Nivel de integridad de seguridad (SIL)
El análisis de peligros y riesgos da lugar a la necesidad de reducir el riesgo. Existen métodos y mecanismos generales descritos en los requisitos de seguridad, estos requisitos se desglosan en funciones de seguridad específicas para lograr una tarea definida.
Paralelamente a esta asignación de los requisitos generales de seguridad a las funciones de seguridad específicas, se requiere una medida de la fiabilidad o integridad de esas funciones de seguridad.
¿Cuál es la confianza que tendrá la función de seguridad cuando se le solicite? La medida de la confianza es el nivel de integridad de seguridad o SIL o más precisamente, la integridad de seguridad de un sistema puede definirse como "la probabilidad de que un sistema relacionado con la seguridad desempeñe la función de seguridad requerida en todas las condiciones establecidas dentro de un período de tiempo establecido".
Por lo tanto, la especificación de la función de seguridad incluye tanto las acciones a tomar en respuesta a la existencia de condiciones particulares y también el tiempo para que esa respuesta tenga lugar. El SIL es una medida de la fiabilidad de que la función de seguridad cumple con las especificaciones.
Tasa de falla (λ)
La tasa de falla instantánea λ, es una medida que indica el número de fallas por unidad de tiempo para una cantidad de dispositivos expuestos a la falla.
λ(t) = Fallas por unidad de tiempo / Cantidad Expuesta
La unidad de medida es 1/tiempo y es común expresarlo en fallas por billón (109) de horas. A esto se lo conoce como fit.
Fracción de falla segura (SFF)
La fracción de falla segura (SFF) es la fracción de las fallas totales que se evalúan como seguras o diagnosticadas / detectadas.
SFF = (λs + λdd) / (λs + λd) = 1 - λdu / (λs + λd)
donde: λs = λsu + λsd y λd = λdu + λdd
Al analizar los diversos estados de falla y modos de falla de los componentes, pueden clasificarse y agruparse de acuerdo con su efecto sobre la seguridad del dispositivo. Así tenemos los términos:
λsafe = λs = índice de fallas de los componentes que conducen a un estado seguro
λdangerous = λd = índice de fallas de los componentes que conducen a un estado potencialmente peligroso
Estos términos se categorizan en "detectado" o "no detectado" para reflejar el nivel de capacidad de diagnóstico dentro del dispositivo. Por ejemplo:
λdd = tasa de falla detectada peligrosa
λdu = tasa de falla peligrosa no detectada
La suma de todas las tasas de falla de componentes se expresa como:
λtotal = λsafe + λdangerous
y el SFF se puede calcular como: SFF = 1-λdu / λtotal
Tolerancia a fallas de hardware (HFT)
Una complicación adicional al asociar el SFF con un SIL es que cuando se considera la integridad de seguridad del hardware se definen dos tipos de subsistemas.
Subsistemas de tipo A: se considera que todos los modos de falla posibles se pueden determinar para todos los elementos. (por ejemplo, un sensor de campo)
Subsistemas de tipo B: se considera que no es posible determinar completamente el comportamiento en condiciones de falla. (por ejemplo, un PLC)
Estas definiciones, en combinación con la tolerancia a fallas del hardware, son parte de las "restricciones arquitectónicas" para la integridad de seguridad del hardware como se muestra en las Tablas anteriores.
Una tolerancia de falla de hardware de N significa que las fallas N + 1 podrían causar una pérdida de la función de seguridad. Por ejemplo, si un subsistema tiene una tolerancia de falla de hardware de 1, entonces deben ocurrir 2 fallas antes de que se pierda la función de seguridad.
Probabilidad de falla
Una consideración importante para cualquier sistema o equipo relacionado con la seguridad es el nivel de certeza de que la respuesta o acción segura requerida se llevará a cabo cuando sea necesario. Esto normalmente se determina como la probabilidad de que el bucle de seguridad no actúe como y cuando se requiera y se expresa como una probabilidad.
