TABLA DE CONTENIDO

1. OBJETIVO ................................................................................................................................. 3
2. ALCANCE .................................................................................................................................. 3
3. DOCUMENTOS DE REFERENCIA ............................................. ¡Error! Marcador no definido.
4. ESTÁNDARES Y ESPECICICACIONES .................................................................................. 3
5. DEFINICIONES .......................................................................................................................... 3
6. SIMBOLOGÍA Y ABREVIACIONES ......................................................................................... 5
7. INTRODUCCIÓN ....................................................................................................................... 6
8. CONCEPTOS GENERALES ..................................................................................................... 6
8.1. CONCEPTO DE DISEÑO .......................................................................................................... 8
8.2. HARDWARE Y SOFTWARE DEL SISTEMA ......................................................................... 10
8.3. VERIFICACIÓN SIL ................................................................................................................. 16
8.4. VALIDACIÓN DEL SIS ............................................................................................................ 18
9. OPERACIÓN Y MANTENIMIENTO ........................................................................................ 21
9.1. FORMACIÓN DEL PERSONAL DE OPERACIÓN Y MANTENIMIENTO ............................. 25
9.2. CONCEPTO DE FALLAS........................................................................................................ 26
9.2.1. CONCEPTO DE TIPO DE SISTEMA ................................................................................... 26
9.2.2. COMPORTAMIENTO DEL SISTEMA EN LA DETECCIÓN DE UNA FALLA ................... 26
9.2.3. TOLERANCIA DE FALLAS DE HARDWARE .................................................................... 26
9.2.4. INDICACIONES LUMINOSAS ............................................................................................. 28
9.2.5. CONCEPTO DE ALARMAS ................................................................................................. 28
9.3. SELECCIÓN DE COMPONENTES ......................................................................................... 29
9.4. MANTENIMIENTO PREVENTIVO .......................................................................................... 30
9.4.1. MATRIZ CAUSA – EFECTO DEL SIS ................................................................................. 31
9.5. MANTENIMIENTO CORRECTIVO.......................................................................................... 32
9.6. PROOF - TESTING .................................................................................................................. 32
9.6.1. INTERVALOS DE PRUEBA (Proof Testing) ...................................................................... 33
9.6.2. DOCUMENTACIÓN DE PRUEBA, INSPECCIÓN Y TESTEO ........................................... 34
9.7. BY-PASS DEL SIS .................................................................................................................. 34
9.8. EQUIPOS E INSTRUMENTOS PARA MANTENIMIENTO .................................................... 36
9.9. PROCEDIMIENTOS DE MANTENIMIENTO SOBRE LAS SIF ............................................. 36
9.9.1. CONCEPTOS GENERALES ................................................................................................ 36
9.9.2. CONSIDERACIONES ........................................................................................................... 36
10. CONCEPTOS PARTICULARES .................................................. ¡Error! Marcador no definido.
10.1. FUNCIONALIDAD ...................................................................... ¡Error! Marcador no definido.
10.2. DETALLES TÉCNICOS .............................................................. ¡Error! Marcador no definido.
1. OBJETIVO

El objeto del presente documento, es determinar las especificaciones técnicas que se deberán
tener en cuenta en el diseño del Sistema de Seguridad del Horno teniendo en cuenta que el
mismo se está desarrollando bajo el estardard internacional IEC-61511.

2. ALCANCE

Este documento tiene por alcance, determinar las especificaciones técnicas del Sistema
Instrumentado de Seguridad,(SIS), el cual estará conformado por un Burner Management
System (BMS), del Horno de Crudo, teniendo en cuenta que el mismo se está desarrollando
bajo el estardard internacional IEC-61511. Dicho alcance contempla conceptos técnicos
generales de un SIS, conceptos técnicos particulares del SIS del Horno de Crudo, conceptos
técnicos y premisas técnicas a tener en cuenta en el diseño, operación y mantenimiento del
SIS, como así también conceptos técnicos referente a detección de fallas, generación de
alarmas y selección de componentes.

3. ESTÁNDARES Y ESPECICICACIONES

Los siguientes estándares y Especificaciones serán de aplicación, salvo expresa indicación en

contrario:

• IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-

Related Systems
• IEC 61511 Functional safety – Safety instrumented systems for the process industry sector
• IEC 61131 Programmable Controllers – Programming Languages
• NFPA 85 Boiler and Combustion Systems Hazards Code
• NFPA 86 Standard for Ovens and Furnaces.
• API RP 535 Burners for Fired Heaters in General Refinery Services.
• API RP 556 Instrumentation and Control System for Fire Heater and Steam Generator.
• API 560 Fired Heaters for General Refinery Services.

4. DEFINICIONES

A continuación se presentan las definiciones usadas en el desarrollo del documento.

Alarma: Situación indicativa de condición riesgosa, que puede desencadenar en un siniestro si

no es corregida.

Arquitectura: Es una combinación específica de elementos de Hardware y Software.

Sistema de Control Distribuido (DCS): Instrumento capaz de ser configurado para llevar a
cabo el control de um proceso.
Emergencia: Situación derivada de un incidente/accidente que puede resultar en efectos
adversos a los trabajadores, la comunidad, el ambiente y/o las instalaciones y que por su
naturaleza de riesgo, activa una serie de acciones para controlar o mitigar la magnitud de sus
efectos.

Indicador de alarma: Emisión audible y/o visual que informa al personal sobre la presencia de
condiciones anómalas. También se entiende como el equipo físico que al activarse produce una
señal sonora y/o luminosa, como puede ser: sirena, bocina, campana, teléfono, semáforo o foco
de luz fija, destellante o giratoria.

Nivel Integral de Seguridad (SIL): Nivel discreto, para especificar los requerimientos de
integridad de seguridad que deberán poseer las SIFs que conformarán en SIS.

NIVEL INTEGRAL DE PROBABILIDAD DE

SEGURIDAD FALLA
1 10-E1 al 10-E2
2 10-E2 al 10-E3
3 10-E3 al 10-E4

Probabilidad de Falla en Demanda (PFD): Probabilidad de falla en un equipo eléctrico,

electrónico o electrónico programable, al responder a la demanda estando en funciones.

NIVEL INTEGRAL DE
1 2 3
SEGURIDAD
Rango de disponibilidad de Seguridad
REQUERIMIENTOS DEL 0.999 a
0.9 a 0.99 0.99 a 0.999
SISTEMA DE 0.9999
SEGURIDAD Rango de PFD Promedio
INSTRUMENTADO 10-E1 al 10- 10-E2 al 10- 10-E3 al 10-
E2 E3 E4

Prueba: Verificación operativa por simulación del funcionamiento de equipos o sistema

completo, para confirmar que su operación real corresponderá con lo previsto.

Redundancia: Uso de múltiples elementos o sistemas para desarrollar la misma función.

Riesgo: Combinación de la probabilidad de ocurrencia de un daño y la severidad del mismo.

Sistema Instrumentado de Seguridad (SIS): Todo sistema compuesto por sensores,

soluciones lógicas y control final de instrumentos, capaz de realizar funciones de protección
independientes a las de monitoreo y control de los procesos industriales, que tiene el propósito
de conservar las condiciones operativas dentro de valores predeterminados seguros, pudiendo
actuar incluso, para detener la operación de dicho proceso o activar sistemas automáticos de
protección y mitigación. Este instrumento debe cumplir con parámetros internacionales (IEC-
61508) o equivalente, que garanticen su confiabilidad y disponibilidad en operación

Función Instrumentada de Seguridad (SIF): Función a ser implementada por un E/E/PES,

cuya meta es lograr o mantener un estado seguro para el “Equipo bajo control” EUC, ante la
ocurrencia de un evento peligroso.

Capa de Protección Independiente (IPL): Es un dispositivo sistema o acción que es capaz de

prevenir un escenario de una consecuencia no deseada, independientemente del evento
iniciador u otras capas de protección.
Tiempo medio para Fallar (MTTF): Tiempo que se espera que un sistema opere antes de que
ocurra la primera falla.

5. SIMBOLOGÍA Y ABREVIACIONES

A continuación se presentan la simbología y abreviaciones usadas en el desarrollo del

documento.

ALARP : As Low as is Reasonably Practicable, (Tan bajo como sea razonablemente

practicable)
BMS : Burner Management System, (Sistema de Control de Quemador)
BPCS : Basic Process Control System, (Sistema de Control Básico de Proceso)
DCS : Sistema de Control Distribuido.
E/S : Entrada / Salida.
ESD : Emergency Shutdown, (Sistema de Paro de Emergencia).
FAT : Factory Acceptation Test, (Pruebas de aceptación en fábrica).
HFT : Hardware Fault Tolerant, (Tolerancia a fallos de hardware)
HMI : Human machine interface, (Interfase Hombre – Máquina)
IPL : Independent protection Layer, (Capa Independiente de Protección)
MTBF : Mean Time Between Failures, (Lapso de operación entre fallas de un equipo).
MTTF : Mean time to fail, (Tiempo Medio para Fallar)
MTTR : Mean time to repair, (Tiempo Medio de Reparación)
NEMA : National Electric Manufacturers Association, (Asociación Nacional de
Fabricantes eléctricos).
PLC : Programmable Logic Controller, (Controlador Lógico Programable).
PFD : Probability of Failure on Demand, (Probabilidad de Falla en Demanda).
PFDavg : Probability of Failure on Demand Average, (Probabilidad Promedio de Falla en
Demanda)
PFH : Probabilidad de Falla Peligrosa por Hora
PIU : Proven In Use, (Probado En el Uso)
RRF : Risk Reduction Factor, (Factor de Reducción de Riesgo)
SCADA : Supervisory Control and Data Acquisition, (Sistema de Control Supervisorio y
Adquisición de Datos).
SAT : Site Acceptation Test, (Prueba de aceptación en sitio).
SFF : Safe Failure Fraction, (Fracción de Falla Segura)
SIF : Safety Instrumented Function, (Función Instrumentada de Seguridad).
SIL : Safety Integrity Level, (Nivel de Integridad de Seguridad).
SRS : Safety Requirements Specification, (Especificaciones de Requerimientos de
Seguridad)
TI : Test Interval, (Intervalo de tiempo entre ensayos)
TÜV : Technisher Überwashungsverein, (Asociación de inspección técnica Alemana).
UPS/SIF : Uninterruptible Power Supply Systems, (Sistema Ininterrumpible de Fuerza).

6. INTRODUCCIÓN

Como la naturaleza de ciertas operaciones y procesos que son llevadas a cabo en el Horno de
Crudo perteneciente, implican la probabilidad de ocurrencia de ciertos incidentes industriales
peligrosos, tales riesgos deben ser evaluados y en virtud del Informe de Análisis de Riesgo
HAZOP realizado, se deben tomar las medidas consideradas como necesarias, para reducir la
probabilidad de ocurrencia de dichos incidentes a valores aceptables.

