ad

11

Verifi

caci

ón

9Evaluación de peligros y riesgos1

Asignación de funciones de seguridad a capas de protección

Diseño ydesarrollo de otros mediosde reducción

de riesgo

2

Requisitos de seguridadEspecificación para el SIS3

Diseño e ingenieríapara el SIS4

Instalación, puesta en marchay validación5

Funcionamiento y mantenimiento

6

Modificación7

Desmantelamiento8

Figura 2: Ciclo de vida de seguridad IEC 61511

12



riesgo. Esto resulta fundamental para comprender los peligros y los riesgos que entraña elproceso.

Una vez que se establece la reducción de riesgos necesaria, se especifican los medios paraobtenerla durante la asignación (fase 2) y los requisitos de seguridad generales (fase 3).

En la fase 4 se diseñan los requisitos de seguridad generales como funciones deseguridad. En este punto se examinan la optimización de funciones, la separación y otrostemas de diseño como la filosofía de pruebas, y la planificación de estas actividades setrata como parte de la fase 11.

En las fases de la 5 a la 10 se demuestra que la norma no está restringida al desarrollo desistemas, sino que también cubre la gestión de la seguridad funcional durante la vida útilde un sistema.

Muchos de los requisitos de la norma son técnicos por naturaleza, pero el enfoquedel ciclo de vida concede la misma importancia a actividades de gestión efectivas como la planificación, la documentación, el funcionamiento, el mantenimiento, etc. y la modificación, y éstas deben incluirse en todas las fases. Las actividades dedocumentación, gestión y evaluación son paralelas, y resultan aplicables, a todas lasfases y a las actividades del ciclo de vida que se muestran en la Figura 2.

2.3. Requisitos de conformidad

Puesto que la norma es no prescriptiva, la conformidad no es sencilla. Cuánto o cuán poco haga usted al declarar su conformidad es una decisión personal, pero debe estarconvencido de que ha hecho lo suficiente. Se recomienda utilizar un enfoque deconformidad cláusula por cláusula para asegurarse de que ha tenido en cuenta todolo que razonablemente se esperaba de usted. En otras palabras, que ha adoptado unenfoque riguroso.

La conformidad con la norma requiere que demuestre, con evidencias, que se haadoptado un enfoque sistemático para controlar el riesgo y que dicho enfoque se haaplicado a las fases adecuadas del ciclo de vida. Este enfoque sistemático lo proporcionala norma, y está basado en el ciclo de vida de seguridad.

La conformidad con la norma requiere comprender el ciclo de vida y que las actividadesespecificadas se lleven a cabo y se documenten. El seguimiento del ciclo de vida no es un ejercicio de papeleo que pueda satisfacerse generando informes y marcando casillas.La conformidad requiere que las actividades se lleven a cabo de forma efectiva y que seproduzca información en casa fase, que permita ejecutar las fases posteriores.



13

Rara vez se aplica un alcance de actividad limitado y se recomienda tener en cuenta todaslas fases del ciclo de vida. Por ejemplo, para un operario, las modificaciones en las fases de funcionamiento y de mantenimiento pueden requerir decisiones y evaluacionesprevias; por ejemplo, la re-evaluación del HAZOP y del análisis de riesgos volviendo atrásen el ciclo de vida.

2.4. Fases 1 y 2 del ciclo de vida de seguridad

Cada fase del ciclo de vida describe una actividad, y cada actividad cuenta con requisitosde información en forma de entradas. Cada fase consiste de una actividad, para la queusted debe disponer de procedimientos documentados, que produce información enforma de salidas para utilizar en las fases posteriores.

En la Figura 3 se muestran las actividades y los requisitos informativos de la fase 1(Evaluación de peligros y riesgos) y de la fase 2 (Asignación de requisitos de seguridad).En la figura se muestra la información necesaria como una entrada (I/P) a la actividad yla información producida por la actividad para ser utilizada en una fase posterior.

Debe tenerse en cuenta que, a pesar de que la norma describe las fases del ciclo de viday los requisitos informativos de cada fase, en la práctica algunas de las fases y de losdocumentos asociados a ellas pueden combinarse si resulta apropiado. La claridad y lasimplicidad son importantes, y las actividades deben llevarse a cabo y la informacióndebe presentarse de la forma más efectiva posible.

El resultado de la fase 3 generalmente es un HAZOP y un análisis de riesgos, en el que seidentifican los requisitos de las funciones de seguridad y los objetivos de reducción deriesgos.

En la fase 4 se trata la asignación de funciones de seguridad de acuerdo a los requisitos de seguridad identificados en la fase anterior. La asignación de requisitos de seguridad es el proceso de abordar cada uno de los requisitos de seguridad y de asignar funcionesinstrumentadas de seguridad. Se trata de un proceso repetitivo en el que se toma en cuenta el proceso y otras medidas de reducción de riesgos que puedan encontrarsedisponibles para satisfacer los requisitos generales de integridad de seguridad.

Es importante que, cuando comience la asignación de funciones de seguridad, seplanifiquen también las fases siguientes, incluidas la instalación, la puesta en servicio y la validación, el funcionamiento y el mantenimiento (también consulte la Figura 5).

14



Toda la información relevante para cumplir

con los requisitos de la subcláusula.Familiaridad con el proceso, funciones de control, entorno físico; peligros y fuentes de peligro; información relativa a peligros, p. ej., toxicidad, duraciones y fuentes de peligro; información de peligro, p. ej., toxicidad, duraciones, exposición; reglamentos actuales; peligros como resultado de las interacciones con otros sistemas.

Información relativa al proceso, el entorno y los

peligros.Definir el límite del proceso, BPCS, otros sistemas, operadores; equipo físico; especificar el entorno, consideración de eventos externos; otros sistemas; tipos de eventos iniciadores: fallos de procedimiento, errores humanos, mecanismos de fallo.

Descripción de información relacionada con

el análisis de peligros y riesgos.Análisis de peligros y riesgos: Peligros; frecuencias de evento iniciador; otras medidas para reducir riesgos; consecuencias; riesgo; consideración del riesgo máximo tolerable; disponibilidad de datos; supuestos relativos a la documentación.

Especificación para los requisitos de seguridad globales en términos de requisitos de funciones de seguridad y requisitos de integridad de seguridad. Nota: las funciones de seguridad no son específicas en cuanto a tecnología. El objetivo del SIL debe especificar la fiabilidad específica.

Especificación de funciones de seguridad.Información sobre la asignación de las funciones de seguridad globales, sus medidas de fallo específicas y los niveles de integridad de seguridad asociados. Supuestos relativos a otras medidas de reducción de riesgo que necesitan ser gestionadas a lo largo de la vida del proceso.

Definir el alcance del análisis de peligros.

11. Planifi-cación

1. Análisis de peligros y riesgos

2. Asignación de requisitos de seguridad.

I/P

O/P

I/P

O/P

Figura 3: Fases 1 y 2 del ciclo de vida de seguridad



15

Especificación de funciones de seguridad.Información sobre la asignación de las funciones de seguridad globales, sus medidas de fallo específicas y los niveles de integridad de seguridad asociados. Supuestos relativos a otras medidas de reducción de riesgo que necesitan ser gestionadas a lo largo de la vida del proceso.

Especificación de los requisitos de seguridad SIS.Puede incluir C y E.Debe incluir:a) especificación de estado de seguridad;b) requisito para pruebas de calidad;c) tiempo de respuesta;d) interfaces de operador necesarias;e) interfaces a otros sistemas;f ) modos de operación;g) comportamiento a la hora de detectar un fallo;h) requisitos para desactivación manual;i) requisitos de software de aplicación;j) medida de fiabilidad SIL y específicak) ciclo de servicio y vida útil;l) condiciones medioambientales probables de encontrar;m) límites CEM;n) limitaciones debido a CCF.Ver IEC 61511-1, 10.3 para requisitos completos.

Realización de cada SIF conforme a la especificación de requisitos de seguridad SIS

Realización de cada medida de reducción de riesgos conforme a los requisitos de seguridad para dicha medida

Diseño y desarrollo de otras medidas

3. Especificación requisitos de seguridad

4. Diseño e ingeniería

I/P

O/P

I/P

O/P


16




En la fase 3 se trata la especificación de requisitos de seguridad (SRS), que permite quecomience la fase de diseño e ingeniería (fase 4), Figura 4.

Es posible que su organización disponga de una lista de verificación de elementos quedeben incluirse en la especificación del diseño. De este modo se garantiza que en cadaproyecto se elabore una especificación completa y exhaustiva, y se contribuye aminimizar los fallos de la función de seguridad debidos a errores de especificación.

La fase 4 se puede tratar adecuadamente en una especificación de diseño funcional(FDS) única o en un documento similar, en el que se defina la situación, el proceso y lasconsideraciones medioambientales y de funcionamiento, y en el que se establezca elalcance de las siguientes fases.


En las fases 5 y 6 se identifican los requisitos de instalación, puesta en servicio, validación,funcionamiento y mantenimiento del sistema instrumentado de seguridad (SIS)(Figura 5).


Las entradas, las salidas y las actividades asociadas con la fase 7 (Modificación) sonesencialmente las mismas que las asociadas con la fase 8 (Desmantelamiento). De hecho,el desmantelamiento es una modificación que tiene lugar al final del ciclo de vida que seinicia con los mismos controles y que se controla con los mismos dispositivos deseguridad (Figura 6).



17

Plan para la validación de seguridad global del SIS.

Proporciona planificación para la validación de seguridad SIS con respecto a SRS y otra información de referencia, p. ej., diagramas de causa y efectos. La validación incluirá todos los modos relevantes de funcionamiento (puesta en marcha, desactivación, mantenimiento, condiciones anormales, etc.), los procedimientos, técnicas y medidas que se van a usar, así como el personal y los departamentos responsables. También incluirá la planificación de validación para el software de aplicación de seguridad.

Realización de cada SIF conforme a la especificación de requisitos de seguridad SIS

Plan para la instalación y la puesta en marcha del SIS.Proporciona planificación para las actividades de instalación y puesta en marcha; los procedimientos, las técnicas y las medidas que se van a usar; el programa, el personal y los departamentos responsables.

Confirmación de que el SIS cumple la especificación para los requisitos globales de seguridad en términos de requisitos SIF y los requisitos de integridad de seguridad, teniendo en cuenta la asignación de requisitos de seguridad. Los requisitos de documentación incluyen: actividades de validación cronológica; versión de los requisitos de seguridad; función de seguridad objeto de validación; herramientas y equipo; resultados; elemento objeto de prueba, procedimiento aplicado y entorno de prueba; discrepancias; decisiones adoptadas como resultado.

Un plan para el funcionamiento y el mantenimiento del SIS

Proporciona planificación para las actividades operacionales rutinarias y anormales; prueba de calidad, actividades de mantenimiento, procedimientos, técnicas y medidas que se van a usar, así como el programa, el personal y los departamentos responsables, el método de verificación con respecto al funcionamiento y los procedimientos de mantenimiento.

SIS totalmente instalado y puesto en marcha:

documentación de instalación; referencia a informes de fallo; resolución de fallos.

Logro constante de la seguridad funcional requerida para el SIS. Debe implementarse lo siguiente: Plan F y M; procedimientos de funcionamiento, mantenimiento y reparación; implementación de procedimientos; seguimiento de los programas de mantenimiento; documentación de mantenimiento; ejecución regular de auditorías FS; documentación de modificaciones; documentación cronológica del funcionamiento y el mantenimiento del SIS;

5. Instalación, puesta en marcha y validación

6. Funcionamiento, mantenimiento y reparación

I/P

O/P

I/P

O/P


18



Logro constante de la seguridad funcional requerida para el SIS. Debe implementarse lo siguiente:Plan F y M;funcionamiento, mantenimiento y procedimientos de reparación.implementación de procedimiento;seguimiento de programas de mantenimiento;mantenimiento de documentación;ejecución de auditorías regulares FS;documentación de modificaciones;documentación cronológica del funcionamiento yel mantenimiento del SIS.

Logro de la seguridad funcional requerida para el SIS, durante y después de que se haya llevado a cabo el mantenimiento de la fase de modificación. La modificación solamente debe iniciarse tras una solicitud autorizada con arreglo al procedimiento para la Gestión FS. La solicitud debe incluir: los peligros que pueden verse afectados; cambio propuesto (hardware y software); razón del cambio. Debe llevarse a cabo un análisis de impacto. Documentación cronológica del funcionamiento y mantenimiento del SIS.

7. Modificación8. Desmantelamiento

I/P

O/P



Peligros e identificación de peligros

19

3. Peligros e identificación de peligros


En la Figura 7 se muestra la fase del ciclo de vida aplicable.

El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 8.1, es determinar:

• Los peligros/eventos peligrosos del proceso y del equipo asociado, la secuenciade eventos que lleva al peligro y a los riesgos del proceso implicados [3.2 – 3.7];

• Los requisitos de la reducción de riesgos [5 y 6];• Las funciones de seguridad necesarias para conseguir la reducción de riesgos

necesaria [7 y 8].

Ges

tión

de la

seg

urid

ad fu

ncio

nal,

eval

uaci

ón y

aud

itoría

de

la s

egur

idad

func

iona

l

10

Estr

uctu

ra y

pla

nific

ació

n de

l cic

lo d

e vi

da d

e la

seg

urid

ad

11

Verifi

caci

ón



Diseño ydesarrollo deotros mediosde reducción

de riesgo

2

Requisitos de seguridadEspecificación para el SIS3




6

Modificación7

Desmantelamiento8

Figura 7: Fase 1 del ciclo de vida

20



3.2. Peligros

El significado de la palabra peligro puede resultar algo confuso. A menudo losdiccionarios no ofrecen definiciones específicas, o combinan esta palabra con el término“riesgo”, por ejemplo, como “peligro o riesgo”, lo que explica por qué muchas personasutilicen ambos términos de forma intercambiable.

En el contexto de la seguridad funcional, los peligros son eventos que tienen el potencialde ocasionar daños tales como lesiones personales, efectos nocivos en el medio ambienteo perjuicios al negocio.

Entre los ejemplos de peligros en casa se incluyen:

• Cristal roto, ya que puede ocasionar cortes;• Charcos de agua, ya que pueden causar resbalones y caídas;• Demasiados enchufes en una toma, ya que pueden sobrecargarla y producir un

incendio.

Entre los ejemplos de peligros en el trabajo se incluyen:

• Nivel de ruido elevado, ya que puede ocasionar pérdida auditiva;• Respirar polvo de asbesto, ya que puede ocasionar cáncer.

Entre los ejemplos de peligros en la industria de proceso se incluyen:

• El nivel de líquido en una cámara: el nivel alto puede ocasionar derrames delíquido en los caudales de gas, o el desbordamiento de un producto químico o deun líquido inflamable; el nivel bajo puede ocasionar que las bombas funcionen envacío, o un arrastre de gas hacia las cámaras anteriores en el proceso.

• La presión de líquido en una cámara: la presión alta puede ocasionar pérdidasde contención, fugas o la rotura de la cámara.

El primer paso para evaluar el riesgo es identificar los peligros. Aunque se utilizandiferentes técnicas para identificar peligros, la de uso más común es el Estudio de Peligrosy Operabilidad (HAZOP).

3.3. Utilización de HAZOP en la industria

Los estudios HAZOP fueron desarrollados originalmente en el Reino Unido por la empresaquímica ICI después del desastre de Flixborough del año 1974, y empezaron a utilizarsemás ampliamente en la industria de proceso como resultado de dicho desastre.

El sábado 1 de junio de 1974, las instalaciones de Nypro (Reino Unido) en Flixboroughsufrieron importantes daños a causa de una gran explosión en la que fallecieron28 trabajadores y 36 resultaron heridos. Se reconoció que el número de víctimas podríahaber sido superior si el incidente hubiera ocurrido en un día laborable, puesto que el



21

bloque de oficinas central no estaba ocupado. Se registraron 53 casos de lesiones aterceros fuera de las instalaciones y también se produjeron daños en las propiedadesde la zona circundante.

Las 18 víctimas de la sala de control fallecieron a consecuencia de la destrucción de lasventanas y del hundimiento del techo. Nadie pudo escapar. El incendio siguió activodurante varios días y dificultó el trabajo de los equipos de rescate durante los 10 díassiguientes.

Desde la industria química, y a través del intercambio general de ideas y de personal,los HAZOP se adoptaron posteriormente en la industria petrolera, en la que existe unpotencial similar de desastres importantes. Después fueron también adoptados por las industrias alimentaria y del agua, en las que el peligro potencial es grande, pero en las que la mayor preocupación son los problemas de contaminación en lugar de lasexplosiones o los escapes de productos químicos.

3.4. Motivos para utilizar un HAZOP

Aunque el diseño de la planta se basa en la aplicación de códigos y normas, el procesoHAZOP permitió la posibilidad de añadir a estos una anticipación imaginativa de lasdesviaciones que podrían producirse, por ejemplo, debido a condiciones o contratiemposen los procesos, fallos de funcionamiento de los equipos o errores de los operarios.

Además, la presión debida a la planificación de proyectos puede traducirse en errores odescuidos y el HAZOP permite corregirlos antes de que estas modificaciones resulten muycaras. Al resultar muy sencillos de comprender y poder adaptarse a cualquier proceso onegocio, los HAZOP se han convertido en la metodología para la identificación de riesgosmás ampliamente utilizada.

3.5. Desviación respecto a la finalidad del diseño

Todos los procesos, equipos bajo control o plantas industriales tienen una finalidad encuanto al diseño. Dicho propósito puede ser alcanzar una capacidad de producciónobjetivo en términos de tonelaje anual de un producto químico en particular o de unnúmero específico de artículos fabricados.

No obstante, una importante finalidad secundaria del diseño puede ser llevar a caboel proceso de forma segura y eficiente y, para hacerlo, se requiere que cada uno de loselementos del equipo funcione de forma efectiva. Este aspecto puede considerarse lafinalidad del diseño para ese elemento específico del equipo.

Por ejemplo, como parte de los requisitos de producción de nuestra planta podemosnecesitar unas instalaciones de enfriamiento de agua que contengan un circuito deenfriamiento de agua con una bomba de circulación y un intercambiador de calor, taly como se muestra en la Figura 8.

22



La finalidad del diseño de esta pequeña sección de la planta podría ser hacer circular deforma continua agua de enfriamiento a una temperatura de X ºC y a una tasa de XXXlitros/hora. Normalmente, los estudios HAZOP se dirigen a esta finalidad del diseño denivel bajo. El uso de la palabra desviación resulta ahora más sencillo de comprender.Una desviación o divergencia respecto a la finalidad del diseño en el caso de nuestrasinstalaciones de enfriamiento de agua sería la reducción del flujo de circulación o elaumento de la temperatura del agua.

Tenga en cuenta la diferencia entre la desviación y su causa. En el caso anterior, el fallo dela bomba sería una causa, no una desviación.

En este ejemplo, el aumento en la temperatura del agua sería el peligro, ya que tendría elpotencial de ocasionar daños como, por ejemplo, lesiones personales, efectos nocivos enel medio ambiente o perjuicios al negocio.

3.6. Técnica de estudios HAZOP

Los estudios HAZOP se utilizan para identificar peligros potenciales y problemas deoperabilidad ocasionados por desviaciones respecto a la finalidad del diseño, tanto enplantas de procesos nuevas como existentes. Por lo general estos estudios se llevan acabo periódicamente durante la vida útil de la planta. Por supuesto debe realizarse unestudio HAZOP inicial o preliminar en los momentos iniciales de la fase de diseño. Elproceso debe revisarse a medida que progrese el desarrollo y siempre que se proponganmodificaciones importantes y, por último, al final del desarrollo para garantizar que noexistan riesgos residuales antes de la fase de construcción.

Intercambiadorde calor

Suministro deenfriamiento

Bomba

Depósito

Ventilador deenfriamiento

Figura 8: Finalidad del diseño



23

El estudio HAZOP se lleva a cabo en un foro de encuentro entre las partes interesadas conconocimientos y experiencia suficientes sobre el funcionamiento y el mantenimiento dela planta. La reunión es una sesión de tormenta de ideas estructurada, en la que seutilizan palabras guía para estimular ideas acerca de cuáles podrían ser los peligros. En elacta de la reunión se registran los temas de discusión y se reúne la información acerca depeligros potenciales, sus causas y sus consecuencias.

3.6.1. Equipo del estudio HAZOP

Es importante que el equipo del estudio HAZOP esté formado por personal que aporte alestudio el mejor equilibrio entre conocimientos y experiencia, teniendo en cuenta el tipode planta. Un equipo del estudio HAZOP típico está formado del siguiente modo:

3.6.2. Información utilizada en el estudio HAZOP

Los siguientes elementos deben estar a disposición del equipo del estudio HAZOP paraconsultarlos:

• Diagramas de tuberías e instrumentación (P&ID) de las instalaciones;• Documentos de descripción de procesos o de filosofía;• Procedimientos de funcionamiento y mantenimiento existentes;• Gráficas de causas y efectos (C&E);• Esquemas de disposición de la planta.

Nombre Puesto

Presidente Explicar el proceso HAZOP, mantener conversaciones y facilitar el HAZOP.Alguien con experiencia en HAZOP, pero no involucrado directamente enel diseño, para asegurarse de que el método se siga en detalle.

Secretaria Registrar el acta de la reunión sobre HAZOP y facilitar un registro visiblede las charlas. Registrar recomendaciones o acciones.

Ingeniero de procesos Generalmente el ingeniero responsable del diagrama de flujo deproceso y del desarrollo de los diagramas de tuberías e instrumentación(P y ID).

Usuario/operario Asesorar sobre el uso y la operabilidad del proceso y el efecto de lasdesviaciones.

Especialista C e I Alguien con conocimientos técnicos relevantes en materia de control einstrumentación.

Encargado demantenimiento

Persona encargada del mantenimiento del proceso.

Representante delequipo de diseño

Asesorar sobre cualquier detalle de diseño o facilitar informacióncomplementaria.

24



3.6.3. Procedimiento HAZOP

El procedimiento HAZOP implica partir de una descripción completa del proceso ycuestionar de forma sistemática cada una de las fases del mismo para establecer quéefecto negativo sobre el funcionamiento seguro y eficiente de la planta pueden tenerla desviaciones respecto a la finalidad del diseño.

El equipo del estudio HAZOP aplica el procedimiento de forma estructurada y dependede que sus miembros recurran a su imaginación para identificar peligros creíbles.

En la práctica, muchos de los peligros serán obvios, como el aumento de temperatura,pero el punto fuerte de la técnica reside en la capacidad de descubrir peligros menosobvios aunque pudieran parecer improbables a primera vista.

3.6.4. Palabras guía

En el proceso del estudio HAZOP se utilizan palabras guía para centrar la atención delequipo en las desviaciones respecto a la finalidad del diseño, sus posibles causas yconsecuencias. Estas palabras guía se dividen en dos subgrupos:

• Palabras guía primarias, que centran la atención en un aspecto en particular dela finalidad del diseño o una condición o parámetro asociados al proceso como,por ejemplo, el flujo, la temperatura, la presión, el nivel, etc.;

• Palabras guía secundarias que, combinadas con una palabra guía, sugierenposibles desviaciones como, por ejemplo, mayor temperatura, menor nivel,ausencia de presión, flujo inverso, etc.

La técnica completa depende del uso efectivo de estas palabras guía, así que el equipodebe comprender con claridad su significado y su uso.

Debe tenerse en cuenta que las palabras guía se utilizan simplemente para estimularla imaginación sobre lo que podría ocurrir. No todas las palabras guía tendrán muchosentido; no todos los peligros serán creíbles. En estos casos, se recomienda que en casode que el equipo identifique eventos sin mucho sentido o no creíbles, se registren comotales y el equipo no pierda tiempo en continuar con su trabajo.

3.6.5. Modos de funcionamiento

Puesto que un HAZOP es un estudio de peligros y operabilidad, es importante teneren cuenta no solo el funcionamiento normal del proceso, sino también otros modosanormales como, por ejemplo, puesta en servicio, desactivación, llenado, vaciado,derivación y prueba de calidad.



25

Para hacerlo se debe considerar cada uno de los modos de funcionamiento especificados enel alcance, como ejercicio independiente y produciendo un análisis HAZOP independientepara cada uno. Como alternativa, en el caso de sistemas relativamente sencillos, puedeincluirse una columna adicional en las hojas de trabajo para identificar el modo. De estemodo un solo análisis HAZOP puede considerar todos los modos de funcionamiento.

3.6.6. Registro del estudio HAZOP

Existen herramientas de software disponibles para guiarle a lo largo del proceso delestudio HAZOP. Como alternativa puede elaborarse una sencilla hoja de cálculo, pararegistrar los debates y los resultados. Las hojas de cálculo permiten realizar de formasencilla la clasificación y la categorización, a la vez que proporcionan visibilidad y facilidadde rastreo entre las diferentes entradas, de modo que se puedan mantener referenciascruzadas con otros análisis.

Se recomienda registrar cada evento y la combinación de palabras guía considerada. Enlos casos en que resulte aplicable, puede anotarse: Causa no creíble; Sin consecuencias;Sin peligro. Esto representa un registro completo y se traduce en un informe HAZOP quedemuestra que se ha llevado a cabo un estudio exhaustivo y riguroso. Esto seráinapreciable en la evaluación de la seguridad y de la operabilidad de modificacionesposteriores a la planta.

Además de lo anterior, con frecuencia se utilizan las palabras secundarias “Todo” y “Resto”.Por ejemplo, determinadas combinaciones de palabras guía primarias pueden identificarsecomo representantivas de causas creíbles (por ejemplo, Flujo/No Flujo/Retroceso. En el casode otras combinaciones (Flujo/Menos, Flujo/Más, Flujo/Otro), en las que no pueden utilizarsecausas creíbles, puede utilizarse la combinación “Flujo/Resto”.

3.6.7. Identificación de peligros – Encabezados de las hojas de trabajo del estudio HAZOP

En la siguiente tabla se presenta un ejemplo de hoja de trabajo del estudio HAZOP parala cámara de descompresión. Tenga en cuenta que se trata de un ejemplo meramentefigurativo que no está pensado para ilustrar el sistema real.

Referencia

Siempre vale la pena incluir una columna de referencia de modo que pueda hacersereferencia a cada entrada desde otros análisis, lo que hace posible también la facilidadde rastreo para un análisis posterior (por ejemplo, un LOPA [8]).

Palabras guía

Deben utilizarse palabras guía primarias y secundarias. En Internet pueden encontrarsevarias listas de palabras guía aplicables a diferentes negocios e industrias.

26



Desviación

La desviación es la divergencia respecto a la finalidad del diseño iniciada por las palabrasguía primarias y secundarias, y representa el peligro identificado.

Causa

Causas potenciales que podrían ocasionar una desviación. Es importante incluirinformación específica sobre la causa. Por ejemplo, si nos preocupara un aumento en la concentración de oxígeno ocasionada por un fallo en el sensor de O2, el sensor podríafallar de diferentes formas, pero únicamente leer una concentración falsa baja de O2

tendría como resultado la condición peligrosa.

Consecuencia

Las consecuencias que podrían surgir del efecto de la desviación y, si resulta apropiado,de la propia causa. Siempre sea explícito al registrar las consecuencias. No dé por hechoque el lector comprenderá más adelante cuál es el peligro o cómo se desarrollarán lasconsecuencias.

Al documentar consecuencias es importante recordar que el estudio HAZOP puedeutilizarse para determinar el riesgo, por lo que resulta esencial una descripción total ycompleta de cómo podría desarrollarse el peligro y ocasionar consecuencias. Por ejemplo,las consecuencias pueden describirse como:

“Sobrepresión potencial que provoca la ruptura de tuberías de descarga de gas y la pérdida decontención. Liberación de un gran volumen de gas que se enciende en el escape caliente dela máquina y que produce una explosión o un fuego repentino con un número potencial devíctimas de hasta dos miembros del personal de mantenimiento. Daños en el compresorvalorados de hasta €2 million, y pérdida de producción durante hasta 1 año.”

Al evaluar las consecuencias es importante no contabilizar los sistemas oinstrumentos de protección que ya están incluidos en el diseño.

Dispositivos de seguridad

En esta columna se registran todos los dispositivos de protección existentes que ya seaeviten la causa o que protejan contra las consecuencias. Es necesario que los dispositivosde seguridad no se limiten al hardware; si resulta adecuado, pueden contabilizarseaspectos de procedimiento tales como inspecciones regulares de la planta (si está segurode que realmente se realizan Y de que pueden actuar como prevención o protección).



27

3.7. Ejemplo de HAZOP

3.7.1. Cámara separadora

En el siguiente ejemplo se muestra un esquema simplificado de una cámara separadorade procesamiento. La cámara recibe el líquido de proceso, que se calienta por medio deun quemador a gas. El vapor se separa del líquido de proceso y se libera para serexportado. El líquido concentrado restante se extrae de la parte inferior de la cámara unavez que finaliza la reacción (Figura 9).

La cámara incorpora un sistema de control distribuido (DCS), que controla el nivel delíquido dentro de la cámara, así como la presión y la temperatura del gas.

En el siguiente diagrama se muestra un ejemplo de HAZOP para esta cámara separadora.

Exportación líquido

Suministro gas combustible

Importaciónlíquido

Exportación gas

XV101

LL101

TT100

FCV100

FCV100 XV100

T

P

Quemador

LH101

FCV102

XV102

PT102

LH

LL

Figura 9: Cámara separadora

28



3.7.2. HAZOP de la cámara separadora

Ref.

Pala

bra

guía

pr

imar

iaPa

labr

a gu

ía

secu

ndar

iaD

esvi

ació

nPe

ligro

Cons

ecue

ncia

01.

01

Flu

jo e

lev

ado

de lí

qui

do d

e pr

oces

o en

la c

ámar

a.U

n fl

ujo

elev

ado

en la

cám

ara

pued

e da

r lug

ar

a un

niv

el e

lev

ado,

con

arr

astr

e de

líq

uido

a la

expo

rtac

ión

de g

as.

Los

dañ

os d

el e

qui

po e

n la

ram

a de

scen

dent

e re

qui

eren

la s

ustit

ució

n de

la c

ámar

a v

alor

ada

en €

10M

y u

na in

terr

upci

ón

del p

roce

so d

e 6

mes

es.

01.

02

Flu

jo e

lev

ado

del l

íqui

do d

e pr

oces

o fu

era

desd

e la

ex

port

ació

n de

líq

uido

de

la c

ámar

a.U

n fl

ujo

elev

ado

desd

e la

cám

ara

pued

e da

r lug

ar a

un

niv

el b

ajo,

fuga

de

gas

en la

ex

port

ació

n de

líq

uido

.Lo

s da

ños

del

eq

uipo

en

la ra

ma

desc

ende

nte

req

uier

en la

lim

piez

a de

la c

ámar

a v

alor

ada

en €

2M y

una

inte

rrup

ció

n de

l pro

ceso

de

6 s

eman

as.

01.

03

Flu

jo e

lev

ado

de g

as h

acia

fuer

a de

sde

la e

xpo

rtac

ión

de g

as d

e la

cám

ara.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

01.

04

Flu

jo b

ajo

de lí

qui

do d

e pr

oces

o en

la c

ámar

a.U

n fl

ujo

baj

o h

acia

la c

ámar

a pu

ede

dar l

ugar

a u

n ni

vel

baj

o, fu

ga d

e ga

s en

la e

xpo

rtac

ión

de lí

qui

do.

Los

dañ

os d

el e

qui

po e

n la

ram

a de

scen

dent

e re

qui

eren

la li

mpi

eza

de la

cám

ara

val

orad

a en

€2M

y u

na in

terr

upci

ón

del p

roce

so d

e 6

sem

anas

.

01.

05

Flu

jo b

ajo

del l

íqui

do d

e pr

oces

o fu

era

desd

e la

ex

port

ació

n de

líqui

do d

e la

cám

ara.

Un

fluj

o b

ajo

desd

e la

cám

ara

pued

e da

r lug

ar

a un

niv

el e

lev

ado,

con

arr

astr

e de

líq

uido

a la

expo

rtac

ión

de g

as.

Los

dañ

os d

el e

qui

po e

n la

ram

a de

scen

dent

e re

qui

eren

la s

ustit

ució

n de

la c

ámar

a v

alor

ada

en €

10M

y u

na in

terr

upci

ón

del p

roce

so d

e 6

mes

es.

01.

06

Flu

jo b

ajo

de g

as h

acia

fuer

a de

sde

la

expo

rtac

ión

de g

as d

e la

cám

ara.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

01.

07

Retr

oces

oN

o cr

eíb

le.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

01.

08

Tam

bié

nN

o cr

eíb

le.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

01.

09

Otr

oN

o cr

eíb

le.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

01.

10M

ásPr

esió

n el

evad

a en

la c

ámar

a. R

otur

a de

la c

ámar

a y

lib

erac

ión

del g

as.

La li

ber

ació

n de

l gas

pre

nde

en e

l que

mad

or y

las

supe

rfici

es c

alie

ntes

. Po

sib

lem

ente

dos

víc

timas

ent

re e

l per

sona

l de

man

teni

mie

nto.

Los

dañ

os

del e

qui

po re

qui

eren

la s

ustit

ució

n de

la c

ámar

a v

alor

ada

en €

10M

y u

na

inte

rrup

ció

n de

l pro

ceso

de

1 añ

o. E

mis

ión

lev

e al

med

io a

mb

ient

e.

01.

11M

enos

Pres

ión

baj

a en

la c

ámar

a. R

otur

a de

la c

ámar

a y

lib

erac

ión

del g

as.

La li

ber

ació

n de

l gas

pre

nde

en e

l que

mad

or y

las

supe

rfici

es c

alie

ntes

. Po

sib

lem

ente

dos

víc

timas

ent

re e

l per

sona

l de

man

teni

mie

nto.

Los

dañ

os

del e

qui

po re

qui

eren

la s

ustit

ució

n de

la c

ámar

a v

alor

ada

en €

10M

y u

na

inte

rrup

ció

n de

l pro

ceso

de

1 añ

o. E

mis

ión

lev

e al

med

io a

mb

ient

e.

01.

12Re

troc

eso

No

creí

ble

.N

ingú

n pe

ligro

cre

íble

Nin

guna

. 0

1.13

Tam

bié

nN

o cr

eíb

le.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

01.

14O

tro

No

creí

ble

.N

ingú

n pe

ligro

cre

íble

Nin

guna

. 0

1.15

Más

Tem

pera

tura

ele

vad

a en

la c

ámar

a.U

na te

mpe

ratu

ra e

lev

ada

conl

lev

a un

a pr

esió

n el

evad

a, la

rotu

ra d

e la

cám

ara

y la

lib

erac

ión

del

gas.

La li

ber

ació

n de

l gas

pre

nde

en e

l que

mad

or y

las

supe

rfici

es c

alie

ntes

. Po

sib

lem

ente

dos

víc

timas

ent

re e

l per

sona

l de

man

teni

mie

nto.

Los

dañ

os

del e

qui

po re

qui

eren

la s

ustit

ució

n de

la c

ámar

a v

alor

ada

en €

10M

y u

na

inte

rrup

ció

n de

l pro

ceso

de

1 añ

o. E

mis

ión

lev

e al

med

io a

mb

ient

e.

01.

16M

enos

Tem

pera

tura

baj

a en

la c

ámar

a.Co

ngel

ació

n po

tenc

ial d

el lí

qui

do (

solid

ifica

ció

n),

rotu

ra d

e la

cám

ara

y p

érd

ida

de c

onte

nció

n.Lo

s da

ños

del

eq

uipo

req

uier

en la

sus

tituc

ión

de la

cám

ara

val

orad

a en

€10

M y

una

inte

rrup

ció

n de

l pro

ceso

de

6 m

eses

. Em

isio

nes

al

med

io a

mb

ient

e q

ue re

qui

eren

not

ifica

ció

n.

01.

17Re

troc

eso

No

creí

ble

.N

ingú

n pe

ligro

cre

íble

Nin

guna

. 0

1.18

Tam

bié

nN

o cr

eíb

le.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

01.

19O

tro

No

creí

ble

.N

ingú

n pe

ligro

cre

íble

Nin

guna

. 0

1.20

Más

Niv

el e

lev

ado

en la

cám

ara.

Un

niv

el e

lev

ado

en la

cám

ara

pued

e da

r lug

ar a

arra

stre

de

líqui

do e

n la

ex

port

ació

n de

gas

.Lo

s da

ños

del

eq

uipo

en

la ra

ma

desc

ende

nte

req

uier

en la

sus

tituc

ión

de la

cám

ara

val

orad

a en

€10

M y

una

inte

rrup

ció

n de

l pro

ceso

de

6 m

eses

.

01.

21M

enos

Niv

el b

ajo

en la

cám

ara.

Un

niv

el b

ajo

en la

cám

ara

pued

e da

r lug

ar a

fuga

de g

as e

n la

ex

port

ació

n de

líq

uido

.Lo

s da

ños

del

eq

uipo

en

la ra

ma

desc

ende

nte

req

uier

en la

lim

piez

a de

la c

ámar

a v

alor

ada

en €

2M y

una

inte

rrup

ció

n de

l pro

ceso

de

6 s

eman

as.

01.

22Re

troc

eso

No

creí

ble

.N

ingú

n pe

ligro

cre

íble

Nin

guna

. 0

1.23

Tam

bié

nN

o cr

eíb

le.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

01.

24O

tro

No

creí

ble

.N

ingú

n pe

ligro

cre

íble

Nin

guna

.

Niv

el

Flu

joM

ás

Men

os

Pres

ión

Tem

pera

tura



29

3.7.3. Resultados del HAZOP

En resumen, los peligros identificados son:

La lista de peligros identificados forma un registro de peligros del sistema. El registro depeligros debe ser un documento activo durante el ciclo de vida del sistema, al que sepuedan añadir datos o que pueda ser revisado a medida que se completen otros estudios.

Cada uno de los peligros identificados podría tener consecuencias en la seguridad,medioambientales o comerciales pero, con el fin de responder a nuestras obligacionesconforme a la Ley de Salud y Seguridad en el Trabajo [1.5.1], debemos determinar el nivelde riesgo asociado a cada uno de los peligros [4].

Peligro Consecuencia

Un nivel elevado en lacámara puede dar lugar aarrastre de líquido a laexportación de líquido.

Los daños al equipo en la rama descendente requieren sustituir lacámara, valorada en €10M, e interrupción del proceso de 6 meses.

La presión elevada causala rotura de la cámara y la liberación de gas.

Gas liberado prende en el quemador y en superficies calientes.Posiblemente dos víctimas del personal de mantenimiento. Daños al equipo requieren sustituir la cámara, valorada en €10M, einterrupción del proceso de 1 año. Emisión leve al medio ambiente.

La temperatura elevadaconlleva presión elevada,rotura de la cámara yliberación de gas.


Un nivel bajo en la cámarapuede dar lugar a fuga degas a la exportación delíquido.

Los daños al equipo en la rama descendente requieren limpieza de lacámara, valorada en €2M, e interrupción del proceso de 6 semanas.

Una presión baja causa la rotura de la cámara y la liberación de gas.


Baja temperatura,congelación potencial dellíquido (solidificación),rotura de la cámara ypérdida de contención.

Daños al equipo requieren sustituir la cámara, valorada en €10M, einterrupción del proceso de 6 meses. Emisiones al medio ambienteque requieren notificación.

30



4. Riesgo y reducción de riesgos

4.1. Concepto de riesgo

Un riesgo es la posibilidad de que un peligro cause un efecto adverso que pueda medirse.

Se trata, por lo tanto, de un concepto con dos partes y, para que tenga sentido, esnecesario contar con ambas partes. Las posibilidades pueden expresarse de diferentesformas como, por ejemplo, una probabilidad: 1 caso de cada 1000; como frecuencia otasa: 1000 casos al año; o de forma cualitativa: insignificantes o significativas.

El efecto puede describirse de muchas formas diferentes. Por ejemplo:

• Lesiones graves o fallecimiento de un único empleado;• Múltiples lesiones a terceros;• Población general expuesta a un gas tóxico.

El riesgo anual de que un empleado sufra un accidente mortal [efecto] en su puestolaboral debido al contacto con maquinaria en movimiento [peligro] es inferior a 1 porcada 100,000 [posibilidad].

Es necesario, por lo tanto, cuantificar el riesgo en dos dimensiones. Debe valorarse elimpacto, o sea las consecuencias del peligro, y debe evaluarse la probabilidad de suceso.Para simplificar, valore cada uno en una escala del 1 al 4, tal y como se muestra en laFigura 10, en la que, cuanto mayor es el número, mayor es el impacto o la probabilidadde suceso. Como principio general, al utilizar una matriz de riesgos como esta, puedeestablecerse una prioridad y evaluarse el riesgo.

Si la probabilidad de suceso es alta y la gravedad de la consecuencia es baja, esto podríarepresentar un riesgo “Medio”. Por otra parte, si la gravedad de la consecuencia es alta y la

Gravedad de la consecuencia

Baja

1

1

2

3

4

2 3 4

Alta

Media Crítica

Prob

abili

dad

de

que

ocur

ra

Figura 10: Matriz de riesgos


Riesgo y reducción de riesgos

31

probabilidad de suceso es baja, el riesgo podría considerarse “Alto”. Por lo general, unaoportunidad remota de que se produzca un evento catastrófico debería requerir mayoratención que una molestia menor que se da con frecuencia.

