seguridad funcional en la instrumentación de procesos con ... · iec 61511 (norma específica de...

Seguridad funcional en lainstrumentación de procesoscon clasificación SILPreguntas, ejemplos, antecedentes

Foll

eto

• A

bri

l 20

07

© Siemens AG 2007

© Siemens AG 2007

Desde la entrada en vigor de la IEC 61508, el tema "Seguridad funcional" ha pasado a primer plano en los procesos industria-les. A menudo se emplea sólo la expresión SIL. Pero, ¿qué sig-nifica exactamente SIL?

En este folleto pretendemos proporcionar una primera visión general sobre el tema, enfocándolo principalmente en la ins-trumentación para la ingeniería de procesos. Queremos expo-ner lo conceptos básicos y para ello no utilizaremos demasiado el lenguaje de la normativa. Por esta razón es posible que los expertos consideren muchas descripciones faltas de precisión o superficiales.

Este prospecto sólo pretende ser una introducción al tema. Para obtener una información más precisa debe consultarse la correspondiente bibliografía y las normas pertinentes. En con-secuencia, los ejemplos de cálculo que aquí se ofrecen deben entenderse sólo como procedimiento básico o de principio y no pueden emplearse como referencia para cálculos "auténticos".

Este folleto se ha redactado con el mayor cuidado. No obstan-te, pueden haberse infiltrado errores. Declinamos toda res-ponsabilidad derivada en este sentido.

2 Prólogo

© Siemens AG 2007

Contenido

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Seguridad funcional. . . . . . . . . . . . . . . . . . . . . . . . . . 6

¿Para quién es relevante la IEC 61508? . . . . . . . . . . 7

Sistema instrumentado de seguridad (SIS). . . . . . . 8

Safety Integrity Level. . . . . . . . . . . . . . . . . . . . . . . . . 9

Cálculo del índice SIL necesario . . . . . . . . . . . . . . . . 9

Low Demand y High Demand Mode . . . . . . . . . . . 12

Comparación entre SIL y AK . . . . . . . . . . . . . . . . . . 13

¿A quien afecta la clasificación SIL?. . . . . . . . . . . . 14

¿Qué dispositivos pueden emplearse con los diferentes SIL? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

¿Si dos dispositivos SIL 2 operan con redundancia, tengo automáticamente SIL 3? . . . . 14

Dimensionado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Tipos de error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Ejemplos de cálculo (errores aleatorios) . . . . . . . . 16

Comprobación y certificación. . . . . . . . . . . . . . . . . 18

¿Tiene ventajas tener el SIL más alto posible? . . . 18

¿Por qué es ventajoso para un operador tener una instalación conforme a SIL/SIS?. . . . . . . . . . . . 18

¿Qué grado de seguridad ofrece la comunicación por bus? . . . . . . . . . . . . . . . . . . . . . . 19

Evaluaciones por parte de los fabricantes . . . . . . 20

¿Qué certificados son necesarios? ¿Quién los puede expedir?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Posibilidades de configuración (monocanal/redundante) . . . . . . . . . . . . . . . . . . . . 21

¿Qué se puede evaluar?. . . . . . . . . . . . . . . . . . . . . . 22

Instalaciones nuevas - Instalaciones antiguas (protección de activos existentes) . . . . . . . . . . . . . 22

Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Prólogo 3

© Siemens AG 2007

Peligro y riesgo

En la vida diaria estamos continuamente expuestos a diferen-tes peligros. La amplitud de gama de estos peligros abarca has-ta catástrofes graves que pueden tener consecuencias graves para la salud de las personas y para el medio ambiente. No siempre tenemos la posibilidad de eludir un peligro y los ries-gos que conlleva. Así, por ejemplo, una gran parte de la pobla-ción mundial convive con los peligros de terremotos o inunda-ciones. No existen medidas de protección contra los sucesos, pero sí que existen medidas de protección contra las amenaza-doras consecuencias de dichos sucesos (por ejemplo presas y diques o edificios construidos a prueba de sísmos).

Definición de riesgo:

Riesgo = Probabilidad de que se produzca un suceso peligroso x consecuencias (costes) de un suceso peligroso

El riesgo remanente aceptado depende de los factores siguientes:

■ Región/País

■ Sociedad de la correspondiente región/país

■ Leyes

■ Costes

La estimación de este riesgo remanente aceptado debe efec-tuarse individualmente. Lo que para uno es aceptable, para el otro ya es inaceptable.

Reducción del riesgo

Por consiguiente, en la vida diaria se valoran muchos peligros en función de su riesgo y, consecuentemente, se aceptan o no se aceptan. Si alguien planea un viaje largo, eligiendo selecti-vamente los medios de transporte puede influir sobre el riesgo de un accidente. El viajero puede reducir el peligro hasta un riesgo remanente aceptable para él. Pero siempre queda un riesgo remanente.

Medidas de protección

Nos podemos proteger reduciendo la probabilidad de ocurren-cia de un peligro o limitando su efecto.

En nuestro mundo cada vez más dominado por la técnica, te-nemos la posibilidad de detectar peligros con sistemas electró-nicos y reducir riesgos para las personas y para el medio ambiente.

Un ejemplo sencillo:Para reducir el riesgo de daños por incendio, en un edificio se pueden adoptar diferentes medidas de protección.

Así por ejemplo, al proyectar el edificio se pueden prever las correspondientes salidas de emergencia y vías de escape. Los sensores de humo pueden activar una alarma que avisa de un peligro a las personas que se encuentran dentro y fuera del edificio. La instalación de puertas cortafuegos y la utilización de materiales no combustibles impiden la propagación de un incendio.

Los aspersores automáticos extinguen las llamas y los extinto-res también están preparados para luchar contra el incendio. Este ejemplo pone de manifiesto que hay múltiples posibilida-des de reducción del riesgo. Al materializarse, las medidas de protección se adaptan a los correspondientes requisitos, pues los riesgos de un almacén no son los mismos que los de un edi-ficio de viviendas.

