El documento explica que el Nivel de Integridad de Seguridad (SIL) se asigna a Funciones Instrumentadas de Seguridad (FIS) específicas, no a sistemas completos. El SIL de una FIS depende de su Probabilidad de Falla en Demanda (PFD), con niveles de SIL 1 a SIL 4 según la norma IEC 61511. Para certificar un SIL, un diseño de función de seguridad debe cumplir con criterios de Integridad aleatoria del hardware, Limitaciones estructurales y Capacidad

3.  No podemos definir el Nivel de Integridad de Seguridad o SIL por sus
siglas en inglés (Safety Integrity Level) sin entender primero que éste
siempre está asociado exclusivamente a una Función Instrumentada
de Seguridad (FIS). Entonces, si partimos de que un Sistema
Instrumentado de Seguridad (SIS) está compuesto por diferentes FIS,
podemos comprender que en un SIS existirán tantos SIL’s como FIS
coexistan.
 Tratar de asignar un SIL a toda una planta o instalación, sería un error
conceptual, también lo sería pensar que un controlador (por ejemplo,
uno capaz de alcanzar SIL 3), es el que determine el SIL de una FIS o
peor aún de un SIS completo.
 Lo anterior nos lleva a estipular que el SIL es una medida específica
del desempeño vinculado a la seguridad y éste es determinado para
una FIS en específico.
 Así entonces, para cuando una FIS sea puesta a demanda (sea
necesaria su funcionamiento) el comportamiento de ésta, desde el
punto de vista de su éxito o fracaso, será escalada en 4 diferentes
niveles de acuerdo a la norma IEC- 61511.

5.  En la tabla anterior, se muestra un extracto de los 4
niveles SIL estipulados en la norma IEC 61511; cada nivel
de la tabla está determinado por la Probabilidad de Falla
en Demanda (PFD); esto es, la probabilidad de fracaso de
una FIS. Por ejemplo, una Función con un SIL 1 tendrá
una probabilidad de fallar cuando sea requerida entre 0.01
y 0.1 de las veces, lo cual pareciera una probabilidad baja;
sin embargo una FIS con un SIL 4 tendrá una probabilidad
de falla de entre 0.00001 y 0.0001 de las veces, lo que
evidentemente es mucho menor.
 El Factor de Reducción de Riesgo (que es el inverso de la
PFD) evita el uso de notaciones científicas para definir el
comportamiento de una FIS.

6.  Para la certificación SIL es necesario que el
diseño de una función de seguridad cumpla
tres criterios específicos según se establece
en la norma.
Estos estrictos criterios son: Integridad
aleatoria del hardware, Limitaciones
estructurales y Capacidad sistemática.

7.  IEC 61508-2010 define así la capacidad sistemática:
 "Medida (expresada en una escala de SC 1 a SC 4) de la confianza con la que la integridad de
seguridad sistemática de un elemento cumple los requisitos del Nivel de integridad de seguridad
(SIL) especificado, con respecto a la función de seguridad del elemento especificado, cuando el
elemento se aplica de acuerdo con las instrucciones especificadas en el manual de seguridad
del elemento compatible para el elemento".
 Los fallos sistemáticos son principalmente el resultado de fallos humanas. Ya sea en el diseño,
la ingeniería, el funcionamiento o el mantenimiento de una función de seguridad, puede haber
fallos sistemáticos que ocurrirán en el conjunto de circunstancias correcto.
 Los fallos sistemáticos a menudo son el resultado de especificaciones inadecuadas de
dispositivos o componentes, errores en los procedimientos de funcionamiento o mantenimiento
o fallos en el software. Los fallos sistemáticos persistirán hasta que no se haya rediseñado la
causa raíz que los haya provocado.
 En consecuencia, la integridad sistemática puede definirse como el nivel de defensa contra
fallos sistemáticos.

8. IEC 61511 permite 2 métodos para demostrar
la capacidad sistemática:
 Uso de dispositivos con certificación según
IEC 61508
 Justificación de uso previo

10.  El consenso podría ser que se justifica el uso fiable del dispositivo si
un usuario en particular tiene una amplia experiencia con un
dispositivo, y tienen un índice de fallos lo suficientemente bajo.
 Sin embargo, para justificar completamente esto, se podría suponer
que el usuario debe tener un sistema robusto para documentar
completamente TODOS los fallos y modos de fallo, junto con un
estricto control de versiones del hardware y el software que podrían
afectar a la experiencia previa. Además, para garantizar unos datos
consistentes, cualquier nueva aplicación propuesta debe tener unas
condiciones de funcionamiento similares a los datos históricos.
La cláusula 11.5.3 de IEC 61511 establece los requisitos para
seleccionar los dispositivos en función de una justificación de uso
previo.

11. "Deberán existir evidencias adecuadas de que los dispositivos son aptos para su
uso en el sistema de instrumentación de seguridad, incluyendo:
 Consideraciones sobre los sistemas de calidad, gestión y gestión de la
configuración del fabricante
 Identificación y especificación adecuadas de los dispositivos
 Demostración del rendimiento de los dispositivos en entornos de
funcionamiento similares
 El volumen de experiencia en el uso".
Los niveles de SIL más altos imponen requisitos adicionales sobre cualquier
justificación de uso previo, especialmente cuando se incluye software.
Una justificación de uso previo puede ser muy complicada de evidenciar
totalmente para un usuario final y, por eso, muchos usuarios finales hacen uso del
creciente número de dispositivos con certificación según IEC 61508 para
demostrar capacidad sistemática.
Demostrar la capacidad sistemática no prueba en sí mismo el cumplimiento del SIL
objetivo. También deben tenerse en cuenta la Integridad aleatoria del hardware y
las Limitaciones estructurales.