Documente Academic
Documente Profesional
Documente Cultură
1. OBJETIVO ................................................................................................................................. 3
2. ALCANCE .................................................................................................................................. 3
3. DOCUMENTOS DE REFERENCIA ............................................. ¡Error! Marcador no definido.
4. ESTÁNDARES Y ESPECICICACIONES .................................................................................. 3
5. DEFINICIONES .......................................................................................................................... 3
6. SIMBOLOGÍA Y ABREVIACIONES ......................................................................................... 5
7. INTRODUCCIÓN ....................................................................................................................... 6
8. CONCEPTOS GENERALES ..................................................................................................... 6
8.1. CONCEPTO DE DISEÑO .......................................................................................................... 8
8.2. HARDWARE Y SOFTWARE DEL SISTEMA ......................................................................... 10
8.3. VERIFICACIÓN SIL ................................................................................................................. 16
8.4. VALIDACIÓN DEL SIS ............................................................................................................ 18
9. OPERACIÓN Y MANTENIMIENTO ........................................................................................ 21
9.1. FORMACIÓN DEL PERSONAL DE OPERACIÓN Y MANTENIMIENTO ............................. 25
9.2. CONCEPTO DE FALLAS........................................................................................................ 26
9.2.1. CONCEPTO DE TIPO DE SISTEMA ................................................................................... 26
9.2.2. COMPORTAMIENTO DEL SISTEMA EN LA DETECCIÓN DE UNA FALLA ................... 26
9.2.3. TOLERANCIA DE FALLAS DE HARDWARE .................................................................... 26
9.2.4. INDICACIONES LUMINOSAS ............................................................................................. 28
9.2.5. CONCEPTO DE ALARMAS ................................................................................................. 28
9.3. SELECCIÓN DE COMPONENTES ......................................................................................... 29
9.4. MANTENIMIENTO PREVENTIVO .......................................................................................... 30
9.4.1. MATRIZ CAUSA – EFECTO DEL SIS ................................................................................. 31
9.5. MANTENIMIENTO CORRECTIVO.......................................................................................... 32
9.6. PROOF - TESTING .................................................................................................................. 32
9.6.1. INTERVALOS DE PRUEBA (Proof Testing) ...................................................................... 33
9.6.2. DOCUMENTACIÓN DE PRUEBA, INSPECCIÓN Y TESTEO ........................................... 34
9.7. BY-PASS DEL SIS .................................................................................................................. 34
9.8. EQUIPOS E INSTRUMENTOS PARA MANTENIMIENTO .................................................... 36
9.9. PROCEDIMIENTOS DE MANTENIMIENTO SOBRE LAS SIF ............................................. 36
9.9.1. CONCEPTOS GENERALES ................................................................................................ 36
9.9.2. CONSIDERACIONES ........................................................................................................... 36
10. CONCEPTOS PARTICULARES .................................................. ¡Error! Marcador no definido.
10.1. FUNCIONALIDAD ...................................................................... ¡Error! Marcador no definido.
10.2. DETALLES TÉCNICOS .............................................................. ¡Error! Marcador no definido.
1. OBJETIVO
El objeto del presente documento, es determinar las especificaciones técnicas que se deberán
tener en cuenta en el diseño del Sistema de Seguridad del Horno teniendo en cuenta que el
mismo se está desarrollando bajo el estardard internacional IEC-61511.
2. ALCANCE
Este documento tiene por alcance, determinar las especificaciones técnicas del Sistema
Instrumentado de Seguridad,(SIS), el cual estará conformado por un Burner Management
System (BMS), del Horno de Crudo, teniendo en cuenta que el mismo se está desarrollando
bajo el estardard internacional IEC-61511. Dicho alcance contempla conceptos técnicos
generales de un SIS, conceptos técnicos particulares del SIS del Horno de Crudo, conceptos
técnicos y premisas técnicas a tener en cuenta en el diseño, operación y mantenimiento del
SIS, como así también conceptos técnicos referente a detección de fallas, generación de
alarmas y selección de componentes.
3. ESTÁNDARES Y ESPECICICACIONES
4. DEFINICIONES
Sistema de Control Distribuido (DCS): Instrumento capaz de ser configurado para llevar a
cabo el control de um proceso.
Emergencia: Situación derivada de un incidente/accidente que puede resultar en efectos
adversos a los trabajadores, la comunidad, el ambiente y/o las instalaciones y que por su
naturaleza de riesgo, activa una serie de acciones para controlar o mitigar la magnitud de sus
efectos.
Indicador de alarma: Emisión audible y/o visual que informa al personal sobre la presencia de
condiciones anómalas. También se entiende como el equipo físico que al activarse produce una
señal sonora y/o luminosa, como puede ser: sirena, bocina, campana, teléfono, semáforo o foco
de luz fija, destellante o giratoria.
Nivel Integral de Seguridad (SIL): Nivel discreto, para especificar los requerimientos de
integridad de seguridad que deberán poseer las SIFs que conformarán en SIS.