Medidas de protección en la industriaEn la industria hay muchas máquinas e instalaciones que po-seen diferentes potenciales de peligro. Para proteger contra daños a las personas y al medio ambiente, pero también a las máquinas e instalaciones, se determinan los riesgos y seguida-mente se reducen adoptando las medidas de protección apropiadas.

Representación de la reducción del riesgo

Riesgo remanente

Detectores de humos

Instalación de sprinklers

Salidas de emergencia

Otras medidas(extintores,materiales no combustibles)

Rie

sgo

sin

tom

ar m

edid

as

de

pro

tecc

ión

Rie

sgo

sin

tom

arm

edid

as d

e p

rote

cció

n

Riesgo remanente aceptable

Riesgo sin tomarmedidas de protección

Rie

sgo

Med

idas

de

pro

tecc

ión

4 Introducción

© Siemens AG 2007

Las medidas a adoptar para reducir un riesgo pueden ser muy simples, pero también pueden ser muy complejas.

Ejemplos:

■ Medidas constructivas (p. ej., levantar muros de hormigón alrededor de plantas de producción)

■ Distribución de los peligros

■ Planes de evacuación

■ Dispositivos de control y de protección en versión de seguridad

■ ... y muchas otras

Como se puede observar en estos ejemplos, las medidas que reducen el riesgo se han de asignar a soluciones en parte to-talmente diferentes. Estas soluciones o planteamientos se identifican también como niveles de protección. Estos diferen-tes niveles de protección se han de configurar jerárquicamen-te y se han de contemplar independientemente entre ellos. Si un nivel de protección falla, interviene automáticamente el ni-vel de protección inmediato superior para limitar o evitar los daños.

En el modelo de niveles de protección siguiente se puede ver qué tipos de medidas de protección existen típicamente y en qué orden secuencial se han de clasificar:

Los niveles de protección son independientes entre sí en cuan-to a su función. Por eso, dispositivos de regulación y control del nivel más bajo, por regla general no se emplean simultá-neamente para aplicaciones de seguridad de un nivel superior.

La reducción global del riesgo resulta de la adopción de las me-didas de los distintos niveles de protección y, en última instan-cia, debe resultar un riesgo remanente aceptable.

Representación de la reducción del riesgo

Las medidas que en última instancia se adoptan dependen fre-cuentemente de la magnitud del riesgo remanente que aún puede aceptarse y del coste (también de tipo financiero) que hay que asumir para ello. Para ello, los dispositivos de control y protección de seguridad en máquinas e instalaciones pueden contribuir en gran medida a la reducción del riesgo.

Plan de emergencia

Medidas mec.pasivas de protección

(p. ej. balsa de acumulación)

Medidas mecánicasactivas de protección

(p. ej. válvula de sobrepresión)

Sistema instrumentadode seguridad (SIS)

Nivel de alarma

Nivel de control y regulación

Riesgo sin tomar medidas de protección

Riesgo tomando medidas de protección

Ries

go

Ries

go re

-m

anen

te

Proc

eso

no

aseg

ura

do

Instalaciones públicas de emergencia

Medidas mecánicaspasivas de protección

Medidas mecánicasactivas de protección

Sistema electrónico para seguridad(parada de emergencia)

Med

idas

de

prot

ecci

ón

Introducción 5

© Siemens AG 2007

Los sistemas de automatización se hacen cargo, cada vez más, de tareas relevantes para la seguridad. Así pues, los procesos de los cuales puede originarse un peligro para las personas y el medio ambiente, son vigilados actualmente por sistemas de seguridad. En caso de avería, éstos intervienen en el proceso y pueden reducir el riesgo de un estado peligroso. La seguridad funcional es el correcto funcionamiento de estos dispositivos.

Hasta ahora había normas nacionales para la planificación, la construcción y la operación de las instalaciones de seguridad. Así por ejemplo, para el mercado alemán, los fabricantes y usuarios de dichas instalaciones pudieron remitirse a las nor-mas de seguridad DIN/VDE 19250, DIN/VDE 19251 y DIN/VDE 801. Con estas normas se describía el dimensiona-miento de los dispositivos relevantes para la seguridad me-diante las clases de seguridad (AK 1-8).

Puesto que muchos países tenían normas distintas para el co-rrecto funcionamiento de dispositivos de seguridad, se emitió por este motivo en el año 1998 una norma básica IEC para se-guridad funcional válida para todo el mundo. A partir de esta norma nació una serie de normas en las que se definieron los requisitos organizativos y técnicos exigidos a las instalaciones de seguridad y a su implantación.

El 01.08.2004 se aprobó una norma unificada para plantas de la industria de procesos. Para la instrumentación de procesos son relevantes las dos normas siguientes:

■ IEC 61508 (norma básica)Es válida en todo el mundo como base para especificacio-nes, diseño y operación de sistemas de seguridad (Sistemas instrumentados de seguridad, SIS).

■ IEC 61511 (norma específica de cada aplicación para la in-dustria de procesos)Implementación de la IEC 61508 para la industria de procesos

Normas que se emplean para la seguridad funcional

IEC 61511 IEC 61513IEC 62061

IEC 61508Norma básica (válida para todas las industrias)

Industria de procesos Industria nuclearSeguridad enmáquinas

Otras normas

6 Seguridad funcional

© Siemens AG 2007

¿Para quién es relevante la IEC 61508?

Mediante un análisis de peligros y de riesgos se pueden deter-minar todos los peligros que se originan en una instalación y sus sistemas de control asociados. De este modo se analiza si es necesaria la seguridad funcional para garantizar una protec-ción razonable contra los posibles peligros. Si este fuera el ca-so, deben incorporarse al desarrollo de esta instalación los conceptos asociados de una manera razonable.

La seguridad funcional es sólo una de las posibilidades que existen para manejar estos riesgos. Hay también otros proce-dimientos de importancia básica, como por ejemplo la seguri-dad inherente realizada durante el desarrollo La IEC 61508 de-fine unos métodos adecuados para alcanzar la seguridad fun-cional para los sistemas afectados.

¿Qué sistemas se ven afectados por la IEC 61508?

