SIL ferroviario

22.07.2019

El nivel SIL en los sistemas ferroviarios, el Safety Integrity Level o Nivel de Integridad de la Seguridad ferroviario está definido en las normas CENELEC EN 50126, EN 50128 y EN 50129.

(Actualización: 14/07/2020)

La Integridad de la Seguridad se define como la probabilidad de que un sistema cumpla satisfactoriamente las funciones de seguridad requeridas en todas las condiciones establecidas dentro de un periodo de tiempo igualmente establecido. 

En este artículo explicaremos que significan estas siglas tan utilizadas en el mundo ferroviario. Para ello, inicialmente, introduciremos el concepto de la Integridad de la Seguridad (sin el "Level" o "Nivel").


¿Qué es la Integridad de la Seguridad?

La Integridad de la Seguridad aúna dos conceptos básicos: la integridad frente a fallos sistemáticos y la integridad frente a fallos aleatorios. El primero representa aquellos fallos de especificación, trazabilidad diseño, fabricación y mantenimiento producidos por un fallo o proceso incorrecto humano. En cambio el segundo, se ocurre de forma aleatoria debido a fallos de los equipos mecánicos-electrónicos, a su envejecimiento o desgaste.

Teniendo en cuenta estos dos tipos de fallos, el concepto de Integridad de la Seguridad se puede definir como la capacidad (su probabilidad) de un sistema de desempeñar las funciones de seguridad asociadas a su objeto, normalmente en unas condiciones específicas y en un entorno operativo predefinido y, durante un periodo de tiempo determinado. Resumiendo, su capacidad de funcionar (cumplir sus funciones de seguridad) correctamente sin que se manifieste uno de estos fallos. La Integridad de la Seguridad se mide en horas y es un valor asociado a una probabilidad de ocurrencia.

La Integridad de la Seguridad y por ende, el SIL de un sistema ferroviario no se asocia a un producto o sistema, sino a unas funciones cerradas y acotadas de seguridad de un producto o sistema.

¿Qué es el nivel SIL de un sistema ferroviario (Nivel de Integridad de la Seguridad)?

En Nivel de Integridad de la Seguridad (el Safety Integrity Level) es sólo una tabulación de la Integridad de la Seguridad, dividiéndose en cuatro valores discretos (1 a 4):



Esta discretización en cuatro niveles es muy cómoda para definir objetivos de Integridad de Seguridad, pasándose a llamar Nivel de Integridad de la Seguridad


Dentro del mundo ferroviario a esta Probabilidad de ocurrencia de fallo Pf , se le llama en muchas ocasiones THR (Tolerable Hazard Rate) o Tasa de Riesgo Tolerable. El THR es la probabilidad que se da por aceptable de la aparición de la ocurrencia de un peligro potencial, que vendría dado por la manifestación de unos de los fallos comentados anteriormente. 


El nivel SIL-4 será, por su alta improbabilidad de ocurrencia, el nivel de seguridad más alto que podamos aplicar a una función de seguridad, siendo el nivel SIL-1, justamente el contrario: el nivel de menos seguridad. Para aplicaciones ferroviarias (tren convencional, alta velocidad, explotación en túneles y metros), de forma muy común, nos encontraremos con funciones de seguridad SIL-4 (detección, mando y comprobación, sistema ATP, información al maquinista, etc.) En aplicaciones de trenes ligeros tipo tranvía, las exigencias SIL pueden llegar a bajar, pudiendo de forma común encontrar funciones de seguridad entre SIL-2 y SIL-3

Es importante no caer en la tentación de aplicar el máximo nivel SIL a todas las funciones de forma "indiscriminada". El nivel SIL-4, será normalmente caro de implantar y su alto nivel de seguridad puede ser a costa de reducir la disponibilidad del sistema.  Sólo debe aplicarse cuando, efectivamente, es necesario.

Racionalizar el nivel SIL de una función, es decir, realizar un análisis de aceptabilidad del riesgo acorde a la aplicación bajo análisis, marcará sin ninguna duda, un criterio adecuado en el diseño del sistema, basado en el análisis de riesgos.

A nivel de ejemplo....

Típicamente, el peligro potencial "está protegido por" una función de seguridad, con un nivel SIL asignado. Por ejemplo: 

  • peligro potencial: el circuito de vía no detecta la ocupación de un cantón de un tren.
  • función de seguridad: el circuito de vía detectará correctamente el shunt producido por una rueda de tren entre los dos carriles.

Como puede imaginarse, la asignación del THR a un peligro potencial, viene determinado por el responsable final de la instalación, normalmente una administración de infraestructura ferroviaria.


¿Te interesan nuestros artículos sobre Ingeniería RAMS y Tecnología?

Inscríbete en nuestra newsletter y te mantendremos informado de la publicación de nuevos artículos.