Términos básicos utilizados en la verificación SIL
El mundo de la seguridad industrial es un campo complejo y vital para garantizar la integridad de las instalaciones y la protección de las personas. Al hablar de sistemas integrados de seguridad, nos encontramos con el acrónimo SIL, que hace referencia a los niveles de integridad de seguridad. Pero, ¿qué significan realmente estos términos y por qué son cruciales en la verificación de sistemas de protección? En este artículo, desglosaremos los conceptos esenciales que toda persona involucrada en la seguridad de procesos debe conocer. Prepárate para adentrarte en un universo de terminología técnica que no solo te ayudará a comprender mejor la verificación SIL, sino que también te convertirá en un aliado indispensable en la búsqueda de una industria más segura. ¡Comencemos!
«Si te encuentras inmerso en el apasionante mundo de la verificación SIL (Safety Integrity Level), es fundamental que conozcas los términos básicos que se utilizan en esta disciplina. En este artículo, te vamos a explicar de manera sencilla y concisa los conceptos esenciales que debes dominar para entender y aplicar correctamente la verificación SIL. ¡Prepárate para convertirte en un experto en la materia!»
Este artículo describe una explicación completa de varios términos que se usan comúnmente en el proceso de verificación de SIL.
Para los sistemas instrumentados de seguridad (SIS) en las industrias de procesos, se aplican dos estándares IEC, a saber, IEC 61508 e IEC 61511. Para los fabricantes de dispositivos que se utilizan en sistemas instrumentados de seguridad (por ejemplo, solucionadores lógicos y transmisores), se aplica IEC 61508 . Para los usuarios finales que implementarían un sistema instrumentado de seguridad (por ejemplo, una planta química que utiliza un SIS), se aplica la norma IEC 61511.
De acuerdo con IEC 61511, la verificación SIL es una parte crucial del ciclo de vida de la seguridad y tiene lugar durante la fase 4 (diseño e ingeniería del SIS) después de completar el análisis de peligros y riesgos, la asignación de funciones de seguridad a las capas de protección y la especificación de los requisitos de seguridad del SIS. .
Comencemos con la Seguridad y la Seguridad Funcional.
¿Qué es la seguridad? Es estar libre de riesgos inaceptables.
La seguridad se refiere al estado o calidad de estar seguro, protegido o sin riesgo de daño. Abarca una gama más amplia de conceptos que incluyen seguridad física, salud y bienestar, y seguridad ambiental.
Seguridad Funcional: parte de la seguridad que depende de las funciones de seguridad implementadas en un sistema de seguridad
seguridad funcional, por otro lado, se refiere a la seguridad relacionada con las funciones específicas que realizan los sistemas relacionados con la seguridad, tales como paradas de emergencia, protección contra incendios y explosiones, y protección del personal y del medio ambiente. Implica garantizar que estos sistemas funcionen según lo previsto y no causen daños en caso de falla.
La seguridad funcional es un subconjunto de la seguridad que se centra en el diseño y el funcionamiento de los sistemas relacionados con la seguridad, mientras que la seguridad abarca todos los aspectos para garantizar un entorno seguro.
Las características de los sistemas de seguridad como ESD / SIS: Es independiente, tiene un estado seguro predeterminado y funciona solo cuando el proceso se sale de control.
SIL (Nivel de integridad de seguridad)
Representa un objetivo cuantificable que mide el nivel de seguridad de un proceso. La determinación de un nivel SIL objetivo debe basarse en la evaluación de la probabilidad de que ocurra un incidente y el impacto de dicho incidente.
HFT (tolerancia a fallos de hardware)
Se refiere a la capacidad del equipo para continuar realizando su función requerida a pesar de fallas o errores.
El HFT de un dispositivo es un reflejo de la calidad de su sistema de seguridad.
Por ejemplo, HFT de N significa que N+1 fallas pueden provocar la pérdida de toda la función de seguridad.
Por otro lado, HFT-0 significa que un solo fallo puede provocar la pérdida de toda la función de seguridad (p. ej., un transmisor de presión 1oo1 utilizado en un SIF). La falla de este transmisor resultará en la pérdida de todo el circuito de seguridad.
HFT-1 indica que se necesitan dos fallas para causar la pérdida de toda la función de seguridad (p. ej., votación 1oo2).
La siguiente tabla ilustra los niveles de HFT asociados con varias configuraciones de votación:
Tabla 1: Correlación de HFT y configuración de votación
Tolerancia a fallos de hardware
Configuraciones de votación
0
1oo1, 2oo2
1
1oo2, 2oo3
2
1oo3, 2oo4
Es importante señalar que HFT no es equivalente a la presencia de dispositivos redundantes. Por ejemplo, la configuración 2oo2 es redundante pero tolerante a fallas. Un número HFT más alto contribuye a un nivel SIL más alto del equipo.
