Safety Integrity Level
El Safety Integrity Level, abreviado SIL, en español «Nivel de Integridad de Seguridad» se define como un nivel relativo de reducción del riesgo que provee una función de seguridad, o bien para especificar el nivel objetivo para la reducción de riesgo. SIL podría definirse simplemente como una medida de la prestación requerida para una función instrumentada para la seguridad (SIF).
Los requisitos para un SIL determinado no son consistentes a lo largo de todos los estándares de seguridad funcional. En los estándares de seguridad europeos se definen 4 SILs, siendo el nivel 4 el más severo y 1 el más bajo. El SIL se determina a partir de un número de factores cuantitativos en combinación con factores cualitativos tales como el proceso de desarrollo y la gestión del ciclo de vida de la seguridad.
Asignación del SIL
Hay varios métodos para la asignación del SIL. Estos suelen utilizarse de forma combinada e incluyen:
- Matrices de riesgo
- Gráficos de riesgo
- Análisis de Capas de Protección (en inglés Layers Of Protection Analysis, LOPA)
La asignación puede verificarse mediante enfoques pragmáticos y de controlabilidad, aplicando la directriz de asignación del SIL publicada por el UK HSE.[1] Los procesos para asignar el SIL que utilizan la directriz del HSE para ratificar las asignaciones desarrolladas a partir de matrices de riesgo se han certificado para cumplir con IEC EN 61508.
Problemas con el uso de SIL
Hay varios problemas inherentes al uso de los Safety Integrity Levels que se pueden resumir como sigue:
- Pobre armonización de definición a través de los diferentes cuerpos de estándares que utilizan el SIL
- Métricas orientadas al proceso para la obtención del SIL
- Estimación del SIL basada en estimaciones de confiabilidad
- Complejidad del sistema, en especial sistemas de software, lo que hacen la estimación del SIL muy complicado o casi imposible
Todo esto conlleva a razonamientos erróneos como por ejemplo: "Este sistema tiene un SIL N porque el proceso seguido durante su desarrollo fue el correspondiente a un sistema SIL N", o el uso del concepto de SIL fuera de contexto, como por ejemplo: "Este es un intercambiador de calor de SIL 3". De acuerdo con el IEC 61508, el concepto de SIL se tiene que relacionar con la tasa de fallos catastróficos de un sistema, y no simplemente con su tasa de fallos. La definición de los modos de falla catastróficos, mediante algún análisis de seguridad, es intrínseco a la determinación apropiada de la tasa de fallos.[2]
Certificación a un SIL
El estándar de la International Electrotechnical Commission (IEC) IEC 61508, ahora IEC EN 61508, define el SIL utilizando requisitios agrupados en dos amplias categorías: integridad de seguridad del hardware e integridad de seguridad sistemática. Un dispositivo o sistema debe cumplir los requisitos de ambas categorías para conseguir un determinado SIL.
Los requisitos del SIL para la integridad de seguridad de hardware están basados análisis probabilista del dispositivo. Para conseguir un determinado SIL, el dispositivo debe cumplir los objetivos para la máxima probabilidad de fallo catastrófico y una Safe Failure Fraction (Fracción de Fallo Seguro) mínimo. El concepto de 'fallo catastrófico' debe definirse de forma rigurosa para el sistema en cuestión, normalmente en forma de requisitos funcionales cuya integración es verificado a lo largo del desarrollo del sistema. Los objetivos reales que se requieren varían dependiendo de la probabilidad de fallo bajo demanda, la complejidad del dispositivo y los tipos de redundancia utilizada.
