Seguridad Industrial

Seguridad e Higiene

Seguridad funcional en las industrias

de procesos que utilizan sustancias
muy peligrosas
Por: Ricardo Montero Martínez/ Profesor/ Departamento de Operaciones y Sistemas/ Facultad de Ingeniería/ Universidad Autónoma de Occidente / Cali, Valle /
Enero de 2015

Resumen
En este artículo se explica lo que significa seguridad funcional en general y en particular para
las industrias en donde se realizan procesos con sustancias muy peligrosas. A partir de consi-
derar a un Sistema Instrumentado de Seguridad como una capa de protección, independiente
en el diseño y operación de una planta, se introduce al lector en los conceptos que aplican al
tema de la seguridad funcional, desarrollándose las bases que explican lo que es un nivel inte-
grado de seguridad y el tipo de gestión que se debe realizar a lo largo del ciclo de vida de estos
sistemas, para garantizar que funcionen cuando sean requeridos y así se logre un control efec-
tivo de riesgos cuando se empleen.

Palabras claves: gestión de la seguridad, seguridad funcional, procesos peligrosos, accidentes

mayores, nivel integrado de seguridad.

6 Marzo - Abril - 2015 Protección & Seguridad

 Seguridad Industrial
Seguridad e Higiene

Introducción
Según Storey (1996), hay tres aspectos de la seguridad en un sistema. El primario relacionado
con las consecuencias directas de los peligros de los sistemas, por ejemplo choques eléctricos,
quemaduras o golpes. El segundo es la seguridad funcional que depende del correcto funciona-
miento de las medidas de seguridad que se han tomado para que no se concreten los peligros.
Y el tercero es la seguridad indirecta, la cual tiene que ver con las consecuencias indirectas que
provoca un sistema cuando no funciona como es debido, por ejemplo alguien empeora en una
enfermedad porque la base de datos médica contiene una información errónea sobre el paciente.

La norma IEC 61508:2010 trata de cubrir la parte de la seguridad funcional y la define como la
parte de la seguridad relacionada con los procesos o equipamientos bajo control y a los siste-
mas de control de los mismos, que dependen del funcionamiento correcto de los dispositivos
eléctricos/electrónicos/electrónicos programables (E/E/PE, por sus siglas en inglés). La norma
ofrece el ejemplo siguiente para aclarar lo que significa la seguridad funcional: “un dispositivo
de protección contra el aumento de la temperatura que usa un sensor térmico en el enrollado
(bobinado) de un motor eléctrico para desproveerlo de energía, antes de que el mismo se so-
brecaliente, es seguridad funcional. Pero instalar aislamiento especializado para resistir las altas
temperaturas no es seguridad funcional (aunque sí es una medida de seguridad y puede pro-
teger contra el mismo peligro)”. Un dispositivo de parada de una prensa que use un rayo infra-

“
rrojo que ofrece la información de entrada, cuando se bloquea el mismo al penetrar una mano
o un brazo en su zona, para desproveer de energía el motor que mueve a la prensa y detener el
movimiento de la misma, es un ejemplo de seguridad funcional, pero no lo es una barrera física
que impida que la mano o el brazo entren en la prensa aunque proteja contra el mismo peligro.

La seguridad funcional abarca un gran conjunto de dispositivos que son utilizados para garan-
tizar la seguridad de los sistemas. Dispositivos como los enclavamientos, rayos de luces, relés de
seguridad, PLCs de seguridad, contactores e interruptores seguros, son ejemplo de ello. Debe
La seguridad
destacarse que hay muchas formas de garantizar a la seguridad, la seguridad funcional es una funcional tiene una
de ellas y, dado el aumento creciente del uso de la automatización en nuestras vidas, está cada importancia vital, ya que
vez más presente en todos los equipos y procesos que se usan en todas las industrias y servi-
cios, además de muchos objetos; los más típicos los autos. está relacionada con una de
Específicamente en las industrias donde se trabaja con sustancias y/o procesos que pueden
ser muy peligrosos, la seguridad funcional tiene una importancia vital, ya que está relacionada
con una de las capas de protección más importante de los mismos, que son los “Sistemas Ins-
trumentados de Seguridad”, que garantizan las paradas de emergencia. Es el objetivo del pre-
sente artículo hacer una introducción a este importante tema que en algún momento tomará
fuerza legal en la industria de procesos peligrosos en Colombia, tal como ha estado ocurrien-
Instrumentados de
Seguridad.
“
las capas de protección más
importante de los mismos
que son los Sistemas