La IEC 61508 se ha de emplear en sistemas relacionados con la seguridad si éstos contienen uno o más de los dispositivos siguientes:

■ Dispositivos eléctricos (E)

■ Dispositivos electrónicos (E)

■ Dispositivos electrónicos programables (PE)

La norma contempla los posibles riesgos que se originan como consecuencia del fallo de funciones de seguridad. No están cu-biertos los peligros originados por los propios dispositivos E/E/PE, como por ejemplo el choque eléctrico (electrocución). La norma es utilizable en general en sistemas E/E/PE relaciona-dos con la seguridad, independientemente de la correspon-diente aplicación.

Seguridad funcional 7

© Siemens AG 2007

Sistema instrumentado de seguridad (SIS)

Un sistema instrumentado de seguridad (SIS) se utiliza para proteger un proceso peligroso y para reducir el riesgo de un accidente.

Los instrumentos de proceso forman parte de un sistema ins-trumentado de seguridad. Éste consta de los componentes esenciales de una unidad de proceso completa de seguridad:

■ Sensor

■ Unidad de procesamiento de seguridad

■ Actuador

Componentes de un SIS

Todas las unidades combinadas dan como resultado un SIS. Para poder valorar un SIS en cuanto a su seguridad funcional, debe considerarse la cadena de procesamiento (desde el sen-sor hasta el actuador) en su conjunto.

Representación de un SIS

Dentro de un SIS pueden emplearse varios sensores, actuado-res o componentes de control.

En ciertas condiciones, dentro de una instalación pueden estar unidos entre sí componentes de seguridad con componentes que no son de seguridad. Para el SIS se tienen en cuenta sola-mente los componentes relevantes para la seguridad.

Señales procesadas en una instalación

Controlador(p.ej. PLC de seguridad)

Sensores Actuadores

+ +

ControladorSensores Actuadores

¡Los componentes de comunicacionesdeben considerarse también!

+ +

Señales no importantes

para seguridad

Señales importantes para la seguridad(p.ej. elem. de corte de emergencia)

ControladorSensores(p.ej. transmisor de presión)

Actuadores(p.ej. válvula conposicionador)

Sensores(p.ej. interruptor de nivel)

8 Seguridad funcional

© Siemens AG 2007

Cálculo del índice SIL necesario

Las instalaciones o las unidades de las mismas son el origen de diferentes riesgos. Por consiguiente, cuanto mayores son los riesgos, mayores son también los requisitos impuestos a la se-guridad frente a fallos del sistema instrumentado de seguridad (SIS). Las normas IEC 61508 y IEC 61511 definen cuatro nive-les de seguridad diferentes, que describen las medidas para la reducción del riesgo de estos componentes. Estos cuatro nive-les de seguridad son el denominado Safety Integrity Level, SIL.

Cuanto más alta es la cifra del Safety Integrity Level (SIL), tanto mayor es la reducción del riesgo. El índice SIL representa, por consiguiente, la probabilidad de que el sistema de seguridad cumpla correctamente las funciones de seguridad requeridas durante un determinado intervalo de tiempo.

Para calcular el SIL necesario de una instalación o de una parte de la instalación, hay diferentes metodologías. En las normas IEC 61508 y IEC 61511 (Aplicación de la IEC 61508 para la in-dustria de procesos) se indican diferentes métodos para defi-nir el índice SIL. Puesto que la temática es muy compleja, aquí se ofrece sólo al nivel necesario para la comprensión básica.

Una metodología cuantitativa

El riesgo de un proceso peligroso viene determinado por la probabilidad con la que puede producirse un suceso peligroso sin que haya medidas de seguridad, multiplicado por el efecto del suceso peligroso. Debe determinarse cuan alta es la proba-bilidad que puede conducir a un estado peligroso. Esta proba-bilidad puede estimarse empleando métodos de valoración de riesgo cuantitativos y fijarse con un valor límite numérico.

La probabilidad se puede determinar mediante:

■ Análisis de las tasas de fallo en situaciones comparables

■ Datos contenidos en bases de datos relevantes

■ Cálculo empleando métodos de predicción adecuados

Los métodos de cálculo precisos no pueden seguir tratándose aquí y, si se precisa, se describen con mayor detalle en la IEC 61508 en parte 5.

Una metodología cualitativa

La metodología cualitativa es un modelo simplificado que ilus-tra perfectamente el SIL requerido para cada riesgo.

Determinación del índice SIL según la"métodología cualitativa"

Grado de los daños

Ca lesiones leves de una persona, pequeños daños medioambientales

Cb lesiones graves o muerte de una persona

Cc Muerte de varias personas

Cd Muerte de muchas personas

Duración de la estancia de una persona en la zona peligrosa

Aa ocasional a frecuente

Ab frecuente a permanente

Eliminación del peligro

Ga posible en determinadas condiciones

Gb apenas posible

Probabilidad de ocurrencia

W1 muy reducida

W2 reducida

W3 relativamente alta

W3

W2 W

1

a

1

2

3

4

b

a

1

2

3

4

–

a

1

2

3

–

–

Ca

Cb

Cc

Cd

Ab

Aa

Ab

Aa

Ab

AaGa

Gb

Ga

Gb

Ga

Gb

Ga

Gb

a: sin requisitos especiales de seguridadb: no basta un único SIS1, 2, 3, 4: Safety Integrity Level (SIL)

Punto departidapara laestimaciónde riesgos

Safety Integrity Level 9

© Siemens AG 2007

Un pequeño ejemplo...

... de cómo asignar un índice SIL.

En una industria química debe montarse una nueva planta de producción.

El procedimiento empleado para la fabricación del producto químico determina el diseño de la planta. Puesto que, por prin-cipio, con la operación de una planta de dichas características puede originarse un peligro para las personas y para el medio ambiente, deben considerarse los posibles riesgos y efectos y, dado el caso, deben incorporarse al proyecto las medidas de protección adecuadas. A título de ejemplo se contempla aquí una columna de separación.