Las normas se aplican tanto a los sistemas de seguridad que operan bajo demanda y a sistemas que funcionan continuamente o en alta demanda. Para un bucle de seguridad que opera en el modo de operación de demanda, el factor relevante es la probabilidad promedio de falla bajo demanda (PFDavg). Para un modo de operación de demanda continua o alta, se considera la probabilidad de una falla peligrosa por hora (PFH).
Determinación del SIL objeto
El paso siguiente al análisis de riesgos es seleccionar un SIL objeto para cada función instrumentada de seguridad. El SIL se asigna a cada función instrumentada de seguridad basándonos en la reducción de riesgo requerida. El SIL no es una medida del riesgo sino una medida de la disponibilidad del sistema de seguridad necesario para mantener el riesgo en un nivel aceptable.
Veamos la determinación por el método cualitativo denominado “Matriz de Riesgos”
Se trata de técnicas de análisis que no recurren a un análisis numérico. Su objetivo es identificar
1. Riesgos
2. Efectos cuando se materializan los riesgos
3. Causas o fuentes de riesgo
Uno de los métodos es la matriz de riesgo, consiste en la valoración de la probabilidad de ocurrencia de un accidente y la severidad de sus consecuencias.
Un ejemplo para valorar la severidad de un evento peligroso seria mediante tablas como las siguientes:
Analicemos un ejemplo de matriz de riesgo (Tabla 16), se evalúa el riesgo mediante la combinación de probabilidades de que suceda un evento y la severidad de las consecuencias. Esta matriz se basa en criterios de la experiencia operacional y el riego que quiere asumir la compañía.
Este parece ser un enfoque sencillo y útil, pero pueden producirse problemas potenciales si no se tiene cuidado.
A: Las frecuencias de suceso deben cuantificarse de un modo que sea no solo coherente con la descripción, sino que tenga como resultado el objetivo de nivel de integridad de seguridad correcto.
B: “Nunca visto en la industria” puede calcularse suponiendo, digamos, 5000 plantas en funcionamiento durante 20 años, lo que daría como resultado una frecuencia aproximada de digamos <10-5/año y no <10-2/año, como se muestra. Con un riesgo máximo tolerable de <10-4/año, el resultado podría ser sin objetivo de nivel de integridad de seguridad (SIL).
C: Las frecuencias de riesgo máximas tolerables deben ser las adecuadas. Un valor de <10-3/año para una única víctima mortal es demasiado elevado y tendrá como resultado unos objetivos SIL optimistas y una reducción de riesgos inadecuada.
D: Para que los SIL objetivo aumenten por fila y por columna como lo hacen en la tabla anterior, las frecuencias de suceso también deberían aumentar entre cada columna en un orden de magnitud.
E: El objetivo SIL de (SIL1) significa que se precisa cierta reducción de riesgos, pero que no existe un efecto consiguiente. No se precisa ninguna protección si no existe un evento peligroso.
F: Por último, en categorías comerciales, la frecuencia de suceso de danos a activos debe ser realista y coherente con el coste de implementar las funciones instrumentadas de seguridad necesarias.
Obtenido el SIL objeto (SIL necesario a alcanzar) se puede obtener el rango de la probabilidad de falla en demanda (PFDavg) que la función instrumentada de seguridad debe alcanzar. La siguiente tabla identifica los PFDavg para cada nivel SIL, el valor inverso de PFDavg es el factor de reducción de riegos (RRF)
RRF = 1/PFDavg
Disponibilidad de la seguridad = (1 – RRF) * 100
La prestación de la función de seguridad puede ser mejorada agregando redundancia, esto lo veremos al tratar las “Funciones Instrumentadas de seguridad”.
Un ejemplos de SIEMENS para el cálculo del SIL objeto
Una de las formas propuestas por SIEMENS para obtener el valor de Integridad de la seguridad objeto, basado en tablas de riegos y consecuencias (matriz de riesgos), es la siguiente: