Seguridad funcional SIL 2/3 con IA en refinería — el proof testing al día, no el sprint del mes antes del auditor.

Q: ¿Qué es el proof testing y por qué exige IEC 61511 hacerlo periódicamente?

El proof testing es la prueba periódica que demuestra que cada SIF (Safety Instrumented Function) sigue cumpliendo su SIL asignado — que el sensor detecta, el logic solver razona y el actuador final cierra la válvula o para la bomba cuando toca. IEC 61511 exige hacerlo en el intervalo definido por el análisis SIL/LOPA del proyecto (típicamente trimestral o anual por SIF). Sin proof testing al día, el PFDavg real se degrada respecto al teórico y el SIL declarado deja de ser defendible ante el inspector.

Q: ¿Integra con el SIS existente sin tocarlo?

Sí — y es el punto fundamental. iLEAN no escribe nunca en el SIS , no abre conexión entrante al anillo OT, no participa en la lógica de seguridad. Connect lee — del SIS por OPC UA/Modbus en solo lectura, del DCS por separado, del CMMS (SAP PM/Maximo) la planificación de proof testing, de las hojas de campo del técnico. Writer ensambla el dossier de evidencia por SIF. La arquitectura de tres anillos garantiza que lo crítico (la SIS) sigue siendo solo de personas autorizadas — la IA aporta documentación, no decisión sobre el lazo de seguridad.

IEC 61511 exige proof testing periódico de cada SIF y un dossier de evidencia que cualquier inspector pueda leer en una tarde. En la realidad, esa evidencia se reconstruye a sprint un mes antes de la auditoría. iLEAN planifica, ejecuta y registra cada proof test por SIF — sin tocar el SIS, con firma humana en todo cambio, y dejando el ciclo de vida de seguridad vivo todo el año.

← Ver todas las soluciones para petroquímica y química

El problema

La SIS está bien diseñada — la documentación, no tanto.

En cualquier refinería con cultura de seguridad funcional seria, el HAZOP/LOPA del proyecto está hecho, las SIF están definidas y verificadas, el SIS está instalado por una marca buena (Triconex, HIMA, Siemens SIS). El problema no es de diseño — es de operación y trazabilidad del ciclo de vida:

El proof testing se planifica en una Excel que mantiene el técnico de instrumentación. Esa Excel se actualiza «cuando se puede» y el responsable de seguridad funcional la consulta el mes antes de la auditoría. Cuando algo se ha saltado, se descubre tarde.
La hoja de campo del proof test se queda en papel o en una foto en el WhatsApp del técnico. Reconstruir qué SIF se probó, cuándo, qué resultado dio y quién firmó — para 180 SIFs — es trabajo de semanas, hecho a mano, justo antes del auditor.
Los bypass se gestionan en otra hoja, y el cierre del bypass se firma a veces verbalmente. El responsable de seguridad descubre en la auditoría un bypass que llevaba abierto más de lo que decía el procedimiento.
El PFDavg teórico se desactualiza respecto al PFDavg real porque los fallos peligrosos detectados (DD) en el SIS no siempre se enlazan al SIF afectado en el histórico — y la revalidación periódica del SIL se hace sobre un dato que no refleja el comportamiento real.

El resultado no es un fallo de seguridad funcional — es compliance frágil, sprint de auditoría, MOCs que pesan demasiado, y un riesgo silencioso de que el SIL declarado deje de ser defendible si el inspector aprieta. Y el técnico de instrumentación, que es bueno, dedica medio día por semana a rellenar formularios en vez de probar SIFs.

Cómo encaja con el sistema IRIS

iLEAN no participa en la lógica de seguridad — mantiene el ciclo de vida vivo, con firma humana siempre.

El problema no es de diseño del SIS: es información que vive en islas y en papel y un ciclo de vida de seguridad que se opera a sprint. iLEAN actúa como la masilla que sella esos huecos sin tocar lo crítico, y le devuelve al técnico de instrumentación las horas que pierde en formularios.

Edge captura la lectura del proof test en campo. Connect lee SIS, CMMS y la hoja del técnico. Tracer enlaza cada acción al SIF afectado. Writer ensambla el dossier por SIF. La persona firma — la lógica del SIS no se toca.

