El concepto de integridad de la seguridad SIL se limita a los sistemas eléctricos, electrónicos, y electrónicos programables. También a los sistemas relacionados con la seguridad descritos en el estándar IEC61508. Así como también para los Sistemas Instrumentados de Seguridad descritos en el estándar IEC61511. No obstante, el concepto podría ser ampliado a otros sistemas.
Uno de los objetivos del Ciclo de Vida de la Seguridad (SLC), es el de determinar el nivel de SIL de las Funciones de Seguridad (SIF). Basado en el Análisis Funcional de la Operatividad (HAZOP), el Análisis de Capas de Operación (LOPA) y otros. Es posible determinar el nivel mínimo de SIL que asegure la integridad de la seguridad del sistema; la integridad de la seguridad del hardware; la integridad de la seguridad del software; el buen diseño y restricciones ligados a la arquitectura (SFF); la cuantificación del efecto aleatorio de que se produzca una falla (PFDavg o PFH); entre otros requisitos.
De deducir el SIL directamente de un cálculo de PFDavg. Aunque con menos frecuencia, es también una mala práctica deducir el SIL de una simple verificación de restricciones arquitectónicas. De hecho, un “informe SIL” debería definir con precisión las limitaciones en términos de requisitos de seguridad. En cuyo caso, un “Certificado SIL” no puede otorgarse si no se alcanza el conjunto de requisitos de seguridad necesario.
Finalmente, hay que recordar que un SIL siempre se refiere a una función de seguridad y, por lo tanto, es inapropiado asignar un SIL a un sistema relacionado con la seguridad sin especificar una función SIF.
FUNCIONES DE SEGURIDAD:
Cada Función Instrumentada de Seguridad se le asigna un determinado nivel de protección, definido por el nivel SIL (1, 2, 3 o 4), utilizando alguna de las metodologías definidas en las normas IEC 61508/61511 como el “Gráfico de Riesgos”, la “Matriz de Riesgos” o la LOPA.
Por ejemplo, en una SIF con SIL-1 reduciremos el riesgo un mínimo de 10 veces, con SIL-2 100 veces y con SIL-3 1000 veces.
La Función Instrumentada de Seguridad está compuesta de cualquier combinación de sensor, logic solver (PLC), elemento final y todas las interfases necesarias (cables, tubing, conexión al proceso, etc.). Debemos recordar lo siguiente:
El SIS está compuesto de varias Funciones de Seguridad (SIF).
Cada SIF está formada por un subsistema SENSOR, un subsistema LOGIC SOLVER y un subsistema ACTUADOR. Cada uno de estos subsistemas tiene uno o varios componentes con una determinada arquitectura (1oo1, 1oo2, 2oo3, etc.). La lógica de los subsistemas sensor y actuador se programa en el PLC de seguridad.
Un subsistema SENSOR o ACTUADOR puede formar parte de una o de varias SIFs, incluso puede haber dos SIFs con los mismos elementos. Por ejemplo, un transmisor de presión con disparo por alta y por baja presión. Tenemos dos SIFs que deben cerrar las dos válvulas de corte de gas del quemador tanto por alta como por baja presión, ambas utilizan el mismo sensor, el mismo PLC y las mismas válvulas. La diferencia entre ambas estará en la consigna de disparo (y en cómo se comporta la SIF cuando se detecta un fallo peligroso en base a la configuración “over/under range” del transmisor).
Cada SIF tiene un nivel SIL asignado diferente.
Los parámetros de cálculo de la Probabilidad de Fallo de cada uno de los subsistemas de la SIF pueden ser diferentes, aunque es habitual utilizar el mismo LT (Life Time) y el mismo tiempo de arranque de la SIF (Start-up time) para el cálculo del MTTFS.