do en otros países a medida que se desarrollan industrialmente.

Capas de protección en las industrias de procesos

En la figura 1 se puede observar un esquema genérico de las diferentes capas de control de
riesgos que se utilizan en el diseño y operación de las industrias de alto riesgo, las cuales co-
mienzan en el sistema básico de control del proceso, que debería ser siempre suficiente, pero
que, lamentablemente con mucha frecuencia, se ha demostrado que no lo es y es por ello que
se hacen necesarias las demás capas de control. La próxima capa está constituida por las alar-
mas y las intervenciones de los operadores, estas deben entrar en funcionamiento cuando el
sistema básico de control no logra regresar a los valores adecuados a las variables de proceso,
indispensables para considerar que funciona en modo seguro, por lo que esta capa avisa a los
operadores que deben realizar acciones para volver los valores del proceso a un estado seguro.
Si las intervenciones de los operadores no consiguen resolver la situación y la misma sigue fue-
ra de control, escalándose el problema, deben entrar en funcionamiento los Sistemas Instru-
mentados de Seguridad o Sistemas de Enclavamiento o Sistemas de Paradas de Emergencia
Automáticos. Esta es la capa de protección que se considera como seguridad funcional en es-
tos tipos de industrias y a la que nos referiremos con detalle más adelante. Aquí se debería ga-
rantizar que el sistema se detenga y que las variables del proceso no sigan en la tendencia que
podría poner en peligro la integridad física del equipo, proceso o instalación, permitiendo que
se realicen acciones de recuperación después de que el proceso esté bajo control.

Si esta capa no resuelve la situación, entonces los sistemas de alivio serán los próximos a entrar
en funcionamiento, estos permitirán que la energía acumulada de algún tipo sea descargada

Protección & Seguridad Marzo - Abril - 2015 7

Seguridad Industrial
Seguridad e Higiene

de forma controlada al exterior de los equipos, procesos, o instalación y que se logre el menor
impacto a la integridad física de los mismos y la menor trasmisión de dichas energías a las per-
sonas que puedan estar cerca de las mismas. Los sistemas de alivio generalmente serán válvu-
las de sobrepresión, válvulas de escape, discos de ruptura, etc.

Si ello no devuelve el control al proceso y se produce un evento de pérdida de control, los sis-
temas de mitigación deberían ya disminuir el alcance de las consecuencias, así, los mismos, son
sistemas de extinción de fuego, paredes cortafuegos y antiexplosiones, etc. Finalmente, las ac-
ciones contenidas en los planes de emergencia conforman la última capa de protección, que
puede ser interna o externa, donde ya se contemple, por ejemplo, el uso de la asistencia de los
bomberos o la evacuación de parte de la población aledaña si existiera.

Figura 1. Capas de protección en instalaciones de procesos

Respuesta comunidad
ante emergencia

Respuesta planta
ante emergencia

Sistema de mitigación

Sistemas de alivio (ej. válvulas

de seguridad, discos de ruptura)

Sistema Instrumentado
de Seguridad

Alarmas, operador

Sistema básico
de control

Las medidas de seguridad o capas de protección, que serían las adecuadas para una instala-
ción particular, tendrían su origen en el análisis de riesgos específico a dicha instalación (Re-
yes y Macías, 2005), para lo cual hoy existen muchos métodos, de ellos los más utilizados son el
“Análisis de Peligro y Operabilidad - HAZOP por sus siglas en inglés-”, el “Análisis de Árboles de
Fallos y Árboles de Suceso” y el “Análisis de las Capas de Protección -conocido como LOPA, por
sus siglas en inglés-”, entre otros. Para una introducción al tema ver (Harms - Ringdahl, 2013).
¿Cuál de estos se utilizará? dependerá de los recursos disponibles y de los objetivos del análisis.