SFF (función de falla segura)
Es una medida de la eficacia del diagnóstico integrado de un dispositivo. Cualquier falla que ocurra se puede clasificar en dos tipos: falla segura (λS) y falla peligrosa (λD). La falla puede ser detectada a través del diagnóstico o permanecer sin ser detectada, siendo esta última la más preocupante (ya que no es segura ni detectada por ningún medio de diagnóstico). La fracción de fallas seguras se calcula como la relación entre la suma de fallas seguras (λs = λSD + λSU) y fallas peligrosas detectadas (λDU) con respecto al número total de fallas.
Cuanto más alto sea el SFF, más completa será la cobertura de diagnóstico integrada del dispositivo, lo que permite reclamar un nivel SIL razonablemente alto.
Restricciones arquitectónicas se refieren a las restricciones impuestas al hardware seleccionado para ejecutar una función instrumentada de seguridad, independientemente del rendimiento del subsistema (como PFDavg).
Tabla 2: Restricciones arquitectónicas para subsistemas tipo A – Ruta 1H
>
Tabla 3: Restricciones arquitectónicas para subsistemas tipo B – Ruta 1H
>Escribe un Los dispositivos se consideran simples y tienen modos de falla bien conocidos, como válvulas, relés, RTD, termopares, solenoides e interruptores de límite.
Tipo B los dispositivos, por otro lado, son más complejos y tienen modos de falla desconocidos. Cualquier dispositivo con un microprocesador se considera Tipo B, incluidos los transmisores inteligentes, los posicionadores de válvulas, los controladores lógicos programables (PLC), los sistemas de control distribuido (DCS) y los sistemas de monitoreo de máquinas (MMS).
Tolerancia a fallas de hardware: tabla en IEC 61508 Ruta 2H
>La tabla 6 en IEC 61511 es la misma que la tabla para IEC 65108- Ruta 2H.
por ejemplo, para cualquier modo dado para lograr SIL3 para un SIF, requerimos HFT como 1. Por lo tanto, sin dispositivos redundantes/elementos finales requeridos, no se logrará el SIL para SIF.
Como vimos anteriormente, IEC 61508 nos da dos opciones, llamadas Ruta 1H y Ruta 2H.
Ruta 1H: la tolerancia a fallas de hardware se basa en el tipo [A or B]la fracción de falla segura y el SIL.
Ruta 2H: la tolerancia a fallas de hardware se basa en los datos de uso comprobado y el SIL.
PFDavg (Probabilidad promedio de falla a pedido) es una métrica utilizada para calcular la probabilidad de que un sistema falle peligrosamente y no pueda realizar su función de seguridad cuando sea necesario. IEC 61508 e IEC 61511 utilizan PFDavg para definir la clasificación SIL. El PFDavg aumenta en un orden de magnitud con cada aumento en la calificación SIL.
Tabla 4: Correlación de SIL y PFDavg para el modo de baja demanda
Nivel de Integridad Seguro
PFDavg baja demanda
Modo de operación
4
>10-5 a <10-4
3
>10-4 a <10–3
2
>10-3 a <10-2
1
>10-2 a <10-1
>Examinemos un ejemplo específico del certificado SIL de un transmisor de presión (Yokogawa fabrica la serie EJA de transmisores de presión) para comprender mejor los términos discutidos anteriormente:
Enlace al certificado: https://web-material3.yokogawa.com/EJA-E_Series_SIL_Certificate.us.pdf
El dispositivo está clasificado como un dispositivo Tipo B.
Cuando HFT es 0 (1oo1), la clasificación SIL es 2.
Cuando HFT es 1 (1oo2), la clasificación SIL es 3.
La Fracción de Falla Segura (SFF), como se indica en la página 2 del certificado, se calcula como (0 + 54 + 331) / (0 + 54 + 331 + 39) = 90.8%.
De acuerdo con la información de la Tabla 3, si el SFF es superior al 90 % y el HFT es 0 (1oo1, 2oo2), las limitaciones de la arquitectura permiten reclamar una clasificación SIL 2.
Incluso con la configuración redundante 2oo2, la clasificación SIL más alta que se puede lograr sigue siendo SIL 2. El nivel de redundancia no equivale automáticamente a una clasificación SIL más alta; debe evaluarse junto con el nivel HFT.
Según la Tabla 3, si el SFF es superior al 90 % y el HFT es 1 (1oo2), las limitaciones de la arquitectura permiten reclamar una clasificación SIL 3.
La verificación SIL y la validación SIL son dos pasos distintos en el proceso de garantizar la seguridad funcional en los sistemas de automatización industrial.
Verificación SIL es el proceso de verificar que el diseño y la implementación de un sistema instrumentado de seguridad (SIS) cumplan con los requisitos especificados en los estándares de seguridad funcional como IEC 61508 o IEC 61511. Esto incluye revisar la documentación de diseño, probar los componentes y sistemas, y garantizar que el diseño e implementación está de acuerdo con los estándares.
Validación SIL, por otro lado, es el proceso de demostrar que el SIS realizará su función de seguridad prevista durante condiciones normales y anormales. Esto normalmente se hace a través de simulaciones, pruebas y/o análisis. El objetivo de la Validación SIL es demostrar que el SIS realizará de manera confiable su función de seguridad cuando sea necesario y que el nivel de integridad de seguridad general (SIL) del sistema es adecuado.
En resumen, la Verificación SIL se enfoca en verificar el diseño e implementación del SIS, mientras que la Validación SIL se enfoca en demostrar el desempeño del SIS en condiciones normales y anormales.
Intervalo de prueba de prueba: Se refiere a la frecuencia con la que un sistema instrumentado de seguridad o sus componentes se someten a una prueba formal para verificar su operatividad y correcto funcionamiento. El objetivo es detectar cualquier defecto antes de que pueda causar una falla peligrosa.
MTTR (tiempo medio de restauración): El tiempo promedio requerido para identificar y reparar un componente o sistema defectuoso y volver a ponerlo en funcionamiento.
MTBF (Tiempo medio entre fallas): El tiempo promedio entre fallas del sistema.
Beta: Tasa de causa común de falla, que se refiere a la probabilidad de que múltiples componentes críticos para la seguridad fallen simultáneamente.
Es un porcentaje de la tasa de fracaso.
SIL (Nivel de integridad de seguridad): Una medida del nivel de seguridad proporcionada por un sistema instrumentado de seguridad, definida en términos de la probabilidad promedio de falla a pedido (PFDavg). Se utiliza para clasificar los requisitos de seguridad de un sistema y las medidas necesarias para lograrlos.
PFDavg (Probabilidad promedio de falla a pedido): La probabilidad promedio de que un sistema instrumentado de seguridad no cumpla con su función de seguridad cuando se le requiera. Se utiliza para determinar el nivel SIL requerido para una determinada aplicación de seguridad.
FRR (Factor de Reducción de Riesgo) = 1/PFD. Con referencia a la Tabla 4 anterior, si un SIF requiere una reducción de riesgo de 125, eso significa que un SIF debe ser SIL2 en modo de demanda baja. Si un SIF requiere una reducción de riesgo de 1025, eso significa que un SIF debe ser SIL3 en modo de demanda baja.
Hay 2 formas de reducir el riesgo que reduce la frecuencia y reduce las consecuencias. Por lo general, los sistemas de seguridad reducen la frecuencia.
¿Qué es una demanda? Es una solicitud de proceso para una acción de protección, por ejemplo, un disparo alto o bajo.
¿Diferencia principal entre un sistema de control (DCS) y un sistema de seguridad (ESD/SIS)?
El sistema de control está en control las 24 horas, los 7 días de la semana, el sistema de seguridad solo actúa bajo demanda = en espera o durmiendo
DCS
SIS
Siempre en modo “activo”, la planta no puede funcionar si no está funcionando
Normalmente en modo “pasivo”, actúa solo en caso de emergencia
La salud del sistema siempre es evidente
Hay que hacer pruebas periódicamente para saber la salud del sistema.
Puede o no tener componentes redundantes
Generalmente tiene componentes redundantes, podría ser. incluso triple o cuádruple redundante
No necesita estar diseñado según la norma IEC 61508
Generalmente diseñado según la norma IEC 61508 para garantizar una disponibilidad y fiabilidad muy altas.
La falla del sistema resulta en tiempo de inactividad y producción
La falla del sistema puede resultar en una catástrofe y pérdida de activos, personas y daños ambientales
Las fallas se detectan fácilmente ya que el sistema funciona las 24 horas del día, los 7 días de la semana.
La falla puede permanecer sin ser detectada
No hay garantía sobre el estado de las salidas durante la falla del sistema de control, lo más probable es que las salidas estén en espera
Estado de salida predecible en cualquier falla revelada en el sistema, diseño a prueba de fallas
Alta flexibilidad necesaria para desarrollar y mantener aplicaciones (complejas) de control y automatización
Funcionalidad fija, cuidadosamente minimizada durante el diseño.