Hasta ahora, los ejemplos de riesgos están relacionados únicamente a la seguridad delpersonal, pero no existe ninguna razón para no adoptar el mismo enfoque con riesgosmedioambientales, al negocio en términos de riesgos a un activo o a la capacidad deobtener ingresos o incluso a la reputación de una empresa, además de para la seguridaden lo que respecta a los problemas de suministro que pueden afectar a las empresas degeneración energética.

4.2. Análisis de peligros (HAZAN)

A primera vista, puede llevarse a cabo una evaluación de riesgos como parte del HAZOP,lo que se conoce como análisis de peligro (HAZAN). Como se muestra en la Figura 10,cada peligro puede categorizarse en términos de su gravedad (normalmente del 1 al 4,siendo el 4 el más grave) y de su probabilidad de suceso, o frecuencia (del 1 al 4, siendoel 4 el más probable).

Es posible desarrollar el ejemplo de HAZOP [3.7.2] y al multiplicar las categorías degravedad y frecuencia se obtiene una medición preliminar de riesgo en forma de unnúmero de prioridad del riesgo (RPN) que puede utilizarse para priorizar acciones dereducción de riesgos, [4.3].

4.3. HAZAN de la cámara separadora

La columna “Acción” ofrece la oportunidad de realizar recomendaciones para iniciar unaacción correctiva, tal como investigar qué dispositivos de seguridad adicionales puedenimplementarse.

Las posibles acciones se clasifican en dos grupos:

• Acciones que eliminan la causa;• Acciones que mitigan las consecuencias.

Eliminar la causa del peligro es siempre la solución preferida. Únicamente cuando no seafactible, se debe considerar la opción de mitigar las consecuencias.

4.3.1. Acciones del HAZOP

En las hojas de trabajo del HAZOP se identifican asimismo acciones para investigar amayor profundidad. En este ejemplo se identificaron las siguientes acciones.

32



Ref.

Des

viac

ión

Pelig

roCo

nsec

uenc

iaCa

t. g

rav.

Cat.

frec

.RP

ND

ispo

siti

vos

de

segu

rida

dA

cció

n

01.

01

Flu

jo e

lev

ado

de lí

qui

do d

e pr

oces

o en

la c

ám

ara.

Un

fluj

o el

evad

o en

la c

ám

ara

pued

e da

r lu

gar a

un

niv

el e

lev

ado,

con

arr

astr

e de

líqui

do a

la e

xpo

rtac

ión

de g

as.

Los

dañ

os d

el e

qui

po e

n la

ram

a de

scen

dent

e re

qui

eren

la s

ustit

ució

n de

la c

ám

ara

val

orad

a en

€10

M y

una

inte

rrup

ció

n de

l pro

ceso

de

6 m

eses

. 3

26

Cont

rol d

e ni

vel

.Co

nsid

erar

la in

stal

ació

n de

una

ala

rma

de n

ivel

elev

ado.

01.

02

Flu

jo e

lev

ado

del l

íqui

do d

e pr

oces

o fu

era

desd

e la

ex

port

ació

n de

líq

uido

de

la c

ám

ara.

Un

fluj

o el

evad

o de

sde

la c

ám

ara

pued

e da

r lu

gar a

un

niv

el b

ajo,

fuga

de

gas

en e

l líq

uido

.

Los

dañ

os d

el e

qui

po e

n la

ram

a de

scen

dent

e re

qui

eren

la li

mpi

eza

de la

cá

mar

a v

alor

ada

en €

2M y

una

inte

rrup

ció

n de

l pro

ceso

de

6 s

eman

as.

21

2Co

ntro

l de

niv

el.

Cons

ider

ar la

inst

alac

ión

de u

na a

larm

a de

niv

el b

ajo.

01.

03

Flu

jo e

lev

ado

de g

as h

acia

fuer

a de

sde

la

expo

rtac

ión

de g

as d

e la

cá

mar

a.N

ingú

n pe

ligro

cre

íble

Nin

guna

. N

ingu

na.

01.

04

Flu

jo b

ajo

de lí

qui

do d

e pr

oces

o en

la c

ám

ara.

Un

fluj

o b

ajo

hac

ia la

cá

mar

a pu

ede

dar l

ugar

a un

niv

el b

ajo,

fuga

de

gas

en e

l líq

uido

.

Los

dañ

os d

el e

qui

po e

n la

ram

a de

scen

dent

e re

qui

eren

la li

mpi

eza

de la

cá

mar

a v

alor

ada

en €

2M y

una

inte

rrup

ció

n de

l pro

ceso

de

6 s

eman

as.

22

4Co

ntro

l de

niv

el.

Cons

ider

ar la

inst

alac

ión

de u

na a

larm

a de

niv

el b

ajo.

01.

05

Flu

jo b

ajo

del l

íqui

do d

e pr

oces

o fu

era

desd

e la

ex

port

ació

n de

líqui

do d

e la

cá

mar

a.

Un

fluj

o b

ajo

desd

e la

cá

mar

a pu

ede

dar

luga

r a u

n ni

vel

ele

vad

o, c

on a

rras

tre

de

líqui

do a

la e

xpo

rtac

ión

de g

as.

Los

dañ

os d

el e

qui

po e

n la

ram

a de

scen

dent

e re

qui

eren

la s

ustit

ució

n de

la c

ám

ara

val

orad

a en

€10

M y

una

inte

rrup

ció

n de

l pro

ceso

de

6 m

eses

. 3

13

Cont

rol d

e ni

vel

.Co

nsid

erar

la in

stal

ació

n de

una

ala

rma

de n

ivel

elev

ado.

01.

06

Flu

jo b

ajo

de g

as h

acia

fuer

a de

sde

la

expo

rtac

ión

de g

as d

e la

cá

mar

a.N

ingú

n pe

ligro

cre

íble

Nin

guna

. N

ingu

na.

01.

07

No

creí

ble

.N

ingú

n pe

ligro

cre

íble

Nin

guna

. N

ingu

na.

01.

08

No

creí

ble

.N

ingú

n pe

ligro

cre

íble

Nin

guna

. N

ingu

na.

01.

09

No

creí

ble

.N

ingú

n pe

ligro

cre

íble

Nin

guna

. N

ingu

na.

01.

10Pr

esió

n el

evad

a en

la c

ám

ara.

Rotu

ra d

e la

cá

mar

a y

lib

erac

ión

del

gas.

La li

ber

ació

n de

l gas

pre

nde

en e

l que

mad

or y

las

supe

rfici

es c

alie

ntes

.

Posi

ble

men

te d

os v

íctim

as e

ntre

el p

erso

nal d

e m

ante

nim

ient

o. L

os d

años

del e

qui

po re

qui

eren

la s

ustit

ució

n de

la c

ám

ara

val

orad

a en

€10

M y

una

inte

rrup

ció

n de

l pro

ceso

de

1 añ

o. E

mis

ión

lev

e al

med

io a

mb

ient

e.

42

8

Cont

rol d

e pr

esió

n.Co

nsid

erar

la in

stal

ació

n de

una

ala

rma

de n

ivel

elev

ado.

01.

11Pr

esió

n b

aja

en la

cá

mar

a.Ro

tura

de

la c

ám

ara

y li

ber

ació

n de

l ga

s.

La li

ber

ació

n de

l gas

pre

nde

en e

l que

mad

or y

las

supe

rfici

es c

alie

ntes

.

Posi

ble

men

te d

os v

íctim

as e

ntre

el p

erso

nal d

e m

ante

nim

ient

o. L

os d

años

del e

qui

po re

qui

eren

la s

ustit

ució

n de

la c

ám

ara

val

orad

a en

€10

M y

una

inte

rrup

ció

n de

l pro

ceso

de

1 añ

o. E

mis

ión

lev

e al

med

io a

mb

ient

e.

41

4

Cont

rol d

e pr

esió

n.Co

nsid

erar

la in

stal

ació

n de

una

ala

rma

de n

ivel

baj

o.

01.

12N

o cr

eíb

le.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

Nin

guna

.

01.

13N

o cr

eíb

le.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

Nin

guna

.

01.

14N

o cr

eíb

le.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

Nin

guna

.

01.

15T

empe

ratu

ra e

lev

ada

en la

cám

ara.

Una

tem

pera

tura

ele

vad

a co

nlle

va

una

pres

ión

elev

ada,

la ro

tura

de

la c

ám

ara

y la

lib

erac

ión

del g

as.

La li

ber

ació

n de

l gas

pre

nde

en e

l que

mad

or y

las

supe

rfici

es c

alie

ntes

.

Posi

ble

men

te d

os v

íctim

as e

ntre

el p

erso

nal d

e m

ante

nim

ient

o. L

os d

años

del e

qui

po re

qui

eren

la s

ustit

ució

n de

la c

ám

ara

val

orad

a en

€10

M y

una

inte

rrup

ció

n de

l pro

ceso

de

1 añ

o. E

mis

ión

lev

e al

med

io a

mb

ient

e.

41

4

Cont

rol d

e te

mpe

ratu

ra. C

onsi

dera

r la

inst

alac

ión

de u

na a

larm

a de

tem

pera

tura

ele

vad

a.

01.

16T

empe

ratu

ra b

aja

en la

cá

mar

a.Co

ngel

ació

n po

tenc

ial d

el lí

qui

do

(sol

idifi

caci

ón)

, rot

ura

de la

cá

mar

a y

pérd

ida

de c

onte

nció

n.

Los

dañ

os d

el e

qui

po re

qui

eren

la s

ustit

ució

n de

la c

ám

ara

val

orad

a en

€10

M y

una

inte

rrup

ció

n de

l pro

ceso

de

6 m

eses

. Em

isio

nes

al

med

io a

mb

ient

e q

ue re

qui

eren

not

ifica

ció

n.

31

3Co

ntro

l de

tem

pera

tura

.Con

side

rar l

a in

stal

ació

n de

una

ala

rma

de

tem

pera

tura

baj

a.

01.

17N

o cr

eíb

le.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

Nin

guna

.

01.

18N

o cr

eíb

le.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

Nin

guna

.

01.

19N

o cr

eíb

le.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

Nin

guna

.

01.

20N

ivel

ele

vad

o en

la c

ám

ara.

Un

niv

el e

lev

ado

en la

cá

mar

a pu

ede

dar l

ugar

a a

rras

tre

de lí

qui

do e

n la

expo

rtac

ión

de g

as.

Los

dañ

os d

el e

qui

po e

n la

ram

a de

scen

dent

e re

qui

eren

la s

ustit

ució

n de

la c

ám

ara

val

orad

a en

€10

M y

una

inte

rrup

ció

n de

l pro

ceso

de

6 m

eses

. 3

26

Cont

rol d

e ni

vel

.Co

nsid

erar

la in

stal

ació

n de

una

ala

rma

de n

ivel

elev

ado.

01.

21N

ivel

baj

o en

la c

ám

ara.

Un

niv

el b

ajo

en la

cá

mar

a pu

ede

dar l

ugar

a

fuga

de

gas

en la

ex

port

ació

n de

líq

uido

.

Los

dañ

os d

el e

qui

po e

n la

ram

a de

scen

dent

e re

qui

eren

la li

mpi

eza

de la

cá

mar

a v

alor

ada

en €

2M y

una

inte

rrup

ció

n de

l pro

ceso

de

6 s

eman

as.

21

2Co

ntro

l de

niv

el.

Cons

ider

ar la

inst

alac

ión

de u

na a

larm

a de

niv

el b

ajo.

01.

22N

o cr

eíb

le.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

Nin

guna

.

01.

23N

o cr

eíb

le.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

Nin

guna

.

01.

24N

o cr

eíb

le.

Nin

gún

pelig

ro c

reíb

leN

ingu

na.

Nin

guna

.



33

Ref. Peligro Consecuencia Acción Acciónasignada

Fecha definalización

01.01 Un flujo elevado en lacámara puede dar lugara un nivel elevado, conarrastre de líquido a laexportación de gas.

Daños al equipo en larama descendente.

Considerar lainstalación de unaalarma de nivelelevado.

S SmithC&I_Dept

14/04/12

01.02 Un flujo elevado desdela cámara puede darlugar a un nivel bajo,con fuga de gas a laexportación de líquido.


Considerar lainstalación de unaalarma de nivelbajo.

S SmithC&I_Dept

14/04/12

01.04 Un flujo bajo hacia lacámara puede darlugar a un nivel bajo,con fuga de gas a laexportación de líquido.



S SmithC&I_Dept

14/04/12

01.05 Un flujo bajo desde lacámara puede darlugar a un nivelelevado, con arrastrede líquido a laexportación de gas.



S SmithC&I_Dept

14/04/12

01.10 Rotura de la cámara yliberación de gas.

Posibles víctimas delpersonal demantenimiento. Dañosal equipo. Emisiones almedio ambiente.

Considerar lainstalación de unaalarma de presiónelevada.

J Jones ProcessDept

21/04/12

01.11 Rotura de la cámara yliberación de gas.


Considerar lainstalación de unaalarma de presiónbaja.

J Jones ProcessDept

21/04/12

01.15 Una temperaturaelevada conllevapresión elevada, roturade la cámara yliberación de gas.


Considerar lainstalación de unaalarma detemperaturaelevada.

V WhiteC&I_Dept

21/04/12

01.16 Congelación potencialdel líquido, rotura de lacámara y pérdida decontención.

Daños al equipo.Emisiones al medioambiente.

Considerar lainstalación de unaalarma detemperatura baja.

V WhiteC&I_Dept

21/04/12

01.20 Un nivel elevado en lacámara puede darlugar a arrastre delíquido a laexportación de gas.



S SmithC&I_Dept

14/04/12

01.21 Un nivel bajo en lacámara puede darlugar a fuga de gas a laexportación de líquido.



S SmithC&I_Dept

14/04/12

34



4.4. Ejemplos de categorizaciones en la matriz de riesgos

En la Figura 11 se presenta información similar a la sencilla matriz de riesgos utilizadaanteriormente. La gravedad de la consecuencias ha sido clasificada por medio de sencillasdescripciones genéricas como, por ejemplo, secundaria, menor, grave, catastrófica, etc. Sise ha realizado un HAZOP, probablemente se conocen las posibles consecuencias de lospeligros identificados y estos pueden ser agrupados y categorizados.

La cuantificación de la posibilidad de suceso resulta más difícil. En la Figura 11 se muestraun enfoque mediante el cual la posibilidad se categoriza de forma descriptiva desde muyfrecuente (el peligro se da varias veces al año en las instalaciones) hasta muy raras veces(nunca visto en la industria o nunca visto en ninguna industria). Con una descripcióncualitativa de la posibilidad de suceso es posible asignar rangos de frecuencia a cadacategoría.

La tabla resultante permite de este modo categorizar los riesgos de muy bajos (VL),bajos (L), medios (M), altos (H) a muy altos (VH), de acuerdo a la categoría de gravedady a la frecuencia.



35

Nun

ca c

onst

atad

o en

nin

guna

indu

stria

/tip

o de

trab

ajo

Nun

ca c

onst

atad

o en

nin

guna

indu

stria

/tip

o de

trab

ajo

Cons

tata

do e

n la

indu

stria

/tip

o de

trab

ajo

Ocu

rrid

o en

el n

egoc

io

Ocu

rre

varia

s ve

ces

en e

l ne

goci

o

Ocu

rre

en la

s in

stal

acio

nes

Ocu

rre

varia

s ve

ces

en la

s in

stal

acio

nes

Ocu

rre

varia

s ve

ces

al a

ño e

n la

s in

stal

acio

nes

AB

CD

EF

GH

Cata

stró

fica

10-6 /a

ño

Gra

ve

10-5 /a

ño

Impo

rtan

te

10-4 /a

ño

Mod

erad

o

10-3 /a

ño

Men

or

10-2 /a

ño

Inci

dent

e

10-1 /a

ño

<10-6

/año

10-6

– 1

0-5

/año

10-5

– 1

0-4 /a

ño10

-4 –

10

-3 /año

10-3

– 1

0-2 /a

ño10

-2 –

10

-1 /año

10

-1 –

1/a

ño

>1/a

ño

VL

Ver

osim

ilitu

d

Gra

veda

d

6M

HV

HV

LL

VH

VH

VH

5L

MH

VH

VH

VH

4V

LL

MH

VH

VH

3V

LL

MH

VH

2V

LL

MH

1V

LL

M

Figura 11: Matriz de riesgos

36



4.5. Cuantificación de riesgos

La tolerabilidad de riesgos hasta el momento ha sido cualitativa. La cuantificación de latolerabilidad de riesgos para la seguridad personal depende de cómo se perciban losriesgos, y en ello pueden influir varios factores, entre ellos:

• la experiencia personal en cuanto a efectos adversos;• los antecedentes sociales o culturales y las creencias;• el grado de control que se tiene sobre un riesgo en particular;• la medida a la que la información se obtiene de diferentes fuentes como,

por ejemplo, los medios de comunicación.

Claramente los riesgos que son muy altos resultan obviamente inaceptables (por ejemplo,fumar al estar embarazada) y en otras situaciones en las que el riesgo es tan bajo queresulta insignificante (por ejemplo, hervir leche). Por supuesto, el área de discusión másinteresante es la zona intermedia de riesgo tolerable. La tarea es, por lo tanto, definir lasdos condiciones límite:

• entre un riesgo inaceptable y tolerable;• entre un riesgo tolerable y aceptable.

El documento orientativo de la HSE sobre reducción de riesgos y protección de personas(R2P2) [19.3] propone que un riesgo individual de fallecimiento de 1 en 1,000,000 alaño, tanto para empleados como para la población general corresponde a un nivel deriesgo muy bajo y debe usarse como límite de riesgo ampliamente aceptable(insignificante).

El documento R2P2 sugiere asimismo que un riesgo individual de fallecimiento de 1 en1000 al año debería representar la condición límite entre lo que es apenas tolerable enuna categoría sustancial de trabajadores durante gran parte de su vida laboral, y lo quees inaceptable para cualquiera, a excepción de grupos de carácter bastante excepcional. En el Reino Unido, el objetivo de la salud y la seguridad laboral es alcanzar un nivel al queprácticamente toda la población pudiera estar expuesta a diario, sin efectos adversos.

En el caso de la población general que está sometida a riesgos, este límite estáconsiderado en un orden de magnitud inferior a 1 en 10,000 al año.

Los criterios adoptados por la HSE pueden demostrarse en un marco denominadotolerabilidad del riesgo (TOR), (Figura 12). Ahí se han identificado los criterios de riesgoindividual máximo tolerable y de riesgo ampliamente aceptable.



37

4.6. Tolerabilidad y aceptabilidad del riesgo

Al determinar el riesgo cuantitativo que presentan los peligros identificados en, digamos,un HAZOP, es necesario establecer criterios de riesgo cuantitativo y tener en cuenta otrospeligros laborales a los que un individuo estará expuesto durante su jornada laboral. Noes irrazonable suponer que un individuo pueda estar expuesto a unos 10 peligros dedicho tipo. La tolerabilidad de los criterios de riesgo (Figura 12) puede entoncesdistribuirse entre estos 10 peligros, obteniendo un riesgo individual máximo tolerable defallecimiento de 1 en 10,000 al año (Figura 13).

El límite de riesgo ampliamente aceptable para el riesgo individual de fallecimiento, tantopara empleados como para miembros de la población general, se mantiene en 1 en1,000,000 al año, puesto que esto ya se considera insignificante. La tolerabilidad del riesgopuede resumirse tal y como se presenta en la Figura 14.

Área no aceptable

Área tolerable

Área ampliamente aceptable

10-6 pa

10-3 pa

Ries

go c

reci

ente

Figura 12: Tolerabilidad de riesgo

Área no aceptable

Área tolerable

Área ampliamente aceptable

10-6 pa

10-4 pa

Ries

go c

reci

ente

Figura 13: Criterios de riesgo individuales

38



Desde el riesgo individual máximo tolerable de fallecimiento de 1 en 10,000 al año, esposible determinar otros valores de riesgo máximo tolerable en función de la gravedady de la participación o falta de participación de terceros (Figura 15).

RIESGO INDIVIDUAL por año

Consecuencia Menor/Grave Grave/Fatídica Fatídica múltiple

Empleados 10-3 10-4 10-5

Población general 10-4 10-5 10-6

RIESGO AMPLIAMENTE ACEPTADO (insignificante)


Empleados 10-5 10-6 10-6

Figura 15: Resumen de tolerabilidad de riesgo

RIESGO INDIVIDUAL por año


Empleados 10-3 10-4 10-5

Población general 10-4 10-5 10-6

RIESGO AMPLIAMENTE ACEPTADO (insignificante)


Empleados 10-5 10-6 10-6




39

4.7. Tolerabilidad del riesgo

El resumen de tolerabilidad del riesgo (Figura 15) puede representarse en forma gráfica,tal y como se muestra en la Figura 16.

Múltiplesvíctimas

Riesgo máximotolerable –empleado

Riesgo máximotolerable –

población general

Riesgo insignificante

10-6 10-5 10-4 10-3

Frecuencia (/año)

Gra

veda

d de

la c

onse

cuen

cia

Unavíctima

Lesiones


40



4.8. Requisitos de conformidad

Los requisitos de los niveles de integridad de seguridad (SIL) derivan de las frecuenciasposibles de eventos peligrosos. En función de las consecuencias de un peligro, seestablece una frecuencia máxima tolerable y una función de seguridad diseñadas parareducir la frecuencia a un nivel tolerable.

La reducción de riesgos requerida por parte de las funciones de seguridad presenta elprimer requisito de conformidad con la norma: se trata de la medición numérica defiabilidad.

La medición numérica de fiabilidad se categoriza en función del valor, en bandas o nivelesde integridad de seguridad. Existen 4 niveles de integridad de seguridad de acuerdo a lamedida de fiabilidad objetivo requerida. SIL4 representa el nivel de integridad más alto,la mayor magnitud de reducción de riesgos y el objetivo de fiabilidad más oneroso. SIL1representa el nivel de integridad más bajo y el objetivo de fiabilidad menos oneroso.

4.9. Principio ALARP

En la anterior descripción general de análisis de peligros y de riesgos se ilustra cómodeterminar los riesgos de proceso y cómo obtener el riesgo máximo tolerable. Noobstante, conforme a HSAWA, es necesario continuar haciendo esfuerzos adicionalespara reducir más el riesgo por otros medios, hasta que se pueda demostrar que el riesgo sea “Tan bajo como resulte razonablemente practicable” (ALARP), es decir, cuandouna mayor reducción de riesgos no resulte rentable [5].


Principio ALARP

41

5. Principio ALARP

5.1. Beneficios y sacrificios

Al usar “razonablemente practicable” se establecen objetivos para los responsables acargo, en vez de prescribir. Esta flexibilidad supone una gran ventaja, ya que permite a losresponsables a cargo seleccionar el que consideren el mejor método, por lo que apoya lainnovación, aunque también tiene sus inconvenientes. Decidir si un riesgo cumple elprincipio ALARP puede representar un reto, ya que para establecer un criterio se requierela opinión de los responsables a cargo y de asesores.

Las principales pruebas aplicables a la regulación de riesgos industriales incluyendeterminar si:

a) el riesgo es tan elevado que debe rechazarse totalmente;b) el riesgo es, o se ha hecho, tan pequeño como para resultar insignificante;c) el riesgo se clasifica entre los dos estados especificados en los apartados

a) y b) anteriores, y se ha reducido a un nivel “Tan bajo como resulterazonablemente practicable”.

El concepto “razonablemente practicable” resulta difícil de cuantificar. Implica que espreciso realizar un cómputo en el que la reducción adicional de riesgo que puedaobtenerse esté equilibrada con respecto al sacrificio que supone conseguirla (en dinero,tiempo o problemas). Si existe una desproporción excesiva entre ambos, es decir, si elbeneficio es insignificante con relación al coste, el riesgo se considera ALARP.

Así, la demostración de que se han reducido los riesgos de acuerdo al principio ALARPimplica una evaluación de:

• el riesgo que debe evitarse;• el sacrificio (en dinero, tiempo y problemas) que supone adoptar medidas para

evitar dicho riesgo;• una comparación entre ambos.

Este proceso puede abarcar diferentes grados de rigor, que dependen de:

• la naturaleza del peligro;• el alcance del riesgo;• las medidas de control que deben adoptarse.

No obstante, los responsables a cargo (y el regulador) no deben asumir una cargaexcesiva si no se justifica dicho rigor. Cuanto mayor sea el nivel de riesgo inicial quese esté considerando, mayor será el grado de rigor necesario.

42



5.2. Desproporcionalidad

Un análisis de coste-beneficio (CBA) puede ayudar a un responsable a cargo a emitir unjuicio sobre si está justificada la adopción de medidas adicionales de reducción deriesgos. Las medidas adicionales de reducción de riesgos pueden considerarserazonablemente practicables a menos de que el coste de implementación de dichasmedidas resulte excesivamente desproporcionado con relación a los beneficios. Dicho deforma sencilla: si coste/beneficio > factor de desproporción, entonces se considera que no merece la pena adoptar la medida dada la reducción de riesgos que se obtiene.

Los factores de desproporción que pueden considerarse excesivos varían desde más de1 en función de varios factores entre los que se incluyen la gravedad de las consecuenciasy la frecuencia en la que se hagan efectivas dichas consecuencias; es decir, cuanto mayorsea el riesgo, mayor será el factor de desproporción.

5.3. ¿Qué se considera una desproporción excesiva?

La HSE no ha formulado un algoritmo que pueda utilizarse para determinar cuándopuede considerarse excesivo el grado de desproporción. No existe una orientaciónacreditada por parte de los tribunales sobre qué factores deben tenerse en cuenta almomento de determinar si el coste es excesivamente desproporcionado. Por lo tanto, sedebe emitir un juicio caso por caso, y se pueden obtener ciertas pistas u orientaciones apartir de consultas de accidentes importantes.

A partir de la consulta realizada en 1987 sobre el reactor Sizewell B, se utilizaron lossiguientes factores de desproporción:

• para riesgos bajos para la población general, un factor de 2;• se aplica un factor de hasta 3 (es decir, el coste triplica los beneficios) a riesgos a

los trabajadores; • para riesgos mayores, un factor de 10.

5.4. Análisis de coste-beneficio (CBA)

En el caso de muchas decisiones en las que interviene el principio ALARP, la HSE no esperaque los responsables a cargo lleven a cabo un análisis de coste-beneficio detallado, sinoque puede bastar una sencilla comparación de costes a beneficios.

Los análisis de coste-beneficio únicamente deben utilizarse para apoyar decisionesbasadas en el principio ALARP. No debe constituir el único argumento de una decisiónbasada en el principio ALARP ni debe utilizarse para restar autoridad a las normas y a lasbuenas prácticas en vigor. Un análisis de coste-beneficio en sí no constituye un caso de


Principio ALARP

43

ALARP y no puede utilizarse como argumento frente a obligaciones legales, no puedejustificar riesgos intolerables ni justificar ingeniería evidentemente deficiente.

Entre los costes justificables que pueden tenerse en cuenta en un análisis de coste-beneficio se incluyen:

• Instalación;• Funcionamiento;• Formación; • Todo mantenimiento adicional;• Pérdidas comerciales derivadas de cualquier interrupción ocasionada con el

único propósito de introducir la medida;• Intereses derivados de producción postergada; por ejemplo, petróleo o gas

restante en un campo petrolífero/de gas mientras se llevan a cabo trabajos enuna plataforma;

• Todos los costes declarados deben ser aquellos en que haya incurrido elresponsable a cargo (no se tendrán en cuenta los costes en que hayan incurridolas demás partes, por ejemplo, la población general);

• Los costes que deben considerarse deben ser únicamente aquellosnecesarios para implementar la medida de reducción de riesgos (sin añadirfuncionalidades costosas e innecesarias ni adoptando medidas de lujo).

Entre los beneficios justificables que pueden declararse en un análisis de coste-beneficiopueden incluirse todos los beneficios derivados de implementar una medida de mejora de seguridad en su conjunto, de modo que no se subestimen de modo alguno.Los beneficios deben incluir todas las reducciones de riesgo a la población general, atrabajadores y a la comunidad en general, y entre ellos pueden incluirse:

• Fallecimientos evitados;• Lesiones evitadas (de más graves a menos graves);• Enfermedades evitadas;• Daños medioambientales evitados, si son relevantes (por ejemplo, COMAH).

Entre los beneficios declarados puede incluirse asimismo la elusión del despliegue deservicios de emergencia y la elusión de contramedidas como la evacuación y ladescontaminación posterior al accidente, si se estimara oportuno. No obstante, paracomparar los beneficios de implementar una mejora de seguridad contra los costesasociados, la comparación debe establecerse sobre una base común. Un método sencillopara llevar a cabo un primer filtro de medidas es indicar los costes y los beneficios en unformato común de “€ al año” durante la vida útil de una planta.

44



En la Tabla 1 se muestran algunos de los valores monetarios típicos que pueden utilizarse.

Tabla 1: Concesiones típicas en los tribunales (2003)

5.5. Ejemplo

Pregunta: Pensemos en una planta de productos químicos en la que tiene lugar unproceso en el que una explosión podría ocasionar:

• 20 víctimas mortales;• 40 personas con lesiones permanentes;• 100 heridos graves;• 200 heridos leves.

Se ha analizado que la tasa de ocurrencia de una explosión de este tipo es deaproximadamente 10-5 al año, lo que equivale a 1 en 100,000 al año. La vida útilaproximada de la planta es de 25 años. ¿Cuánto podría gastar la organización deforma razonable para eliminar el riesgo de explosión?

Pérdida €1,336,800 (el doble encaso de cáncer)

Lesión Lesión de incapacitación permanente.Algunas restricciones permanentes aactividades de ocio y posiblemente algunasactividades laborales.

€207,200

Grave. Algunas restricciones a actividadeslaborales y/o de ocio durante variassemanas/meses.

€20,500

Lesión leve que implica cortes menores ycardenales con recuperación rápida ycompleta.

€300

Enfermedad Enfermedad por incapacitación permanente.Igual que para lesión.

€193,100

Otros casos de mala salud. Más de unasemana de ausencia. Sin consecuenciaspermanentes a la salud.

€2,300 + €180 por díade ausencia

Menor Hasta una semana de ausencia. Sinconsecuencias permanentes a la salud.

€530


Principio ALARP

45

Respuestas: De eliminarse el riesgo de explosión, los beneficios podrían evaluarse delsiguiente modo:

Víctimas mortales: 20 x €1,336,800 x 10-5 x 25 años = €6684Personas con lesiones permanentes: 40 x €207,200 x 10-5 x 25 años = €2072Personas con lesiones graves: 100 x €20,500 x 10-5 x 25 años = €512Personas con lesiones leves: 200 x €300 x 10-5 x 25 años = €15Beneficios totales = €9283

La suma de €9,283 es el beneficio calculado que se deriva de eliminar una explosiónimportante en la planta sobre la base de evitar víctimas mortales. (Este método no incluyedescuentos ni tiene en cuenta la inflación.)

Para que una medida se considere no razonablemente practicable, el coste debe serexcesivamente desproporcionado con respecto a los beneficios. En este caso, el factorde desproporción refleja que las consecuencias de explosiones de ese tipo son altas. Esimprobable obtener un factor de desproporción de más de 10 y, por lo tanto, resultaríarazonablemente práctico gastar hasta unos €93,000 (€9300 x 10) para eliminar el riesgode una explosión. El responsable a cargo tendría que justificar el uso de un factor dedesproporción menor.

Puede utilizarse este tipo de análisis sencillo para eliminar o incluir determinadas medidascosteando varios métodos alternativos de eliminación o de reducción de riesgos.

Enfoque alternativo

Es más probable que una medida de mejora de la seguridad no elimine un riesgo,sino que simplemente lo reduzca parcialmente, de modo que será necesario evaluarla reducción de riesgos obtenida como beneficio contra al coste de implementación.

Normalmente, las organizaciones emplean un coste por objetivo de vida salvada (o valorde prevención de un fallecimiento estadístico (VPF).

El coste derivado de evitar víctimas mortales durante la vida útil de la planta se comparaal valor de prevención de un fallecimiento estadístico objetivo.

Las mejoras se implementan a menos que el coste sea excesivamente desproporcionado.

46



5.6. Ejemplo

Pregunta: Aplicación del principio ALARP

En una industria en particular se utiliza un coste por objetivo de vida salvada de €2M. Seha establecido un objetivo de riesgo tolerable máximo de 10-5 por año para un peligroespecífico, con una posibilidad de ocasionar 2 víctimas mortales.

Se ha evaluado el sistema de seguridad propuesto y se ha predicho un riesgo de 8.0 x 10-6 al año. Dado que un riesgo ampliamente aceptable (insignificante) es de 10-6 por año, se requiere la aplicación del principio ALARP.

En este ejemplo, para un coste de €10,000, instrumentación y redundancia adicionalesreducen el riesgo a 2.0 x 10-6 al año (justo por encima de la región insignificante) durantela vida útil de la planta, que es de 30 años.

¿Debería adoptarse la propuesta?

Respuesta: El número de vidas salvadas durante la vida útil de la planta viene dado por:

N = (reducción de frecuencia de víctimas mortales) x número de víctimas mortales por incidente x vida útil de la planta

= (8.0 x 10-6 – 2.0 x 10-6) x 2 x 30= 3.6 x 10-4

De ahí que el coste por vida salvada sea de:

VPF = €10,000/3.6 x 10-4

= €27.8M

El VPF calculado es > 10 veces el criterio de coste objetivo vida salvada de €2M y, por lotanto, la propuesta debe rechazarse.


Determinación de objetivos del SIL

47

6. Determinación de los objetivos de nivel de integridad de seguridad (SIL)

6.1. Funciones de seguridad en modo a demanda y en modo continuo

Al evaluar un sistema de seguridad en términos de fallos de funcionamiento, existen dosopciones principales en función del modo de funcionamiento. Si un sistema de seguridadexperimenta una frecuencia baja de demanda, normalmente inferior a una vez al año, sepuede decir que funciona en modo a demanda. Un ejemplo de este sistema de seguridadsería el airbag de un vehículo.

Los frenos de un vehículo son un ejemplo de sistema de seguridad con un modo defuncionamiento continuo, ya que se utilizan (casi) continuamente. En los sistemas deseguridad de modo a demanda es habitual calcular el promedio de la probabilidad defallo a demanda, mientras que en los sistemas de seguridad que funcionan en modocontinuo se utiliza la probabilidad de fallo peligroso por hora (PFH).

6.2. Función de seguridad en modo a demanda

Por ejemplo, supongamos que en nuestra fábrica tenemos una media de 1 incendiocada 2 años y que, de no hacer nada más, dicho incendio provocaría víctimas mortales.Podríamos dibujar un diagrama de la frecuencia de víctimas mortales (Figura 17); dichafrecuencia sería de 0.5/año.

Fuego fábrica

Frecuencia de letalidad

Frecuencia peligro

Uno cada 2 años

Conlleva víctima(s)

Riesgo inherente al proceso

Figura 17: Frecuencia de mortalidad

48



En este caso, es fundamental que, al estudiar las consecuencias del incendio, no tomemosen cuenta las medidas de seguridad existentes que puedan haberse instalado. Se buscanlas consecuencias en el peor de los casos.

Si posteriormente se instala una alarma de humo que, dijéramos, funcionara 9 veces decada 10, se esperaría una víctima mortal en la única ocasión, de 10 incendios, en que seprodujera un fallo de funcionamiento de la alarma a demanda. En este caso, la frecuenciade víctimas mortales se reduciría de 1 cada 2 años a 1 cada 20 años.

En este ejemplo, la alarma de humo funciona en 9 de cada 10 incendios, por lo quepresenta una probabilidad de fallo a demanda de 1 de cada 10, o sea un 10%. En estecaso, PFD = 0.1. La alarma de humo, con una probabilidad de fallo a demanda (PFD) de0.1, reduce la frecuencia de víctimas mortales en un factor de 10, dando un factor dereducción de riesgos (RRF) de 10.

En resumen, PFD = 1/RRF.

Resulta útil recordar que, matemáticamente, la probabilidad de fallo a demanda (PFD) es unaprobabilidad y que, por lo tanto, se trata de una cantidad adimensional con un valor entre 0 y 1.

6.3. Ejemplo de objetivo de nivel de integridad de seguridad

El enfoque para determinar un objetivo de nivel de integridad de seguridad (SIL) escalcular la reducción de riesgos necesaria para reducir la frecuencia de las consecuenciasde un peligro a un nivel tolerable.

Fuego fábrica

Alarma de humo

Frecuencia de letalidad

Frecuencia peligro

Uno cada 20 años Uno cada 2 años

Frecuencia de letalidad 1 por 20 años



La alarma de humo funciona 9 de cada 10 veces

Figura 18: Frecuencia de mortalidad reducida



49

El enfoque recomendado para determinar los niveles de integridad de seguridad esevaluar el riesgo que supone cada uno de los peligros en la planta. Si llevamos a caboun HAZOP en nuestra planta e identificamos un peligro en el proceso con el potencialde causar daños, en caso de no hacer nada, deberemos evaluar las consecuenciaspotenciales. Estas consecuencias en el peor de los casos determinan la frecuenciamáxima tolerable para dicho peligro.

Si el riesgo pudiera ocasionar una víctima mortal entre nuestros empleados, entoncesbasándonos en la tolerabilidad y aceptabilidad de los criterios de riesgo [4.6], es posibleasignar una frecuencia máxima tolerable para dicho peligro. En otras palabras, para elpeligro identificado, podemos especificar un riesgo máximo tolerable de 10-4 al año.

Al analizar las causas iniciadoras del peligro podemos calcular la posibilidad del mismo,suponiendo que no hacemos nada más, y compararla con la frecuencia máxima tolerableespecificada. Es posible llevar a cabo ciertos análisis y determinar que el peligro, de nocorregirse, podría producirse una vez al año. Esto representa, por lo tanto, un intervalo deriesgo: algo que debe tratarse (Figura 19).

Podemos entonces contabilizar los dispositivos de seguridad que pueden ya existir parareducir la frecuencia del peligro, como por ejemplo una alarma (Figura 20). En este caso, laalarma reduce la frecuencia de la consecuencia del peligro mediante su probabilidad defallo a demanda (PFD). Por lo tanto se reduce el intervalo de riesgo, pero el riesgo residualgeneral, a pesar de ser menor, sigue siendo mayor que el riesgo máximo tolerable.

Peligro del proceso

Frecuencia peligro10-4/año 1/año

Intervalo de riesgo



Nivel de riesgotolerable

Figura 19: Intervalo de riesgo

50



AlarmasMec.Otro

Peligro del proceso

Frecuencia peligro10-4/año 10-3/año 10-2/año 0.1/año 1/año

Intervalo de riesgo




PFD <0.1 PFD = 0.1 PFD = 0.1 PFD = 0.1

Riesgointermedio

Figura 21: Considerar otras capas de protección

Alarmas

Peligro del proceso

Frecuencia peligro10-4/año 0.1/año 1/año

Intervalo de riesgo




PFD = 0.1

Figura 20: Contabilizar alarmas



51

El hecho de tomar en consideración otras capas de protección puede reducir aún másel riesgo residual. Es posible que haya dispositivos mecánicos como una válvula de aliviode presión, un muro contra explosiones o un muro cortafuego. Entre otras medidas dereducción de riesgos se pueden incluir control de procesos, instrumentación oprocedimientos, y cada una de ellas puede reducir el riesgo residual (Figura 21) mediantesus respectivas probabilidades de fallo a demanda (PFD). En este ejemplo hemoscontabilizado los diferentes dispositivos de seguridad existentes en la planta y seguimosteniendo un intervalo de riesgo residual. Podemos ver que, para reducir la frecuencia delpeligro a menos de la frecuencia máxima tolerable se requiere otra capa, con unaprobabilidad de fallo a demanda inferior a 0.1. Ésta es la tarea del sistema instrumentadode seguridad (SIS) (Figura 22). Este cálculo, realizado no obstante de forma gráfica en estecaso, proporciona la probabilidad de fallo a demanda objetivo de nuestro sistemainstrumentado de seguridad (SIS) y permite determinar el objetivo de nivel de integridadde seguridad (SIL). Éste es un ejemplo de una función de seguridad en modo a demanda.

AlarmasMec.Otro

Peligro del proceso

Frecuencia peligro10-4/año 10-3/año 10-2/año 0.1/año 1/año

Intervalo de riesgo




Riesgoresidual

PFD <0.1 PFD = 0.1 PFD = 0.1 PFD = 0.1

Riesgointermedio

SIS

Figura 22: Objetivo de la probabilidad de fallo a demanda (PFD)

52



6.4. Funciones de seguridad

En la Figura 23 se muestra la configuración de un SIS y su proceso de forma típica.

La función instrumentada de seguridad supervisa determinados parámetros de procesoy adopta una acción ejecutiva para que el proceso resulte seguro en caso de superarseciertos límites. En la Figura 24 se muestra un ejemplo de la industria de proceso.

