Un sistema instrumentado de seguridad (SIS) es un sistema automatizado independiente, sensores, solver lógico y elementos finales, cuya única función es llevar un proceso a un estado seguro cuando algo va mal: parar el calentador, cerrar la válvula, vaciar el quench. Su objetivo de rendimiento se expresa como un nivel de integridad de seguridad (SIL), y las normas que rigen para las industrias de proceso son IEC 61511 y su norma matriz IEC 61508.
El sistema básico de control de procesos ejecuta la producción; el SIS lo supervisa. La independencia es el principio central: el SIS utiliza sus propios sensores, su propio solver lógico y sus propios elementos finales, de modo que una falla que engañe al sistema de control no deje ciega simultáneamente la protección. En el lenguaje de las capas de protección, una función instrumentada de seguridad (SIF) suele ser la capa con mayor crédito en una LOPA, que es precisamente la razón por la que su integridad recibe un número en vez de un adjetivo.
SIL es una banda de probabilidad media de fallo bajo demanda (PFDavg) para una función de baja demanda: SIL 1 significa que la función falla no más de una vez en diez demandas, SIL 2 una en cien, SIL 3 una en mil. Cada paso supone una reducción de riesgo diez veces mayor y considerablemente más ingeniería: redundancia, diagnósticos, pruebas de verificación (proof testing) y disciplina de gestión se vuelven más estrictos. Una clasificación SIL pertenece a una función específica, lazo de disparo por lazo de disparo, no a una planta ni a una marca de hardware.
Considere un disparo por alta presión de SIL 2 cuyos componentes dan una tasa de fallos peligrosos no detectados que acumularía un PFDavg de aproximadamente 0,02 con un intervalo de pruebas de verificación de 24 meses, justo fuera del rango de SIL 2. Reducir a la mitad el intervalo a 12 meses reduce aproximadamente a la mitad la indisponibilidad media acumulada, llevando el PFDavg cerca de 0,01 y de nuevo dentro de la banda. Mismo hardware, mismo cableado, distinto calendario de pruebas: el nivel de integridad vive literalmente en el plan de mantenimiento. Omitir un ciclo de pruebas y la protección calculada deja de existir en silencio, sin nada visible en la pantalla de la sala de control.
La mayor parte de la integridad se pierde en la tercera fase, no en las dos primeras: disparos anulados (bypassed) que perduran más que el turno, pruebas de verificación aplazadas más allá de su fecha y reparaciones que sustituyen un componente certificado por cualquier cosa que había en el almacén.
Fabrico no es un sistema de seguridad y no tiene papel en la ejecución de disparos; el diseño y la verificación de los SIS corresponden a los ingenieros de seguridad funcional. Lo que gestiona Fabrico es la disciplina operativa que exigen las normas: pruebas de verificación programadas y evidenciadas como órdenes de trabajo recurrentes, eventos de bypass y demandas registrados contra el activo, repuestos críticos para la seguridad identificados en el inventario y trabajos de seguridad vencidos imposibles de pasar por alto. Cuando la auditoría de seguridad funcional solicita los registros de pruebas de verificación de los últimos tres años, la respuesta es una exportación, no una excavación. Desarrollado en la UE, con residencia de datos en la UE.
No. Un SIS se define por la independencia, el diseño certificado y un objetivo de integridad verificado, no por el lugar donde corre la lógica. Existen solvers lógicos certificados para seguridad precisamente porque los controladores de propósito general no pueden por sí solos alegar el comportamiento de fallo requerido.
La evaluación de riesgos: el análisis de escenarios (típicamente HAZOP más LOPA) determina cuánto debe reducir el riesgo cada función de seguridad, y ese requisito se traduce en el objetivo SIL. Luego los proveedores suministran componentes adecuados para ese nivel; comprar "hardware SIL 3" sin el análisis es puro teatro.
En el intervalo asumido en el cálculo de verificación SIL para esa función específica, comúnmente entre seis meses y unos pocos años. El intervalo es un parámetro de diseño, no una preferencia: alargarlo sin recalcular cambia la integridad conseguida.
¿Quiere pruebas críticas para la seguridad que nunca se pasen por alto? Reserve una demo de Fabrico para ver la programación de pruebas de verificación, el registro de bypass y el historial de activos listo para auditoría en un mismo sistema.