Cláusula 5 (61511): Gestión de la seguridad funcional

- Las personas, departamentos, organizaciones u otras unidades que se encargan de ejecutar y revisar cada una de las fases del ciclo de vida de seguridad deberán ser identificados y ser informados de las responsabilidades asignadas a ellos (incluyendo, en su caso, si se requiere licencias organismos reglamentarios de seguridad).

- Como mínimo, los siguientes elementos deben abordarse al examinar la competencia de las personas, departamentos, organizaciones u otras unidades que participan en las actividades del ciclo de vida de seguridad:

a) Conocimiento de la ingeniería, formación y experiencia adecuadas a la aplicación de proceso.

b) Conocimiento de ingeniería, formación y experiencia adecuadas a la tecnología aplicable utilizada (por ejemplo, eléctrica, electrónica o programable electrónica).

c) Conocimiento de ingeniería, formación y experiencia adecuadas para los sensores y elementos finales.

d) Conocimiento de la Ingeniería en Seguridad (por ejemplo, Análisis de Seguridad en los Procesos).

e) Conocimiento de los requisitos normativos legales y de seguridad.f) Las habilidades de gestión y liderazgo adecuados en las actividades

del ciclo de vida de seguridad.g) Conocimiento de la posible consecuencia de un evento.h) El nivel de integridad de seguridad de las funciones de seguridad

instrumentado.i) La novedad y la complejidad de la aplicación y la tecnología.

- La planificación de seguridad se llevará a cabo para definir las actividades requeridas a ser ejecutadas por las personas, departamentos, organizaciones u otras unidades responsables Esta planificación se actualizará cuando sea necesario a lo largo de todo el ciclo de vida de seguridad. La planificación de la seguridad se puede incorporar en: Una sección en el plan de calidad titulado "plan de seguridad"; en un documento aparte titulado "plan de seguridad"; o varios documentos que pueden incluir procedimientos de la empresa o de las prácticas de trabajo.

- Los procedimientos deberán ser implementados para asegurar un rápido seguimiento y resolución satisfactoria de las recomendaciones relativas al sistema instrumentado de seguridad derivados de:

a) Análisis de peligros y evaluación de riesgos.b) Las actividades de evaluación y auditoría.c) Las actividades de verificación.d) Las actividades de validación.e) Incidentes y las actividades posteriores a los accidentes.

- Deben aplicarse procedimientos para evaluar el desempeño del sistema instrumentado de seguridad con respecto a sus requisitos de seguridad, incluyendo procedimientos para:

a) Identificación y prevención de fallos sistemáticos que podrían poner en peligro la seguridad.

b) Evaluar si las tasas de fallo peligrosas del sistema instrumentado de seguridad están en conformidad con las asumidas durante el diseño. NOTA 1 Las fallas peligrosas se revelan por medio de pruebas del sistema, diagnóstico o falla para operar en demanda. NOTA 2 Los procedimientos considerados deben definir las medidas correctivas necesarias que deben tomarse si las tasas de fallo son mayores que lo que se supuso durante el diseño.

c) Evaluar la tasa de demanda de las funciones de seguridad instrumentadas durante la operación real para verificar las hipótesis establecidas durante la evaluación del riesgo cuando se determinó los niveles de integridad requeridos.

- Se debe definir un procedimiento para evaluar que la seguridad funcional sea alcanzada por el sistema instrumentado de seguridad. Este procedimiento debe requerir la designación de un equipo de evaluación con experiencia en aspectos técnicos, de aplicación y de operaciones. Dentro de los de miembros del equipo de evaluación se debe incluir al menos una persona competente Senior que no haya participado en el equipo de diseño del proyecto.

- Se debe identificar durante la planificación de la seguridad de las actividades de evaluación de seguridad, las etapas del ciclo de vida de seguridad. NOTA 1 Actividades de evaluación de la seguridad funcionales adicionales pueden necesarias si se detectan nuevos riesgos, después de una modificación y a intervalos periódicos durante la operación. NOTA 2 Se debe considerar la realización de actividades de evaluación de la seguridad funcional en las siguientes etapas (ver Figura 8).

a) Etapa 1 - Después que la valoración del peligro y el riesgo se ha llevado a cabo, las capas de protección requeridas han sido identificadas y la especificación de requisitos de seguridad se ha desarrollado.

b) Etapa 2 - Después que el sistema instrumentado de seguridad ha sido diseñado.

c) Etapa 3 - Después de la instalación, validación comisionamiento y valoración final del sistema instrumentado de seguridad se ha completado y los procedimientos de operación y mantenimiento se han desarrollado.

d) Etapa 4 - Después de adquirir experiencia en la operación y mantenimiento.

e) Etapa 5 - Después de la modificación y antes de la desinstalación de un sistema de seguridad instrumentado.