Las piezas iLEAN aplicadas a la seguridad funcional SIL 2/3:

Edge — tablet/terminal de campo con visión y voz para el técnico de instrumentación durante el proof test. Lee el tag de la SIF, fotografía el resultado del sensor, registra la actuación final, captura el valor instantáneo del PLC. El técnico habla, el sistema escribe. Hoja de campo digitalizada en el mismo gesto en que se hace el test.
Connect — captura del SIS por OPC UA/Modbus en solo lectura (eventos de demanda, fallos detectados DD, eventos diagnóstico), del CMMS la planificación de proof testing por SIF, del DCS las condiciones de proceso correspondientes, de los WhatsApp/email del equipo de instrumentación lo que se comunica fuera del sistema. Connect nunca escribe en el SIS ni abre conexión entrante al anillo OT.
Tracer + Writer + Agente — Tracer enlaza cada proof test, cada fallo detectado, cada bypass abierto y cerrado al SIF correspondiente. El agente vigila — perdón, ve — el cumplimiento de tiempos: cuando una SIF se acerca a su intervalo de proof testing, abre la orden de trabajo en el CMMS y prepara la hoja de campo previa. Writer ensambla el dossier por SIF listo para auditoría — proof tests con fecha, técnico, evidencia, firma; histórico de DD/DU; bypass con su tiempo abierto. El responsable de seguridad funcional firma; el inspector entra y sale en una tarde.

Ver la arquitectura IRIS completa →

Antes y después

Compliance a sprint vs. ciclo de vida de seguridad vivo todo el año

Aspecto	Excel + papel + sprint de auditoría	Con iLEAN Tracer + Edge + Writer
Planificación del proof testing	Excel del técnico, revisada el mes antes	Agente abre OT en CMMS cuando el intervalo se acerca
Hoja de campo del proof test	Papel o foto en WhatsApp del técnico	Digital en el mismo gesto en que se ejecuta el test
Gestión de bypass	Otra hoja, cierre a veces verbal	Bypass enlazado al SIF, tiempo abierto medido, cierre firmado
PFDavg real vs. teórico	Teórico fijo del proyecto, real desconocido	Histórico DD/DU enlazado por SIF para revalidación
Preparación de auditoría	Semanas reconstruyendo a mano	Dossier por SIF listo el día que el inspector lo pide
Toca el SIS	n/a	Nunca — Connect solo lee, anillo OT intacto

Estimación de impacto

Estimación de impacto para tu planta — a validar con tus números.

El siguiente bloque es una estimación a validar con los datos concretos de tu planta. Lo planteamos para que el comité tenga un orden de magnitud; lo refinamos en el diagnóstico.

Refinería con SIS Triconex/HIMA/Siemens existente, parque de 100-300 SIFs (mezcla SIL 2 y SIL 3), CMMS SAP PM o Maximo, próximo ciclo de auditoría IEC 61511 en los próximos 12 meses.
Piloto Tracer + Edge sobre la unidad de proceso Pareto: la que concentra el mayor número de SIFs SIL 3. Primer valor esperable en pocas semanas — agente de planificación de proof testing al día sin sprint, dossier por SIF disponible.
Reducción del tiempo de preparación de auditoría ≥ 30%, y reducción del tiempo del técnico de instrumentación dedicado a formularios (que vuelve a probar SIFs).
Payback orientativo entre 4 y 9 meses. La palanca dura no es ahorrar formularios — es defender el SIL declarado con dato vivo y evitar un hallazgo de auditoría que obligue a parar la unidad.

Y la duda razonable del CAIO y del responsable de seguridad funcional

«¿Una IA puede tocar mi SIS? Ni de coña.» — exacto, y por eso el primer requisito de la arquitectura es que no la toca. Los tres anillos de seguridad son la formalización de algo que la industria seria ya hacía: el anillo OT (la SIS, el SIL, los PLCs) no acepta conexión entrante, solo lee de un buzón firmado, y el dato que entra ha sido validado antes en la cámara intermedia. Es la misma arquitectura que protegió a las redes OT bien diseñadas cuando reventó Log4j en los ERPs del mundo. Sobre la fiabilidad del agente que ensambla el dossier: la alucinación es un problema de la generación libre, no de las tareas ancladas — recopilar y reformatear evidencia es justo donde los mejores modelos bajaron el error por debajo del 1,5% ^[1]. Y el responsable de seguridad funcional firma cada dossier antes de que salga.