Entre los incidentes potenciales que pueden ocurrir por la naturaleza de diferentes procesos,
pueden citarse derrames, explosiones e incendios que tengan orígenes, en la fuga de
hidrocarburos líquidos o gaseosos, así como aquellos derivados de la presencia de atmósferas
contaminadas con productos tóxicos.

En consideración de lo anterior y con el propósito de incrementar el nivel de seguridad en el

Horno de Crudo se hace necesario contar con un Sistema Instrumentado de Seguridad (SIS),
con operación automática para la protección de los escenarios involucrados, tendientes a
disminuir significativamente la posibilidad de daños, salvaguardando los recursos humanos,
materiales y ambientales, con el beneficio del ahorro en los recursos utilizados para su control.

En otras palabras, un SIS es un sistema diseñado para responder a condiciones que

eventualmente pueden convertirse en peligrosas si no se tomaran acciones pertinentes. Dichos
sistemas deben prevenir el peligro ó disminuir el riesgo.

7. CONCEPTOS GENERALES

El SIS del Horno de Crudo, el cual estará conformado por un Burner Management System
(BMS), operará cuando sea requerido, (haya demanda de su actuación), en función de la
actuación de las Funciones Instrumentadas de Seguridad (SIFs) que la componen. Cada SIF,
estará constituida por tres componentes, como se muestra en la figura 8.1:

Figura 8.1
• Elemento sensor
• Elemento procesador lógico o resolvedor lógico (PLC SIS)
• Elemento final
Para presentar un concepto didáctico de la SIF, se puede decir, que desde el punto de vista de
sus componentes, tiene un grado de analogía con un lazo de control de proceso. Sin embargo
una SIF, no es un lazo típico de control de proceso, ya que tienen requisitos y objetivos
completamente diferentes.

Mientras un lazo de control de proceso típico, está orientado en general, al funcionamiento

continuo, en la actividad de producción normal y cotidiana, con variables de proceso, que se
encuentran variando en los intervalos normales (régimen normal), una SIF, en general, está
orientada al funcionamiento automático, solo en el momento que se lo demanden los desvíos de
variables de proceso que se escaparon de los intervalos normales, de alarma y que superaron
las posibles acciones del operador tendientes a recuperar el curso del proceso (actuación por
demanda debido a régimen anormal).

La acción de una SIF, en términos básicos, busca evitar que se origine un incidente, cuando el
proceso ha perdido el control.

En muchas oportunidades la pérdida del control, se origina por errores humanos en la operación
del proceso, por lo que el SIS ante detección de una condición peligrosa de proceso, debe
actuar automáticamente como salvaguarda.

Las diferentes SIFs que compondrán el SIS, estarán distribuidas por todas las instalaciones del
Horno de Crudo, según los escenarios que han sido establecidos como necesarios a ser
cubiertos por ellas, en función de lo establecido en lós estudios HAZOP, Determinación SIL y
SRS.

Observando la figura 8.2, se puede entender que las diferentes SIFs que conformarán el SIS del
Horno de Crudo, tendrán en general diferentes características.
 Figura 8.2

En general, una SIF estará compuesta de una combinación de sensores, una lógica particular
en el revolvedor lógico y elementos finales. Habrán SIFs, que compartirán sensores como
elementos de entrada y/o actuadores como elementos finales, según los requerimientos
establecidos en las SRS del Horno de Crudo.

Así mismo, las SRS definen las SIFs que requieran cumplir con diferentes niveles SIL, según
los resultados que se hayan obtenido en el estudio de determinación de nível SIL, mediante la
cual, se cuantificó el grado de reducción de riesgo requerido para ellas, en virtud de actuar en
cada uno de los escenarios considerados en el Horno de Crudo.

El resolvedor lógico, requiere cumplir con el nivel SIL más alto que posean las SIFs del SIS. Así
mismo, un elemento sensor ó un elemento final, que forme parte de más de una SIF, su nivel de
integridad SIL será el mayor de los requeridos en las funciones SIF compartidas especificadas
en las SRS.

7.1. CONCEPTO DE DISEÑO

Es necesario conocer los conceptos estructurales que participan en el diseño del SIS del Horno
de Crudo, para tener el contexto, sobre el cual puedan establecerse los lineamientos de las
actividades de Operación y Mantenimiento. Haciendo una síntesis de estos conceptos, se
pueden mencionar:

El Diseño del SIS, estará en conformidad con lo establecido en las SRS, para llevar a cabo sus
diferentes SIFs, proporcionando los niveles SIL correspondientes.
En general, las Funciones Instrumentadas de Seguridad (SIFs) estarán consideradas de modo
separado a los lazos instrumentados (los de control de procesos) que no son de seguridad,
implementados o que se incorporen a futuro al sistema de control del Horno de Crudo.

Los elementos comunes a las SIFs, (con diferentes niveles de integridad de seguridad-SIL), del
SIS, como lo son el Resolvedor Lógico y el Software, deberán verificar o cumplir con el más
alto nivel de integridad de seguridad arrojado por las verificaciones SIL de todas las SIFs.

Los requerimientos de operación, mantenimiento y pruebas serán establecidos en el diseño del

SIS en forma ordenada, a fin de facilitar la implementación de los requerimientos del factor
humano en el diseño (por ejemplo, las facilidades de by-pass para permitir las pruebas on line y
el alarmado cuando está el by-pass activo; según norma IEC 61511 Functional Safety – Safety
Instrumented Systems for the process industry sector).

El mantenimiento y las facilidades de prueba de las instalaciones, deberán estar diseñados para
minimizar, en lo posible, la probabilidad de fallos peligrosos derivados de su utilización;
establecido en la norma IEC 61511.

El diseño del SIS, tendrá en cuenta las capacidades, limitaciones humanas y deberá ser
adecuado para la tarea asignada a los operadores y personal de mantenimiento.

El diseño de todas las interfaces hombre-máquina se ajustará a las buenas prácticas y los
factores humanos. Tendrán en cuenta el nivel de formación o entrenamiento requerido de los
operadores y todo el personal responsable de operar y mantener el SIS.

En general el SIS estará diseñado, de manera que, una vez que se ha colocado el proceso en
un estado seguro, permanezca en el estado seguro, hasta que se efectúe un Reset
correspondiente. Medios manuales (por ejemplo, el pulsador de parada de emergencia),
independiente de la lógica, existirán para accionar elementos finales del SIS.

El diseño del SIS tomará en consideración todos los aspectos de la independencia entre el SIS,
DCS y la independencia entre el SIS y otras capas de protección no SIS.

Un dispositivo utilizado para formar parte de una función instrumentada de seguridad no se

utilizará para fines de control de proceso básico, donde un fallo del dispositivo, resulte en una
falla de la función de control de proceso básico, que cause una demanda de una SIF, a menos
que un análisis se haya llevado a cabo para confirmar que el riesgo general es aceptable. Los
sensores y válvulas, son ejemplos de equipamiento donde a menudo son empleados en común
con el DCS.
Serán considerados en la implementación del SIS, los siguientes aspectos:

• Detección de pérdida de la integridad de los diferentes circuitos o lazos (por ejemplo, mediante
monitoreo de fin de línea).
• La integridad del suministro de energía del sistema, sea garantizada usando suministro de
energía suplementaria (por ejemplo, empleando back-up de baterías, o mediante suministro de
energía ininterrumpida UPS).
• Detección de pérdida de energía en el sistema.

7.2. HARDWARE Y SOFTWARE DEL SISTEMA

Hardware del SIS de Hornos

A continuación se indican aspectos generales que se deberán considerar para definir el

hardware del Sistema SIS de Hornos.
Los aspectos básicos, es decir la mayoría de los conceptos que se deberán considerar, están
aportados por lo establecido en las Especificaciones de Requerimiento de Seguridad.
No obtante las partes 2 de la norma IEC-61508 y la parte 1 de la norma IEC-61511 establecen
los requerimientos de Hardware que se recomiendan tener cuenta.

Consideraciones Generales:

Con el objetivo de diseñar y desarrollar el Sistema SIS de Hornos, se deberán tomar criterios de
selección del hardware haciendo una elección de diversas tecnologías, en cumpliendo con las
siguientes premisas:

• que el sistema SIS cumple con lo establecido en las SRS

• que el Sistema SIS pueda ser manejable por el Operador.
• que el Sistema SIS sea fácil de mantener.
• que el Sistema SIS facilite la realización de las pruebas manuales sin inconvenientes.
• que su hardware esté disponible en el mercado para ser repuesto, en caso de ser
necesario.

Como Hardware se considerará a:

• Procesador lógico (Resolvedor Lógico o PLC de seguridad).

• Arquitectura (con todos sus dispositivos)
• Elementos de campo (detectores iniciadores, actuadores, etc).
• Hardware adicional necesario para el correcto funcionamiento del SIS.

Fallos de Causa Común

Los posibles tipos de fallos que nos encontramos en un Sistema, se pueden agrupar en dos
categorías:

1) Fallos físicos: cuando algún estrés físico excede la capacidad de los elementos instalados.

• Fallos independientes.
• Fallos de causa común.
2) Fallos sistemáticos: cuando el sistema, aunque esté funcionando, no es capaz de realizar la
función especificada debido a errores de diseño o instalación.

Para el Sistema SIS de Hornos, los fallos de causa común son aquellos que se pueden producir
cuando, más de un elemento con la misma función, se implementa en una SIFs. Es decir los
elementos se ven afectados por una misma causa.

Un fallo de causa común puede ser debido a diferentes situaciones. Puede producirse por un
estrés que produce un fallo en varios elementos o en una parte del sistema y hace que sistemas
redundantes fallen. Como fuentes de estrés tenemos temperatura, humedad, corrosión,
vibración, interferencias electromagnéticas, entre otras.

Asimismo, un fallo en un elemento no redundante podrá causar un fallo de causa común, por
ejemplo podemos encontrar un controlador triple redundante alimentado por una única fuente
de alimentación, el fallo de la fuente, hace que caigan los tres controladores. Por otra parte un
fallo de causa común puede resultar de un fallo sistemático (ejemplo de diseño) que afecte a
elementos redundantes.

Es importante tener en cuenta a la SIF, como un conjunto de elementos (dispositivos y/o

equipos) y las instalaciones entre ellos, de esta manera podremos identificar posibles fallos de
causa común.

Habrá posibles fallos de causa común cuando se implementen más de un elemento como
iniciador o como estructura de resolvedor lógico o como elemento final (es decir con votaciones
de estos elementos, diferentes de 1oo1).

