2. se usan en todo el mundo – no sólo en Europa. La norma IEC con la que estamos familiarizados la mayoría de los
que trabajamos en la automatización de procesos es la IEC 61131-3, que describe los lenguajes de programación
de sistemas de control.
Identificando los riesgos
Un paso clave para mantener o mejorar la seguridad es identificar los riesgos que la amenazan.
Como lo indica el diagrama, la identificación de los riesgos requiere que se responda a ambas partes de la
pregunta, “¿Cuál es la probabilidad de que ocurra un evento dañino, y cuáles son las consecuencias si ocurre?”
El reto es identificar los riesgos por adelantado para que se puedan reducir o eliminar – por ejemplo, cambiando la
formulación de un producto o reduciendo las cantidades de material peligroso presente.
El riesgo está determinado tanto por la probabilidad como por las consecuencias de un evento.
Probabilidad
AltaBaja
Consecuencias
Menores Extensas
3. La tarea de identificar y clasificar el riesgo se hace a menudo en etapas, incrementando en cada una el nivel de
complejidad y perfección. La siguiente tabla muestra algunas de las técnicas más comunes.
Técnicas de identificación de riesgos Cuándo las podría usar
• Revisión de seguridad
• Lista de verificación
• Análisis preliminar de peligros
• Qué tal si
• Estudio HAZOP (HAZard, peligro y
OPerability, operabilidad abreviado)
Se usa en estudios de evaluación de peligros
preliminares para proporcionar un panorama
general de los riesgos existentes. (Generalmente
no consume demasiado tiempo.)
• Qué tal si/Lista de verificación
• Estudio HAZOP detallado y completo
• Análisis de evento y modo de falla
Se usa para desarrollar un análisis más detallado
de los riesgos potenciales.
• Análisis de árbol de fallas
• Análisis de árbol de eventos
• Análisis causa-consecuencia
• Análisis de fiabilidad humana
Se usa en combinación con el análisis cuantitativo
de riesgos para establecer un alto nivel de detalle
acerca de los riesgos. (Generalmente se usa sólo
para áreas u operaciones unitarias específicas.)
Riesgo inherente
La mayoría de las instalaciones de procesos tienen demasiados componentes de equipo que cada uno contribuye
a lo que se llama riesgo inherente – en otras palabras, el riesgo que existe debido a la naturaleza del proceso,
incluyendo el equipo y los materiales presentes.
Por ejemplo, los riesgos inherentes de viajar en un automóvil incluyen los accidentes ocasionados por los errores
del conductor, neumáticos pinchados o (aunque no muy probable) incendio del combustible.
La evaluación de todo el proceso ayuda a determinar la probabilidad de que ocurra un evento riesgoso, y la
evaluación de los materiales (tipo y cantidad) ayuda a determinar las consecuencias del riesgo.
Veamos cómo el riesgo inherente se aplica a un ejemplo de la industria de procesos – un tanque presurizado que
contiene amoniaco.
4. Al mirar en el proceso completo se hacen evidentes varios riesgos inherentes que podrían conducir a una
liberación de amoniaco, incluyendo la posibilidad de que ocurra lo siguiente:
• Ruptura del tanque debido a un exceso de presión y/o defectos de las uniones
• Fugas en las uniones de la tubería, empaque de la válvula y/o tomas del sensor
• Imposibilidad de los transmisores, válvula de control y/o sistema de control básico del proceso (tal como
un SCD o PLC) para mantener el volumen y presión correctos en el tanque
Cada uno de estos riesgos tiene una probabilidad. Las consecuencias dependen en gran medida de los
peligros de exposición del personal al amoniaco – incluyendo irritación de los ojos y del sistema respiratorio.
Evaluación del riesgo
La evaluación del riesgo, aunque es potencialmente subjetiva, se hace generalmente usando un modelo de
evaluación de riesgo corporativo establecido que fue desarrolado por gente competente – tales como ingenieros,
químicos y abogados – que están capacitados para evaluar y cuantificar la causa, el efecto y la responsabilidad
civil.
El desarrollo de un modelo de evaluación de riesgo para cada categoría en riesgo requiere que se establezca un
medio consistente de describir tanto la probabilidad (frecuencia) como la consecuencia (gravedad) de un
evento. Cuando se desarrollan modelos de evaluación de riesgo, es buena idea usar cuantificaciones amplias –
tales como órdenes de magnitud en lugar de valores exactos – para evitar quedarse atascado en trabajo
minucioso debido a los niveles de riesgo demasiado precisos.
Probabilidad. Las consecuencias de un evento pueden ser graves, pero la probabilidad de que ocurra puede ser
baja. Para garantizar que diferentes grupos de personas dentro de la misma compañía establezcan
aproximadamente las mismas clasificaciones de riesgo para eventos similares, el modelo debe incluir una medida
cuantificada consistente de probabilidad o frecuencia del evento. Por ejemplo, una baja probabilidad se podría
definir como menos de 1 oportunidad en 10,000 del evento que ocurra durante un año.
Chimenea/AntorchaVálvula
de alivio
Transmisor
de presión
Sistema
de control
básico del
proceso
Transmisor
de nivel
Válvula de
control de nivel
5. Ejemplo de modelo de evaluación de riesgo para probabilidad:
Probabilidad Tipo de eventos
Baja
(v.g., menos de 1/10,000
anualmente)
Eventos tales como múltiples fallas de diversos instrumentos o válvulas,
múltiples errores humanos en un ambiente libre de tensión o fallas espontáneas
de tanques de proceso.
Media
(v.g., 1/10,000 – 1/1000
anualmente)
Eventos tales como fallas de válvulas o instrumentos duales, o importantes
liberaciones en áreas de carga/descarga.
Alta
(v.g., más de 1/1000
anualmente)
Eventos tales como fugas en el proceso, fallas de válvulas o instrumentos
individuales, o errores humanos que ocasionan pequeñas liberaciones de
materiales peligrosos.
Adaptado de IEC 61511-3, Tabla C.1 - Frecuencia de probabilidad de eventos peligrosos
Consecuencia. El modelo también debe incluir una manera de evaluar y definir las consecuencias para cada
categoría en riesgo. Por ejemplo, la siguiente tabla muestra una manera en que se podrían definir las
consecuencias en términos del número de lesiones o cantidad de daños materiales.
Ejemplo de modelo de evaluación de riesgo para consecuencia:
Consecuencias Impacto
Menores
(v.g., lesiones o más de
$100,000 de daños o
pérdida de producción)
Daños menores al equipo. No hay paro del proceso. Lesiones temporales
al personal y daños al medio ambiente.
Graves
(v.g., hospitalización o
más de $250,000 de
daños o pérdida de
producción)
Daños al equipo. Paro breve del proceso. Lesiones graves al personal y al
medio ambiente.
Extensas
(v.g., la muerte o más de
$1,000,000 de daños o
pérdida de producción)
Daños de gran escala al equipo. Paro de un proceso por mucho tiempo.
Consecuencias catastróficas al personal y/o al medio ambiente.
Adaptado de IEC 61511-3, Tabla C.2 – Criterios de clasificación de la gravedad del impacto debido a
eventos peligrosos.
Para el ejemplo del tanque de amoniaco, la probabilidad de que haya liberación de amoniaco se determina
combinando la probabilidad de riesgos como los que se muestran en “Riesgos inherentes”. En este caso, hemos
determinado que el riesgo total de las fugas es medio (entre 1 cambio en 1000 y 1 oportunidad en 10,000).
Las consecuencias de tal evento se determinan principalmente por la cantidad de amoniaco liberado y que podría
afectar al personal de la planta y al público. En nuestro ejemplo, hemos determinado que una ruptura del tanque y
la liberación de amoniaco ocasionada se considerarían graves.
Este modelo relativamente sencillo es sólo un ejemplo de cómo se podría evaluar el riesgo. Veremos otro modelo
más cuantitativo en el curso SIS 102.
6. Riesgo tolerable
Todos sabemos que hay un punto donde el riesgo se vuelve
“intolerablemente alto”. Así mismo, sabemos que hay un punto donde el
riesgo se vuelve bastante aceptable por ser muy pequeño. Entre esos dos
puntos está el área de riesgo tolerable.
Cada uno de nosotros toma decisiones acerca de lo que constituye el riesgo
tolerable en nuestras propias vidas – por ejemplo, decidir detenerse o
avanzar por un semáforo que se acaba de poner en amarillo. (El riesgo de
fatalidad de tráfico es de 2 en 1,000 años-persona.)
En una planta de procesos, los trabajadores se exponen a menudo a
múltiples y simultáneos riesgos. El propósito de un programa de seguridad
de la planta – incluyendo los sistemas instrumentados de seguridad – es
garantizar que esta exposición sea tolerable en todo momento.
Entonces, ¿cuáles son los números adecuados para el riesgo tolerable en el entorno de una planta? Hay una
respuesta “correcta”; el propietario/oerador de la planta debe decidir los criterios de riesgo tolerable para la planta.
La norma IEC 61511 describe el riesgo tolerable como el riesgo que se acepta en un determinado contexto de
acuerdo a los valores actuales de la sociedad. La mayoría de las compañías incluyen las lesiones, las muertes y el
dinero entre otros factores que consideran. Las “mejores estimaciones” de qué constituye el riesgo tolerable
pueden ser de acuerdo a los resultados de investigación de circunstancias y eventos similares en otras plantas e
industrias. Otras veces, los riesgos tolerables están disponibles en fuentes tales como la Administración de
Seguridad y Salud Laboral (OSHA, por sus siglas en inglés) de los Estados Unidos <www.osha.gov>, Conferencia
Americana de Higienistas Industriales (ACGIH, por sus siglas en inglés) <www.acgih.org>, Agencia de Protección
Ambiental (EPA, por sus siglas en inglés) de los Estados Unidos <www.epa.gov> o agencias similares en otros
países.
Algunas referencias muestran los puntos más altos de riesgo tolerable como 1 fatalidad por 1,000 años de
exposición para los trabajadores, y 1 fatalidad por 10,000 años de exposición para el público. Esas mismas
referencias clasifican 1 fatalidad por 100,000 años de exposición como riesgo insignificante. Sin embargo, áreas
mundiales individuales, países y compañías frecuentemente aplican menores números de riesgo aceptable.
El riesgo tolerable está determinado por las consecuencias así como por la probabilidad. Para el ejemplo del
tanque de amoniaco, usaremos niveles de esposición humana al amoniaco aceptables localmente. Para los
trabajadores en campo en los Estados Unidos, la OSHA dice que la máxima exposición es una concentración
atmosférica de 50 partes por millón (ppm) en un período de 8 horas.
Es posible que también se tengan que considerar otros límites. Por ejemplo, ¿qué tal si hay una escuela cercana?
Para la exposición del público, la ACGIH permite sólo 25 ppm de amoniaco en el mismo período de tiempo.
Números como éstos ayudan a determinar la reducción necesaria del riesgo que un sistema instrumentado de
seguridad debe lograr – describiremos esto en el siguiente curso.
Riesgo
intolerablemente
alto
Riesgo
tolerable
Riesgo bajo
muy aceptable
7. Sumario
En este curso usted ha aprendido que:
• Los riesgos constan de la probabilidad y de las consecuencias.
