Seguridad Funcional

1. WWW.FLPCI.COM
Modulo 12
Verificación del Nivel SIL
FLPCI, S.C.
Profesor Ing. Rafael Fuentes Latorraca

2. WWW.FLPCI.COM
2
IEC 61508
Norma internacional
en base a
prestaciones para
todas las industria
IEC 61511
Sector Industria de
Procesos
(ISA 84.00.01-2004 (IEC
61511 Mod))
IEC 62061
Sector de Maquinarias
IEC 61513
Sector Nuclear
Normas sobre Seguridad Funcional

3. WWW.FLPCI.COM
• Muchas compañías alrededor del mundo han adoptado
la IEC 61511 como la base para sus programa de
seguridad funcional.
• Industrias:
– Producción de gas y petróleo.
– Refinación.
– Químicas.
– Generación eléctrica.
– Farmacéuticas.
• Esto ha incrementado la demanda de equipos
certificados de acuerdo a la IEC 61508.
8%
30%
70%
90% 92%
0%
20%
40%
60%
80%
100%
2001 2002 2003 2004 2005
¿Esta usted usando o planifica usar las
IEC 61511/IEC 61508?
IEC 61511 Norma Seleccionada
3

4. Se incrementa
el Riesgo
Riesgo del ProcesoRiesgo TolerableRiesgo Residual
Reducción Necesaria del Riesgo
Reducción Actual del Riesgo (ALARP)
ProcesoDiseñoBPCSAlarmasAlivioSIS
Reducción del Riesgo
4

5. WWW.FLPCI.COM
Identificación
de peligros
Análisis de
Riesgo y
Selección
del SIL
Especificación
de los
Requerimientos
de Seguridad
Verificación
del SIL
Sostenimiento
del SIL
¿Que puede
salir mal?
(PHA/HAZOP)
¿Que tan malo
puede ser?
(LOPA)
¿Que se
necesita
hacer?
¿Como
mantenerse
seguro?
¿Que tan
confiable es?
Objetivo:
Reducir el
riesgo a un
nivel tolerable!
Ciclo de Vida de la Seguridad Funcional
5

6. Modo Baja Demanda –
 Cuentan las pruebas – por lo tanto el concepto de PFDavg es
valido.
 Cuenta el Diagnóstico automático – recibe crédito.
Modo Demanda Continua-
 No hay crédito por las pruebas.
 No hay crédito por el Diagnóstico – por lo tanto Lambda D es
la medición principal.
Modo “Alta Demanda” –
 No hay crédito por las pruebas – use la tabla de PFH.
 Solo hay crédito por el Diagnóstico si ellos son 10X más
rápidos que la “Tasa de Demanda”.
Análisis del PFD
6
WWW.FLPCI.COM

7. WWW.FLPCI.COM
SIL
Tasa de
Falla de los
Dispositivos
Intervalo de
Pruebas
Redundancia
y Votación
Falla de
causa
Común
La Redundancia y el intervalo de prueba funcionales tienen
el mayor impacto en las prácticas de diseño y operación
Cobertura de
Diagnóstico
Parámetros que Afectan al SIL
Tiempo
Medio para
Reparar
7

8. WWW.FLPCI.COM
SIL
Tasa de Falla de
los Dispositivos
Intervalo de
Pruebas
Redundancia
y Votación
Falla de
causa
Común
Cobertura de
Diagnóstico
Parámetros que Afectan al SIL
Tiempo
Medio para
Reparar
8

9. Los cálculos para la verificación del SIL
requieren datos tales como:
Tasa de falla.
Modos de falla (falla segura y falla peligrosa).
Cobertura de Diagnóstico.
Porcentaje de fallas seguras:
• La mayoría de los componentes electrónicos –
porcentaje seguro @ 50%
• Relé –porcentaje seguro de 70 % a 80 %
• Solenoides – porcentaje seguro @ 40%
1: Tasa de Falla de Dispositivos
9WWW.FLPCI.COM

10. Transmisor
Sensor
Conexiones
al proceso
Línea de
impulso
Tasa de Falla
del Dispositivo
DD MTTF1
Tasa de falla
peligrosa
Tiempo
medio entre
Fallas
Peligrosas
1: Tasa de Falla de Dispositivos
En base al desempeño de los dispositivos en el ambiente
de aplicación.
Este debería incluir todos los componentes requeridos
por el dispositivo para realizar su función de diseño.
10WWW.FLPCI.COM

11. 1: Tasa de Falla de Dispositivos
El proceso de Verificación usa datos sobre tasa de fallas de
fallas aleatorias durante la vida útil de un producto.
Datos industriales existentes tienden a proporcionar una
tasas de fallas más altas que lo normal debido Ej.:
Tanto las fallas aleatorias y las fallas por desgaste son
agrupadas.
El tiempo total en operación (incluyendo el período de desgaste)
es archivado.
Las causas de las fallas no son recolectadas o identificadas.
Varias versiones tecnológicas son tratadas en la misma
clasificación.
Cuando no existen otros datos, la base de datos industrial es
extremadamente útil (aunque más conservadora por
naturaleza).
11WWW.FLPCI.COM

12. 1: Tasa de Falla de Dispositivos
Datos específicos del producto (datos del
vendedor):
La tasa de falla es estimada en función de la base de
datos y la experiencia.
El grado de exactitud es cuestionable.
Los datos podrían no cubrir todos los componentes en un
dispositivo (Ej. Algunos datos sobre transmisores solo
cubre la electrónica, no las conexión al proceso).
La data esta basada en una situación ideal, no aplicable al
ambiente de trabajo.
12WWW.FLPCI.COM