Será posible identificar las fallas de causa común, si observamos o tenemos por ejemplo para;

Iniciadores y elementos finales:

• Mismo fabricante y modelo

• Misma caja de conexiones
• Mismo principio de funcionamiento
• Mismo multicables
• Mismo recorrido de los cables hasta el tablero SIS
• Misma tarjeta de I/O en el SIS
• Otros

Lógica:

• Para el PLC de Seguridad, la votación de los elementos, es intrínseca al sistema (esta es

interna y será doble, triple redundante, u otra).

Minimización de las Fallas Comunes

Como los elementos en votación distinta de 1oo1, se pueden ver afectados por una misma
causa. Evitando esta situación se podrá minimizar los fallos comunes.
Caso de Iniciadores y elementos finales:

• Si consideramos que pueden haber fallas de causa común porque se está utilizando el
mismo fabricante y/o modelo y de esta manera cuando un elemento falla, su idéntico puede
fallar también por la misma causa. Puede ser una opción la de utilizar distintos fabricante
para los elementos en votación distinta de 1oo1. Aunque esto tiene efecto sobre las
compras de material y gestión de almacen de la Planta que deberá se evaluada.
• Otra opción será la de utilizar distinta tecnológia para un mismo servicio.
• Respecto a las conexiones y el uso del mismo multicable, se podrá cablear los elementos
de la votación a distintas cajas de conexiones, asi las señales se cablearían en distintos
multicables también.
• Respecto a la misma tarjeta de entrada y salida, se podrá dar solución si se cablea las
señales a tarjetas diferentes, minimizando así esta posibilidad de fallos.

Lógica

• Como es intrínseco a su fabricación, lo que solo se puede hacer, es cuantificar o estimar su

valor (los fallos de causa común), para asi tenerlo en cuenta en los cálculos de fiabilidad.

En general, para elementos iniciadores o actuadores, se tendrá en cuenta para disminuir los
fallos de causa común, las prácticas consideradas como más efectivas:

• Separación física: unidades redundantes tienen menos probabilidad de recibir el mismo

estrés. Se trata de separar equipos.
• Tecnología diversa: unidades redundantes responden diferente a un estrés común. Se trata
de utilizar equipos diferentes.
Cableado de los Elementos de Campo

El cableado y conexiones de los elementos de campo (instrumentos y equipos) deben cumplir

con los requisitostos del fabricante, los requisitos de seguridad especificados en las SRS y con
la normativa vigente en Bolivia. Cualquier solución adoptada que no se encuentre en las
normativas vigentes ha de ser analizada y será objeto de un análisis de seguridad.

Los fallos más típicos en el cableado entre otros son:

• Problemas de tierra.
• Circuitos abiertos y/o en cortocircuito.
• Inducciones electromagnéticas, ruido eléctrico.

A continuación se resumen algunas buenas prácticas a tener en cuenta que podrán ayudar a
minimizar problemas con el cableado:

• Eliminar circuitos comunes. Cada equipo de campo tendrá su propio y dedicado cableado.
Sólo es posible utilizar un cableado común en el caso de un bus de campo, siempre que
cumpla con las especificaciones requeridas de seguridad (SRS).
• Cada entrada y salida de campo deben tener fusibles o limitadores de corriente, que pueden
ser parte de la lógica de los módulos de entrada y salida del sistema o usando fusibles
externos.
• Como se mencionara en apartado anterior, separar el cableado y cajas de conexión del
sistema de seguridad de los demás sistemas de control de la planta, asimismo etiquetar
claramente los cables del sistema de seguridad.
• Se ha de tener en cuenta la inductancia, capacitancia y longitud de los cables.
• Dependiendo de la sección y la distancia se pueden producir inducciones que impidan la
actuación de las entradas y salidas del sistema de seguridad por caída de tensión.
• En general los cables por bandeja deberán llevar cubiertas metálicas o ser cables armados
para protegerse mecánicamente. Estas bandejas o cables armados deben estar conectados
a tierra al inicio y final y dependiendo de la distancia en puntos intermedios con el fin de
proteger las cables de interferencias electromagnéticas y protección contra rayos.
• Aislar la tierra de los sistemas entre ellos y separar galvánicamente los elementos comunes.
• Diseñar los armarios de conexiones y cableado de manera que minimicen el ruido eléctrico
y la alta temperatura.

Selección. Equipos Certificados o Probados en Uso

La selección tiene como objetivo, escoger el equipo apropiado para el propósito requerido,
desde elementos finales y sensores, hasta el resolvedor lógico (PLC de seguridad).

La norma IEC 61511 parte 1, recomienda que los equipos utilizados en los sistemas
instrumentados de seguridad, se seleccionen basándose en una certificación IEC 61508 para el
SIL apropiado, o en una justificación basada en el criterio de “Probado en Uso”.

Los equipos/ instrumentos, certificados según la normativa IEC 61508 (transmisores, PLC de
seguridad, actuadores, solenoides, válvulas, etc.), se diferencian de los convencionales por el
nivel de diagnósticos que soportan y otros aspectos constructivos y de desempeño. Como
resultado final del proceso de certificación, se emite un certificado donde se especifica el nivel
de integridad SIL para el cual el producto está calificado y las normativas que fueron usadas
para la certificación.

Estos equipos cumplen con todos los requerimientos de la norma IEC 61508. Sin embargo hay
productos que se certifican con alguna restricción y esencialmente se indica cuando el producto
no cumple alguno de los requerimientos de la normativa. Estas restricciones, se detallan en el
manual de seguridad del equipo y han de tenerse en cuenta a la hora de diseñar el sistema de
seguridad y escoger los elementos de hardware del Sistema.

Todo equipo, irá acompañado de su manual de seguridad donde se especifica:

• Requerimientos y restricciones para el uso.

• Límites ambientales.
• Ajustes adicionales y opcionales
• Información de tasas y modos de fallos.
• Información sobre vida útil.
• Estimaciones del factor b de fallos en modo común.
• Procedimientos de inspección y pruebas de calibración.

Para poder obtener la certificación hace falta que un ente tercero independiente, realice una
evaluación de seguridad para certificar que el equipo cumple con todos los requerimientos de la
normativa IEC 61508 (ejemplo TÜV, FM y EXIDA).

Para equipos basados en el criterio de “Probado en Uso” la normativa IEC 61511 no da detalles
específicos. Sin embargo en la industria se acepta que si una empresa tiene muchos años de
experiencia con éxito de desempeño sobre un equipo (sin fallos peligrosos), y adecuadamente
documentado, se puede justificar el uso del instrumento, aún cuando no cuente con certificación
de seguridad.

Para ayudar a los usuarios finales, muchos fabricantes anexan evaluaciones realizados por
terceros que incluyen:

• FMEDA (Failures Modes, Effects and Diagnostics Analysis): el fabricante prove información
sobre las tasas de fallos y los modos de fallos. Se trata de una guía de análisis para calcular
y clasificar las tasas de fallos y el SFF (Safe Failure Fraction) de un equipo electrónico o
mecánico de acuerdo con los requerimientos de la IEC 61508. Un ejemplo es EXIDA que
realiza estudios FMEDA para diferentes empresas fabricantes.

• Probado en Uso: el fabricante provee historia de modificaciones e información de

comportamiento en campo. Se trata de componentes o subsistemas que se ha demostrado
por la experiencia que no experimentan fallos a lo largo de un periodo de tiempo suficiente,
por lo que pueden ser considerados como aptos para su uso. La norma IEC 61508 parte 7
anexos B.5.4 y la IEC 61511 parte 1 sección 11.4.4 y 11.5.3 indica que requerimientos
deben cumplir estos componentes.

En ambos casos se podrá aceptar la utilización del instrumento sin la certificación de seguridad
hecha por un tercero (TÜV, FM, EXIDA, etc.) según IEC 61508 y IEC 61511, siempre que esté
documentado sus comportamiento, tasas de fallas y desempeño que justifiquen el uso.

Normalmente las grandes compañías con grandes recursos suelen tener un listado de equipos
autorizados para ser usados en seguridad y una arquitectura definida para cada SIL objetivo,
con lo que se facilita y estandariza la ingeniería, diseño e instalación de las funciones
instrumentadas de seguridad según el SIL objetivo a lograr.

Consideraciones Ambientales

Es importante especificar qué requisitos ambientales se necesitan para el Sistema SIS. Por lo
que habrá que tener en cuenta el ambiente y el entorno, en la elección del hardware para
garantizar el correcto funcionamiento del SIS.
En el diseño el sistema se deberá considerar el efecto de variables como la temperatura, la
humedad, los agentes contaminantes, la vibración, las interferencias electromagnéticas y de
radiofrecuencia (EMI/RFI), las descargas electroestáticas, la clasificación eléctrica del área etc.

Por lo que se deberán adoptar soluciones concretas para resolver diferencias entre las
condiciones ambientales a las que estará sometido el Sistema SIS de Hornos y las condiciones
especificadas por cada equipo que se proyecta formar parte del Sistema SIS, de manera que
permita al sistema funcionar en conformidad con lo especificado en las Especificaciones de
Requerimientos de Seguridad (SRS). Medidas como la instalación de calefacción, aire
acondicionado, ventiladores, filtros de aire, traceados eléctricos, etc. deberán ser avaluados si
se requieren.

Por ejemplo un incremento de temperatura de 10ºC sobre la temperatura especificada por el

fabricante en un equipo electrónico, disminuye su vida en aproximadamente un 50%. Por lo que
será importante tener bien reguladas variables como temperatura y humedad en los tableros
armarios de instrumentación para que los equipos funcionen en los rangos de medida
especificados por el fabricante.

Dimensionamiento de Salas y Ubicación de los Tableros SIS

Teniendo en cuenta que el SIS en su conjunto, es manejado por Operadores (capacitados en el

SIS), es que se deberá considerar;

• Que los tableros deberán estar ordenados dentro de la sala de racks en un orden acordado
y lógico donde el SIS vaya a ser instalado.
• Que los tableros deberán ser accesibles sin dificultades, por el personal de la Planta.
• Que deberá haber una buena ilumnación de las salas de (Control/Racks) como en el interior
de los tableros.
• Que las salidas de emergencia en toda el Area de Horno, deberán estar bien situadas e
indentificadas.