Sistemas Instrumentados de Seguridad (SIS)

Una vez que del análisis de riesgos se determinó que se necesita un sistema instrumentado de
seguridad como una capa de protección, es decir, un sistema automatizado que vigila los pe-
ligros que pueden originarse en los equipos o procesos bajo control y que en fallo de los mis-
mos intervienen en los procesos y pueden reducir el riesgo de un estado peligroso, estamos
en presencia de lo que nos referimos a la seguridad funcional, en lo que corresponde al correc-
to funcionamiento de los mismos. La figura 2 representa esquemáticamente la función de se-
guridad que realizan estos sistemas.

8 Marzo - Abril - 2015 Protección & Seguridad

 Seguridad Industrial
Seguridad e Higiene

Figura 2. Representación esquemática de una función

de seguridad de un dispositivo E/E/PE

Materias primas Elemento

estatus de energía controlado
Productos
Actuadores Sensores movimiento
Comandos e energía
instrucciones del
operador Comandos Estatus del
de control proceso

Información Dispositivos de control

mostrada al
operador

O sea, en todo momento nos referimos a un sistema donde existen los elementos denominados
actuadores (por ejemplo una válvula automática), sensores (como un sensor de nivel) y un dis-
positivo de control (por ejemplo un PLC) y sus canales de comunicación correspondientes. Jus-
PAUTA to
CCSes mencionar
[Link] que el
[Link] sistema básico
1 06/02/2015 de control de procesos está compuesto por elementos
[Link] a.m.
6. Ergonomía del SCBA G1 de M
• Almohadilla lumbar giratoria
distribuye el peso del SCBA.
• Confort, equilibrio y ajustes m

7. Sistema de energía central pa

dispositivos electrónicos.
• Únicamente una fuente de en

¡Por n! Un SCBA donde una talla se ajusta a todas. • Utiliza baterías alcalinas o reca
• No necesita baterías de distint
• Bajos costos de mantenimient

8. Disponible con cilindros fácil

actualizar con roscas o de cone
• Anexos y reemplazos rápidos p
del incendio

Tecnología integrada para fu

• Bluetooth, Identificación por R
Comunicación Cerca de Campo
alcance.

Adaptable — Construido par

Nueva conexión rápida de los cilindros

necesidades más específicas.
• El módulo de control y el HUD
información requerida; se adap
estándar de operación estánda
Sistema de energía central para todos los dispositivos electrónicos 7 • Cables/mangueras pueden co
necesario.

Único módulo de control en el mercado con pantalla a color 6 3

Única máscara en el mercado sin componentes electrónicos 8
Menos peso / menor costo

01.800.672.7222 [Link]

Protección & Seguridad Marzo - Abril - 2015 9

Seguridad Industrial
Seguridad e Higiene

similares, pero él tiene la función de controlar al proceso, mientras que Figura 3. Esquema básico de un SIS
el SIS tiene la función de garantizar la seguridad. Lo preferible es que
ambos sistemas -el control del proceso y el de seguridad- estén sepa-
rados, pero en algunos diseños, pueden estar unidos en una instalación Unidad lógica
elementos que no intervienen en la seguridad con aquellos que sí, para
un SIS solo se tienen en cuenta aquellos que intervienen en la seguri-
dad. En esencia, un SIS deberá ser capaz de funcionar para proteger a
un equipo bajo control cuando el sistema de control del proceso falla.