• Los riesgos inherentes son los que se encuentran en el proceso completo, incluyendo el equipo y los
materiales.
• La cuantificación del riesgo requiere el uso de un modelo de evaluación de riesgos establecido.
• Los riesgos tolerables son los números de lesiones, muertes o pérdida de dinero (y su frecuencia) que
estamos dispuestos a aceptar.
9. Página 2 de 6
Cuantitativa. Podríamos cuantificar todos los riesgos inherentes que están asociados con cada evento peligroso
y comparar la suma con el nivel de riesgo que ha sido definido como tolerable.
Por ejemplo, es posible que queramos reducir la frecuencia de una fatalidad desde una vez cada 10 años a una
vez cada 10,000 años. En otras palabras, queremos reducir el riesgo en un factor de 1000 – por lo cual usted
verá frecuentemente referencias al factor de reducción de riesgo (FRR) o RRF.
Aunque este enfoque se usa cada vez más a menudo, implica dos retos.
• Usted necesita reunir muchos datos para hacer que los cálculos sean significativos.
• Usted tiene que expresar niveles cuantificados específicos del riesgo que está preparado para tolerar, tal
como una lesión grave por año. Eso puede hacer que la gente – y las compañías – se sientan incómodas.
Cualitativa. La segunda manera de evaluar la reducción de riesgo requerida es usar clasificaciones cualitativas
como las de los ejemplos de modelos de consecuencia y probabilidad descritos en el curso SIS 101.
¿Recuerda el ejemplo del tanque de amoniaco de ese curso? Allí definimos la probabilidad de una ruptura del
tanque como “media” y la consecuencia como “grave”.
Hay varias maneras de hacer esta evaluación cualitativa, incluyendo las gráficas de riesgo y las matrices de
peligro. Por ejemplo, podemos usar una matriz de peligro como la siguiente para identificar el nivel requerido de
reducción de riesgo – en este caso, nivel 2.
Chimenea/Antorcha
Válvula de
alivio
Transmisor de
presión
Sistema
de control
básico del
proceso
Transmisor
de nivel
Válvula de
control de
nivel
Riesgo
demasiado
alto –
rediseñar
el proceso
No se
requiere
Alta
Baja
Media
Menores Graves Extensas
Consecuencias
Probabilidad
10. Página 3 de 6
Generalmente, el personal de gestión de riesgos corporativos desarrolla estas matrices y las recomendaciones
para usarlas. Los valores de la matriz se llaman niveles de integridad de seguridad o SILs. El siguiente tema
explica qué significan los números de la matriz.
Nivel de integridad de seguridad (SIL)
Los niveles de integridad de seguridad que se muestran en la matriz anterior identifican el nivel de reducción de
riesgo requerido para una función de seguridad en particular.
(Una función de seguridad is la capacidad de reducir o eliminar el riesgo de una condición o peligro específicos.
En nuestro ejemplo del tanque de amoniaco, es la capacidad de evitar que una condición de presión excesiva
ocasione una ruptura en el tanque.)
Cada nivel de integridad de seguridad se define como un rango de reducciones de riesgo arreglado en órdenes de
magnitud (esto evita tener que hacer un minucioso trabajo de selección):
Nivel de integridad de seguridad Factor de reducción de riesgo objetivo
4 >10,000 a ≤100,000
3 >1,000 a ≤10,000
2 >100 a ≤1,000
1 >10 a ≤100
Adaptado de IEC 61511-1 Tabla 3
NOTA: Las aplicaciones clasificadas como nivel de integridad de seguridad 4 (SIL
4) generalmente no se usan en las industrias de procesos, y las normas advierten
que no se debe usar un sistema programable individual para aplicaciones SIL 4
Esto nos permite establecer el nivel de integridad de seguridad requerido en una de dos maneras:
1. Podemos evaluar las consecuencias y la probabilidad de un peligro en términos cualitativos, como lo hicimos
en la página anterior de este curso. Eso nos proporciona una amplia idea de la reducción de riesgo requerida.
Por ejemplo, una evaluación cualitativa indica que un requerimiento de nivel de integridad de seguridad 2
significa que necesitamos reducir el riesgo en un factor entre 100 y 1000.
2. Podemos calcular con precisión la reducción de riesgo requerida, que nos proporciona el nivel de integridad de
seguridad de la función de seguridad en cuestión. Por ejemplo, si nuestros cálculos indican que nuestro factor
de reducción de riesgo requerido es 500, entonces sabemos que necesitamos proporcionar un nivel de
protección SIL 2.
Un beneficio clave de la norma IEC 61511 es que ayuda a los usuarios finales a implementar el nivel de
seguridad adecuado al menor costo. La evaluación precisa de los riesgos y la determinación de la asignación
SIL adecuada para cada función de seguridad le ayuda a usted a evitar invertir en más – o menos – protección de
la que necesita.
Capas de protección
Entonces, ¿cómo logramos el nivel necesario de reducción de riesgos? Agregando capas de protección.
Las normas de seguridad definen una capa de protección como “cualquier mecanismo independiente que reduce
el riesgo mediante el control, la prevención o la mitigación”. La suma de las capas de protección proporciona lo
que se llama seguridad funcional – la funcionalidad que garantiza que no se tendrá riesgo inaceptable.
El control del proceso (para evitar situaciones que pudieran conducir a incidentes) se proporciona generalmente
mediante un sistema de control básico del proceso (BPCS). El BPCS es cualquier sistema que responda a señales
de entrada para controlar un proceso. En la mayoría de los casos se basa en controlador(es) de lazo, un SCD, un
PLC o un sistema de automatización híbrido.
11. Página 4 de 6
Además, capas de protección independientes para prevención y mitigación podrían incluir las mostradas en este
diagrama.
El ejemplo del tanque de amoniaco ya tiene un sistema de control básico del proceso y una válvula de alivio
instalados. El sistema de control básico del proceso ayuda a prevenir condiciones tales como una presión excesiva
en el tanque que pudiera ocasionar una liberación de amoniaco. La válvula de alivio ventila el exceso de vapor de
amoniaco a la chimenea/antorcha – evitando una ruptura del tanque y un mayor derrame, pero con el riesgo de
exponer al personal de la planta y al público a vapores de amoniaco dañinos.
Lo que necesitamos es otra capa de protección, una que evite que la situación alcance un punto donde se
necesite la válvula de alivio. Esa capa es un sistema instrumentado de seguridad (SIS) – un término que
incluye soluciones que también se pueden llamar sistemas de paro de emergencia, sistemas de paro de
seguridad, sistemas de fuego y gas o sistemas de gestión de quemador.
Sistemas instrumentados de seguridad
El sistema instrumentado de seguridad (SIS) proporciona una capa de protección independiente que está
diseñado para llevar al proceso a un estado seguro cuando ocurre una condición peligrosa. Donde se use, es una
parte integral de las operaciones de la planta y, para algunas plantas, puede ser un requisito normativo.
Mitigar
Prevenir
Respuesta de
emergencia y
planta
Dique
Válvula de alivio,
disco de ruptura
Sistema
instrumentado
de seguridad
Sistema
instrumentado
de seguridad
Intervención
del operador
Sistema de
control básico
del proceso
Sistema de
fuego y gas
Paro de
emergencia
Capa de respuesta de emergencia
Capa de protección pasiva
Capa de protección activa
Capa de seguridad
Capa de seguridad
Alarma de nivel de disparo
Alarma de proceso
Paro del
proceso Capa de control del proceso
Valor del
proceso Capa de control del proceso
Comportamiento normal
Mitigar
Prevenir
Respuesta de
emergencia y
planta
Dique
Válvula de alivio,
disco de ruptura
Intervención
del operador
Sistema de
control básico
del proceso
Capa de respuesta de emergencia
Capa de protección pasiva
Capa de protección activa
Alarma de nivel de disparo
Alarma de proceso
Paro del
proceso Capa de control del proceso
Valor del
proceso Capa de control del proceso
Comportamiento normal
12. Página 5 de 6
Un sistema instrumentado de seguridad está compuesto de cualquier combinación de sensor(es), solucionador(es)
lógicos y elemento(s) final(es). Los tres componentes deben estar presentes – y funcionando adecuadamente –
para que el sistema haga su trabajo.
A pesar de su similitud estructural con un sistema de control de procesos básico, el sistema instrumentado de
seguridad es fundamentalmente diferente a un sistema de control básico del proceso. El sistema de control básico
del proceso existe para obtener un producto de calidad al mantener el proceso funcionando sin problemas. El
sistema instrumentado de seguridad, por otro lado, existe para supervisar que no haya condiciones del proceso
peligrosas y para tomar las medidas adecuadas – generalmente, parando el proceso.
El sistema instrumentado de seguridad también está separado del sistema de control básico del proceso. Esta
separación refleja no sólo sus diferentes funciones, sino también la importancia de mantener la integridad del
sistema instrumentado de seguridad incluso cuando se cambia con frecuencia el sistema de control básico del
proceso. Las normas de seguridad permiten que haya comunicaciones controladas cuidadosamente entre los
componentes y los sistemas, así que se puede implementar una instalación integrada, pero independiente, del
sistema de control básico del proceso y el sistema instrumentado de seguridad.
La ventaja PlantWeb
Emerson ha extendido las comprobadas innovaciones de su arquitectura digital PlantWeb a los sistemas
instrumentados de seguridad.
El sistema instrumentado de seguridad inteligente de Emerson es el primero en proporcionar un enfoque integrado
para lazos de seguridad completos – desde sensor a solucionador lógico a elemento final de control – para que
usted pueda evitar los riesgos y los dolores de cabeza por combinar los componentes independientes.
También es el primero en usar la inteligencia digital para permitir más pruebas de lazo de seguridad
automatizadas, más diagnósticos de equipo y otras características que incrementan la disponibilidad del sistema a
la vez que reducen los costos de operación y facilitan el cumplimiento normativo.
El diseño inteligente también permite niveles adecuados de integración con el sistema de automatización digital
DeltaV de Emerson cuando se usa como el sistema de control básico del proceso – por ejemplo, usando la misma
interfaz de operador y las mismas herramientas de configuración – a la vez que mantiene la separación requerida
por las normas de seguridad.
Poniendo todo junto
Solucionador lógico
Sensor
Elemento final
13. Página 6 de 6
Veamos cómo todo lo que hemos aprendido hasta ahora se aplica al ejemplo del tanque de amoniaco.
Si el tanque de amoniaco tiene una condición de presión excesiva (un error funcional), se satisfará la seguridad
funcional si los sistemas de prevención o protección reducen la presión del tanque a un valor que esté dentro de
los límites operativos establecidos de seguridad antes de que se necesiten los sistemas de mitigación.
Anteriormente, en este curso, determinamos que el objetivo de seguridad funcional para el sistema instrumentado
de seguridad del tanque de amoniaco es SIL 2. Esto significa que el nivel objetivo de la reducción del riesgo debe
estar entre 100 y 1000.
Consideraremos que el sistema de control básico del proceso agrega algún nivel de reducción del riesgo, aunque
la norma IEC 61511 nos dice que el nivel máximo de reducción del riesgo de un sistema de control no relacionado
con la seguridad es un factor de 10.