Transmisor de presión

Controladorde presión

LógicaESD

Válvulasolenoide

Suministrohidráulico

Purgahidráulica

Entradagasoducto

Exportacióngasoducto

Válvulacierre

Válvulacontrol presión

Clasificado como 139 bar Clasificado como 48 bar

PC

SPT

Figura 24: Ejemplo de función instrumentada de seguridad

SISSistema instrumentado

de seguridad

Proceso

Figura 23: Sistema instrumentado de seguridad



53

En la figura se muestra un gasoducto que proporciona suministro a una central de energía. Elgas pasa de izquierda a derecha a través de una válvula de cierre seguridad antes de llegar ala válvula de control de presión (PCV). La válvula de control de presión se controla por mediode un controlador de presión (PC) que mantiene la presión del gas a menos de 48 barias, lacapacidad nominal segura del gasoducto de exportación. El fallo de esta función de controlde presión podría tener como consecuencia la sobrepresurización en la rama descendentedel gasoducto, una posible rotura, la ignición o una víctima mortal, por lo que se ha diseñadouna función de seguridad para evitar que se produzca esta situación. La función de seguridadconsiste en un transmisor de presión (PT) independiente, cierta lógica de cierre deemergencia (ESD) y una válvula de cierre seguridad (SDV), activada por una válvula hidráulicaaccionada por solenoide (SOV) para cortar el suministro de gas en caso de que la presión enla rama descendente supere un nivel de activación preconfigurado.

6.5. Ejemplo de una función de seguridad en modo a demanda

Éste es un ejemplo de una función de seguridad en modo a demanda. Las característicasclave de una función de seguridad en modo a demanda son:

• por lo general es independiente del proceso;• el fallo de la función de seguridad tiene como resultado la pérdida de

protección, pero no es en sí peligroso;• la frecuencia de la demanda a la que está sometida es baja (menos de una vez

al año).

Transmisor

de presión

Controlador

de presión

Proceso y BPCS

Función instrumentada de seguridad

Lógica

ESD

Válvula

solenoide

Suministro

hidráulico

Purga

hidráulica

Entrada

gasoducto

Exportación

gasoducto

Válvula

cierre

Válvula

control presión


PC

SPT

Figura 25: Función de seguridad en modo a demanda

54



Entre las funciones de seguridad en modo a demanda se incluye la parada de proceso(PSD), el cierre de emergencia (ESD) y los sistemas de protección de presión de altaintegridad (HIPPS).

A menudo resulta confuso que el transmisor de presión que forma parte de una funciónde seguridad proporcione supervisión continua de la presión del proceso, lo que noexcluye de funcionar en modo a demanda. El término ’modo a demanda’ está relacionadocon la frecuencia de las demandas de acción ejecutiva (por ejemplo, la frecuencia deepisodios de alta presión).

6.6. Ejemplo de una función de seguridad en modo continuo

En la Figura 26 se muestra un ejemplo de una función de seguridad en modo continuo.

Gas combustibleGas principal

Regulador

Aire

de

com

bust

ión

S

S

Sistema deadministraciónde quemadores

TT004

TE003

TE002

TT001

TT406

TE405

TE405

XY101

S XY101

TY102

HC201

HC202

S XY104

Figura 26: Función de seguridad en modo continuo



55

En la figura se muestra un sistema de gestión de quemadores (BMS) típico, utilizadopara controlar un horno. El sistema controla el gas combustible y el aire de combustiónal horno y supervisa la llama en los quemadores por medio de detectores de llama.

En caso de ausencia de llama, el sistema de gestión de quemadores debe cortar elgas para evitar que se acumule y posiblemente explote. De forma similar, antes delencendido, el quemador debe purgarse para garantizar que no se haya acumulado gas en el horno debido a la filtración por las válvulas o a fallos de control.

El sistema de gestión de quemadores debe, por lo tanto, ejercer el control durante lasecuencia de encendido, y realizar la purga correctamente, además de supervisar laoperación después del encendido. En este ejemplo, el sistema de gestión de quemadoresy todas las válvulas y todos los sensores asociados, constituyen una función de seguridaden modo continuo.

Las características clave de una función de seguridad en modo continuo son:

• por lo general proporciona algunas funciones de control;• el fallo de la función de seguridad provoca normalmente una situación peligrosa;• la frecuencia de las demandas a las que está sometida es alta (más de una vez al

año o incluso continua).

Entre las funciones de seguridad en modo continuo se incluye normalmente los sistemasde gestión de quemadores y de control de turbinas.

6.7. Objetivos del SIL en modo a demanda

IEC 61511-1, 9.2.4 agrupa los objetivos de probabilidad de fallo a demanda en bandas oniveles de integridad de seguridad (SIL). En el ejemplo anterior [6.3], contamos con unobjetivo de probabilidad de fallo a demanda de <10-1 para nuestra función de seguridad,lo que da como resultado un requisito SIL1, como se muestra en la Tabla 2.

Tabla 2: Objetivos de nivel de integridad de seguridad (SIL) en modo a demanda

Modo de operación a demanda(Probabilidad promedio de fallo para ejecutar la funciónprevista bajo demanda)

Nivel de integridad deseguridad

≥10-5 a <10-4 4

≥10-4 a <10-3 3

≥10-3 a <10-2 2

≥10-2 a <10-1 1

56



Nota: el objetivo de la probabilidad de fallo a demanda se agrupa en bandas de nivel deintegridad de seguridad, puesto que la norma requiere un grado de rigor adecuado enlas técnicas y en las medidas aplicadas con el fin de controlar y evitar fallos sistemáticos.Estos requisitos se tratan en mayor profundidad en el apartado [12.15].

6.8. Objetivos de nivel de integridad de seguridad (SIL) en modo continuo

IEC 61511-1, 9.2.4 proporciona asimismo objetivos de nivel de integridad de seguridad(SIL) para sistemas que funcionan en modo continuo (Tabla 3).

Tabla 3: Objetivos de nivel de integridad de seguridad (SIL) en modo continuo

Nota: la medición del fallo del objetivo para los objetivos del modo continuo es laprobabilidad de fallo por hora (PFH) o la tasa de fallo.

Nota a pie de página.

A primera vista, estos objetivos de tasa de fallo pueden parecer más onerosos que losobjetivos para los sistemas en modo a demanda; por ejemplo, el SIL1 (modo a demanda)debería presentar una probabilidad de fallo a demanda de <10-1, mientras que el SIL1(modo continuo) presenta una probabilidad de fallo a demanda de <10-5 fallos/hora.

No obstante, las tablas pueden alinearse si se convierten los objetivos del modo continuode fallos/hora a fallos/año. En un año hay aproximadamente 10-4 horas (realmente 8760), demodo que la tabla del modo continuo se puede modificar tal y como se muestra en la Tabla 4.

Tabla 4: Objetivos de nivel de integridad de seguridad (SIL) en modo continuo (PA)

Modo continuo de operación(Probabilidad de fallos peligrosos por año)


≥10-5 a <10-4 4

≥10-4 a <10-3 3

≥10-3 a <10-2 2

≥10-2 a <10-1 1

Modo continuo de operación(Probabilidad de fallo peligroso por hora, PFH)


≥10-9 a <10-8 4

≥10-8 a <10-7 3

≥10-7 a <10-6 2

≥10-6 a <10-5 1



57

6.9. Modos de funcionamiento (sistemas en modo a demanda y continuo)

Al determinar el modo de funcionamiento de un sistema instrumentado de seguridad(SIS), la norma IEC 61511-1, 3.2.43 ofrece las siguientes definiciones.

Modo a demanda

• cuando se adopta una acción específica en respuesta a las condiciones delproceso o a otras demandas. En caso de fallo peligroso de las funcionesinstrumentadas de seguridad (SIF), se produce un peligro potencial únicamenteen caso de un fallo en el proceso del sistema básico de control de proceso(BPCS);

Modo continuo

• cuando, en caso de un fallo peligroso de las funciones instrumentadas deseguridad (SIF), se produce un peligro potencial sin ningún fallo adicional,a menos que se adopten las acciones necesarias para evitarlo.

Una buena regla general al decidir si la función de seguridad está en modo alto o enmodo a demanda, es identificar la métrica significativa o la medida de fiabilidad.

Por ejemplo, los airbags de un vehículo proporcionan una valiosa función de seguridady, como conductor, me interesaría conocer su probabilidad de fallo a demanda, lo queindica que se trata de una función en modo a demanda. En referencia al apartado [6.5],las características clave de una función de seguridad en modo a demanda son:

• por lo general es independiente del proceso;• el fallo de la función de seguridad da como resultado la pérdida de protección,

pero no es en sí peligroso.

En la Tabla 2 se confirma que los objetivos para funciones en modo a demanda son laprobabilidad de fallo a demanda.

En el caso de los frenos de un vehículo, la métrica significativa sería una tasa de fallo ouna probabilidad de fallo por hora. Como conductor, me interesaría conocer la tasa defallo de la función de seguridad, lo que es indicativo de que se trata de una función enmodo continuo.

Para apoyar lo anteriormente dicho, las características clave de una función de seguridaden modo continuo son:

• por lo general proporciona determinadas funciones de control; en este caso,el frenado

• el fallo de la función de seguridad provoca normalmente una situaciónpeligrosa; pérdida de control de velocidad.

58



En la Tabla 3 se confirma que los objetivos del modo continuo son la probabilidad de fallopeligroso por hora.

6.10. Funciones de seguridad en modo a demanda

6.10.1. Ejemplo

Pregunta: Un área de proceso es atendida durante 2 horas al día. La sobrepresión delproceso ocasiona una fuga de gas y se calcula que 1 de cada 10 fugas de gas provocauna explosión que tiene como resultado el fallecimiento del operario.

Los análisis indican que la condición de sobrepresión se dará cada 5 años (una tasa de0.2 al año).

Suponga que la frecuencia máxima tolerable para el peligro (fallecimiento del operario acausa de una explosión) es de 10-4 al año.

¿Cuál es la probabilidad de fallo a demanda (PFD) necesaria del sistema instrumentadode seguridad (SIS)?

Respuesta: La tasa de mortalidad es de:

= 0.2 al año x 2/24 x 1/10= 1.67 x 10-3 al año

Por lo tanto, el sistema de seguridad debe presentar una probabilidad de fallo a demandade:

= 10-4 al año/1.67 x 10-3 al año= 6.0 x 10-2, que equivale a un SIL1.

Éste es un ejemplo de un sistema instrumentado de seguridad (SIS) en modo a demandacuyo funcionamiento únicamente se requiere a una frecuencia determinada por la tasa defallo del equipo bajo control.

Podemos confirmar que el resultado es realmente una probabilidad de fallo a demanda,puesto que hemos dividido una tasa entre una tasa para obtener una cantidadadimensional como, es decir una probabilidad.

6.11. Funciones de seguridad en modo continuo

En la Figura 27 se presenta un sencillo ejemplo de función de seguridad en modocontinuo. El producto químico de la caldera se calienta por medio de un elementoeléctrico, que se controla a través de un transmisor de temperatura que mide en la salida.



59

Suponga que el sobrecalentamiento de la caldera produce una rotura y una liberación deproducto químico, con el consiguiente incendio y el potencial de producir una víctimamortal. Claramente existe un riesgo que debe gestionarse. En este ejemplo, la tasa de fallodel proceso en su conjunto no debería superar el riesgo máximo tolerable del peligro.

6.11.1. Ejemplo

Pregunta: Suponga que un fallo en la caldera produce un sobrecalentamiento y unincendio que, en 1 de cada 400 fallos tiene como resultado una víctima mortal. Supongaasimismo que la tasa de mortalidad máxima tolerable es de 10-5 al año (mortalidad deterceros).

¿Cuál es la tasa de fallo máxima tolerable de la caldera?

Respuesta: Puesto que 1 de cada 400 fallos debe ser menor o igual al riesgo máximotolerable, podemos afirmar que:

10-5 al año ≥ λB x 1/400

Donde λB es la tasa de fallo de la caldera.

Por tanto:

λB = 400 x 10-5 al año= 4.0 x 10-3 al año, que equivale a un SIL2.

Éste es un ejemplo de un sistema instrumentado de seguridad (SIS) en modo continuo,es decir que está continuamente en riesgo, es decir, continuamente en uso. Se permiteque la caldera falle 400 veces con mayor frecuencia que la tasa de fallo máxima tolerable,puesto que únicamente 1 de cada 400 fallos da como resultado una víctima mortal.

TT

Controlador temperatura

CalderaEntrada deproceso

Salida deproceso

CalderaCalentador -Potencia

Calentador

Figura 27: Función de seguridad en modo continuo

60



En este ejemplo, tendríamos que diseñar y desarrollar el proceso; es decir, la caldera, elelemento calentador y el sensor de temperatura según un SIL2 y la tasa de fallo deberíaser inferior a 4.0 x 10-3 al año. Este proyecto representaría todo un reto, pero existe otraforma de enfocarlo.

6.11.2. Ejemplo

Suponga que hemos diseñado el proceso de nuestra caldera y calculado su tasa de fallopara que sea de 5.0 x 10-2 al año, lo que supera ampliamente el objetivo de 4.0 x 10-3 alaño.

Si éste fuera el caso y 1 de cada 400 fallos produjera una víctima mortal, la frecuencia demortalidad sería de:

= 5.0 x 10-2 al año x 1/400= 1.25 x 10-4 al año

lo que supera la tasa máxima tolerable de 10-5 al año (mortalidad de terceros).

Un enfoque alternativo podría ser dejar que la caldera fallara a esta tasainsatisfactoriamente elevada, y diseñar una función de seguridad en modo a demandapara reducir la frecuencia de mortalidad hasta la tasa máxima tolerable (Figura 28).

TT TT

Controlador temperatura

CalderaEntrada de proceso

Salida deproceso

Transmisor de temperatura

CalderaCalentador –Potencia

Calentador

ESD

Relé




61

En esta configuración dispondríamos de un segundo transmisor de temperaturaindependiente para medir la temperatura de la salida y desactivar la alimentación alcalentador eléctrico a través de una lógica de cierre de emergencia (ESD), en caso delfallo del proceso.

Podemos decir que:

10-5 al año ≥ λB x PFDT

donde λB es la tasa de fallo de la caldera, 1.25 x 10-4 al año y PFDT es la probabilidad defallo a demanda de la desactivación independiente.

Por tanto:

PFDT ≤ 10-5 al año/1.25 x 10-4 al añoPFDT ≤ 0.08

lo que equivale a una función de seguridad en modo a demanda SIL1.

Nota: estos dos ejemplos nos ofrecen la posibilidad de diseñar el sistema de la caldera ensu conjunto y el equipamiento bajo control, a SIL2, o podemos dejar que el sistema de lacaldera falle y protegerlo con una función de seguridad en modo a demanda SIL1. Ambasopciones cumplen el objetivo de riesgo máximo tolerable, pero el hecho de diseñar unsistema SIL1 en modo a demanda de dimensiones reducidas es una opción más rentableen comparación con un sistema de control de la caldera SIL2.

62



7. Diagramas de riesgos

7.1. Introducción

En los apartados [6.10] y [6.11] se presenta un método para determinar los objetivos denivel de integridad de seguridad mediante cálculos; no obstante, los diagramas de riesgossuponen una alternativa útil, especialmente cuando hay numerosos peligros que analizar.El método del diagrama de riesgos es una técnica útil de seguimiento rápido que puedeaplicarse cuando hay numerosos peligros que analizar.

Desde el punto de partida, en primer lugar se determinan las consecuencias del peligro:Ca, Cb, Cc o Cd.

A continuación, debe calcularse la frecuencia o la exposición de la persona mássometida al riesgo derivado del peligro y elegir entre Fa, exposición poco frecuente, oFb, exposición frecuente. Normalmente, si la persona más sometida al riesgo tiene unaprobabilidad de encontrarse dentro del rango de alcance de los efectos peligrosos, del10% o menos, puede seleccionarse la exposición poco frecuente. En caso contrario, laexposición se puede considerar frecuente.

Desplazándonos por el diagrama de riesgos, si la persona sometida al riesgo tiene laposibilidad de poder evitar el peligro, por ejemplo, escapando, siendo avisada o siendoprotegida por alguna función, enotnces podemos decir que es posible evitar el peligro y

CaLesión

importante

Inicio

a

1

2

3

4

5

W3

--

a

1

2

3

4

W2

--

--

a

1

2

3

W1

CbLesión grave,una víctima

CcVarias

víctimas

CdMuchasvíctimas

Exposición rara Fa

Exposición frecuente Fb

Exposiciónfrecuente Fb

Exposición rara Fa


Exposición rara Fa

Improbablede evitar Pb

Posiblede evitar Pa


Posiblede evitar Pa


Posiblede evitar Pa


Posiblede evitar Pa

Figura 29: Diagrama típico de riesgos


Diagramas de riesgos

63

seleccionar dicha opción en el diagrama de riesgos. De lo contrario debemos suponer queno es posible evitar el peligro y llegamos a un punto determinado, una de las filas en lascolumnas situadas a la derecha del diagrama de riesgos.

Por último, debemos seleccionar la probabilidad de que el peligro se produzca eligiendoya sea la columna W3 (probabilidad de suceso relativamente alta), W2 (probabilidad desuceso escasa) o W1 (probabilidad de suceso muy escasa). Donde se encuentren la fila yla columna seleccionadas puede leerse el nivel de integridad de seguridad necesario.

7.2. Ejemplo

Como ejemplo, supongamos que un tanque de almacenamiento de petróleo se desborda ylibera vapor, que puede encenderse y causar varias víctimas mortales en la planta. Hemosevaluado la frecuencia de las operaciones de llenado y decidido que la probabilidad de queocurra el peligro sería W1 (probabilidad muy escasa). No existen los medios por los que losempleados de la planta puedan evitar el peligro en caso de que se produzca. El personal de laplanta se encuentra en las instalaciones rara vez únicamente para llevar a cabo actividadesde mantenimiento, normalmente menos de 1 hora al día. En la Figura 30 se muestra cómopuede utilizarse el diagrama de riesgos para obtener un objetivo SIL1.

En este ejemplo, la función de seguridad podría ser un activación de nivel alto que cierrala válvula de admisión del tanque. Esto tendría un objetivo SIL1.

CaLesión

importante

Inicio

a

1

2

3

4

5

W3

--

a

1

2

3

4

W2

--

--

a

1

2

3

W1

CbLesión grave,una víctima

CcVarias

víctimas

CdMuchasvíctimas

Exposición rara Fa



Exposición rara Fa


Exposición rara Fa


Posiblede evitar Pa


Posiblede evitar Pa


Posiblede evitar Pa


Posiblede evitar Pa

Figura 30: Ejemplo de uso del diagrama de riesgos

64



No obstante, los diagramas de riesgos convencionales pueden ser subjetivos y verseafectados por el problema de interpretación de los parámetros de riesgo. Esto puedellevar a resultados incoherentes que pueden traducirse en objetivos de nivel deintegridad de seguridad pesimistas.

En el diagrama de riesgos que se muestra, algunas de las casillas del objetivo de nivel deintegridad de seguridad (SIL) están identificadas como “a” y otras como “b”. Los términosSILa y SILb se utilizan a menudo en la industria a pesar de que no se recogen en la norma.SILa normalmente significa que debe ponerse en práctica cierta reducción de riesgos,pero que el factor de reducción de riesgos no debe ser tan elevado como SIL1. En otraspalabras, se requiere una probabilidad de fallo a demanda (PFD) entre 1 (sin reducción deriesgos) y 0.1 SIL1. Tenga en cuenta que en algunas organizaciones se hace referencia a‘SILa’ como ‘(SIL1)’.

SILb se muestra en una posición más alta que SIL4. Por lo general, si dispone de unrequisito SIL4, se recomienda revisar el proceso, ya que resulta demasiado peligroso.Un requisito SILb es aún más peligroso.

7.3. Ejemplo

En la Figura 31 se muestra un ejemplo de diagrama de riesgos similar a los utilizados en la industria de proceso, en el que se ilustran algunos de los problemas potencialesasociados a la interpretación de los parámetros de riesgo.

-- -- --

1 -- --

2 1 --

2 1 1

3 2 1

3 3 2

NR 3 3

NR NR NR

Gravedad de la

consecuencia

-- = No se requieren características especiales de seguridad

NR = No recomendado

Alto = 0.5 – 5 pa

Medio = 0.05 – 0.5 pa

Bajo < 0.05 pa

Exposición del

personal

Alternativas para

evitar el peligro

Lesión menor

Lesión grave o

una víctima

Múltiples víctimas

Catastrófica

Exposición baja

Exposición baja

Exposición alta

Exposición alta

Inhibición posible

Inhibición no probable

Inhibición posible


Tasa de demanda

Alta

Me

dia

Ba

ja

Categorías de requisitos

Figura 31: Diagrama de riesgos en la industria de proceso



65

El principio de uso es exactamente el mismo que para el diagrama de riesgos que semuestra en la Figura 29 pero, en este caso, se proporciona cierta orientación para elcálculo de la tasa de demanda.

Si, por ejemplo, un peligro pudiera ocasionar varias víctimas mortales, con una exposiciónpoco frecuente y una tasa de demanda de 0.05/año, la tasa de demanda desciende hastasituarse en algún punto entre las categorías “baja” y “media” y debe decidirse quécolumna elegir. El hecho de adoptar un enfoque conservador daría como resultado unobjetivo SIL3 (Figura 32).

Una interpretación menos cauta habría dado como resultado un objetivo SIL2.

7.4. Ejemplo

En la Figura 33 se muestra un ejemplo de una matriz de riesgos típica. Las columnas P, A,E y R ofrecen descripciones de las posibles consecuencias del peligro; las frecuencias desuceso se describen en términos cualitativos y los niveles de integridad de seguridad (SIL)objetivo se ofrecen en los puntos en los que se alinean las filas y las columnas.

-- -- --

1 -- --

2 1 --

2 1 1

3 2 1

3 3 2

NR 3 3

NR NR NR

Gravedad de la consecuencia

Exposición del personal

Alternativas para evitar el peligro

Lesión menor

Lesión grave o una víctima

Multiple Fatalities

Catastrófica

Exposición baja

Exposición baja

Exposición alta

Exposición alta

Inhibición posible


Inhibición posible


Tasa de demanda

Alta

Med

ia

Baja

Categorías de requisitosFigura 32: Ejemplo de uso del diagrama de riesgos

66



Éste parece ser un enfoque sencillo y útil, pero pueden producirse problemas potencialessi no se tiene cuidado.

A: Las frecuencias de suceso deben cuantificarse de un modo que sea no solocoherente con la descripción, sino que tenga como resultado el objetivo denivel de integridad de seguridad correcto.

B: “Nunca visto en la industria” puede calcularse suponiendo, digamos,5000 plantas en funcionamiento durante 20 años, lo que daría como resultadouna frecuencia aproximada de digamos <10-5/año y no <10-2/año, como semuestra. Con un riesgo máximo tolerable de <10-4/año, el resultado podría sersin objetivo de nivel de integridad de seguridad (SIL).

C: Las frecuencias de riesgo máximas tolerables deben ser las adecuadas. Un valor de <10-3/año para una única víctima mortal es demasiado elevado ytendrá como resultado unos objetivos SIL optimistas y una reducción deriesgos inadecuada.

D: Para que los SIL objetivo aumenten por fila y por columna como lo hacen en laFigura 33, las frecuencias de suceso también deberían aumentar también entrecada columna en un orden de magnitud.

PPersonas

APatrimonio

EMedio

ambiente

RReputación

<0.01/año <0.05/año <0.25/año >2/año >2/año

Sin lesiones Sin daños Sin efectos Sin efectos(SIL1)

Lesiónleve (<1/año)

Daños leves

(<$10K)

Efectoleve

Impactoleve (SIL1) SIL1

Lesión leve(<1E-01/año)

Daños leves

(<$100K)

Efectoleve

Impactoleve (SIL1) SIL1 SIL2

Lesión importante

(<1E-02/año)

Dañoimportante

(<$500K)

Efectolocalizado

Impactoconsiderable (SIL1) SIL1 SIL2 SIL3

Unavíctima

(<1E-03/año)

Dañoimportante

(<$10M)

Efectoimportante

Impactonacional (SIL1) SIL1 SIL2 SIL3 NA

Múltiplesvíctimas

(<1E-04/año)

Extensosdaños

(>$10M)

Efectomasivo

Impactointernacional SIL1 SIL2 SIL3 NA NA

A

A D

E

F

C

B

B C D E

Nuncaconstatado

en la industria

Ha ocurridoen la

industria

Ha ocurridoen la

empresa

Ocurrevarias veces/

año en la empresa

Ocurrevarias veces/

año en lasinstalaciones

Figura 33: Ejemplo de uso de la matriz de riesgos



67

E: El objetivo SIL de (SIL1) significa que se precisa cierta reducción de riesgos, peroque no existe un efecto consiguiente. No se precisa ninguna protección si noexiste un evento peligroso.

F: Por último, en categorías comerciales, la frecuencia de suceso de daños aactivos debe ser realista y coherente con el coste de implementar las funcionesinstrumentadas de seguridad necesarias.

La matriz de riesgos requiere por lo tanto calibración y se sugiere lo siguiente (Figura 34).

7.5. Resumen

Los diagramas de riesgos y las matrices de riesgos pueden resultar muy útiles, enparticular cuando se utilizan en una primera pasada como técnica de seguimiento rápidopara descartar todo excepto los SIL más elevados (por ejemplo, SIL2 y superiores). Noobstante, una cuidadosa calibración de las técnicas utilizadas debe evitar resultadosincorrectos obtenidos como resultado de algunos de los obstáculos que se muestranaquí.

PPersonas

APatrimonio

EMedio

ambiente

RReputación

<1E-04/año <1E-03/año <1E-02/año <0.1/año >0.1/año

Sin lesiones Sin daños Sin efectos Sin efectos

Lesión leve(<0.1/año)

Daños leves

(<$10K)

Efectoleve

Impactoleve (SIL1) SIL1

Lesión menor(<1E-02/año)

Daños leves

(<$100K)

Efectoleve

Impactoleve (SIL1) SIL1 SIL2

Lesión importante

(<1E-03/año)

Dañoimportante

(<$500K)

Efectolocalizado

Impactoconsiderable (SIL1) SIL1 SIL2 SIL3

Unavíctima

(<1E-04/año)

Daño grave

(<$10M)

Efectograve

Impactonacional (SIL1) SIL1 SIL2 SIL3 NA

Múltiplesvíctimas

(<1E-05/año)

Extensosdaños

(>$10M)

Efectomasivo

Impactointernacional SIL1 SIL2 SIL3 NA NA

A B C D E

Nuncaconstatado

en la industria

Ha ocurridoen la

industria

Ha ocurridoen la

empresa

Ocurrevarias veces/

año en laempresa

Ocurrevarias veces/

año en lasinstalaciones

Figura 34: Calibración de la matriz de riesgos

68



8. Análisis de capas de protección (LOPA)

8.1. Introducción

El análisis de capas de protección (LOPA) es una forma estructurada de calcular objetivosde reducción de riesgos (y SIL). El LOPA se lleva a cabo en un foro similar al del HAZOP.

Se definen normalmente los peligros potenciales mediante el enfoque de HAZOP [3] ydichos peligros se importan a las hojas de trabajo del LOPA, y así se mantiene un vínculorastreable entre los dos análisis desde la identificación de riesgos, por el requisito dereducción de riesgos y el objetivo SIL. El LOPA debe llevarse a cabo como una extensiónde la reunión HAZOP, puesto que se trata de la progresión natural de uno al otro.

8.2. Equipo del estudio LOPA

Es importante que el equipo del LOPA esté compuesto por personal que aporte al estudioel mejor equilibrio entre conocimientos y experiencia, de acuerdo al tipo de planta. Untípico equipo del LOPA se compone como sigue:

Nombre Puesto

Presidente Explicar el proceso LOPA, mantener conversaciones y facilitar elLOPA. Alguien con experiencia en LOPA, pero no involucradodirectamente en el diseño, para asegurarse de que el método se sigaen detalle.

Secretario Registrar la charla de la reunión sobre LOPA y facilitar un análisis enlínea de los objetivos del SIL. Registrar recomendaciones o acciones.

Ingeniero de procesos Generalmente el ingeniero responsable del diagrama de flujo deproceso y del desarrollo de diagramas de tuberías e instrumentación(P y ID).

Usuario/operario Asesorar sobre el uso y la operabilidad del proceso y el efecto de lasdesviaciones.

Especialista C e I Alguien con conocimientos técnicos relevantes en materia decontrol e instrumentación.

Encargado demantenimiento

Persona encargada del mantenimiento del proceso.

Representante del equipode personal de diseño

Asesorar sobre cualquier detalle de diseño o facilitar informacióncomplementaria.


Análisis de capas de protección (LOPA)

69

8.3. Información utilizada en el LOPA

Los siguientes elementos deben estar disponibles para que los revise el equipo del LOPA:

• Diagramas de tuberías e instrumentación de las instalaciones;• Documentos de descripción de procesos o de la filosofía;• Procedimientos de funcionamiento y mantenimiento en vigor;• Esquemas de configuración de la planta.

8.4. Establecimiento de los objetivos de nivel de integridad de seguridad (SIL)

Para establecer los objetivos de nivel de integridad de seguridad (SIL) es posible utilizarla técnica del LOPA, tal y como se describe en el documento del Centro de Seguridad deProcesos Químicos del Instituto Americano de Ingenieros Químicos (AIChE) Layer ofProtection Analysis, 2001 [19.4].

El LOPA considera los peligros identificados por otros medios, por ejemplo, un HAZOP,pero puede llevarse a cabo como parte de una reunión HAZOP, realizando una evaluaciónde cada peligro a medida que se identifiquen.

El equipo del LOPA considera cada uno de los peligros identificados y documenta lascausas iniciadoras y las capas de protección que previenen o mitigan el peligro. Sedetermina entonces la magnitud total de reducción de riesgos y se analiza la necesidadde llevar a cabo una reducción de riesgos adicional. Si la protección adicional seproporciona en forma de sistema instrumentado de seguridad, la metodología permitiríadeterminar el nivel de integridad de seguridad apropiado y la probabilidad de fallo ademanda necesaria.

El proceso del LOPA se registra en las hojas de trabajo del LOPA, que permiten cuantificarlos eventos iniciadores y sus frecuencias, junto con la reducción de riesgos proporcionadapor las capas independientes de protección que deben declararse. En los siguientesapartados se describen los encabezados de las hojas de trabajo y se presenta un ejemplode LOPA [8.5].

8.5. Ejemplo de LOPA

Si tomamos como ejemplo la cámara de presión [3.7], es posible importar los peligrosidentificados a la hoja de trabajo del LOPA y analizar los riesgos.

70



8.6. Hojas de trabajo del LOPA

8.6.1. Introducción

En los siguientes apartados se describen los encabezados de las hojas de trabajo y seproporciona orientación sobre la cuantificación.

En este capítulo se presenta un ejemplo de hoja de trabajo del LOPA.

8.6.2. Identificador y referencia del peligro

Proporciona un identificador para cada peligro. En el ejemplo, el peligro consideradopara su análisis tiene la ref. 1.10: Presión alta en la cámara. Esta referencia proporcionafacilidad de rastreo hacia atrás con otros estudios, en este caso, el HAZOP, y a medidaque se avanza en el proyecto, proporciona facilidad de rastreo hacia adelante conasignación de las funciones instrumentadas de seguridad y verificación del nivel deintegridad de seguridad.

8.6.3. Descripción del evento (peligro)

Proporciona una descripción del peligro potencial identificado.

8.6.4. Consecuencia

Describe las consecuencias del peligro. En el LOPA de ejemplo hemos analizado lasconsecuencias del peligro en términos de seguridad personal, riesgos al medio ambientey riesgos a los activos (es decir, riesgos comerciales).

8.6.5. Categoría de gravedad (Sev Cat)

La gravedad de las consecuencias documentadas puede categorizarse y derivarse de unatabla de clasificación de riesgos (por ejemplo, Tabla 5).

8.6.6. Riesgo máximo tolerable (MTR)

Aunque la frecuencia máxima tolerable de la consecuencia del peligro se aplica a laseguridad personal, normalmente también se aplica al medio ambiente, a la reputaciónde la organización y al daño potencial al medio ambiente, a la reputación de la empresay a los costes comerciales resultantes de daños a los activos, a la pérdida de ingresos oa la seguridad de suministro. Las frecuencias máximas tolerables utilizadas deben estaren concordancia con las directrices de la HSE (por ejemplo, R2P2 [19.3] para seguridad).

No obstante, las frecuencias máximas tolerables para el medio ambiente, la reputación ylos riesgos comerciales deben ser una decisión empresarial. En la Tabla 5 se muestran losvalores típicos que pueden utilizarse.



71

Tabla 5: Criterios de riesgo

Consecuencia Cat.grav.

Frecuenciaobjetivo deriesgo (/año)

Descripción de la consecuencia

En las instalaciones Fuera de las instalaciones

Personas(seguridad)

P1 1.0E-01 Tratamiento médico al empleado o lesiones queocasionan restricciones de trabajo

Tratamiento médico o lesiones que ocasionanrestricciones de trabajo (a terceros)

P2 1.0E-02 Accidente con tiempo perdido (LTA) delempleado sin efecto permanente

Accidente con tiempo perdido (LTA) (deterceros) sin efecto permanente

P3 1.0E-03 Efecto permanente al empleado Sin efectos permanentes

P4 1.0E-04 1 víctima entre los empleados y/o varios casosde invalidez permanente

Efectos permanentes (a terceros)

P5 1.0E-05 Varias víctimas entre los empleados (2 – 10) Una víctima de una tercera parte y/o muchoscasos de invalidez permanente

P6 1.0E-06 Muchas víctimas entre los empleados (más de 10)

Varias víctimas entre terceras partes

Medio ambiente E1 1.0E-01 Sin notificación a las autoridades, pero serequiere limpieza

Sin notificación a las autoridades, pero serequiere limpieza mínima. (p. ej., derrame de 1 – 100 litros con kit desplegado)

E2 1.0E-02 Notificación a las autoridades, pero sinconsecuencias medioambientales

Notificación a las autoridades, pero sinconsecuencias medioambientales. (p. ej.,derrame de > 100 litros en las instalaciones delcliente aisladas/protegidas)

E3 1.0E-03 Contaminación moderada dentro delperímetro

Contaminación moderada que requieretrabajos de reparación (p. ej., la emisión sale delas instalaciones, pero el sitio permaneceoperativo)

E4 1.0E-04 Contaminación significativa dentro delperímetro. Evacuación de personas/cierretemporal de las instalaciones O contaminaciónsignificativa fuera de las instalaciones.Evacuación de personas. (p. ej., derrame fuera delas instalaciones en la estación de servicio)

Contaminación significativa fuera de lasinstalaciones. Evacuación de personas. (p. ej.,derrame fuera de las instalaciones en laestación de servicio)

E5 1.0E-05 Véanse consecuencias fuera de lasinstalaciones

Contaminación importante con consecuenciasmedioambientales reversibles fuera de lasinstalaciones. (P. ej., accidente importante almedio ambiente)

E6 1.0E-06 Véanse consecuencias fuera de lasinstalaciones

Contaminación grave y sostenida fuera delas instalaciones y/o amplia pérdida de vidaacuática (p. ej., pérdida de cargamentomarítimo)

Coste C1 1.0E-01 Pérdida <€10K NA

C2 1.0E-02 Pérdida de €10K < €100K NA

C3 1.0E-03 Pérdida de €100K < €1.0M NA

C4 1.0E-04 Pérdida de €1.0M < €10M NA

C5 1.0E-05 Pérdida de €10M < €100M NA

C6 1.0E-06 Pérdida ≥ €100M NA

Reputación R1 1.0E-01 Sin publicidad. Locales afectados. NA

R2 1.0E-02 Prensa local NA

R3 1.0E-03 Prensa nacional NA

R4 1.0E-04 Televisión de ámbito nacional NA

R5 1.0E-05 Prensa internacional NA

R6 1.0E-06 Televisión de ámbito internacional NA

72



Tenga en cuenta que, aplicado a la seguridad personal, representa la frecuencia con laque el individuo más sometido al riesgo está expuesto al peligro.

8.6.7. Causa iniciadora

Lista las causas identificadas del peligro. Estas causas se determinan durante la reuniónLOPA a partir de la experiencia de los asistentes. En el caso del peligro del ejemplo, lasobrepresión, las causas iniciadoras potenciales, sus frecuencias de suceso y la fuentede datos se presentan en la Tabla 6. La LOPA debería ofrecer visibilidad de todos los datospresentando todos los eventos iniciadores y todas las frecuencias, en referencia a lasfuentes de datos, de este modo.

Tabla 6: Eventos iniciadores y frecuencias

8.6.8. Posibilidad de iniciación (/año), columna [a]

Cuantifica la tasa de suceso esperada de la causa iniciadora. Esta tasa puede calcularsebasándose en la experiencia de los asistentes y en la información histórica disponible,o puede derivarse de la fuentes adecuadas sobre tasa de fallos [14.6].

En la Tabla 6, por ejemplo, se presentan los eventos iniciadores y sus frecuencias desuceso.

Puesto que las posibilidades iniciadoras se basan en factores humanos tales como errordel operario, calcularlas puede resultar todo un reto. Una técnica consiste en basar elcálculo en la frecuencia de oportunidades que tiene un operario de cometer un error,y multiplicarla por la probabilidad de cometer un error peligroso.

Causa iniciadora Posibilidadiniciadora (al año)

Fuente de datos

Fallo de DCS para controlar la presión. 1.65E-02 Exida 2007, elemento x.x.x

Fallo de LL101 de nivel de líquido y se registranivel bajo.

1.10E-02 Exida 2007, elemento x.x.x

Fallo de TT100 y se registra temperatura baja. 2.68E-03 Exida 2007, elemento x.x.x

Fallo de PT102 y se registra baja presión. 8.58E-04 Exida 2007, elemento x.x.x

Fallo de cierre de la exportación de gasFCV102.

1.01E-02 Oreda 2002, elemento x.x.x

Fallo de apertura de gas combustible FCV100. 1.01E-02 Oreda 2002, elemento x.x.x

Fallo de cierre de la exportación de líquidoXV102.


Fallo de apertura de la importación de líquidoXV102.




73

Por ejemplo, supongamos que un operario puede iniciar una sobrepresión en una tuberíacerrando una válvula. Normalmente, el operario abre una válvula de derivación antes decerrar la válvula principal y realiza esta acción todos los meses. La frecuencia base (λB) deesta actividad es, por lo tanto, de 12 al año (una vez al mes).

Podemos suponer que el operario cuenta con buena formación, que la tarea es rutinariay que el operario no se encuentra bajo presión, de modo que calculamos que laprobabilidad de que cometa un error, PE, como por ejemplo, que no abra primero laválvula de derivación, sería de, digamos, 1%. La frecuencia del evento iniciador (λINIT)puede calcularse del siguiente modo:

λINIT = λB x PE

λINIT = 12 x 1%/añoλINIT = 0.12/año

Por lo general, podemos efectuar una comprobación de sensibilidad de estos datospreguntando a los participantes en el LOPA si han experimentado el suceso de un eventode estas características o si consideran que la frecuencia es razonable. Una frecuencia de0.12/año equivale a un error cada 8 años.

8.6.9. Modificadores condicionales

Distribución de tamaños de fugas, columna [b]

En el ejemplo, las consecuencias propuestas del peligro de sobrepresión únicamente sedan si la condición de la presión tuviera como consecuencia la rotura de la cámara. Puedeargumentarse que la mayoría de condiciones de sobrepresión no darían como resultadola pérdida de contención y sí en una fuga menor por una brida, por ejemplo. En elejemplo, el equipo del LOPA calculó que el 10% de los eventos iniciadores tendríanconsecuencias.

Probabilidad de ignición, columna [c]

Para las consecuencias para la seguridad y comerciales propuestas, es necesario quese encienda el gas liberado. En este ejemplo hemos hecho referencia a un estudio deseguridad antiincendios que predecía un 75% de probabilidades de ignición en unasituación de rotura importante. En lo que se refiere a las consecuencias a la seguridad,podemos declarar, por lo tanto, 0.75 como modificador condicional y la frecuencia delevento iniciador se reduce en este factor.

En el caso de consecuencias medioambientales, no puede declararse ninguna reducciónde riesgos, ya que la ignición no es necesaria para las consecuencias.

74



Diseño de uso general, columna [d]

Un ejemplo de diseño de uso general sería una tubería con revestimiento, queproporcionaría cierta protección frente a una pérdida de contención. En este ejemplo,no se ha contabilizado el diseño de uso general, puesto que no existen característicasespecíficas del diseño que proporcionen reducción de riesgos.

8.6.10. Capas de protección independientes (IPL)

Cada capa de protección consiste en una agrupación de equipos y/o de controlesadministrativos que funcionan en conjunto con el resto de las capas de protección.

El nivel de protección proporcionado por cada capa de protección independiente secuantifica mediante la probabilidad de incumplimiento de su función específica a demanda,su probabilidad de fallo a demanda (PFD), un número adimensional entre 0 y 1. Cuantomenor sea el valor de la probabilidad de fallo a demanda, mayor será el factor de reducciónde riesgos aplicado como factor modificador a la posibilidad de iniciación calculada [8.6.8];de ahí que cuando no se declare ninguna capa de protección independiente, se introduzca“1” en la hoja de trabajo del LOPA.

En este ejemplo, las capas de protección independientes declaradas en las columnas [e] a[h] pueden personalizarse para que se adapten a la aplicación. Se han presentado capasde protección independientes típicas.

Sistema básico de control de proceso (BPCS), columna [e].

Puede declararse una contabilización si un bucle de control del sistema básico de controlde proceso (sistema de control distribuido o DCS) evita que ocurra el peligro comoresultado de una causa iniciadora potencial. En el ejemplo, en el caso de algunas decausas iniciadoras (por ejemplo, un fallo de apertura de la válvula XV102 de importaciónde líquido), el sistema básico de control de proceso (sistema de control distribuido)puede compensarlo al abrir la válvula de exportación de líquido y evitar así un nivelelevado. Se ha declarado una probabilidad de fallo a demanda (PFD) de 0.1, lo quesignifica que el sistema de control distribuido (DCS) evita que se produzcanconsecuencias en 9 de cada 10 eventos.

Una probabilidad de fallo a demanda (PFD) de 0.1 es, por lo general, la mayor reducciónde riesgos que puede declararse en un sistema que no siga la clasificación SIL. Esto sedebe a que el sistema de control distribuido (DCS) puede ajustarse manualmente; porlo general no hay un control tan estricto sobre los ajustes de puntos de activación y elrégimen de prueba no es tan riguroso como en el caso de un sistema instrumentado deseguridad (SIS).



75

Alarmas independientes, columna [f ].

Puede declararse contabilización de alarmas que son independientes del sistema básicode control de proceso (BPCS), avisan al operario y requieren una acción de su parte.Solamente se puede declarar contabilización si la alarma es realmente independientedel sistema básico de control de proceso (BPCS) y de las funciones instrumentadas deseguridad (SIF), y solo si el operario puede responder a la alarma y tomar acción parahacer que el proceso resulte seguro, dentro del tiempo seguro del proceso.

Por lo general puede declararse una probabilidad de fallo a demanda (PFD) de 0.1 paraalarmas independientes. En este ejemplo no se ha declarado ninguna contabilización.

8.6.11. Mitigación adicional

Ocupación, columna [g].

Acceso – Entre las capas de mitigación puede incluirse la ocupación, es decir, laproporción de tiempo durante la que un operario está expuesto a un peligro y tieneacceso restringido a zonas peligrosas. En este ejemplo se ha declarado una ocupaciónbasada en un turno de 8 horas.

Otros elementos de mitigación: columna [h].

La mitigación adicional puede estar disponible en forma de:

• Física – Las capas de mitigación pueden ser barreras físicas que protejan delpeligro una vez que se haya iniciado. Ejemplos serían dispositivos de alivio depresión o muros cortafuego.

• Acción del operario – Puede declararse una contabilización de la detección y lainspección a intervalos regulares, siempre y cuando el operario pueda adoptarla acción adecuada.

En este ejemplo, no se ha declarado contabilización.

8.6.12. Posibilidad intermedia de evento

La posibilidad intermedia del evento se calcula multiplicando la posibilidad de la causainiciadora por las probabilidades de fallo a demanda (PFD) de las capas de protección. Elnúmero calculado se expresa en unidades de eventos al año. La posibilidad intermediatotal indica la tasa de demanda de cualquier función instrumentada de seguridad (SIF)propuesta.

76



8.6.13. Probabilidad de fallo a demanda (PFD) necesaria para el sistema instrumentado deseguridad (SIS)

Calculada al comparar el riesgo máximo tolerable (λMTR) con la posibilidad intermedia deevento o la frecuencia de peligro (λHAZ).

PFD = λMTR/λHAZ

8.6.14. Nivel de integridad de seguridad (SIL) necesario para el sistema instrumentado deseguridad (SIS)

Obtenido a partir de la Tabla 7, correspondiente a la probabilidad de fallo a demanda(PFD) necesaria para el sistema instrumentado de seguridad (SIS).

Tabla 7: Probabilidad de fallo a demanda (PFD) y tasas de fallo especificadas por el nivel deintegridad de seguridad (SIL)

Debe tenerse en cuenta que la probabilidad de fallo a demanda y la tasa de fallo de cadanivel de integridad de seguridad dependen del modo de funcionamiento en que seplanee utilizar el sistema instrumentado de seguridad respecto a la frecuencia de lasdemandas a la que está sometido [8.6.12].

A continuación figuran las hojas de trabajo del LOPA.

Nivel SIL Modo a demandaProbabilidad de fallo ademanda

Modo continuoTasa de fallo por hora

SIL4 ≥10-5 a <10-4 ≥10-9 a <10-8

SIL3 ≥10-4 a <10-3 ≥10-8 a <10-7

SIL2 ≥10-3 a <10-2 ≥10-7 a <10-6

SIL1 ≥10-2 a <10-1 ≥10-6 a <10-5



77

BPCS

[DCS

]A

larm

as

inde

pen-

dien

tes

Miti

gaci

ón

adic

iona

l:O

cupa

ción

(n

ivel

es

de p

erso

nal)

Miti

gaci

ón

adic

iona

l, p.

ej.,

mur

os

cort

afue

gos/

proc

edim

ient

osop

erac

iona

les/

válv

ulas

de

aliv

io

Vero

sim

ilitu

dde

niv

el

inte

rmed

io

del e

vent

o (p

a)

PDF

requ

erid

a de

SRS

SIL

requ

erid

o de

SRS

Com

enta

rios/

supu

esto

s

[a]

[b]

[c]

[d]

[e]

[f][g

][h

]

DCS

falla

a la

hor

a de

co

ntro

lar l

a pr

esió

n.1.

65E-

020.

100.

750.

334.

13E-

04

[a] V

er d

atos

de

even

to

inic

iado

r.[b

] El e

quip

o LO

PA c

alcu

la

la p

roba

bilid

ad d

e un

a fu

ga

gran

de (r

otur

a) e

n un

10%

.[c

] El e

stud

io d

el ri

esgo

de

ince

ndio

cal

cula

la

prob

abili

dad

de ig

nici

ón

en u

n 75

%.

[d] N

o se

reiv

indi

ca u

na

cont

abili

zaci

ón d

e la

s ca

ract

erís

ticas

de

dise

ño.

[e] D

CS e

s la

cau

sa in

icia

dora

po

r tan

to n

o se

reiv

indi

ca u

na

cont

abili

zaci

ón d

el D

CS.

[f] N

o ha

y al

arm

as

inde

pend

ient

es. N

o se

re

ivin

dica

una

con

tabi

lizac

ión.

[g] Á

rea

de c

ámar

a oc

upad

a 8

h po

r día

.[h

] Sin

vál

vula

s de

aliv

io d

e pr

esió

n. N

o se

reiv

indi

ca u

na

cont

abili

zaci

ón.

Fallo

de

PT10

2 y

se

regi

stra

baj

a pr

esió

n8.

58E-

040.

100.

750.

332.

15E-

05Co

mo

arrib

a.

Fallo

de

aper

tura

de

la

impo

rtac

ión

de lí

quid

o XV

102.

2.89

E-03

0.10

0.75

0.10

0.33

7.23

E-06

Com

o ar

riba

exce

pto:

[e] e

l DCS

pue

de c

ompe

nsar

lo

s fa

llos

de la

vál

vula

de

impo

rtac

ión.

Cálc

ulo

PFD

= 0

.1.

Fallo

de

cier

re d

e la

ex

port

ació

n de

gas

FC

V102

.1.

01E-

020.

100.

750.

100.

332.

52E-

05Co

mo

arrib

a.

Fallo

de

cier

re d

e la

ex

port

ació

n de

líqu

ido

XV10

2.2.

89E-

030.

100.

750.

100.

337.

23E-

06Co

mo

arrib

a.

Fallo

de

TT10

0 y

se

regi

stra

tem

pera

tura

ba

ja2.

68E-

030.

100.

750.

100.

336.

70E-

06Co

mo

arrib

a.

Fallo

de

aper

tura

de

gas

com

bust

ible

FCV

100.

1.01

E-02

0.10

0.75

0.10

0.33

2.52

E-05

Com

o ar

riba.

Fallo

del

niv

el d

e líq

uido

LL1

01 y

se

regi

stra

niv

el b

ajo.

1.10

E-02

0.10

0.75

0.10

0.33

2.74

E-05

Com

o ar

riba.

5.34

E-04

P51.

00E-

051.

87E-

02

Cons

ecue

ncia

1.10

Cám

ara

Una

pre

sión

el

evad

a ca

usa

la ro

tura

de

la c

ámar

a y

la

liber

ació

n de

l gas

.

Segu

ridad

:La

libe

raci

ón

del g

as

pren

de e

n el

qu

emad

or y

la

s su

perfi

cies

ca

lient

es.

Posi

blem

ente

do

s ví

ctim

as

entr

e el

pe

rson

al d

e m

ante

ni-

mie

nto.

SIL1

Ries

go

máx

. to

lera

ble

(pa)

Caus

a in

icia

dora

Vero

sim

ilitu

d in

icia

dora

(p

a)

Dis

trib

ució

n de

l tam

año

de fu

ga

Prob

abili

dad

de ig

nici

ónD

iseñ

o de

uso

ge

nera

l (c

lasi

fica-

ción

di

seño

)

Capa

s in

depe

ndie

ntes

de

prot

ecci

ónID

/Ref

.Zo

na

Des

crip

ción

D

escr

ipci

ón

even

to (p

elig

ro)

Cate

goría

gr

aved

ad

78



BPCS

[DCS

]A

larm

as in

de-

pend

ient

esM

itiga

ción

ad

icio

nal:

Ocu

paci

ón

(niv

eles

de

per

sona

l)

Miti

gaci

ón

adic

iona

l, p.

ej.,

mur

os

cort

afue

gos/

proc

edim

ient

osop

erac

iona

les/

válv

ulas

de

aliv

io

Vero

sim

ilitu

dde

niv

el

inte

rmed

io

del e

vent

o (p

a)

PDF

requ

erid

a de

SRS

SIL

requ

erid

o de

SRS

Com

enta

rios/

supu

esto

s

[a]

[b]

[c]

[d]

[e]

[f][g

][h

]

DCS

falla

a la

hor

a de

co

ntro

lar l

a pr

esió

n.1.

65E-

020.

101.

65E-

03

[a] V

er d

atos

de

even

to

inic

iado

r.[b

] El e

quip

o LO

PA c

alcu

la la

pr

obab

ilida

d de

una

fuga

gr

ande

(rot

ura)

en

un 1

0%.

[c] n

o se

requ

iere

igni

ción

N

o se

reiv

indi

ca u

na re

ducc

ión

del r

iesg

o[d

] No

se re

ivin

dica

una

co

ntab

iliza

ción

de

las

cara

cter

ístic

as d

e di

seño

.[e

] DCS

es

la c

ausa

inic

iado

ra

por t

anto

no

se re

ivin

dica

un

a co

ntab

iliza

ción

del

DCS

.[f]

No

hay

alar

mas

in

depe

ndie

ntes

. No

se

reiv

indi

ca u

na c

onta

biliz

ació

n.[g

] Med

io a

mbi

ente

en

riesg

o 24

h/dí

a. N

o se

reiv

indi

ca u

na

redu

cció

n de

l rie

sgo.

8h a

l día

.[h

] Sin

vál

vula

s de

aliv

io d

e pr

esió

n. N

o se

reiv

indi

ca u

na

cont

abili

zaci

ón.

Fallo

de

PT10

2 y

se

regi

stra

baj

a pr

esió

n8.

58E-

040.

108.

58E-

05Co

mo

arrib

a.

Fallo

de

aper

tura

de

la

impo

rtac

ión

de lí

quid

o XV

102.

2.89

E-03

0.10

0.10

2.89

E-05

Com

o ar

riba

exce

pto:

[e] D

CS p

uede

com

pens

ar

los

fallo

s de

la v

álvu

la d

e im

port

ació

n.Cá

lcul

o PF

D =

0.1

.

Fallo

de

cier

re d

e la

ex

port

ació

n de

gas

FC

V102

.1.

01E-

020.

100.

101.

01E-

04Co

mo

arrib

a.

Fallo

de

cier

re d

e la

ex

port

ació

n de

líqu

ido

XV10

2.

2.89

E-03

0.10

0.10

2.89

E-05

Com

o ar

riba.

Fallo

de

TT10

0 y

se

regi

stra

tem

pera

tura

ba

ja2.

68E-

030.

100.

102.

68E-

05Co

mo

arrib

a.

Fallo

de

aper

tura

de

gas

com

bust

ible

FCV

100.

1.01

E-02

0.10

0.10

1.01

E-04

Com

o ar

riba.

Fallo

del

niv

el d

e líq

uido

LL

101

y se

regi

stra

ni

vel b

ajo.

1.10

E-02

0.10

0.10

1.10

E-04

Com

o ar

riba.

2.14

E-03

E21.

00E-

02N

ingu

na

Cons

ecue

ncia

1.10

Cám

ara

Una

pre

sión

el

evad

a ca

usa

la

rotu

ra d

e la

cá

mar

a y

la

liber

ació

n de

l ga

s.

Med

io

ambi

ente

:Ro

tura

de

la

cám

ara,

esc

ape

de g

as, n

o ha

y ig

nici

ón.

Libe

raci

ón e

n la

s in

stal

acio

nes.

Se re

quie

re

limpi

eza

y no

tifica

ción

a

las

auto

ridad

es,

pero

sin

co

nsec

uenc

ias

med

ioam

bien

-ta

les.

Nin

guna

Ries

go

máx

. to

lera

ble

(pa)

Caus

a in

icia

dora

Vero

sim

ilitu

d in

icia

dora

(p

a)

Dis

trib

ució

n de

l tam

año

de fu

ga

Prob

abili

dad

de

igni

ción

Prop

ósito

ge

nera

lD

iseñ

o (c

lasi

fica-

ción

de

l dis

eño)

Capa

s in

depe

ndie

ntes

de

prot

ecci

ónID

/Ref

.Zo

na

Des

crip

ción

D

escr

ipci

ón

even

to (p

elig

ro)

Cate

goría

gr

aved

ad



79

BPCS

[DCS

]A

larm

as in

de-

pend

ient

esM

itiga

ción

ad

icio

nal:

Ocu

paci

ón

(niv

eles

de

per

sona

l)

Miti

gaci

ón

adic

iona

l, p.

ej.,

mur

os

cort

afue

gos/

proc

edim

ient

osop

erac

iona

les/

válv

ulas

de

aliv

io

Vero

sim

ilitu

dde

eve

nto

nive

l int

er-

med

io (p

a)

PDF

requ

erid

a de

SRS

SIL

requ

erid

o de

SRS

Com

enta

rios/

supu

esto

s

[a]

[b]

[c]

[d]

[e]

[f][g

][h

]

DCS

falla

a la

hor

a de

co

ntro

lar l

a pr

esió

n.1.

65E-

020.

100.

751.

24E-

03

[a] V

er d

atos

de

even

to

inic

iado

r.[b

] El e

quip

o LO

PA c

alcu

la la

pr

obab

ilida

d de

una

fuga

gr

ande

(rot

ura)

en

un 1

0%.

[c] E

l est

udio

del

ries

go

de in

cend

io c

alcu

la la

pr

obab

ilida

d de

igni

ción

en

un

75%

.[d

] No

se re

ivin

dica

una

co

ntab

iliza

ción

de

las

cara

cter

ístic

as d

e di

seño

.[e

] DCS

es

la c

ausa

inic

iado

ra

por t

anto

no

se re

ivin

dica

un

a co

ntab

iliza

ción

del

DCS

.[f]

No

hay

alar

mas

in

depe

ndie

ntes

. No

se

reiv

indi

ca u

na c

onta

biliz

ació

n.[g

] Áre

a de

cám

ara

ocup

ada

8 h

por d

ía.

[h] S

in v

álvu

las

de a

livio

de

pres

ión.

No

se re

ivin

dica

una

co

ntab

iliza

ción

.

Fallo

de

PT10

2 y

se

regi

stra

baj

a pr

esió

n8.

58E-

040.

100.

756.

44E-

05Co

mo

arrib

a.

Fallo

de

aper

tura

de

la

impo

rtac

ión

de lí

quid

o XV

102.

2.89

E-03

0.10

0.75

0.10

2.17

E-05

Com

o ar

riba

exce

pto:

[e] e

l DCS

pue

de c

ompe

nsar

lo

s fa

llos

de la

vál

vula

de

impo

rtac

ión.

Cálc

ulo

PFD

= 0

.1.

Fallo

de

cier

re d

e la

ex

port

ació

n de

gas

FC

V102

.1.

01E-

020.

100.

750.

107.

56E-

05Co

mo

arrib

a.

Fallo

de

cier

re d

e la

ex

port

ació

n de

líqu

ido

XV10

2.2.

89E-

030.

100.

750.

102.

17E-

05Co

mo

arrib

a.

Fallo

de

TT10

0 y

se

regi

stra

tem

pera

tura

ba

ja2.

68E-

030.

100.

750.

102.

01E-

05Co

mo

arrib

a.

Fallo

de

aper

tura

de

gas

com

bust

ible

FCV

100.

1.01

E-02

0.10

0.75

0.10

7.56

E-05

Com

o ar

riba.

Fallo

del

niv

el d

e líq

uido

LL1

01 y

se

regi

stra

niv

el b

ajo.

1.10

E-02

0.10

0.75

0.10

8.21

E-05

Com

o ar

riba.

1.60

E-03

C51.

00E-

056.

24E-

03

Cons

ecue

ncia

1.10

Cám

ara

Una

pre

sión

el

evad

a ca

usa

la ro

tura

de

la

cám

ara

y la

lib

erac

ión

del

gas.

Com

erci

al:

Rotu

ra d

e la

cá

mar

a,

esca

pe d

e ga

s, ig

nici

ón y

da

ños

al

patr

imon

io.

Los

daño

s de

l equ

ipo

requ

iere

n la

sus

tituc

ión

de la

cám

ara

valo

rada

en

10M

y la

pé

rdid

a de

pr

oduc

ción

de

1 añ

o

SIL2

Ries

go

máx

. to

lera

ble

(pa)

Caus

a in

icia

dora

Vero

sim

ilitu

d in

icia

dora

(p

a)

Dis

trib

ució

n de

l tam

año

de fu

ga

Prob

abili

dad

de ig

nici

ónD

iseñ

o de

uso

ge

nera

l (c

lasi

fica-

ción

di

seño

)

Capa

s in

depe

ndie

ntes

de

prot

ecci

ónID

/Ref

.Zo

na

Des

crip

ción

D

escr

ipci

ón

even

to (p

elig

ro)

Cate

goría

gr

aved

ad

80



8.6.15. Resultados del LOPA

Los resultados (Tabla 8) muestran que el peligro de sobrepresión tiene consecuenciasen cuanto a la seguridad, que pueden protegerse con una función instrumentada deseguridad SIL1 con una probabilidad de fallo a demanda (PFD) de ≤ 1.87E-02. Noobstante, el riesgo comercial es predominante y requiere una función instrumentadade seguridad SIL2 con una probabilidad de fallo a demanda de ≤ 8.24E-03.

Tabla 8: Resultados del LOPA

No es extraño que predominen los peligros no relacionados con la seguridad. En esteejemplo, el activo se encuentra siempre sometido al riesgo derivado del peligro mientrasque, en términos de seguridad, el personal únicamente está sometido al riesgo parte deltiempo.

La función instrumentada de seguridad (SIF) que debe diseñarse para proteger de lasobrepresión debe, por lo tanto, cumplir los objetivos comerciales. La misma funcióninstrumentada de seguridad proporciona, por lo tanto, protección adecuada al personal.

Peligro Consecuencia Objetivo delSIL

Objetivo de laprobabilidadde fallo ademanda(PFD)

Seguridad Seguridad: Gas liberado prende en elquemador y en superficies calientes.Posiblemente dos víctimas del personal demantenimiento.

SIL1 1.87E-02

Medio ambiente Medio ambiente: Rotura de la cámara,escape de gas, no se produce ignición.Liberación en las instalaciones. Se requierelimpieza y notificación a las autoridades,pero sin consecuencias medioambientales.

Ninguno Ninguno

Comercial Comercial: Rotura de la cámara, escape degas, ignición y daños al patrimonio. Dañosal equipo requieren sustituir la cámaravalorada en €10M y la pérdida deproducción de 1 año.

SIL2 6.24E-03


Asignación de funciones de seguridad

81

9. Asignación de funciones de seguridad



El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 9.1, es asignarfunciones de seguridad a las capas de protección.

Como entradas, esta fase precisa una descripción en términos de requisitos funcionalesde seguridad y requisitos de integridad de seguridad.

Como salidas, la fase debe proporcionar información acerca de la asignación defunciones de seguridad generales, sus medidas objetivo de fallos y los niveles deintegridad de seguridad asociados. Se definen asimismo las suposiciones realizadassobre otras medidas de reducción de riesgos que deben gestionarse durante la vidaútil del proceso o de la planta.

Ges

tión

de la

seg

urid

ad fu

ncio

nal,

eval

uaci

ón y

aud

itoría

de

la s

egur

idad

func

iona

l

10

Estr

uctu

ra y

pla

nific

ació

n de

l cic

lo d

e vi

da d

e la

seg

urid

ad

11

Verifi

caci

ón




de riesgo

2

Especificación de requisitos de seguridad para el SIS3



Funcionamiento ymantenimiento6

Modificación7

Desmantelamiento8


82



9.2. Asignación de funciones de seguridad

A partir del ejemplo de la cámara de separación, 3.7.1, se identificaron los siguientes requisitos defunciones instrumentadas de seguridad (SIF) y de nivel de integridad de seguridad (SIL) (Tabla 9). Elanálisis de peligro, referencia 1.10 se mostró como parte del ejemplo del LOPA [8.5]. El LOPA se habríautilizado para determinar los objetivos de nivel de integridad de seguridad (SIL) y los objetivos de laprobabilidad de fallo a demanda (PFD) para el resto de peligros identificados.

Tabla 9: Requisitos de funciones instrumentadas de seguridad (SIF)

Ref.HAZOP

Peligro Consecuencia Objetivodel SIL

Objetivode la PFD

1.01 Presión elevada causarotura de la cámara yliberación de gas.

Gas liberado prende en el quemador y ensuperficies calientes. Posiblemente dosvíctimas del personal de mantenimiento.Daños al equipo requieren sustituir lacámara, valorada en €10M, e interrupcióndel proceso de 1 año. Emisión leve al medioambiente.

SIL2 6.24E-03

1.11 Presión baja causa larotura de la cámara yliberación de gas.


Ninguno Ninguno

1.15 Temperatura elevadaconlleva presiónelevada, rotura de lacámara y liberación degas.


Ninguno Ninguno

1.16 Baja temperatura,congelación potencialdel líquido (solidifi -cación), rotura de lacámara y pérdida decontención.

Daños al equipo requieren sustituir lacámara, valorada en €10M, e interrupcióndel proceso de 6 meses. Emisiones al medioambiente que requieren notificación.

Ninguno Ninguno

1.20 Nivel elevado en lacámara puede causararrastre de líquido a laexportación de líquido.

Daños al equipo en la rama descendenterequieren sustituir la cámara, valorada en€10M, e interrupción del proceso de 6meses.

SIL1 8.10E-02

1.21 Nivel bajo en la cámarapodría causar fuga degas a la exportación delíquido.

Daños al equipo en la rama descendenterequieren limpieza de la cámara, valorada en€2M, e interrupción del proceso de 6semanas.

SIL1 6.22E-02


Asignación de funciones de seguridad

83

La posibilidad intermedia del evento indicada por el LOPA determinó que debería considerarse todas lasfunciones instrumentadas de seguridad en modo a demanda. Se establecieron los objetivos SIL1 para elnivel alto y el nivel bajo y se propusieron, por lo tanto, las siguientes funciones instrumentadas de seguri -dad (SIF). Para mitigar la alta presión, se instaló una válvula de alivio de presión como buena práctica deingeniería y se estableció una función instrumentada de seguridad, tal y como se muestra a continuación.

Las funciones instrumentadas de seguridad individuales componen en su conjunto el sistemainstrumentado de seguridad (SIS) general:

Sistemainstrumentadode seguridad

PHH100 ESDV100

P

LHH101 ESDV101

L

LHH102 ESDV102

L

Figura 35b: Fase 2 del ciclo de vida

Funcióninstrumentadade seguridad

LHH102 ESDV102

L


LHH101 ESDV101

L


PHH100 ESDV100

P

Figura 35a: Fase 2 del ciclo de vida

84



En el siguiente diagrama se señalan las funciones instrumentadas de seguridadasignadas:

Suministro gas combustible

Impor-taciónlíquido

Exportación gas

XV101ESDV101

LL101TT100

FCV100

FCV100 XV100

T

P

Quemador

LH101

FCV102XV102

ESDV102

PT102PRV102

LH

LL

ESDV100

LLL101 SISLL

PHH100P

LHH102SISL

SIS

Expor-tación líquido

Figura 35c: Fase 2 del ciclo de vida


Especificación de requisitos de seguridad para el SIS

85

10. Especificación de requisitos de seguridad del sistemainstrumentado de seguridad (SIS)



El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 10.1, es especificarlos requisitos de las funciones instrumentadas de seguridad (SIF).

10.2. Requisitos de integridad de seguridad de una función instrumentada deseguridad (SIF)

El nivel de integridad de seguridad de cada función instrumentada de seguridad ha sidoseleccionado durante el estudio de determinación del nivel de integridad de seguridadmediante un diagrama de riesgos, un LOPA o una matriz de riesgos.

Esta información debe comunicarse entonces al equipo de diseño mediante laespecificación de requisitos de seguridad para garantizar que el diseño cumpla losrequisitos de integridad de seguridad de las funciones instrumentadas de seguridad

Ges

tión

de la

seg

urid

ad fu

ncio

nal,

eval

uaci

ón y

aud

itoría

de

la s

egur

idad

func

iona

l

10

Estr

uctu

ra y

pla

nific

ació

n de

l cic

lo d

e vi

da d

e la

seg

urid

ad

11

Verifi

caci

ón




de riesgo

2

Especificación de requisitos deseguridad para el SIS3



Funcionamiento ymantenimiento

6

Modificación7

Desmantelamiento8


86



durante su implementación. La especificación de requisitos de seguridad es la base de lavalidación de las funciones instrumentadas de seguridad.

10.3. Marco de la especificación de requisitos de seguridad (SRS)

Antes de llevar a cabo cualquier trabajo de diseño debe prepararse la especificación derequisitos de seguridad (SRS) en base a la orientación facilitada en la norma IEC 61511-1/2,cláusulas 10 y 12. La especificación de requisitos de seguridad contiene los requisitosfuncionales y de integridad para cada función instrumentada de seguridad (SIF), y debeproporcionar información suficiente para diseñar e implementar la ingeniería del sistemainstrumentado de seguridad (SIS). Debe expresarse y estructurarse de modo que resulteclara, precisa, verificable, sostenible y factible para facilitar que la comprendan aquellosque probablemente utilizarán la información en cualquier fase del ciclo de vida.

La especificación de requisitos de seguridad (SRS) debe incluir enunciados sobre lossiguientes puntos para cada función instrumentada de seguridad (SIF):

• Descripción de las funciones instrumentadas de seguridad (SIF);• Fallo por causas comunes;• Definición de estado de seguridad de las funciones instrumentadas de

seguridad (SIF);• Tasa de demanda;• Intervalos de prueba de calidad;• Tiempo de respuesta para que el proceso vuelva a un estado de seguridad;• Nivel de integridad de seguridad (SIL) y modo de funcionamiento (a demanda

o continuo);• Mediciones del proceso y puntos de disparo;• Acciones de salida del proceso y criterios de funcionamiento exitosos;• Relación funcional entre entradas y salidas;• Requisitos para la desactivación manual;• Energización o desenergización para disparo; • Restablecimiento después de una desactivación;• Tasa de disparos erróneos máxima permitida;• Modos de fallo y respuesta del sistema instrumentado de seguridad (SIS) a

fallos;• Arranque y reinicio del sistema instrumentado de seguridad (SIS);• Interfaces entre el sistema instrumentado de seguridad (SIS) y cualquier otro

sistema;• Software de aplicación;• Anulaciones/inhibiciones/derivaciones y cómo borrarlas;• Acciones posteriores a la detección de un fallo del sistema instrumentado de

seguridad (SIS).

El sistema instrumentado de seguridad (SIS) puede ejecutar funciones instrumentadas norelacionadas con la seguridad para garantizar la desconexión organizada o la puesta enmarcha más rápida.


Diseño e ingeniería del SIS

87

11. Diseño e ingeniería del sistema instrumentado de seguridad (SIS)



El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 11.1, es:

• Diseñar el sistema instrumentado de seguridad (SIS) para que proporcione lasfunciones instrumentadas de seguridad (SIF) necesarias [11.2];

• Comprobar que el diseño de las funciones instrumentadas de seguridad (SIF)cumpla el nivel de integridad de seguridad (SIL) especificado, definido durantela determinación del SIL [13].

Ges

tión

de la

seg

urid

ad fu

ncio

nal,

eval

uaci

ón y

aud

itoría

de

la s

egur

idad

func

iona

l

10

Estr

uctu

ra y

pla

nific

ació

n de

l cic

lo d

e vi

da d

e la

seg

urid

ad

11

Verifi

caci

ón


Asignación de funciones deseguridad a capas de protección


de riesgo

2





6

Modificación7

Desmantelamiento8


88



11.2. Diseño de funciones instrumentadas de seguridad (SIF)

La especificación de requisitos de seguridad forma la base de diseño de las funcionesinstrumentadas de seguridad y permite al equipo de diseño traducir la funcionalidad endocumentos de diseño como, por ejemplo, una especificación de diseño funcional. Así, laespecificación de diseño funcional debe contener todos los requisitos funcionales y deintegridad necesarios para el diseño del sistema instrumentado de seguridad.

Es importante que la documentación del diseño incluya lo siguiente:

• Requisitos de comportamiento del sistema al detectar un fallo [13.2];• Tolerancia a fallos de hardware [13.3];• Selección de componentes y de subsistemas [13.4]; • Dispositivos de campo [13.5];• Interfaces del operario, de mantenimiento y de comunicación con el sistema

instrumentado de seguridad (SIS) [13.6];• Requisitos de diseño relativos al mantenimiento o a las pruebas [13.7];• Probabilidad de fallo de las funciones instrumentadas de seguridad (SIF) [13.8];• Software de aplicación [13.9].


Técnicas de fiabilidad

89

12. Técnicas de fiabilidad

12.1. Introducción

Este apartado ofrece una breve introducción a las técnicas de fiabilidad. En ningún casose trata de un estudio integral sobre métodos de ingeniería de fiabilidad, ni es de ningúnmodo nuevo o poco convencional. Los métodos que se describen en él son utilizados deforma rutinaria por los ingenieros de fiabilidad.

12.2. Definiciones

Para facilitar la comprensión a continuación figura una lista abreviada de términos clavejunto con sus definiciones correspondientes. En muchos textos normales sobre el temase pueden encontrar definiciones de los términos y nomenclatura más completa.

Capacidad – Medida de la capacidad de un elemento de alcanzar los objetivos de lamisión dadas las condiciones durante la misma.

Confiabilidad – Medida del grado hasta el cual un elemento se encuentra en estadooperativo y capaz de llevar a cabo la función para la que se ha diseñado en cualquiermomento (aleatorio) durante un perfil de misión específico, dada la disponibilidad alinicio de la misma.

Disponibilidad – Medida del grado hasta el cual un elemento se encuentra en estadooperativo y ofrece garantías al inicio de la misión, cuando se requiere dicha misión enun estado desconocido.

Fallo – Evento, o estado inoperativo, en el que un elemento o parte del mismo nofunciona o no funcionaría tal y como se ha especificado anteriormente.

Fallo, aleatorio – Fallo cuya suceso es predecible únicamente en sentido probabilísticoo estadístico. Este principio se aplica a todas las distribuciones.

Fallo, dependiente – Fallo ocasionado por el fallo de un elemento o de elementosasociados. No independiente.

Fallo, independiente – Fallo que se produce sin que esté ocasionado por el fallo deningún otro elemento. No dependiente.

Fiabilidad – (1) Duración o probabilidad de rendimiento sin fallos bajo condicionesdeterminadas. (2) Probabilidad de que un elemento pueda llevar a cabo la función para laque ha sido diseñado durante un intervalo específico y bajo condiciones determinadas.En el caso de elementos no redundantes, sería el equivalente a la definición (1). En el casode elementos redundantes, sería la definición de fiabilidad de la misión.

90



Mantenibilidad – Medida de la capacidad de un elemento de mantenerse o volver a lacondición especificada cuando el mantenimiento lo lleva a cabo personal con un nivel deconocimientos específico, mediante los procedimientos y los recursos prescritos y a cadanivel de mantenimiento y reparación prescritos.

Mantenimiento, correctivo – Todas las acciones que se llevan a cabo como resultadode un fallo, para que un elemento recupere la condición especificada. El mantenimientocorrectivo puede incluir todos o alguno de los pasos siguientes: localización, aislamiento,desmontaje, intercambio, nuevo montaje, alineamiento y verificación.

Mantenimiento, preventivo – Todas las acciones llevadas a cabo en un intento pormantener un elemento en una condición específica llevando a cabo procesos deinspección sistemática, detección y prevención de fallos incipientes.

Mecanismo de fallo – Proceso físico, químico, eléctrico térmico o de otro tipo queproduce el fallo.

Modo de fallo – Consecuencia del mecanismo por medio del cual se produce el fallo;es decir: cortocircuito, apertura, fractura, desgaste excesivo.

Tasa de fallo – Número total de fallos en una población de elementos, dividido entreel número total de unidades de vida útil empleadas por dicha población durante unintervalo de medición en particular y bajo condiciones determinadas.

Tiempo medio entre fallos (MTBF) – Medición básica de fiabilidad en el caso deelementos reparables: número medio de unidades de vida útil durante las que todoslos componentes del elemento funcionan dentro de sus límites específicos, durante unintervalo de medición en particular y bajo condiciones determinadas.

Tiempo medio hasta el fallo (MTTF) – Medida básica de fiabilidad en el caso deelementos no reparables: número medio de unidades de vida útil durante las que todoslos componentes del elemento funcionan dentro de sus límites específicos, durante unintervalo de medición en particular y bajo condiciones determinadas.

Tiempo medio hasta la reparación (MTTR) – Medida básica de mantenibilidad: sumade los tiempos de mantenimiento correctivo a cualquier nivel de reparación específico,dividida entre el número total de fallos de un elemento reparado a dicho nivel, duranteun intervalo en particular y bajo condiciones determinadas.



91

12.3. Conceptos matemáticos básicos en ingeniería aplicada a la fiabilidad

En ingeniería aplicada a la fiabilidad se utilizan numerosos conceptos matemáticos,en particular en las áreas de probabilidad y estadística. Asimismo, es posible utilizardiferentes distribuciones matemáticas para distintos propósitos, incluida la distribucióngaussiana (normal), la distribución logarítmica normal, la distribución de Rayleigh,la distribución exponencial, la distribución de Weibull y muchas otras. En esta breveintroducción nos limitaremos a tratar la distribución exponencial.

Tasa de fallo y tiempo medio entre fallos/hasta el fallo (MTBF/MTTF).

El objetivo de las mediciones cuantitativas de la fiabilidad es definir la tasa de falloen relación al tiempo y modelar dicha tasa según una distribución matemática paracomprender los aspectos cuantitativos del fallo. El bloque modular más básico es latasa de fallo, que se calcula utilizando la siguiente ecuación:

λ = F/T

Donde: λ = Tasa de fallo (a menudo se denomina tasa de peligro);

T = Número total de horas del dispositivo (tiempo de funcionamiento/ciclos/km/etc.)durante un periodo de investigación, tanto para elementos que han fallado como paralos que no han fallado;

F = número total de fallos que ocurren durante el periodo de análisis.

Por ejemplo, si cinco motores eléctricos funcionan durante un tiempo colectivo total de50 años y se producen 5 fallos funcionales durante dicho periodo, la tasa de fallo es de 0.1 al año.

Otro concepto muy básico es el tiempo medio entre fallos/hasta el fallo (MTBF/MTTF).La única diferencia entre el MTBF y el MTTF es que utilizamos el MTBF al referirnos aelementos que se reparan cuando fallan. En el caso de los elementos que simplementese han desechado y sustituido, utilizamos el MTTF. Los cálculos son los mismos. El cálculobásico para calcular el tiempo medio entre fallos (MTBF) y el tiempo medio hasta el fallo(MTTF) es el valor recíproco de la función de la tasa de fallo. Se calcula por medio de lasiguiente ecuación.

θ = T/F

Donde: θ = Tiempo medio entre fallos/hasta el fallo;

T = Tiempo de funcionamiento total/ciclos/km/etc. durante un periodo de investigación,tanto para elementos que han fallado como que no han fallado;

F = número total de fallos que ocurren durante el periodo de análisis.

92



El tiempo medio entre fallos (MTBF) en el ejemplo de un motor eléctrico industrial es de10 años, lo que representa el valor recíproco de la tasa de fallo de los motores. Casualmente,calcularíamos el tiempo medio entre fallos (MTBF) en el caso de motores eléctricos que sehayan reconstruido después de un fallo. En el caso de motores con dimensiones másreducidas considerados desechables, señalaríamos el tiempo medio hasta el fallo (MTTF).

La tasa de fallo es un concepto básico en el que intervienen cálculos mucho máscomplejos relacionados con la fiabilidad. En función del diseño mecánico/eléctrico, elcontexto de funcionamiento y/o la efectividad del mantenimiento, la tasa de fallo deuna máquina expresada en función del tiempo puede reducirse, permanecer constante,aumentar linealmente o aumentar geométricamente. No obstante, para que los cálculossean más precisos, se presupone una tasa de fallo constante.

12.4. Curva de la bañera

La curva de la bañera pone de manifiesto conceptualmente las tres características básicasde la tasa de fallo de una máquina: en disminución, constante, en aumento. En la práctica,la mayoría de las máquinas permanecen en la fase inicial de la vida útil o en las regionesde la curva de la bañera en las que la tasa de fallo es constante. Raramente se venmecanismos de fallo dependientes del tiempo, puesto que las máquinas industrialestípicas tienden a sustituirse (por completo o alguno de sus componentes) antes de que sedesgasten. No obstante, a pesar de las limitaciones en cuanto al modelado, la curva de labañera es una herramienta útil para explicar los conceptos básicos de fiabilidad aplicada ala ingeniería.

El cuerpo humano constituye un excelente ejemplo de un sistema que sigue la curva de labañera. Las personas y las máquinas tienden a sufrir una tasa de fallo elevada (mortalidad)durante sus primeros años de vida, pero dicha tasa disminuye a medida que aumenta laedad del niño (producto). Suponiendo que una persona sobreviva sus años deadolescencia, la tasa de mortalidad se vuelve bastante constante y permanece así hastaque las enfermedades dependientes de la edad (tiempo) empiezan a aumentar la tasa demortalidad (desgaste).

Existe la noción de que la curva de la bañera está compuesta por varias distribuciones defallos (Figura 38).

La disminución de la tasa de fallo en la fase inicial de la vida útil se debe a razonessistemáticas como, por ejemplo, a los puntos débiles en el proceso de fabricación queestán presentes en un producto. Al producirse un lote de productos, una proporción de lapoblación contendrá puntos débiles que fallarán durante el funcionamiento. Puesto quelos elementos con fallos se devuelven para su reparación, la proporción de productos conpuntos débiles en la población se reduce y la tasa de fallo disminuye en consecuencia.



93

El aumento de los fallos por desgaste puede deberse a razones sistemáticas similares.Los mecanismos de fallo pueden deberse a la degradación de la fuerza como, porejemplo, la acumulación de daños debidos a la fatiga. En electrónica, los mecanismos defallo dependientes del tiempo tienden a ser mecánicos por naturaleza e incluyen el fallodebido a la fatiga de las juntas de soldadura.

El periodo de la tasa de fallo constante representa la mayor parte de la vida útil de unproducto y es una medida de la calidad del diseño. Es en esta región de la tasa de falloconstante en la que pueden llevarse a cabo cálculos sencillos relacionados con lafiabilidad.

12.5. Distribución exponencial

La distribución exponencial, la fórmula de predicción más básica y más utilizada, se utilizapara modelar las máquinas con la tasa de fallo constante o la sección plana de la curva dela bañera. La mayoría de máquinas industriales pasan la mayor parte de su vida útil en latasa de fallo constante, por lo que es ampliamente aplicable.

00

0.1

0.2

0.3

0.4

0.5

0.6

0.7

0.8

0.9

1

10 20 30Tiempo

DecrecienteConstanteCrecienteTotal

Curva de bañera

Tasa

de

fallo

40 50 60

Figura 38: Curva de bañera

94



A continuación se indica la ecuación básica para el cálculo de la fiabilidad de unamáquina que sigue la distribución exponencial, donde la tasa de fallo es constanteexpresada en función del tiempo.