13. Datos específicos del producto (datos del
vendedor):
Algunos fabricantes ofrecen una análisis
detallado, tal como el FMEDA, para proporcionar
tasa de falla especificas para cada modo de falla
en un instrumento.
El FMEDA es realizado por el fabricante del
instrumento y/o por un experto (tercero) , Ej.
TUV.
Generalmente hecho como parte del esfuerzo de
certificación sobre la IEC 61508.
1: Tasa de Falla de Dispositivos
13WWW.FLPCI.COM

14. WWW.FLPCI.COM
 Un FMEDA es un analisis cuantiativo
estructurado, de un sistema, sub sistema,
producto o componente
Para predecir la tasa de falla, modos de falla y
sus efectos sobre la operacion del sistema
tomando en cuanta las potenciales funciones
de Diagnóstico.
Definición de FMEDA
14

15. WWW.FLPCI.COM
 Es una extensión de la técnica FMEA
desarrollada a principios de 1990 por los
ingenieros de exida.
 Añade una columna cuantitativa sobre la tasa
de falla.
 Añade columnas Diagnóstico y cobertura de
Diagnóstico (DC).
 El FMEDA para IEC 61508 presenta tasa de falla
en términos del comportamiento seguro
(seguros, Peligrosos…)
 El FMEDA es usado para calcular los datos
requeridos para la verificación del SIF.
Análisis de Modos de Falla, Efectos y
Diagnóstico (FMEDA)
15

16. 1: Tasa de Falla de Dispositivos
Es una extensión del FMEA para equipos mecánicos y
electromecánicos.
Examina cada componente, sus modos de falla, la tasa de
falla aleatorias y efectos sobre el producto.
Ej. ¿La fractura de un resorte causara una falla segura o peligrosa?
Proporciona una tasa de falla especifica para cada modo
de falla de un instrumento o producto.
Da información precisa sobre las fallas peligrosas vs las fallas
seguras.
Proporciona información y datos sobre la confiabilidad especifica de
un producto.
La habilidad de Diagnóstico del dispositivo es precisamente
medido.
El análisis no incluye la tasa de fallas debido a fallas
sistemáticas.
FMEDA:
16WWW.FLPCI.COM

17. 1: Tasa de Falla de Dispositivos
FMEDA:
17WWW.FLPCI.COM
Id Componen
te
Función Modo
de falla
Causas
de la
falla
Efectos
de la
falla
Criticidad Tasa
de falla
λ
Detectable
(si/no)
Diagnóstico
(descr)
Modo
D/S
λDU λDD λSD Observaci
ones

18. WWW.FLPCI.COM
 Usando una base de datos de componentes tasa de fallas y
modos de falla para un producto (transmisor, modulo I/O,
solenoide, actuador, válvula) se puede determinar con
mayor precisión que sólo con los datos de campo sobre
fallas.
FMEDA
BASE DE DATOS
DE
COMPONENTES
COMPONENTES
λ ‘S
Distribución del
Modo de Dalla
FMEDA
λ del
producto
Modos de
Falla del
Producto
Cobertura
del
Diagnóstico
18

19. WWW.FLPCI.COM
• Tasas de fallas:
• S (Tasa de fallas de todas las fallas segura)
• SD (Tasa de fallas de todas fallas seguras detectadas)
• SU (Tasa de fallas de todas las fallas seguras no
detectadas)
• D (Tasa de falla de todas las fallas peligrosas)
• DD (Tasa de falla de todas las fallas peligrosas
detectadas)
• DU (Tasa de falla de todas las fallas peligrosas no
detectadas)
• Cálculo del SFF
¿Cuales son los Resultados de un FMEDA?
19

20. Nota: Por el momento, los informes de FMEDA de productos
específicos no tienen en cuenta las condiciones específicas de
aplicación de estrés que pueden afectar a las tasas reales de fallo, para
esto se necesita un juicio de ingeniería.
1: Tasa de Falla de Dispositivos
Dispositivos de campo (Sensores y elementos
finales):
Condiciones del procesos que podrían incrementar la
tasa de falla de los dispositivos de campo:
Corrosión.
Congelamiento de los materiales.
Solidos suspendidos.
Polimerización.
Temperatura.
Cambio de presión.
20WWW.FLPCI.COM

21. 1: Tasa de Falla de Dispositivos
Publicaciones sobre datos de tasa de Fallas
OREDA: Offshore Reliability Data
Gives detail statistical analysis of many process parts
FMD-97: Failure Mode/ Mechanism Distributions. Reliability
Analysis Center, 1997
Guidelines for Process Equipment Reliability Data, with Data
Tables: Center for Chemical Process Safety of AIChE, 1989
NPRD-95: Nonelectronic Parts Reliability Data. Reliability
Analysis Center, 1995
IEEE std. 500: IEEE Guide to the collection and presentation of
Electrical, Electronic, Sensing component, And Mechanical
Equipment Reliability Data for Nuclear-Power Generating
Stations. IEEE, 1984
21WWW.FLPCI.COM