Software de Aplicación

Según la norma IEC 61511 se describen 3 tipos de software: aplicación, de servicios, y

embebido. El software de aplicación es el que el usuario del sistema escribirá y descargará al
controlador, es la lógica de seguridad. El software de servicios, se utilizará para desarrollar y
verificar el programa de aplicación. El software embebido es suministrado como parte del
sistema programable, es el firmware. Los dos últimos están considerados para aplicaciones de
seguridad por la norma IEC 61508, los cuales son explícitamente indicados en el certificado de
cumplimiento para aplicaciones de seguridad. En el caso del primero, que es el software de
aplicación, tendrá la flexibilidad de desarrollar las SIF definidas por la Especificación de
Requerimientos de Seguridad (SRS), lo cual deberá cumplir con un ciclo de vida de seguridad
para el software, que está considerado en la norma IEC 61511 y la ANSI/ISA-84.00.01- 2004.
Este ciclo de vida tomará como base, la información de las SRS del SIS y la arquitectura de los
mismos previamente aprobados, junto con las características propias del sistema.
El software de aplicación para la programación de la lógica de seguridad, deberá ser
desarrollado de tal forma que logre:

• Modularidad y funcionalidad
• Facilidad para probar la funcionalidad, incluyendo características de tolerancia a fallos.
• Posibilidad de realizar modificaciones seguras.
• Posibilidad de añadir comentarios y nombres comprensibles a las variables (tags).
• El software debe ser fácilmente legible a través de la pantalla y también a través de la
documentación impresa.

• El diseño de cada módulo de aplicación, deberá ser robusto, y chequear los datos de las
variables. Si existe un error en alguna de las variables ha de ser capaz de reconocerlo,
reaccionar y corregirlo (incluyendo detección de fallo de la instrumentación de campo, como
fuera de rango, señales “pegadas”, etc.).
• En sistemas integrados que utilizan un software de aplicación equivalente para seguridad y
para control (softwares comunes), los módulos programados de seguridad estarán
separados de los de control y estarán etiquetados como módulos relativos a la seguridad.

En general cada fabricante de Software de PLC (SPLC) certificados para seguridad, incorporan
su lenguaje de programación, su software de aplicación, junto con su ciclo de vida y cumpliendo
en gran medida con todos los requisitos mencionados.

Una de las ventajas de utilizar un sistema programable, es la capacidad para probar la lógica.
Se podrán realizar simulaciones con el software de PLC fuera de línea. La mayoría de los
fabricantes entregan con sus equipos un programa de simulación que permite probar la
aplicación durante su desarrollo y una vez desarrollado.

Hecha la programación y previo a la conexión de los elementos de campo, se tendrá que

realizar un test del software, para comprobar la funcionalidad lógica y la interface con el
operador del software de PLC del Sistema SIS. Siempre se ha de testear el programa antes de
su instalación definitiva en planta. Este test del software se realizará durante las pruebas FAT
(Factory Acceptance Test).

7.3. VERIFICACIÓN SIL

Una vez desarrollado el diseño conceptual del SIS, seleccionado la arquitectura del sistema y
sus componentes, deberá calcularse nuevamente el SIL que obtiene cada función
instrumentada de seguridad del SIS, en base principalmente a la velocidad de fallo de los
componentes que se proyectan emplear (PFDavg, RRF, MTTFspurious) y al intervalo de test
(Proof Test) definido para ellos. Es decir que se verificara por cada función SIFs, si cumple con
el SIL Objetivo determinado en etapa de la Determinación del SIL de las mismas, a partir de
modelar con los elementos establecidos que conformarán los componentes (detector,
resolvedor Lógico y actuador) de las diferentes funciones con su tasas de fallos.

De esta forma se podrá asegurar que el diseño conceptual cumplirá con el SIL objetivo y por lo
tanto con la Especificación de Requerimientos de Seguridad (SRS).
El diseño conceptual del SIS y la verificación del SIL objetivo establecerá los parámetros para el
diseño de detalle del sistema y será un punto clave en el cronograma de obra del proyecto que
requerirá aprobación y por tanto un paso o etapa de revisión antes de continuar con nuevas
fases.

Si la verificación de una función instrumentada de seguridad, muestra que el SIL requerido no

se ha logrado mediante el diseño propuesto, habrá que rediseñar alguna o todas las partes que
componen la SIF. Para esto, existen varias opciones como ser:

• Disminuir el requerimiento del SIL mediante la adición de otras capas independientes de

protección.
• Reducir el intervalo de pruebas periódicas, lo cual puede implicar la necesidad de pruebas
en línea y pruebas parciales.
• Escoger equipos con mejores características de seguridad. Menor tasa de fallos, mejores
diagnósticos, etc.
• Cambiar la arquitectura añadiendo redundancia.
• Otras

Ejemplos de Cálculos Usados para Verificación SIL

Existen diferentes técnicas para el cálculo de Verificación SIL (que implica fiabilidad (PFD) y
disponibilidad del sistema (MTTF)), que emplean metodologías sistemáticas que descomponen
un sistema complejo (función de seguridad en su totalidad) en componentes básicos que
interaccionan entre ellos y se fusionan en modelos de fiabilidad para determinar la
disponibilidad total del sistema. Los modelos más utilizados son:

• Ecuaciones simplificadas (1).

• Análisis del árbol de fallos (FTA) (2).
• Modelo de Markov (3).

(1) IEC 61508-6 y Referencia ANSI/ISA-TR84.00.02-2002 Part 2

(2) Referencia ANSI/ISA-TR84.00.02-2002 Part 3
(3) Referencia ANSI/ISA-TR84.00.02-2002 Part 4

En la actualidad, en la industria de procesos, se necesita cada vez más de un análisis riguroso y

documentado de seguridad basado en técnicas de cálculo y datos sólidos, establecerá la
mecánica de cálculos a ser elegida.

Los Análisis del Árbol de Fallos (FTA) o el Modelo de Markov, no son métodos sencillos de
utilizar, por lo que se suelen utilizar softwares especializados que resuelve el cálculo del
PFDavg y MTTFspurious.
A continuación se listan las asunciones que comúnmente se pueden tener en cuenta como base
para el cálculo de Verificación del nivel SIL alcanzado por cada una de las SIF, utilizando la
técnica de evaluación de ecuaciones simplificadas (presente en el reporte técnico ISA-
TR84.00.02-2002 - Part 2.).
• Las SIF evaluadas se encontrarán diseñadas, instaladas y mantenidas según lo estipulado
en las especificaciones de requerimiento de seguridad, (SRS).
• Las tasas de falla y reparación se asumen constantes a lo largo de la vida útil de la SIF.
• Una vez que un componente ha fallado en uno de los posibles modos de fallo, no puede
fallar de nuevo en uno de los modos de fallo restantes. Sólo puede fallar de nuevo después
de que haya sido reparado. Este supuesto se ha hecho para simplificar el esfuerzo de
modelado.
• Las ecuaciones se suponen tasas de falla similares para los componentes redundantes.
• La tasa de falla del sensor incluye todo, desde el sensor al módulo de entrada del
resolvedor lógico, incluidos los efectos del proceso.
• La tasa de falla del resolvedor lógico, incluye los módulos de entrada, la CPU, los módulos
de salida y fuentes de alimentación.
• La tasa de falla del elemento final, incluye todo, desde el módulo de salida del resolvedor
lógico hacia el elemento final incluidos los efectos del proceso.
• Se asume que la duración del tiempo de ensayo (TI) es mucho más corto que el tiempo
medio entre fallas (MTTF).
• Se asume que la cobertura del ensayo es del 100% al igual que las reparaciones.
• Todos los componentes de la SIF han sido debidamente especificados, basados en la
aplicación del proceso. Por ejemplo, elementos finales (válvulas) han sido seleccionados
para fallar en la dirección segura dependiendo su aplicación específica.
• Se asume que todos los fallos del suministro de energía eléctrica son hacia el estado des
energizado.
• Las ecuaciones asumen un camino de degradación, es decir un sistema 2oo3 degrada
como 3-2-0. Esto quiere decir que un fallo degrada a un sistema 1oo2 y un segundo fallo
degrada a parada.
• Se asume que cuando se detecta una falla peligrosa, el SIS llevará el proceso a un estado
seguro o el personal de la planta tomará las medidas necesarias para garantizar que el
proceso vaya a estado seguro, (se asume que la respuesta del operador antes de una
demanda se producen forma instantánea, y PFD de respuesta del operador se asume como
0).

NOTA: Si la acción de proporcionar seguridad a la planta depende de personal, el usuario

deberá dar cuenta de la probabilidad de falla del personal, para llevar a cabo la función deseada
en el momento oportuno.

• Los valores objetivos de la PFDavg y MTTF spurious, se definen para cada SIF que conforman
el SIS.
• El modelo Beta, (β), se utiliza para tratar los posibles fallos de causa común.

7.4. VALIDACIÓN DEL SIS

Pruebas de Aceptación de Fábrica (FAT- Factory Acceptance Test)

En esta etapa, el sistema de control de seguridad y toda la lógica de control asociada al SIS
deberá ser completamente probado, antes de ser enviado por el proveedor a la instalación de la
Planta. Todas las personas involucradas en la implementación y verificación del sistema bajo
prueba, deberán participar en la pruebas FAT. Estas pruebas deberán ser completadas en el
lugar de fabricación, antes del envío del sistema al usuario final.

El apartado 13.1.1 de la norma ANSI/ISA 84.00.01-2004, y la cláusula 13 de la norma IEC

61511-Parte 1 define los objetivos de la realización de las pruebas FAT como el test del sistema
lógico junto con el software asociado para asegurar que satisface los requerimientos definidos
en las SRS (Especificaciones de los Requerimientos de Seguridad) antes de ser instalado en la
planta, de tal forma que posibles errores puedan ser encontrados y corregidos. El estándar
también da una serie de recomendaciones para la realización de las pruebas FAT.

El número de participantes en la realización de las pruebas FAT, dependerá de la complejidad y

tamaño del sistema, pero en general participará todo el personal involucrado en la construcción
y verificación del sistema a probar, debiéndose definir las responsabilidades de cada
participante en las pruebas.

En las Pruebas de Aceptación de Fábrica, deberá ser probado:

• Todo el hardware del sistema lógico, módulos de entradas y salidas, terminales, cableado
interno, procesadores lógicos, módulos de comunicación, redundancia del sistema, interfaz
con el operador, etc.
• Auto switch-over, bypass y redundancia.
• Software y programa lógico.
• Otros.

Las pruebas deberán estar basadas en procedimientos documentados aprobados por el

suministrador del equipamiento o sistema y por el usuario final. Como criterios más usuales,
para la realización de las pruebas FAT se pueden destacar:

• Inspección visual del sistema.

• Inyectar señales de entrada (digitales, 4-20 mA, pulsos, termopares) y observar la respuesta
del sistema.
• Forzar valores de salidas analógicas o digitales.
• Crear diferentes escenarios de fallos para ver la respuesta de los backup del sistema
(redundancia de buses de comunicación, tarjetas entrada/salida, controladores redundantes,
etc.).
• Simulación lógica para realizar una prueba completa de la lógica. Es decir, probar la
funcionalidad del sistema lógico (PLC de seguridad) y la interfaz con el operador sin que las
entradas/salidas de campo se encuentren conectadas. La prueba debe realizarse antes de
la instalación en campo y para la simulación se utilizará la misma interfaz del operador que
se utilizará en el sitio (en Planta). El sistema deberá probarse al 100%.

