Términos básicos utilizados en la verificación SIL

«Si te encuentras inmerso en el apasionante mundo de la verificación SIL (Safety Integrity Level), es fundamental que conozcas los términos básicos que se utilizan en esta disciplina. En este artículo, te vamos a explicar de manera sencilla y concisa los conceptos esenciales que debes dominar para entender y aplicar correctamente la verificación SIL. ¡Prepárate para convertirte en un experto en la materia!»

Este artículo describe una explicación completa de varios términos que se usan comúnmente en el proceso de verificación de SIL.

Para los sistemas instrumentados de seguridad (SIS) en las industrias de procesos, se aplican dos estándares IEC, a saber, IEC 61508 e IEC 61511. Para los fabricantes de dispositivos que se utilizan en sistemas instrumentados de seguridad (por ejemplo, solucionadores lógicos y transmisores), se aplica IEC 61508 . Para los usuarios finales que implementarían un sistema instrumentado de seguridad (por ejemplo, una planta química que utiliza un SIS), se aplica la norma IEC 61511.


De acuerdo con IEC 61511, la verificación SIL es una parte crucial del ciclo de vida de la seguridad y tiene lugar durante la fase 4 (diseño e ingeniería del SIS) después de completar el análisis de peligros y riesgos, la asignación de funciones de seguridad a las capas de protección y la especificación de los requisitos de seguridad del SIS. .

Comencemos con la Seguridad y la Seguridad Funcional.

¿Qué es la seguridad? Es estar libre de riesgos inaceptables.

La seguridad se refiere al estado o calidad de estar seguro, protegido o sin riesgo de daño. Abarca una gama más amplia de conceptos que incluyen seguridad física, salud y bienestar, y seguridad ambiental.


Seguridad Funcional: parte de la seguridad que depende de las funciones de seguridad implementadas en un sistema de seguridad

seguridad funcional, por otro lado, se refiere a la seguridad relacionada con las funciones específicas que realizan los sistemas relacionados con la seguridad, tales como paradas de emergencia, protección contra incendios y explosiones, y protección del personal y del medio ambiente. Implica garantizar que estos sistemas funcionen según lo previsto y no causen daños en caso de falla.

La seguridad funcional es un subconjunto de la seguridad que se centra en el diseño y el funcionamiento de los sistemas relacionados con la seguridad, mientras que la seguridad abarca todos los aspectos para garantizar un entorno seguro.

Las características de los sistemas de seguridad como ESD / SIS: Es independiente, tiene un estado seguro predeterminado y funciona solo cuando el proceso se sale de control.

SIL (Nivel de integridad de seguridad)

Representa un objetivo cuantificable que mide el nivel de seguridad de un proceso. La determinación de un nivel SIL objetivo debe basarse en la evaluación de la probabilidad de que ocurra un incidente y el impacto de dicho incidente.

HFT (tolerancia a fallos de hardware)

Se refiere a la capacidad del equipo para continuar realizando su función requerida a pesar de fallas o errores.

El HFT de un dispositivo es un reflejo de la calidad de su sistema de seguridad.

Por ejemplo, HFT de N significa que N+1 fallas pueden provocar la pérdida de toda la función de seguridad.

Por otro lado, HFT-0 significa que un solo fallo puede provocar la pérdida de toda la función de seguridad (p. ej., un transmisor de presión 1oo1 utilizado en un SIF). La falla de este transmisor resultará en la pérdida de todo el circuito de seguridad.

HFT-1 indica que se necesitan dos fallas para causar la pérdida de toda la función de seguridad (p. ej., votación 1oo2).

La siguiente tabla ilustra los niveles de HFT asociados con varias configuraciones de votación:




Tabla 1: Correlación de HFT y configuración de votación

Tolerancia a fallos de hardware Configuraciones de votación
0 1oo1, 2oo2
1 1oo2, 2oo3
2 1oo3, 2oo4

Es importante señalar que HFT no es equivalente a la presencia de dispositivos redundantes. Por ejemplo, la configuración 2oo2 es redundante pero tolerante a fallas. Un número HFT más alto contribuye a un nivel SIL más alto del equipo.

SFF (función de falla segura)

Es una medida de la eficacia del diagnóstico integrado de un dispositivo. Cualquier falla que ocurra se puede clasificar en dos tipos: falla segura (λS) y falla peligrosa (λD). La falla puede ser detectada a través del diagnóstico o permanecer sin ser detectada, siendo esta última la más preocupante (ya que no es segura ni detectada por ningún medio de diagnóstico). La fracción de fallas seguras se calcula como la relación entre la suma de fallas seguras (λs = λSD + λSU) y fallas peligrosas detectadas (λDU) con respecto al número total de fallas.