22. WWW.FLPCI.COM
• Datos de confiabilidad específicos de la planta.
– Los mejores por que reflejan la confiabilidad de los
equipos en el ambiente donde se van a utilizar. Es
virtualmente imposible recolectar datos validos.
• Producto de un FMEDA
– Buenos por que ve las fortalezas y debilidades del
diseño y esta basado en datos de confiabilidad de
equipos similares.
• Fabricante MTBF
– Pobre debido a que es un promedio de las
muestras de lo que es detectado, retornado y
categorizado de manera adecuada.
De Donde viene la Data
22

23. WWW.FLPCI.COM
Data de falla de
componentes
•Tasa (FITS)
•Modos
FMEDA
En base a la información sobre
fallas de los equipos
•Tasas
•Segura/peligrosa
•Cobertura de la prueba
Sub sistema Sensor
Sub sistema
Resolvedor Lógico
Sub sistema Elemento
de Control Final
Función
Instrumentada
de Seguridad
Capacidad SIL
Flujo de la Data
23
FMEDA
En base a la información sobre
fallas de los equipos
•Tasas
•Segura/peligrosa
•Cobertura de la prueba
FMEDA
En base a la información sobre
fallas de los equipos
•Tasas
•Segura/peligrosa
•Cobertura de la prueba
Data de falla de
componentes
•Tasa (FITS)
•Modos
Data de falla de
componentes
•Tasa (FITS)
•Modos
Data de falla de
componentes
•Tasa (FITS)
•Modos

24. WWW.FLPCI.COM
16
Gas Detection - Generic Gas Detection - Generic
Project Name Ametek
Project ID 29
Unit Name
SIF Tag Gas Detection - Generic
SIF Description
SIF Reference
Responsible
Analysis Date 09 Nov 2007
Mission Time 15 years
Safety Instrumented Function Performance
Achieved SIL 0
PFDavg 6.12E-02
SIL (PFDavg) 1
SIL (Arch. Constraints IEC 61508) 0
Achieved RRF 16
MTTFS (years) 69.02
PFDavg MTTFS SILac
Sensor Part 6.00E-02 - 0
Logic Solver Part 2.73E-05 196.75 3
Final Element Part 1.24E-03 106.31 3
Remarks: The SIF operates in Low demand mode.
Note: The results shown in this SIL verification Summary are based on detailed calculation. All SIL verification assumptions like
reliability data are documented in the detailed exSILentia report.

25. WWW.FLPCI.COM
Proporcionan Resultados Diferentes
25

26. WWW.FLPCI.COM
26
Lambda DU (DU)
Manual de Datos de Fallas

27. WWW.FLPCI.COM
Transmisor de presión certificado IEC 61508
TX
sov
Vessel
Safety
Pressure
Transmitter
Safety
PLC
sov
1002
Voting
Justification via
IEC 61508
Certification
27

28. 1: Tasa de Falla de Dispositivos
Disponibilidaddedatos
Relevancia
Datos genéricos
Datos específicos
de la compañía
Datos específicos
para la aplicación
Datos específicos
de la planta
Clases de datos sobre tasas de falla, su disponibilidad y relevancia.
WWW.FLPCI.COM
28

29. Al seleccionar los datos:
Considere lo siguiente:
El entorno de la aplicación.
Limites o fronteras del dispositivos.
Sistemas básicos de apoyo o soporte.
Si la tasa de falla no existe para un determinado
componente, seleccione uno con los mismos
componentes básicos similares.
El cálculo de SIL es en el orden de magnitud, de
tal forma que no existe la necesidad de calcular
múltiples dígitos significativos.
29WWW.FLPCI.COM
1: Tasa de Falla de Dispositivos

30. 30
– Modos de Falla
• Salida saturada Hi
• Salida saturada Lo
• Salida congelada
• Error de indicación Hi
• Error de indicación Lo
• Falla en el Diagnóstico
S/D
D
Defina los Modos
Los modos de falla funcional de cada
producto deben ser trasladados a los
modos de la seguridad funcional. Esto
normalmente depende de la aplicación.
Transmisores
WWW.FLPCI.COM

31. WWW.FLPCI.COM
Ejemplo de falla de un producto –Tomado de FMEDA
31

32. 32
Instrument Failure Mode SIF Failure mode
Solenoid plunger stuck Fail-Danger
Solenoid coil burnout Fail-Safe
Actuator shaft failure Fail-Danger*
Actuator seal failure Fail-Safe
Actuator spring failure Fail-Danger
Actuator structure failure - air Fail-Safe
Actuator structure failure - binding Fail-Danger*
Valve shaft failure Fail-Danger*
Valve external seal failure No Effect
Valve internal seal damage Fail-Danger
Valve ball stuck in position Fail-Danger
* unpredictable - assume worst case
De-energize to Trip Application
Modos de Falla de los Elementos Finales (actuador)
32

33. Modos de Falla de los Elementos Finales (actuador)
33

34. WWW.FLPCI.COM
– Modos de Falla
• Salida saturada Hi
• Salida Saturada Lo
• Salida congelada
• Error de indicación Hi
• Error de indicación Lo
• La salida no da el 100%
• La salida no da el 0%
• Falla el circuito de Diagnóstico
automático interno
• Falla el circuito de
compensación de temperatura
S/D
D
D
A
?
Modos de Falla de un Transmisor de Presión
34

35. WWW.FLPCI.COM
– Modos de Falla
• Fuga severa/pérdida de
presión de aire
• Entrada de aire obstruida –
aire atrapado
• Dañada/resorte atascado –
no hay fuerza de retorno
• Eje atascado – no hay
movimiento
• Eje dañado – no hay fuerza
/ torque
• Falla la caja de cerrado
parcial automático
S
D
D
D
D
A
Modos de Falla de un Actuador
35