^[1] Paper OpenAI «Why Language Models Hallucinate», 2025 — sobre fiabilidad de la IA en tareas ancladas.

Preguntas frecuentes

Lo que se pregunta sobre seguridad funcional SIL con IA en refinería

¿Qué es el proof testing y por qué exige IEC 61511 hacerlo periódicamente?

El proof testing es la prueba periódica que demuestra que cada SIF (Safety Instrumented Function) sigue cumpliendo su SIL asignado — que el sensor detecta, el logic solver razona y el actuador final cierra la válvula o para la bomba cuando toca. IEC 61511 exige hacerlo en el intervalo definido por el análisis SIL/LOPA del proyecto (típicamente trimestral o anual por SIF). Sin proof testing al día, el PFDavg real se degrada respecto al teórico y el SIL declarado deja de ser defendible ante el inspector.

¿Cómo se calcula PFD y cómo ayuda iLEAN?

El PFDavg (probability of failure on demand) se calcula por SIF con la tasa de fallo λDU de cada elemento (sensor + logic solver + actuador final) y el intervalo de proof test. iLEAN no calcula el PFD del proyecto — eso es trabajo del equipo de seguridad funcional con su herramienta (exSILentia, ProSET). Lo que iLEAN hace es mantener el dato vivo: histórico real de proof testing por SIF, fallos peligrosos detectados (DD) y no detectados (DU) sacados a la luz, intervenciones correctivas trazadas. El equipo de seguridad funcional usa ese dato real para recalcular el PFDavg sin reconstruirlo a mano cada vez.

¿Cumple con IEC 61511 y con el ciclo de vida de seguridad?

iLEAN cubre las fases del ciclo de vida de seguridad que más sufren de papel y Excel: operación y mantenimiento (proof testing, gestión de fallos, gestión de bypass) y verificación periódica (revalidación del SIL). No reemplaza el HAZOP/LOPA ni el SIL Verification del proyecto. Lo que aporta es trazabilidad continua y dosieres por SIF listos para auditoría — cada proof test con quién, cuándo, qué tag, qué resultado, qué evidencia, qué firma. El inspector entra y sale en una tarde.

¿Reduce el esfuerzo de HAZOP/LOPA?

El HAZOP/LOPA del proyecto no se evita — es trabajo humano de criterio. Lo que iLEAN reduce es el esfuerzo de las revalidaciones periódicas y del MOC (Management of Change): cuando se modifica una SIF o se cambia un equipo final, el agente reúne el histórico de proof testing, los fallos detectados, el cumplimiento de tiempos y lo entrega al equipo para que el LOPA de revalidación se enfoque en lo que cambió, no en reconstruir lo que ya pasó. Estimación a validar: el tiempo de preparación de una auditoría SIL se reduce notablemente cuando el dato está vivo.

¿Integra con el SIS existente sin tocarlo?

Sí — y es el punto fundamental. iLEAN no escribe nunca en el SIS, no abre conexión entrante al anillo OT, no participa en la lógica de seguridad. Connect lee — del SIS por OPC UA/Modbus en solo lectura, del DCS por separado, del CMMS (SAP PM/Maximo) la planificación de proof testing, de las hojas de campo del técnico. Writer ensambla el dossier de evidencia por SIF. La arquitectura de tres anillos garantiza que lo crítico (la SIS) sigue siendo solo de personas autorizadas — la IA aporta documentación, no decisión sobre el lazo de seguridad.

Hablemos

Cuéntanos tu caso y te pasamos en 48h el ROI estimado del piloto SIL para tu refinería.

Trabajamos sobre tu inventario real de SIFs y tu próxima ventana de auditoría, no sobre genéricos. Diagnóstico sin compromiso.

Pedir ROI estimado en 48h Ver petroquímica