Aunque no queremos incurrir en el gasto de exagerar el diseño del sistema instrumentado de seguridad, también
queremos asegurarnos de tener la protección adecuada. Entonces, seremos un poco conservadores en nuestras
suposiciones:
1. Factor de reducción de riesgo total requerido (RRF) = 1,000
2. Factor de reducción de riesgo asignado al sistema de control básico del proceso = 2
3. La válvula de alivio no será considerada, porque si se activa existe un riesgo de que los estudiantes de la
escuela cercana estén expuestos a los vapores de amoniaco que se liberan.
El factor de reducción de riesgo total es el producto de los factores de reducción de riesgo de todas las capas de
protección independientes. En nuestro ejemplo, el factor de reducción de riesgo requerido del nuevo sistema
instrumentado de seguridad es 1,000 / 2 = 500, que corresponde a una clasificación SIL 2 (entre 100 y 1,000).
Si se reduce el riesgo en menos de este valor, se tendrá una probabilidad de peligro intolerablemente alta. Pero si
se implementa una función de seguridad mayor (por ejemplo, una que proporcione un nivel de protección SIL 3),
se agregan costos innecesarios para el diseño, compra, instalación, pruebas y mantenimiento del sistema
instrumentado de seguridad.
Sumario
En este curso usted ha aprendido que:
• La reducción del riesgo necesaria se puede determinar usando métodos cuantitativos o cualitativos.
• Los niveles de integridad de seguridad (SIL) son representaciones estadísticas de la reducción del riesgo
necesarias para alcanzar el riesgo tolerable.
• Las capas de protección independientes son los mecanismos que controlan, previenen o mitigan una
condición peligrosa.
• Un sistema instrumentado de seguridad (SIS) usa sensores, solucionadores lógicos y elementos finales de
control para supervisar que no haya condiciones peligrosas en el proceso, y para llevar al proceso a un estado
seguro si es necesario.
15. Página 2 de 9
En el pasado, las normas de seguridad se desarrollaban para una aplicación, industria o país específicos. Por
ejemplo, ANSI P1.1-1969 es una norma de concenso en la industria emitida por el Instituto Nacional Americano de
Estándares) que define los requisitos de seguridad para las fábricas que producen pulpa, papel y cartón.
El principal problema con este enfoque es que las plantas, e incluso industrias completas, se han encontrado
tratando de cumplir con múltiples normas de seguridad que se traslapan, a menudo desarrolladas usando
filosofías de diseño y arquitectura completamente diferentes. Agregue las diferencias de normas nacionales o
regionales; con todo esto es casi imposible estar seguro de que se ha logrado el cumplimiento.
Las normas de seguridad más recientes, sin embargo, han sido desarrolladas usando un enfoque que se
concentra en la reducción del riesgo y en el establecimiento de un grado definido de excelencia operacional en
cada etapa del ciclo de vida del proyecto de seguridad.
Este enfoque de ciclo de vida basado en el rendimiento produce una norma que se acopla más fácilmente con
otras normas, logrando así que sean más atractivas y aceptadas. También es más fácil producir resultados de alta
calidad al menor costo posible.
Para las industrias de procesos, las normas de seguridad relevantes son IEC 61508, IEC 61511 y ANSI/ISA
S84.00.01-2004 (S84). Cada una de estas normas define qué se requiere para lograr el cumplimiento normativo,
pero en el caso de IEC 61511 y S84, éstas dejan los detalles de cómo lograr el cumplimiento a los propietarios y
operadores de las plantas.
De IEC 61508 surgió IEC 61511
Entonces, ¿por qué la IEC tiene dos normas de seguridad?
IEC 61508 (Partes 1 – 7), titulada Functional safety of programmable electronic safety-related systems (Seguridad
funcional de sistemas electrónicos programables relacionados con la seguridad), es una norma de seguridad
completa, global y funcional que está basada en rendimiento y aplica a los fabricantes e implementadores de
sistemas de seguridad funcionales en una amplia gama de industrias.
En Europa, las siete partes de IEC 61508 se publicaron como EN 61508, y todas las normas nacionales
CENELEC o CEN en conflicto fueron retiradas subsecuentemente.
IEC 61508 fue usada por algunas plantas de la industria de procesos para implementar sistemas instrumentados
de seguridad (SIS) que cumplieran con los requisitos normativos. Sin embargo, los que adoptaron la industria de
procesos tempranamente notaron que la norma era incómoda y no era clara para la interpretación sobre cómo
lograr el cumplimiento en estas industrias.
Después de una cuidadosa consideración, el comité de normas IEC extrajo las secciones relevantes de IEC
61508, las armonizó y las volvió a redactar para formar la norma IEC 61511 específicamente para industrias de
procesos.
El resultado es que IEC 61511 proporciona guía de las industrias de procesos y ejemplos de cómo se implementa
la norma – a la vez que sigue garantizando que se logre el cumplimiento dentro del marco establecido en IEC
61508.
Este enfoque hizo que la norma IEC 61511, Functional safety: Safety instrumented systems for the process
industry sector (Seguridad funcional: Sistemas instrumentados de seguridad para el sector de las industrias de
procesos), sea la norma de seguridad que elijen las industrias de procesos – como se hace evidente mediante el
creciente número de referencias a ella por parte de las agencias de seguridad en China, Irlanda, Italia, India,
Noruega, Reino Unido y los Estados Unidos; el número de ponencias que presentan los usuarios finales en
conferencias y simposios; y las referencias en los sitios web de los fabricantes de sistemas de control.
16. Página 3 de 9
Aunque las plantas todavía tienen la opción de aplicar la norma IEC 61508, su uso principal es por parte de los
fabricantes de instrumentación y de sistemas de control que desarrollan y venden dispositivos SIS certificados
para usarlos en las aplicaciones que cumplen con IEC 61511.
¿Qué hay de S84?
Muchas normas nacionales han sido reemplazadas por IEC 61508 y 61511. Un ejemplo es la norma de seguridad
ANSI/ISA S84.01 que se usó ampliamente en los Estados Unidos.
Hace varios años, después de un desconcertante número de accidentes, los expertos en seguridad en la industria
de procesos comenzaron una profunda revisión de las normas de seguridad existentes.
Incidentes que condujeron a las normas de seguridad mejoradas
1968 Refinería en Pernis, Países Bajos 2 muertos, 85 lesionados
1974 Flixborough, Reino Unido 28 muertos, cientos de
lesionados
1976 Seveso, Italia 700 lesionados
1984 Bhopal, India 2,500 muertos, 100,000
lesionados
1998 Piper Alpha, Mar del Norte 165 muertos, 61 lesionados
Entre sus conclusiones estaba la de que las normas existentes eran demasiado específicas a la industria y
limitaban la habilidad de los expertos en seguridad de compartir las mejores prácticas.
A partir de sus descubrimientos se formó el comité ISA SP84. Casi inmediatamente, los miembros del comité
estuvieron de acuerdo en que un enfoque de normas más adecuado sería usar un modelo de ciclo de vida basado
en rendimiento. El resultado de su trabajo fue ANSI/ISA S84.01-1996, Application of Safety Instrumented Systems
for the Process Industries (Aplicación de sistemas instrumentados de seguridad para las industrias de procesos)
(S84).
Sin embargo, más recientemente, la norma S84 ha sido armonizada con IEC 61511, con una excepción: ANSI/ISA
S84.00.01-2004 incluye una cláusula tipo “abuelo” que permite que las instalaciones que actualmente usan la
versión 1996 de S84 continúen haciéndolo – siempre y cuando se determine que el equipo de seguridad se
diseñe, se mantenga, se inspeccione, se pruebe y se opere en una manera segura.
Por lo tanto, a menos que ya esté usando la norma S84, su mejor elección sería dejar la antigua norma ANSI/ISA
y adoptar IEC 61511 – que es lo mismo que S84-2004.
17. Página 4 de 9
Modelos de ciclo de vida
Un modelo de ciclo de vida proporciona una estructura para una serie de procesos para crear o actualizar un
producto o un servicio.
Los modelos de ciclo de vida pueden tomar muchas formas, pero
cada una proporciona una estructura para enfocarse en las
incontables tareas involucradas en la creación y gestión de un
complejo producto o servicio.
Un importante beneficio de una norma basada en ciclo de vida es la facilidad que proporciona para usar e integrar
otras normas o prácticas basadas en ciclo de vida. Como se muestra en la tabla, tales modelos son usados o
recomendados por un número de agencias regulatorias y otros organismos.
Organizaciones y agencias que recomiendan el uso de modelos de ciclo de vida
Organización Internacional de Normas (ISO) Calidad del producto y del servicio
Oficina Ejecutiva de Salud y Seguridad del Reino Unido Actividades relacionadas con la
seguridad
Administración de Drogas y Alimentos de los Estados
Unidos
Producción y aprobación de
nuevas drogas
Instituto de Ingeniería de Software Software de alta disponibilidad
Administración de Seguridad y Salud Laboral (OSHA) de
los Estados Unidos
Seguridad de los trabajadores
Agencia de Protección Ambiental de los Estados Unidos Protección ambiental
Por ejemplo, el Instituto de Ingeniería de Software <www.sei.cmu.edu> ha desarrollado un número de modelos de
ciclo de vida de software, varios de los cuales se usan para crear software “que sobreviva” – es decir, software de
aplicación crítico a la misión que requiera seguridad, tolerancia a fallas, seguridad, fiabilidad, reuso, rendimiento,
verificación y pruebas.
Similarmente, las buenas prácticas de fabricación basadas en ciclo de vida son integrales a las industrias donde la
calidad del producto es esencial, como las reguladas por la Administración de Drogas y Alimentos de los Estados
Unidos.
Además de facilitar la integración de tales normas, la disciplina proporcionada por el enfoque de ciclo de vida
ayuda a producir resultados de alta calidad al menor costo posible.
Aplicación del modelo en 61511
IEC 61511 permite personalizar el modelo de ciclo de vida para ajustarse a sus prácticas actuales – siempre y
cuando se cumpla con los requisitos normativos.