36. WWW.FLPCI.COM
– Modos de Falla
• No hay movimiento / se
requiere fuerza – torque
excesiva
• Sello con fuga – no se
puede parar el flujo
– Consideraciones para
su aplicación
• Ambientales.
• Hermeticidad al cierre
D
D
Modos de Falla de las Válvulas de Bola
36

37. WWW.FLPCI.COM
SIL
Tasa de
Falla de los
Dispositivos
Intervalo de
Pruebas
Redundancia
y Votación
Falla de
causa
Común
Cobertura de
Diagnóstico
Parámetros que Afectan al SIL
Tiempo
Medio para
Reparar
37

38.   2TIPFD Davg 1oo1
1oo2
2oo3
  2
Davg 2TIPFD 
  2
Davg 2TI3PFD 
Nota: Aquí se muestran ecuaciones sencillas. Ecuaciones más complejas se pueden
derivar usando arboles de falla.
Tasa de falla peligrosas
Intervalo de
prueba
Voting PFDavg
1oo1 2.5E-3
1oo2 6.25E-6
2oo3 1.88E-5
Asumiendo D = 0.01/ año
2: Redundancia y Votación
MooN – “N” canales independientes, los cuales están
conectados “M” canales son suficientes para ejecutar la SIF.
1oo1 – No hay redundancia.
1oo2 – 1 canal es requerido para realizar una función con
un nivel de redundancia 1.
TI es 6 meses
38WWW.FLPCI.COM

39. WWW.FLPCI.COM
1001
Tolerancia a fallos 0
Canal
Tolerancia a fallos 0Canal
Diagnóstico
1001 D
1001 D
39
2: Redundancia y Votación

40. WWW.FLPCI.COM
Canal
Diagnóstico 1002
Canal
Tolerancia a fallos 1
1002
Canal
Diagnóstico 2002
Canal
2002
Tolerancia a fallos 1
40
2: Redundancia y Votación

41. WWW.FLPCI.COM
Canal
Diagnóstico 1002 D
Canal
Tolerancia a fallos 1
1002 D
41
2004 D
Tolerancia a fallos ??
2: Redundancia y Votación

42. WWW.FLPCI.COM
Canal
2003
Canal
Canal
Tolerancia a fallos 1
2003
42
2: Redundancia y Votación

43. Para aplicaciones de SIL 2 y SIL 3,
normalmente se requieren dobles o triples
entradas y dobles salidas para cumplir los
requerimientos tanto de PFDavg como de
requerimientos de tolerancia a fallos.
2: Redundancia y Votación
43WWW.FLPCI.COM

44. Mínimo nivel de
redundancia
requerido por tipo
de dispositivo
análisis del modo
de falla
Dispositivos
Simples
Dispositivo
Complejos -
Software
Fracción de Falla Segura IEC 61508
WWW.FLPCI.COM 44
< 60 %
60 % < 90 %
90 % < 99 %
< 99 %
0 1 2
SIL1 SIL2 SIL3
SIL2
SIL3
SIL3
SIL3 SIL4
SIL4 SIL4
SIL4 SIL4> 99 %
TIPO A Fracción de
Falla segura
< 60 %
60 % < 90 %
90 % < 99 %
< 99 %
0 1 2
SIL1 SIL2 SIL3
SIL2
SIL3
SIL3
SIL3 SIL4
SIL4 SIL4
SIL4 SIL4> 99 %
Hardware Tolerante a Fallos
TIPO B
< 60 %
60 % < 90 %
90 % < 99 %
> 99 %
0 1 2
SIL1 SIL2
SIL1 SIL2 SIL3
SIL2 SIL3 SIL4
SIL3 SIL4 SIL4
< 60 %
60 % < 90 %
90 % < 99 %
> 99 %
0 1 2
No
permitido SIL1 SIL2
SIL1 SIL2 SIL3
SIL2 SIL3 SIL4
SIL3 SIL4 SIL4
Fracción de
Falla segura
Hardware Tolerante a Fallos

45. WWW.FLPCI.COM
SIL
Tasa de
Falla de los
Dispositivos
Intervalo
de Pruebas
Redundancia
y Votación
Falla de
causa
Común
Cobertura de
Diagnóstico
Parámetros que Afectan al SIL
Tiempo
Medio para
Reparar
45

46. 3: Intervalo de Pruebas
46WWW.FLPCI.COM
Pruebas regulares es una prueba que se realiza
para revelar fallos no detectados (fallas seguras
y peligrosas) en un SIS, y luego el sistema puede
ser restaurado a su funcionalidad de diseño.
Pueden ser realizadas automáticamente o
manualmente.
Puede ser hecho en línea o fuera de línea.
Las pruebas en línea solo pueden revelar parte
de los modos de falla.
Evaluar los modos de falla y determinar lo que están
cubiertos por las pruebas en línea.

47. Ajustando la
redundancia, y
extendiendo el intervalo
de prueba se puede
aumentar PFDavg, en
un orden de magnitud
no linealmente.
  2TIPFD Davg 1oo1
1oo2
2oo3
  2
Davg 2TIPFD 
  2
Davg 2TI3PFD 
Voting PFDavg
TI = 6 months TI = 1 year
1oo1 2.50E-3 5.00E-3
1oo2 6.25E-6 2.50E-5
2oo3 1.88E-5 7.50E-5
Asumiendo D = 0.01/ año
3: Intervalo de Pruebas
Tasa de fallas peligrosas Intervalo de pruebas
47WWW.FLPCI.COM
Nota: Aquí se muestran ecuaciones sencillas. Ecuaciones más complejas se pueden
derivar usando arboles de falla.