- Se debe llevar a cabo al menos una evaluación de seguridad funcional. para asegurarse de que los riesgos derivados de un proceso y sus equipos asociados estén adecuadamente controlados. Como mínimo, una evaluación se llevará a cabo antes de los peligros identificados estar presente (es decir, la etapa 3). El equipo de evaluación deberá confirmar, antes de los peligros identificados estar presente, que:

a) La valoración del peligro y el riesgo se ha llevado a cabo.b) Las recomendaciones derivadas de la evaluación de los peligros y

riesgos que se aplican al sistema de seguridad instrumentado se han implementado o resueltas.

c) Los procedimientos de cambio de diseño del proyecto están en su lugar y se han aplicado correctamente.

d) Se han resuelto las recomendaciones derivadas de la evaluación de la seguridad funcional anterior.

e) El sistema instrumentado de seguridad está diseñado, construido e instalado de acuerdo con la especificación de requisitos de seguridad, habiendo sido identificadas y resueltas las diferencias.

f) Los procedimientos de seguridad, operativos, de mantenimiento y de emergencia relacionados con el sistema de seguridad instrumentado están en su lugar.

g) El Plan de validación del Sistema Instrumentado de Seguridad es adecuado y las actividades de validación se ha completado.

h) La capacitación de los empleados se ha completado y la información adecuada sobre el sistema instrumentado de seguridad se ha transmitido al personal de mantenimiento y de operación.

i) Los planes o estrategias para la implementación de adicionales evaluaciones de seguridad funcional están en su lugar.

- Los resultados de la evaluación de la seguridad funcional estarán disponibles junto con cualquier recomendación procedente de esta evaluación.

- Toda información relacionada debe estar a disposición del equipo de evaluación de la seguridad funcional a medida que la soliciten.

- Los procedimientos deben ser definidos y ejecutados para el cumplimiento de los requisitos de auditoría incluyendo:

La frecuencia de las actividades de auditoría. El grado de independencia entre las personas, departamentos,

organizaciones u otras unidades que llevan a cabo el trabajo y las personas que llevaron a cabo las actividades de auditoría.

El registro y las actividades de seguimiento.- La gestión de los procedimientos de modificación deberá estar en su lugar

para iniciar, documentar, revisar, implementar y aprobar cambios en el sistema instrumentado de seguridad cuando el reemplazo no sea similar (es decir, igual por igual).

- Procedimientos para la gestión de la configuración del SIS durante las fases del SIS y del software del ciclo de vida de seguridad estarán disponibles; en particular, la siguiente debe especificarse:

La etapa en que el control de configuración formal es implementado.

Los procedimientos que se utilizarán para la identificación exclusiva de todas las partes constitutivas de un elemento (hardware y software);

Los procedimientos para la prevención de artículos no autorizados entren en servicio.

Cláusula 6 (61511): Requisitos del ciclo de vida de seguridad

- Durante la planificación de la seguridad, se definirá el ciclo de vida de seguridad incorporando los requisitos de esta norma.

- Cada fase del ciclo de vida de seguridad debe ser definida en términos de sus entradas, salidas y actividades de verificación.

- Para todas las fases del ciclo de vida de seguridad, la Planificación de seguridad se llevará a cabo para definir los criterios, técnicas, medidas y procedimientos para:

Asegurar que los requisitos de seguridad del SIS se logran para todos los modos relevantes del proceso. esto incluye tanto los requisitos funcionales y de integridad de seguridad.

Asegurar la instalación y puesta en marcha del sistema de seguridad instrumentado adecuada.

Asegurar la integridad de la seguridad de las funciones de seguridad instrumentadas después de la instalación.

Mantener la integridad de la seguridad durante la operación (por ejemplo, pruebas, análisis de fallos).

Gestionar los riesgos de proceso durante las actividades de mantenimiento en el sistema instrumentado de seguridad.

Cláusula 7 (61511): Verificación

- La Planificación de la Verificación debe definir todas las actividades requeridas para la fase correspondiente del ciclo de vida de seguridad. Se debe cumplir con este estándar, proporcionando la siguiente:

Las actividades de verificación. Los procedimientos, medidas y técnicas utilizados para la

verificación incluyendo la aplicación y resolución de las recomendaciones resultantes.

Cuándo estas actividades se deben llevar a cabo. Las personas, departamentos y organizaciones responsables de

estas actividades, incluyendo los niveles de independencia. La identificación de los renglones a ser verificados. La Identificación de la información contra la que la verificación se

lleva a cabo. Cómo manejar las no conformidades. Las herramientas de análisis y de apoyo.

- La verificación debe ser realizada de acuerdo con la Planificación de la Verificación.

- Los resultados del proceso de verificación deberán estar disponibles.