Para contemplar los riesgos de seguridad que pueden originar-se debido a la operación de la columna de separación, se rea-liza un análisis HAZOP (Hazard and Operability Study). Para contemplar el número mayor posible de los diferentes aspec-tos del riesgo de seguridad, la observación la realizan diversos expertos, tales como ingenieros químicos, ingenieros de ope-ración, expertos en seguridad industrial, técnicos, personal operador, dirección de planta, etc. Conjuntamente se realiza un análisis de peligros (observación de fallos) a partir de los di-ferentes puntos de vista y de él se deducen las medidas de pro-tección y de corrección necesarias.

Esquema de la columna de separación

TIR

009

PI ZA+

010

FIC

002

LSA+

005

LIC

004

LIC

007

TIC

008

FIC

001

FIC

003

TIC ZA+

006

TI

011

Columna

Salida de aire

Vapor de caldeo

Condensador

Evaporador

Tanque decondensado

Condensado

Producto decantado

Agua de refrigeración

Entrada

Producto cabeza

10 Safety Integrity Level

© Siemens AG 2007

Del análisis de peligros resulta una observación de fallos, de la cual se representa aquí un extracto:

Como relevante para la seguridad se ha identificado el punto de medición de monitoreo de la presión en la cabeza de la co-lumna (010) y el monitoreo de temperatura en el fondo de la columna (006). Se hizo especial hincapié en la presencia de una válvula de seguridad del monitoreo de presión.

En combinación con el gráfico para el cálculo del índice SIL ne-cesario en la página 9, resultan las correspondientes clasifica-ciones en la columna de separación para el monitoreo de pre-sión y temperatura.

N.º Fallo Causa(s) Efecto(s) Medida(s) correctiva(s)

1 Productos de entrada a la columna erróneos o con impurezas

Modificación de la composición de la mezcla en la corriente pro-cedente de unidades de proce-so aguas arriba.

Aumento de temperatura/pre-sión en la columna

❥ Las modificaciones en la composi-ción en la entrada no se producen repentinamente sino progresiva-mente y se detectan durante los análisis periódicos de calidad.

2 Corte de corriente Defecto eléctrico local o a nivel de planta

Fallo de la refrigeración y del caldeo así como de las bombas, dado el caso, aumento de pre-sión y de temperatura

❥ Toda la valvulería pasa a la posi-ción de seguridad.

❥ La columna pasa automáticamen-te a un estado seguro (si el caldeo se desconecta y la entrada se cierra).

3 Rebose en el colector de decantación de la columna

Fallo en lazo de regulación de nivel LIC 004

Inundación de los fondos infe-riores de la columna con peligro de destrucción de los fondos

❥ La protección contra rebose LSA+ 005 cierra la válvula del va-por de caldeo y la válvula de entrada

4 Rebose del depósito de condensado

Fallo en lazo de regulación de nivel LIC 007

Inundación del condensador y pérdida de capacidad de refri-geración, aumento de tempera-tura en la columna

❥ Ver temperatura excesiva en la columna

5 Temperatura excesiva en la columna

Fallo del agua de refrigeración en el condensador de cabeza

Aumento de la presión y des-carga a la salida del vapor de bajo punto de ebullición, Caso A) Con válvula de seguri-dad: Actuación de la válvula de seguridad y liberación de mate-rial al medio ambienteCaso B) Sin válvula de seguri-dad: Exceso de la presión máxi-ma admisible por la columna con pérdida de integridad

❥ El monitoreo de presión PI ZA+ 010 cierra las válvulas del va-por de caldeo y de entrada

❥ Muchos puntos de medición de temperatura para una rápida reac-ción del personal de operación en caso de un aumento inusual de la temperatura.

6 Temperatura excesiva en colector de decantación

Fallo de regulación en entrada de vapor de caldeo

Sobrecalentamiento del pro-ducto del colector por encima de la temperatura máxima ad-misible, reacción de descompo-sición con producción de gas, aumento de la presión por enci-ma de la presión máxima que admite el recipiente

❥ El monitoreo de temperatura TIC ZA+ 006 corta el vapor de caldeo

Monitoreo de presión Tempera-turacon

válvula de seguridad

sin válvula de seguridad

Grado de los daños Cb Cc Cc

Tiempo de perma-nencia en la zona de peligro

Ab Ab Ab

Posibilidad de elimi-nación del peligro

Gb Gb Gb

Probabilidad de ocu-rrencia del suceso

W2 W2 W1

Safety Integrity Level SIL 2 SIL 3 SIL 2


© Siemens AG 2007

Low Demand y High Demand Mode

Puesto que las aplicaciones en la industria de procesos y en la industria manufacturera son bastante diferentes, también al SIS se le exigen requisitos distintos. Por este motivo, para cada una de estas dos ramas de la industria hay un sistema diferen-te en el que se fija el nivel de demanda al SIS. Se diferencian los sistemas por la probabilidad de fallos bajo demanda del SIS (PFD, Probability of Failure on Demand).

Low Demand

Tipo de operación con nivel de demanda bajo al sistema de se-guridad. No se debe demandar la intervención del sistema de seguridad más de una vez al año.

High Demand

Modo de operación con nivel de demanda alto o demanda continua al sistema de seguridad. El sistema de seguridad tra-baja continuamente o se demanda su intervención más de una vez al año.

En manufactura se emplea en la mayoría de los casos el modo High Demand (continuous mode). Aquí es necesario a menu-do un monitoreo continuo de los procesos de trabajo para po-der garantizar la seguridad de las personas y del medio ambiente.

En la industria de procesos se utiliza típicamente el modo Low Demand (on demand). Un ejemplo típico lo constituyen los sistemas de desconexión de emergencia que sólo se activan cuando el proceso pasa a estar fuera de control. Normalmen-te, esto sucede menos de una vez al año. Por este motivo, para la instrumentación de procesos el modo High Demand carece de significado en la mayoría de casos.

Por eso las consideraciones en este folleto se refieren ex-clusivamente a sistemas Low Demand.