Existen diferentes formas de realizar una completa comprobación de la funcionalidad de la

lógica. Se podrá hacerlo, cableando los módulos de entradas y salidas a switches, generadores
4-20 mA, paneles de lámparas piloto, todo etiquetado como los equipos de campo. Simular
estados de operación por los switches (señales discretas) y por los generadores 4-20 mA
(señales analógicas) y ver los resultados por las lámparas piloto, todo ello se compararía con la
matriz causa efecto de funcionalidad con el fin de verificar la operabilidad del sistema.

Otra forma podrá ser mediante un programa de simulación separado de la lógica principal que
cree un enlace entre las salidas del programa principal y las entradas del simulador, por ejemplo
utilizando una PC conectada al Sisitema SIS y que contiene el programa de simulación.

Si durante las pruebas FAT se detecta algún error y requiere alguna modificación, habrá que
estudiar que impacto provoca la modificación sobre la integridad del SIS, por lo que será posible
tener que rehacer cálculos de integridad (PFD) de las funciones afectadas.

La importancia de realizar pruebas de la lógica y equipo de control de seguridad antes de la

instalación en campo, conlleva beneficios que ayudarán a resolver problemas y evitar pérdidas
de tiempo como:

• El sistema hardware y software es revisado y probado en un entorno libre de estrés al estar

fuera de la planta donde va a ir instalado.
• Cualquier problema que se encuentre, puede resolverse con más facilidad al disponer de
mayores recursos técnicos al realizar las pruebas en la casa del fabricante.
• Las pruebas FAT suponen un entrenamiento para el personal usuario del sistema que está
involucrado en las pruebas (normalmente responsables de mantenimiento y de operación).
• Se adquiere conocimiento del sistema por parte del personal usuario del sistema, pudiendo
clarificar malentendidos.

Instalación y Comisionado

En esta etapa, se deberá asegurar que el Sistema SIS sea instalado de acuerdo al diseño y se
opere de acuerdo a la Especificación de Requisitos de Seguridad (SRS).

Antes de que el sistema sea llevado a su emplazamiento, deberá ser probado hasta su correcta
operación, una vez emplazado se deberá verificar que el sistema esté de acuerdo al diseño
detallado incluyendo los dispositivos de campo. Esto es, entre otras verificaciones, determinar
que el equipamiento, dispositivos y cableado están correctamente instalados y en
funcionamiento, que las fuentes de energía redundantes son correctas y están en
funcionamiento, que todos los instrumentos están debidamente calibrados (los que lo requieran)
y que todos los lazos están probados y son operativos.

Asimismo deberán llevarse a cabo las pruebas de pre-arranque y aceptación del sistema
(PSAT). Se deberá también elaborar un procedimiento que dicte los pasos a seguir para la
instalación detallada de cada función.

Como el SIS es un sistema que funciona bajo demanda, las fallas latentes que en un sistema de
control continuo son rápidamente detectadas, no serán fácilmente descubiertas, por lo que
continuas inspecciones durante la instalación son recomendadas para detectar problemas en
forma temprana, y evitar así errores una vez este el sistema, esté en operación.
Validación

La Validación es la actividad por medio de revisión y suministro de evidencia objetiva, que los
requerimientos particulares para un uso particular y específico, son totalmente cumplidos.

Esta actividad demostrará que todas las funciones instrumentadas de seguridad del SIS a
considerar después de su instalación cumplen en todo con la Especificación de Requerimientos
de Seguridad. La Validación será llevada a cabo al realizar las Pruebas de Aceptación en el
Sitio (SAT) y un test de seguridad antes de arrancar (Pre-Startup Acceptance Test (PSAT))

Mientras que la verificación se hará en todo el proyecto (en cada una de las etapas del ciclo de
vida) y se puede realizar donde se realiza el trabajo (en la oficina); “la validación” sólo ocurre en
el sitio, después de instalar y comisionar el sistema.

En las pruebas de Validación (SAT), deberán realizarse similares pruebas hechas en los
ensayos FAT pero en sitio con todo instalado. Podrán incorporarse o adicionarse otras pruebas
que estén asociadas a las condiciones de las instalaciones reales. Por otra parte las
desviaciones que se hayan detectado en los ensayos FAT, deberán estar resueltas previamente
a esta instancia (las que deberá verificarse oportunamente).

8. OPERACIÓN Y MANTENIMIENTO

La Operación y Mantenimiento del SIS del Horno de Crudo, (parte de la Fase General de
Operación del Ciclo de Vida del SIS), tiene como objetivo, asegurar que la seguridad funcional
del SIS, se mantenga sin degradación durante la operación y el mantenimiento del mismo.

Debe garantizarse que el SIL de cada función instrumentada de seguridad del SIS, se
mantenga durante la operación y mantenimiento, a fin de que la seguridad funcional diseñada,
se conserve. Para lograr estos objetivos, deberán cumplirse ciertos requerimientos generales
(según lo establecido en la norma 61511-1 IEC:2003 E), establecidos en el estudio SRS.

Como actividades de Operación de SIS, se pueden mencionar el rearme del sistema (Reset)
ante un Shut-down, el registro de las desviaciones del proceso, las alarmas, las paradas y
procedimientos que informen al operador de los riesgos del proceso así como el modo de actuar
ante estos, entre otros.

Conformarán actividades de Mantenimiento, todas aquellas que deberán realizarse sobre el

SIS, asegurando que éste, durante el Ciclo de Vida, no presente deterioro de su integridad que
impida al sistema, a actuar bajo demanda. Por otro lado, mediante Pruebas (Proof-Test), se
evitará que los niveles de integridad de cada una de las SIFs, se degrade por debajo de los
niveles establecidos como necesarios en las Especificaciones de Requerimiento de Seguridad,
(SRS).

Básicamente, la planificación de Operación y Mantenimiento del SIS que deberá implementarse

en el Horno de Crudo, podrá contemplar:

• Actividades relacionadas con rutinas anormales de operación.

• Pruebas, ensayos (Proof Testing), actividades de mantenimiento preventivo y correctivo;
incluyendo la necesidad de retirar del proceso equipos que forman parte de una SIF.
• Aplicación de procedimientos, medidas y técnicas, que se utilizarán para la Operación y
Mantenimiento.
• Verificación del cumplimiento de los procedimientos de Operación Mantenimiento.
• Cuándo estas actividades se llevarán a cabo (es decir, momento que se llevaran a cabo las
actividades de operación y mantenimiento).
• Las personas, departamentos y organizaciones responsables de estas actividades. Estas
personas deberá tener suficientes conocimientos de SIS para poder realizar tales tareas.

Para el desarrollo de las estrategias de mantenimiento, se puede esquematizar como se indica

en el gráfico siguiente, las fuentes generales que contribuyen a establecerlas.

Las acciones de rutina, que necesiten llevarse a cabo para mantener la seguridad funcional del
SIS; por ejemplo, respetando los intervalos de prueba (proof-test) definidos en las SRS.

Las acciones y contenciones que sean necesarias considerar, para prevenir un estado inseguro
y/o reducir las consecuencias de un evento peligroso durante la operación o mantenimiento (por
ejemplo, cuando un sistema necesita ser objeto de by-pass para prueba o mantenimiento, estos
pasos de resguardo o mitigación deben ser implementados, considerando la condición de alerta
de los operadores del Horno de Crudo).

La información necesaria a ser conservada, sobre las fallas del sistema y velocidad de acción
en demanda del SIS.
La información necesaria a ser conservada, sobre los resultados mostrados de pruebas y
auditorías sobre el SIS.

Los procedimientos de mantenimiento que deben seguirse cuando se produzcan fallas o

deficiencias en el SIS, incluyendo:

• Procedimientos de diagnóstico y reparación de fallas.

• Procedimientos para la revalidación.
• Requerimientos de reporte.
• Procedimientos para el seguimiento de la ejecución y desempeño del mantenimiento.

Las consideraciones incluyen procedimientos para el reporte de fallas y procedimiento para el

análisis de fallas sistemáticas.

Deberá garantizarse, que los equipos de prueba utilizados durante las actividades normales de
mantenimiento, estén correctamente calibrados y en condiciones.

El personal de planta, deberá contar con documentación vigente de todas las SIF del SIS,
contemplando tener consignado para cada una de ellas, al menos:

• Denominación de la SIF.
• Funcionalidad ante demanda. Riesgo del proceso sobre la que actúa.
• Nivel SIL de la SIF.
• Elementos que están en interlock Ej.: sensores (transmisores), actuadores de acción final
(válvulas).

Como procedimiento operativo del SIS, se recomienda que sean documentadas todas las
desviaciones del proceso, las alarmas y las paradas que sucedan, fijando fechas y
argumentando lo sucedido (causas evaluadas). Por otro lado serán necesario establecer
procedimientos operativos, que informen al operador de los riesgos del proceso y como actuar
ante estos.

Es necesario conocer y llevar registro de los límites de operación segura del sistema, es decir
que parámetros podrán ser cambiados durante la operación del sistema y bajo que magnitudes
de configuración; por ejemplo set-point de instrumentos o de alarmas.

Las pruebas funcionales serán realizadas periódicamente utilizando un procedimiento escrito

para demostrar la operación exitosa del SIS, para identificar y corregir las desviaciones de la
base del diseño y la especificación del equipo. El personal de Mantenimiento deberá ser
entrenado en los procedimientos para asegurar que luego de ejecutado los procedimientos, el
equipo retorna a su condición y capacidades “como si fuera un equipo nuevo”.

Los planes de Operaciones deberán considerar los requisitos de inspección y mantenimiento

preventivos necesarios para mantener a los equipos en sus condiciones y capacidades.
Las pruebas de los equipos pertenecientes a los SIS deberán demostrar que el programa de
integridad mecánica mantiene el desempeño y funcionalidad requerida de los mismos. Los
resultados de la revisión de registros y tendencias del programa de integridad mecánica podrán
ser usados más adelante en la fase de confirmación del ciclo de calidad.
Los procedimientos Operacionales deberán contar con métodos aprobados y seguros para
interactuar con los equipos de seguridad, tales como los “by-pass”, acciones manuales de
disparo y restablecimiento de las funciones de seguridad.

El personal destinado a operaciones deberá estar entrenado y evaluado en los procedimientos

tantas veces como sea necesario, con la finalidad de asegurar que se toman las acciones
correctas en su debido momento.
Las acciones de los operadores en respuesta a una operación anormal de la unidad de
procesos deberán ser registradas y deben ser auditadas periódicamente.