R(t) = exp. {-λ . t}

Donde: R(t) = Cálculo de fiabilidad durante un periodo de tiempo, ciclos, km, etc. (t);

λ = Tasa de fallo (1/MTBF o 1/MTTF) y t = el tiempo durante el que existe el riesgo.

En el ejemplo del motor eléctrico, si se presupone una tasa de fallo constante, laposibilidad de hacer funcionar un motor durante seis años sin que se produzca un fallo,o la fiabilidad proyectada, es del 55 % . El cálculo sería el siguiente:

R(t) = exp. {– 0.1 x 6}= exp. {– 0.6}= 0.5488 ≈ 55%

En otras palabras, después de seis años, desde el punto de vista probabilístico se podríaesperar que se produjera un fallo en alrededor del 45% de la población de motoresidénticos en funcionamiento en una aplicación idéntica. Merece la pena reiterar en estepunto que estos cálculos proyectan la probabilidad para una población general. Cadaindividuo específico dentro de la población podría fallar el primer día de funcionamiento,mientras que otro podría durar 30 años. Ésta es la naturaleza de las proyecciones defiabilidad probabilísticas.

Una característica de la distribución exponencial es que el tiempo medio entre fallos(MTBF) se produce en el punto en el que la fiabilidad calculada es del 36.78% o en elpunto en el que el 63.22% de las máquinas ya han fallado. En el ejemplo del motor,después de 10 años, es de esperar que falle el 63.22% de los motores de una poblaciónde motores idénticos utilizados en aplicaciones idénticas. En otras palabras, la tasa desupervivencia es del 36.78% de la población.

12.6. Cálculo de la fiabilidad del sistema

Una vez se ha establecido la fiabilidad de los componentes o de las máquinas en relaciónal contexto de funcionamiento y al tiempo necesario para la misión, los ingenieros de laplanta deben evaluar la fiabilidad de un sistema o proceso. De nuevo, con propósitos debrevedad y simplicidad, abordaremos los cálculos de fiabilidad en los sistemas en serie,en paralelo y redundantes de carga compartida (M de N) (sistemas MooN).

12.6.1. Sistemas seriales

Antes de tratar el caso de los sistemas seriales, debemos abordar los diagramas debloques de fiabilidad (RBD). Un diagrama de bloques de fiabilidad sirve sencillamente



95

para esquematizar un proceso desde el principio hasta el final. En el caso de un sistemaserial, al subsistema 1 le sigue el subsistema 2, y así sucesivamente. En el sistema serial,la capacidad para utilizar el subsistema 2 depende del estado de funcionamiento delsubsistema 1. Si el subsistema 1 no está en funcionamiento, el sistema está inactivo,independientemente de la condición del subsistema 2 (Figura 39).

Para calcular la fiabilidad del sistema en el caso de un proceso serial, solo se debemultiplicar la fiabilidad aproximada del subsistema 1 en un tiempo (t) por la fiabilidadaproximada del subsistema 2 en un tiempo (t). La ecuación básica para calcular lafiabilidad del sistema en el caso de un sistema serial sencillo es:

Rs(t) = R1(t) . R2(t) . R3(t)

Donde: Rs(t) – Fiabilidad del sistema durante un tiempo determinado (t);

Rn(t) – Fiabilidad del subsistema o de la subfunción durante un tiempo determinado (t)

Así, en el caso de un sistema sencillo con tres subsistemas o subfunciones, cada una deellas con una fiabilidad aproximada de 0.90 (90%) en un tiempo (t), la fiabilidad delsistema se calcula del siguiente modo: 0.90 X 0.90 X 0.90 = 0.729, o alrededor del 73%.

12.6.2. Sistemas en paralelo

A menudo, los ingenieros encargados del diseño incorporan la redundancia en máquinasfundamentales. Los ingenieros encargados de la fiabilidad los denominan sistemas enparalelo. Estos sistemas pueden diseñarse como sistemas en paralelo activos o comosistemas en paralelo en espera. En la Figura 40 se muestra el diagrama de bloques de unsistema en paralelo sencillo de dos componentes.

R1(t)

R2(t)

Figura 40: Sistema en paralelo

R1(t) R2(t) R3(t)

Subsistema 1 Subsistema 2 Subsistema 3

Figura 39: Sistema en serie

96



Para calcular la fiabilidad de un sistema en paralelo activo, en el que ambas máquinasestán en funcionamiento, utilice la siguiente y sencilla ecuación:

Rs(t) = 1 – [ {1-R1(t)} . {1-R2(t)} ]

Donde: Rs(t) – Fiabilidad del sistema durante un tiempo determinado (t);

Rn(t) – Fiabilidad del subsistema o de la subfunción durante un tiempo determinado (t)

El sistema en paralelo simple del ejemplo, con dos componentes en paralelo (cada uno deellos con una fiabilidad de 0.90) presenta una fiabilidad total del sistema de 1 – (0.1 X 0.1)= 0.99. De este modo, la fiabilidad del sistema ha aumentado en gran medida.

12.6.3. Sistemas M de N (MooN)

Un concepto importante para los ingenieros encargados de la fiabilidad de la planta es elde los sistemas MooN. Estos sistemas requieren que M unidades de una población totalde N se encuentren disponibles para ser utilizados. Un buen ejemplo en la industria sonlos pulverizadores de carbón de una planta de generación de energía eléctrica. Amenudo, los ingenieros diseñan esta función en la planta mediante un enfoque MooN.Por ejemplo, una unidad tiene cuatro pulverizadores y la unidad precisa que tres de loscuatro estén operativos para que la unidad funcione a carga plena (Figura 41).

12.7. Fallos peligrosos y seguros

Para que los cálculos relacionados con la fiabilidad resulten significativos, no solo nospreocupa la tasa de fallo del sistema, sino también cómo puede fallar el sistema, es decir,el modo de fallo.

Los modos de fallo pueden clasificarse como seguros o peligrosos. En la figura 42 semuestra un gasoducto. Si el gasoducto suministra combustible a una central de energía yla válvula de cierre seguridad falla y se cierra erróneamente, el suministro de combustiblese interrumpe y quizá se produzca una pérdida de ingresos, pero el modo de fallo (fallo enposición cerrada) es un fallo seguro.

Si la misma válvula falla en posición abierta, se mantiene el suministro de combustiblepero, en caso de producirse una condición de sobrepresión, no se podrá aislar elcombustible y garantizar la seguridad del oleoducto. Este modo de fallo (fallo enposición abierta) se considera por lo tanto un fallo peligroso.



97

En este ejemplo, el modo de fallo peligroso en posición abierta no se descubre sino hastaque la válvula se sometiera a una demanda; es decir, hasta que se le diera la orden decierre. Este se considera un fallo peligroso no detectado.


Controladorde presión

LógicaESD

Válvulasolenoide

Suministrohidráulico

Purgahidráulica

Entradagasoducto

Exportacióngasoducto

Válvulacierre

Válvulacontrol presión


PC

SPT


R1(t)

R2(t)

R3(t)

R4(t)

Figura 41: Sistema 3oo4

98



Como alternativa, si el oleoducto está suministrando caudal de refrigerante a la centralde energía y la válvula SSV969A falla y se cierra erróneamente, se interrumpe el caudal derefrigerante y la central de energía podría sobrecalentarse. En esta aplicación, la mismaválvula y el mismo modo de fallo (fallo en posición cerrada) constituye un fallo peligroso.Si la válvula falla en posición abierta, se mantiene el caudal de refrigerante y, por lo tanto,este modo de fallo (fallo en posición abierta) se considera un fallo seguro.

Un fallo peligroso de un componente en una función instrumentada de seguridad evitaque la función alcance un estado seguro cuando se precise que así lo haga. La tasa defallos peligrosos se representa mediante el símbolo: λD.

Un fallo seguro no tiene el potencial de poner el sistema instrumentado de seguridad en unestado peligroso o de fallo de funcionamiento, pero el fallo se produce de tal forma que elsistema debe apagarse o la función instrumentada de seguridad debe activarse cuando nohay ningún peligro presente. La tasa de fallos seguros se representa mediante el símbolo: λS.

Puede haber modos de fallo que no afecten en absoluto la función de seguridad. Entreellos pueden incluirse las funciones de mantenimiento, los elementos indicadores, losregistros de datos y otras funciones no relacionadas (no RS) con la seguridad. La tasa defallos no RS se representa mediante el símbolo: λno RS.

La tasa de fallo total de un elemento λ es igual a la suma de las tasas de fallo relacionadasy no relacionadas con la seguridad. Por lo general solamente se incluyen en los cálculosrelacionados con la fiabilidad λD y λS.

λ = λD + λS + λno RS

12.8. Fallos detectados y no detectados

La probabilidad de fallo a demanda (PFD) está relacionada con los fallos peligrosos queevitan que el sistema instrumentado de seguridad (SIS) funcione cuando se precise queasí lo haga. Estos modos de fallo se clasifican como fallos detectados, que se puedendetectar mediante un diagnóstico, o fallos no detectados, que no se detectan exceptomediante pruebas de calidad manuales, que por lo general se llevan a cabo anualmente.Se recomienda que los modos de fallo clasificados según la metodología FMECA comofallos detectados peligrosos se detecten como parte del diagnóstico y se verifiquen enla validación del software. Además, los procedimientos de la prueba de calidad debengarantizar que los modos de fallos no detectados peligrosos se descubran para garantizarque las pruebas de calidad resulten efectivas.

De acuerdo con la norma IEC 61508-6, Anexo B.3.1, en el análisis se puede considerar quepara cada función de seguridad existe una prueba de calidad y una reparación perfecta;es decir, que todos los fallos no detectados se descubren mediante una prueba decalidad.



99

12.9. Periodo de prueba de calidad (Tp) y tiempo improductivo medio (MDT)

Si se produce un fallo, se presupone que en promedio ocurre en el punto intermedio delintervalo de prueba. En otras palabras, el fallo sigue sin detectarse durante el 50% delperiodo de prueba.

Tanto en el caso de fallos detectados como de no detectados, el tiempo improductivomedio (MDT) depende del intervalo de prueba y del tiempo medio hasta la reparación(MTTR).

El tiempo improductivo medio (MDT) se calcula, por lo tanto, a partir de:

MDT = intervalo de prueba + MTTR2

En el caso de fallos detectados, el tiempo improductivo medio se aproxima, por lo tanto,al tiempo medio hasta la reparación, ya que el intervalo de prueba (autoprueba) es por logeneral corto en comparación con el tiempo medio hasta la reparación (MTTR). En el casode fallos no detectados, el tiempo de reparación es corto en comparación al intervalode prueba, el periodo de prueba de calidad (Tp) y, por lo tanto, el tiempo improductivomedio (MDT) de este tipo de fallos se aproxima a Tp/2.

12.10. Modelado de la tasa de fallo del sistema (λsys)

La tasa de fallo de un sistema redundante λsys, puede calcularse teniendo en cuentalas diferentes formas en que puede producirse el fallo del sistema. En un sistema 3oo4,se requiere el funcionamiento de 3 de los 4 canales para que el sistema funcione; por lotanto, cada dos fallos se produce un fallo del sistema.

λ

λ

λ

λ

Figura 43: Sistema 3oo4

100



La tasa a la que se producen los dos fallos, λ2 se da por la tasa de fallo de un elemento λ,multiplicada por la probabilidad de que se produzca un segundo fallo durante el tiempoimproductivo, el tiempo improductivo medio del primer fallo, λ.MDT.

Por tanto:

λ2 = λ.( λ.MDT)

No obstante, existen 12 permutaciones (el orden es importante) de dos fallos en unsistema 3oo4: A.B, A.C, A.D, B.C, B.D, C.D, B.A, C.A, D.A, C.B, D.B y deben tenerse en cuentatodas ellas. La tasa de fallo del sistema se convierte, por lo tanto, en aproximadamente:

λSYS = 12.λ2.MDT

Para ser exactos, debemos incluir todas las permutaciones de 3 y 4 fallos concurrentes,así como fallos debidos a causas comunes, puesto que estos también dan como resultadoun fallo del sistema; no obstante, como aproximación de primer orden, pueden obviarseestos términos de orden superior. En la Tabla 10 se presenta la tasa de fallo del 3oo4 yotras configuraciones. Tenga en cuenta que se trata de aproximaciones en las quetambién se obvian los términos de orden superior.

Tabla 10: Tasa de fallos del sistema

Tenga en cuenta que la contribución de fallos por causas comunes se trataposteriormente [12.17].

Configuración λsys

1oo1 λ

1oo2 2.λ2.MDT

2oo2 2.λ

1oo3 3.λ3.MDT2

2oo3 6.λ2.MDT

3oo3 3.λ

1oo4 λ4.MDT3

2oo4 12.λ3.MDT2

3oo4 12.λ2.MDT

4oo4 4.λ



101

12.11. Modelado de tasas de fallos peligrosos detectados y no detectados (λDD) y(λDU)

Al sustituir λDD y λDU, por λ en la Tabla 10, y al utilizar el tiempo improductivo medio (MDT)o el Tp/2 (según resulte adecuado) puede derivarse la tasa de fallo del sistema a causa defallos peligrosos detectados o no detectados Tabla 11.

Tabla 11: Tasa de fallos peligrosos del sistema

12.12. Modelado de la tasa de disparos erróneos del sistema (λSTR)

Puesto que se presupone que todas las tasas de fallos seguros, por lo general, se detectan,en una configuración redundante los canales que hayan fallado se repararán siempre ycuando el sistema no se dispare. Por lo tanto, es aplicable el enfoque adoptado para fallospeligrosos detectados, excepto en que el número de fallos necesarios para un disparoerróneo puede diferir del necesario para un fallo peligroso.

Por lo general, en los disparos erróneos se incluyen únicamente las tasas de fallos segurospero, en función del comportamiento del sistema al detectar un fallo, pueden incluirse losfallos peligrosos detectados, de modo que la tasa de disparos erróneos es la suma de losdos.

En la Tabla 12 se resumen las tasas de disparos erróneos del sistema en el caso de fallosseguros.

Configuración Detectado No detectado

λsys λsys

1oo1 λDD λDU

1oo2 2.λDD2.MDT λDU2.TP

2oo2 2.λDD 2.λDU

1oo3 3.λDD3.MDT2 λDU3.TP2

2oo3 6.λDD2.MDT 3.λDU2.TP

3oo3 3.λDD 3.λDU

1oo4 λDD4.MDT3 λDU4.TP3

2oo4 12.λDD3.MDT2 4.λDU3.TP2

3oo4 12.λDD2.MDT 6.λDU2.TP

4oo4 4.λDD 4.λDU

102



Tabla 12: Tasas de disparos erróneos del sistema

12.13. Modelado de disponibilidad de sistemas de seguridad en el modo a demanda

En el caso de un sistema de seguridad, la disponibilidad debida a fallos peligrososdetectados, ADD se calcula:

ADD = 1/(1 + .λDD(SYS).MDT)

donde λDD(SYS) es la tasa de fallo del sistema como resultado de los fallos peligrososdetectados [12.11].

En el caso de fallos peligrosos no detectados, la ADU se calcula:

ADU = 1/(1 + .λDU(SYS).TP/2)

donde λDU(SYS) es la tasa de fallo del sistema como resultado de los fallos peligrosos nodetectados [12.11].

En el caso de fallos seguros, AS se calcula:

AS = 1/(1 + .λS(SYS).MDT)

donde λS(SYS) es la tasa de fallo del sistema como resultado de fallos erróneos (seguros)[12.12].

Configuración Erróneo

λstr

1oo1 λS

1oo2 2.λS

2oo2 2.λS2.MDT

1oo3 3.λS

2oo3 6.λS2.MDT

3oo3 3.λS3.MDT2

1oo4 4.λS

2oo4 12.λS2.MDT

3oo4 12.λS3.MDT2

4oo4 λS4.MDT3



103

La disponibilidad del sistema es, por lo tanto, producto de las disponibilidades debidas afallos peligrosos detectados, fallos peligrosos no detectados y fallos seguros:

ASYS = ADD . ADU . AS

Este método puede utilizarse para modelar sistemas seriales (simplex) y también sistemasredundantes.

12.14. Modelado de disponibilidad de sistemas de seguridad en modo continuo

Cuando se aplica el método a sistemas de seguridad en modo continuo, el analistadebe comprender la naturaleza de las demandas a la que está sometida la función deseguridad. Ciertas funciones de seguridad en modo continuo funcionan a demanda(igual que una función de seguridad en modo a demanda), pero se clasifican como enmodo continuo debido a la frecuencia de la demanda (por ejemplo, superior a una vezal año). En este caso, la disponibilidad puede calcularse al igual que para una función deseguridad en modo a demanda, excepto que el intervalo de prueba de calidad TP debesustituirse por el intervalo de demanda TD. Los fallos peligrosos no detectados no sedescubren sino hasta que la función de seguridad se somete a una demanda.

Cuando la función de seguridad en modo continuo proporciona control continuo de formaeficaz, la disponibilidad puede calcularse como si se tratase de un sistema de control [12.15].

12.15. Modelado de disponibilidad de sistemas de control

Cuando se trata de modelar la disponibilidad de los sistemas de control, nos preocupanlos fallos que afectan el proceso y debemos decidir si un fallo afecta al proceso hasta talpunto que el sistema de control se encuentra efectivamente no disponible.

La detección de un fallo se lleva a cabo ya sea mediante diagnóstico y alarmas de fallo,en cuyo caso se precisa una reparación y el sistema no está disponible sino hasta que serestaure, o mediante síntomas, en cuyo caso el proceso bajo control funciona fuera de loslímites de los puntos de ajuste.

Los fallos que no se detectan no tienen como consecuencia inmediata que el sistemade control se encuentre no disponible. Con el tiempo, el fallo no detectado puede tenercomo consecuencia la desviación de los límites específicos para los parámetros deproceso y, en dicho punto, se descubre y se traduce en una falta de disponibilidad.

La disponibilidad de los sistemas de control puede, por lo tanto, modelarse teniendo encuenta que la tasa de fallo total del sistema ASYS viene dada por:

ASYS = 1/(1 + λSYS.MDT)

donde λSYS es la tasa de fallo total del sistema como resultado de todos los fallos [Tabla 10].

104



12.16. Probabilidad de fallo peligroso/hora (PFH) y probabilidad de fallo a demanda(PFD)

En la Tabla 13 se presentan las fórmulas simplificadas de la probabilidad de fallopeligroso/hora (PFH) y de la probabilidad de fallo a demanda (PFD) de configuracionescomunes en el caso de fallos detectados, y en la Tabla 14 en el caso de fallos nodetectados.

Tabla 13: Cálculo de PFH/PFD (fallos detectados)

Configuración PFH PFD

1oo1 λDD λDD.MDT

1oo2 2.λDD2.MDT 2.λDD2.MDT2

2oo2 2.λDD 2.λDD.MDT

1oo3 3.λDD3.MDT2 3.λDD3.MDT3



1oo4 4.λDD4.MDT3 λDD4.MDT4

2oo4 12.λDD3.MDT2 4.λDD3.MDT3





105

Tabla 14: Cálculo de PFH/PFD (fallos no detectados)

12.17. Consideración de fallos por causas comunes (CCF)

Los fallos por causas comunes son fallos que pueden producirse por una única causa,pero que afectan de forma simultánea a más de un canal. Pueden ser el resultado deun fallo sistemático, por ejemplo, un error de especificación de diseño o una influenciaexterna como temperatura excesiva que pudiera dar lugar a un fallo de componentes enlos dos canales redundantes. Es responsabilidad del diseñador del sistema adoptar lasmedidas necesarias para minimizar la posibilidad de que se produzcan fallos por causascomunes empleando las prácticas de diseño adecuadas.

La contribución de fallos por causas comunes en rutas redundantes en paralelo secontabiliza mediante la inclusión de un factor β. La tasa de fallos por causas comunes quese incluye en el cálculo es igual a β x la tasa de fallo total de una de las rutas redundantes.

El modelo del factor β- [IEC 61508-6, Anexo D] es la técnica preferida puesto que esobjetiva y proporciona facilidad de rastreo en el cálculo de β. El modelo se ha compiladopara responder a una serie de preguntas específicas que, a continuación, se hanpuntuado mediante un juicio objetivo en materia de ingeniería. La puntuación máximade cada pregunta se ha ponderado en el modelo mediante la calibración de los resultadosde varias evaluaciones (contra datos conocidos de fallos de campo).

Configuración PFH PFD

1oo1 λDU λDD.TP/2

1oo2 λDU2.TP λDD2.TP2/3

2oo2 2.λDU λDD.TP

1oo3 λDU3.TP2 λDD3.TP3/4

2oo3 3.λDU2.TP λDD2.TP2

3oo3 3.λDU 3.λDD.TP/2

1oo4 λDU4.TP3 λDD4.TP4/5

2oo4 4.λDU3.TP2 λDD3.TP3

3oo4 6.λDU2.TP 2.λDD2.TP2

4oo4 4.λDU 2.λDD.TP

106



En las puntuaciones de las listas de verificación se utilizan dos columnas. La columna Acontiene las puntuaciones de aquellas características de protección contra fallos porcausas comunes que se considera que han mejorado mediante un aumento en lafrecuencia de diagnóstico (autoprueba o prueba de calidad). La columna B contiene laspuntuaciones de aquellas características que se considera que no han mejoradomediante un aumento en la frecuencia de diagnóstico.

El modelo permite modificar la puntuación mediante la frecuencia y la cobertura de laprueba de diagnóstico. Las puntuaciones de la columna A se multiplican por un factor C,que se deriva de las consideraciones relacionadas con el diagnóstico. El factor β final secalcula entonces a partir de la puntuación bruta total:

Puntuación bruta = (A * C) + B

La relación entre β y la puntuación bruta es esencialmente una función exponencialnegativa, puesto que no existen datos para justificar la divergencia respecto a lasuposición de que, a medida que β disminuye (mejora), las sucesivas mejoras resultancada vez más difíciles de conseguir.

Si una pregunta en particular no es aplicable al sistema que está siendo evaluado, se introduceuna puntuación de 100% o 0% en función de lo que resulte más adecuado al sistema.

Las siguientes representan restricciones típicas que deben tenerse en cuenta para calcularla contribución de los fallos por causas comunes (CCF):

• los canales redundantes están separados físicamente;• tecnologías diversas; por ejemplo, un canal electrónico y un canal basado en

relé;• el sistema por escrito de trabajo en las instalaciones debe garantizar que los

fallos se investiguen;• los procedimientos de mantenimiento por escrito deben evitar modificar el

tendido de tramos de cable;• el acceso del personal es limitado;• el entorno de funcionamiento está controlado y el equipo ha sido clasificado

respecto al rango medioambiental completo.

El rendimiento real durante el funcionamiento, no obstante, depende de la instalaciónespecífica y del diseño, de las prácticas de funcionamiento y mantenimiento adoptadas pero,siempre y cuando se adopten las buenas prácticas de ingeniería adecuadas, el modelo ofreceun cálculo rasteable de la contribución de los fallos por causas comunes (CCF).

Al tener en cuenta los fallos por causas comunes en la fórmula de la probabilidad de falloa demanda (PDF) y de la probabilidad de fallo por hora (PFH) [Tabla 13 y Tabla 14], puedeutilizarse el siguiente enfoque. Las ecuaciones utilizadas son simplificaciones deecuaciones estándar y se derivan en [19.6].



107

Para fallos detectados:

PFD1oo1 = λDD.MDT Ref. IEC 61508-6, B.3.2.2.1PFD1oo2 = λDD2.MDT2 + β.λDD.MDT Ref. IEC 61508-6, B.3.2.2.2

Para fallos no detectados:

PFD1oo1 = λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.1PFD1oo2 = λDU2.TP2/3 + β.λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.2

Donde λDD es la tasa de fallos peligrosos detectados, λDU es la tasa de fallos peligrosos nodetectados y β es la contribución de los fallos por causas comunes. TP es el intervalo deprueba de calidad y MDT es el tiempo improductivo medio.

En el apartado [19.7] se examinan las formas genéricas de estas ecuaciones de variasconfiguraciones, tanto para sistemas en modo continuo como en modo a demanda.

12.18. Tasas de fallo

Al calcular la probabilidad de fallo a demanda y la fracción de fallos seguros, el análisisutiliza la hipótesis subyacente de IEC 61508-6, Anexo B.3 según la cual las tasas de fallode componentes son constantes a lo largo de la vida útil del sistema.

Las tasas de fallo utilizadas en los cálculos pueden obtenerse mediante un análisis demodos de fallos, efectos y criticidad (FMECA) y cuantificarse mediante los datos de campoo mediante una referencia a datos publicados de fuentes industriales. Las tasas de falloutilizadas deben compararse con los datos disponibles de módulos de complejidady tecnología similares. Este enfoque asegura un enfoque conservador en términos demodelo de fiabilidad, y aporta confianza en cuanto a que el rendimiento de fiabilidadcalculado debe conseguirse en servicio.

Las tasas de fallo y sus fuentes se tratan en 14.8.

12.19. Modelado de sistemas 1oo2, 1oo2D y secundario simultáneo

En los siguientes ejemplos se presentan diagramas de bloques de fiabilidad que modelanalgunas configuraciones de sistema habituales.

1oo2

Un sistema 1oo2 representa una arquitectura 1 de 2, en la que cualquiera de los doscanales puede llevar a cabo la función de seguridad. Se trata de una configuración contolerancia a fallos en la que se puede tolerar el fallo de un canal.

Si el fallo del canal es un fallo peligroso no descubierto, no será detectado por eldiagnóstico y no se producirá una indicación de fallo. No obstante, la función deseguridad seguirá funcionando puesto que el canal restante puede iniciar el disparo.

108



Si el fallo del canal es un fallo peligroso detectado, normalmente se produce unaindicación de fallo.

En el apartado 12.20 se muestra un ejemplo de un diagrama de bloques de fiabilidad.

1oo2D

Una arquitectura de sistema 1oo2D presenta dos canales conectados en paralelo, ycada canal incluye circuitos de diagnóstico para detectar fallos con una cobertura dediagnóstico elevada. Ambos canales deben acordar la ejecución de una acción de cierredurante el funcionamiento normal del sistema. Un canal en buen estado controla elsistema si el circuito de diagnóstico del otro lado detecta un fallo.

En términos de modelado de fiabilidad, en el caso de fallos peligrosos detectados, elsistema 1oo2D funciona como configuración 1oo2 y la tasa de fallo del sistema y laprobabilidad de fallo a demanda pueden modelarse como 1oo2 en lo que respectaa fallos detectados.

Un único fallo peligroso no detectado en un canal en un sistema 1oo2D evita que elsistema funcione y, por lo tanto, la tasa de fallo del sistema y la probabilidad de fallo ademanda deben moderarse como 2oo2 en lo que respecta a fallos no detectados. Enotras palabras, ambos canales deben funcionar.

En el apartado 12.21 se muestra un ejemplo de un diagrama de bloques de fiabilidad.

Sistema secundario simultáneo (hot standby)

Un sistema secundario simultáneo incluye dos canales conectados en paralelo, en el queun canal se designa como maestro y controla la función de seguridad. El otro canal actúacomo secundario simultáneo, de modo que si se detecta un fallo peligroso en el canalmaestro este canal secundario asume el control de la función de seguridad.

En términos de modelado de fiabilidad, en el caso de fallos peligrosos detectados elsistema secundario simultáneo funciona como configuración 1oo2 y la tasa de fallo delsistema y la probabilidad de fallo a demanda pueden modelarse como 1oo2 en lo querespecta a fallos detectados.

Un único fallo peligroso no detectado en un canal de un sistema evita que el sistemafuncione y, por lo tanto, la tasa de fallo del sistema y la probabilidad de fallo a demandadeben moderarse como 1oo1 en lo que respecta a fallos no detectados. En otras palabras,la función de seguridad no puede tolerar un fallo no detectado del canal maestro y enel caso de los fallos no detectados no existe redundancia. En el apartado 12.22 se muestraun ejemplo de un diagrama de bloques de fiabilidad.



109

CCF

5%Ca

nt.

11

11

21

1Co

nfigu

raci

ón1o

o11o

o11o

o11o

o21o

o21o

o21o

o2

λDD

(dia

gnós

ticos

)1.

16E-

060.

00E+

000.

00E+

008.

19E-

082.

95E-

072.

03E-

071.

38E-

075.

25E-

08λD

D*c

ant.

1.16

E-06

0.00

E+00

0.00

E+00

8.19

E-08

5.90

E-07

2.03

E-07

1.38

E-07

5.25

E-08

λD

D p

ara

bifu

rcac

ión

1.16

E-06

1.01

E-06

5.25

E-08

MD

T24

2424

λTo

tal

DD

1.16

E-06

4.93

E-11

5.25

E-08

λDU

(pru

eba

de c

alid

ad)

3.66

E-07

2.00

E-07

2.00

E-07

9.10

E-09

3.28

E-08

2.26

E-08

1.54

E-08

5.84

E-09

λDU

*can

t.3.

66E-

072.

00E-

072.

00E-

079.

10E-

096.

56E-

082.

26E-

081.

54E-

085.

84E-

09λD

U p

ara

bifu

rcac

ión

7.66

E-07

1.13

E-07

5.84

E-09

Perio

do d

e pr

ueba

de

calid

ad, T

8760

8760

8760

Tota

l λD

U7.

66E-

071.

11E-

105.

84E-

09

λS (d

iagn

óstic

os)

2.15

E-06

3.00

E-07

3.00

E-07

9.10

E-08

3.28

E-07

2.26

E-07

1.54

E-07

5.84

E-08

λS*c

ant.

0.00

E+00

0.00

E+00

2.63

E-03

9.10

E-08

6.56

E-07

2.26

E-07

1.54

E-07

5.84

E-08

λS

para

bifu

rcac

ión

2.63

E-03

1.13

E-06

5.84

E-08

MD

T24

2424

Tota

l λS

2.63

E-03

2.25

E-06

5.84

E-08

Tota

l λD

D1.

21E-

06To

tal λD

U7.

72E-

07To

tal λS

2.63

E-03

To

tal λ

SY

S2

.63

E-0

3/h

Salid

a di

gita

l

CCF

CNB

CPU

CNB

Entr

ada

anal

ógic

aCP

U

Tran

smis

or

de p

resi

ónPT

-xxx

Carg

ave

ntila

dor

FL-x

xx

Carg

ave

ntila

dor

FL-x

xx

Entr

ada

anal

ógic

aSa

lida

digi

tal

Tasa de fallos del sistemapara un sistema 1oo2

110



Salid

a di

gita

l

CCF

CNB

CPU

CNB

Entr

ada

anal

ógic

aCP

U

Tran

smis

or

de p

resi

ónPT

-xxx

Carg

a ve

ntila

dor

FL-x

xx

Carg

a ve

ntila

dor

FL-x

xxCN

BEn

trad

aan

alóg

ica

CPU

Salid

a di

gita

l

CCF

5%Ca

nt.

11

11

21

12

42

2Co

nfigu

raci

ón1o

o11o

o11o

o11o

o21o

o21o

o21o

o22o

o22o

o22o

o22o

o2

λDD

(dia

gnós

ticos

)1.

16E-

060.

00E+

000.

00E+

008.

19E-

082.

95E-

072.

03E-

071.

38E-

075.

25E-

08λD

D*c

ant.

1.16

E-06

0.00

E+00

0.00

E+00

8.19

E-08

5.90

E-07

2.03

E-07

1.38

E-07

5.25

E-08

λDD

par

a bi

furc

ació

n1.

16E-

061.

01E-

065.

25E-

08M

DT

2424

24To

tal λD

D1.

16E-

064.

93E-

115.

25E-

08

λDU

(pru

eba

de c

alid

ad)

3.66

E-07

2.00

E-07

2.00

E-07

9.10

E-09

3.28

E-08

2.26

E-08

1.54

E-08

λDU

*can

t.3.

66E-

072.

00E-

072.

00E-

071.

82E-

081.

31E-

074.

52E-

083.

07E-

08λD

U p

ara

bifu

rcac

ión

7.66

E-07

2.25

E-07

Perio

do d

e pr

ueba

de

calid

ad, T

8760

8760

Tota

l λD

U7.

66E-

079.

87E-

04

λS (d

iagn

óstic

os)

2.15

E-06

3.00

E-07

3.00

E-07

9.10

E-08

3.28

E-07

2.26

E-07

1.54

E-07

5.84

E-08

λS*c

ant.

0.00

E+00

0.00

E+00

2.63

E-03

9.10

E-08

6.56

E-07

2.26

E-07

1.54

E-07

5.84

E-08

λS p

ara

bifu

rcac

ión

2.63

E-03

1.13

E-06

5.84

E-08

MD

T24

2424

Tota

l λS

2.63

E-03

2.25

E-06

5.84

E-08

Tota

l λD

D1.

21E-

06To

tal λD

U9.

88E-

04To

tal λS

2.63

E-03

To

tal λ

SY

S3

.62

E-0

3/h

Entr

ada

anal

ógic

aSa

lida

digi

tal

Tasa de fallos del sistemapara un sistema 1oo2D



111

Salid

a di

gita

l

CCF

CNB

CPU

CNB

Entr

ada

anal

ógic

aCP

U

Tran

smis

or

de p

resi

ónPT

-xxx

Carg

ave

ntila

dor

FL-x

xx

Carg

ave

ntila

dor

FL-x

xxCN

BEn

trad

a an

alóg

ica

CPU

Salid

a di

gita

l

Entr

ada

anal

ógic

aSa

lida

digi

tal

Cant

.1

11

12

11

12

11

Confi

gura

ción

1oo1

1oo1

1oo1

1oo2

1oo2

1oo2

1oo2

1oo1

1oo1

1oo1

1oo1

λDD

(dia

gnós

ticos

)1.

16E-

060.

00E+

000.

00E+

008.

19E-

082.

95E-

072.

03E-

071.

38E-

075.

25E-

08λD

D*c

ant.

1.16

E-06

0.00

E+00

0.00

E+00

8.19

E-08

5.90

E-07

2.03

E-07

1.38

E-07

5.25

E-08

λDD

par

a bi

furc

ació

n1.

16E-

061.

01E-

065.

25E-

08M

DT

2424

24To

tal λD

D1.

16E-

064.

93E-

115.

25E-

08

λDU

(pru

eba

de c

alid

ad)

3.66

E-07

2.00

E-07

2.00

E-07

9.10

E-09

3.28

E-08

2.26

E-08

1.54

E-08

λDU

*can

t.3.

66E-

072.

00E-

072.

00E-

079.

10E-

096.

56E-

082.

26E-

081.

54E-

08λD

U p

ara

bifu

rcac

ión

7.66

E-07

1.13

E-07

Perio

do d

e pr

ueba

de

calid

ad, T

8760

8760

Tota

l λD

U7.

66E-

074.

93E-

04

λS (d

iagn

óstic

os)

2.15

E-06

3.00

E-07

3.00

E-07

9.10

E-08

3.28

E-07

2.26

E-07

1.54

E-07

5.84

E-08

λS*c

ant.

0.00

E+00

0.00

E+00

2.63

E-03

9.10

E-08

6.56

E-07

2.26

E-07

1.54

E-07

5.84

E-08

λS p

ara

bifu

rcac

ión

2.63

E-03

1.13

E-06

5.84

E-08

MD

T24

2424

Tota

l λS

2.63

E-03

2.25

E-06

5.84

E-08

Tota

l λD

D1.

21E-

06To

tal λD

U4.

94E-

04To

tal λS

2.63

E-03

To

tal λ

SY

S3

.13

E-0

3/h

Tasa de fallos del sistemapara un sistema secundario simultáneo

112



Salid

a di

gita

l

CCF

CNB

CPU

CNB

Entr

ada

anal

ógic

aCP

U

Tran

smis

orde

pre

sión

PT-x

xx

Carg

ave

ntila

dor

FL-x

xx

Carg

ave

ntila

dor

FL-x

xx

CCF

5%Ca

nt1

11

12

11

Confi

gura

ción

1oo1

1oo1

1oo1

1oo2

1oo2

1oo2

1oo2

λD

D (d

iagn

óstic

os)

1.16

E-06

0.00

E+00

0.00

E+00

8.19

E-08

2.95

E-07

2.03

E-07

1.38

E-07

5.25

E-08

λDD

*can

t1.

16E-

060.

00E+

000.

00E+

008.

19E-

085.

90E-

072.

03E-

071.

38E-

075.

25E-

08λD

D p

ara

bifu

rcac

ión

1.16

E-06

1.01

E-06

5.25

E-08

MD

T24

2424

Tota

l λD

D1.

16E-

064.

93E-

115.

25E-

08

λDU

(pru

eba

de c

alid

ad)

3.66

E-07

2.00

E-07

2.00

E-07

9.10

E-09

3.28

E-08

2.26

E-08

1.54

E-08

5.84

E-09

λDU

*can

t3.

66E-

072.

00E-

072.

00E-

079.

10E-

096.

56E-

082.

26E-

081.

54E-

085.

84E-

09λD

U p

ara

bifu

rcac

ión

7.66

E-07

1.13

E-07

5.84

E-09

Perio

do d

e pr

ueba

de

calid

ad, T

8760

8760

8760

Tota

l λD

U7.

66E-

071.

11E-

105.

84E-

09

λS (d

iagn

óstic

os)

2.15

E-06

3.00

E-07

3.00

E-07

9.10

E-08

3.28

E-07

2.26

E-07

1.54

E-07

5.84

E-08

λS*c

ant

0.00

E+00

0.00

E+00

2.63

E-03

9.10

E-08

6.56

E-07

2.26

E-07

1.54

E-07

5.84

E-08

λS p

ara

bifu

rcac

ión

2.63

E-03

1.13

E-06

5.84

E-08

MD

T24

2424

Tota

l λS

2.63

E-03

2.25

E-06

5.84

E-08

Tota

l λD

D=

1.21

E-06

Av

(DD

)=

0.99

997

Tota

l λD

U=

7.72

E-07

Av

(DU

)=

0.99

328

Tota

l λS

=2.

63E-

03A

v (S

)=

0.94

062

To

tal λ

SY

S=

2.6

3E

-03

/h

Dis

po

nib

ilid

ad

=0

.93

43

Entr

ada

anal

ógic

aSa

lida

digi

tal

Disponibilidad de unsistema complex



113

12.24. Ejemplo de hoja de datos

Los datos de la tasa de fallo utilizados en los diagramas de bloques de fiabilidad anterioresdeben estar visibles en el informe y demostrar facilidad de rastreo a la fuente. La fuente,cuando se refiera a datos publicados, debe presentarse de forma suficientemente detallada,de modo que terceros puedan comprobar independientemente los datos utilizados. Estegrado de detalle puede incluir identificación de documentos, número ISBN (si es aplicable) ynúmero de página y de elemento.

En la Tabla 15 se muestra una tabla de datos típica de los diagramas de bloques defiabilidad del ejemplo anterior.

Tabla 14: Cálculo de probabilidad de fallo por hora (PFH)/probabilidad de fallo a demanda(PFD) (fallos no detectados)

Descripción Núm. depieza

λTotal λD λDD λDU λS Comentarios/fuente

Transmisorde presiónPT-xxx

PT-xxx 3.68E-06 1.53E-06 1.16E-06 3.66E-07 2.15E-06 Manufacturers PT-xxxFunctional SafetyManual, M-xxx-xxx,Month-20xx

CargaventiladorFL-xxxtransfor -mador decorriente

FL-xxx 5.00E-07 2.00E-07 0.00E+00 2.00E-07 3.00E-07 FARADIP-THREE V6.4,Reliability Data Base.Technis, 26 OrchardDrive, Tonbridge, Kent TN10 4LG,ISBN 0-951-65623-6.

Módulocomunic.ControlNetCNB

1756-CNB

1.82E-07 9.10E-08 8.19E-08 9.10E-09 9.10E-08 Allen-Bradley –documento ’UsingControlLogix in SIL2Applications’

Módulo deentradaanalógica

1756-AI16


ControlLogixCPU

1756-L63

4.52E-07 2.26E-07 2.03E-07 2.26E-08 2.26E-07 Allen-Bradley –documento ‘UsingControlLogix in SIL2Applications’

Módulo desalida digital

1756-OB32


114



12.25. Modelado de sistemas de fuego y gas (F y G)

En el modelado de sistemas F y G, es importante ofrecer una cierta orientación respectoa la tolerancia a fallos. El modelado de sistemas ESD o similares sigue por lo general lamisma configuración utilizada por la votación del dispositivo de resolución lógica. Porejemplo, la fiabilidad de transmisores de presión en los que un sistema de cierre deemergencia (ESD) vota por uno de dos (1oo2) en condiciones de alta presión, se modelacomo 1oo2. Este mismo principio no siempre es aplicable a los sistemas F y G.

En general, puede llevarse a cabo un análisis conservador sin confiar en la cobertura deldetector y en la redundancia en la configuración de la alarma, pero en la práctica puede darcomo resultado un análisis pesimista e imposibilidad de cumplir los objetivos. Cuando surgendificultades de este tipo, un conocimiento detallado de los peligros permite desarrollar unmodelo más dirigido y, en consecuencia, realizar un análisis más realista de fiabilidad.