Las mejoras o cambios en la configuración, pero también las reparaciones, se implementan principalmente en línea
Sin modificación de la funcionalidad de protección en una planta en funcionamiento Procedimientos rígidos para realizar cualquier cambio
¿Qué es mejor para la seguridad, 1oo2 o 2oo2?
1oo2 es mejor para la seguridad, 2oo2 es mejor para la disponibilidad
¿Cuál es el propósito de 2oo3?
2oo3 es una buena combinación para mayor seguridad y mayor disponibilidad
¿Qué quiere decir con validación del sensor?
La validación del sensor significa que tiene más de un sensor y se comparan los valores de los sensores. Si los valores de los sensores difieren demasiado, se puede generar una acción/alarma.
¿Cuál es el tiempo de seguridad del proceso?
El tiempo de seguridad del proceso es el tiempo que queda entre la demanda y la finalización de las acciones antes de que las cosas salgan mal. Por ejemplo, se mide un nivel alto en un recipiente, esto significa que quedan 15 minutos para cerrar las tuberías antes de que el recipiente comience a desbordarse.
¿Cuál es el efecto de las anulaciones en el SIF?
Anula «matar» la función de seguridad. Se pasa por alto la intención del SIF, por lo que la demanda ya no puede resultar en una acción correctiva.
¿Cómo tratamos las anulaciones?
Se recomienda encarecidamente un interruptor de llave de habilitación cableado. Con estrictos trámites (permisos) e indicaciones de que se colocan anulaciones en el sistema.
¿Qué es la Capacidad Sistemática?
La capacidad sistemática es una medida (expresada en una escala de SC 1 a SC4) de la confianza de que la integridad de seguridad sistemática de un elemento cumple los requisitos del SIL especificado, con respecto a la función de seguridad del elemento especificado.
En otras palabras, la capacidad sistemática es la cualidad de evitar fallas sistemáticas (al tener una gestión de seguridad funcional implementada)
Hagamos un estudio de caso detallado.
Un cliente solicita un HIPPS con medición de presión y cierra la válvula con SIL 3. Utilizará los siguientes elementos (subsistemas)
sensor: transmisor marca X, IEC 61508 tipo B, SFF=80%
solucionador lógico: hacer Honeywell, Safety Manager, SIL3
elemento final: Válvula neumática de cierre marca Z,
IEC 61508 tipo A, SFF=96%
¿Cuál es la configuración del sistema si el cliente lo solicita?
.narrow-sky-1-multi-922{border:ninguno!importante;mostrar:bloquear!importante;flotante:!important;line-height:0;margin-bottom:15px!important;margin-left:auto!important;margin-right:auto!important;margin-top:15px!important;max-width:100%!important; min-height:250px;min-width:250px;padding:0;text-align:center!important}
1. cumplimiento de IEC 61508 Ruta 1H
2. cumplimiento de IEC 61508 Ruta 2H
3. conformidad con IEC 61511
Considere 1 año = 10000 horas como intervalo de prueba de prueba para un cálculo simple. Considere el cálculo sin causas comunes.
>
>
Factores de verificación de SIL
Verificación SIL ha tres factores que hay que comprobar
1. PFDavg
valor de la función de seguridad. Esto puede implementarse mediante un circuito cerrado que consta de sensores, solucionadores lógicos y elementos finales.
2. Capacidad Sistemática
Los elementos y dispositivos/subsistemas en el SIF deben ser capaces de cumplir con el objetivo SIL. Por lo tanto, estos dispositivos deben ser certificados preferentemente por terceros para el cumplimiento de
la norma IEC 61508. O se puede ir con una justificación de “probado en uso”.
3. Restricciones arquitectónicas
El diseño del SIF debe cumplir con ciertas restricciones arquitectónicas. Tenemos que referirnos a ciertas tablas en los estándares que establecen los parámetros mínimos como la tolerancia a fallas de hardware para estos diseños.
- Se puede lograr un mejor nivel SIL para un dispositivo de función instrumentada de seguridad (SIF) al tener un valor PFDavg más bajo, un valor SFF más alto (>90 %) y un nivel HFT más alto.
- PFDavg es un factor importante, pero no el único para la determinación del SIL. Hay otros dos criterios, a saber, Capacidad Sistemática y Restricciones Arquitectónicas que deben tenerse en cuenta para el ciclo.
- El mero hecho de tener un equipo certificado para su uso en aplicaciones SIL 2 no garantiza que todo el SIF o el lazo cumplirá con los requisitos SIL 2. Se debe realizar un análisis completo de todos los componentes SIF (sensores, solucionadores lógicos y elementos finales) de acuerdo con los estándares más recientes.