48. Consideraciones tales como:
Recomendaciones del fabricante.
Manual de seguridad del dispositivo (puede ser un
manual separado parte del manual del usuario).
Entorno del proceso (ej. Servicio limpio o sucio,
ambiente corrosivo, se tapona con facilidad, etc.)
Ambiente externo (ej. Salitre, humedad, etc.)
Instalaciones en la vecindad de la planta.
Para un SIS pequeño (pruebas en conjunto de varios
dispositivos del SIS); para grandes SIS (pruebe cada
dispositivo individualmente de manera separada).
3: Intervalo de Pruebas
48WWW.FLPCI.COM

49. WWW.FLPCI.COM
• PFDavg (aplicaciones en modo de baja demanda)
• PFH (aplicaciones en modo de alta demanda o continua)
NIVEL DE
INTEGRIDAD
MODO OPERACIÓN BAJA DEMANDA
(AVERAGE PROBABILITY OF FAILURE TO PERFORM ITS DESIGN
FUNCTION ON DEMAND)
4  10-5 to < 10-4
3  10-4 to < 10-3
2  10-3 to < 10-2
1  10-2 to < 10-1
NIVEL DE
INTEGRIDAD
MODO DE OPERACIÓN DE ALTA
DEMANDA O CONTINUA
4  10-5 to < 10-8
3  10-4 to < 10-7
2  10-3 to < 10-6
1  10-2 to < 10-5
Máxima Probabilidad de Falla
49

50. PFDavg = CPT D TI / 2 + (1-CPT ) D LT / 2
CPT = Efectividad de la prueba, 0 – 100%
LT = Vida operacional de la planta
PF(t)
Time interval
test period
CPT
Ecuación simplificada para PFAVG con pruebas incompletas
3: Intervalo de Pruebas
WWW.FLPCI.COM 50

51. WWW.FLPCI.COM
Para verificar que un diseño cumple con determinado nivel
de SIL, se deben observar tres requerimientos:
1. La capacidad SIL de todos los componentes deben de cumplir con
el nivel SIL.
2. Los subsistemas deben de cumplir con los requerimientos de
arquitectura.
3. El PFDavg (o PFH) debe estar en el rango del SIL dado para toda la
función instrumentada de seguridad.
Para sistemas de “baja demanda”, un prueba efectiva mejorará el
PFDavg de cualquier SIF o subsistema SIF.
¿Como las pruebas mejoran el PFDavg?
Diseño del sistema en Base al Desempeño
51

52. WWW.FLPCI.COM
PFDavg = CPT DUTI / 2 + (1-CPT ) DU LT / 2
CPT = Efectividad de la prueba, 0 – 100%
LT = Tiempo de vida operacional de la planta
Nota: Esta es un ecuación “simplificada” para una arquitectura 1oo1.
Asumiendo que la prueba es realizada de manera perfecta
entonces la medición de una buena prueba es su
“efectividad” – CPT
El objetivo del diseño de la prueba es detectar tanto
como sea posible las fallas peligrosas no detectadas DU
(Dangerous Undetected).
La prueba perfecta detectara todas las fallas DU y el CPT
es del 100%.
Cobertura de las pruebas
52

53. WWW.FLPCI.COM
Diferentes Cobertura de pruebas
PFD vs. Tiempo
53

54. WWW.FLPCI.COM
El propósito de la prueba es verificar
que los instrumentos de seguridad
trabajan de manera adecuada. Se
asume que si trabaja de manera
adecuada no tiene fallas.
Procedimiento de Prueba de un transmisor:
1. Bloquee la válvula para que no cierre.
2. Mueva la señal de entrada por encima del punto de
disparo.
3. Verifique que la válvula intenta cerrarse.
4. Mueva la señal de entrada hasta su nivel normal
por debajo del punto de disparo.
5. Remueva el bloqueo de la válvula.
¿Se asume
una cobertura
de Diagnóstico
del 100%?
Aproximación Convencional sobre las
Pruebas
54

55. WWW.FLPCI.COM
El propósito de las pruebas es verificar que los
instrumentos de seguridad traban
apropiadamente. Se asume que si trabajan
apropiadamente fallas.
El propósito de la prueba es detectar
cualquier falla no detectada por el
Diagnóstico automático en línea –
fallas peligrosas, fallas del
Diagnóstico, fallas paramétricas.
Aproximación Estratégica Sobre las Pruebas
55

56. WWW.FLPCI.COM
El propósito de las pruebas es detectar
cualquier falla no detectada por el sistema
automático de Diagnóstico en línea .
1. Podemos elaborar un procedimiento de prueba que
sea fácil de realizar, cueste menos y tenga más
posibilidad de que sea realizado.
2. Entendiendo las fallas actuales DU/AU en nuestros
instrumentos podemos mejorar significativamente la
cobertura de la prueba y bajar sus costos.
Aproximación Estratégica Sobre las Pruebas
56

57. WWW.FLPCI.COM
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
PFDavg “PTC = 65%” = 1.53E-02
PFDavg “PTC = 98%” = 3.37E-03
57
PFD /PFDavg para las pruebas de dos
Transmisores de Presión