SIL PFD Fallo máx. aceptado del SIS

SIL 1 ≥ 10-2 a < 10-1 un fallo peligroso en 10 años

SIL 2 ≥10-3 a < 10-2 un fallo peligroso en 100 años

SIL 3 ≥ 10-4 a < 10-3 un fallo peligroso en 1000 años

SIL 4 ≥10-5 a < 10-4 un fallo peligroso en 10000 años

Valores límite de fallo para una función de seguridad que se hace operar en el modo de operación con nivel de demanda bajo (Low Demand)

SIL PFH (por hora) Fallo máx. aceptado del SIS

SIL 1 ≥ 10-6 a < 10-5 un fallo peligroso en 100.000 horas

SIL 2 ≥10-7 a < 10-6 un fallo peligroso en 1.000.000 horas



Valores límite de fallo para una función de seguridad que se hace operar en el modo de operación con nivel de demanda alto o continuo (High Demand)


© Siemens AG 2007

Comparación entre SIL y AK

DIN 19250/19251 y DIN 0801 eran normas de la industria ale-mana y se emplearon como base para la valoración de produc-tos seguros, antes de introducirse la norma internacional IEC 61508.

Clases de demanda (AK) definidas en DIN 19250 en lugar de los niveles de integridad de seguridad (SIL 1 - 4) de la nueva norma internacional IEC61508.

El principio básico en la aplicación de clases de demanda (AK) se basaba en que mediante el uso exclusivo de dispositivos de una clase de demanda, también el sistema completo cumplía esta clase de demanda. Además se consideraron exclusiva-mente los componentes de cálculo de un SIS.

En la aplicación con SIL se hacen dos consideraciones:

1. Consideración de los fallos sistemáticosAquí ocurre, como en la aplicación con AK, que mediante el enlace de todos los componentes importantes de una clase SIL, el sistema global también cumple las demandas a la clasificación SIL.

2. Consideración de fallos aleatoriosAquí se calcula el SIS completo. Puede ocurrir, por ejemplo, que a pesar de la clasificación de todos los dispositivos en una clase SIL, las demandas no se cumplen.

SIL

El SIS se considera en su totalidad. Debe calcularse la probabi-lidad de fallo y, con ello, el nivel SIL. Para ello se suman las pro-babilidades de fallo individuales de todos los componentes del SIS empleados. También puede suceder que, a pesar del uso exclusivo de componentes SIL 2, no se alcance el nivel SIL 2 en un SIS. Además deben considerarse también los fallos sistemá-ticos del SIS completo.

AK

En un SIS se consideran sólo los componentes de los compu-tadores. Por ejemplo, para dimensionar adecuadamente una instalación AK4, todos los componentes correspondientes de-ben también ser como mínimo AK4.

La tabla siguiente ilustra una comparación de las clases de de-manda AK con el Safety Integrity Level.

DIN19250Clase de requisito

IEC61508Safety Integrity Level

AK 1 no definido

AK 2AK 3

SIL 1

AK 4 SIL 2

AK 5AK 6

SIL 3

AK 7AK 8

SIL 4

Comparación AK (DIN 19250) y SIL (IEC 61508)(en algunos pocos casos puede no concordar)


© Siemens AG 2007

¿A quién afecta la clasificación SIL?

¿Qué dispositivos pueden em-plearse con los diferentes SIL?

En instalaciones que deben cumplir condiciones técnicas de seguridad, las partes implicadas están afectadas por diferentes motivos:

■ Operadores de instalacionesEstablecen los requisitos que han de cumplir los proveedo-res de componentes de seguridad. Éstos deben documen-tar el potencial de riesgo remanente.

■ Constructores de instalacionesDeben dimensionar adecuadamente la instalación.

■ ProveedoresConfirman la clasificación de sus productos.

■ Aseguradoras, autoridadesExigen la demostración de que se ha realizado una reduc-ción suficiente del riesgo remanente de la instalación.

Para poder alcanzar un nivel (SIL 1 - 4), el SIS completo debe cumplir los requisitos para fallos sistemáticos (especialmente el software) y fallos aleatorios (hardware). Por consiguiente, el resultado del cálculo del SIS completo debe atenerse al SIL requerido.

En la práctica, esto depende principalmente del diseño con-ceptual de la instalación o del circuito de medición. Así, en una instalación SIL 3 pueden emplearse también dispositivos SIL 2. Con dispositivos SIL 1 no se cumplen generalmente los requisitos.

En muchos casos resulta ventajoso emplear dos sensores, ya que el operador de la instalación exige redundancia por moti-vos de disponibilidad. Una pequeña ventaja adicional radica en que el coste de dos dispositivos SIL 2 en la mayoría de los casos es más favorable que para un dispositivo SIL 3.

SIL 4 no es realizable con dispositivos tradicionales.

,No. En principio se puede decir que la probabilidad de fallo del SIS completo debe conducir por cálculo a SIL 3. Mediante la operación redundante de dispositivos SIL 2 se puede reducir la probabilidad de fallo para fallos aleatorios. Pero para saber si es suficiente para SIL 3, debe determinarse contemplando los fallos sistemáticos y los aleatorios. Por lo que respecta a los fa-llos sistemáticos (p. ej. software) el sistema completo debe cumplir también los requisitos para SIL 3.

Análogamente, esta forma de proceder es aplicable también para otros niveles SIL.

¿Si dos dispositivos SIL 2 operan con redundancia, tengo automáticamente SIL 3?

?SIL2 SIL2


© Siemens AG 2007

Tipos de errores

En un sistema instrumentado de seguridad se diferencia entre errores sistemáticos y errores aleatorios. Para poder cumplir un nivel SIL exigido, deben considerarse independiente-mente entre sí los dos tipos de error.

Errores aleatorios

En el momento de la entrega no existen errores aleatorios. Son el resultado de averías del hardware y se originan aleatoria-mente durante el funcionamiento. Los errores aleatorios pue-den consistir, p.ej. en: Cortocircuito, interrupción, deriva de valores de un componente... La probabilidad de los errores y, con ella, el valor de la probabilidad de fallo es calculable. Se calculan los valores para los diferentes componentes de hard-ware de un SIS. Los resultados obtenidos a partir de este cálcu-lo se expresan mediante el valor PFD (average probability of fa-ilure on demand) y constituyen la base de cálculo para la determinación del índice SIL.