Cuanto más alto sea el SFF, más completa será la cobertura de diagnóstico integrada del dispositivo, lo que permite reclamar un nivel SIL razonablemente alto.

Restricciones arquitectónicas se refieren a las restricciones impuestas al hardware seleccionado para ejecutar una función instrumentada de seguridad, independientemente del rendimiento del subsistema (como PFDavg).

Tabla 2: Restricciones arquitectónicas para subsistemas tipo A – Ruta 1H



Términos básicos utilizados en la verificación SIL

Tabla 3: Restricciones arquitectónicas para subsistemas tipo B – Ruta 1H

Términos básicos utilizados en la verificación SIL

Escribe un Los dispositivos se consideran simples y tienen modos de falla bien conocidos, como válvulas, relés, RTD, termopares, solenoides e interruptores de límite.

Tipo B los dispositivos, por otro lado, son más complejos y tienen modos de falla desconocidos. Cualquier dispositivo con un microprocesador se considera Tipo B, incluidos los transmisores inteligentes, los posicionadores de válvulas, los controladores lógicos programables (PLC), los sistemas de control distribuido (DCS) y los sistemas de monitoreo de máquinas (MMS).

Tolerancia a fallas de hardware: tabla en IEC 61508 Ruta 2H

Términos básicos utilizados en la verificación SIL

La tabla 6 en IEC 61511 es la misma que la tabla para IEC 65108- Ruta 2H.

por ejemplo, para cualquier modo dado para lograr SIL3 para un SIF, requerimos HFT como 1. Por lo tanto, sin dispositivos redundantes/elementos finales requeridos, no se logrará el SIL para SIF.

Como vimos anteriormente, IEC 61508 nos da dos opciones, llamadas Ruta 1H y Ruta 2H.

Ruta 1H: la tolerancia a fallas de hardware se basa en el tipo [A or B]la fracción de falla segura y el SIL.

Ruta 2H: la tolerancia a fallas de hardware se basa en los datos de uso comprobado y el SIL.

PFDavg (Probabilidad promedio de falla a pedido) es una métrica utilizada para calcular la probabilidad de que un sistema falle peligrosamente y no pueda realizar su función de seguridad cuando sea necesario. IEC 61508 e IEC 61511 utilizan PFDavg para definir la clasificación SIL. El PFDavg aumenta en un orden de magnitud con cada aumento en la calificación SIL.

Tabla 4: Correlación de SIL y PFDavg para el modo de baja demanda

Nivel de Integridad Seguro PFDavg baja demanda
Modo de operación
4 >10-5 a <10-4
3 >10-4 a <103
2 >10-3 a <10-2
1 >10-2 a <10-1
Términos básicos utilizados en la verificación SIL

Examinemos un ejemplo específico del certificado SIL de un transmisor de presión (Yokogawa fabrica la serie EJA de transmisores de presión) para comprender mejor los términos discutidos anteriormente:

Enlace al certificado: https://web-material3.yokogawa.com/EJA-E_Series_SIL_Certificate.us.pdf

El dispositivo está clasificado como un dispositivo Tipo B.

Cuando HFT es 0 (1oo1), la clasificación SIL es 2.

Cuando HFT es 1 (1oo2), la clasificación SIL es 3.



La Fracción de Falla Segura (SFF), como se indica en la página 2 del certificado, se calcula como (0 + 54 + 331) / (0 + 54 + 331 + 39) = 90.8%.

De acuerdo con la información de la Tabla 3, si el SFF es superior al 90 % y el HFT es 0 (1oo1, 2oo2), las limitaciones de la arquitectura permiten reclamar una clasificación SIL 2.

Incluso con la configuración redundante 2oo2, la clasificación SIL más alta que se puede lograr sigue siendo SIL 2. El nivel de redundancia no equivale automáticamente a una clasificación SIL más alta; debe evaluarse junto con el nivel HFT.

Según la Tabla 3, si el SFF es superior al 90 % y el HFT es 1 (1oo2), las limitaciones de la arquitectura permiten reclamar una clasificación SIL 3.

La verificación SIL y la validación SIL son dos pasos distintos en el proceso de garantizar la seguridad funcional en los sistemas de automatización industrial.

Verificación SIL es el proceso de verificar que el diseño y la implementación de un sistema instrumentado de seguridad (SIS) cumplan con los requisitos especificados en los estándares de seguridad funcional como IEC 61508 o IEC 61511. Esto incluye revisar la documentación de diseño, probar los componentes y sistemas, y garantizar que el diseño e implementación está de acuerdo con los estándares.