Un enfoque usa cinco etapas principales de ciclo de vida para atender estos requisitos, además de un proceso de
verificación y documentación a lo largo del ciclo:
18. Página 5 de 9
Etapa de ciclo de vida Requisitos de IEC 61511
1. Ingeniería básica del proyecto y
diseño conceptual
o Evaluación de peligro y riesgo (Cláusula 8)
o Asignación de funciones de seguridad a
capas de protección (Cláusula 9)
o Especificación de requisitos de seguridad
para sistemas instrumentados de seguridad
(Cláusulas 10 y 11)
2. Diseño e ingeniería detallados o Diseño e ingeniería de sistemas
instrumentados de seguridad
(Cláusulas 11 y 12.4)
o Construcción del sistema instrumentado de
seguridad, integración y pruebas FAT
(Cláusula 13)
3. Instalación y puesta en marcha o Instalación y comisionamiento de sistemas
instrumentados de seguridad (Cláusula 14)
o Validación de seguridad de sistemas
instrumentados de seguridad (Cláusulas 12.3,
12.7 y 15)
4. Provisión de seguridad funcional o Operaciones y mantenimiento de sistemas
instrumentados de seguridad (Cláusula 16)
5. Modificación y actualización o Modificación de sistemas instrumentados de
seguridad (Cláusula 17)
- Verificación y documentación
(incluidas en cada etapa)
o Verificación (Cláusulas 7, 12.4 y 12.7)
o Documentación (Cláusula 19)
Juntas, estas actividades permiten cumplir con el requisito central de la norma IEC 61511:
Gestión de seguridad funcional o Gestión de seguridad funcional y evaluación y
auditoría de la seguridad funcional (Cláusula
5)
o Estructura de ciclo de vida de seguridad
(Cláusula 6.2)
19. Página 6 de 9
Ingeniería básica del
proyecto y diseño
conceptual
• Crear diseño conceptual
del proceso
• Identificar peligros
potenciales
Diseño detallado
• Diseño detallado de
- instalación de
dispositivos de campo del
SIS
- hardware de
solucionadores lógicos del
Instalación y puesta en
marcha
• Instalar los dispositivos de
campo del SIS
• Instalar los solucionadores
lógicos del SIS
• Integrar el SIS en el
Modificación
y
actualización
Diseño
detallado
y
construcción
Instalación
y
Puesta
en marcha
Provisión de
seguridad
funcional
Gestión
de
seguridad
funcional
Diseño conceptual
del proceso e
ingeniería
básica del
proyecto
Gestión
de
seguridad
funcional
Instalación
y
Puesta
en marcha
Modificación
y
actualización
Diseño
detallado
y
construcción
Provisión de
seguridad
funcional
Diseño conceptual
del proceso e
ingeniería
básica del
proyecto
20. Página 7 de 9
• Asignar requisitos de
seguridad
• Decidir si se requiere un
sistema instrumentado de
seguridad (SIS)
• Identificar niveles de
riesgo tolerable y
seleccionar niveles de
integridad de seguridad
objetivos
• Crear una especificación
de requisitos de seguridad
• Seleccionar la tecnología,
arquitectura y filosofía de
pruebas de aceptación
• Calcular el nivel de
integridad de seguridad
(SIL) para cada función de
seguridad
SIS
- Software del SIS
• Verificación del diseño
• Construcción y
verificación del hardware
del solucionador lógico
• Configuración del software
del SIS y pruebas de la
función de seguridad
• Integración del
solucionador lógico del
SIS
• Verificación de la
integración (FAT)
• Crear la documentación
de la instalación y del
comisionamiento
• Crear la documentación
de las operaciones y del
mantenimiento
sistema de control básico
del proceso según se
requiera
• Verificar la instalación
• Comisionar el SIS
• Validar el SIS
Provisión de seguridad
funcional
• Operar y dar
mantenimiento al SIS de
acuerdo con los
procedimientos
documentados
• Realizar las pruebas de
aceptación como se
define en el diseño para
verificar la operación del
SIS
Modificación y actualización
• Se evalúa el alcance de la
modificación
• Si el cambio no afecta el
caso de seguridad,
entonces se hace el
cambio, y se completa
toda la verificación
requerida y se cambian
los procedimientos de
gestión
• Si el cambio es
significativo, entonces se
repite el ciclo de vida de
seguridad
Recursos para cumplimiento
Obviamente, decir que su compañía está comprometida a proporcionar un entorno de trabajo seguro no es
suficiente. La gerencia tiene que proporcionar los recursos necesarios para cumplir ese compromiso – incluyendo
los fondos adecuados, el personal y la capacitación. Eso es parte de la construcción del entorno y de la cultura
que deben existir antes de que se pueda lograr el cumplimiento con IEC 61511.
La norma IEC 61511 requiere que haya personas con conocimiento y experiencia demostrados sobre ingeniería
de seguridad adecuadas para el proceso y para las tecnologías de SIS que se estén usando. La norma también
dice que la gente asignada para la ingeniería, diseño e implementación de los sistemas de seguridad deben tener
o capacitación adecuada,
o habilidades de gerencia y liderazgo adecuadas a su papel en las actividades de ciclo de vida de seguridad, y
o conocimiento de los requerimientos regulatorios legales y de seguridad aplicables.
Entonces, esto se convierte en el trabajo de estos profesionales de seguridad establecer evidencia documentada
de que se ha definido, alcanzado y mantenido adecuadamente el cumplimiento con la norma de seguridad IEC.
21. Página 8 de 9
Si usted no tiene todos los recursos correctos internamente, los proveedores y consultores conocedores le pueden
ayudar. IEC 61511 es una norma internacional, su modelo de ciclo de vida es bien comprendido, y se aplica a un
gran número de compañías. A medida que el número de compañías que lo usa aumenta, el número de recursos
confiables también aumentará – haciendo que sea más fácil encontrar ayuda calificada.
La ventaja PlantWeb
Como proveedor del primer sistema instrumentado de seguridad inteligente en el ramo, Emerson también ofrece
una amplia gama de servicios para ayudarle a garantizar que su sistema de seguridad proporcione la protección
que necesita ... y que continúe proporcionándola. Estos servicios – incluyendo análisis y diseño, implementación,
mantenimiento y modificación – abarcan el ciclo de vida completo de su sistema, con cumplimiento certificado por
TUV con las mejores prácticas de IEC 61511. Si usted quiere, también podemos capacitar a su personal para que
aproveche al máximo su sistema instrumentado de seguridad, o podemos proporcionar acceso a los ingenieros de
seguridad de Emerson en campo en su planta para soporte y mantenimiento.
Beneficios del cumplimiento
Dependiendo de dónde esté ubicado, es posible que la
conformidad con IEC 61511 ó con otras normas de
seguridad sea un requisito legal. Incluso si no lo es, cumplir
tiene sentido.
Por algo, el comité que desarrolló la norma IEC 61511
incluyó expertos de seguridad reconocidos mundialmente
que combinaron su conocimiento y experiencia para crear la
norma. El resultado es un riguroso conjunto de “mejores
prácticas” para diseñar, implementar, verificar, operar y
mantener sistemas instrumentados de seguridad robustos y
fiables.
En breve, es una buena manera de ayudar a garantizar la
seguridad de su planta y de su comunidad, a la vez que se
minimizan los costos de operación.
Pero incluso cuando sí ocurren incidentes de seguridad, el hecho de haber cumplido con la norma puede ser útil.
Las investigaciones posteriores a un accidente o liberación de material al medio ambiente a menudo involucran
agencias gubernamentales que tienen la autoridad de imponer multas, enviar a la gente a la cárcel, clausurar un
establecimiento – o las tres cosas. Entre las preguntas que ellos pueden hacer, se encuentran las siguientes:
o ¿Ha ocurrido esta clase de incidente en esta compañía o establecimiento anteriormente?
o ¿Qué procesos proactivos se usaron para identificar los riesgos?
o ¿Qué métodos se usaron para cuantificar los riesgos?
o ¿Qué acciones se tomaron para mitigar los riesgos?
o ¿Qué proceso se siguió para garantizar que se desplegara la mitigación adecuadamente?
o ¿Qué procesos están implementados para garantizar que la solución de mitigación continúe funcionando
como se espera?
Las respuestas a esas clases de preguntas son exactamente lo que se produce usando la norma IEC 61511. Es
posible que usted se enfrente todavía a una dura investigación, pero si puede demostrar que se definió, se logró y
se mantuvo adecuadamente el cumplimiento con la norma de seguridad de IEC, usted también reducirá el riesgo
de que la agencia de investigación envíe a alguien a prisión o de que clausure la planta.
Agencies que respaldan IEC 61511
incluyen
• Factory Mutual Insurance Company
www.fmglobal.com
• Administración de Seguridad y Salud
Laboral (OSHA) de los Estados Unidos
www.osha.gov
• Agencia de Protección Ambiental (EPA)
de los Estados Unidos
www.epa.gov
• Automation, Software and Information
Technology ASI of TÜV Industrial
Services GmbH
www.tuvasi.com
• Oficina Ejecutiva de Salud y Seguridad
(HSE) del Reino Unido www.hse.gov.uk
22. Página 9 de 9
Sumario
En este curso usted ha aprendido que:
o Para las industrias de procesos, las normas de seguridad claves son IEC 61508, IEC 61511 y ANSI/ISA
S84.00.01-2004.
o Actualmente, en las industrias de procesos, la norma IEC 61511 ó la nueva S84 es la mejor elección para que
los usuarios finales implementen un proyecto de seguridad u operen y mantengan un sistema de seguridad.
o Las tres normas usan un modelo de ciclo de vida basado en el rendimiento, lo que hace más fácil integrarlas
con otras normas – y producir resultados de alta calidad al menor costo posible.
o IEC 61511 permite alguna libertad de personalizar el modelo de ciclo de vida para satisfacer sus necesidades,
siempre y cuando usted cumpla con los requisitos de la norma. Hacerlo requiere que se proporcionen los
fondos adecuados, el personal y la capacitación.
o Además de ayudar a mantener la seguridad de su planta, personal y comunidad, el cumplimiento con las
normas puede hacer más fácil lidiar con las investigaciones después de un incidente de seguridad.
23. SIS 201
Diseño físico
15 minutos
O Generalidades
1 Componentes y subsistemas esenciales
2 Componentes y subsistemas no esenciales
3 ¿Certificado o comprobado en uso?
- Certificado
- Comprobado en uso
4 Probabilidad de falla cuando se necesita el sistema
5 Pruebas de aceptación
6 Diagnósticos
7 Alertas y alarmas inteligentes
8 Sumario
Generalidades
Así como un sistema de control básico de proceso (BPCS) es más que un controlador, un sistema
instrumentado de seguridad (SIS) es más que un PLC de seguridad. Sus componentes físicos
principales son sensores, solucionadores lógicos y elementos finales de control.
En este curso se describe por qué estos componentes son considerados esenciales y otros no, así como
la manera en que la diferencia puede afectar a sus decisiones de diseño. También veremos dos
maneras de establecer que los componentes físicos son adecuados para aplicaciones de seguridad, el
papel que juegan las pruebas para garantizar que los componentes funcionarán cuando se necesite, y
cómo informar a las personas adecuadas cuando hay una indicación de que los componentes no están
funcionando.
A lo largo del curso, estaremos viendo maneras de garantizar que su sistema instrumentado de seguridad
cumpla con los requisitos sin que cueste más de lo necesario.
Al final del curso, usted puede usar el examen para confirmar lo que ha aprendido – y ganar valiosos
Puntos de Recompensa.
Sugerencia
Preste especial atención a lo siguiente:
• Cómo se puede ahorrar tiempo y dinero al distinguir entre los componentes esenciales y los no
esenciales.
• Qué se requiere para usar dispositivos de seguridad no certificados.
• Cómo afecta la probabilidad de falla en demanda (PFD, probabilidad de que el sistema falle cuando
se le necesita) a la selección de los componentes
• Efectos potenciales de diferentes frecuencias de pruebas.
¿Listo(a) para comenzar? Sólo haga clic en el icono “>” a continuación para ir al primer tema.