Cláusula 8 (61511): Riesgos del proceso y evaluación de riesgos

- Los objetivos de los requisitos de esta cláusula son: Determinar los peligros y eventos peligrosos del proceso y los

equipos asociados. Determinar la secuencia de los eventos que conducen al evento

peligroso. Determinar los riesgos de procesos asociados con el evento

peligroso. Determinar los requisitos para la reducción de riesgos. Determinar las funciones de seguridad requeridas para lograr la

reducción del riesgo es necesario. Determinar si alguna de las funciones de seguridad son funciones de

seguridad instrumentado

- Una evaluación de los peligros y riesgos debe llevarse a cabo en el proceso y sus equipos asociados (por ejemplo, el sistema de control distribuido. Conocido como BPCS “Basic Process Control System”). Con esto se logrará:

Una descripción de cada evento peligroso identificado y los factores que contribuyen a la misma (incluyendo errores humanos).

Una descripción de las consecuencias y la probabilidad de ocurrencia del evento.

Consideración de condiciones tales como el funcionamiento normal, la puesta en marcha, parada, mantenimiento, perturbaciones en el proceso, paradas de emergencia.

La determinación de los requisitos para la reducción de riesgo adicional necesaria para lograr la seguridad requerida.

Una descripción de, o referencia con respecto a, las medidas adoptadas para reducir o eliminar los peligros y los riesgos.

Una descripción detallada de las hipótesis establecidas durante el análisis de los riesgos, incluyendo las tasas de demanda probables y las tasas de fallas de equipos, así como de cualquier crédito tomado por las limitaciones operativas o intervención humana.

La asignación de las funciones de seguridad de las capas de protección, teniendo en cuenta la posible reducción de la protección efectiva debido a una falla causa común entre las capas de seguridad y entre las capas de seguridad y el BPCS. NOTA 1: Es importante tomar en cuenta las posibles causa de fallas comunes entre distintas capas de protección al momento de calcular la reducción de riesgo requerida

La identificación de las funciones de seguridad aplicadas como las funciones instrumentadas de seguridad.

La evaluación de los peligros y riesgos deben ser almacenados de tal manera que la relación entre los elementos anteriores sea clara y trazable.. NOTA 1 Los requisitos anteriores no exigir que los objetivos de riesgo y reducción de riesgos tienen que ser asignado como valor numérico. También se pueden utilizar métodos gráficos. NOTA 2 La extensión de la reducción del riesgo necesaria debe variar en función de la aplicación y los requisitos legales nacionales. Un principio aceptado en muchos países es que las medidas adicionales de reducción de riesgos se deben aplicar hasta que el costo incurrido se vuelve desproporcionado en relación con la reducción del riesgo lograda.

Fallas Seguras

Fallas Peligrosas

Fallas Detectadas

Fallas No Detectadas

λSD λSU

λDUλDD

EVALUACIÓN INICIAL DEL SISTEMA

MODOS DE FALLA FALLA SEGURA (safe failure): Aquellas fallas que hacen que el

sistema actúen, ocasionando el disparo (parada) del proceso. También se conocen por fallas públicas, abiertas o reveladas.

FALLA PELIGROSA (dangerous failure): Aquellas fallas potencialmente peligrosas que hacen que el sistema no actué cuando sea requerido. También se conocen por fallas cubiertas, escondidas o inhibidas.

FALLAS DETECTADAS (Detected failures): Son aquellas fallas que pueden ser automáticamente detectadas por el sistema, por medio de la cobertura de diagnóstico

FALLAS NO DETECTADAS (Undetected failures): Son aquellas fallas que no pueden ser automáticamente detectadas por el sistema, por medio de la cobertura de diagnóstico.

TASAS DE FALLA ( λ ) Número de fallas por unidad de tiempo. Expresado por la letra griega (lambda)

MÉTODOS PARA DETERMINAR EL FUNCIONAMIENTO DEL SISTEMA DIAGRAMAS DE BLOQUE DE CONFIABILIDAD (Reliability Block

Diagrams): Son sólo eso “diagramas” donde cada bloque tiene su probabilidad de falla.

Aquí para que todo el sistema falla si existe una falla en cualquiera de los bloques A, B y G; o los bloques C y D (al mismo tiempo), o los bloques E y F (al mismo tiempo).

ÁRBOL DE FALLAS (Fault trees): Son basados en la combinación de compuertas “AND” y “OR”.

MODELOS DE MARKOV (Markov Models): Se basa en la transición de estados a través del tiempo.

Architectures for low demand mode of operation (IEC 61508)

B.2.4.1 1oo1β

B.2.4.2 1oo2

B.2.4.3 2oo2

B.2.4.4 1oo2D

B.2.4.5 2oo3

Architectures for high demand or continuous mode of operation (IEC 61508)

B.3.4.1 1oo1

B.3.4.2 1oo2

B.3.4.3 2oo2

B.3.4.4 1oo2D

B.3.4.5 2oo3