Los sistemas F y G no solo protegen a las personas, sino que también pueden utilizarsepara proteger un activo contra un riesgo comercial o unas instalaciones frente a un riesgomedioambiental; la acción ejecutiva requerida por las funciones instrumentadas deseguridad al proporcionar esta protección determina el modelo de fiabilidad adecuadoque debe utilizarse.

Al modelar las funciones instrumentadas de seguridad de un sistema de F y G paradeterminar la conformidad frente a los objetivos de fiabilidad del hardware, por ejemplola probabilidad de fallo a demanda, deben adoptarse decisiones para determinarexactamente qué configuración del hardware debe modelarse.

Como ejemplo, en los datos C y E de una función instrumentada de seguridad para unsistema de F y G se especifica, por lo general:

a) cualquier detector de gas de seis (1oo6) en el estado de la alarma sedenomina ’alarma sencilla de gas’ y activa una alarma en la sala de control;

b) cualquiera dos detectores de gas de seis (2oo6) en el estado de la alarma sedenomina ’alarma confirmada de gas’, y activa alarmas y balizas de lasinstalaciones y genera un cierre de emergencia en la planta.

No obstante, para que el modelado sea correcto, debemos entender las funcionesinstrumentadas de seguridad y el peligro contra el que protege. La acción ejecutivarequerida por las funciones instrumentadas de seguridad determina el modelo queresulta adecuado utilizar.

12.26. Modelado de configuraciones de detectores en sistemas F y G

En la práctica, un operario investiga una señal sencilla de gas para determinar si es real oerrónea, o si se debe a un fallo de un detector. Únicamente se adopta una acción ejecutivacomo resultado del estado de ’alarma confirmada de gas’, lo que garantiza la evacuación



115

del personal de la planta por motivos de seguridad. Ésta es la función de seguridad queha atraído el objetivo del nivel de integridad de seguridad y, por lo tanto, el caso b)anterior debe ser el punto de partida para el modelado de fiabilidad: una alarmaconfirmada de gas garantiza la evacuación del personal por motivos de seguridad.

La configuración en la Figura 44 muestra seis detectores de gas posicionados en unazona; la votación del dispositivo de resolución lógica 2oo6 está configurada para quese adopte una acción ejecutiva si cualesquiera 2 sensores de los 6 detectan gas.

No obstante, el modelado de las funciones instrumentadas de seguridad frente a losobjetivos de la probabilidad de fallo a demanda consiste en calcular la probabilidad de noreaccionar al gas cuando se precise. La liberación de gas suficientemente grande comopara ser peligrosa puede encontrarse dentro de la cobertura de, digamos, la mitad de los6 detectores (Figura 45).

Zona con 6 detectores de gas

Gas

Zona 01

F&G

Acción ejecutiva al recibir alarma de 2 detectores cualquiera de 6.Votación lógica 2oo6

G

G

G

G

G

G

Figura 45: Cobertura de sistema de F y G

Zona con 6 detectores de gasZona 01

F&G

Acción ejecutiva al recibir alarma de 2 detectores cualquiera de 6.Votación lógica 2oo6

G

G

G

G

G

G

Figura 44: Configuración de sistema de F y G

116



En la práctica, es probable que se requiera iniciar una acción ejecutiva lo antes posible,por ejemplo, cuando un mínimo de dos sensores se encuentren dentro de la nube degas. En este caso, los sensores deben modelarse como 2oo2, sin redundancia y, comoconsecuencia, no podrían tolerarse fallos en ellos. Si se consiguen los objetivos con unaconfiguración no redundante, este caso representaría entonces un enfoque conservador,ya que no confía en la justificación de ningún supuesto de la cobertura de los detectores.

En realidad, la probabilidad de fallo a demanda del subsistema del sensor probablementees mejor que la calculada para una configuración no redundante, ya que probablementeexiste superposición en la cobertura de los sensores debido a su ubicación y podríatolerarse el fallo de uno de los sensores.

En términos de modelado de fiabilidad, el analista debe juzgar, por lo tanto, la magnitudmáxima de liberación de gas (el tamaño de la nube) que podría tolerarse antes de que seanecesario adoptar una acción ejecutiva, y debe calcular cuántos sensores quedaríandentro de la nube en ese momento.

En este ejemplo, si se puede permitir que la nube de gas sea suficientemente grandecomo para cubrir 3 sensores antes de adoptar la acción ejecutiva, con la votación lógicade cualesquiera 2 de 6 se podría tolerar el fallo de un sensor. En otras palabras, lafiabilidad de detección de gas podría modelarse como 2 de 3.

12.27. Efecto de modelado incorrecto en la probabilidad de fallo a demanda (PFD)

En el ejemplo anterior, puesto que la votación lógica de los detectores de gas es 2oo6,algunos analistas sucumben a la tentación de modelar la fiabilidad del sistema como2oo6 en lugar de como 2oo3, o incluso 2oo2. Obviamente, la discrepancia resultante enla probabilidad de fallo a demanda general de la función de seguridad y su rendimientofrente a los objetivos de nivel de integridad de seguridad entre configuracionesredundantes y no redundantes puede ser significativa.

Dando por supuesto que puede declararse de forma razonable cierta tolerancia a fallos,por ejemplo, mediante el modelado 2oo3 o 2oo4, entonces las diferencias resultantes enla probabilidad de fallo a demanda general de la función de seguridad y su rendimientofrente a los objetivos de nivel de integridad de seguridad serán menores. La probabilidadde fallo a demanda en configuraciones redundantes está limitada por los fallos porcausas comunes, por lo que las mejoras en la probabilidad de fallo a demanda no sonsignificativas cuando la tolerancia a fallos de hardware (HFT) aumenta por encima de 1.

No obstante, si la tolerancia a fallos no puede garantizarse ya sea debido a la ubicaciónde los detectores o al tamaño de la nube de gas que puede tolerarse cuando se requiereacción ejecutiva, la discrepancia resultante entre configuraciones redundantes y noredundantes puede ser significativa (Figura 46).



117

Nota: La probabilidad de fallo a demanda se calcula para las tasas de fallo y para lostiempos de reparación típicos de los sensores y se da por supuesta una contribución decausas comunes en las configuraciones redundantes. Una tolerancia a fallos de cero eneste ejemplo representa una configuración 2oo2, mientras que una tolerancia a fallos de1 representa 2oo3, de 2 representa 2oo4, y así sucesivamente.

Los resultados demuestran que, en función de la arquitectura, o de la tolerancia a fallosde hardware (HFT) seleccionada para el modelado, la probabilidad de fallo a demandacalculada podría encontrarse en la banda SIL1, SIL2 o SIL3.

12.28. Efecto de modelado incorrecto en la arquitectura

Un modelado incorrecto tiene un efecto más significativo en el rendimientoarquitectónico de la función de seguridad. En el caso de una fracción de fallos seguros(SFF) determinada, el rendimiento del nivel de integridad de seguridad del subsistemade detectores depende de su tolerancia a fallos de hardware (HFT).

Por ejemplo, en el caso de un detector tipo B con una fracción de fallos seguroscomprendida entre el 60% y el 90%, pueden declararse las siguientes capacidadesarquitectónicas de nivel de integridad de seguridad:

01.00E-04

1.00E-03

1.00E-02

1.00E-01

1.00E+00

1 2 3Tolerancia a fallos del hardware (HFT)

PFD del sistema F y G

2oo2

2oo3SIL2

SIL3

SIL1

2oo4 2oo5 2oo6

PFD

4

Figura 46: Cálculo de la probabilidad defallo a demanda (PFD)del sistema de F y G

118



De nuevo, si el analista presupone una configuración 2oo6 debido a la lógica de votación,entonces una arquitectura optimista tendría como resultado la declaración de un SIL3,cuando realmente solo podría aplicarse un nivel de integridad de seguridad inferior.

12.29. Modelado de configuraciones de alarma en un sistema de F y G

El personal está protegido de los peligros ocasionados por fuego y gas mediante una’alarma confirmada’. Las alarmas visibles y sonoras son lo único que se necesita paragarantizar la evacuación del personal por motivos de seguridad. Por lo tanto, en caso depeligros de seguridad, en la configuración de salida únicamente se debe considerar laexistencia de elementos de aviso visibles y sonoros.

En el caso de sistemas F y G, la acción ejecutiva puede especificarse por lo general comola activación de una alarma 6oo6 visual Y de una alarma 4oo4 sonora. El modelado deestas configuraciones normalmente da lugar a problemas para obtener un resultadomejor que un objetivo SIL1 de la probabilidad de fallo a demanda, debido al número dedispositivos que deben incluirse. Además, dado que las alarmas y las balizas presentanuna fracción de fallos seguros muy baja, su rendimiento arquitectónico por lo general noes suficiente para obtener un resultado mejor que un SIL1 en configuraciones simplex.

Teniendo en cuenta que una zona puede incluir equipos ruidosos que pueden interferircon una baliza o evitar que se escuche una alarma sonora, una buena práctica consistiríaen posicionar las alarmas de modo que el personal que se encuentre en la zonapeligrosa pueda ver o escuchar siempre más de un elemento de aviso al mismo tiempo.Si puede verificarse este supuesto, el analista podría aprovechar esta tolerancia a fallos enel modelado de fiabilidad de la configuración de alarmas.

Una configuración 6oo6 de elementos de aviso puede cubrir 2 o 3 zonas independientescon quizá 2 o 3 elementos de aviso por zona. El analista debe decidir entonces, a partir delos esquemas de configuración, qué tolerancia a fallos puede declararse para cada zona yllevar a cabo el modelado como corresponda (Figura 47).

HFT Configuración SIL (arquitectura)

0 2oo2 SIL1

1 2oo3 SIL2

2 4oo4 SIL3



119

La clave está en decidir cuántas balizas pueden verse y cuántas está permitido que fallensin ocasionar la pérdida de la función de seguridad. En la configuración del caso prácticose decidió que en cada zona pudieran verse siempre 2 balizas de las 3 de la zona.

En una configuración con estas características, un enfoque razonable sería modelarcada zona 1 como 1oo2, puesto que solo es necesario ver 1 baliza. No obstante, puestoque ambas zonas tienen que quedar protegidas, ambas deben incluirse en el modelo(por ejemplo, 1oo2 + 1oo2).

Como ejemplo adicional, con 6 balizas en una sola zona se decidió que, en cualquiermomento, se pueden ver 4 de las 6 balizas (Figura 48). Entonces se necesitaríaque funcionara una baliza de las 4 que pueden verse, por lo que las alarmas podríanmodelarse como 1oo4.

Zona 01 Zona 02

Baliza Baliza

Baliza

Baliza

Baliza

Baliza

Dispositivo de resolución lógica F y GSalidas 6oo6

Figura 47: Ejemplo configuración sistema de alarma

120



12.30. Entradas de sistemas F y G a sistemas de cierre de emergencia (ESD)

Hasta ahora no se ha hecho mención al requisito, en el estado de ’alarma confirmadade fuego/gas”, para generar un cierre de emergencia en la planta. La inclusión o no deldisparo del cierre de emergencia (ESD) como parte de las funciones instrumentadas deseguridad del sistema de F y G depende de las consecuencias del peligro y de laprotección necesaria.

Si el peligro tiene como resultado un riesgo a la seguridad personal, puede argumentarseque las alarmas son suficientes para garantizar la protección. Normalmente, los disparosde sistemas F y G generan también una entrada al cierre de emergencia (ESD) pero, enmuchos casos, el objetivo es evitar la escalada del peligro y proteger el activo. El disparodel sistema de cierre de emergencia (ESD) puede iniciarse también como una buenapráctica, permitiendo así que la puesta en marcha se realice de forma más controladadespués de la resolución del peligro. La misión del sistema de F y G es proteger contrafuego o gas, mientras que la del sistema de cierre de emergencia (ESD) es proteger contra otros peligros. Siempre y cuando el sistema de F y G cumpla sus objetivos entérminos de reducción de riesgos, no debería haber razón alguna, excepto lo indicadoanteriormente, para la activación del cierre de emergencia (ESD). Por lo tanto, el cierre de emergencia (ESD) no se incluiría normalmente en las funciones instrumentadas deseguridad del sistema de F y G.

Zona 01

Baliza

Baliza

Dispositivo de resolución lógica F y GSalidas 6oo6

Baliza Baliza

Baliza Baliza

Figura 48: Ejemplo de configuración de sistema de alarma (1 zona)



121

No obstante, existen excepciones. Cuando el peligro acarrea daños medioambientales oa los activos o bienes, las alarmas por sí solas no proporcionan protección y, por lo tanto,puede ser necesario aislar la planta en cuanto a la detección de fuego o gas. En estoscasos, es necesario incluir el cierre y el aislamiento, tal y como se precise en el modeladode fiabilidad de las funciones instrumentadas de seguridad del sistema de F y G.

12.31. Resumen

Se puede apreciar que el modelado del subsistema de entradas puede ofrecer resultadosoptimistas si la configuración de votación lógica se modela en lugar de la toleranciaa fallos de detectores. El mismo enfoque ofrece resultados muy pesimistas cuando semodela el subsistema de salidas. Entre los dos subsistemas, el enfoque de modeladoadoptado puede dar lugar a una gran diferencia en el rendimiento arquitectónico y en laprobabilidad de fallo a demanda calculada y, por lo tanto, puede darse una gran variaciónen el nivel de integridad de seguridad delcarado.

Por tanto es importante adoptar un enfoque minucioso para el modelado de los sistemasde F y G, y comprender claramente las técnicas de modelado así como los peligros y lossistemas analizados. Así se logra una evaluación precisa de la reducción de riesgos a cargode un sistema de F y G y los usuarios finales no reciben información errónea pordeclaraciones optimistas.

122



13. Verificación de nivel de integridad de seguridad (SIL)

13.1. Cumplimiento de los objetivos de nivel de integridad de seguridad

Muchas personas preguntan qué deben hacer para demostrar la conformidad. No bastacon adquirir componentes con el distintivo “SIL certified” y asumir que de este modo seconsiga la conformidad predefinida; por otro lado, dado que la norma no es prescriptiva,tampoco es posible facilitar una lista de verificación o similar de qué debe hacerse. En realidad, el grado de implicación depende de muchas cosas. El enfoque dependede cuánta información o datos estén disponibles, la profundidad del análisis o el rigoraplicado que debe satisfacer a su cliente o ente regulador, pero sobre todo usted debeestar convencido de que ha hecho lo suficiente.

Si algo va mal y alguien fallece, ¿podría dirigirse a las familias y demostrar que hizo todolo que se esperaba (dentro de lo razonable) por su parte?

Una propuesta de plan de cara al cumplimiento normativo sería cumplir con los requisitosde IEC 61511-1, 10 y 12. Éstos incluyen las siguientes subcláusulas, tal y como se muestraen la Figura 49:

• Requisitos de comportamiento del sistema al detectar un fallo [13.2];• Tolerancia a fallos de hardware [13.3];• Selección de componentes y de subsistemas [13.4]; • Dispositivos de campo [13.5];• Interfaces de operario, de mantenimiento y de comunicación con el sistema

instrumentado de seguridad [13.6];• Requisitos de diseño relativos al mantenimiento o a las pruebas [13.7];• Probabilidad de fallo de las funciones instrumentadas de seguridad [13.8];• Software de aplicación [13.9].

Si estas cláusulas se subdividen en requisitos más detallados, se muestan cuandocorresponde.

Cumplimiento normativo con la norma IEC 61511-1, 5: La gestión de seguridad funcionalse discute en más detalle en el apartado [18].


Verificación SIL

123

IEC

6151

1-1,

11,

12

Dis

eño

e in

geni

ería

de

l sis

tem

a in

stru

men

tado

de

seg

urid

ad

IEC

6151

1-1,

11.

2Re

quis

itos

gene

rale

s

IEC

6151

1-1,

11.

3Re

quis

itos

para

el

com

port

amie

nto

del

sist

ema

a la

hor

a de

de

tect

ar u

n fa

llo

IEC

6151

1-1,

11.

4Re

quis

itos

para

to

lera

ncia

a fa

llos

de h

ardw

are

IEC

6151

1-1,

11.

5Re

quis

itos

para

se

lecc

ión

de

com

pone

ntes

y

subs

iste

mas

IEC

6151

1-1,

11.

5.3

Requ

isito

s ba

sado

s en

us

o an

terio

r

IEC

6151

1-1,

11.

5.5

Requ

isito

s pa

ra

disp

ositi

vos

prog

ram

able

s LV

L ba

sado

s en

uso

an

terio

r

IEC

6151

1-1,

11.

5.2

Requ

isito

s ge

nera

les

IEC

6151

1-1,

11.

5.6

Requ

isito

s pa

ra

disp

ositi

vos

prog

ram

able

s FV

L

IEC

6151

1-1,

11.

6D

ispo

sitiv

os d

e ca

mpo

IEC

6151

1-1,

11.

7In

terf

aces

del

op

erad

or, p

erso

nal

de m

ante

nim

ient

o y

com

unic

ació

n

IEC

6151

1-1,

11.

8Re

quis

itos

de d

iseñ

o re

lativ

os a

l m

ante

nim

ient

o o

prue

ba

IEC

6151

1-1,

11.

9Pr

obab

ilida

d de

fallo

SI

F

IEC

6151

1-1,

11

Dis

eño

e in

geni

ería

SI

S

IEC

6151

1-1,

12

Requ

isito

s pa

ra

soft

war

e de

ap

licac

ión

IEC

6151

1-1,

12.

4D

iseñ

o y

desa

rrol

lo

del s

oftw

are

de

aplic

ació

n

IEC

6151

1-1,

5G

estió

n de

la

segu

ridad

func

iona

l

IEC

6151

1-1

Eval

uaci

ón S

IL

Requ

isito

s pa

ra

conf

orm

idad

IEC

6151

1-1,

11.

5.4

Requ

isito

s pa

ra

disp

ositi

vos

prog

ram

able

s FP

L ba

sado

s en

uso

an

terio

r

Figura 49: Plan de conformidad

124



13.2. Requisitos de comportamiento del sistema al detectar un fallo IEC 61511-1,11.3

Debe especificarse el comportamiento del sistema al detectar un fallo. Puede detallarse,por ejemplo, en la especificación de requisitos de seguridad o en las especificaciones dediseño.

A continuación se muestran ejemplos típicos de los tipos de parámetros que puedenconsiderarse para su inclusión:

1. Todos los bloques de salidas tienen una votación de 1oo2 en demandas de PLCy cambian a 1oo1 al detectar la pérdida de comunicación de un PLC.

2. Las especificaciones de diseño indican que se aplica un principio de protecciónen caso de fallos. Todos los elementos de cierre del sistema instrumentado deseguridad llegan a un principio de protección en caso de fallos.

3. En el caso de un sistema de cierre de emergencia (ESD) se ha implementadouna función de desenergización a disparo.

4. En el caso del sistema de F y G, se ha implementado una energización a disparode agente extintor. La detección de un fallo peligroso individual en unaconfiguración redundante se indica mediante una condición de alarma. Elsistema de F y G continua funcionando con seguridad durante el tiempopermitido para la reparación y se han implementado otras medidas dereducción de riesgos adicionales tales como la disponibilidad de liberaciónmanual cableada de agente extintor.

13.3. Requisitos de tolerancia a fallos de hardware, IEC 61511-1, 11.4

13.3.1. Enfoque

Para abordar los requisitos relativos a la tolerancia a fallos de hardware (HFT), serequiere una evaluación cuantitativa respecto a la fracción de fallos seguros (SFF) y a las restricciones arquitectónicas.

13.3.2. Fracción de fallos seguros

En el contexto de la integridad de seguridad de hardware, el nivel de integridad deseguridad más elevado que puede declararse para una función de seguridad estálimitado por la tolerancia a fallos de hardware (HFT) y por la fracción de fallos seguros(SFF) de los subsistemas que llevan a cabo dicha función de seguridad.

Una tolerancia a fallos de hardware de 1 indica que la arquitectura del subsistema estal que un fallo peligroso de uno de los subsistemas no evita que ocurra la acción deseguridad. Es decir, una configuración de 1oo2 o 2oo3 tendría una tolerancia a fallos de


Verificación SIL

125

hardware de 1 o una configuración de 1oo3 o 2oo4 tendría una tolerancia a fallos dehardware de 2.

Con respecto a estos requisitos, IEC 61508 [19.1] proporciona la siguiente orientaciónadicional:

• una tolerancia a fallos de hardware de N significa que N+1 fallos podría causarla pérdida de la función de seguridad. Al determinar la tolerancia a fallos dehardware, no deben contabilizarse otras medidas que pudieran controlar losefectos de fallos tales como diagnósticos;

• cuando un fallo conlleve directamente el suceso de uno o más fallossubsiguientes, se consideran como un solo fallo;

• al determinar la tolerancia a fallos de hardware, pueden excluirse algunos fallos,siempre y cuando la posibilidad correspondiente de que sucedan sea muy bajacon respecto a los requisitos de integridad de seguridad del subsistema.Cualquier exclusión de dichos fallos se debe justificar y documentar.

Se utilizan las siguientes relaciones generales.

SFF = Σ (Σ λS + Σ λDD)/(Σ λS + Σ λD) Ref. IEC 61508-2.C.1

Donde:

λD = λDU + λDD

Debe calcularse la fracción de fallos seguros (SFF) de cada elemento de la función deseguridad. El valor debe entonces usarse en la Tabla 16 para determinar el cumplimientonormativo de nivel de integridad de seguridad (SIL) para el nivel de tolerancia a fallos dehardware.

13.3.3. Restricciones arquitectónicas

IEC 61511-1, 11.4.5 permite evaluar la tolerancia a fallos de hardware mediante losrequisitos de IEC 61508-2, Tablas 2 y 3.

En la norma IEC 61508 [19.1] los subsistemas se dividen en dos categorías, tipo A o tipo B.Por regla general, si los modos de fallo están bien definidos, puede determinarsecompletamente el comportamiento bajo condiciones de fallo y si a su vez hay datos decampo adecuados y suficientes, el subsistema se considera entonces de tipo A. Si no secumple alguna de estas condiciones, el subsistema se considera entonces de tipo B.

Los dispositivos mecánicos simples tales como válvulas se consideran generalmentecomo tipo A. Los dispositivos de resolución lógica suelen ser de tipo B dado que

126



contienen ciertas características de procesamiento y, por lo tanto, su comportamientobajo condiciones de fallo no puede determinarse por completo. Los sensores puedenser de tipo A o de tipo B de acuerdo a la tecnología y a la complejidad del dispositivo.

Las restricciones arquitectónicas para una función de seguridad están resumidas en laTabla 16.

Tabla 16: Restricciones arquitectónicas

Nota: una tolerancia a fallos de hardware de N significa que N+1 fallos podrían causar lapérdida de la función de seguridad.

13.3.4. Ejemplo

En este ejemplo, Figura 50, la función de seguridad consta de dos transmisores de nivelque funcionan en una configuración 1oo2. Si un transmisor detecta un nivel elevado, elPLC Allen Bradley desenergiza la válvula accionada por solenoide, lo que permite quecierre la válvula de cierre de emergencia.

Definición de subsistemas tipo A: Modos de fallo de todas las partes constituyentes bien definidos, y comportamiento delsubsistema bajo condiciones de fallo completamente determinado y suficientes datosdependientes de la experiencia de campo para mostrar que se cumplen las tasas de fallodeclaradas de fallos peligrosos detectados y no detectados

Fracción de fallosseguros

Tolerancia a fallos de hardware (N)

0 1 2

<60% SIL1 SIL2 SIL3

60% – <90% SIL2 SIL3 SIL4

90% – <99% SIL3 SIL4 SIL4

≥99% SIL3 SIL4 SIL4

Definición de subsistemas tipo B: El modo de fallo de al menos un componente constituyente no está bien definido, o elcomportamiento del subsistema bajo condiciones de fallo no puede determinarsecompletamente o no hay suficientes datos dependientes de la experiencia de campo pararespaldar las tasas de fallo declaradas de fallos peligrosos detectados y no detectados



0 1 2

<60% No permitido SIL1 SIL2

60% – <90% SIL1 SIL2 SIL3

90% – <99% SIL2 SIL3 SIL4



Verificación SIL

127

La evaluación del rendimiento arquitectónico requiere que primero identifiquemos quétipo de elemento es cada uno, A o B. Puede determinarse generalmente con ayuda delas definiciones que figuran en la Tabla 16. Por regla general se ha de estar seguro de losmodos de fallo y del comportamiento de fallo de un elemento y tener muy buenos datosde fallos para poder considerarlo como tipo A. De lo contrario, el elemento debeconsiderarse como tipo B.

Nuestros datos de fallo de cada elemento nos permiten entonces calcular la fracción defallos seguros (SFF). El tipo de elemento y la fracción de fallos seguros figuran debajo decada elemento en la Figura 50.

La tolerancia a fallos de hardware (HFT) se refiere al nivel de tolerancia a fallos de cadaelemento. Los transmisores de nivel funcionando en una configuración 1oo2 tienen unatolerancia a fallos de hardware de 1. Otros elementos no tienen tolerancia a fallos y por lotanto presentan una tolerancia a fallos de hardware de 0.

Por último, el nivel de integridad de seguridad que puede declararse para el rendimientoarquitectónico de cada elemento puede determinarse con ayuda de esta información enla Tabla 16.

Los conmutadores de nivel son de tipo A; por lo tanto, se aplican los criterios de tipo A.Con una fracción de fallos seguros (SFF) de 0.40 y una tolerancia a fallos de 1, lostransmisores de nivel cumplen con las restricciones arquitectónicas de SIL2.

De forma similar puede evaluarse también la válvula accionada por solenoide y la válvulade cierre de emergencia. La válvula accionada por solenoide, también de tipo A, presentauna tolerancia a fallos de 0 y una fracción de fallos seguros (SFF) de 0.72 que da lugar aSIL2. La válvula de cierre de emergencia, de tipo A, con una tolerancia a fallos de 0 y unafracción de fallos seguros (SFF) de 0.25 da lugar a SIL1.

TipoSFFHFT

SIL arquitectónicoSIL permitido (arq.)

SIL global permitido

A0.40

121

SIL1

B0.95

02

A0.72

02

A0.25

01

CCF 5%

Conmutadornivel

Conmutadornivel

PLC 1oo1NE

SOV Válvula ESD


128



Figura 51: Restricciones arquitectónicas de transmisor de nivel

El PLC se ha considerado un dispositivo de tipo B. Esto se cumple para la mayoría de losPLC, puesto que al estar controlados por software, existe un elemento de incertidumbresobre su comportamiento en caso de fallo y, por lo tanto, no se cumplen todas lascondiciones requeridas para el tipo A.

La evaluación del PLC debe llevarse a cabo entonces con respecto a los requisitos detipo B, Figura 52.

Figura 52: Restricciones arquitectónicas de PLC

A modo de resumen, en la Figura 50 se muestra el rendimiento arquitectónico del nivelde integridad de seguridad (SIL) de cada elemento y el SIL que puede declararse para lafunción de seguridad total es SIL1. El rendimiento arquitectónico del SIL de la función deseguridad total está limitado por el SIL más bajo declarado.

Definición de subsistemas tipo B: El modo de fallo de al menos un componente constituyente no está bien definido o elcomportamiento del subsistema bajo condiciones de fallo no puede determinarsecompletamente o no hay suficientes datos dependientes de la experiencia de campo pararespaldar las tasas de fallo declaradas de fallos peligrosos detectados y no detectados

Fracción de fallosseguros (SSF)


0 1 2

<60% no permitido SIL1 SIL2

60% – <90% SIL1 SIL2 SIL3

90% – <99% SIL2 (PLC) SIL3 SIL4


Definición de subsistemas tipo A: Modos de fallo de todas las partes constituyentes bien definidos y comportamiento delsubsistema bajo condiciones de fallo completamente determinado y suficientes datosdependientes de la experiencia de campo para mostrar que se cumplen las tasas de fallodeclaradas de fallos peligrosos detectados y no detectados

Fracción de fallosseguros (SSF)


0 1 2

<60% SIL1 (valor ESD) SIL2 (LT) SIL3

60% – <90% SIL2 (SOV) SIL3 SIL4

90% – <99% SIL3 SIL4 SIL4



Verificación SIL

129

13.4. Requisitos de selección de componentes y subsistemas, IEC 61511-1, 11.5

13.4.1. Enfoque

En el caso de aplicaciones del sector de procesos, la selección de componentes y desubsistemas puede basarse en una evaluación de idoneidad. Los objetivos son especificarlos requisitos:

• para la selección de componentes y de subsistemas;• permitir que un componente o un subsistema se integre en la arquitectura de

una función instrumentada de seguridad;• especificar los criterios de aceptación para los componentes y los subsistemas.

13.4.2. Requisitos generales, IEC 61511-1, 11.5.2

Este procedimiento no debe utilizarse para aplicaciones SIL4, sino que para el resto decomponentes y de subsistemas debe aplicarse lo siguiente.

La demostración de idoneidad debe incluir una evaluación de nivel de integridadde seguridad basada en el cálculo de la probabilidad de fallo a demanda y de lasrestricciones arquitectónicas respecto a los objetivos.

La demostración de idoneidad también debe tener en cuenta el hardware del fabricante y la documentación de software incorporada. En práctica, la documentaciónque acompañe a los componentes y a los subsistemas seleccionados será en forma deespecificaciones técnicas que cubran el rendimiento funcional y medioambiental. Laespecificación de diseño funcional debe por lo tanto incluir un enunciado que justifiquela idoneidad de los componentes y de los subsistemas seleccionados de acuerdo a ladocumentación de especificaciones disponible del fabricante respecto a los requisitosfuncionales.

Los componentes y los subsistemas deben ser consistentes con la especificación derequisitos de seguridad. En la práctica, los componentes y los subsistemas se seleccionansobre la base de su capacidad para cumplir los requisitos de seguridad. La demostraciónde conformidad se lleva a cabo por evaluación y siguen aplicándose los requisitos para lasrestricciones arquitectónicas y la probabilidad de fallo a demanda.

13.4.3. Uso previo, IEC 61511-1, 11.5.3

En primer lugar, la selección del componente debe llevarse a cabo sobre la base de laespecificación de suministro procedente de proveedores autorizados.

130



La evaluación del proveedor debe incluir los sistemas de gestión de calidad del fabricantey de gestión de configuración, y deben formar parte de la evidencia de la idoneidadpresentada en la especificación de diseño funcional (FDS).

En todos los componentes y los subsistemas seleccionados, la especificación de diseñofuncional también debe hacer referencia a una prueba de uso acumulado. La pruebapuede basarse en:

• horas acumuladas del dispositivo para SIL1 y dispositivos de campo;• horas acumuladas del dispositivo con la identificación de los fallos peligrosos

para SIL2 y elementos complejos.

Para aplicaciones de resolución lógica SIL3 se requiere una certificación.

El uso acumulado requerido para un componente o un subsistema depende de la tasa defallo objetivo y de si se han notificado fallos. La Figura 53 solamente se facilita a modo deguía y muestra el número requerido de años acumulados de los dispositivos (número dedispositivos x años en uso) para varios valores de la tasa de fallo específica.

1.00E-071

10

100

1000

10000

1000000

1.00E-06 1.00E-05 1.00E-04Tasa de fallos específica (/h)

X

X

X

Año

s de

dis

posi

tivo

requ

erid

os

0 fallos1 fallo5 fallos10 fallos15 fallosX

Figura 53: Guía del uso requerido


Verificación SIL

131

Por ejemplo, si la tasa de fallo específica es 1,00E-06/h y se han notificado cero fallos,entonces a partir de la Figura 53 deben demostrarse aprox. 137 años-dispositivo, que sepueden lograr con 14 dispositivos funcionando sin fallo durante 10 años. Si se notificanfallos en la población en el campo, entonces la tasa actual de fallo de dispositivos serámayor y, consecuentemente, se requerirán más horas de funcionamiento exentas defallos para demostrar la misma tasa de fallos objetivo.

La figura se basa en una distribución Χ2- a un límite de confianza del 70%, y debeutilizarse solamente como guía y para obtener una indicación de cuándo se haacumulado un número suficiente de años-dispositivo.

IEC 61511 también requiere supervisión documentada de los datos de devolución yun proceso de modificación a cargo del fabricante que evalúa el impacto de los fallosnotificados.

En la práctica, la información relativa a fallos raramente está disponible y la selecciónpuede, por lo tanto, incluir una evaluación de los componentes y de los subsistemas paraasegurarse de que su rendimiento será el requerido. Esta evaluación puede requerirdiscusiones con otros usuarios o con fabricantes o usuarios de dispositivos o aplicacionessimilares. Esta evidencia justificativa debe documentarse en la especificación de diseñofuncional (FDS) como parte de la idoneidad de los componentes y de los subsistemas.

13.4.4. Dispositivos programables en lenguaje de programa fijo (FPL), IEC 61511-1, 11.5.4

Si van a usarse componentes y subsistemas programables en lenguaje de programa fijo(FPL), (por ejemplo, dispositivos de campo), deben cumplirse para las aplicaciones SIL1 ySIL2 todos los requisitos generales [13.4.2], los requisitos para uso previo [13.4.3] y lossiguientes requisitos para componentes y subsistemas programables FPL.

Además, en cada componente seleccionado, la especificación de diseño funcional (FDS)debe justificar la selección de los componentes FPL haciendo constar que el componentecumple con los requisitos especificados en cuanto a funcionalidad; para ello debe incluir:

a) características de señales de entrada y de salida; b) modos de uso; c) funciones y configuraciones utilizadas; d) las características no utilizadas raramente pueden repercutir en las funciones

de seguridad.

En el caso de las aplicaciones SIL3 se requiere una evaluación formal.

Un enfoque alternativo que adoptan algunos integradores de sistemas es facilitar undispositivo de lenguaje de programa fijo (FPL) compatible con SIL3. Estos dispositivos ya

132



deberían haber sido sometidos a una evaluación formal a cargo de una organizaciónapropiada y debe facilitarse una certificación SIL3 junto con una prueba documentaljustificativa.

La prueba debe demostrar que el dispositivo es capaz de llevar a cabo la funciónrequerida y de que existe una probabilidad suficientemente mínima de fallo peligrosocomo resultado de fallos de hardware aleatorios, o fallos de software o de hardwaresistemáticos. También debe haber disponible un manual de seguridad para el dispositivoque detalle las restricciones de funcionamiento y de mantenimiento.

13.4.5. Dispositivos programables de lenguaje de variabilidad limitada (LVL), IEC 61511-1,11.5.5

Si van a usarse componentes y subsistemas programables de lenguaje de variabilidadlimitada (LVL), (por ejemplo, dispositivos de resolución lógica), deben cumplirse para lasaplicaciones SIL1 y SIL2 todos los requisitos generales [13.4.2], los requisitos para usoprevio [13.4.3], los requisitos para dispositivos programables de lenguaje de programa fijo(FPL) [13.4.4] y los siguientes requisitos para componentes y subsistemas programablesde lenguaje de variabilidad limitada (LVL).

La documentación debe incluir una justificación de que cuando exista una diferenciaentre el perfil operacional y el entorno físico como se ha experimentado previamente y el perfil operacional y el entorno físico cuando se usa en la función de seguridad, laespecificación de diseño funcional (FDS) debe identificar estas diferencias y justificarque la probabilidad de fallo a demanda (PFD) no se vea afectada adversamente.

En el caso de aplicaciones SIL1 o 2, un dispositivo de resolución lógica electrónicoprogramable (PE) configurado con fines de seguridad (que se trata de un dispositivo deresolución lógica PE de grado industrial para uso general, configurado específicamentepara su uso en aplicaciones de seguridad) puede utilizarse siempre y cuando su uso estéjustificado en la documentación.

La documentación de especificación disponible del fabricante debe mostrar que lainformación apropiada relativa al hardware y al software está disponible para asegurarsede que el comportamiento de fallos se haya entendido. Esto debe confirmarse en laespecificación de diseño funcional (FDS) mediante el listado de todos los modos de fallopeligrosos y mediante la identificación, cuando resulte necesario, de medidas dediagnóstico y acciones de protección. La especificación de diseño funcional también debeidentificar los medios de protección empleados frente a una modificación no autorizada oinvoluntaria.


Verificación SIL

133

En el caso de las aplicaciones de resolución lógica SIL2, la especificación de diseñofuncional debe confirmar la técnica de protección empleada frente a los siguientesfallos durante la ejecución del programa:

a) monitorización de la secuencia del programa;b) protección del código frente a las modificaciones o detección de fallos con

monitorización en línea;c) afirmación de fallo o programación diversa;d) comprobación de rango de variables o comprobación de plausibilidad de

valores;e) enfoque modular;f ) se han utilizado estándares de codificación apropiados para el software

incorporado.

Además, debe demostrarse lo siguiente:

g) se ha probado en configuraciones típicas, con casos de prueba representativosde los perfiles de operación previstos;

h) se han usado módulos y componentes de software verificados y fiables;i) el sistema ha sido sometido a un análisis y prueba de tipo dinámico;j) el sistema no utiliza inteligencia artificial ni reconfiguración dinámica;k) se ha llevado a cabo una prueba documentada de inserción de fallos.

En el caso de aplicaciones SIL2, la especificación de diseño funcional debe identificarrestricciones para el funcionamiento, el mantenimiento y la detección de fallos que cubralas configuraciones del dispositivo de resolución lógica electrónico programable (PE) y losperfiles de funcionamiento previstos.

En el caso de aplicaciones SIL3, la documentación debe presentar homologación SIL paratodos los dispositivos de resolución lógica LVL.

13.4.6. Dispositivos de programación en lenguaje de variabilidad completa (FVL), IEC 61511-1, 11.5.6

La documentación debe presentar homologación SIL para todos los dispositivos deresolución lógica de lenguaje de variabilidad completa (FVL).

13.5. Dispositivos de campo, IEC 61511-1, 11.6

Para seleccionar los dispositivos de campo, deben cumplirse todos los requisitosgenerales [13.4.2], los requisitos para uso previo [13.4.3] y los siguientes requisitos paradispositivos de campo. Si procede, también deben cumplirse los requisitos para losdispositivos programables en lenguaje de programa fijo (FPL).

134



Los dispositivos de campo se deben seleccionar e instalar para minimizar fallos que pudierandar lugar a datos imprecisos debido a condiciones derivadas del proceso y de las condicionesmedioambientales. Las condiciones que deben considerarse incluyen la corrosión, la congelación de materiales en tuberías, sólidos en suspensión, polimerización, cocción,temperatura y presión extremos, condensación en líneas de impulso de tramo seco ycondensación insuficiente en líneas de impulso de tramo húmedo.

En el caso de los dispositivos de campo, la documentación de especificación debemostrar que el componente cumple con los requisitos específicos en términos defuncionalidad para todos los procesos y todas las condiciones medioambientales y laespecificación de diseño funcional debe confirmar esto en tal caso. La especificación dediseño funcional también debe confirmar que todos los circuitos de entrada/salidadiscretos de energización a disparo deben aplicar un método para garantizar la integridaddel circuito y de la fuente de alimentación eléctrica, p. ej., un monitorización de línea.

Los sensores inteligentes deben contar con protección frente a escritura para evitar lamodificación inadvertida desde una ubicación remota, a menos que una revisión deseguridad apropiada permita el uso de lectura/escritura.

13.6. Interfaces del operario, encargado de mantenimiento y comunicación,IEC 61511-1, 11.7

En todas las interfaces de comunicación deben cumplirse los siguientes requisitos.

El diseño de la interfaz de comunicación del sistema instrumentado de seguridad debegarantizar que cualquier fallo de la interfaz de comunicación no afecte de forma negativala capacidad del sistema instrumentado de seguridad de llevar el proceso a un estado deseguridad. Esto debe confirmarse en la documentación de diseño.

La documentación también debe confirmar:

a) la tasa de error pronosticada de la red de comunicación;b) que la comunicación con el sistema básico de control de proceso (BPCS) y los

periféricos no tenga impacto sobre las funciones instrumentadas de seguridad(SIF);

c) que la interfaz de comunicación sea lo suficientemente robusta para resistir lasinterferencias electromagnéticas, incluidas las sobretensiones eléctricas sincausar un fallo peligroso de las funciones instrumentadas de seguridad (SIF);

d) la interfaz de comunicación sea adecuada para la comunicación entre losdispositivos referenciados a distintos potenciales eléctricos de conexión atierra. NOTA: puede requerirse un medio alternativo (por ejemplo, fibrasópticas).


Verificación SIL

135

13.7. Requisitos de diseño relativos al mantenimiento o a pruebas, IEC 61511-1, 11.8

El diseño del sistema instrumentado de seguridad debe ser tal que la prueba puedallevarse a cabo de forma integral o por partes. Debe tener en cuenta lo siguiente segúnproceda:

• Prueba de calidad en línea. El diseño de prueba debe asegurar que los fallos nodetectados puedan descubrirse de forma adecuada;

• Instalaciones de prueba y omisión. El operario debe ser alertado en caso de queuna parte del sistema instrumentado de seguridad (SIS) se haya omitido confines de mantenimiento o prueba;

• No debe permitirse un forzado de entradas y de salidas sin establecer elsistema instrumentado de seguridad fuera de línea a menos que existanprocedimientos y medidas de seguridad adecuadas. En cuanto a la funciónde bypass, debe informarse al operario si se fuerza alguna entrada/salida.