Cuanto más se conozca acerca de un dispositivo o equipo y lo que afecta su operación, mejores
serán los resultados en cuanto al manejo del riesgo en las actividades.

Las investigaciones de incidentes evaluarán cualquier falla posible o insuficiencia identificada

del SIS.

Los disparos en falso y las demandas reales del proceso hacia el SIS deberán ser
monitoreados, analizados y comparados con las expectativas obtenidas a raíz del análisis de
los peligros. El proceso de “Gerencia del Manejo del Cambio” deberá ser usado para cerrar las
diferencias encontradas durante el proceso de investigación.

La estrategia de la reducción de riesgo será probada por los datos de integridad mecánica
teniendo en conocimiento que la reducción de riesgo proporcionada por un equipo es el inverso
de su probabilidad de falla en demanda (PFD).

Siendo la PFD calculada como el número de veces que el SIS ha fallado de manera peligrosa,
dividido por el número de veces que el SIS ha sido demandado. Utilizando técnicas
probabilísticas, la PFD de un equipo específico puede ser utilizada para determinar el
desempeño del sistema y compararlo con lo asumido en las bases del diseño.
Las fallas repetitivas indicarán que el programa de integridad que se lleva a cabo es
inadecuado. El seguimiento de las fallas será esencial. El análisis causa raíz, será usado para
determinar el porqué, la medición está generando tendencias hacia la dirección equivocada,
para que entonces puedan ser aplicados los planes de acción con la finalidad de mejorar el
sistema de gestión, el equipo, los procedimientos y el entrenamiento del personal.

Deberá buscarse determinar y documentar que los equipos o dispositivos han sido diseñados,
son mantenidos, inspeccionados, probados y operados de una manera segura. Esto requerirá
una evaluación de las prácticas de diseño y gestión, en conjunto con la consideración de
buenas prácticas de ingeniería y los requerimientos del proceso.

La revisión o supervisión deberá determinar si el SIS opera de acuerdo con las bases de diseño
y si el sistema de gestión es suficiente para que soporte la reducción de riesgo requerida.
Cuando el SIS se vea modificado (siguiendo los lineamientos del Ciclo de Vida), los planes y
objetivos operacionales deberán considerar cualquier riesgo adicional que deba ser considerado
durante la transición. La operación y las bases de integridad mecánica del SIS deben ser
revisadas y de ser necesario, aplicar nuevas revisiones con la finalidad de asegurar que los
equipos, los procedimientos y el entrenamiento de personal estén en sincronía con las
modificaciones.

Sólo los datos que sean entendidos dentro de su contexto apropiado, proporcionan una base
sólida para la operación segura.

8.1. FORMACIÓN DEL PERSONAL DE OPERACIÓN Y MANTENIMIENTO

Los operadores deberán estar capacitados en la función y el funcionamiento del SIS en su área.
Esta formación deberá garantizar lo siguiente;

• Deberán entender cómo funciona el SIS (puntos de disparo de acción que realice el SIS).
• El riesgo contra el que protege el sistema SIS.
• El funcionamiento de todos los interruptores de by-pass y bajo qué circunstancias, estos son
usados.
• La operación de la activación de un interruptor de shut-down o de start-up (rearme o reset) del
sistema y cuando estos interruptores manuales deben ser activados.
• Conocimiento de acción, ante la activación de las alarmas de diagnóstico, (por ejemplo, qué
medidas se tomarán cuando cualquier alarma del SIS se active, indicando que hay algún problema).

El personal de mantenimiento deberá ser entrenado, para mantener a pleno el rendimiento

funcional del SIS (hardware y software) en el nivel de integridad requerido.

Las diferencias entre el comportamiento esperado y el comportamiento real del SIS deberán ser
analizadas y en caso necesario, las modificaciones hechas de tal manera que los
requerimientos de seguridad se mantengan. Esto incluirá el monitoreo por ejemplo de:

• Las acciones o medidas adoptadas a raíz de una demanda en el sistema

• Las fallas de los equipos que forman parte del SIS establecido durante la prueba de rutina o
demanda real.
• La causa de las demandas.
• La causa de falsos disparos.

Es muy importante que todas las discrepancias entre el comportamiento esperado y el

comportamiento real, sean analizadas. Esto no debe confundirse con el monitoreo de las
demandas surgidas durante el funcionamiento normal.

Los procedimientos (escritos) de ensayos proof-test deberán desarrollarse para cada SIF para
permitir descubrir fallas peligrosas no detectadas por diagnóstico. Estos procedimientos de
prueba por escrito, deberá describir cada paso que se va a realizar y deberá incluir por lo
menos:

• La correcta operación de cada sensor y elemento final.

• La correcta acción lógica
• La correcta indicación y alarma
 8.2. CONCEPTO DE FALLAS

Falla Segura

Son aquellas, que ante su ocurrencia, las instalaciones pasan a posición segura (no existe
ninguna causa real que exija demanda. Ej. Detector sensible que dispara la lógica de una SIF.)

Falla Peligrosa

Son las que ocasionan que las funciones de protección fallen en el momento en que es
necesario que actúen, no realizándose la acción de seguridad (Ej. Válvula de Bloqueo trabada;
no cerrará cuando se necesite cerrar por acción de seguridad).

A continuación, se presenta en un cuadro, las características principales de estos tipos de

fallas.

Características Falla Segura Características Falla Peligrosa

Falla de Iniciación
Falla auto revelada
Falla Aleatoria
Costo relacionado con parada
de producción
Falla de Inhibición
Falla Oculta
Serio Riesgo Potencial
Costo predominado por grandes pérdidas
económicas, daños al personal y Medio Ambiente

8.2.1. CONCEPTO DE TIPO DE SISTEMA

Sistema (o Arquitectura) Tipo A: Los modos de falla de todos los componentes constituyentes
están bien definidos y el comportamiento del subsistema bajo condiciones de falla puede ser
determinado completamente. Existen bases de datos de la experiencia en campo para los
subsistemas, suficiente para demostrar que los objetivos son alcanzados.

Sistema (o Arquitectura) Tipo B: El modo de falla de al menos uno de los componentes del
sistema no está bien definido, o el comportamiento del subsistema bajo condiciones de falla, no
está bien definido. No hay suficiente datos provenientes de la experiencia en campo, para
demostrar que los objetivos son alcanzados.
8.2.2. COMPORTAMIENTO DEL SISTEMA EN LA DETECCIÓN DE UNA FALLA

El SIS del Horno de Crudo, deberá diseñarse de forma tal que el comportamiento del mismo
ante la detección de una falla sea el definido en las SRS.

8.2.3. TOLERANCIA DE FALLAS DE HARDWARE

La tolerancia a fallos de hardware es la capacidad de un componente o subsistema para

continuar habilitado llevando a cabo la SIF requerida en función de la presencia de uno o más
fallas peligrosas en el hardware. Una tolerancia de falla peligrosa de “1” significa que hay, por
ejemplo, dos dispositivos y la arquitectura es tal que la falla peligrosa de uno de los dos
componentes o subsistemas no impide que la acción de seguridad se produzca.
Los requerimientos de tolerancia a fallas de hardware representan el componente mínimo o la
redundancia del subsistema. Dependiendo de la aplicación, la tasa de falla del componente, el
intervalo de prueba y redundancia adicional, puede ser requerida para satisfacer el nivel SIL del
SIF.

La tolereancia a falla de hardware de cada componente que conforme una determinada SIF del
SIS del Horno de Crudo, quedará definida cuando se lleve adelante el estudio de verificación de
nível SIL, en donde se verificará la conformidad de cada elemento con lós requerimientos de la
restricción de arquitectura especificada en las Tablas 2 y 3 del ítem 7.4.4 Hardware safety
integrity architectural constraints de la norma IEC-61508-2, “Part 2: Requirements for
electrical/electronic/programmable electronic safetyrelated Systems” (Tablas 9.2.3.a/b).

Hardware safety integrity: architectural constraints

on type A safety-related subsystems
Hardware fault tolerance (*)
Safe failure fraction
0 1 2
< 60 % SIL1 SIL2 SIL3
60 % – < 90 % SIL2 SIL3 SIL4
90 % – < 99 % SIL3 SIL4 SIL4
>= 99 % SIL3 SIL4 SIL4
(*) A Hardware fault tolerance of N means that N + 1 faults could cause a loss of the safety function

Tabla 9.2.3.a. (Tabla 2 Restricción de Arquitectura para elementos tipo “A”)

Hardware safety integrity: architectural constraints

on type B safety-related subsystems
Hardware fault tolerance (*)
Safe failure fraction
0 1 2
< 60 % Not allowed SIL1 SIL2
60 % – < 90 % SIL1 SIL2 SIL3
90 % – < 99 % SIL2 SIL3 SIL4
>= 99 % SIL3 SIL4 SIL4

(*) A Hardware fault tolerance of N means that N + 1 faults could cause a loss of the safety function

Tabla 9.2.3.b. (Tabla 3 Restricción de Arquitectura para elementos tipo “B”)

Conceptos complementarios:

HFT (Tolerancia a Fallos de Hardware): Capacidad de una unidad funcional de continuar

ejecutando la función para la cual fue diseñada en la presencia de fallas o errores.
• Directamente relacionada con la redundancia en caso de fallas de HW
• Se determina para cada subsistema
• En una arquitectura NooM → HTF = M-N

Votación: Número de caminos (N) de los (M) disponibles, que son necesarios para ejecutar la
función de seguridad.
• Se implementa a niveles de Hardware para mayor robustez del sistema.
• Se implementa a niveles de Software para evitar disparos en falsos.

8.2.4. INDICACIONES LUMINOSAS

El gabinete del tablero SIS, deberá contener un panel lumínico, constituido por pilotos
luminosos para dar la noción del estado en que se encuentra el sistema SIS.
Como mínimo, las indicaciones luminosas indicarán:

• Alarmas presentes.
• Falla en campo.
• Diagnóstico del PLC SIS.
• By-pass de Mantenimiento activado.

Estas indicaciones, serán útiles para el caso en que se pierda la vinculación con las interfases
gráficas. El personal de operación y mantenimiento del Horno de Crudo, deberá conocer
perfectamente el significado de estas indicaciones para saber que acciones se deberán efectuar
en cada caso.
8.2.5. CONCEPTO DE ALARMAS

El sistema SIS estará en funcionamiento cuando el mismo se encuentra disponible para actuar
ante cualquier situación de riesgo o variables dentro del proceso que no estén dentro de su
comportamiento normal, es decir que en forma pasiva esta monitoreando todas las funciones
instrumentadas que lo componen y listo para actuar.