Validación SIL, por otro lado, es el proceso de demostrar que el SIS realizará su función de seguridad prevista durante condiciones normales y anormales. Esto normalmente se hace a través de simulaciones, pruebas y/o análisis. El objetivo de la Validación SIL es demostrar que el SIS realizará de manera confiable su función de seguridad cuando sea necesario y que el nivel de integridad de seguridad general (SIL) del sistema es adecuado.

En resumen, la Verificación SIL se enfoca en verificar el diseño e implementación del SIS, mientras que la Validación SIL se enfoca en demostrar el desempeño del SIS en condiciones normales y anormales.

Intervalo de prueba de prueba: Se refiere a la frecuencia con la que un sistema instrumentado de seguridad o sus componentes se someten a una prueba formal para verificar su operatividad y correcto funcionamiento. El objetivo es detectar cualquier defecto antes de que pueda causar una falla peligrosa.

MTTR (tiempo medio de restauración): El tiempo promedio requerido para identificar y reparar un componente o sistema defectuoso y volver a ponerlo en funcionamiento.

MTBF (Tiempo medio entre fallas): El tiempo promedio entre fallas del sistema.

Beta: Tasa de causa común de falla, que se refiere a la probabilidad de que múltiples componentes críticos para la seguridad fallen simultáneamente.


Es un porcentaje de la tasa de fracaso.

SIL (Nivel de integridad de seguridad): Una medida del nivel de seguridad proporcionada por un sistema instrumentado de seguridad, definida en términos de la probabilidad promedio de falla a pedido (PFDavg). Se utiliza para clasificar los requisitos de seguridad de un sistema y las medidas necesarias para lograrlos.

PFDavg (Probabilidad promedio de falla a pedido): La probabilidad promedio de que un sistema instrumentado de seguridad no cumpla con su función de seguridad cuando se le requiera. Se utiliza para determinar el nivel SIL requerido para una determinada aplicación de seguridad.

FRR (Factor de Reducción de Riesgo) = 1/PFD. Con referencia a la Tabla 4 anterior, si un SIF requiere una reducción de riesgo de 125, eso significa que un SIF debe ser SIL2 en modo de demanda baja. Si un SIF requiere una reducción de riesgo de 1025, eso significa que un SIF debe ser SIL3 en modo de demanda baja.

Hay 2 formas de reducir el riesgo que reduce la frecuencia y reduce las consecuencias. Por lo general, los sistemas de seguridad reducen la frecuencia.

¿Qué es una demanda? Es una solicitud de proceso para una acción de protección, por ejemplo, un disparo alto o bajo.


¿Diferencia principal entre un sistema de control (DCS) y un sistema de seguridad (ESD/SIS)?

El sistema de control está en control las 24 horas, los 7 días de la semana, el sistema de seguridad solo actúa bajo demanda = en espera o durmiendo

DCS SIS
Siempre en modo “activo”, la planta no puede funcionar si no está funcionando Normalmente en modo “pasivo”, actúa solo en caso de emergencia
La salud del sistema siempre es evidente Hay que hacer pruebas periódicamente para saber la salud del sistema.
Puede o no tener componentes redundantes Generalmente tiene componentes redundantes, podría ser. incluso triple o cuádruple redundante
No necesita estar diseñado según la norma IEC 61508 Generalmente diseñado según la norma IEC 61508 para garantizar una disponibilidad y fiabilidad muy altas.
La falla del sistema resulta en tiempo de inactividad y producción La falla del sistema puede resultar en una catástrofe y pérdida de activos, personas y daños ambientales
Las fallas se detectan fácilmente ya que el sistema funciona las 24 horas del día, los 7 días de la semana. La falla puede permanecer sin ser detectada
No hay garantía sobre el estado de las salidas durante la falla del sistema de control, lo más probable es que las salidas estén en espera Estado de salida predecible en cualquier falla revelada en el sistema, diseño a prueba de fallas
Alta flexibilidad necesaria para desarrollar y mantener aplicaciones (complejas) de control y automatización Funcionalidad fija, cuidadosamente minimizada durante el diseño.
Las mejoras o cambios en la configuración, pero también las reparaciones, se implementan principalmente en línea Sin modificación de la funcionalidad de protección en una planta en funcionamiento Procedimientos rígidos para realizar cualquier cambio

¿Qué es mejor para la seguridad, 1oo2 o 2oo2?

1oo2 es mejor para la seguridad, 2oo2 es mejor para la disponibilidad

¿Cuál es el propósito de 2oo3?

2oo3 es una buena combinación para mayor seguridad y mayor disponibilidad

¿Qué quiere decir con validación del sensor?

La validación del sensor significa que tiene más de un sensor y se comparan los valores de los sensores. Si los valores de los sensores difieren demasiado, se puede generar una acción/alarma.