58. WWW.FLPCI.COM
• Cobertura de la prueba sin PVST
–78.2% (841/1075)
• Cobertura de la prueba con PVST
–52.6% ((494-234)/494)
• Tasa de falla para la combinación de actuadores de válvula
Categorías de Fallas Tasa de falla (en FIT)
Operación
Normal
En prueba de
válvula con
recorrido parcial
Cuando se realiza
la prueba de la
válvula con
recorrido completo
Falla Segura Detectada 0 0 0
Falla Segura No Detectada 948 948 948
Falla Peligrosas Detectada 0 681 841
Falla peligrosas No Detectada 1075 494 234
58
Determine la Cobertura de las Pruebas
Cuando se Realizan Múltiples Pruebas
FIT= falla por millardo
de hora 109 horas)

59. WWW.FLPCI.COM
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
59
PFD /PFDavg con y sin Prueba Parcial de
Recorrido de la Válvula

60. WWW.FLPCI.COM
Los resultados de las pruebas deben ser documentadas:
Detalles de las pruebas.
Personal, fecha.
Autorización del Bypass.
Pruebas realizadas.
Resultados.
Restauración del Sistema.
Los datos de los resultados de las pruebas deberían ser
analizados para encontrar problemas en los equipos.
60
Documentación y Archivo de las Pruebas

61. WWW.FLPCI.COM
SIL
Tasa de
Falla de los
Dispositivos
Intervalo de
Pruebas
Redundancia
y Votación
Falla de
causa
Común
Cobertura de
Diagnóstico
Parámetros que Afectan al SIL
Tiempo
Medio para
Reparar
61

62. El diagnóstico son pruebas desempeñadas
automáticamente para detectar fallas en el SIS
que podrían resultar en una falla segura o
peligrosa.
Siempre utilizando técnicas automáticas en línea.
No incluye pruebas de comprobación.
El Diagnóstico debe proporcionar notificación de
la falla al operador.
Una porción de los modos de falla pueden ser
detectados.
4: Cobertura de Diagnóstico
62WWW.FLPCI.COM

63. El SIS es solo una capa de protección:
Los intervalos de las pruebas de Diagnóstico deben ser tal que las
fallas en el SIS son detectadas en tiempo.
Intervalo de prueba y el tiempo de reacción para lograr un estado
seguro deben ser menores que el "tiempo de seguridad del
proceso"
El Diagnóstico de fallas criticas hay que hacerlas con una
alta confianza.
La falla del CPU/RAM podría afectar a todo el proceso.
La selección de un dispositivo específico puede limitar la
potencial cobertura de diagnóstico.
Ej. Interruptores (entradas discretas) , tiene una capacidad
de Diagnóstico muy limitada.
4: Cobertura de Diagnóstico
63WWW.FLPCI.COM

64. Sensores
Fuera del rango de alarma.
Ej. Una alarma por señal baja fuera de rango podría ser
añadida para diagnosticar la falla en un transmisor o la
pérdida de señal del transmisor.
Transmisores redundantes.
Ej. La comparación de los valores analógicos detectan
anomalías que pueden producirse durante el
funcionamiento normal
La comparación de variables relacionadas.
Ej. totalizadores de caudal frente a los cambios de nivel
del tanque o la presión en relación con la temperatura.
4: Cobertura de Diagnóstico
64WWW.FLPCI.COM

65. Sensores
Se pueden crear desviaciones significativas entre
lecturas debido a:
Proceso de revestimiento de los termo pozos (Ej.
polimerización en un reactor por lote)
Taponamiento o congelamientos en sensores.
Problemas con el suministro eléctrico.
Se podría proporcionar un retardo para evitar
alarmas molestosas debido a variaciones en la
respuesta del sensor para procesar los cambios
causados por la ubicación o tecnología del sensor.
4: Cobertura de Diagnóstico
65WWW.FLPCI.COM

66. Elementos Finales.
Algunas válvulas, actuadores, solenoides y/o
posicionadores podrían estar provistos de
capacidad de Diagnóstico.
Resolvedores Lógicos.
Los PE o solucionadores lógicos configurados
para seguridad o que cumplen con IEC 61508
suelen incluir diagnósticos que detectan varios
fallos. Los tipos y la cobertura de diagnóstico
generalmente se describen en el manual de
seguridad.
4: Cobertura de Diagnóstico
66WWW.FLPCI.COM

67. WWW.FLPCI.COM
Esto puede tener un fuerte impacto positivo sobre la PFDavg, STR y
disponibilidad del controlador – en todas las arquitecturas pero
especialmente en las redundantes.
Permite la reparación en línea.
Permite una parada automática.
Solo se puede obtener crédito por el
Diagnóstico si el sistema tiene una buena
anunciación / reparación o parada automática.
La capacidad de Diagnóstico es medida por
“C = Factor de Cobertura”,
el porcentaje de fallas que serán detectadas.
Cs = Factor de Cobertura para Fallas Seguras
Cd = factor de Cobertura para Fallas Peligrosas
4: Cobertura de Diagnóstico
67