Errores sistemáticos

Todos los dispositivos suministrados contienen errores siste-máticos en el momento de la entrega. Típicamente son errores de desarrollo o errores en el diseño o en la configuración. Constituyen ejemplos de los mismos los errores de software, un dimensionamiento incorrecto, un diseño incorrecto del ins-trumento de medida... . Los errores de software de los dispo-sitivos representan la mayor parte de los errores sistemáticos. La consideración básica en los errores de software sistemáti-cos es que los errores en la programación también pueden ori-ginar un fallo en el proceso.

Errores de causa común

Unos errores sistemáticos especiales son los "errores de causa común". Son errores causados por factores externos como, por ejemplo, perturbaciones electromagnéticas (CEM) u otros fac-tores medioambientales, como por ejemplo la temperatura o las solicitaciones mecánicas. Repercuten simultáneamente so-bre todos los componentes de un "Safety Instrumented System" (sistema instrumentado de seguridad).

Los errores sistemáticos deben evitarse adoptando medidas especiales durante la etapa de desarrollo. Forman parte de ellas, por ejemplo, los requisitos cualitativos que la norma IEC exige al proceso de desarrollo, al proceso de modificaciones y a la arquitectura de hardware/software del dispositivo.

Los fabricantes del dispositivo deben proporcionar los datos sobre la clasificación SIL en lo relativo a los errores sistemáti-cos. Por regla general, estos datos se incluyen en la declara-ción de conformidad de los distintos dispositivos. Dependien-do del SIL, los datos se proporcionan también por mediación de certificados de organismos independientes externos como el TÜV o certificaciones de empresas especializadas en ensa-yos como exida.

Estos datos no son valores para cálculos ulteriores sino que sólo proporcionan información sobre la clasificación SIL del dispositivo en lo relativo a los errores sistemáticos.

Para poder satisfacer los requisitos exigidos en cuanto a erro-res sistemáticos para un SIL determinado (p. ej., SIL 3), debe dimensionarse convenientemente el SIS completo. El modo de proceder más simple, en este caso, consiste en que todos los componentes tengan una clasificación SIL 3 para errores sistemáticos.

Redundancia diversificada con errores sistemáticos

Sin embargo, existe también la posibilidad de utilizar compo-nentes SIL 2, si se han adoptado medidas que no permiten que se produzca un error sistemático en el nivel SIL 2. Si por ejem-plo se han de utilizar instrumentos de medida de presión SIL 2 en un SIS SIL 3, deberá emplearse un software distinto del dis-positivo. Esto se consigue, por ejemplo, empleando dos dispo-sitivos distintos, a ser posible de distintos fabricantes (redun-dancia por diversificación, ver también la figura de la página 21). Puede considerarse también que hay redundancia diversificada cuando, en lugar de utilizar dispositivos distintos se emplean tecnologías distintas (siempre que sea posible), por ejemplo con un instrumento de medida de presión o de temperatura.

Dimensionado 15

© Siemens AG 2007

Ejemplos de cálculo (errores aleatorios)

Cálculo de un SIS con un sensor SIL 2

Valores dados:

PFDsist.= PFDS + PFDL + PFDA

PFDsist. = 1,5 * 10-3 + 1,3 * 10-4 + 7,5 * 10-4

PFDsist. = 2,38 * 10-3 (SIL 2)

Empleando estos componentes, el SIS alcanza el PFD para SIL 2.

Cálculo de un SIS exclusivamente con componentes SIL 3

Valores dados:

PFDsist. = PFDS + PFDL + PFDA

PFDsist. = 6,09 * 10-3+ 1,3 * 10-4 + 5,0 * 10-4

PFDsist. = 1,24 * 10-3 (SIL 2)


Este ejemplo pone de manifiesto claramente que, a pesar de utilizar exclusivamente componentes SIL 3, el SIS no al-canza el PDF para SIL 3.

PFD sensor A 1,5 * 10-3 (apropiado para SIL 2)

PFD controlador 1,3 * 10-4 (apropiado para SIL 3)

PFD actuador 7,5 * 10-4 (apropiado para SIL 3)

SIL PFD

SIL 1 ≥ 10-2 a < 10-1

SIL 2 ≥ 10-3 a < 10-2

SIL 3 ≥ 10-4 a < 10-3

SIL 4 ≥ 10-5 a < 10-4

Ejemplo de sensor 1oo1(de 1 unidad disponible es necesaria 1 unidad para función)

Sensor ASIL 2

Controlador (p.ej. PLC)SIL 3

ActuadorSIL 3

PFD sensor B 6,09 * 10-4 (apropiado para SIL 3)



SIL PFD

SIL 1 ≥ 10-2 a < 10-1

SIL 2 ≥ 10-3 a < 10-2

SIL 3 ≥ 10-4 a < 10-3

SIL 4 ≥ 10-5 a < 10-4

Ejemplo de sensor 1oo1(de 1 unidad disponible es necesaria 1 unidad para función)

Sensor BSIL 3


ActuadorSIL 3

Nota importante: ¡Los cálculos que se muestran se refieren exclusivamente a los errores aleatorios! La comprobación de que un SIS cumple también realmente los requisitos de un SIL exigido, debe realizarse además en relación a los errores sistemáticos.

Observación:

Los ejemplos que aquí se muestran están representados de forma muy simplificada y sirven exclusivamente para la com-prensión básica. ¡Para un cálculo exacto no puede hacerse uso de estos ejemplos!

En los ejemplos de cálculo se emplean las abreviaturas siguientes:

Abreviatura Explicación

PFD Valor medio de la probabilidad de fallo de la función bajo demanda

PFDsist. Probabilidad de fallo del sistema (del SIS completo)

PFDS Probabilidad de fallo del sensor

PFDL Probabilidad de fallo de los componentes lógicos/controlador

PFDA Probabilidad de fallo del actuador

16 Dimensionado

© Siemens AG 2007

Cálculo de un SIS con sensores redundantes

Valores dados:

PFDS = 1,52*10-4

El cálculo del valor PFD para la interconexión redundante de los dos sensores es demasiado complejo como para reprodu-cirlo aquí de forma comprensible. El valor puede variar de for-ma aún más acusada si se emplean por ejemplo diferentes tec-nologías, diferentes fabricantes o diferentes diseños de los dis-positivos.