24. Componentes y subsistemas esenciales
A menudo, cuando se diseña y se especifica un sistema de control básico de sistema (BPCS), se tiende a
comprar tanta funcionalidad y capacidad – las características atractivas – para el BPCS como lo permite
el presupuesto.
Sin embargo, cuando se diseña y se especifica un sistema instrumentado de seguridad (SIS) no se habla
tanto sobre las características atractivas que sobre los componentes y subsistemas esenciales y no
esenciales. Comprender la diferencia le ayuda a diseñar un sistema con el nivel de integridad de
seguridad (SIL) correcto – sin exagerar el diseño de la solución.
Los elementos esenciales son los componentes SIS y los elementos asociados necesarios para llevar a
cabo la función instrumentada de seguridad – incluyendo sensores, solucionadores lógicos, elementos
finales de control, fuentes de alimentación y módulos de E/S. Estos son los elementos que deben cumplir
con los requisitos definidos de nivel de integridad de seguridad (SIL).
Componentes esenciales – en este ejemplo, los que se encuentran dentro del área amarilla – son los
sensores, solucionadores lógicos, elementos finales de control y otro equipo necesario para llevar a cabo
la función instrumentada de seguridad.
Estación de
ingeniería
Estación de
operador
Solucionador lógico
Sistema
instrumentado de
seguridad Sensor Sensor Válvula
25. Componentes y subsistemas no esenciales
Como acabamos de aprender, los componentes y subsistemas SIS esenciales son los necesarios para
llevar a cabo la función instrumentada de seguridad (SIF).
Los componentes no esenciales (conocidos también como “no interferentes”) proporcionan soporte
para diseñar y dar mantenimiento al sistema instrumentado de seguridad, pero su presencia o ausencia
no interfiere con el funcionamiento del sistema instrumentado de seguridad. Los ejemplos incluyen
estaciones de ingeniería, multiplexores HART, calibradores portátiles y estaciones de mantenimiento.
Aunque tales componentes pueden soportar la función de seguridad, no la ejecutan. Como resultado,
no tienen que cumplir con los requisitos de nivel de integridad de seguridad (SIL) – siempre y cuando
usted pueda demostrar que éstos no introducir fallas peligrosas en el sistema instrumentado de
seguridad.
Los componentes no esenciales – como los que se encuentran fuera del área amarilla en este diagrama
– no tienen que cumplir con los requisitos de nivel de integridad de seguridad (SIL).
En la mayoría de los casos, tal como en una estación de ingeniería, es obvio que el componente o
subsistema no es esencial. Otros pueden ser menos obvios.
Vea otra vez la ilustración anterior. En la práctica, el multiplexor HART incluye un panel de terminales de
E/S donde se usan resistencias para extraer la información digital de la señal del sensor de 4-20 mA.
Debido a que la señal del sensor no pasa a través de la electrónica del multiplexor para llegar al
solucionador lógico, la electrónica del multiplexor no se considera como parte del sistema instrumentado
de seguridad, y por lo tanto no tiene que cumplir con los requisitos de nivel de integridad de seguridad.
Una falla en las resistencias podría afectar la seguridad, entonces éstas deben ser incluidas en los
cálculos de nivel de integridad de seguridad.
Usted puede usar el siguiente diagrama para ayudar a determinar si un componente o subsistema es
esencial o no.
Haga clic en la imagen
para ampliarla.
Estación de
ingeniería
Estación de
operador
Solucionador lógico
Sistema
instrumentado de
seguridad Sensor Sensor Válvula
Estación de
mantenimiento
Multiplexor
26. ¿Certificado o comprobado en uso?
Las normas de sistemas de seguridad IEC y ANSI/ISA le proporcionan dos opciones cuando selecciona
dispositivos de sistema de seguridad:
• Usar dispositivos que han sido certificados independientemente como conformes con las normas,
o
• Producir documentación histórica que demuestre que un dispositivo no certificado puede ser
usado en un sistema instrumentado de seguridad. Esta opción se llama comúnmente “uso
anterior” o “comprobado en uso”.
Veamos cada una de estas opciones con más detalle.
¿Es esto
esencial?
¿Puede su falla
afectar la
seguridad o la
disponibilidad?
¿Puedo
tolerar el
efecto en el
valor de SIL?
Ejemplo:
estación
Ejemplo:
resistencias en
el multiplexor
HART
Ejemplo:
- Solucionador lógico
- Válvula
- Sensor
- Fuentes de alimentación
Ignorar
Corregir la práctica
operacional o rediseñar el
sistema instrumentado de
seguridad
Incluir en el nivel
de integridad de
seguridad (SIL)
No
No
No
Sí
Sí
Sí
27. ¿Certificado o comprobado en uso?
Certificado
Certificado. Para lograr el estatus certificado, el fabricante del dispositivo lo envía para ser sometido a
un amplio análisis por parte de un tercero para verificar que cumpla con IEC 61508. Estos terceros se
conocen como organismos certificadores notificados.
La evaluación incluye pruebas y análisis del hardware, software y procesos de ingeniería y fabricación del
dispositivo, y busca establecer
o cómo el dispositivo reacciona a una amplia gama de condiciones de falla potenciales
o si el dispositivo produce errores bajo esas condiciones
o si esos errores se pueden detectar en forma rutinaria
o si los errores son seguros o no seguros
Los dispositivos certificados siempre incluyen un Manual de seguridad que informa al usuario final cómo
instalar, configurar y operar de manera segura el dispositivo certificado. El manual de seguridad también
identifica las limitaciones de la funcionalidad del dispositivo – en otras palabras, qué cosa no hará. (Por
esa razón, un pequeño manual puede ser una indicación de un buen dispositivo.)
Si usted no tiene un historial de uso anterior para el dispositivo funcionando bajo condiciones similares, el
use de dispositivos SIS certificados es a menudo la solución con mejor relación costo-beneficio.
¿Certificado o comprobado en uso?
Comprobado en uso
Comprobado en uso. Para lograr la aprobación de comprobado en uso, el fabricante del dispositivo
debe comprobar que tiene un sistema de calidad o de gestión de cambios para el dispositivo específico.
Luego, usted tiene que documentar que tiene el mismo dispositivo funcionando bajo condiciones
similares a las del sistema instrumentado de seguridad propuesto, tal como con un sistema de control
básico del proceso (BPCS).
Además, usted debe documentar el historial de uso y fallas del dispositivo para determinar el tiempo
medio entre fallas (TMEF o MTBF –por sus siglas en inglés). Esta documentación debe soportar
• Su declaración de que el dispositivo es capaz de cumplir con los requisitos SIL definidos, y
• Los números de probabilidad de falla en demanda (PFD) – descritos en el siguiente tema – que usted
usa para calcular el nivel de integridad de seguridad (SIL) del lazo.
El uso anterior documenta el historial del dispositivo bajo condiciones de uso reales. Estas condiciones se
deben extender más allá del dispositivo para incluir las conexiones del proceso, los elementos primarios y
las prácticas de instalación. Para las plantas que tienen estos datos disponibles, el uso anterior puede a
menudo cumplir con los requisitos de seguridad necesarios con una mejor relación costo-beneficio.
Como regla del pulgar, los dispositivos más complejos deben ser certificados. Si un dispositivo es
programable, entonces es muy probable que sea complejo.
La ventaja PlantWeb
La ventaja PlantWeb
El controlador de válvula digital Fisher FIELDVUE DVC6000 de Emerson ha sido certificado por
TÜV para usarse en aplicaciones SIL 3, y los transmisores de presión/presión diferencial
3051S y de temperatura 3144P de Rosemount han sido certificados por TÜV para usarse en
aplicaciones SIL 2 (aplicaciones SIL 3 cuando se usan en forma redundante).
28. La colección y mantenimiento de datos de uso anterior puede ser desafiante y costoso. Eso es porque
Los fabricantes cambian los diseños del producto, que puede impedir que usted confíe en la
experiencia de usar un diseño anterior.
Tradicionalmente, los proveedores no han dado a los usuarios manuales de seguridad que muestren
cómo usar adecuadamente los productos en aplicaciones de seguridad y cómo hacerles pruebas de
aceptación.
Es posible que haya pocos o nada de datos de falla de seguridad disponibles sobre el producto.
Para muchos dispositivos de Emerson, sin embargo, Emerson puede ayudar a los usuarios a colectar y
gestionar los datos que necesitan para construir su caso de uso anterior, incluyendo
Efectos de modo de falla y análisis de diagnóstico (FMEDA) para mostrar los modos de falla
(peligroso o seguro) y las tasas de falla
Cálculos de beta para proporcionar probabilidades de falla de causa común
Manuales de seguridad para proporcionar instrucciones sobre el uso adecuado y procedimientos de
pruebas
Prueba de la gestión de cambios
Prueba de horas de operación
Seguimiento en línea de los cambios de hardware y software
Notificaciones de cambio de hardware y software
Probabilidad de falla cuando se necesita el sistema
Un sistema instrumentado de seguridad no puede ejecutar su función a menos que cada uno de sus
componentes funcione adecuadamente cuando se le necesita. Pero la realidad es que todo el equipo
tiene algún riesgo de falla. (Si no lo tuviera, usted no necesitaría un sistema instrumentado de seguridad,
¿o sí?)
Es por eso que cuando se diseña un sistema, es esencial que se comprenda la tasa de falla de cada uno
de los componentes, o probabilidad promedio de falla en demanda (PFDprom), para proporcionar un
nivel dado de reducción de riesgo. Usted quiere componentes con una probabilidad de falla en demanda
(PFD) que sea suficientemente baja para proporcionar el factor de reducción de riesgo correcto (FRR o
RRF), pero no tan baja que usted termine con un diseño exagerado (y demasiado costoso).
Consideremos el ejemplo del tanque de amoniaco del curso SIS 101. Suponga que instalamos un
sistema diseñado para evitar una ruptura en el tanque, y 1 vez de cada 10 no funciona cuando se
necesita (PFD=1/10 ó 0.1). Sin un sistema, el tanque habría sufrido una ruptura 10 veces; con el sistema
instalado, sufrirá una ruptura sólo una vez. Por lo tanto, hemos reducido el riesgo en un factor de 10 – y
descubrimos que PFD=1/FRR.
Como usted vió en el curso SIS 101, cada nivel de integridad de seguridad (SIL) describe un rango de
factores de reducción de riesgo objetivo. Ahora podemos agregar una tercera columna a la tabla que
presentamos en ese curso:
29. Nivel de integridad de
seguridad
Factor de reducción de riesgo
objetivo
Probabilidad promedio de
falla en demanda (PFDprom)
objetivo
4 >10,000 a ≤100,000 1/10,000 a 1/100,000
3 >1,000 a ≤10,000 1/1000 a 1/10,000
2 >100 a ≤1,000 1/100 a 1/1000
1 >10 a ≤100 1/10 a 1/100
Adaptado de IEC 61511-1 Tabla 3
Al conocer el valor de PFD de un dispositivo usted podrá decidir si debe incluirlo en su diseño. ¿Pero
qué sucede una vez que el sistema instrumentado de seguridad es operativo?