13.8. Probabilidad de fallo de funciones instrumentadas de seguridad (SIF),IEC 61511-1, 11.9

Ver apartado [14].

13.9. Requisitos para el software de aplicación, IEC 61511-1, 12

IEC 61511-1, 12 lista los requisitos que se aplican a cualquier software que forme parte deun sistema instrumentado de seguridad o que se utilice para desarrollar uno. El requisitodefine los requisitos del ciclo de vida de seguridad del software de aplicación paragarantizar que:

• todas las actividades requeridas para desarrollar el software de aplicación esténdefinidas;

• las herramientas de software que se utilizan para desarrollar y verificar elsoftware de aplicación, es decir, el software de utilidad esté totalmentedefinido;

• se ha adoptado un plan para cumplir con los objetivos de seguridad funcional.

El requisito general es definir las fases aplicables del ciclo de vida de seguridad delsoftware que se vaya a considerar y documentar toda la información relevante. Estoincluye lo siguiente:

• especificación de requisitos de seguridad del software; similar a los requisitosde hardware, debe definirse una especificación que liste todos los requisitos deseguridad del software de manera clara y estructurada que permita al equipode diseño desarrollar el software de aplicación de forma correspondiente;

136



• planificación de validación de seguridad del software; debe llevarse a cabocomo parte de una planificación de validación del sistema instrumentado deseguridad general;

• diseño y desarrollo; el software de aplicación debe desarrollarse para cumplirlos requisitos de diseño del sistema, indicados en la especificación de requisitosde seguridad del software, en términos de funciones de seguridad y niveles deintegridad de seguridad. Deben utilizarse lenguajes, herramientas deprogramación y de apoyo apropiadas, que ayuden en las tareas de verificación,validación, evaluación y modificación. El diseño debe ser modular yestructurado, de manera que se consiga la verificabilidad y se permita lamodificación segura. Debe llevarse a cabo una prueba de módulo de softwareadecuada para verificar la funcionalidad. Nótese que la verificación debellevarse a cabo en cada fase del ciclo de vida de seguridad del software;

• integración; una vez probado y verificado, el software debe ser integrado alsubsistema del sistema instrumentado de seguridad (SIS) y probado con el finde demostrar que cumple con los requisitos en la especificación de requisitosde seguridad cuando se ejecuta en el hardware;

• validación de seguridad del software; debe llevarse a cabo como parte de lavalidación general del sistema instrumentado de seguridad (SIS) (fase 5);

• modificación; cualquier modificación de software validado debe llevarse a cabode manera controlada, de tal forma que se mantenga la integridad del software.


Probabilidad de fallo de SIF

137

14. Probabilidad de fallo de funciones instrumentadas de seguridad(SIF), IEC 61511-1, 11.9

14.1. Conformidad con la norma

Hasta ahora hemos identificado que debemos establecer medidas de fiabilidad específicascon el fin de garantizar que el riesgo general no supere el riesgo tolerable máximo.

También hemos visto que la medida de fiabilidad específica puede expresarse en nivelesde integridad de seguridad (SIL) y, para cumplir con la norma, no solo tenemos quedemostrar que la función de seguridad cumple los objetivos cuantitativos sino tambiénque aplicamos controles apropiados.

Cumplir con la norma requiere que las medidas de fiabilidad específicas se consigan deforma apropiada al nivel de integridad de seguridad (SIL) aplicado.

14.2. Requisitos de fiabilidad específicos del nivel de integridad de seguridad (SIL)

La probabilidad de fallo a demanda (PFD) en cada nivel de integridad de seguridad (SIL)depende del modo de operación relativo al uso previsto del sistema instrumentado deseguridad (SIS) con respecto a la frecuencia de las demandas a las que se ha sometido.Estas figuran definidas en el apartado [6.9] y pueden ser:

Modo a demanda, en el que se adopta una acción específica en respuesta a lascondiciones del proceso o a otras demandas. En caso de fallo peligroso de las funcionesinstrumentadas de seguridad (SIF), únicamente se produce un peligro potencial en casode un fallo del proceso del sistema básico de control de proceso (BPCS);

Modo continuo, según el cual en caso de fallo peligroso de las funciones instrumentadasde seguridad (SIF) ocurre un peligro potencial sin más fallos a menos que se adopte unaacción para evitarlo.

Sobre la base de estos criterios se pueden aplicar los objetivos apropiados que figuran enla tabla 17.

Tabla 17: Probabilidad de fallo a demanda (PFD) y tasas de fallo específicas de nivel deintegridad de seguridad (SIL)

Nivel SIL Modo a demandaProbabilidad de fallo ademanda

Modo continuoTasa de fallo por hora

SIL4 ≥10-5 a <10-4 ≥10-9 a <10-8

SIL3 ≥10-4 a <10-3 ≥10-8 a <10-7

SIL2 ≥10-3 a <10-2 ≥10-7 a <10-6

SIL1 ≥10-2 a <10-1 ≥10-6 a <10-5

138



14.3. Cálculo de probabilidad de fallo a demanda (PFD) de una función de seguridaden modo a demanda

Al realizar cálculos de fiabilidad, asumimos que los fallos ocurren aleatoriamente en eltiempo a una tasa constante y que cuando ocurre un fallo, el elemento objeto de fallo noestá disponible sino hasta que el fallo se haya detectado y solucionado.

Por lo que respecta al cálculo de la probabilidad de fallo a demanda (PFD), básicamenteestamos calculando la probabilidad de que el sistema instrumentado de seguridad (SIS)no esté disponible cuando se someta a una demanda. En un sistema 1oo2 redundante,partiendo de que hemos tenido un fallo de canal, la probabilidad de fallo a demanda(PFD) es la probabilidad de que el segundo canal falle subsecuentemente durante eltiempo improductivo del primero.

Se pueden utilizar las siguientes relaciones generales a la hora del cálculo de laprobabilidad de fallo a demanda (PFD). Las ecuaciones utilizadas son simplificacionesde ecuaciones estándar y se derivan en [19.6].

En el caso de fallos detectados:

PFD1oo1 = λDD.MDT Ref. IEC 61508-6, B.3.2.2.1PFD1oo2 = λDD2.MDT2 + β.λDD.MDT Ref. IEC 61508-6, B.3.2.2.2

En el caso de fallos no detectados:

PFD1oo1 = λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.1PFD1oo2 = λDU2.Tp2/3 + β.λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.2

Donde λDD es la tasa de fallo peligroso detectado, λDU es la tasa de fallo peligroso nodetectado y β es la contribución del apartado de fallos por causas comunes [12.17]. TP esel intervalo de prueba de calidad y MDT es el tiempo improductivo medio.

Las formas genéricas de estas ecuaciones para varias configuraciones, tanto para sistemasde modo continuo como a demanda, se detallan en [12.9].

14.4. Tasas de fallo

Al calcular la probabilidad de fallo a demanda (PFD) y la fracción de fallos seguros (SFF), elanálisis utiliza la hipótesis subyacente de IEC 61508-6, Anexo B.3 según la cual las tasas defallo de componentes son constantes a lo largo de la vida útil del sistema.

Las tasas de fallo utilizadas en los cálculos pueden obtenerse mediante un análisis demodos de fallos, efectos y criticidad (FMECA), cuantificarse por los datos de campo o por



139

referencia a datos publicados de fuentes de la industria. Las tasas de fallo utilizadasdeben compararse con los datos disponibles en módulos similares de complejidad ytecnología. Este enfoque asegura un enfoque conservador en términos de modelo defiabilidad, y aporta confianza en cuanto a que el rendimiento de fiabilidad calculadodebe conseguirse en servicio.

Las tasas de fallo y sus fuentes se tratan en 14.8.

14.5. Modelo de fiabilidad

En este ejemplo de [6.5], el proceso y las funciones instrumentadas de seguridad (SIF)están resaltados, Figura 54.

Transmisor

de presión

Controlador

de presión

Proceso y BPCS

Función instrumentada de seguridad

Lógica

ESD

Válvula

solenoide

Suministro

hidráulico

Purga

hidráulica

Entrada

gasoducto

Exportación

gasoducto

Válvula

cierre

Válvula

control presión


PC

SPT

Figura 54: Función instrumentada de seguridad en modo a demanda

140



El cálculo de la probabilidad de fallo a demanda (PFD) se lleva a cabo de forma mássencilla con la técnica de diagrama de bloques de fiabilidad (RBD). En los diagramas debloques de fiabilidad, los diagramas muestran los elementos o los componentes que se requieren para que el sistema sea fiable y no representan necesariamente un diseñofísico ni conexiones. El modelo de diagrama de bloques de fiabilidad se describe en IEC 61508-6, Anexo B, 4.2.

Se muestra el diagrama de bloques de fiabilidad para el sistema instrumentado deseguridad (SIS) descrito, Figura 55.

El diagrama de bloques de fiabilidad muestra el cálculo de la probabilidad de fallo ademanda. Bajo cada elemento figuran los valores para la tasa de fallo peligroso detectadoλDD, la tasa de fallo peligroso no detectado λDU, tiempo improductivo medio (MDT), eltiempo improductivo medio y el periodo de prueba de calidad T.

14.6. Ejemplo de evaluación de nivel de integridad de seguridad para lamodificación del bucle prepolímero en modo a demanda

A continuación se describe un ejemplo de una evaluación de la probabilidad de fallo ademanda (PFD) de un nivel de integridad de seguridad (SIL) y del rendimientoarquitectónico de una función instrumentada de seguridad (SIF).

Alcance

La función de cierre de emergencia (ESD), S-005 previene una reacción fuera de control en39-R-050, y consecuentemente protege contra una pérdida de contención del reactor quepodría dar lugar a lesiones de los operarios y a su vez a daños medioambientales. La

λDDMTD

Configuración – PFD

λDUPeriodo de prueba de calidad

Configuración – PFD

PFD (descubierta)PFD (no descubierta)

PFDSIL permitido (PFD)

2.64E-0748

1.27E-05

4.00E-088760

1.75E-04

1.77E-042.38E-022.40E-02

SIL1

0.00E+0048

0.00E+00

6.00E-078760

2.63E-03

3.42E-0648

1.64E-04

1.63E-078760

7.14E-04

0.00E+0048

0.00E+00

4.64E-068760

2.03E-02


LógicaESD

Válvulasolenoide

Válvulacierre




141

función de seguridad S-005 se inicia con la detección de temperatura alta o presión altaen el reactor, y la válvula de alivio de presión ROV0503 se abre para aliviar la presión.

Se entiende que haya dudas de que ROV0503 no ofrezca capacidad suficiente para ladescarga de presión y, por lo tanto, la acción de cierre de emergencia (ESD) de S-005 seha modificado para incluir la activación de una válvula de alivio adicional ROV0501.

Además, durante el programa de actualización, se han incorporado dos conmutadoresmanuales (HS0900 permisivo y HS2004 de anulación) con fines de mantenimiento.

Objetivos

El cliente mantiene un gran número de sensores como parte del sistema instrumentadode seguridad (SIS), y tiene interés en minimizar estos gastos fijos. El objetivo de esteanálisis es, por lo tanto:

1. determinar qué elementos deben incluirse en un análisis de la función deseguridad de cierre de emergencia (ESD) modificada S-005;

2. construir un diagrama de bloques de fiabilidad para determinar laprobabilidad de fallo a demanda y la arquitectura de S-005;

3. sugerir una filosofía de prueba de calidad (intervalos de prueba para sensores,conmutadores, lógica y válvulas de alivio) que permita que se cumplan losobjetivos (Tabla 18) al tiempo que se minimiza la frecuencia de prueba delsensor.

Nota: el cliente ha informado que los intervalos de prueba de calidad de cualquierelemento no deben superar los 36 meses. Desde un punto de vista de ingeniería, alcliente no le agrada que ciertas partes del sistema instrumentado de seguridad (SIS) no se ejecuten durante períodos de tiempo prolongados.

Permisivo y anulación

Hay dos conmutadores manuales, HS2004 y HS0900, asociados a cierre de emergencia(ESD) S-005.

Se entiende que HS0900 se usa para dirigir el catalizador al reactor y consecuentemente,si el conmutador está en la posición equivocada o falla en un estado erróneo, el peligrono puede ocurrir. HS2004 se usa como anulación de activación en S-005. Si HS2004 sedeja involuntariamente en la posición de anulación tras una acción de mantenimiento osi falla en el estado de anulación, entonces la función de seguridad S-005 se deshabilita.

142



Configuración de hardware

El dispositivo de resolución lógica está basado en una configuración triple modularredundante (TMR) con una votación de 2 de 3 (2oo3). La Figura 56 presenta un esquemade la configuración del hardware.

Funciones de seguridad analizadas

La Tabla 18 presenta el nivel de integridad de seguridad (SIL) establecido y los objetivosde la probabilidad de fallo a demanda (PFD).

Tabla 18: Funciones de seguridad para análisis

Cobertura de diagnóstico

Se ha asumido que todos los modos de fallo no detectados serán descubiertos con laprueba de calidad, es decir, con la ejecución completa de la función del sistemainstrumentado de seguridad (SIS).

Bucle Iniciador AcciónESD

Condiciones requeridaspara mitigar el peligro

Objetivode la PFD

Objetivodel SIL

1 Presión elevada[PT0500H] otemperaturaelevada [TT0504HH]

Activa S-005

ROV0503 y ROV0501- apertura

5.56E-03 SIL2

Lógica (2oo3)

AI1oo2

Barrera IS

AI1oo2

AI1oo2

DI DI DI CPU CPU CPU DO DO DO

ROV0501

ROV0503

-005S-PTransmisor de presiónPT0500H

TransmisortemperaturaPT0500H

Conmutadormanual

Conmutadormanual

Figura 56: Esquema hardware



143

Tiempo improductivo medio

En este análisis debe utilizarse el tiempo improductivo medio (MDT) de 72 horas.

Periodo de prueba de calidad

Los intervalos de prueba de calidad deben seleccionarse para conseguir los objetivos a lavez que se maximiza el intervalo de prueba de los sensores.

Consideración de fallos por causas comunes

Los fallos por causas comunes (CCF) son fallos que pueden derivarse de una causaindividual, pero que pueden afectar simultáneamente a más de un canal. Pueden ser elresultado de un fallo sistemático, por ejemplo, un error de especificación de diseño ouna influencia externa como temperatura excesiva que pudiera dar lugar a un fallo delcomponente en los dos canales redundantes.

La contribución de los fallos por causas comunes en rutas redundantes en paralelo debeconsiderarse en el modelo con la incorporación de un factor β. La tasa de fallos por causascomunes incluida en el cálculo es igual a β x la tasa de fallo total de una de las rutasredundantes. Los factores β que deben utilizarse en el análisis están resumidos en laTabla 19.

Tabla 19: Factores β

Componentes tipo A

Los siguientes elementos pueden considerarse como tipo A:

• Barrera de seguridad intrínseca (aislante de la fuente de alimentación eléctricade transmisor; PB0500);

Configuraciónredundante

Factor β Justificación

Sensores PT0500,TT0504

3% Dado que los sensores son una tecnología diferente que midediferentes variables de procesos, el potencial para fallos porcausas comunes está limitado al proceso en sí mismo, almecanismo para fijar los sensores y al enrutado y la separaciónde las conexiones de los sensores. El valor de 3% se considerapor lo tanto un valor razonablemente conservador.

Lógica TMR PLC 5% Los fallos por causas comunes en una configuración triplemodular redundante (TMR) son pequeños. No obstante, se hautilizado un valor de 5% para mantener un enfoqueconservador.

144



• Transmisor de temperatura (TT0504);• Conmutador manual (HS0900, HS2004);• Válvulas de alivio de pre-polimerización.

Componentes tipo B

Los siguientes elementos se consideraron como tipo B:

• Módulos lógicos PLC;• Transmisores de presión (PT0500).

Tasas de fallo de componentes

El análisis debe asumir tasas de fallo constantes dado que se espera eliminar los efectosde fallos prematuros mediante procesos apropiados. Estos procesos incluyen el uso deproductos muy desarrollados de fuentes autorizadas, pruebas en fábrica antes de laentrega, y funcionamiento ampliado y prueba funcional como parte de la instalación yla puesta en servicio. Los datos de devolución de campo en otros proyectos similaresindican que los fallos de vida prematuros no dan lugar a un número significativo dedevoluciones y, por lo tanto, las técnicas empleadas se estiman suficientes.

También se asume que los componentes no se utilizan más allá de su vida útil, por lo queasí se garantiza que no ocurran fallos causados por el desgaste de ciertos mecanismos.Las tasas de fallo (en fallos/hora) que pueden ser utilizados en el modelo para el cálculode la probabilidad de fallo a demanda (PFD), λDD y λDU están resumidos en la Tabla 20. Lastasas de fallo se obtuvieron a partir de una combinación de fuentes.



145

Tabla 20: Tasas de fallo (/h) y cálculo de fracción de fallos seguros (SFF)

Elementoref/etiqueta

Descripción λ λD λDU λDD λS SFF

Dispositivos de entrada

PT 0500 Transmisor de presión (IS) 1.5E-06 1.4E-06 6.0E-07 7.5E-07 1.5E-07 0.60

PT 0501 Transmisor de presión (seguridadintrínseca)

1.5E-06 1.4E-06 6.0E-07 7.5E-07 1.5E-07 0.60

PB 0500 Barrera para transmisor de presiónanterior (no seguridad intrínseca)

2.1E-07 6.3E-08 6.3E-08 0.0E+00 1.5E-07 0.70

PB 0501 Barrera para transmisor de presiónanterior (no seguridad intrínseca)

2.1E-07 6.3E-08 6.3E-08 0.0E+00 1.5E-07 0.70

FT 0041 Medidor de flujo Coriolis 2.6E-06 2.2E-06 9.0E-07 1.3E-06 4.0E-07 0.65

TT 0504 RTD de 3 conductores contransmisor montado sobre uncabezal

2.0E-06 1.4E-06 4.0E-07 1.0E-06 6.0E-07 0.80

HS 2004 Conmutador de anulación 2.00E-06 8.00E-07 8.00E-07 0.00E+00 1.20E-06 0.60

HS0900 Conmutador permisivo 2.00E-06 8.00E-07 8.00E-07 0.00E+00 1.20E-06 0.60

Dispositivos lógicos

CPU CPU 1.51E-06 5.16E-07 6.42E-09 5.09E-07 9.91E-07 1.00

Módulo DI32pt

Módulo DI 32pt 2.19E-08 1.09E-08 9.91E-11 1.08E-08 1.09E-08 0.99

Módulo AI32pt

Módulo AI 32pt 1.40E-08 7.00E-09 9.86E-11 6.90E-09 7.00E-09 0.99

Módulo DO16pt

Módulo DO 16pt 2.95E-08 1.47E-08 9.93E-11 1.46E-08 1.47E-08 0.99

Dispositivos de salida

39-PM-050 Estado de funciona miento de labomba desde el contactor y relé –SIN contacto

3.0E-07 2.0E-07 1.95E-07 0.00E+00 1.05E-07 0.35

ROV 0501 AOV (FO) – válvula de descargacon SOV incluida

5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734


5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734

ROV 0404 AOV (FC) SOV incluida 9.72E-06 3.03E-06 3.03E-06 0.00E+00 6.69E-06 0.688


5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734


5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734

146



Una posible solución

El objetivo de este análisis es:

1. determinar qué elementos deben incluirse en un análisis de la función deseguridad de cierre de emergencia (ESD) modificada S-005;

2. construir un diagrama de bloques de fiabilidad para determinar laprobabilidad de fallo a demanda y la arquitectura de S-005;

3. sugerir una filosofía de prueba de calidad (intervalos de prueba para sensores,conmutadores, lógica y válvulas de alivio) que permita que se cumplan losobjetivos (Tabla 18) al tiempo que se minimiza la frecuencia de prueba delsensor.

El diagrama de bloques de fiabilidad en la Figura 57 muestra los elementos que serequieren como parte de la función de seguridad. No es necesario incluir HS0900 en la evaluación de la función de seguridad dado que su fallo no puede evitar elfuncionamiento de la función de seguridad. Si el conmutador HS0900 falla o se dejaen una posición incorrecta, el peligro no puede ocurrir.

HS2004 debe incluirse porque si se deja involuntariamente en la posición de anulacióntras una acción de mantenimiento o si falla en el estado de anulación, entonces la funciónde seguridad S-005 estará desactivada.

El cálculo de la probabilidad de fallo a demanda (PFD) requirió la aplicación de ciertoscriterios con respecto a la determinación de los intervalos de prueba de calidad, Tp. Elrequisito era maximizar el intervalo hasta 3 años y a la vez conseguir la probabilidad defallo a demanda (específica. Habrá muchas soluciones potenciales y en la práctica seráobjeto de discusión con el cliente. La Tabla 21 muestra un posible enfoque de pruebade calidad.

Tabla 21: Intervalos de prueba de calidad posibles

Estos intervalos de prueba de calidad ofrecen una probabilidad de fallo a demandacalculada de 4.91E-03 con respecto a un objetivo de 5.56E-03, y tanto la probabilidadde fallo a demanda como el rendimiento arquitectónico cumplen el SIL2 objetivo.

Periodo de prueba de calidad (sensores) 24 meses 17,520 horas

Periodo de prueba de calidad (conmutador manual) 6 meses 4380 horas

Periodo de prueba de calidad (lógica) 36 meses 26,280 horas

Periodo de prueba de calidad (válvulas) 3 meses 2190 horas



147

Mód

ulo

DO

6pt

Mód

ulo

DI

32t

Mód

ulo

DI

32pt

CCF

HS

2004

Mód

ulo

DO

6pt

CCF

CPU

CPU

CPU

Mód

ulo

DI

32pt

Mód

ulo

DO

16pt

Mód

ulo

AI

32pt

Mód

ulo

AI

32pt

Mód

ulo

AI

32pt

TT 0

504

PT 0

500

Bifu

rcac

ión

A

Bifu

rcac

ión

B

PB 0

500

Cont

ribuc

ión

CCF

3%5%

Cant

.1

11

11

11

1Co

nfigu

raci

ón1o

o22o

o3

λDD

[bifu

rcac

ión

A]

7.50

E-07

0.00

E+00

2.25

E-08

0.00

E+00

6.90

E-09

5.09

E-07

1.08

E-08

1.46

E-08

2.71

E-08

λDD

[bifu

rcac

ión

B]1.

00E-

060.

00E+

00λD

D p

ara

bifu

rcac

ión

2.25

E-08

0.00

E+00

5.42

E-07

2.71

E-08

MD

T72

7272

7272

Confi

gura

ción

PFD

3.89

E-09

1.62

E-06

0.00

E+00

4.56

E-09

1.95

E-06

λDU

[bifu

rcac

ión

A]

6.00

E-07

6.30

E-08

1.99

E-08

8.00

E-07

9.86

E-11

6.42

E-09

9.91

E-11

9.93

E-11

3.36

E-10

λDU

[bifu

rcac

ión

B]4.

00E-

070.

00E+

00λD

U p

ara

bifu

rcac

ión

1.99

E-08

8.00

E-07

6.72

E-09

3.36

E-10

Perio

do d

e pr

ueba

de

calid

ad, T

17,5

2017

,520

4380

26,2

8026

,280

Confi

gura

ción

PFD

2.71

E-05

1.74

E-04

1.75

E-03

3.11

E-08

4.41

E-06

PFD

(des

cubi

erta

)3.

58E-

06PF

D (n

o de

scub

iert

a)4.

91E-

03

PFD

4.92

E-03

SIL

perm

itid

o (P

FD)

2

Tipo

BA

AB

BB

SFF

0.60

0.70

0.60

>99

>99

>99

Redu

ndan

cia

10

01

11

SIL

arqu

itect

ónic

o2

22

33

3SI

L pe

rmit

ido

(arq

.)2

Figura 57: Solución de diagramade bloques de fiabilidad

148



14.7. Trazabilidad de la tasa de fallo

Al realizar cálculos de probabilidad de fallo a demanda es crítico que todos los cálculossean visibles y que todos los datos utilizados se puedan rastrear con respecto a la fuente.Microsoft Excel es una herramienta útil en este sentido, dado que cumple estos dosrequisitos y también permite desarrollar una representación gráfica del modelo defiabilidad, tal y como se muestra en la Figura 57.

La hoja de cálculo permite que cada celda de datos remita a una tabla de datos en laque figuran todos los datos de tasas de fallo recogidos así como las fuentes de datos. LaTabla 22 es un ejemplo de tabla de datos. Es importante que la referencia de fuente dedatos esté lo suficientemente detallada para que cualquiera pueda comprobar yconfirmar los valores utilizados.

Si se utiliza un formato Excel, conviene también indicar el tipo de componente ademásdel tiempo improductivo medio (MDT) asumido y el intervalo de prueba de calidad (Tp)utilizado para el cálculo. Esto permite cambiar fácilmente el intervalo de prueba decalidad y calcular automáticamente el efecto sobre la probabilidad de fallo a demanda(PFD).

Tabla 22: Tabla de datos típica

Elemento/número depieza

λ λD λDD λDU λS Tipo SFF MDT Tp Fuentededatos

PT0500 1.35E-06

8.18E-07

7.50E-07

6.80E-08

5.27E-07

B 0.95 4380 4380 exida[14.8.2]

Dispositivode resoluciónlógica SIL3

5.57E-06

2.23E-06

2.21E-06

2.20E-08

3.34E-06

B 1.00 168 4380 Sintef[14.8.8]

Módulo deentradaanalógica

1.07E-06

5.34E-07

5.08E-07

2.60E-08

5.34E-07

B 0.98 168 4380 Sintef[14.8.8]

Módulo desalidadiscreta

5.26E-07

2.63E-07

2.50E-07

1.30E-08

2.63E-07

B 0.98 168 4380 Sintef[14.8.8]

Válvula HIPPS12"

5.29E-06

2.12E-06

0.00E+00

2.12E-06

3.17E-06

A 0.60 730 4380 Oreda2002[14.8.6]



149

14.8. Fuentes de datos de tasa de fallo

14.8.1. Enfoque

Los datos relativos a la tasa de fallo tan solo deben obtenerse de fuentes adecuadas y estodepende de la aplicación. A continuación figuran fuentes de datos que se han utilizado yque resultan apropiadas para el sector de proceso.

14.8.2. Exida.com Safety Equipment Reliability Handbook, 2007, 3rd Edition Volume 1 –Sensors, ISBN 978-0-9727234-3-5/Volume 2 – Logic Solvers and Interface Modules,ISBN 978-0-9727234-4-2/Volume 3 – Final Elements, ISBN 978-0-9727234-5-9

14.8.3. Handbook of Reliability Data for Electronic Components used inTelecommunications Systems, HRD-5.

14.8.4. Hydrocarbon Leak and Ignition Database Report No. 11.4/180 May 1992

14.8.5. IEEE Standard 500-1984. Guide to the Collection and Presentation of Electrical,Electronic, Sensing Component, and Mechanical Equipment Reliability Data.

14.8.6. OREDA, The Offshore Reliability Data Handbook 4th Edition 2002 ISBN 82-14-02705-5

14.8.7. Parloc 2001: 5th Edition, The Institute of Petroleum, published by the EnergyInstitute ISBN 0 85293 404 1.

14.8.8. Reliability Data for Control and Safety Systems, 2006 Edition, PDS Data Handbook,SINTEF, ISBN 82-14-03898-7.

14.8.9. Reliability Technology, AE Green and AJ Bourne, Wiley, ISBN 0-471-32480-9.

150



15. Instalación, puesta en servicio y validación, IEC 61511-1, 14, 15


La Figura 58 muestra la fase del ciclo de vida aplicable.

Los objetivos de las fases definidas en IEC 61511-1, 14 y 15 son:

• instalar el sistema instrumentado de seguridad conforme a las especificacionesy a la documentación [15.2];

• poner en servicio el sistema instrumentado de seguridad, de modo que estélisto para la validación final del sistema [15.3];

• validar que el sistema instrumentado de seguridad, instalado y puesto enservicio, logre los requisitos definidos en la SRS [15.4].

Ges

tión

de la

seg

urid

ad fu

ncio

nal,

eval

uaci

ón y

aud

itoría

de

la s

egur

idad

func

iona

l

10

Estr

uctu

ra y

pla

nific

ació

n de

l cic

lo d

e vi

da d

e la

seg

urid

ad

11

Verifi

caci

ón




de riesgo

2





6

Modificación7

Desmantelamiento8



Instalación, puesta en servicio y validación

151

15.2. Instalación de funciones instrumentadas de seguridad (SIF)

Los requisitos de instalación deben definirse en el plan de instalación y puesta en servicioo integrarse en el plan general del proyecto. Los procedimientos de instalación debendefinir las actividades que deben llevarse a cabo, las técnicas y las medidas que se vayan autilizar, las personas, departamentos u organizaciones responsables y la temporización delas actividades de instalación.

15.3. Puesta en servicio de funciones instrumentadas de seguridad (SIF)

El sistema instrumentado de seguridad debe ponerse en servicio de conformidad con laplanificación y con los procedimientos. Deben facilitarse registros con los resultados delas pruebas e indicando si se han cumplido los criterios de aceptación definidos durantela fase de diseño. Los fallos deben ser objeto de investigación y registro. En caso de quese establezca que la instalación actual no cumple con la información de diseño, debeinvestigarse la divergencia y determinarse el impacto sobre la seguridad.

15.4. Validación de funciones instrumentadas de seguridad (SIF)

Los procedimientos de validación deben incluir todos los modos de operación delproceso y del equipo asociado y deben incluir:

• puesta en marcha, funcionamiento normal, cierre;• funcionamiento manual o automático;• modos de mantenimiento, omisión de bypass;• temporización;• roles y responsabilidades;• procedimientos de calibración.

Además, la validación del software de aplicación debe incluir:

• identificación del software de cada modo de operación;• procedimiento de validación que se vaya a usar;• herramientas y equipo que se vayan a usar;• criterios de aceptación.

La validación debe garantizar que el sistema instrumentado de seguridad funcione entodos los modos de servicio y que no se vea afectado por la interacción del sistema básicode control de proceso (BPCS) y otros sistemas conectados. La validación de rendimientodebe garantizar que todos los canales redundantes funcionen, así como las funciones deomisión, las anulaciones de puesta en marcha y los sistemas de cierre manual.

152



Debe llegarse al estado definido, o seguro, en caso de pérdida de energía, p. ej., energíaeléctrica o hidráulica o aire de instrumentación. Las funciones de alarma de diagnósticodefinidas en la especificación de requisitos de seguridad deben funcionar y ofrecer unrendimiento tal y como se especifica en variables de proceso no válidas, p. ej., entradasfuera de rango. Después de la validación deben facilitarse registros apropiados y se debenidentificar el elemento de prueba, el equipo de prueba, los documentos de prueba y losresultados de prueba además de cualquier discrepancia y análisis o solicitudes de cambioque surjan al respecto.



153

16. Funcionamiento y mantenimiento, IEC 61511-1, 16



Los objetivos de esta fase tal y como se define en IEC 61511-1, 16.1 son:

• Garantizar que el nivel de integridad de seguridad requerido de cada funcióninstrumentada de seguridad se mantenga durante el funcionamiento y elmantenimiento [16.2];

• Utilizar y efectuar el mantenimiento del sistema instrumentado de seguridad,de tal manera que se mantenga la seguridad funcional diseñada [16.3].

Ges

tión

de la

seg

urid

ad fu

ncio

nal,

eval

uaci

ón y

aud

itoría

de

la s

egur

idad

func

iona

l

10

Estr

uctu

ra y

pla

nific

ació

n de

l cic

lo d

e vi

da d

e la

seg

urid

ad

11

Verifi

caci

ón




de riesgo

2





6

Modificación7

Desmantelamiento8


154



16.2. Funcionamiento y mantenimiento (F y M) de funciones instrumentadas deseguridad (SIF)

Los requisitos para el F y M deben definirse en el plan de F y M o integrarse en el plangeneral del proyecto. Los procedimientos de F y M deben definir las operacionesrutinarias que han de llevarse a cabo para mantener la seguridad funcional del sistemainstrumentado de seguridad. Estas operaciones deben incluir requisitos para:

• pruebas de calidad;• omitir una función instrumentada de seguridad para prueba o reparación;• recogida rutinaria de datos: p. ej., resultados de auditorías y pruebas del

sistema instrumentado de seguridad, registros de demandas de funcionesinstrumentadas de seguridad, tiempos improductivos por fallos, reparacionesy pruebas de calidad.

Deben desarrollarse procedimientos de pruebas de calidad, de tal manera que cadafunción instrumentada de seguridad se ponga a prueba a fin de sacar a la luz fallospeligrosos que no sean detectados mediante diagnósticos [16.4].

Se requieren procedimientos de mantenimiento para el diagnóstico y la reparación defallos, y la revalidación del sistema tras una reparación, acciones que deben tomarse trasdiscrepancias entre el comportamiento esperado y el comportamiento real, la calibracióny el mantenimiento del equipo de prueba y la generación de informes de mantenimiento.

Se requieren procedimientos de generación de informes para informar sobre fallos,analizar fallos sistemáticos y por causas comunes, y para dar seguimiento al rendimientodel mantenimiento.

16.3. Formación para F y M

La formación del personal de F y M se debe planificar y realizar oportunamente, demanera que se pueda llevar a cabo el funcionamiento y el mantenimiento del sistemainstrumentado de seguridad de acuerdo con la especificación de requisitos de seguridad(SRS). La formación debe incluir:

• peligros;• puntos de disparo;• acciones ejecutivas;• funcionamiento de todos los bypasses y cualquier restricción sobre su uso;• operaciones manuales, p. ej., puesta en marcha, cierre y cualquier restricción

relativa a su uso;• funcionamiento de alarmas y diagnósticos disponibles.



155

16.4. Pruebas de calidad

Los procedimientos de pruebas de calidad deben poner a prueba las funcionesinstrumentadas de seguridad (SIF) completas, desde el elemento de detección hasta eldispositivo final accionado. El intervalo de prueba de calidad debe ser el mismo que seutilice en la cuantificación de la probabilidad de fallo a demanda (PFD) [14].

Se acepta probar distintos elementos de las funciones instrumentadas de seguridad (SIF)a intervalos diferentes siempre y cuando:

• la probabilidad de fallo a demanda (PFD) calculada siga siendo aceptable;• haya cierta superposición en la prueba para que ninguna parte de las funciones

instrumentadas de seguridad se quede sin ser sometida a prueba.

156



17. Modificación y desmantelamiento, IEC 61511-1, 17, 18


La Figura 60 muestra las fases del ciclo de vida aplicables.

Los objetivos de esta fase tal y como se define en IEC 61511-1, 17.1 y 18.1 son garantizarque:

• toda modificación relativa a cualquier función instrumentada de seguridad (SIF)se planifique, revise y apruebe convenientemente antes de implementar elcambio [17.2];

• la integridad de seguridad requerida se mantenga después de cualquier cambioque se haya llevado a cabo [17.3];

• antes de proceder al desmantelamiento, se efectúe una revisión apropiada y seconsiga autorización para asegurarse de que la integridad de seguridad quedegarantizada durante el desmantelamiento [17.4].

Ges

tión

de la

seg

urid

ad fu

ncio

nal,

eval

uaci

ón y

aud

itoría

de

la s

egur

idad

func

iona

l

10

Estr

uctu

ra y

pla

nific

ació

n de

l cic

lo d

e vi

da d

e la

seg

urid

ad

11

Verifi

caci

ón




de riesgo

2





6

Modificación7

Desmantelamiento8

Figura 60: Fase 7 y 8 del ciclo de vida


Modificación y desmantelamiento

157

17.2. Modificación de funciones instrumentadas de seguridad (SIF)

Antes de proceder a cualquier modificación, deben existir procedimientos para laautorización y el control de los cambios. Esto se gestiona generalmente con una nota desolicitud de cambio (CRN), que normalmente forma parte de un sistema de gestión decalidad (QMS).

Cualquier solicitud de cambio debe describir el cambio requerido y las razones para lasolicitud. Esto lo puede proponer el personal de F y M como resultado de incidentesdurante el funcionamiento o el mantenimiento. El proceso de aprobación habitual desolicitudes de cambio debe englobar a distintos departamentos dentro de unaorganización para determinar el impacto del cambio relativo al diseño, la base instaladay la implementación requerida.

Una vez que una organización está involucrada en la seguridad funcional, cualquiersolicitud de cambio debe además ser revisada por una persona competente, p. ej. laautoridad de seguridad (SA), para determinar si el cambio puede afectar la seguridad y,en tal caso, se requiere un análisis de impacto adecuado.

17.3. Análisis de impacto

Los resultados del análisis pueden requerir una nueva inspección de las primeras partesdel ciclo de vida y, por ejemplo, puede ser necesario revisar los peligros identificados y lasevaluaciones de riesgos. Las actividades de modificación no pueden empezar sino hastaque este proceso haya sido completado y la autoridad de seguridad haya autorizado elcambio.

El impacto de los cambios relativos a las funciones instrumentadas de seguridad puedeafectar consecuentemente al personal de F y M, y podría ser necesaria formaciónadicional.

17.4. Desmantelamiento de funciones instrumentadas de seguridad (SIF)

El desmantelamiento debe ser una actividad planificada como parte de la fase 11 del ciclode vida, y debe tratarse como una modificación al final de la vida del proyecto.

El comienzo de la fase de desmantelamiento se debe iniciar un análisis de impactopara determinar el efecto del desmantelamiento en la seguridad funcional. El análisisdebe incluir la revisión de la identificación de peligros y la evaluación de riesgos, conconsideración particular de los peligros que pueden ocurrir como resultado de laactividad de desmantelamiento.

158



18. Gestión de seguridad funcional, y evaluación y auditoría deseguridad funcional



El objetivo de esta fase, tal y como se define en IEC 61511-1, 5, es identificar lasactividades de gestión y la documentación necesarias con el fin de habilitar las fasesdel ciclo de vida aplicables para que puedan ser abordadas convenientemente porlos responsables respectivos.

La norma lista requisitos generales para la gestión y la documentación para permitir quelas fases del ciclo de vida aplicables sean abordadas adecuadamente por los respectivosresponsables.

Ges

tión

de la

seg

urid

ad fu

ncio

nal,

eval

uaci

ón y

aud

itoría

de

la s

egur

idad

func

iona

l

10

Estr

uctu

ra y

pla

nific

ació

n de

l cic

lo d

e vi

da d

e la

seg

urid

ad

11

Verifi

caci

ón




de riesgo

2





6

Modificación7

Desmantelamiento8

Figura 61: Fase 10 y 11 del ciclo de vida


Gestión, evaluación y auditoría

159

Esto significa que la documentación de proyecto debe contener suficiente informaciónpara cada fase del ciclo de vida general que se haya completado, para las fasessubsiguientes y para las actividades de verificación, de modo que puedan completarsede forma efectiva.

La conformidad con la norma requiere la especificación de:

• las responsabilidades en la gestión de la seguridad funcional;• las actividades que deben llevar a cabo los responsables.

La conformidad respecto a los requisitos puede abordarse mediante la disposiciónde procedimientos que traten cada requisito en alcance, implementando dichosprocedimientos y asegurándose de que haya información adecuada disponible parapermitir que la gestión de la seguridad funcional sea efectiva.

18.2. Gestión de seguridad funcional

Los requisitos para la gestión de la seguridad funcional figuran resumidos en la Tabla 23.

La mayor parte de los requisitos pueden ya estar cubiertos en un sistema de gestión decalidad (QMS) de la organización. Las siguientes secciones resaltan ciertas áreas quegeneralmente deben ser abordadas.

Gestión de requisitos de seguridadfuncional

Descripción

Requisitos generales IEC 61511-1, 5.2.1Debe especificarse una política y una estrategiajunto con los medios de comunicación internosde la organización.

Política y comunicacionesDebe estar implementada una política de seguridadfuncional que debe comunicarse en toda la organización. Se recomienda que el contenido de la política incluyaobjetivos de seguridad funcionales específicos junto con losmedios de evaluación sobre si se han logrado y el método decomunicación dentro de la organización.

Debe estar implementado un sistema de gestiónde seguridad funcional para cerciorarse de queel sistema instrumentado de seguridad tenga lacapacidad de implementar y mantener elproceso en un estado seguro.

Debe estar disponible un documento de gestión deseguridad funcional de alto nivel que identifique todas lasfases del ciclo de vida del alcance. El documento de gestióndebe referenciar los procedimientos necesarios de todas lasactividades relacionadas con la seguridad.Debe haber procedimientos implementados para especificartodas las actividades de gestión y técnicas que se llevarán acabo en el proyecto. Los procedimientos deben identificarlos documentos que deben elaborarse. Los proyectos deben controlarse usando un plan de calidady seguridad que identifique las actividades que se llevarán acabo, los medios de control y que permita la aprobación unavez completados.

