• Hogar
  • Noticias
  • Preparación para la Auditoría de Seguridad Funcional IEC 61511: Creación de un Paquete de Evidencia Defendible para los Sistemas Instrumentados de Seguridad Invensys Triconex

Preparación para la Auditoría de Seguridad Funcional IEC 61511: Creación de un Paquete de Evidencia Defendible para los Sistemas Instrumentados de Seguridad Invensys Triconex

IEC 61511 Functional Safety Audit Preparation: Building a Defensible Evidence Package for Invensys Triconex Safety Instrumented Systems

Lo que los Auditores Realmente Buscan

Una auditoría de seguridad funcional conforme a IEC 61511 no es una revisión documental, sino un análisis de brechas entre su Especificación de Requisitos de Seguridad (SRS) y el sistema tal como está construido y mantenido. Los auditores examinan primero tres aspectos: la integridad del caso de seguridad, la integridad de los registros de pruebas de verificación y la validez de la afirmación SIL. Para una instalación Invensys Triconex T3000 o Tricon CX, el paquete de evidencias debe demostrar que el SIS fue diseñado, instalado y mantenido conforme al SRS. Las brechas en cualquiera de estas áreas pueden degradar el SIL efectivo de SIL 2 a SIL 1 o, en casos graves, invalidar completamente el caso de seguridad.

Primero, reúna el documento completo del SRS incluyendo todas las descripciones de Funciones Instrumentadas de Seguridad (SIF), objetivos SIL y tasas de demanda del proceso. Segundo, confirme que todas las configuraciones del proyecto TriStation 1131 coinciden con el SRS — arquitectura, lógica de votación, lógica de bypass y cobertura diagnóstica. Tercero, verifique que los registros de pruebas de verificación estén firmados, fechados y contengan los tiempos de respuesta encontrados — no solo casillas de aprobado/reprobado.

Recalculo de PFDavg y Verificación SIL

La Probabilidad de Falla a la Demanda (Promedio) — PFDavg — cuantifica la confiabilidad del SIS durante el intervalo de prueba de verificación. SIL 2 requiere un PFDavg entre 1×10⁻³ y 1×10⁻². La arquitectura Triconex T3000 TMR con lógica de votación 2oo3 logra valores bajos de PFDavg debido a su alta cobertura diagnóstica (DC ≥ 99%) y redundancia inherente. Sin embargo, el PFDavg publicado en los informes FMEDA de Triconex asume intervalos específicos de prueba y condiciones operativas.

Recalcule el PFDavg para cada SIF usando la fórmula simplificada para un subsistema 1oo1: PFDavg = λDU × Ti / 2, donde λDU es la tasa de fallas peligrosas no detectadas y Ti es el intervalo de prueba en horas. Para un Triconex T3000 con λDU = 2.3×10⁻⁷ por hora (según FMEDA Triconex Rev 4) y Ti = 8760 horas (prueba anual): PFDavg = 2.3×10⁻⁷ × 8760 / 2 = 1.0×10⁻³. Esto está justo en el límite inferior de SIL 2 — sin margen. Reducir Ti a 4380 horas (prueba semestral) reduce el PFDavg a 5.0×10⁻⁴, situando el SIF cómodamente en el rango SIL 2.

El elemento final (válvula ESD o dispositivo de parada) suele dominar el PFDavg del SIF, no el solucionador lógico Triconex. Una válvula solenoide típica con λDU = 5×10⁻⁷ por hora y Ti = 8760 horas contribuye con un PFDavg = 2.2×10⁻³ — suficiente por sí sola para consumir el presupuesto SIL 2. Las pruebas de recorrido parcial (PST) a intervalos de 3 meses reducen esta contribución a 5.5×10⁻⁴ y recuperan un margen significativo de PFDavg.

Remediación de Brechas en Registros de Pruebas de Verificación

El hallazgo más común en auditorías de instalaciones Triconex son registros incompletos de pruebas de verificación. La cláusula 16.2.5 de IEC 61511 requiere que los registros incluyan: fecha de prueba, identidad del técnico, método de prueba, estado encontrado, resultado de la prueba y estado final. Los registros que solo contienen una firma y una designación “APROBADO” no cumplen con la norma.