A su vez, cada función de seguridad que se garantice a través de un Actuador

SIS se denomina Función Instrumentada de Seguridad (FIS). Ejemplos
de FIS pudieran ser: Sensor
◥◥ Cierre del suministro de combustible a un horno, en caso de pérdi-
da de llama.
◥◥ Suministro de enfriamiento de emergencia para reducir una tempe- La pregunta a responder sería: ¿cuál es la garantía del correcto funcio-
ratura excesiva. namiento de estos sistemas cuando corresponden a una capa de pro-
◥◥ Apertura de una válvula para reducir el exceso de presión. tección que sea requerida en un momento dado?
◥◥ Dirigir un derrame hacia el sistema de manejo de residuales.
◥◥ Activación de la alarma de fuego luego de producirse un incendio. La norma marco que establece los requerimientos al respecto, y que es
◥◥ Activación de mensajes de emergencia pregrabados para el equipo genérica para cualquier sistema instrumentado de seguridad que de-
de respuesta ante emergencias. pende de dispositivos E/E/PE, es la IEC 61508:2010 en sus partes de la 0
◥◥ Se definen, por ejemplo, como “se cierra la válvula de alimentación a la 7. En la industria de proceso existe una norma específica que es la
AAA cuando hay una alta presión en el depósito XXXX, lo cual se IEC 61511:2003 con sus partes de la 1 a la 3.
trasmite por el trasmisor MMM”
Un SIS deberá trabajarse a través de su ciclo de vida, tal como lo esta-
El esquema básico en un ejemplo concreto se representa en la figura 3. blece la IEC 61511-1:2003, en la figura 4 se representa el ciclo de vida.

Figura 4. Ciclo de vida de un SIS, según IEC 61511-1:2003

Fases
Gerencia Estructura y Análisis de riesgo y diseño de capas de protección. Verificación.
y avalúo de planeamiento Subcláusula 8
seguridad del ciclo de
funcional. vida de Asignación de funciones de seguridad a SIS u
seguridad. otros medios de reducir riesgo.
Subcláusula 9 Análisis

Especificaciones de requerimientos
de seguridad para el SIS.
Subcláusula 10

Diseño y desarrollo Diseño y desarrollo

de un SIS. de otros medios para
Subcláusula 11 reducir riesgo. Ejecución
Subcláusula 9
Instalación, puesta en servicio y validación.
Subcláusula 14

Operación y mantenimiento.
Subcláusula 15

Modificación.
Subcláusula 15.4 Operación

Subcláusula 5 Subcláusula 6.2 Retiro de servicio. Subcláusula 7, 12.7

Subcláusula 16

10 Marzo - Abril - 2015 Protección & Seguridad

 Seguridad Industrial
Seguridad e Higiene

EL ciclo de vida contendrá las actividades necesarias para desarrollar:

◥ Diseño conceptual.
◥ Análisis y evaluación de riesgos de proceso (por ejemplo con estu-
dios HAZOP).
◥ Definición del SIL de cada Función Instrumentada de Seguridad.
◥ Desarrollo de la especificación de Seguridad.
◥ Diseño conceptual del SIS de cada función.
◥ Diseño de detalle del SIS.
◥ Instalación, pruebas y comisionado del SIS.
◥ Mantenimiento y explotación de los SIS. Procedimientos de opera-
ción y mantenimiento.
◥ Modificaciones.
◥ Eliminación.

No es el objetivo de este artículo entrar en detalles sobre cómo realizar

cada paso del ciclo de vida, el cual está explicado en detalle en algu-
nas obras, ver por ejemplo Fernández, 2012 y Mannan, 2005, pero sí lo
es explicar en qué consiste el Nivel Integrado de Seguridad (NIS o SIL,
por sus siglas en inglés) de una FIS.

Nivel Integrado de Seguridad

La efectividad de un SIS, que es una capa independiente de protección,
se define en términos de la probabilidad de que falle cuando se nece-
site. Esto se denomina Probabilidad de Fallo ante Demanda (Probabi-
lity of Failure on Demand –PFD-). En la práctica se utiliza el promedio
de la Probabilidad de Fallo ante Demanda (average probability of fai-
lure on demand –PFDavg-). Por otra parte, el Nivel Integrado de Segu-
ridad (Safety Integrity Level -SIL-) es una representación estadística de
la disponibilidad segura de un SIS en el momento en que el proceso lo
demanda. Es el corazón de un diseño aceptable de un SIS, e incluye a
los siguientes factores: integridad del dispositivo, diagnóstico, causas
de fallos comunes y sistemáticos, prueba, operación y mantenimiento.
La relación PFDavg, la Disponibilidad Requerida del Sistema de Seguri-
dad (Availability), y el Tiempo Medio entre Fallos (Mean Time Between
Failure, MTBF) y el SIL puede observarse en la tabla 1.

Tabla 1. Relación entre SIL, PFD (avg) y MTBF

SIL Disponibilidad PDF(avg) MTBF

SIL 4 >99.99 % >=10 a <10
-5 -4
100000 a 10000
SIL 3 99.9 % >=10 a <10
-4 -3
10000 a 1000
SIL 2 99 - 99.9 % >=10 -3 a <10 -2 1000 a 100
SIL 1 90 - 99 % >=10 a <10
-2 -1
100 a 10

Y para ejemplificar sobre el significado de los valores, obsérvese

la tabla 2

Tabla 2. Significado del SIL

SIL PDF Fallo máximo aceptado del SIS

SIL 4 >=10 a <10
-5 -4
Un fallo peligroso en 10000 años
SIL 3 >=10 a <10
-4 -3
Un fallo peligroso en 1000 años
SIL 2 >=10 -3 a <10 -2 Un fallo peligroso en 100 años
SIL 1 >=10 a <10
-2 -1
Un fallo peligroso en 10 años

Protección & Seguridad Marzo - Abril - 2015 11

 Seguridad Industrial
Seguridad e Higiene

Cuanta más alta es la cifra del SIL, tanto ma- pondiente obtenido de un análisis de riesgos, con procesos de industrialización importantes,
yor es la reducción del riesgo. El índice SIL re- es una garantía para los operadores si tienen y lo mejor que pudieran hacer las gerencias
presenta, por consiguiente, la probabilidad de que acreditar legalmente, a su vez, la reducción de las plantas industriales sería dominar estos
que el sistema de seguridad cumpla correcta- de riesgos de sus instalaciones. Hoy no es un conceptos y aplicarlos a su realidad, para al
mente las funciones de seguridad requeridas requisito obligatorio emplear productos con menos determinar cuál es la distancia que los
durante un determinado intervalo de tiempo. una certificación SIL, pero al usarlos, se facilita separa de una demostración de su control de
O sea para realizar la gestión de la seguridad enormemente cualquier acreditación porque riesgos de forma técnicamente argumentada
funcional se necesita: el riesgo remanente ya es conocido y es decla- a la altura del estado del arte de hoy en día.
◥◥ Determinar el nivel SIL requerido para ase- rado por el fabricante usualmente. El fabricante
gurar, mediante una función instrumenta- a su vez, usará a un organismo independiente Referencias bibliográficas
da de seguridad (FIS), la reducción del ries- para que realice la evaluación correspondien- 1. Fernández, I. et al (2012) Seguridad funcional
go asociado a un peligro específico hasta te y certifique el SIL que puede alcanzar el dis- en instalaciones de procesos. Sistemas instru-
niveles aceptables. positivo correspondiente. Debe quedar claro mentados de seguridad y análisis SIL, Edicio-
◥◥ Diseñar dicha FIS para que cumpla con el que la declaración del SIL que puede alcanzar nes Díaz de Santos, Madrid.
SIL que le ha sido asignado, según los re- un dispositivo no es equivalente al SIL que se 2. Harms-Ringdahl, L. (2013) Guide to safety
quisitos de las normas. calcula para la instalación, son dos componen- analysis for accident prevention, IRS Riskhan-
◥◥ Verificar que el diseño realizado ofrece tes de seguridad relacionados, pero que se cal- tering AB, ISBN 978-91-637-3164-8, consultado
como mínimo la reducción de riesgo iden- culan de forma independiente y que después en línea el 15/12/2014 en [Link]
tificada durante la fase inicial. uno sirve al otro. sabook/[Link]
◥◥ Instalar, montar y volver a verificar la FIS de 3. Gruhn, P. y Cheddie, H. (2005) Safety Instru-
modo que se garantice el diseño. Sobre la gestión de la seguridad funcional exis- mented Systems: Design, Analysis, and Jus-
◥◥ Mantener los componentes de modo que ten incluso normas de empresa que se ocupan tification, Isa; Edición: Revised, ISBN-13: 978-
se garantice el punto anterior. de dejar clarificados los procedimientos que 1556179563
◥◥ Chequear o auditar todo lo anterior de for- permiten realizar dicha gestión, por ejemplo 4. IEC 61508: 2010 Functional safety of electrical/
ma que exista una retroalimentación efec- la de la empresa PEMEX del 2010 que puede electronic/programmable electronic safety-
tiva a la gerencia. consultarse libremente en su sitio de internet. related systems
5. IEC 61511-1: 2003, Functional safety -Safety
Para calcular el SIL necesario de una Función Conclusiones instrumented systems for the process industry
Instrumentada de Seguridad (FIS), hay diferen- La seguridad funcional está cada vez más in- sector.
tes metodologías. En las normas IEC 61508 y mersa en todas las industrias y equipos, proce- 6. Mannan, S. (2005) Capítulo 13 “Control System
IEC 61511 se indican diferentes métodos para sos, y productos relacionados con el hombre, Design” en: Lees' Loss Prevention in the Process
definir el índice SIL. En la práctica, en la indus- un ejemplo representativo de ello es que ya Industries (Third Edition) Hazard Identification,
tria de procesos muy peligrosos, se utiliza hasta se ha realizado y está en vigor la revisión de Assessment and Control, Elsevier, ISBN: 978-0-
el SIL 3, mientras que el SIL 4 queda reservado, la IEC 61508. Este concepto es usado amplia- 7506-7555-0
hasta ahora, a la industria nuclear. En principio mente por los diseñadores y operadores de 7. NRF-045-PEMEX-2010 Seguridad funcional –
se persigue un SIL lo más bajo posible debido las industrias con procesos o sustancias muy sistemas instrumentados de seguridad – para
por una parte a que representa un considera- peligrosas, ya que permite asegurar el control los procesos del sector industrial, consultado
ble ahorro de costos (mientras más alta sea la de riesgos de una forma mucho más técnica el 15/12/2014 en [Link]
certificación SIL de los elementos y dispositivos que las formas clásicas en que se ha realizado proveedores-y-suministros/normas-referencia/
automáticos de control, mayor será su costo), este proceso. En Colombia son pocas las em- Normas%20vigentes/[Link]
y por otra parte mientras más bajo el SIL ma- presas que están acogiendo estos procesos, 8. Reyes, G. y Macías, V. (2005) Seguridad funcio-
yor disponibilidad de dispositivos encontrará pero en general hay un vacío legislativo en lo nal en plantas de procesos: sistemas instru-
en el mercado. que se refiere a las industrias de alto riesgo y mentados de seguridad y análisis SIL, OILGAS,
de accidentes mayores, pero puede preverse mayo, pp 70-74.
Utilizar dispositivos certificados que permitan que será solo un tema de tiempo, las buenas 9. Storey (1996) Safety-critical computer system,
operar una FIS, bajo un ambiente SIL corres- prácticas de ingeniería llegan a todos los países Addison-Wesley, Harlow 

12 Marzo - Abril - 2015 Protección & Seguridad

View publication stats