68. WWW.FLPCI.COM
Input Circuit
Output Circuit
Logic Solver
Common Circuitry
MP
SensorSensor
+
Actuator
Final Element
-
Diagnostic Circuit(s)
1oo1D
Input Circuit
Output Circuit
Logic Solver
Common Circuitry
MP
SensorSensor
Actuator
Final Element
-
Diagnostic Circuit(s)
Input Circuit
Output Circuit
Logic Solver
Common Circuitry
MP
+
Diagnostic Circuit(s)
2oo2D
Input Circuit
Output Circuit
Logic Solver
Common Circuitry
MP
SensorSensor
+
Actuator
Final Element
Diagnostic Circuit(s)
Input Circuit
Output Circuit
Logic Solver
Common Circuitry
MP
Diagnostic Circuit(s)
1oo2D
4: Diagnóstico en Base a la Arquitectura
68
El Diagnóstico automático, se hace
efectivo en base a la potencia de los
microprocesadores a finales de los 80,
condujo a nuevas arquitecturas basadas
en la reconfiguración del sistema después
que el Diagnóstico ha detectado una falla.
La implementación
comercial de estos
diseños nuevos han
demostrados ser efectivos
para proporcionar una
PFDavg baja y una baja STR.

69. WWW.FLPCI.COM
Input Circuit
Output Circuit
Logic Solver
Common Circuitry
MP
SensorSensor
+
Actuator
Final Element
-
Diagnostic Circuit(s)
1oo1D
El Diagnóstico automático, se hace
efectivo en base a la potencia de los
microprocesador a finales de los 80, y
condujo a nuevas arquitecturas
basadas en la reconfiguración del
sistema después que el Diagnóstico ha
detectado una falla.
La implementación comercial de
estos diseños nuevos han
demostrados ser efectivos para
proporcionar una PFDavg baja y
una baja STR.
4: Diagnóstico en Base a la Arquitectura
69

70. WWW.FLPCI.COM
Input Circuit
Output Circuit
Logic Solver
Common Circuitry
MP
SensorSensor
+
Actuator
Final Element
Diagnostic Circuit(s)
Input Circuit
Output Circuit
Logic Solver
Common Circuitry
MP
Diagnostic Circuit(s)
STR PFDAVG (Peligroso)
1oo1 0.05 /año 0.0006
2oo3 0.00043 /año 0.00000094
1oo1D 0.069 /año 0.0005
2oo2D 0.00021 /año 0.001
1oo2D 0.00021 /año 0.0000004
La 1oo2D es muy
dependiente de un
buen Diagnóstico.
4: Diagnóstico en Base a la Arquitectura
70

71. TDDDDC 
Tasa de falla
peligrosas
detectadas
Tasa total de
fallas
peligrosas
Nota: Las Sub cláusulas 7.4.4.5 y 7.4.4.6 de IEC 61508-2 proporcionan los
requerimiento de como determinar el Diagnóstico. Ver también el Anexo C
de IEC 61508-6 por ejemplo como se calcula la cobertura del Diagnóstico.
De acuerdo a ISA 84.01 (2004), la máxima DC que se
puede alcanzar para cualquier alarma de diagnóstico
que aparece en la interfaz del operador es de 90%.
4: Cobertura de Diagnóstico
La cobertura del Diagnóstico viene dada por:
71WWW.FLPCI.COM

72.   MTTRTIPFD DDavg   2
Sin DC
    MTTRDIDCTIDCPFD DDDavg   22)1(
Con DC
Intervalo de
Diagnóstico
Falla peligrosas
reveladas por
las pruebas a
intervalos
Falla peligrosas
reveladas por la
cobertura de
diagnóstico
4: Cobertura de Diagnóstico
Por ejemplo: 1oo1
72WWW.FLPCI.COM
Nota: Aquí se muestran ecuaciones sencillas. Ecuaciones más complejas se pueden
derivar usando arboles de falla.

73.     2
DDDavg MTTR2DIDC2TI)DC1(PFD  
1oo2D
    MTTR2DIDC2TI)DC1(2PFD DDDavg  
2oo2D
2oo3D
    2
DDDavg MTTR2DIDC2TI)DC1(3PFD  
4: Cobertura de Diagnóstico
73WWW.FLPCI.COM
Nota: Aquí se muestran ecuaciones sencillas. Ecuaciones más complejas se pueden
derivar usando arboles de falla.

74. Nota: Aquí se muestran ecuaciones simplificadas
    MTTRDIDCTIDCPFD DDDavg   22)1(
Intervalo de
Diagnóstico
Falla peligrosas
reveladas por las
pruebas a
intervalos
Falla peligrosas
reveladas por la
cobertura de
Diagnóstico
La ecuación siguientes puede ser adaptada para
pruebas con recorridos parcial:
4: Cobertura de Diagnóstico
Por ejemplo: 1oo1
74WWW.FLPCI.COM

75. Las estrategias de Pruebas y Diagnóstico
dependen de:
Redundancia.
Demanda sobre la SIF.
Modo continuo.
Modo de alta demanda.
Modo de baja demanda.
4: Cobertura de Diagnóstico
Estrategias de Pruebas y Diagnóstico
75WWW.FLPCI.COM

76. Modo continuo:
Las pruebas regulares o inclusive el Diagnóstico
automático en línea no pueden proporcionar
beneficios a la seguridad.
Cuando el Diagnóstico detecta una falla e inicia
una acción, esto podría ser muy tarde.
Ej. No puede dar créditos a ningún Diagnóstico,
excepto en sistemas redundantes.
4: Cobertura de Diagnóstico
Estrategias de Pruebas y Diagnóstico
76WWW.FLPCI.COM