  • Paso 1: Audite cada registro de prueba de verificación de SIF del último intervalo de prueba. Cree una matriz de brechas: número de SIF, fecha de prueba, campos faltantes, técnico responsable.
  • Paso 2: Para registros sin tiempo de respuesta encontrado, contacte al técnico original y solicite una declaración jurada del valor medido de memoria — si está documentado en otro lugar (cuaderno de campo, sistema de calibración). Adjunte la declaración al registro original.
  • Paso 3: Para registros sin datos encontrados en absoluto, documente formalmente la brecha como una no conformidad en el sistema de gestión de seguridad. Asigne una acción correctiva para realizar una prueba de verificación no programada en la próxima ventana de mantenimiento disponible para establecer una nueva línea base encontrada.
  • Paso 4: Implemente una plantilla estructurada de prueba de verificación en el CMMS (SAP PM o similar). La plantilla debe exigir campos obligatorios — tiempo de respuesta en milisegundos, confirmación del recorrido del elemento final y instantánea diagnóstica Triconex TriStation antes y después de la prueba. Bloquee el registro para que no se pueda seleccionar APROBADO sin ingresar un tiempo de respuesta numérico.

Requisitos Documentales para la Gestión de Bypass

La gestión de bypass es un requisito crítico de la cláusula 11.9.4 de IEC 61511. Cada vez que un SIF Triconex T3000 se pone en bypass, el riesgo residual aumenta — la función de seguridad no está disponible. El registro de bypass debe incluir: motivo del bypass, autoridad aprobadora, hora de inicio, hora de fin planificada y medidas compensatorias implementadas durante el período de bypass.

En TriStation 1131, las condiciones de bypass se implementan mediante variables INHIBIT o BYPASS en el programa de control. Cada variable INHIBIT debe estar vinculada a un interruptor físico o etiqueta de autorización a nivel SCADA. Configure el programa TriStation para registrar un evento de bypass en el registro SOE (Secuencia de Eventos) cada vez que una variable INHIBIT cambie de estado. La marca de tiempo SOE proporciona la trazabilidad requerida por IEC 61511.

El SRS debe definir la duración máxima permitida de bypass para cada SIF según la tasa de demanda del proceso. Para un SIF que protege contra un peligro con una tasa de demanda de 0.1 por año, la duración máxima de bypass sin medidas compensatorias suele ser de 72 horas. Los auditores cotejarán el registro de bypass del CMMS con el registro SOE — discrepancias entre ambos indican que el proceso de control de bypass no funciona como se espera y representan una falla sistémica según la cláusula 5 de IEC 61511.

Lista de Verificación para la Verificación de Configuración Previa a la Auditoría

  • Exporte el informe de configuración del proyecto TriStation 1131 y compare todos los puntos de ajuste de disparo de SIF con el SRS. Cualquier desviación requiere un registro de Gestión de Cambios (MOC) fechado antes de la implementación del cambio.
  • Verifique que la versión del firmware Triconex T3000 coincida con la versión calificada en el caso de seguridad. Las actualizaciones de firmware Triconex requieren revalidación bajo la cláusula 11.8.5 de IEC 61511 si afectan la funcionalidad relacionada con la seguridad.
  • Confirme que todos los intervalos de pruebas diagnósticas estén dentro de los valores especificados en el SRS. El ciclo de autoprueba del módulo T3000 por defecto es de 1 hora — verifique que no se haya cambiado a un intervalo más largo para reducir la frecuencia de alarmas SCADA DIAG_FAIL.
  • Verifique que la fecha y hora del Triconex T3000 se sincronice con el servidor NTP de la planta. Las marcas de tiempo SOE no sincronizadas son una no conformidad común en auditorías que pone en duda la secuencia de todos los eventos históricos de seguridad.
  • Revise el registro de cambios en TriStation para detectar modificaciones de configuración sin un registro MOC asociado. Los cambios no autorizados son una no conformidad grave según la cláusula 5.2.4 de IEC 61511 (gestión de seguridad funcional).

Conclusión y Recomendaciones de Acción

Preparar una instalación Invensys Triconex para una auditoría de seguridad funcional IEC 61511 requiere un ensamblaje sistemático de evidencias, no la generación de documentos de último minuto. Recalcule el PFDavg para cada SIF usando los intervalos reales de prueba y datos FMEDA instalados — no confíe en tablas SIL publicadas sin verificación. Audite los registros de pruebas para detectar tiempos de respuesta encontrados faltantes y remedie formalmente las brechas. Verifique los registros de gestión de bypass tanto en el CMMS como en el registro SOE de Triconex — las discrepancias indican fallas sistémicas en el proceso.