- Se puede mejorar el valor de PFDavg reduciendo el intervalo de prueba (aumentando la frecuencia de prueba) e implementando la prueba de carrera parcial.
- Durante el proceso de verificación SIL, el certificado SIL y los manuales de seguridad de los componentes SIF deben estar fácilmente disponibles.
- Siempre que sea posible, se deben utilizar datos conservadores de tasas de fallas, como bases de datos de la industria como OREDA y SINTEF/exida SERH, ya que los datos proporcionados en el certificado SIL a veces pueden ser demasiado optimistas.
- Se recomienda a los usuarios que se familiaricen con las diversas definiciones, requisitos de competencia y pautas establecidas en IEC 61508, IEC 61511 e ISA 84 antes de embarcarse en actividades de verificación SIL.
Términos Básicos Utilizados en la Verificación SIL
El mundo de la seguridad industrial es crucial para garantizar la integridad de las instalaciones y la protección de las personas. Conoce los conceptos esenciales que toda persona involucrada en la seguridad de procesos debe dominar.
¿Qué es SIL?
SIL, que significa Nivel de Integridad de Seguridad, se refiere a un objetivo cuantificable que mide la seguridad de un sistema en términos de la probabilidad de que ocurra un fallo peligroso. Se utiliza en el contexto de sistemas instrumentados de seguridad (SIS) para asegurar que cumplan con requisitos funcionales adecuados.
Términos Clave en la Verificación SIL
- HFT (Tolerancia a Fallas de Hardware): Este término describe la cantidad de fallas que un sistema puede experimentar sin perder su función de seguridad. Por ejemplo, un dispositivo con HFT de 1 necesita dos fallas para perder completamente su función.
- SFF (Fracción de Falla Segura): Representa el diagnóstico efectivo de un dispositivo. Cuanto más alta sea la SFF, mejor será la cobertura de seguridad del dispositivo.
- PFDavg (Probabilidad Promedio de Falla a Pedido): Mide la probabilidad de que un sistema falle peligrosamente cuando se le requiere. Se usa para definir la clasificación SIL.
Las Normas IEC 61508 y IEC 61511
Las normas IEC 61508 e IEC 61511 son cruciales para la implementación de sistemas de seguridad. Mientras que IEC 61508 se aplica a fabricantes de dispositivos, IEC 61511 está diseñado para usuarios finales que trabajan con sistemas instrumentados de seguridad, especialmente en industrias de procesos.
Importancia de la Verificación SIL
La verificación SIL es una etapa fundamental en el ciclo de vida de la seguridad que asegura que el diseño de un SIS cumpla con los requisitos establecidos en los estándares funcionales. Esto incluye la revisión de la documentación, pruebas de componentes y confirmación del cumplimiento normativo.
Preguntas Frecuentes (FAQs)
¿Qué significa SIL en la industria?
SIL significa Nivel de Integridad de Seguridad y es una medida que se utiliza para evaluar el nivel de seguridad que proporciona un sistema de seguridad instrumentado.
¿Cuál es la diferencia entre verificación y validación SIL?
La verificación SIL se centra en comprobar que el sistema cumple con los requisitos de diseño, mientras que la validación SIL demuestra que el sistema efectivamente cumple su función de seguridad en diversas condiciones.
¿Por qué son importantes las normas IEC 61508 e IEC 61511?
Estas normas proporcionan un marco para garantizar la seguridad funcional de los sistemas instrumentados, ayudando a minimizar riesgos en procesos industriales.
¡Qué buen artículo, me ha aclarado un montón de cosas sobre la verificación SIL! Recuerdo que la primera vez que me metí en este tema, estaba más perdido que un pulpo en un garaje. Me costó muchísimo entender los términos básicos, así que leer esto me trajo buenos recuerdos y me parece súper útil para quienes están empezando. ¡Gracias por compartir!
Pedro norberto: Totalmente de acuerdo, ¡boureima! A mí también me pasó algo similar. La primera vez que escuché sobre la verificación SIL, pensé que era un idioma extraterrestre. Aprendí a base de equivocaciones y de buscar en mil páginas. Este artículo es un salvavidas para quienes están dando sus primeros pasos. ¡Gran trabajo!
Recarte: ¡Comparto totalmente lo que dicen! A mí también me pasó algo similar cuando empecé con el tema. En mi primer proyecto, me tiraron un montón de siglas y conceptos que sonaban como magia. Pasé noches intentando descifrar qué era cada cosa y este tipo de artículos son justo lo que necesitamos para no sentirnos tan perdidos. Así que gracias por ponerlo tan claro, ¡es de gran ayuda!