Será importante que el personal de operación/mantenimiento comprenda y efectúe la detección

de todas las alarmas que intervengan en el SIS con la finalidad de avisar y/o prevenir en forma
visual y/o sonora de algún tipo siniestro o prevención del mismo. Dentro de este tipo de alarmas
podrán encontrarse por ejemplo:

• Indicación visual de equipos o instrumentos sensores que se encuentren en un estado de falla lo

cual requiere una intervención inmediata.

• Indicación de eventos e históricos que puedan almacenarse en una base de datos, la cual pueda
ser consultada en el tiempo.

• Indicación de estado de los elementos finales o actuadores del sistema.

• Indicación visual de todos los diagnósticos posibles que se puedan adquirir de todos los equipos
integrantes del sistema instrumentado de seguridad, chequeo de lazo, comunicación, etc.

• Zonas o sectores que se encuentran en alarma.

• Estado de actuadores.

• Estado de válvulas.

• Alarmas por alto nivel y muy alto nivel de detección de gases o detección de mezcla explosiva en
unidades de % LEL en las zonas contempladas por el SIS mediante vínculo con F&G.

• Alarmas por detección de fuego / humo en las zonas contempladas por el SIS mediante vínculo
con F&G.

Todo evento de alarma que conlleve a que el Horno de Crudo, pase a un estado de paro de
emergencia, deberá ser reconocido previamente a efectuar el Reset del sistema. Solo cuando el
SIS tenga todos sus parámetros y sensado de condiciones, en estado Normal y su alarmas
hayan sido reconocidas, se podrá acceder al Reset o Rearme del Sistema en caso de un paro
de emergência del Horno de Crudo.

8.3. SELECCIÓN DE COMPONENTES

La selección de componentes que se vaya a utilizar como parte del SIS, que se integra en la
arquitectura y los criterios de aceptación para los componentes y subsistemas asociados, en
términos de SIF e integridad de seguridad, deben seguir ciertos requisitos.
Los componentes y subsistemas seleccionados para su uso como parte del SIS para SIL 1 a
SIL 3 deberán estar en conformidad con las normas IEC 61508-2 e IEC o 61508-3 según
corresponda.
La evaluación de la seriedad de la selección de componentes y subsistemas se demostrará
mediante:

• Documentación del fabricante de hardware y software integrado.

• Si procede, lenguaje de aplicación adecuado y la herramienta de selección.

Como componentes, toda la instrumentación considerando sensores y actuadores de campo,

deberán satisfacer las SRS.

Nota: La energización de circuitos discretos de entrada y salida contarán con un método que
garantice la integridad y la fuente de alimentación. Por ejemplo el monitoreo de fin de línea,
donde una corriente testigo sea continuamente monitoreada para garantizar, la continuidad del
circuito. Ante una magnitud no suficiente de esta señal testigo, se indicará que está afectada la
correcta operación de la entrada/salida. Estos conceptos deberán ser de pleno conocimiento
por parte del personal de mantenimiento, a través del alarmado correspondiente.
8.4. MANTENIMIENTO PREVENTIVO

Se presenta a continuación un listado general, no limitativo, de las actividades correspondientes

al Mantenimiento Preventivo del SIS:
a) Contar con registros del algoritmo lógico:

• Listado Documentado del Algoritmo.

• Listado de Entradas/Salidas al Algoritmo.

• Memoria Descriptiva del Algoritmo que describa las tareas y acciones del programa (si es
posible paso a paso).

• Matriz Causa-Efecto SIS

b) Comprobación de operabilidad del Sistema de acuerdo a Matriz Causa –Efecto. Ante la
detección de fallas funcionales deberán registrarse convenientemente.
c) Verificación de correcta operación de todo el sistema, registrando las fallas mayores y
menores que sean encontradas.
d) Verificación de los sistemas de comunicación entre Resolvedor lógico, Estaciones HMI y
equipos de la red local.
e) By-pass temporal de instrumentos del SIS y control operativo para la realización de las tareas
de calibración y pruebas de los instrumentos o actuadores de campo, de manera de poder
realizar dichas tareas, sin afectar la operación normal de la planta (siempre que sea posible).
Deberá documentarse la inhabilitación de variables del SIS y control operativo, registrando
procedimientos, listas de verificación u otros, previo a la acción de inhabilitación, que contenga
información como procedimientos secuenciales a seguir, para lograr la inhabilitación de cada
variable. Debe estar descrito en un procedimiento o instrucción operativa que describa las
tareas y acciones a ejecutar paso a paso.
f) Verificación de los canales de módulos entradas y salidas del SIS (lazos instrumentados).
g) Mantener una copia de seguridad, del programa del Resolvedor Lógico.
h) Back-up de la Aplicación HMI del Sistema.
i) Revisión, calibración y chequeo de toda la instrumentación de campo que esté ligada al
sistema, consignando:

• Planillas de Calibración de Instrumentos

• Certificados de Pruebas

• Certificados actualizados de equipos de calibración (Instrumentos Patrones)

• Actas de trabajos realizados en la estación.

• Formularios de órdenes y permisos de trabajo

j) Seguimiento histórico: Generando una bitácora (carpeta individual) con todos los datos
pertinentes para cada instrumento, con el fin de facilitar el rastreo de toda la información
generada relacionada con el instrumento (especificaciones, ubicación, instalación, alimentación,
fechas de instalación, calibración, altas, bajas, otro), contemplando toda aquella información
que facilite al personal de la empresa y/o terceros efectuar un análisis del desempeño del
equipo, desde su alta hasta su baja, permitiendo inferir posibles causas de problemas
asociados al mismo e idoneidad para el servicio.
Las fallas repetitivas indicarán que el programa de integridad que se lleva a cabo es
inadecuado. El seguimiento de las fallas será esencial. El análisis causa raíz, será usado para
determinar el porqué la medición está generando tendencias hacia la dirección equivocada,
para que entonces puedan ser aplicados los planes de acción con la finalidad de mejorar el
sistema de gestión, el equipo, los procedimientos y el entrenamiento del personal.
Deberá buscarse determinar y documentar que los equipos o dispositivos han sido diseñados,
son mantenidos, inspeccionados, probados y operados de una manera segura. Esto requerirá
una evaluación de las prácticas de diseño y gestión, en conjunto con la consideración de
buenas prácticas de ingeniería y los requerimientos del proceso.
La revisión o supervisión deberá determinar si el SIS opera de acuerdo con las bases de diseño
y si el sistema de gestión es suficiente para que soporte la reducción de riesgo requerida.
Los planes de acción deben definir los pasos a seguir, metas y tiempos necesarios para
cumplirlas.
Los planes deben ser periódicamente revisados para determinar si existe la necesidad de
acelerar las actividades o ampliar los objetivos. Por ejemplo, la actualización planificada del SIS
puede acelerarse cuando el fabricante retira el soporte del equipo.
Para tener éxito, los planes de acción deben ser comunicados al personal afectado con la
finalidad de que ellos entiendan y comprometan con los mismos.
Cuando el SIS se vea modificado (siguiendo los lineamientos del Ciclo de Vida), los planes y
objetivos operacionales deberán considerar cualquier riesgo adicional que deba ser
considerado durante la transición. La operación y las bases de integridad mecánica del SIS
deben ser revisadas y de ser necesario, aplicar nuevas revisiones con la finalidad de asegurar
que los equipos, los procedimientos y el entrenamiento de personal estén en sincronía con las
modificaciones.
Sólo los datos que sean entendidos dentro de su contexto apropiado, proporcionan una base
sólida para la operación segura.
Las fases de planificación, ejecución, confirmación e implementación serán esenciales para una
operación segura y confiable.
Un sistema de gestión sostenido deberá ser utilizado para establecer los objetivos y evaluar el
desempeño contra políticas, prácticas y procedimientos utilizados. Análisis de las diferencias
deben ejecutarse periódicamente con la finalidad de verificar que el desempeño actual excede
las expectativas establecidas en el análisis del peligro y las bases del diseño.

8.4.1. MATRIZ CAUSA – EFECTO DEL SIS

La Matriz de Causa y Efecto es una herramienta de diseño y análisis utilizada para organizar
grandes cantidades de datos relacionadas en un formato gráfico claro y conciso. En el área de
seguridad de procesos, la metodología de la Matriz de Causa y Efecto se utiliza para definir
cómo y cuándo se ejecutan las acciones en el Sistemas Instrumentado de Seguridad.
Los eventos de los procesos de acción, se organizan en categorías de causas (eventos
iniciales) y efectos (acciones resultantes). Las causas y los efectos se enlazan por medio de
intersecciones; dichas intersecciones indican el/los efectos(s) resultantes de cada causa activa.
Esta herramienta se confecciona en la Ingeniería de Detalle considerando documentar
cuidadosamente la relación entre cada causa y su efecto.
El diagrama resultante es de mucho valor para todos los usuarios (por ejemplo personal de
operación y mantenimiento) gracias a su descripción completa y fácil de comprender de la
relación entre cada causa y su efecto.
Esta Matriz de Causa y Efecto es una representación gráfica directa de las operaciones del
Sistema Instrumentado de Seguridad que permite que todos los usuarios de todas las
disciplinas involucrados en el Ciclo de Vida de Seguridad, desde el ingeniero de procesos al
ingeniero de control y el de mantenimiento hablen el mismo idioma.

La Matriz Causa- Efecto SIS, deberá estar en pleno conocimiento por cada uno de los
operadores del Horno de Crudo y personal de mantenimiento. Esta presentará una descripción
detallada de cada función instrumentada de seguridad (SIF) y qué tipo de acción desencadena
ante una demanda.
Las actividades de mantenimiento deberán llevarse a cabo siguiendo esta matriz como
herramienta, efectuando los by-pass que correspondan para tal fin (que se hayan diseñado) y
verificando que el funcionamiento de las SIFs del SIS concuerde con la misma.

8.5. MANTENIMIENTO CORRECTIVO

En general todos los trabajos de mantenimiento, deberán ser programados, cuando surja una
actividad de mantenimiento no programada tendrá la calidad de Correctivo. Por ejemplo,
cuando ocurra una falla en cualquiera de los sistemas que involucra este aspecto, deberá
atenderse de acuerdo a la criticidad para no alterar las condiciones operativas. Para ello,
deberá contarse con un stock mínimo de equipos e instrumentos, que permitan realizar los
reemplazos, cumpliendo con los tiempos de reparación especificados en los requerimientos.
Será necesario realizar un informe técnico después de atender cada acción correctiva.

8.6. PROOF - TESTING

Las pruebas periódicas (Proof testing) se deberán llevar a cabo mediante un procedimiento
escrito, para revelar los defectos detectados que impiden el funcionamiento del SIS, de
conformidad con el requisito de seguridad especificación.