¿Cuál es el tiempo de seguridad del proceso?

El tiempo de seguridad del proceso es el tiempo que queda entre la demanda y la finalización de las acciones antes de que las cosas salgan mal. Por ejemplo, se mide un nivel alto en un recipiente, esto significa que quedan 15 minutos para cerrar las tuberías antes de que el recipiente comience a desbordarse.

¿Cuál es el efecto de las anulaciones en el SIF?

Anula «matar» la función de seguridad. Se pasa por alto la intención del SIF, por lo que la demanda ya no puede resultar en una acción correctiva.

¿Cómo tratamos las anulaciones?

Se recomienda encarecidamente un interruptor de llave de habilitación cableado. Con estrictos trámites (permisos) e indicaciones de que se colocan anulaciones en el sistema.

¿Qué es la Capacidad Sistemática?

La capacidad sistemática es una medida (expresada en una escala de SC 1 a SC4) de la confianza de que la integridad de seguridad sistemática de un elemento cumple los requisitos del SIL especificado, con respecto a la función de seguridad del elemento especificado.

En otras palabras, la capacidad sistemática es la cualidad de evitar fallas sistemáticas (al tener una gestión de seguridad funcional implementada)

Hagamos un estudio de caso detallado.

Un cliente solicita un HIPPS con medición de presión y cierra la válvula con SIL 3. Utilizará los siguientes elementos (subsistemas)

sensor: transmisor marca X, IEC 61508 tipo B, SFF=80%

solucionador lógico: hacer Honeywell, Safety Manager, SIL3

elemento final: Válvula neumática de cierre marca Z,

IEC 61508 tipo A, SFF=96%

¿Cuál es la configuración del sistema si el cliente lo solicita?


1. cumplimiento de IEC 61508 Ruta 1H
2. cumplimiento de IEC 61508 Ruta 2H
3. conformidad con IEC 61511

Considere 1 año = 10000 horas como intervalo de prueba de prueba para un cálculo simple. Considere el cálculo sin causas comunes.

Términos básicos utilizados en la verificación SIL
Términos básicos utilizados en la verificación SIL
Términos básicos utilizados en la verificación SIL
Términos básicos utilizados en la verificación SIL

Factores de verificación de SIL

Verificación SIL ha tres factores que hay que comprobar

1. PFDavg

valor de la función de seguridad. Esto puede implementarse mediante un circuito cerrado que consta de sensores, solucionadores lógicos y elementos finales.

2. Capacidad Sistemática

Los elementos y dispositivos/subsistemas en el SIF deben ser capaces de cumplir con el objetivo SIL. Por lo tanto, estos dispositivos deben ser certificados preferentemente por terceros para el cumplimiento de

la norma IEC 61508. O se puede ir con una justificación de “probado en uso”.



3. Restricciones arquitectónicas

El diseño del SIF debe cumplir con ciertas restricciones arquitectónicas. Tenemos que referirnos a ciertas tablas en los estándares que establecen los parámetros mínimos como la tolerancia a fallas de hardware para estos diseños.

  • Se puede lograr un mejor nivel SIL para un dispositivo de función instrumentada de seguridad (SIF) al tener un valor PFDavg más bajo, un valor SFF más alto (>90 %) y un nivel HFT más alto.
  • PFDavg es un factor importante, pero no el único para la determinación del SIL. Hay otros dos criterios, a saber, Capacidad Sistemática y Restricciones Arquitectónicas que deben tenerse en cuenta para el ciclo.
  • El mero hecho de tener un equipo certificado para su uso en aplicaciones SIL 2 no garantiza que todo el SIF o el lazo cumplirá con los requisitos SIL 2. Se debe realizar un análisis completo de todos los componentes SIF (sensores, solucionadores lógicos y elementos finales) de acuerdo con los estándares más recientes.
  • Se puede mejorar el valor de PFDavg reduciendo el intervalo de prueba (aumentando la frecuencia de prueba) e implementando la prueba de carrera parcial.
  • Durante el proceso de verificación SIL, el certificado SIL y los manuales de seguridad de los componentes SIF deben estar fácilmente disponibles.
  • Siempre que sea posible, se deben utilizar datos conservadores de tasas de fallas, como bases de datos de la industria como OREDA y SINTEF/exida SERH, ya que los datos proporcionados en el certificado SIL a veces pueden ser demasiado optimistas.
  • Se recomienda a los usuarios que se familiaricen con las diversas definiciones, requisitos de competencia y pautas establecidas en IEC 61508, IEC 61511 e ISA 84 antes de embarcarse en actividades de verificación SIL.
Error 403 The request cannot be completed because you have exceeded your quota. : quotaExceeded

Deja un comentario