77. Modo de alta demanda:
La diferencia entre el modo de alta demanda y el modo
continuo depende de la tasa de demanda y la tasa de prueba
automática.
El Diagnóstico automático lleva a la SIF a un estado seguro, si
se detecta una falla.
Mejora la seguridad y se puede tomar crédito en el modelado de la
probabilidad de falla en demanda.
Por lo general la demanda se produce igual o más a menudo
que el intervalo de prueba, pero considerablemente más
lento que la prueba de diagnóstico automático y el tiempo
de respuesta.
Esto es común en la industria de maquinarias y aviónica (ej. frenos de
los carros).
4: Cobertura de Diagnóstico
Estrategias de Pruebas y Diagnóstico
77WWW.FLPCI.COM

78. Modo de baja demanda:
Los modos de alta y baja demanda son
diferenciados por la relación de cualquier
intervalo de prueba manual planificado y el
intervalo promedio entre demandas.
A la prueba de comprobación Manual se le
da crédito cuando el intervalo de demanda
promedio supera el doble del intervalo de
prueba manual.
4: Cobertura de Diagnóstico
Estrategias de Pruebas y Diagnóstico
78WWW.FLPCI.COM

79. Relación entre los modos de SIF y el intervalo de tiempo
Modo Intervalo de demanda
vs intervalo de
diagnóstico automático
Intervalo de demanda
vs intervalo de prueba
manual
Medición de
probabilidad
Continuo DI<= ATI DI<= PTI PFH
Alta demanda DI >> ATI DI << PTI PFH
Baja demanda DI >> ATI DI >> PTI PFDavg
PFH: probabilidad de falla por hora
4: Cobertura de Diagnóstico
Estrategias de Pruebas y Diagnóstico
79WWW.FLPCI.COM

80. En general:
Modo de Baja demanda:
Se puede tomar crédito por diagnóstico
automático incluso en un solo canal.
Modo continuo.
Se puede tomar crédito por diagnóstico sólo
para un sistema redundante.
4: Cobertura de Diagnóstico
Estrategias de Pruebas y Diagnóstico
80WWW.FLPCI.COM

81. WWW.FLPCI.COM
SIL
Tasa de
Falla de los
Dispositivos
Intervalo de
Pruebas
Redundancia
y Votación
Falla de
causa
Común
Cobertura de
Diagnóstico
Parámetros que Afectan al SIL
Tiempo Medio
para Reparar
81

82. El tiempo promedio requerido para realizar el
mantenimiento correctivo sobre todos los equipos
removibles en un producto o sistema.
Debería considerar tanto el tiempo de reparación y
cualquier retardo por logística (ej. Moverse de un
sitio a otro, acceso al sitio, obtención de los repuestos y
administración).
Podría estar especificada en el manual de
seguridad del dispositivo.
Necesidad de incluir en el procedimiento de
mantenimiento.
Las modificaciones al MTTR pueden estar sujetas al
MOC.
5: Tiempo Medio para Restaurar
82WWW.FLPCI.COM

83. Por ejemplo: 1oo1
    MTTRDIDCTIDCPFD DDDavg   22)1(
Años Minutos Días
5: Tiempo Medio para Restaurar
83WWW.FLPCI.COM
Nota: Aquí se muestran ecuaciones sencillas. Ecuaciones más complejas se pueden
derivar usando arboles de falla.

84. WWW.FLPCI.COM
SIL
Tasa de
Falla de los
Dispositivos
Intervalo de
Pruebas
Redundancia
y Votación
Falla de
causa
Común
Cobertura de
Diagnóstico
Parámetros que Afectan al SIL
Tiempo
Medio para
Reparar
84

85. Es difícil de predecir la CCF.
Cuando no se puede estimar, es necesario
hacer asunciones sobre el valor del factor β.
Típicamente entre 0.1 to 5 %
6: Falla de Causa Común
85WWW.FLPCI.COM

86.      
  MTTRTI
MTTRTIPFD
DD
DDavg




2
121
2
Con CCF
  2
2 MTTRTIPFD DDavg  Sin CCF
β: Fracción de fallas peligrosas debido a una
causa común.
6: Falla de Causa Común
Por ejemplo: 1oo2 (sin cobertura de Diagnóstico)
86WWW.FLPCI.COM
Nota: Aquí se muestran ecuaciones simplificadas

87. Transmisor
de presión
PE
Resolvedor
Lógico
Válvula de bloqueo Suministro de
aire de
instrumento
El PFDavg del SIF es calculado de la manera siguiente:
Válvula
solenoide
Detección Resolvedor
Lógico
Elemento
Final
Sistema de
servicio
critico
UtilityCriticalElementsFinalSolverLogicDetectionSIFavg PFDPFDPFDPFDPFD )(
Cálculo de PFD para un SIF
87WWW.FLPCI.COM

88. El reporte debería contener la información siguiente:
Plan de pruebas y los resultados de los cálculos.
Variables de entrada requeridas para hacer los cálculos.
Selección de dispositivos.
Redundancia del sistema.
Versión de la herramienta utilizada.
Tasa de falla.
Asunciones de los modos de falla y tiempo de reparación.
Frecuencia de las pruebas.
Cobertura de las pruebas.
Cualquier factor beta de causa común.
Tiempo de la misión del SIF.
Reporte de Verificación del SIL
88WWW.FLPCI.COM

89. WWW.FLPCI.COM
89

90. WWW.FLPCI.COM
flatorraca@gmail.com
www.flpci.com
Teléfono -0212-2377747
– 2378081
Cel 0414-2370636