El SIS se deberá poner a prueba desde el sensor, incluido el resolvedor lógico y el elemento
final de cada SIF (por ejemplo, el shutdown de válvulas).
La frecuencia del Proof Testing se encuentra determinada en el estúdio SRS y deberá ser el
verificada la factibilidad de su cumplimiento durante lós cálculos de verificación SIL del SIS.
Diferentes partes del SIS podrán exigir un Proof Testing de diferente intervalo de tiempo, por
ejemplo, el Resolvedor Lógico puede requerir un intervalo de prueba muy distinto al de los
sensores o elementos finales.
Las deficiencias detectadas durante la prueba de ensayo, se repararán de forma segura y
oportuna.

En algún intervalo periódico (determinado por el usuario), la frecuencia de las pruebas, deberá
ser re-evaluado sobre la base de diversos factores, entre ellos los datos de los ensayos
históricos, la experiencia de plantas, la degradación de hardware, software y fiabilidad.
Se consignan los siguientes procedimientos para poder testear la funcionalidad del sistema, no
siendo estos limitativos:

• Funcionamiento de todos los dispositivos de entrada y sensores del SIS.

• Lógica asociada a cada dispositivo de entrada
• Lógica asociada a entradas combinadas
• Set point de todas las entradas
• Funciones de alarmas
• Velocidad de respuesta del SIS
• Secuencia de operación de la lógica del SIS
• Función de todos los elementos finales de la lógica de control
• Funciones que llevan el proceso al estado seguro
• Funciones de diagnóstico para el usuario
• Funcionalidad completa del sistema

Se deberá tener en cuenta que el hacer la inspección de un SIS, es diferente de hacer pruebas
de un SIS. Mientras que una prueba asegura que el SIS funcionará correctamente, requieren
que una inspección visual valide la integridad mecánica de la instalación.

8.6.1. INTERVALOS DE PRUEBA (Proof Testing)

El intervalo de prueba deberá estar acorde a lo estipulado en el documento Especificaciones de

Requerimientos de Seguridad, SRS, (SIS) de la planta, para cada una de las SIF.
Dentro de la descripción y características de testeo y pruebas se deberán detallar métodos y
formas de realización de los mismos, identificando el tipo de instrumento a probar; por ejemplo:

• Lazos de presión
• Lazos de nivel
• Lazos de temperatura
• Lazos de flujo
• Válvulas y actuadores
 8.6.2. DOCUMENTACIÓN DE PRUEBA, INSPECCIÓN Y TESTEO

Sera importante documentar los resultados de las pruebas y de las inspecciones para registrar
lo que se fue encontrado o detectando. No hay exigencias específicas que establezca cuanto
tiempo estos resultados deberían ser conservados, pero generalmente un período suficiente es
conservado para tener la posibilidad de reexaminación de resultados anteriores y así ver si se
evidencia un historial de fallas de algún componente.

Por ejemplo, si un sensor falló un test de prueba, será el momento adecuado para repasar los
resultados de pruebas anteriores y así ver si este sensor ha fallado en una prueba similar,
dentro de un ciclo de pocas pruebas pasadas. Si la historia indica que la falla se repite, se
debería considerar la revisión del diseño del SIS y ver la manera de usar un tipo diferente de
sensor.

Los datos esenciales para llevar un registro pueden ser los siguientes:

• Fecha de realización de evento, alarma, mantenimiento, etc.

• Nombre de la personas que realizo el test o prueba.
• Numero de serie del equipo o TAG name que los identifique de única manera.
• Resultado de la inspección o del test.

8.7. BY-PASS DEL SIS

Si las pruebas se requieren realizar en línea, porque el proceso no puede ser detenido debido a
diferentes razones, el sistema deberá permitir en su diseño, las pruebas que se requieran como
necesarias.
Si el tiempo de funcionamiento estimado o previsto de un proceso es más largo que el intervalo
calculado como necesario para efectuar las pruebas de SIFs del SIS, facilidades One-Line
deberán ser consideradas para poder efectuar las correspondientes pruebas de forma segura.
En general, la modalidad de by-pass es útil para estos casos y el Personal de operación y
mantenimiento deberá conocer como se activan, desactivan y la mecánica operatoria de los
mismos.

Los By-pass de un Sistema Instrumentación de Seguridad, están considerados, tomando como

referencia las normativas internacionales, tal es el caso de la ANSI/ISA–84.01 en lo referente a
los By-pass en sistemas de Instrumentación de seguridad: “7.9.3 When test and/or bypass
facilities are included in the SIS, they shall conform with the following:

a) SIS shall be designed in accordance with the maintenance and testing requirements defined
in the Safety Requirement Specifications.
b) The operator shall be alerted to the bypass of any portion of the SIS via an alarm and/ or
operating procedure.
c) Bypassing of any portion of the SIS shall not result in the loss of detection and/or
annunciation of the condition(s) being monitored.”
Normalmente en el frente del panel del gabinete del PLC SIS, contará con comandos para la
activación de By-pass. Estos By-pass solo trabajarán sobre la matriz de seguridad (causa-
efecto) que se confeccione en la Ingeniería de Detalle, evitando que el Resolvedor Lógico
realice el correspondiente Shutdown, no obstante deberán dar aviso en las interfases de
comunicación del SIS y panel luminoso en caso de activarse su condición de alarma.
Los By-pass serán temporizados con un tiempo de rearme acorde a lós requerimientos
determinados en las SRS de SIS. Los Switches de habilitación de Bypass deberán estar
protegidos por password y jerarquía adecuada para prevenir el uso indebido de los mismos.
Toda manipulación y operación que se requiera sobre el SIS, tendrá que estar administrada por
medio de privilegios y distintos niveles de usuario. Así se implementará y documentará como
mínimo tres niveles de usuarios: Administrador, operador y Mantenimiento.

Administrador: accederá al SIS hasta su nivel de diagnóstico y configuración de hardware si

fuera necesario y tendrá todos los privilegios que obtengan los demás usuarios.

Operador: accederá al SIS, para poder realizar diagnósticos sobre el estado de todo el sistema
y además podrá ejecutar funciones de By-Pass y modificación de set point de alarmas.

Mantenimiento: solo podrá acceder a la ejecución de By-pass.

El operador deberá ser alertado del by-pass activo de cualquier porción del SIS por medio de
una alarma y/o procedimiento operativo. El By-pass de cualquier porción del SIS, no deberá
resultar en pérdida de detección y/o anunciación de las condiciones monitoreadas.
Como política recomendable para el caso de los By-pass, se menciona los siguientes aspectos
a tener en cuenta:

a) Justificar documentalmente la necesidad de la puesta fuera de servicio

b) Limitar la frecuencia, extensión y duración de las puestas fuera de servicio.
c) Planificar los trabajos para que se realicen con la mayor rapidez posible.
d) Aumentar la supervisión de las instalaciones afectadas durante el tiempo que dure la puesta
fuera de servicio de la protección.
e) Señalizar, si procede, los sistemas y elementos de protección de seguridad fuera de servicio.
f) Comunicar a los sectores involucrados en la operación la puesta fuera de servicio.

La operación de ejecutar un By-pass dentro del Sistema Instrumentado de Seguridad del Horno
de Crudo, deberá realizarse según las condiciones de contorno presentes en las cuales el
sistema está activo, debiéndose tener en cuenta lós siguientes modos de ejecutar um By Pass:

• By Pass con el Horno de Crudo en Funcionamiento.

• By Pass con el Horno de Crudo parado.
8.8. EQUIPOS E INSTRUMENTOS PARA MANTENIMIENTO

Para efectuar las tareas de mantenimiento, será necesario contar con equipos de calibración,
configuración y herramientas en general adecuadas para llevarlas a cabo. Cada equipo y/o
herramienta, deberá tener la certificación de calibración vigente, proporcionada por una
empresa ente gubernamental o institución certificante reconocida.

8.9. PROCEDIMIENTOS DE MANTENIMIENTO SOBRE LAS SIF

En este punto se detallarán las acciones y recaudos que los encargados de realizar el
mantenimiento del sistema SIS de planta deberán llevar adelante para mantener la cobertura de
riesgo que ha dejado de estar presente al poner en mantenimiento una SIF.

8.9.1. CONCEPTOS GENERALES

Toda función Instrumentada de Seguridad y/o salvaguarda tiene como función la de cubrir ya
sea parcialmente o totalmente el riesgo existente en la operación de una planta, ya sea en
forma conjunta, (SIF + Salvaguarda), o en forma individual, (SIF o salvaguarda).
Para que el factor de reducción de riesgo asignado tanto a las SIF o los salvaguardas se
mantenga en el tiempo, se deben realizar testeo y/o mantenimientos a los mismos con una
cierta periodicidad. En el momento en que se realiza dichos testeo o mantenimientos, la SIF y/o
salvaguarda quedarán inhibido para poder cumplir con la función asignada, (reducir o mitigar el
riesgo), por tal motivo en dichos momentos se debe acompañar las inhibiciones mencionadas
con acciones y recaudos destinados a brindar la reducción de riesgo que brindaba la SIF y/o
salvaguarda.

8.9.2. CONSIDERACIONES

A continuación se listará una serie de consideraciones que deben aplicarse y tenerse en cuenta
cuando se este realizando un testeo y/o mantenimiento de una SIF y/o salvaguarda.

• El mantenimiento de las válvulas de alivio solo podrá ser realizado cuando el equipo al cual
están asociadas, se encuentre fuera de servicio. (Por tal motivo en la descripción de los
recaudos y acciones a tomar cuando se inhibe una SIF no se han considerado).

• Antes de proceder a realizar el testeo y/o mantenimiento de una SIF y/o salvaguarda, se
debe identificar y tener presente los procedimientos y equipos sobre los cuales se debe
actuar en el caso de generarse una demanda.

• En aquellos casos en los cuales el equipo designado como reemplazo del que se esta
manteniendo, (válvulas manuales, push button, etc.), se encuentre con problemas o fuera
de servicio, se debe buscar otro sobre el cual poder actuar, asegurándose que se logrará el
 mismos efecto, (reducción de riego), y se cumplirá con el tiempo requerido para la ejecución
de la acción destinad a reducir el riesgo.

• En el caso de que un determinado riesgo se encuentre cubierto por la suma de una SIF y
una o varias Salvaguardas, NO se debe testear o poner en mantenimiento al mismo tiempo
el SIF y las salvaguardas. Se debe evitar eliminar por completo la cobertura del riesgo.

• Solamente pueden testearse y/o ponerse en mantenimiento en forma conjunta una SIF y los
salvaguardas asociados a la reducción de un determinado riesgo sobre un determinado
equipo SI y Solamente SI, el equipo asociado se encuentra fuera de servicio, aislado, y los
elementos que conforman la SIF, (sensor y actuador) y los salvaguardas no se encuentran
compartidos con otras SIF y/o equipos.