La PFD (Probability of Failure on Demand) y el RRF (Risk Reduction Factor) de operación bajo demanda para diferentes SILs queda definido por IEC EN 61508 como sigue:
SIL | PFD | PFD (corriente) | RRF |
---|---|---|---|
1 | 0.1-0.01 | 10-1 - 10-2 | 10-100 |
2 | 0.01-0.001 | 10-2 - 10-3 | 100-1000 |
3 | 0.001-0.0001 | 10-3 - 10-4 | 1000-10,000 |
4 | 0.0001-0.00001 | 10-4 - 10-5 | 10,000-100,000 |
Para una operación continua, estos adquieren estos valores. PFH (Probability of dangerous failure per hour)
SIL | PFH | PFH (corriente) | RRF |
---|---|---|---|
1 | 0.00001-0.000001 | 10-5 - 10-6 | 100,000-1,000,000 |
2 | 0.000001-0.0000001 | 10-6 - 10-7 | 1,000,000-10,000,000 |
3 | 0.0000001-0.00000001 | 10-7 - 10-8 | 10,000,000-100,000,000 |
4 | 0.00000001-0.000000001 | 10-8 - 10-9 | 100,000,000-1,000,000,000 |
Los peligros, considerados en el diseño de un sistema de control, deben ser identificados y analizados mediante métodos aceptables de análisis de riesgo. Las consideraciones para la mitigación de los factores de riesgo continúan hasta que su contribución a la reducción del índice global de riesgo se considera aceptable. El nivel tolerable de estos riesgos es específico como un requisito de seguridad en forma de un objetivo 'probabilidad de un fallo catastrófico' en un lapso de tiempo dado, expuesto como un nivel de SIL discreto.
Los esquemas de certificación se utilizan para establecer si un dispositivo cumple un SIL particular.[3] Los requisitos de estos esquemas se pueden alcanzar o estableciendo un proceso de desarrollo riguroso o estableciendo que el dispositivo tenga suficiente historia de operación para argumentar que se ha demostrado su uso.
Los dispositivos eléctricos y electrónicos se pueden certificar para su uso en aplicaciones de seguridad funcional de acuerdo con IEC 61508, proveyendo a los desarrolladores de aplicaciones la evidencia requerida para demostrar que la aplicación -incluido el dispositivo- también están de acuerdo. La IEC 61511 es una adaptación para aplicaciones específicas de IEC 61508 para el sector de la industria de procesos. El estándar se utiliza en industrias petroquímicas y de sustancias químicas peligrosas, entre otras.
SIL en los estándares de seguridad
Los siguientes estándares utilizan el SIL como una medida de la confiabilidad o de reducción del riesgo.
- ANSI/ISA S84
- IEC EN 61508 - reducción de riesgo
- IEC 61511
- IEC 62061
- EN 50128
- EN 50129
- MISRA - confiabilidad
- Defence Standard 00-56 Issue 2 - consecuencias de accidentes
La utilización del SIL en estándares de seguridad específicos puede aplicar diferentes secuencias de números o definiciones a aquellos de IEC EN 61508.[4]
Referencias
- M. Charlwood, S Turner and N. Worsell, UK Health and Safety Executive Research Report 216, “A methodology for the assignment of safety integrity levels (SILs) to safety-related control functions implemented by safety-related electrical, electronic and programmable electronic control systems of machines”, 2004. ISBN 0 7176 2832 9
- F. Redmill, "Understanding the Use, Misuse, and Abuse of SILs" http://www.csr.ncl.ac.uk/FELIX_Web/3A.SILs.pdf with capture date of 11th October 2010
- CASS Scheme, Conformity Assessment of Safety Systems, http://www.cass.uk.net/
- F. Redmill, "Understanding the Use, Misuse, and Abuse of SILs" http://www.csr.ncl.ac.uk/FELIX_Web/3A.SILs.pdf with capture dates of 9th July 2010 and 11 October 2010
Bibliografía
M. Punch, "Functional Safety for the Mining Industry – An Integrated Approach Using AS(IEC)61508, AS(IEC)62061 and AS4024.1." (1st Edition, ISBN 978-0-9807660-0-4, in A4 paperback, 150 pages). www.marcuspunch.com
Enlaces externos
- Safety Users Group Functional Safety-Information Resources
- Inside Functional Safety Technical magazine focusing on functional safety
- 61508.org The 61508 Association
- IEC Safety Zone The IEC Functional safety zone
- Functional Safety, A Basic Guide Functional Safety and IEC 61508: A basic guide
- Overview of 61508 Archivado el 23 de abril de 2008 en Wayback Machine. Overview of IEC 61508