Requisitos del SIL – Capacidad Sistemática, Probabilidad de Fallo y Restricciones de Arquitectura.

 

El diseñador de la función instrumentada de seguridad debe verificar que se cumplen los 3 requisitos del SIL de la Norma IEC61508. Cada requisito cumplirá un nivel SIL máximo determinado. El SIL final de la SIF será el menor de los tres y debe ser mayor o igual que el SIL objetivo requerido.

1-La capacidad sistemática del elemento (sensor, PLC, válvula, etc.) viene reflejada en la certificación que emiten ciertas entidades tales como Exida o TÜV. El rating (SC 1/2/3) alcanzado depende de la efectividad del sistema de calidad del fabricante y de otros aspectos. Una categoría, por ejemplo SC3, significa que el producto está certificado para aplicaciones hasta SIL 3. Otra opción alternativa para cumplir este requisito es el “prior use” (uso previo) que debe documentarse y justificarse y que sólo suele estar al alcance de grandes compañías.

Es importante tener claro que no es suficiente para el cumplimiento del nivel SIL utilizar productos certificados, sino que es necesario el cumplimiento de todos los requisitos del SIL. Si se desconoce la capacidad sistemática de alguno de los elementos debe indicarse en el informe de verificación.

requisitos del SIL

2- El segundo requisito se determina mediante la probabilidad media de que falle la SIF al ser requerida (PFDavg para sistemas de baja demanda) o probabilidad de fallos peligrosos por hora en la SIF (PFH para sistemas de alta demanda). El cálculo se realiza para la arquitectura seleccionada en cada subsistema (sensor, logic solver y actuador) que se suman para obtener la probabilidad de fallo de la SIF (Safety Instrumented Function). Si no se cumple el SIL requerido habrá que recalcularlo con otra arquitectura (1oo2, 2oo3, etc.), o con productos de menores tasas de fallos o reduciendo otros factores que afectan a este cálculo (intervalo de pruebas, factor beta para los fallos de causa común, etc.)

Es importante utilizar valores de tasas de fallo realistas y si es posible que estén basados en históricos de aplicaciones similares.

3-El tercer requisito se denomina “Restricciones de redundancia” del hardware y se introdujo en la IEC-61508 como una limitación para los casos en los que se utilizan valores de tasas de fallos demasiado optimistas. Para su cálculo se utilizan las tablas de los valores SFF (safe failure fraction= proporción de fallos seguros) y HFT (hardware fault tolerant) de la Norma. Si la arquitectura seleccionada no cumple en alguno de los subsistemas (sensor, logic solver, actuador) habrá que recalcularlo con otra arquitectura más segura (1oo2, 2oo3, etc). Hay 2 opciones (Route 1H y Route 2H). Si tenemos dudas sobre la fiabilidad de las tasas de fallo utilizadas debemos utilizar la Route 1H. La 2H se utiliza si las tasas de fallos utilizadas son realistas para la aplicación específica.

En la Route 1H hay dos tablas de HFT según si el elemento es del tipo A (elementos simples como presostatos, válvulas, etc.) o del tipo B (elementos complejos como trasmisores inteligentes o PLCs).

Deben cumplirse los tres requisitos del SIL. El máximo SIL alcanzable por la SIF será el menor de los tres.

Es la metodología que utilizamos en la herramienta SILcet para realizar el cálculo y verificación del SIL.