Pruebas de aceptación
Los componentes esenciales de un sistema instrumentado de seguridad deben ser probados
periódicamente para comprobar que funcionarán cuando se necesite – o para descubrir problemas y
restaurar el sistema a su funcionalidad de seguridad diseñada.
La frecuencia con la que se deben realizar estas pruebas depende de la probabilidad promedio de falla
en demanda (PFDprom) del componente. Entre más frecuentes sean las pruebas, mayor es la seguridad
de que el componente funciona bien – lo que significa que la PFDprom es menor y por lo tanto el factor de
reducción de riesgo (FRR) es mayor.
La ejecución de una prueba de aceptación de todo el sistema generalmente es posible sólo cuando el
proceso está parado. Aunque las pruebas completas del sistema se necesitan periódicamente, usted
puede reducir la frecuencia de los paros requeridos conduciendo pruebas provisionales de lo que
típicamente se considera mayores factores contribuyentes a la PFDprom: los elementos finales de control.
Por lo tanto, para mantener el sistema instrumentado de seguridad en cumplimiento se requiere escoger
entre tres opciones:
1. Diseñar el sistema instrumentado de seguridad de manera que no necesite pruebas durante largos
períodos entre paros de la planta. Con plantas operando dos, tres o más años entre paros
programados, ésta puede ser una opción muy costosa – y podría ser imposible lograrla en la práctica.
2. Instalar líneas de desviación alrededor de cada elemento final de control para facilitar la prueba de
aceptación completa mientras el proceso permanece en operación. Ésta también es una opción
costosa, y deja al proceso desprotegido durante los períodos de prueba. También existe el riesgo de
que se dejen las líneas de desviación abiertas inadvertidamente después de que se completa la
prueba.
3. Usar pruebas de válvula de carrera parcial manuales o automatizadas (que no requieren un paro
de proceso) para reducir la PFDprom. Los análisis de fiabilidad generalmente muestran que los
problemas relacionados con las válvulas, tales como un vástago o tapón atascados, son los mayores
contribuyentes a la PFDprom del sistema instrumentado de seguridad total. Una prueba de carrera
parcial puede detectar estos problemas – o comprobar que no existen.
Los siguientes tres diagramas ilustran cómo las pruebas más frecuentes pueden reducir la PFDprom o
extender los intervalos entre pruebas de aceptación completas.
30. La probabilidad de falla en demanda (PFD) se incrementa en el tiempo pero regresa a su nivel original
cuando una prueba de aceptación completa muestra que todo funciona correctamente – en este caso,
durante un paro cada tres años.
La ejecución de la misma prueba dos veces a menudo reduce la PFD promedio. Como resultado, usted
puede usar el mismo equipo para cumplir con un requisito SIL mayor, o puede usar equipo menos
costoso para el mismo SIL.
Otro enfoque es ejecutar pruebas de aceptación completas sólo la mitad de la frecuencia, pero usar
frecuentes pruebas de carrera parcial para mantener la misma PFD promedio.
Prueba de
aceptación
total
Prueba de
aceptación
total
Prueba de
aceptación
total
Años
PFD
PFDprom
Prueba de
aceptación
total
Prueba de
aceptación
total
Años
PFD
PFDprom
PFDprom
Prueba de
aceptación
total
Prueba de
aceptación
total
Prueba de
aceptación
total
Prueba de
aceptación
total
Años
PFD
PFDprom
Pruebas carrera
parcial
Prueba de
aceptación
total
Pruebas carrera
parcial
31. Los solucionadores lógicos y controladores de válvula SIS inteligentes pueden trabajar juntos para
automatizar las pruebas de carrera parcial, haciendo que sea más fácil y más económico realizar estas
pruebas más a menudo. Estas pruebas automatizadas también evitan los riesgos de seguridad
asociados cuando se envía a alguien al campo para ejecutar la prueba, y el riesgo de que la válvula de
paro de emergencia no esté disponible si se necesita durante la prueba.
Los solucionadores lógicos y controladores de válvula inteligentes también facilita la detección de
problemas potenciales al comparar los resultados de la prueba actual con respecto a los de la prueba
anterior o cuando se instaló la válvula.
Para aprender más de este tema, vea el informe de Exida "The effects of partial-stroke testing on SIL
levels" (Los efectos de las pruebas de carrera parcial sobre los niveles SIL)
<http://www.exida.com/articles/Partial%20Valve%20Stroke%20Testing.pdf >
Diagnósticos
Otra manera de incrementar la fiabilidad de su sistema instrumentado de seguridad es escoger
componentes con diagnósticos integrados. Esto es especialmente importante para sensores y elementos
finales de control: más del 85% de los problemas que afectan a la operación de un sistema instrumentado
de seguridad se relacionan con los dispositivos de campo, no con el solucionador lógico.
La ventaja PlantWeb
El sistema instrumentado de seguridad inteligente de Emerson está diseñado para
automatizar las pruebas de carrera parcial, evitando los mayores costos y los riesgos
potenciales de las pruebas manuales – incluyendo mayor mano de obra, exposición de los
trabajadores a condiciones peligrosas, e incluso la reducción de la seguridad al no seguir
los procedimientos adecuados.
El controlador de válvula digital FIELDVUE, usado en combinación con el software AMS
Device Manager, documenta la firma original de la válvula y otros datos, así como el
tiempo de prueba de carrera parcial, la fecha y los resultados. El controlador de válvula
FIELDVUE también es parte de la solución de actuador de válvula/controlador SIL-PAC
disponible para aplicaciones SIS. El solucionador lógico SIS de DeltaV puede automatizar
el inicio de la prueba de carrera parcial y colectar los resultados en datos pasa-falla.
Usted también puede reducir la frecuencia de las pruebas de aceptación escogiendo
dispositivos con bajas tasas de falla – tales como los transmisores Rosemount y medidores
de flujo tipo Coriolis de Micro Motion que también pueden ser componentes clave de
nuestro sistema instrumentado de seguridad inteligente.
Fuentes de fallas en sistemas instrumentados de seguridad
Sensores Solucionadores lógicos
Elementos
finales
Fuente: Análisis de Emerson de datos OREDA
32. Los dispositivos que brindan capacidades de diagnóstico usan microprocesadores incorporados en la
tarjeta para monitorizar y reportar su propio estado. Algunos pueden incluso predecir problemas
potenciales a tiempo para que usted tome la acción correctiva antes de que la seguridad se vea
comprometida.
Mientras los dispositivos continúan haciéndose "inteligentes", las capacidades de diagnóstico se pueden
extender más allá de su propia condición operativa hacia el proceso circundante. Por ejemplo, si un
medidor de flujo simplemente reporta que hay un problema, el personal de mantenimiento podría
reemplazarlo – pero eso no eliminaría una condición de slug-flow (densidad fuera de los límites), que es
un problema del proceso. Los diagnósticos que le alertan sobre tales condiciones pueden permitirle
resolver un problema del proceso antes de que se convierta en un problema de seguridad.
La ventaja PlantWeb
Los dispositivos inteligentes del sistema instrumentado de seguridad inteligente de Emerson brindan una
amplia gama de diagnósticos avanzados. Por ejemplo, el controlador de válvula digital DVC6000 SIS
puede diagnosticar problemas en el actuador y en la válvula así como en sí mismo. Un transmisor 3144P
SIS de Rosemount puede indicar cuando detecta una sonda de temperatura defectuosa. Además, un
medidor de flujo inteligente tipo Coriolis de Micro Motion puede detectar condiciones del proceso tales
como slug flow, o cambios en la densidad de los reactivos que podría indicar que un catalizador se está
contaminando.
Alertas y alarmas inteligentes
Las pruebas de carrera parcial, los diagnósticos y otras tecnologías para identificar (o incluso predecir)
problemas en lazos de seguridad pueden ayudar a mantener la PFDprom requerida – pero sólo si la gente
adecuada averigua sobre los problemas a tiempo para tomar la acción correctiva.
La detección comienza en el proceso, usando dispositivos inteligentes capaces de monitorizar
continuamente la condición operativa de los dispositivos y del lazo. Esto incluye la detección de
condiciones tales como una válvula que se pega, baja presión de suministro de aire del actuador o un
sensor de temperatura defectuoso.
A quién se debe informar – y cómo – depende de la naturaleza de un problema detectado. Para deterioro
gradual que pudiera conducir a un problema en el futuro, un correo electrónico automático al personal de
mantenimiento podría permitirles programar las reparaciones adecuadamente. Por el contrario, las
situaciones que representan una amenaza en un futuro cercano al proceso o la fiabilidad SIS podrían
generar una alarma inmediata para alertar a los operadores para que tomen la acción correctiva.
En todos los casos, es posible que se requiera la creación de un registro del problema en papel para
satisfacer los requisitos normativos de informes.
33. Sumario
En este curso usted ha aprendido que:
• Los componentes físicos principales de un sistema instrumentado de seguridad son sensores,
solucionadores lógicos y elementos finales de control.
• Los componentes y subsistemas esenciales son aquéllos necesarios para llevar a cabo la función
instrumentada de seguridad. Éstos deben cumplir con los requisitos de nivel de integridad de
seguridad (SIL).
• Los componentes y subsistemas no esenciales proporcionan soporte para diseñar o dar
mantenimiento al sistema instrumentado de seguridad, pero no interfieren con su funcionamiento.
Éstos no tienen que cumplir con los requisitos SIL.
• Los componentes esenciales del sistema instrumentado de seguridad deben ser certificados o
comprobados en uso. El mejor enfoque generalmente depende de la complejidad del dispositivo y de
si usted tiene suficientes datos de uso anterior.
• La probabilidad de falla en demanda (PFD) de un componente o sistema afecta a su habilidad de
proporcionar la reducción de riesgo necesaria y el nivel de integridad de seguridad (SIL).
• Las pruebas de aceptación más frecuentes pueden reducir la PFD, y las pruebas de carrera parcial
pueden extender los intervalos entre las pruebas de aceptación completas.
• Las alarmas inteligentes ayudan a informar a la gente correcta cuando hay un problema potencial con
el proceso o sistema.
La ventaja PlantWeb
PlantWeb Alerts notifica a la gente adecuada sobre problemas potenciales – sin abrumar a
los operadores con alarmas molestas. Esta capacidad es posible gracias a los diagnósticos
de los dispositivos de campo inteligentes de Emerson, al software AMS™ Suite: Intelligent
Device Manager y al sistema DeltaV™, permite analizar inmediatamente la información
entrante, clasificarla de acuerdo a quién se debe avisar, darle prioridad de acuerdo a la
gravedad y criticidad en el tiempo, y luego no sólo decir a los destinatarios qué está mal sino
aconsejarles sobre qué hacer al respecto – en un lenguaje cotidiano claro.
Con el complemento opcional SIS Reporting Messenger, los resultados detallados de las
pruebas de diagnóstico SIS del actuador de carrera parcial, sensor y condición operativa del
lazo SIS se transmiten y se imprimen automáticamente.
34. SIS 202
Diseño funcional
15 minutos
O Generalidades
1 Tipos de software
2 Ciclo de vida de desarrollo
3 Módulos de software certificados
4 Herramientas de utilidad de software
5 Sumario
Generalidades
En el curso anterior usted aprendió acerca de los aspectos físicos (hardware) de un sistema
instrumentado de seguridad. Ahora concentraremos nuestra atención a los aspectos funcionales
(software).
Usted puede pensar que el software es algo fácil de arreglar si hay un problema. Pero en sistemas de
seguridad, es esencial hacer lo correcto. Aproximadamente la mitad de los accidentes ocasionados por
fallas de control y del sistema de seguridad se originan debido a errores o decisiones deficientes tomadas
antes de que los sistemas salgan de la mesa de dibujo. Así que una buena ingeniería en este punto hace
una gran diferencia en qué tan bien – o incluso si – su sistema instrumentado de seguridad hará su
trabajo.
Este curso describe aspectos clave para garantizar que su software permita que el sistema de seguridad
ejecute sus funciones.
Al final del curso, hay un breve examen que puede usar para confirmar lo que ha aprendido – y ganar
valiosos Puntos de Recompensa.
Sugerencia
Mientras estudia los temas de este curso, busque las respuestas a estas preguntas:
• ¿Cuáles son los tres tipos de software de un sistema de seguridad?
• ¿Cuáles son los dos lados del “modelo V” de desarrollo de software?
• ¿Cuáles son los beneficios de usar módulos de software certificados para sistemas instrumentados
de seguridad?
¿Listo(a) para comenzar? Sólo haga clic en el icono “>” a continuación.
Causas raíz de fallas en sistemas de control y de seguridad
Especificación
Diseño e
implementación
15%
Fuente: Oficina Ejecutiva de Salud y Seguridad
44%
Instalación y
comisionamiento
6%
Cambios después
del comisionamiento
20%
Operación y mantenimiento
15%
35. Tipos de software
La norma IEC 61511 identifica tres tipos de software:
1. Aplicación: El software que usted desarrolla específicamente para su solución SIS – en otras
palabras, la configuración del sistema.
2. Utilidad: Las herramientas de software que usted usa para desarrollar, verificar y dar mantenimiento
al software de aplicación.
3. Integrado: El software (también llamado firmware) que está “integrado” a los productos SIS.
El software de utilidad e integrado es generalmente proporcionado por los fabricantes de instrumentos y
de sistemas de control como parte de sus productos. Cuando estos productos están certificados para
aplicación SIS, los proveedores generalmente tienen la responsabilidad primaria de garantizar que este
software cumple con las normas IEC 61508.
Por otro lado, toda la responsabilidad de garantizar que el software de aplicación cumpla con los
requisitos, es de usted – aunque los consultores e integradores pueden ayudar.
Ciclo de vida de desarrollo
El gigante de las computadoras IBM usa la regla “1-10-100” para explicar la importancia del diseño de
buen software: Por cada error de software que se pueda quitar por $1 durante la fase de diseño, si se
espera para quitarlo durante las pruebas costará $10, y si se espera hasta que se ha entregado el
software costará $100.
En el mundo de la seguridad, los costos pueden ser mayores – y medidos en términos de vida y
miembros. Por eso es importante garantizar la calidad del software desde el principio, y continuar
verificándola a lo largo del proceso de desarrollo.
IEC 61511 permite alguna flexibilidad en la manera en que usted desarrolle el software de aplicación para
su sistema instrumentado de seguridad. Sin embargo, requiere que el proceso de desarrollo sea
estructurado con cuidado para evitar errores de ingeniería que ocasionen fallas peligrosas durante la
operación. También requiere que se verifique y se valide que la solución de aplicación del software
funcione como se define en la documentación de diseño.
La norma incluye el “modelo V” de desarrollo de software popular para ilustrar las actividades necesarias
para garantizar que esto suceda. El lado izquierdo de la V muestra las actividades de desarrollo de
software, y el lado derecho muestra las actividades correspondientes de verificación y validación.
Haga clic en la imagen
para ampliarla.
36. El proceso comienza con la especificación de los requisitos de seguridad (SRS) y progresa a través del
diseño cada vez más detallado y etapas de desarrollo. Luego, una serie de pruebas cada vez a mayor
escala verifica que el trabajo hecho en cada etapa haya cumplido con los requisitos de seguridad. Al final
del proceso, la exitosa prueba de integración conduce al software validado.
Este proceso – incluyendo la planificación y documentación de las pruebas – se describe con más detalle
en el siguiente curso, SIS 203 – Verificación y validación del sistema instrumentado de seguridad.
Módulos de software certificados
El diseño de software moderno generalmente usa código modular que se desarrolla una vez pero se usa
repetidamente – evitando el tiempo, el costo y los errores que pueden resultar de “reinventar la rueda”.
La norma IEC le proporciona dos opciones: crear y validar su propia librería de módulos de software de
aplicación, o usar módulos predesarrollados, probados y certificados por un tercero.
Cuando usted usa módulos certificados proporcionados por fabricantes de productos SIS, no sólo evita el
tiempo y el costo asociados con el desarrollo de ese código. También evita el requisito de probar cada
módulo. El proveedor y la organización certificadora ya han hecho el trabajo por usted.
Especificación de
requisitos de seguridad
del SIS
Arquitectura
del
subsistema
Especificación de
requisitos de
seguridad del software
de aplicación
Diseño de la
arquitectura del
software de
aplicación
Validación de la
seguridad del
SIS
Pruebas de
integración del
software de
aplicación del
sistema electrónico
programable (PES)
Desarrollo del
software de
aplicación
Desarrollo del
módulo de
aplicación
Pruebas del
software de
aplicación
Pruebas del
módulo de
aplicación
Desarrollo y pruebas del
código – sólo lenguaje de
variabilidad total (FVL)
Salida
Verificación
Ciclo de vida de desarrollo de software (modelo V) de IEC 61511-1
Sistema
instrumentado de
seguridad validado
37. Haga clic en la imagen
para ampliarla.
Si usted decide crear sus propios módulos de desarrollo de aplicación, debe comprender que la norma
IEC establece requisitos muy estrictos para diseñar, desarrollar y probar estos módulos de software
reusables.
El resultado final es que los módulos de software de aplicación deben ser “a prueba de balas”, y quien los
desarrolle asume la responsabilidad y el riesgo de garantizar que eso sea así.
Especificación de
requisitos de seguridad
del SIS
Arquitectura
del
subsistema
Especificación de
requisitos de
seguridad del software
de aplicación
Diseño de la
arquitectura del
software de
aplicación
Desarrollo del
software de
aplicación
Desarrollo del
módulo de
aplicación
Validación de la
seguridad del
SIS
Pruebas de
integración del
software de
aplicación del
sistema electrónico
programable (PES)
Pruebas del
software de
aplicación
Pruebas del
módulo de
aplicación
Desarrollo y pruebas del
código – sólo lenguaje de
variabilidad total (FVL)
Sistema
instrumentado de
seguridad validado
Salida
Verificación
Ciclo de vida de desarrollo de software (modelo V) de IEC 61511-1
No se requiere si se
usan bloques de
funciones
certificados de
seguridad para
desarrollar la
aplicación.
38. Herramientas de utilidad de software
Como cualquier otro oficio, el desarrollo de software tiene herramientas para acelerar y simplificar el
trabajo.
IEC 61511 agrupa cosas tales como los lenguajes de programación de aplicación, herramientas de
gestión de configuración, simulaciones, arneses de prueba y medición de cobertura de prueba automática
bajo el encabezado software utility tools (herramientas de utilidad de software). La norma le permite
una considerable flexibilidad en la selección de estas herramientas – incluyendo el uso o desarrollo de
sus propias herramientas.
Sin embargo, antes de poder usar una herramienta (comprada o desarrollada) para ayudar a lograr el
cumplimiento con IEC, el manual de usuario de la herramienta debe documentar completamente lo
siguiente:
• Cómo usar la herramienta
• Restricciones de uso
• Puntos débiles conocidos
• Limitaciones de la versión
…y temas similares.
Debido a la importancia de las herramientas de desarrollo de aplicación, la norma requiere que usted use
un intérprete/compilador del lenguaje comprobado que pueda detectar errores de programación y de
sintaxis – y que no introduzca errores él mismo.
La ventaja PlantWeb
El sistema DeltaV SIS que es parte del sistema instrumentado de seguridad inteligente de
Emerson incluye una completa paleta de bloques de funciones certificados por TÜV incluyendo
Voter (votante), Cause and Effect Matrix (matriz de causa y efecto), Step Sequencer
(secuenciador por pasos) y State Transition Table (tabla de transición de estado).
Poderosos bloques inteligentes de funciones, tales como bloques de votante MooN (M de N)
con funcionalidad de desviación integrada reducen lo que una vez requirió el desarrollo de
páginas de lógica de escalera a una simple actividad de configuración arrastrando y soltando
(drag-and-drop).
Otras capacidades del software DeltaV SIS, tales como una máquina de estado de alarmas
integrada a la norma EEMUA 191, simulación fuera de línea, secuencia de registrador de
eventos, manipulación de desviación y anulación, hacen que el mantenimiento de sistemas
instrumentados de seguridad sea fácil y menos complejo.
Todas estas capacidades integradas ayudan a automatizar el cumplimiento con IEC 61511,
simplificando así los requisitos de documentación y reduciendo sus costos del ciclo de vida y
los riesgos.
39. La ventaja PlantWeb
Una herramienta de utilidad de software clave en el sistema instrumentado de seguridad inteligente de
Emerson es el software AMS™ Suite: Intelligent Device Manager, que le permite verificar que la
configuración e instalación de los instrumentos de campo sea adecuada. Su capacidad QuickCheck
(revisión rápida) también simplifica la validación de interlock al permitirle poner varios instrumentos en
modo de revisión fijo al mismo tiempo. Además, durante la modificación del sistema instrumentado de
seguridad se puede usar para comparar las nuevas configuraciones de los dispositivos con otras
anteriores.
Para ver un estudio de un tercero sobre éstas y otras capacidades, consulte “AMS Safety Analysis: Using
AMS Suite in Safety Instrumented System Applications” (Análisis de seguridad de AMS: Uso de AMS
Suite en aplicaciones de sistemas instrumentados de seguridad).
<www.emersonprocess.com/sis/resources/ams_safety_analysis.pdf>
Sumario
En este curso usted ha aprendido que:
• La buena ingeniería de software es esencial para evitar problemas de seguridad que se “diseñan” en
el sistema instrumentado de seguridad.
• La norma IEC 61511 identifica tres tipos de software: software de aplicación, software de utilidad y
software integrado (también llamado firmware).
• Aunque los proveedores tienen generalmente la responsabilidad primaria por el software de utilidad y
el integrado, depende de usted garantizar que el software específico a la aplicación cumpla con la
norma.
• Para cada fase del diseño y desarrollo de software, hay una fase de pruebas correspondiente para
verificar que el software cumpla con los requisitos.
• El uso de módulos de software precertificados puede reducir el tiempo y costo de desarrollo y
pruebas.
40. SIS 203
Verificación y validación
15 minutos
O Generalidades
1 Verificación
2 Validación
3 Un enfoque estructurado
4 Descomposición del sistema
5 Planificación de las pruebas
6 Documentación
7 Sumario
Generalidades
Todos sabemos que el mejor diseño sólo es bueno como lo es su implementación. Por eso es que no es
suficiente diseñar un sistema instrumentado de seguridad (SIS) para cumplir con los requisitos de
seguridad. Usted también tiene que comprobar que
o cada paso del esfuerzo de diseño cumpla con los requisitos adecuados como se define en la
especificación de requisitos de seguridad (SRS)
o el sistema instrumentado de seguridad ejecutará su función de seguridad
Estas dos actividades se llaman verificación y validación. La verificación tiene lugar en cada paso en el
ciclo de vida de seguridad, mientras que la validación ocurre después de que se instala el sistema y antes
de ponerlo en servicio.
Ambas actividades le ayudan a quitar tantas fallas sistemáticas del sistema instrumentado de seguridad
como sea posible. Las fallas sistemáticas son las que están “integradas” al sistema como resultado de
errores humanos, contrario a las fallas aleatorias que ocurren cuando el equipo se descompone.
Este curso muestra cómo la verificación y validación proporcionan un alto nivel de garantía de que el
sistema instrumentado de seguridad funcionará de acuerdo con su especificación de requisitos de
seguridad (SRS). También aprenderá maneras de estructurar los esfuerzos de verificación y validación
para hacerlos más manejables, y cómo las prácticas de documentación le pueden ayudar a producir (y
mantener) la prueba de que su sistema instrumentado de seguridad está diseñado e implementado
adecuadamente.
Al final del curso, usted puede usar el examen para confirmar lo que ha aprendido – y ganar valiosos
Puntos de Recompensa.
Sugerencia
Preste especial atención a …
• La diferencia entre verificación y validación
• Cómo “descomponer” el sistema instrumentado de seguridad en subsistemas
• Cómo pueden ayudar los modelos de validación como IQ-OQ-PQ
• Qué debe incluir en sus planes de pruebas
• Qué logra la buena documentación.
¿Listo(a) para comenzar? Sólo haga clic en el icono “>” a continuación.
Verificación
41. La verificación ocurre al final de cada paso del ciclo de vida de seguridad. Demuestra que el trabajo ha
cumplido con los objetivos y requisitos para esa actividad específica.
La verificación (y documentación de los resultados) tiene lugar en cada etapa del ciclo de vida de
seguridad.
La verificación se puede realizar mediante análisis, pruebas o una combinación de ambos. Las
actividades podrían incluir:
• Revisión de documentos de todas las fases del ciclo de vida de seguridad para garantizar el
cumplimiento con los objetivos y requisitos
• Revisión del diseño
• Pruebas de los productos diseñados para garantizar que funcionen de acuerdo con su especificación.
Esto es especialmente valioso para componentes modulares – tales como el código para un
algoritmo de votante – que se usará muchas veces.
• Pruebas de integración realizadas cuando se juntan diferentes partes del sistema.
Las actividades de verificación y sus resultados se documentan completamente para mostrar no sólo que
el diseño ha cumplido con los requisitos, sino también que usted ha comprobado para asegurarse de que
así sea – y que ha hecho las correcciones necesarias.
Validación
La validación se basa en las actividades de verificación agregando pruebas completas del sistema
instrumentado de seguridad completado para comprobar que todo funcione como debe. Esto demuestra
que cada función de seguridad del sistema instrumentado de seguridad, así como el sistema en sí,
cumplen con todos los requisitos contenidos en la especificación de requisitos de seguridad (SRS).
Mientras que la verificación se hace en todo el proyecto y se puede realizar donde se está haciendo el
trabajo, la validación ocurre sólo en sitio, después de que se ha instalado y comisionado el sistema.
Entre otras cosas, las pruebas de validación pueden incluir la confirmación de que …
Modificación
y
actualización
Diseño
detallado
y
construcción
Instalación
y
Puesta
en marcha
Provisión de
seguridad
funcional
Gestión
de
seguridad
funcional
Diseño conceptual
del proceso e
ingeniería
básica del
proyecto
42. • El sistema funciona adecuadamente en todos los modos de operación relevantes (puesta en
marcha, paro, automático, semiautomático, etc.)
• El sistema instrumentado de seguridad funciona satisfactoriamente bajo los modos de operación
normal y anormal como se define en la especificación de requisitos de seguridad
• La interacción del sistema de control básico (BPCS) y otros sistemas conectados no afecta o
restringe la habilidad de respuesta del sistema instrumentado de seguridad
• Los sensores, solucionadores lógicos y elementos finales de control (incluyendo canales
redundantes) funcionan como se requiere
• El sistema instrumentado de seguridad funciona adecuadamente con valores de proceso no
válidos, tales como valores “fuera de rango” de sensor
• El sistema instrumentado de seguridad funciona como está diseñado cuando ocurre pérdida y
restauración de servicios públicos, tales como energía eléctrica, aire de instrumento o hidráulica.
La validación requiere una planificación precisa para identificar y documentar los procedimientos,
medidas y pruebas que se usarán, así como el orden y programa de las pruebas y las aptitudes
requeridas del personal que las realizará.
Es un gran trabajo que puede requerir muchos recursos. Pero cuando usted recuerde que el sistema
instrumentado de seguridad existe para proteger a su comunidad, vecinos, familia, compañeros de
trabajo y al medio ambiente, hacer menos no es una opción.
Y afortunadamente, hay maneras de hacer que la tarea sea más manejable.
43. Un enfoque estructurado
Usted recuerda que IEC 61511 define qué debe hacer y por qué, dejando que usted determine cómo
hacerlo. Usted puede organizar y conducir los procesos de verificación y validación en cualquier manera
que se acople a su situación – siempre y cuando produzca evidencia documentada de que el sistema
instrumentado de seguridad cumple con la especificación de requisitos de seguridad.
Pero en lugar de pasar por todo el esfuerzo de crear un enfoque de validación único, considere adoptar
uno que ya se usa habitualmente en la industria. Aunque no se define en IEC 61511, un ejemplo muy
usado es el enfoque estructurado prescrito por la Administración de Alimentos y Bebidas (FDA) de los
Estados Unidos para validar los sistemas de control básico de procesos.
Este modelo bien comprendido y bien documentado separa el trabajo en tres fases: Calificación de la
instalación (IQ), calificación operativa (OQ) y calificación del funcionamiento (PQ).
o La calificación de la instalación prueba y documenta que los
aspectos físicos individuales de la solución SIS – dispositivos y
subsistemas – están instalados correctamente. Se realiza antes
de energizar.
Para el ejemplo del tanque de amoniaco que vimos en un curso
anterior, la IQ podría incluir la confirmación de que los sensores
de presión instalados en el tanque sean del modelo correcto, que
tengan la documentación de seguridad requerida, que hayan sido
instalados de acuerdo con el diseño y especificaciones del
fabricante, que estén conectados correctamente y que tengan
todos los interruptores y puentes configurados adecuadamente.
o La calificación operativa prueba y documenta que los aspectos
físicos y de software individuales de la solución SIS funcionen
como deben. Como la IQ, la OQ prueba dispositivos y
subsistemas.
Por ejemplo, usted podría revisar que cada sensor tenga los
voltajes correctos, que la prueba de carrera parcial esté
configurada correctamente en los controladores de válvula y que los solucionadores lógicos tengan
su configuración descargada y que no reporten errores.
o La calificación del funcionamiento prueba y documenta que el sistema instrumentado de seguridad
como un todo es capaz de realizar las funciones de seguridad definidas de acuerdo con la
especificación de requisitos de seguridad.
La PQ es una prueba integrada de procedimientos, personal, procesos y el sistema instrumentado de
seguridad completo. Ocurre después de que se hayan completado todas las actividades de IQ y OQ
tanto para los aspectos físicos (hardware) como los funcionales (software) del sistema instrumentado
de seguridad. Cualquier problema que se encuentre durante la calificación del funcionamiento (PQ)
debe ser investigada, corregida y documentada.
Debido a que IEC 61511 representa un marco para aplicar buenas prácticas para lograr una solución SIS
robusta, la adopción de buenas prácticas existentes como el enfoque IQ-OQ-PQ tiene más sentido que
crearlas desde cero.
Usted puede simplificar más el esfuerzo conduciendo las pruebas función de seguridad por función de
seguridad. Continuemos con la descripción de esta “descomposición” del sistema.
Descomposición del sistema
¿Está cada componente
instalado correctamente?
¿Funciona cada
componente
correctamente?
¿Funciona todo el
sistema correctamente?
44. Verificar y validar un sistema instrumentado de seguridad completo puede parecer (y ser) una tarea
desalentadora – a menos que usted divida el trabajo en partes manejables.
Una manera de hacer esto es descomponiendo la solución SIS en funciones instrumentadas de
seguridad (SIFs) e identificando los dispositivos y subsistemas que realizan cada función instrumentada
de seguridad. Al ver cada componente por separado es más fácil identificar y documentar las
habilidades, el equipo de prueba, la estructura de prueba y las hojas de terminación para partes y
subsistemas específicos.
Por ejemplo, usted encontrará que algunas partes y subsistemas, tales como sensores y elementos
finales de control, son específicos a una función de seguridad. Otras, tales como la alimentación de CA y
CC, sistemas de tierra y comunicaciones, son más “genéricos”.
Por lo tanto, usted puede estructurar sus esfuerzos para confirmar primero que los elementos genéricos
estén proporcionando los servicios o capacidades necesarios para soportar todas las funciones de
seguridad. Una vez que sepa que ése es el caso, usted puede verificar que los elementos únicos a cada
función de seguridad también estén funcionando adecuadamente. Este enfoque evita volver a probar los
mismos enfoques genéricos para cada función de seguridad.
Para el sistema que se muestra en el siguiente diagrama, por ejemplo, la descomposición le permite
validar la fuente de alimentación sólo una vez, sin tener que probarla otra vez para cada una de las
funciones de seguridad que soporta.
El mismo principio se aplica al solucionador lógico que se encuentra a la izquierda en el diagrama. Una
vez que usted ha establecido que sus capacidades genéricas están funcionando correctamente (por
ejemplo, que no hay errores de diagnóstico, que las fuentes de alimentación están bien y que la red está
trabajando), usted no necesita volver a probar estas mismas funciones para cada función instrumentada
de seguridad (SIF) que el solucionador lógico soporta. Sin embargo, usted debe validar que cada función
instrumentada de seguridad funciona correctamente de acuerdo con la especificación de requisitos de
seguridad.
La descomposición del sistema en partes y subsistemas también facilita y hace más eficiente el uso de
material de los fabricantes de productos, consultores terceros y recursos públicos para crear sus planes
de pruebas.
Por ejemplo, el plan de prueba IQ para un transmisor de presión certificado para seguridad se puede
desarrollar consultando las secciones relevantes de la documentación de instalación del fabricante,
aumentadas con una hoja de terminación de verficación IQ adecuada.
El plan de prueba OQ del transmisor de presión se puede desarrollar de manera similar de acuerdo al
manual de seguridad del fabricante y de acuerdo a los requisitos de calibración.
Fuente de alimentación
Solucionador lógico Solucionador lógico
Sensor Sensor SensorVálvula Válvula Válvula
Función de seguridad 1 Función de seguridad 2 Función de seguridad 3