PFDsist. = 1,52 * 10-3+ 1,3 * 10-4 + 6,8 * 10-4

PFDsist. = 9,62 * 10-4 (SIL 3)


Este ejemplo pone de manifiesto claramente que, a pesar de utilizar componentes SIL 2, el SIS completo alcanza el PDF para SIL 3.

Cálculo de un SIS con sensores redundantes (peor valor del actuador)

Valores dados:

PFDS = 1,52*10-4

El cálculo del valor PFD para el caso de interconexión redun-dante de los dos sensores es demasiado complejo como para reproducirlo aquí de forma comprensible. El valor puede variar de forma aún más acusada si se emplean por ejemplo diferen-tes tecnologías, diferentes fabricantes o diferentes diseños de los dispositivos.


PFDsist. = 1,52 * 10-3+ 1,3 * 10-4 + 7,5 * 10-4

PFDsist. = 1,03 * 10-3 (SIL 2)


Este ejemplo pone de manifiesto claramente que, a pesar de utilizar sensores SIL 2 redundantes, el SIS no alcanza el PDF para SIL 3.



PFD sensor AA 1,52 * 10-4 (apropiado para SIL 3)



SIL PFD

SIL 1 ≥ 10-2 a < 10-1

SIL 2 ≥ 10-3 a < 10-2

SIL 3 ≥ 10-4 a < 10-3

SIL 4 ≥ 10-5 a < 10-4

Sensor A

Sensor A

Sensores AA

Ejemplo de sensor 1oo2(de 2 unidades disponibles es necesaria 1 unidad para función)

Sensores AASIL 3


ActuadorSIL 3



PFD sensor AA 1,52 * 10-4 (apropiado para SIL 3)



SIL PFD

SIL 1 ≥ 10-2 a < 10-1

SIL 2 ≥ 10-3 a < 10-2

SIL 3 ≥ 10-4 a < 10-3

SIL 4 ≥ 10-5 a < 10-4

Sensor A

Sensor A

Sensores AA

Ejemplo de sensor 1oo2(de 2 unidades disponibles es necesaria 1 unidad para función)

Sensores AASIL 3


ActuadorSIL 3

Dimensionado 17

© Siemens AG 2007

¿Tiene ventajas tener un índice SIL más alto posible?

¿Por qué es ventajoso para un operador tener una instalación conforme a SIL/SIS?

Los operadores de la instalación son responsables de acreditar la seguridad funcional de su instalación. A menudo no están seguros de si deben alcanzar un SIL alto o uno bajo para su ins-talación. El requisito de un determinado SIL se obtiene deter-minando el riesgo remanente que deriva de la instalación. En principio se persigue un SIL lo más bajo posible. Esto no sólo supone un considerable ahorro de costes, sino también una gama de dispositivos mucho mayor.

Un SIL alto sólo es necesario cuando es inevitable o cuando con él se consigue un ahorro de costes en un apartado que permita compensar los costes adicionales (por ejemplo, aho-rrando medidas constructivas adicionales).

La norma proporciona también una base común para fabrican-tes y usuarios que permite vigilar la eficacia del proceso de de-sarrollo. Si los usuarios eligen dispositivos seguros para conse-guir el SIL previsto para su instalación, pueden estar seguros que en el desarrollo se han empleado procedimientos unificados.

Así se le facilita al operador de la instalación la acreditación de la reducción del riesgo exigida legalmente. Esta acreditación la precisa para obtener el permiso de funcionamiento de la ins-talación. No es obligatorio emplear productos con clasificación SIL. Sin embargo, con ellos se facilita considerablemente la acreditación porque en estos productos el riesgo remanente ya es conocido (e inequívoco).

18 Comprobación y certificación

© Siemens AG 2007

¿Qué grado de seguridad ofrece la comunicación por bus?

En la industria de procesos se puede observar claramente la tendencia a que entre los componentes cada vez se transmiten más datos. Esto se realiza conforme a los protocolos más diver-sos, como HART, PROFIBUS o Foundation Fieldbus, o bien con señales digitales moduladas sobre la señal de 4 a 20 mA o bien mediante comunicación por bus empleando un bus de campo.

Debido a la variedad de posibilidades de error, como p. ej. ra-diación electromagnética y por su complejidad los sistemas de bus no son aceptados por la norma como seguros.

Por eso, para una comunicación de datos segura mediante un bus o bus de campo se precisan algoritmos de software espe-ciales que puedan garantizar una transmisión segura. El único protocolo que actualmente cumple estos requisitos es PROFIBUS con perfil PROFIsafe. En la industria manufacturera se ha acreditado ya desde hace mucho tiempo PROFIsafe para aplicaciones de seguridad. En la industria de procesos PROFIsafe va cobrando cada vez más importancia a medida que aumenta el número de dispositivos de campo disponibles, y contribuye a que también se pueda sacar provecho de las ventajas de la tecnología de bus de campo en los sistemas de seguridad.

Comprobación y certificación 19

© Siemens AG 2007

Evaluaciones por parte de los fabricantes

¿Qué certificados son necesarios? ¿Quién los puede expedir?

Evaluación según IEC 61508

Las especificaciones de la IEC 61508 abarcan el ciclo completo de la vida del producto, desde la idea hasta la eliminación del producto. Para desarrollar un componente conforme a esta norma deben seguirse y verificarse los correspondientes pro-cedimientos y medidas técnicas adicionales desde el desarro-llo hasta la fabricación. Debido a este gasto en parte adicional, el desarrollo de un producto de seguridad es más costoso que el de un componente estándar sin certificado SIL.

Los dispositivos no pueden clasificarse a posteriori según IEC 61508.