Complete la lista de verificación de configuración 30 días antes de la auditoría para permitir tiempo para la documentación MOC de cualquier desviación descubierta. Involucre a un ingeniero competente en seguridad funcional para revisar el paquete de evidencias antes de la llegada del auditor. Descubrir una brecha SIL 2 durante la auditoría es mucho más costoso — en tiempo, dinero y riesgo de proceso — que descubrirla durante la revisión interna.

Autor: Fang Haoran es un ingeniero de automatización industrial con más de 10 años de experiencia en PLC, DCS y sistemas de control.

volver al blog
Mostrar todo
Publicaciones de blog
Mostrar todo
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

Por qué los sensores RTD deben instalarse aguas abajo de las placas de orificio

La instalación de un RTD aguas arriba de una placa orificio corrompe las lecturas de presión diferencial debido al desprendimiento de vórtices en el termopozo. Este artículo explica la física de la calle de vórtices de von Kármán, los requisitos de colocación aguas abajo según ISO 5167 y ASME MFC-3M, la regla de separación mínima de 5D, el cumplimiento de la frecuencia de estela del termopozo y un procedimiento de instalación de 7 pasos para conjuntos combinados de placa orificio y RTD.
Vortex Flow Meter: Working Principles, Selection Criteria, and Field Commissioning
Zhang Haowen

Medidor de Flujo Vortex: Principios de Funcionamiento, Criterios de Selección y Puesta en Marcha en Campo

Un medidor de flujo de vórtice funciona según el principio de desprendimiento de vórtices de von Karman, ofreciendo una excelente precisión a largo plazo en servicios de vapor, gas y líquidos de baja viscosidad sin partes móviles. Esta guía abarca la física del número de Strouhal, las limitaciones del número de Reynolds, el dimensionamiento del medidor, los requisitos de tramo recto para el ABB VortexMaster FSV430 y los pasos de puesta en marcha en campo para la integración del gobernador de turbina Woodward.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

Cableado de termopares, normas y solución de problemas: una guía práctica de campo

La medición precisa con termopares requiere la selección correcta del tipo, un cable de extensión compatible y una compensación fiable de la unión fría. Esta guía abarca los códigos de tipo IEC 60584 y sus rangos de aplicación, la selección de cables de extensión y cables compensadores, los bloques terminales WTOP CJC de Phoenix Contact, la configuración CJC del Yokogawa YTA110 y el diagnóstico sistemático de fallos para circuito abierto, cortocircuito y deriva de calibración.
Lista de productos recomendados
Tarjeta de Encanto Aislada Emerson KL3105X1-LS1 12P6551X032
Tarjeta de Encanto Aislada Emerson KL3105X1-LS1 12P6551X032

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Módulo CHARM de entrada analógica Hart Emerson DeltaV KL3021X1-LS1, 4–20 mA
Módulo CHARM de entrada analógica Hart Emerson DeltaV KL3021X1-LS1, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 Módulo CHARM de contacto seco DI 24 VDC
Emerson DeltaV KL3003X1-BA1 Módulo CHARM de contacto seco DI 24 VDC

Emerson
Módulo Charm de Entrada Digital Aislada Emerson DeltaV KL3005X1-LS1
Módulo Charm de Entrada Digital Aislada Emerson DeltaV KL3005X1-LS1

Emerson
KL4510X1-EA1 | Emerson DeltaV | Terminal de Dirección I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | Terminal de Dirección I.S. CHARM

Emerson
Bloque Terminal Emerson DeltaV I.S. CHARM PN: KL4510X1-DA1
Bloque Terminal Emerson DeltaV I.S. CHARM PN: KL4510X1-DA1

Emerson
Módulo de alimentación Emerson DeltaV KL1501X1-BA1 CSLS
Módulo de alimentación Emerson DeltaV KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | Emerson DeltaV | Entrada Digital LS 24 VCC Contacto Seco CHARM
KL3003X1-LS1 | Emerson DeltaV | Entrada Digital LS 24 VCC Contacto Seco CHARM

Emerson
Módulo CHARM de entrada RTD/Resistencia Emerson KL3031X1-BA1
Módulo CHARM de entrada RTD/Resistencia Emerson KL3031X1-BA1

Emerson
Módulo PLC Micro Serie 90 GE Fanuc IC693UAA003
Módulo PLC Micro Serie 90 GE Fanuc IC693UAA003

GE
Módulo de Salida de Lógica Positiva GE Fanuc RX3i IC694MDL730 12/24VDC
Módulo de Salida de Lógica Positiva GE Fanuc RX3i IC694MDL730 12/24VDC

GE