160




Descripción

Organización y recursos IEC 61511-1, 5.2.2Deben identificarse las personas, los departamentos,las organizaciones y otras unidades responsables deejecutar y revisar cada fase del ciclo de vida deseguridad. Asimismo deben ser informados acerca delas responsabili dades atribuidas según corresponda(inclusive cuando proceda, autoridades reguladoras uorganismos normativos en materia de seguridad).

Roles y responsabilidadesDeben identificarse todas las personas, departamentos yorganizaciones responsables de ejecutar y revisar las actividadesrelacionadas con la seguridad, y sus responsabilidades debenquedar definidas de forma clara.Por lo general, en una organización, se puede lograr con lapublicación de diagramas que identifiquen a las personas y susroles. Las descripciones de trabajo identificarían entonces lasresponsabilidades asignadas a cada rol.

Las personas, los departamentos y lasorganizaciones involucradas en las actividades delciclo de vida de seguridad deben ser competentespara realizar las actividades que les hayan sidoatribuidas y de las que sean responsables.

CompetenciaLa competencia de todas las personas responsables definidasanteriormente debe quedar documentada.Debe haber procedimientos implementados para asegurarse deque las personas responsables tengan la competencia apropiadapara las actividades que les sean asignadas. El procedimiento debeincluir la revisión y la evaluación de la competencia, además de lasnecesidades de formación. La documentación relativa a la competencia debe considerar: a) conocimientos de ingeniería (aplicables al proceso, la tecnología,

la novedad y la complejidad de la aplicación, los sensores y loselementos finales);

b) gestión adecuada y habilidades de liderazgo apropiadas al rol enel ciclo de vida de seguridad;

c) comprensión de la consecuencia potencial del evento;integridad de la seguridad de las funciones instrumentadas deseguridad; ingeniería de seguridad y requisitos normativoslegales y de seguridad.

Evaluación de riesgos y gestión de riesgosIEC 61511-1, 5.2.3Deben identificarse los peligros, evaluarse losriesgos y determinarse la reducción de riesgosnecesaria.

Establecimiento del SILVer apartado [6].

Planificación IEC 61511-1, 5.2.4Debe implementarse la planificación de seguridadpara definir las actividades que se han de llevar acabo junto con las personas, los departamentos,la organización u otras unidades responsables dellevar a cabo dichas actividades. Debe actualizarseesta planificación según sea necesario a lo largo detodo el ciclo de vida de seguridad.

PlanificaciónLa planificación debe asegurar que la gestión, la verificación y lasactividades de evaluación de la seguridad funcional tengan uncalendario y que se apliquen en las fases relevantes del ciclo de vida.La planificación debe estar incluida en el plan de calidad delproyecto y debe identificar todas las actividades relacionadas conla seguridad, la temporización y las organizaciones o individuosresponsables.Cada actividad relacionada con la seguridad puede incluirreferencias a procedimientos o a prácticas laborales, a desarrollo o a herramientas de producción.

Implementación y supervisión de IEC 61511-1, 5.2.5Deben implementarse procedimientos para ase gu rarel seguimiento rápido y la resolución satisfactoria delas recomendaciones derivadas de: a) análisis de peligro y evaluación de riesgos;b) evaluación y auditorías; c) verificación y validación; d) actividades posteriores al incidente.

Implementación y supervisiónLos procedimientos deben permitir obteber recomendacionesbasadas en actividades de análisis y revisión, y debeimplementarse un método para revisar y dar seguimiento de lasrecomendaciones para su resolución.Debe haber un procedimiento que asegure que se pueda abordarcualquier recomendación basada en los incidentes o peligros.



161


Descripción

Deben implementarse procedimientos para evaluarel rendimiento del sistema instrumentado deseguridad respecto a los requisitos de seguridad,que incluya:a) recogida y análisis de datos de fallo de campo

durante la operación;b) registro de demandas relativas a las funciones

instrumentadas de seguridad para asegurarseque los supuestos tomados durante elestablecimiento del SIL sigan siendo válidos.

Siempre que la organización sea responsable de las fases defuncionamiento y mantenimiento, debe haber implementadosprocedimientos para reconocer las operaciones y el rendimientodel mantenimiento que incluyan:• fallos sistemáticos;• fallos recurrentes;• evaluación de tasas de demanda y de tasas de fallo de

acuerdo con los supuestos durante el diseño o la evaluaciónde la seguridad funcional.

Los requisitos para las auditorías de seguridad funcional debenincluir: frecuencia, independencia, documentación requerida yseguimiento.

Cualquier proveedor que facilite productos oservicios a una organización, que tengaresponsabilidad general respecto a una o másfases del ciclo de vida de seguridad, debe entregarproductos o servicios tal y como vienenespecificados a cargo de esta organización,y debe contar con un sistema de gestión decalidad apropiado.Debe haber principios implementados paraestablecer la adecuación del sistema de gestiónde la calidad.

Gestión de proveedoresLos proveedores deben entregar productos conforme a lasespecificaciones y deben contar con un sistema de gestión decalidad apropiado. Por lo general, el suministro debe proceder deuna lista de proveedores aprobados y con un control conforme ala especificación de suministro.Debe haber implementados procedimientos para auditar laaprobación de proveedores.

Evaluación, auditoría y revisiones IEC 61511-1,5.2.6 Debe definirse y ejecutarse un procedimiento parauna evaluación de la seguridad funcional, de talmanera que pueda determinarse la seguridadfuncional y la integridad de seguridad conseguidascon el sistema instrumentado de seguridad. Los procedimientos deben requerir que se asigne unequipo de evaluación que incluya conocimientostécnicos, de aplicación y operacionales especializadosnecesarios para la aplicación en particular.El equipo de evaluación debe incluir al menosuna persona sénior y competente que no estéinvolucrada en el equipo de personal de diseñodel proyecto. Las etapas en el ciclo de vida de seguridad en lasque se han de llevar a cabo las actividades deevaluación de la seguridad funcional debenidentificarse durante la planificación de seguridad.

Evaluación de seguridad funcionalActividades de evaluación de la seguridad funcional, verapartado [13].Debe implementarse un procedimiento que permita la puesta en práctica de una evaluación de la seguridad funcional. Losrequisitos para demostrar la conformidad de acuerdo con losobjetivos SIL y probabilidad de fallo a demanda (o probabilidadde fallo por hora) establecidos durante la determinación delSIL [6] están detallados en [11.1].Puede asignarse un equipo dentro de la organización si secumplen los requisitos de competencia e independencia. Si se usa una organización externa, entonces los requisitos decompetencia deben formar parte del procedimiento de gestiónde proveedores.Los requisitos de riesgo máximo tolerable (MTR) deben estarincluidos en el alcance [8.6.6].

162



Tabla 23: Requisitos de la gestión de la seguridad funcional


Descripción

Debe llevarse a cabo al menos una evaluaciónde la seguridad funcional antes de que lospeligros identificados estén presentes; debeconfirmar que:• se haya llevado a cabo la evaluación de

peligros y riesgos;• se hayan resuelto las recomendaciones

basadas en la evaluación de peligros yriesgos;

• el sistema instrumentado de seguridad hayasido diseñado, construido e instalado deacuerdo a la especificación de requisitos deseguridad;

• estén implementados los procedimientos deseguridad, funcionamiento y mantenimiento;

• se hayan completado las actividades devalidación;

• se haya completado la formación de F y M,y se haya facilitado información apropiadaacerca del sistema instrumentado deseguridad;

• existan estrategias para evaluacionescomplementarias.

La evaluación de la seguridad funcional debe seguir un plande conformidad. Deben quedar especificados en el plan decalidad y seguridad del proyecto los puntos en el calendariode proyecto o ciclo de vida de seguridad, así como elmomento de su puesta en práctica.Es importante que al menos una evaluación de seguridadfuncional se lleve a cabo antes de que los peligrosidentificados estén presentes en la planta o proceso.

Deben definirse y ejecutarse procesos con el finde asegurarse de que se cumplan los requisitosconforme a la auditoría, incluidos: a) la frecuencia de actividades de auditoría; b) el grado de independencia entre las personas,

los departamentos, las organizaciones u otrasunidades que lleven a cabo el trabajo yaquellos que lleven a cabo actividades deauditoría;

c) el registro y las actividades de seguimiento.

Deben llevarse a cabo auditorías de seguridad funcionalespara verificar que existan procedimientos apropiados acercadel proyecto y que se hayan implementado.Por lo general, debe llevarse a cabo una auditoría deseguridad funcional en una fase muy inicial en el ciclode vida del proyecto para asegurarse de que existanprocedimientos para cubrir todas las actividadesrelacionadas con la seguridad. A lo largo del proyecto yen intervalos correspondientes deben realizarse auditoríassubsiguientes para asegurarse de que los procedimientosse estén siguiendo y de que se estén llevando a cabo lasrecomendaciones o las actividades de seguimiento.

Gestión de configuración del SIS IEC 61511-1,5.2.7 Deben estar disponibles procedimientos parala gestión de la configuración del sistemainstrumentado de seguridad (SIS) durante elciclo de vida. Debe especificarse lo siguiente:a) la etapa en la que se implemente el control

de configuración formal;b) el método de identificación de las piezas

(hardware y software);c) procedimientos para evitar que entren en

servicio partes no autorizadas.

Gestión de configuración Los procedimientos para la gestión de configuración,la iniciación de la modificación, el procedimiento deaprobación y el aseguramiento del seguimiento depeticiones de cambio probablemente ya existan enun sistema de gestión de calidad típico. Sin embargo, al considerar cambios respecto a una funciónde seguridad, debe existir algún tipo de análisis del impactocon el fin de determinar si el caso podría comprometer laseguridad y a qué punto retornar dentro del ciclo de vida conel fin de empezar el proceso de reevaluación. Puede ser necesario un procedimiento para realizar el análisisde impacto y gestionar la reevaluación.



163

18.3. Requisitos generales

Debe haber una política y una estrategia para lograr la seguridad funcional dentro de laorganización y deben identificarse los medios que se utilizan en la organización paradicha comunicación.

Es importante que la organización desarrolle su propia política de seguridad funcional,ya que esto supondrá que las personas interesadas en la organización reflexionen sobre lo que implica la seguridad funcional en la organización, sobre cómo puede comunicarsedicha información para crear una cultura de seguridad funcional que alcance a toda laorganización en todas las actividades.

18.4. Organización y recursos

Todo el personal de proyecto debe estar identificado conforme a sus competencias y susresponsabilidades deben estar definidas. Las competencias del personal deben quedarregistradas en un registro de competencias y debe existir un procedimiento para revisardichas competencias, para actualizar periódicamente el registro con las experiencias quese vayan acumulando y para revisar las necesidades de formación. Deben definirserequisitos relativos a las competencias para cada rol del proyecto.

La mayoría de las organizaciones que acceden por primera vez a la seguridadfuncional pueden encontrar ventajoso el hecho de asignar una autoridad de seguridad(SA). Esta persona se encargará de la seguridad funcional, de la política corporativa y decomunicaciones, de las fases del ciclo de vida y de la planificación de actividades. Laautoridad de seguridad será independiente respecto a los proyectos.

Con toda probabilidad se tendrá que establecer y gestionar un registro de competenciaso desarrollar un sistema existente para incluir actividades de seguridad funcional yresponsabilidades.

18.5. Implementación y supervisión del proyecto

Si en el alcance existen algunas actividades nuevas, p. ej., HAZOP, entonces debe crearseun procedimiento para abordar HAZOP. Si, por ejemplo, un desarrollo consiste en incluirsoftware de una aplicación relacionada con la seguridad, entonces debe disponerse unprocedimiento para asegurarse que el software se desarrolle conforme a la fase 4 del ciclode vida [11].

18.6. Gestión y modificación de la configuración

Los procedimientos para la gestión de la configuración, la iniciación de la modificación,el procedimiento de aprobación y el aseguramiento del seguimiento de peticiones decambio ya suelen existir en un sistema de gestión de calidad típico.

164



Sin embargo, al considerar cambios respecto a una función de seguridad, debe existiralgún tipo de análisis del impacto con el fin de determinar si el caso podría comprometerla seguridad y a qué punto retornar dentro del ciclo de vida con el fin de empezar elproceso de reevaluación. Puede ser necesario un procedimiento para realizar el análisisde impacto y gestionar la reevaluación.

18.7. Rendimiento del F y M

En función de las fases del ciclo de vida en el alcance, puede ser necesario implementarprocedimientos para tratar, recopilar y mantener la información derivada de: peligros,incidentes y modificaciones. Los procedimientos también pueden describir:

• cómo abordar incidentes peligrosos;• análisis de peligro detectados;• actividades de verificación.

Puede resultar necesario recopilar datos y dar mantenimiento a dichos datos porquedurante la evaluación de seguridad se ha podido asumir que la función de seguridad era,por ejemplo, un sistema de modo a demanda. Al supervisarse la tasa de demanda a la quese somete la función de seguridad se asegura que los objetivos apropiados y las medidasde rendimiento fueron fijadas y siguen siendo válidas.


Referencias

165

19. Referencias

19.1. IEC 61508:2010, Functional Safety of Electrical/Electronic/ProgrammableElectronic Safety Related Systems.

19.2. IEC 615112004: Functional Safety: Safety Instrumented Systems for theProcess Industry.

19.3. Reducing Risks, Protecting People, HSE 2001, ISBN 0 7176 2151 0.

19.4. AIChE Centre for Chemical Process Safety, Layer of Protection Analysis (LOPA),2001

19.5. IEC 61784-3:2010 Industrial Communications Networks. Profiles Part-3:Functional safety Fieldbuses – General Rules and profile Definitions.

19.6. Derivation of the Simplified PFDavg Equations, D Chauhan, Rockwell Automation (FSC).

19.7. General Reliability Calculations for MooN Configurations, KJ Kirkcaldy,Rockwell Automation (FSC).

19.8. Functional Safety: Safety Instrumented Systems for the Process IndustrySector. ANSI/ISA-84.00.01-2004 Part 1 (IEC 61511-1 Mod).

166



20. Definiciones2oo3 Dos de tres circuitos lógicos (circuito lógico 2/3) Un circuito lógico con tres entradas

independientes. La salida del circuito lógico tiene el mismo estado que cualquiera delos dos estados de entrada coincidentes. Por ejemplo, un circuito de seguridad en elque hay tres sensores y una señal de cualquiera de estos dos sensores es necesaria parasolicitar un cierre. Este sistema 2oo3 se considera tolerante a un solo fallo (HFT = 1), es decir, en caso de que uno de los sensores falle peligrosamente, el sistema podríadesconectarse con seguridad. Otros sistemas de votación incluyen 1oo1, 1oo2, 2oo2,1oo3 y 2oo4.

ALARP Tan bajo como resulte razonablemente practicable (As Low As Reasonably Practicable).La filosofía de tratar con riesgos que se hallan entre un extremo superior e inferior. Elextremo superior es donde el riesgo es tan grande que es rechazado completamente,mientras que el extremo inferior es donde el riesgo es o se ha logrado que seainsignificante. Esta filosofía considera los costes y los beneficios de la reducción deriesgos para hacer que el riesgo sea “tan bajo como resulte razonablementepracticable”.

Análisis de árbol deeventos

Método de modelo de propagación de fallos. El análisis construye una imagen en formade árbol de las cadenas de eventos, desde un evento iniciador hasta varios resultadospotenciales. El árbol se expande desde el evento iniciador en ramas de eventos depropagación intermedios. Cada rama representa una situación en la que es posible unresultado distinto. Después de incluir todas las ramas apropiadas, el árbol de eventostermina con múltiples resultados posibles.

Apertura en error Condición en la que el componente de válvula de cierre se sitúa en una posición deapertura cuando falla la fuente de energía de accionamiento.

Arquitectura Estructura de voto de elementos diferentes en una función instrumentada deseguridad. Ver Restricciones arquitectónicas, tolerancia a fallos y 2oo3.

BPCS Ver Sistema básico de control de proceso.

Capa de protección Ver IPL.

Cierre en error Condición en la que el componente de válvula de cierre se sitúa en una posicióncerrada cuando falla la fuente de energía de accionamiento.

Cobertura dediagnóstico

Medición de la capacidad del sistema para detectar fallos. Se trata de una relación entrelas tasas de fallos para fallos detectados y la tasa de fallo de todos los fallos en elsistema.

Cobertura de pruebade calidad

Fallos porcentuales detectados durante el servicio de un equipo. En general se asumeque cuando se lleva a cabo una prueba de calidad se detectan y corrigen los errores enel sistema (cobertura 100% de la prueba de calidad).

Consecuencia Magnitud de daño o medición del resultado de un evento perjudicial. Uno de los doscomponentes utilizados para definir un riesgo.

Diagnósticos D Algunos dispositivos de resolución lógica con clasificación de seguridad estándesignados como dispositivos que tienen diagnósticos con D mayúscula. Se diferenciande los diagnósticos regulares en el hecho de que la unidad es capaz de reconfigurar suarquitectura después de que un diagnóstico haya detectado un fallo. El mayor efecto seaplica en los sistemas 1oo2D que pueden reconfigurarse a funcionamiento 1oo1cuando detectan un fallo seguro. Así pues la tasa de disparos erróneos de un sistema deeste tipo se reduce enormemente.


Definiciones

167

Diagrama de árbol defallos

Método de combinación basado en la probabilidad para valorar probabilidadescomplejas. Dado que adopta generalmente la vista de fallos de un sistema, resulta útilen modelos de modo de fallo múltiple. Se debe proceder con sumo cuidado al usarlopara calcular probabilidades promedio integradas.

Diagrama de bloquesde fiabilidad

Método de combinación basado en la probabilidad para valorar probabilidadescomplejas. Dado que adopta generalmente la vista de “éxito” de un sistema, puederesultar confuso cuando se usa en modelos de modo de fallos múltiples.

Diagrama de causa yefecto

Método utilizado habitualmente para demostrar la relación de las entradas de lossensores respecto a la función de seguridad y a las salidas requeridas. Utilizadofrecuentemente como parte de la especificación de requisitos de seguridad. Lospuntos fuertes del método son bajo nivel de esfuerzo y representación visual clara,mientras que los puntos débiles son formato rígido (algunas funciones no pueden serrepresentadas con diagramas C-E) y el hecho de que puede simplificar excesivamentela función.

Disparo erróneo Ver Fallo seguro

Disponibilidad Probabilidad de que un dispositivo funcione correctamente en un momentodeterminado en el tiempo. Se trata de una medida de “tiempo productivo” y se defineen unidades porcentuales. En la mayoría de componentes de sistemas de seguridadprobados y reparados, la disponibilidad varía como un diente de sierra con el tiemposegún lo dispuesto en los ciclos de prueba de calidad y reparación. Así pues, ladisponibilidad media integrada se usa para calcular la probabilidad media de fallo ademanda. Ver PFDavg.

E/E/PEEléctrico/electrónico/el ectrónicoprogramable

Ver 61508 y 61511.

Estado de seguridad El estado del proceso después de actuar para eliminar el peligro, y que no conllevaningún daño significativo.

Fallo aleatorio Fallo que ocurre en un tiempo aleatorio y que resulta de uno o más mecanismos dedegradación. Los fallos aleatorios se pueden predecir de forma efectiva con estadísticasy son la base para los requisitos de cálculo basados en la probabilidad de fallo ademanda para el nivel de integridad de seguridad. Ver Fallo sistemático.

Fallo de modo común Estrés aleatorio que causa el fallo de dos o más componentes simultáneamente y por elmismo motivo. Difiere de un fallo sistemático en el hecho de que es aleatorio y basadoen la probabilidad, pero no procede conforme a un patrón fijo, predecible y de causa yefecto. Ver Fallo sistemático.

Fallo peligroso Fallo de un componente en una función instrumentada de seguridad que evita quedicha función alcance un estado de seguridad cuando así se requiere. Ver Modo defallo.

Fallo seguro Fallo que no tiene potencial para poner el sistema de seguridad en estado de peligro ode anomalía de funcionamiento. Situación que se da cuando un sistema o componenterelacionado con la seguridad falla a la ejecución, de manera que se requiere ladesactivación del sistema o la activación de la función instrumentada de seguridadcuando no hay ningún peligro presente.

168



Fallo sistemático Fallo que ocurre de manera predecible y determinista (no aleatoria) como resultado deuna causa concreta, y que solo puede eliminarse con la modificación del diseño o delproceso de fabricación, procedimientos operacionales, documentación u otros factoresrelevantes. Dado que estos elementos no son predecibles desde un punto de vistamatemático, el ciclo de vida de la seguridad incluye un gran número de procedimientospara evitar que ocurran. Los procedimientos son más rigurosos para sistemas ycomponentes con un nivel de integridad de seguridad más elevado. Este tipo deerrores no pueden evitarse con una redundancia simple.

Fiabilidad 1. Probabilidad de que un dispositivo lleve a cabo su objetivo de forma adecuada en elperiodo de tiempo especificado, bajo las condiciones de funcionamiento especificadas.2. Probabilidad de que un componente, un elemento de equipo o de sistema lleve acabo su función prevista durante un periodo de tiempo especificado, generalmente lashoras de servicio, sin que se requiera mantenimiento correctivo.

FMECA Análisis de modos de fallo, efectos y nivel de criticidad (Failure Modes Effects andCriticality Analysis). Se trata de un análisis detallado de los diferentes modos de fallo yanálisis de criticidad para un equipo individual.


Ver SFF.

HAZOP Estudio de peligros y operabilidad (Hazards and operability study). Procedimiento deanálisis de peligro relativo al proceso que inicialmente desarrolló ICI en los años 1970. El método está muy estructurado y divide el proceso en distintos nodos operativos einvestiga el comportamiento de las diferentes partes de cada nodo en base a unconjunto de posibles condiciones de desviación o palabras guía.

HFT Tolerancia a fallos de hardware (ver Tolerancia a fallos)

HSE (UK) Autoridad de Salud y Seguridad en el Reino Unido

IEC Comisión Electrotécnica Internacional. Organización mundial para fines denormalización. La finalidad de la IEC es fomentar la cooperación internacional paratodas las cuestiones que atañen a la normalización en los campos eléctrico yelectrónico. Para tal fin y además de otras actividades, la IEC publica normasinternacionales. Ver 61508 y 61511. Actividad de análisis de impacto para determinarel efecto que un cambio en una función o componente tendrá con respecto a otrasfunciones o componentes en el sistema así como en otros sistemas.

IEC 61508 La norma IEC que comprende la seguridad funcional de sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. El principalobjetivo de la norma IEC 61508 es utilizar sistemas instrumentados de seguridad conel fin de reducir el riesgo a un nivel tolerable siguiendo para ello los procedimientosdel ciclo de vida de seguridad generales de hardware y software, y respetando ladocumentación asociada. Desde que fue publicada en 1998 y 2000 viene siendoutilizada principalmente por proveedores de equipos de seguridad con el fin dedemostrar que su equipo es apto para el uso en sistemas clasificados con nivel deintegridad de seguridad.

IEC 61511 La norma IEC para el uso de sistemas eléctricos/electrónicos/electrónicos programablesrelacionados con la seguridad en la industria de proceso. Al igual que la IEC 61508, secentra en un conjunto de procesos relacionados con el ciclo de vida de la seguridad conel fin de gestionar el riesgo del proceso. Fue publicada originalmente por la ComisiónElectrotécnica Internacional en 2003, y adoptada por los EE.UU. en 2004 comoISA 84.00.01-2004. A diferencia de la IEC 61508, esta norma está orientada a los usuariosde sistemas instrumentados de seguridad de la industria de proceso.


Definiciones

169

Incidente Resultado de un evento iniciador cuya propagación no puede evitarse. El incidente es más bien una descripción básica de un accidente no deseado y ofrece informaciónmínima. El término incidente se usa simplemente para transmitir el hecho de que el proceso ha perdido el control sobre el producto químico u otra fuente de energíapotencial. Por tanto el potencial que causa daño se ha liberado, pero el resultadoperjudicial no ha adoptado una forma específica.

Intervalo de pruebade calidad

Intervalo de tiempo entre el mantenimiento del equipo.

IPL Capa o capas de protección independientes. Se refiere a otros métodos de reducción de riesgos que son posibles para un proceso. Los ejemplos incluyen elementos comodiscos de ruptura y válvulas de alivio que reducen independientemente la posibilidadde que el peligro pueda convertirse en un accidente total con un resultado perjudicial.Para ser efectiva, cada capa debe específicamente evitar que el peligro en cuestióncause daño, debe actuar independientemente de otras capas, presentar unaprobabilidad razonable de funcionamiento y ser capaz de ser auditada una vez que laplanta esté en funcionamiento con respecto a su rendimiento original esperado.

Lambda Tasa de fallo de un sistema. Ver Tasa de fallo.

LOPA Análisis de capas de protección. Método de análisis de la posibilidad (frecuencia) de un resultado perjudicial basado en una frecuencia de evento de iniciación y en laprobabilidad de fallo de una serie de capas independientes de protección capaces deevitar el resultado perjudicial.

Modo (continuo) Cuando las demandas de activación de una función de seguridad (SIF) son frecuentesen comparación con el intervalo de prueba de las funciones instrumentadas deseguridad (SIF). Nótese que otros sectores definen un modo de alta demandaindependiente, basado en si los diagnósticos son capaces de reducir la tasa deaccidentes. En cualquier caso, el modo continuo es aquel en el que la frecuencia de un accidente no deseado se determina esencialmente por la frecuencia de un fallopeligroso de función instrumentada de seguridad (SIF). Cuando falla la funcióninstrumentada de seguridad, la demanda de acción correspondiente tiene lugar en un intervalo de tiempo más corto que la prueba de función, por lo que no es relevantehablar de su probabilidad de fallo. Básicamente todos los fallos peligrosos de unafunción instrumentada de seguridad (SIF) en funcionamiento de modo continuo serándescubiertos por una demanda de proceso en lugar de una prueba de función. Vermodo de demanda baja, modo de demanda elevada y SIL.

Modo (demanda baja) (también modo a demanda según IEC 61511) cuando las demandas para activar lafunción instrumentada de seguridad son poco frecuentes en comparación con elintervalo de prueba de las funciones instrumentadas de seguridad. La industria deproceso define este modo cuando las demandas para activar las funcionesinstrumentadas de seguridad son inferiores a uno de cada dos intervalos de pruebade calidad. El modo de demanda baja de la operación es el modo más común en lasindustrias de procesos. Al definir el nivel de integridad de seguridad para el modo dedemanda baja, el rendimiento de una función instrumentada de seguridad (SIF) semide en términos de promedio de probabilidad de fallo a demanda (PFDavg). En estemodo a demanda, la frecuencia del evento iniciador, modificada por la probabilidad defallo a demanda de las funciones instrumentadas de seguridad (SIF) por la tasa dedemanda y cualquier capa de protección en la rama descendente determinan lafrecuencia de accidentes no deseados.

170



Modo (demandaelevada)

(también modo continuo según IEC 61511) Similar al modo continuo salvo que a losdiagnósticos automáticos se les asigna una contabilización específica. La división entredemanda elevada y modo continuo se aplica cuando los diagnósticos automáticos sonejecutados muchas veces más rápido que la tasa de demanda de la función deseguridad. Si los diagnósticos son más lentos que ésta, entonces no se contabilizan y seaplica el modo continuo.

Modos de fallo Manera en la que falla un dispositivo. Estas maneras generalmente están agrupadasen uno de los cuatro modos de fallo: seguro detectado (Safe Detected, SD), peligrosodetectado (Dangerous Detected, DD), seguro no detectado (Safe Undetected, SU) ypeligroso no detectado (Dangerous Undetected, DU) según ISA TR84.0.02.

MTTR Tiempo medio hasta la reparación. Tiempo promedio entre la ocurrencia de un fallo y lafinalización de la reparación de dicho fallo. Incluye el tiempo necesario para detectar elfallo, iniciar la reparación y completar completamente la reparación.

Ocupación Medida de probabilidad de que la zona efecto de un accidente cuente con uno o másreceptores del efecto entre el personal. Esta probabilidad debe determinarse con laaplicación del enfoque teórico y práctico del personal específico de la planta.

P&ID Diagrama de tubos e instrumentación. Muestra la interconexión del equipo del procesoy la instrumentación utilizada para controlar el proceso. En la industria de proceso, unconjunto estándar de símbolos que se utiliza para preparar diagramas de proceso. Lossímbolos de instrumentos utilizados en estos diagramas están basados generalmenteen la norma S5 de la ISA (Instrument Society of America). 1. 2. El diagrama esquemáticoprincipal utilizado para configurar la instalación de un control de proceso.

Peligro Potencial de daños.

PFDavg Promedio de probabilidad de fallo a demanda. Es la probabilidad de que un sistemafalle peligrosamente y no sea capaz de ejecutar la función de seguridad cuando serequiera. La probabilidad de fallo a demanda (PFD) puede determinarse comoprobabilidad promedio o como probabilidad máxima a lo largo de un periodo detiempo. IEC 61508/61511 e ISA 84.01 usan PFDavg como métrica de sistema sobre laque se define el SIL.

Posibilidad Frecuencia de un evento perjudicial expresado habitualmente en eventos por año oeventos por millones de horas. Uno de los dos componentes utilizados para definir unriesgo. Nótese que difiere de la definición inglesa tradicional que significa probabilidad.

Probado en uso Base para utilizar un componente o un sistema como parte de un nivel de integridad deseguridad (SIL) clasificado como sistema instrumentado de seguridad (SIS) que no hasido diseñado de conformidad con IEC 61508. Requiere suficientes horas operacionalesdel producto, historial de revisiones, sistemas de notificación de fallos y datos de fallode campo para determinar si hay evidencia de fallos de diseño sistemático en unproducto. IEC 61508 proporciona niveles de historial operacional requeridos para cadanivel de integridad de seguridad.

Protección en caso defallos (o mejordesenergizar adisparo)

Característica de un dispositivo en particular que hace que el dispositivo pase a unestado seguro cuando pierde energía eléctrica o neumática.


Definiciones

171

Prueba de calidad Prueba de los componentes del sistema de seguridad para detectar cualquier fallo nodetectado por los diagnósticos automáticos en línea, es decir, fallos peligrosos, fallos dediagnóstico, fallos de parámetros seguidos por la reparación de dichos fallos hastaconseguir el equivalente a un estado nuevo. La prueba de calidad es una parte vital delciclo de vida de seguridad y es crítica para asegurar que un sistema consigue el nivel deintegridad de seguridad requerido a lo largo del ciclo de vida de seguridad.

Redundancia Uso de múltiples elementos o sistemas para realizar la misma función. La redundanciapuede implementarse con elementos idénticos (redundancia idéntica) o con diversoselementos (redundancia diversa). Redundancia primaria utilizada para mejorar lafiabilidad o disponibilidad.

Restriccionesarquitectónicas

Limitaciones que se imponen en el hardware seleccionado para implementar unafunción instrumentada de seguridad independientemente del rendimiento calculado para un subsistema. Las restricciones arquitectónicas se especifican (enIEC 61508-2-Tabla 2 y en IEC 61511 Tabla 5) conforme al SIL requerido del subsistema,tipo de componentes utilizados y fracción de fallos seguros de los componentes delsubsistema. Los componentes tipo A son dispositivos simples que no incorporanmicroprocesadores, y los dispositivos tipo B son dispositivos complejos como los queincorporan microprocesadores. Ver Tolerancia a fallos.

RRF Factor de reducción de riesgos. Lo contrario de promedio de probabilidad de fallo ademanda (PFDavg)

Seguridad funcional Ausencia de riesgo inaceptable que se consigue a través del ciclo de vida de seguridad.Ver IEC 61508, IEC 65111, ciclo de vida de seguridad, y riesgo tolerable.

SFF Fracción de fallos seguros. Fracción de la tasa de fallos general de un dispositivo que dalugar a un fallo seguro o a un fallo no seguro diagnosticado (detectado). La fracción defallos seguros incluye los fallos peligrosos detectables cuando dichos fallos sonanunciados y existen procedimientos para reparación o desactivación.

SIF Función instrumentada de seguridad. Conjunto de equipamiento previsto para reducirel riesgo causado por un peligro específico (un bucle de seguridad). Su finalidad es1. Conseguir automáticamente que un proceso industrial vuelva a ser seguro cuando sevulneran las condiciones especificadas; 2. Permitir que un proceso avance de manerasegura cuando las condiciones especificadas lo permiten (funciones permisivas); o3. Adoptar medidas para mitigar las consecuencias de un peligro industrial. Incluyeelementos que detectan que un accidente es inminente, deciden adoptar medidas ya continuación llevan a cabo las acciones necesarias para conseguir que el procesovuelva a ser seguro. Su habilidad para detectar, decidir y actuar es designada por elnivel de integridad de seguridad (SIL) de la función. Ver SIL.

SIL Nivel de integridad de seguridad. Objetivo cuantitativo para medir el nivel derendimiento necesario para que la función de seguridad consiga un riesgo tolerablepara un peligro en el proceso. Al definir un nivel de SIL específico para el proceso debetomarse como base la evaluación de la posibilidad de que ocurra un incidente y lasconsecuencias de dicho incidente. La siguiente tabla describe el SIL para diferentesmodos de funcionamiento.

SIS Sistema instrumentado de seguridad. Implementación de una o más funcionesinstrumentadas de seguridad. Un sistema instrumentado de seguridad (SIS) constade cualquier combinación de sensores, dispositivos de resolución lógica y elementosfinales. Un sistema instrumentado de seguridad (SIS) suele tener un número defunciones de seguridad con distintos niveles de integridad de seguridad (SIL), así quees mejor evitar describirlo como un SIL individual. Ver SIF.

172



Sistema básico decontrol de proceso

Sistema que responde a señales de entrada procedentes del proceso, equipo asociadoy/o un operario, y que genera señales de salida que hacen que el proceso y el equipoasociado funcionen de una manera determinada. El sistema básico de control deproceso (BPCS) no puede ejecutar ninguna función instrumentada de seguridadclasificada con un nivel de integridad de seguridad de 1 o mayor a menos que cumplalos requisitos probados en uso. Ver Probado en uso.

Tasa de fallos Número de fallos por unidad de tiempo de un elemento del equipo. Por regla generalse asume que es un valor constante. Se puede desglosar en varias categorías como:seguro y peligroso, detectado y no detectado e independiente/normal y causa común.Debe prestarse atención a fin de garantizar que la prueba de funcionamiento y eldesgaste se aborden convenientemente para que el supuesto de la tasa de falloconstante sea válido.

Tolerancia a fallos Capacidad de una unidad funcional de continuar ejecutando una función requerida enpresencia de fallos o errores aleatorios. Por ejemplo, un sistema de voto 1oo2 puedetolerar un fallo de componente aleatorio y seguir ejecutando la función. La toleranciaa fallos es uno de los requisitos específicos para el nivel de integridad de seguridad (SIL) y figura descrita en más detalle en IEC 61508 Parte 2, Tablas 2 y 3 y en IEC 61511(ISA 84.01 2004) en la Cláusula 11.4

Verificación del SIL Proceso de calcular la probabilidad promedio de fallo a demanda (o la probabilidadde fallo por hora) y las restricciones arquitectónicas para un diseño de la función deseguridad con el fin de ver si cumple el SIL requerido.


Abreviaturas

173

Abreviaturasλ Tasa de fallo, relación del número total de fallos que ocurren en un período determinado

de tiempoλD Tasa de fallo de fallos peligrososλDD Tasa de fallo de fallos peligrosos detectados mediante diagnósticosλDU Tasa de fallo de fallos peligrosos no detectados mediante diagnósticosλS Tasa de fallo de fallos de seguridad1oo1 Votación 1 de 1 (Simplex)1oo2 1 de 2AI Entrada analógica (Analogue Input)ANSI Instituto Nacional Americano de Normalización (American National Standards Institute)ALARP Tan bajo como resulte razonablemente practicable (As Low As Reasonably Practicable)BMS Sistema de gestión de quemadores (Burner Management System)BPCS Sistema básico de control de proceso (Basic Process Control System)C&E Causa y efecto (Cause and Effect)CBA Análisis de costes y beneficios (Cost Benefit Analysis)CCF Fallo por causas comunesCOMAH Control de principales peligros de accidente (Control Of Major Accident Hazards)DCS Sistema de control distribuido (Distributed Control System)DD Peligroso detectado (Dangerous Detected)DI Entrada digital (Digital Input)DO Salida digital (Digital Output)DU Peligroso no detectadoE/E/PES Sistema eléctrico/electrónico/electrónico programable (Electrical/Electronic/Programmable

Electronic System)ESD Cierre de emergencia (Emergency Shutdown)ESDV Válvula de cierre de emergencia (Emergency Shutdown Valve)F y G Fuego y gas (Fire and Gas)F y M Funcionamiento y mantenimientof/h Fallos por hora (Failures per hour)Fallo peligroso Modo de fallo que tiene el potencial de poner el sistema de seguridad en un estado de

peligro o de fallo de funcionamientoFallo seguro Modo de fallo que no tiene potencial para poner el sistema de seguridad en un estado de

peligro o de fallo de funcionamiento.FC Fallo de cierre (Fail Closed)FDS Especificación de diseño funcional (Functional Design Specification)FMECA Modos de fallo, análisis de efectos y criticidad (Failure Modes, Effects and Criticality Analysis)FO Fallo de apertura (Fail Open)FPL Lenguaje programable fijo (Fixed Programmable Language)FSC Capacidad de seguridad funcional (Functional Safety Capability)FVL Lenguaje de variabilidad completa (Full Variability Language)HAZAN Análisis de peligros (Hazard Analysis)HASAW Ley de Salud y Seguridad en el Trabajo (Health and Safety at Work Act (HSW))HAZOP Estudio de peligros y operabilidad (Hazard and Operability Study)HFT Tolerancia a fallos de hardware (Hardware Fault Tolerance)HIPPS Sistema de protección de presión de alta integridad (High Integrity Pressure Protection

System)HSE Autoridad de Salud y Seguridad en el Reino Unido (Health and Safety Executive)I/O Entrada/salida (Input/Output)IEC Comisión Electrotécnica Internacional (International Electrotechnical Commission)IPL Capa de protección independiente (Independent Protection Layer)ISA Sociedad Internacional de Automatización (International Society of Automation)LOPA Análisis de capas de protección (Layer of Protection Analysis)LVL Lenguaje de variabilidad limitada (Limited Variability Language)MDT Tiempo improductivo medio (Mean Down Time)MooN M de N (caso general)

174



MTBF Tiempo medio entre fallos (Mean Time Between Failures)MTR Riesgo máximo tolerable (Maximum Tolerable Risk)MTTF Tiempo medio hasta el fallo (Mean Time To Failure)MTTR Tiempo medio de reparación (Mean Time To Repair)No RS No relacionado con la seguridadOPSI Oficina de Información del Sector Público (Office of Public Sector Information)P&ID Diagrama de tubos e instrumentación (Piping and Instrumentation Diagram)PA Por año (Per Annum)PE Electrónica programable (Programmable Electronic)PFD Probabilidad de fallo a demanda (Probability of Failure on Demand)PFH Probabilidad de fallo por hora (Probability of Failure per Hour)PSD Cierre del proceso (Process Shutdown)PT Transmisor de presión (Pressure Transmitter)PTI Intervalo de prueba de calidad (Proof Test Interval)QMS Sistema de gestión de calidad (Quality Management System)R2P2 Reducir riesgos, proteger a personas (Reducing Risk Protecting People)RBD Diagrama de bloques de fiabilidad (Reliability Block Diagram)RRF Factor de reducción de riesgos (Risk Reduction Factor)S Seguridad (Safe)SA Autoridad de seguridad (Safety Authority)SFF Fracción de fallos seguros (Safe Failure Fraction)SIF Función instrumentada de seguridad (Safety Instrumented Function)SIL Nivel de integridad de seguridad (Safety Integrity Level)SIS Sistema instrumentado de seguridad (Safety Instrumented System)SOV Válvula accionada por solenoide (Solenoid Operated Valve)SRS Especificación de requisitos de seguridad (Safety Requirements Specification)STR Tasa de activaciones erróneas (Spurious Trip Rate)TMR Triple modular redundante (Triple Modular Redundant)Tp Intervalo de prueba de calidad (Proof Test Interval)



175

176



MAN

UAL

DE

SEG

URI

DAD

DE

PRO

CESO

S 1

Seguridad funcional en la industria de procesoPrincipios, normas e implementación

Publicación: SAFEBK-RM003A-ES-P – Marzo de 2013 © 2013 Rockwell Automation, Inc. Todos los derechos reservados. MA

NU

AL

DE

SEG

URI

DA

D D

E PR

OCE

SOS

1 –

Segu

ridad

func

iona

len

la in

dust

ria d

e pr

oces

os/P

rinci

pios

, nor

mas

e im

plem

enta

ción

También disponible:Manual de seguridad 4 – Sistemas de control relacionadoscon la seguridad de maquinaria.Esta práctica guía trata los principios relativos a la seguridad dela maquinaria, además de la legislación, la teoría y la práctica.Número de publicación: SAFEBK-RM002B

Comuníquese con su representante de Rockwell Automationpara obtener una copia de esta guía, o visitewww.rockwellautomation.com

manual de seguridad de procesos - 01 - vaf

Engineering