Evaluación según IEC 61511 (probado en uso)

Actualmente hay muy pocos dispositivos que se hayan desa-rrollado completamente según la norma IEC 61508. Para per-mitir realmente una selección de dispositivos que sea practica-ble, en la IEC 61511 se contempló la posibilidad de evaluar la prueba en uso o servicio. En la práctica los dispositivos anti-guos ya llevan muchos años empleándose con éxito. Por esto, el análisis de las estadísticas de fallo se puede usar bajo ciertas circunstancias para calificar la seguridad funcional. El objetivo es determinar, sin lugar a dudas, si realmente se ha consegui-do la seguridad funcional requerida. El proceso de justificación debe realizarse empleando un número de unidades suficiente-mente grande y debe contener datos sobre la duración del ser-vicio y sobre las condiciones de utilización. La duración de uso mínima es de 1 año y adicionalmente un número determinado de horas de servicio. El resultado de una prueba en servicio sólo es válido para la versión del producto para el cual se ha de-mostrado. Todas las modificaciones futuras del producto de-ben realizarse según IEC 61508.

Los operadores de la instalación precisan un certificado de la clasificación SIL de los componentes empleados por el SIS. Se-gún IEC 61511 son plenamente suficientes para ello las decla-raciones del fabricante. Los certificados no son un requisito le-gal ni los exige la norma.

Para poder expedir una declaración del fabricante o un certifi-cado, se precisa la valoración técnica de los componentes de seguridad que se han de utilizar. A menudo, la evaluación la realiza un organismo independiente como p. ej. TÜV o exida. Tras una evaluación favorable, el fabricante puede expedir una declaración de fabricante y, dado el caso, remitirse al informe de prueba respectivo.

A diferencia de las declaraciones del fabricante, los certifica-dos sólo los podrá expedir un organismo acreditado (p. ej. TÜV).

Cuanto mayor es el grado de seguridad que se exige a una ins-talación, tanto más independiente debe ser la persona que ex-pide una evaluación de la seguridad funcional.

SIL 1 Persona independiente

SIL 2 Departamento independiente

SIL 3 Organización independiente

SIL 4 Organización independiente

Resumen de las instancias de evaluación

Declaración de conformi-dad (declaración del fa-bricante)

El fabricante certifica que según sus comprobaciones y cálculos o debido a que ha sido probado en uso se alcanza un determinado nivel SIL. A menudo, la verificación la realiza un organismo de inspección técnica como p. ej. exida o TÜV.

Certificado Lo expide un organismo acreditado in-dependiente (p. ej. TÜV).

Resumen de los posibles certificados


© Siemens AG 2007

Posibilidades de configuración (monocanal/redundante)

Configuración monocanalun solo dispositivo

Configuración redundante bicanaldos dispositivos iguales

Configuración redundante diversificadados dispositivos diferentes(medida que hace que un error sistemático no pueda producirse simultáneamente)

Dos tecnologías diferentes

+

+

+

Comprobación y certificación 21

© Siemens AG 2007

¿Qué se puede evaluar? Instalaciones nuevas - Instalaciones antiguas (protec-ción de activos existentes)

Se pueden evaluar los elementos siguientes:

■ el dispositivo completo

■ errores aleatorios (sólo hardware)

■ errores sistemáticos (hardware y software)

Se aplica la protección de activos en instalaciones ya existen-tes. Sin embargo, esto significa que, en caso de reestructura-ciones o ampliaciones de la instalación, los nuevos componen-tes son evaluados según las nuevas normas.


© Siemens AG 2007

A continuación se hace hincapié en indicaciones importantes en relación con el tema de la "seguridad funcional" (SIL):

■ El proveedor del dispositivo no influye para nada en la cla-sificación SIL de la instalación

■ Para poder evaluar a partir de qué instante un sistema ins-trumentado de seguridad (SIS) cumple un SIL requerido, debe calcularse siempre la probabilidad de fallo de los erro-res aleatorios.

■ En última instancia, para el operador de la instalación es importante, por tanto, el valor de la probabilidad de fallo de los componentes empleados. Por consiguiente, la clasi-ficación SIL del dispositivo a menudo sirve sólo como refe-rencia orientativa para el cálculo.

■ Además, la cadena de procesamiento debe cumplir los re-quisitos necesarios para evitar errores sistemáticos.

■ La indicación del nivel SIL de un dispositivo significa sólo que es apropiado, en principio, para el uso de una instala-ción con el correspondiente nivel SIL.

■ La norma requiere una evaluación de la seguridad funcio-nal. Los certificados no son un requisito legal ni los exige la norma.

■ Para los procesos industriales vale la norma de aplicación IEC 61511.

Resumen 23

© Siemens AG 2007

Para más información, visite la web.

Suje

to a

cam

bio

s si

n p

revi

o a

viso

| Re

fere

nci

a E8

60

60

-A6

20

0-A

10

1-A

3-7

80

0 |

Dis

po 0

95

11

| K

B 0

40

7 1

. RO

T 2

4 E

S/71

5186

| Im

pres

o en

Ale

man

ia |

© S

iem

ens

AG

20

07

www.siemens.com/sil

www.siemens.com/safety

www.siemens.com/processanalytics

www.siemens.com/processsafety

www.siemens.com/processinstrumentation

Siemens AG

Automation and DrivesSensors and CommunicationPostfach 48 4876181 KARLSRUHEALEMANIA

www.siemens.com/processinstrumentat ion

Este prospecto contiene descripciones o prestaciones que en el caso de aplica-ción concreto pueden no coincidir exactamente con lo descrito, o bien haber sido modificadas como consecuencia de un ulterior desarrollo del producto. Por ello, la presencia de las prestaciones deseadas sólo será vinculante si se ha es-tipulado expresamente al concluir el contrato. Reservadas las posibilidades de suministro y modificaciones técnicas.

Todas las designaciones de productos pueden ser marcas o nombres de productos de Siemens AG o de subcontratistas suyos, cuyo uso por terceros puede violar los derechos de sus titulares.

seguridad funcional en la instrumentación de procesos con ... · iec 61511 (norma específica de...

Documents