NIVEL INTEGRAL DE
1 2 3
SEGURIDAD
Rango de disponibilidad de Seguridad
REQUERIMIENTOS DEL 0.999 a
0.9 a 0.99 0.99 a 0.999
SISTEMA DE 0.9999
SEGURIDAD Rango de PFD Promedio
INSTRUMENTADO 10-E1 al 10- 10-E2 al 10- 10-E3 al 10-
E2 E3 E4
5. SIMBOLOGÍA Y ABREVIACIONES
6. INTRODUCCIÓN
Como la naturaleza de ciertas operaciones y procesos que son llevadas a cabo en el Horno de
Crudo perteneciente, implican la probabilidad de ocurrencia de ciertos incidentes industriales
peligrosos, tales riesgos deben ser evaluados y en virtud del Informe de Análisis de Riesgo
HAZOP realizado, se deben tomar las medidas consideradas como necesarias, para reducir la
probabilidad de ocurrencia de dichos incidentes a valores aceptables.
Entre los incidentes potenciales que pueden ocurrir por la naturaleza de diferentes procesos,
pueden citarse derrames, explosiones e incendios que tengan orígenes, en la fuga de
hidrocarburos líquidos o gaseosos, así como aquellos derivados de la presencia de atmósferas
contaminadas con productos tóxicos.
7. CONCEPTOS GENERALES
El SIS del Horno de Crudo, el cual estará conformado por un Burner Management System
(BMS), operará cuando sea requerido, (haya demanda de su actuación), en función de la
actuación de las Funciones Instrumentadas de Seguridad (SIFs) que la componen. Cada SIF,
estará constituida por tres componentes, como se muestra en la figura 8.1:
Figura 8.1
• Elemento sensor
• Elemento procesador lógico o resolvedor lógico (PLC SIS)
• Elemento final
Para presentar un concepto didáctico de la SIF, se puede decir, que desde el punto de vista de
sus componentes, tiene un grado de analogía con un lazo de control de proceso. Sin embargo
una SIF, no es un lazo típico de control de proceso, ya que tienen requisitos y objetivos
completamente diferentes.
La acción de una SIF, en términos básicos, busca evitar que se origine un incidente, cuando el
proceso ha perdido el control.
En muchas oportunidades la pérdida del control, se origina por errores humanos en la operación
del proceso, por lo que el SIS ante detección de una condición peligrosa de proceso, debe
actuar automáticamente como salvaguarda.
Las diferentes SIFs que compondrán el SIS, estarán distribuidas por todas las instalaciones del
Horno de Crudo, según los escenarios que han sido establecidos como necesarios a ser
cubiertos por ellas, en función de lo establecido en lós estudios HAZOP, Determinación SIL y
SRS.
Observando la figura 8.2, se puede entender que las diferentes SIFs que conformarán el SIS del
Horno de Crudo, tendrán en general diferentes características.
Figura 8.2
En general, una SIF estará compuesta de una combinación de sensores, una lógica particular
en el revolvedor lógico y elementos finales. Habrán SIFs, que compartirán sensores como
elementos de entrada y/o actuadores como elementos finales, según los requerimientos
establecidos en las SRS del Horno de Crudo.
Así mismo, las SRS definen las SIFs que requieran cumplir con diferentes niveles SIL, según
los resultados que se hayan obtenido en el estudio de determinación de nível SIL, mediante la
cual, se cuantificó el grado de reducción de riesgo requerido para ellas, en virtud de actuar en
cada uno de los escenarios considerados en el Horno de Crudo.
El resolvedor lógico, requiere cumplir con el nivel SIL más alto que posean las SIFs del SIS. Así
mismo, un elemento sensor ó un elemento final, que forme parte de más de una SIF, su nivel de
integridad SIL será el mayor de los requeridos en las funciones SIF compartidas especificadas
en las SRS.
Es necesario conocer los conceptos estructurales que participan en el diseño del SIS del Horno
de Crudo, para tener el contexto, sobre el cual puedan establecerse los lineamientos de las
actividades de Operación y Mantenimiento. Haciendo una síntesis de estos conceptos, se
pueden mencionar:
El Diseño del SIS, estará en conformidad con lo establecido en las SRS, para llevar a cabo sus
diferentes SIFs, proporcionando los niveles SIL correspondientes.
En general, las Funciones Instrumentadas de Seguridad (SIFs) estarán consideradas de modo
separado a los lazos instrumentados (los de control de procesos) que no son de seguridad,
implementados o que se incorporen a futuro al sistema de control del Horno de Crudo.
Los elementos comunes a las SIFs, (con diferentes niveles de integridad de seguridad-SIL), del
SIS, como lo son el Resolvedor Lógico y el Software, deberán verificar o cumplir con el más
alto nivel de integridad de seguridad arrojado por las verificaciones SIL de todas las SIFs.
El mantenimiento y las facilidades de prueba de las instalaciones, deberán estar diseñados para
minimizar, en lo posible, la probabilidad de fallos peligrosos derivados de su utilización;
establecido en la norma IEC 61511.
El diseño del SIS, tendrá en cuenta las capacidades, limitaciones humanas y deberá ser
adecuado para la tarea asignada a los operadores y personal de mantenimiento.
El diseño de todas las interfaces hombre-máquina se ajustará a las buenas prácticas y los
factores humanos. Tendrán en cuenta el nivel de formación o entrenamiento requerido de los
operadores y todo el personal responsable de operar y mantener el SIS.
En general el SIS estará diseñado, de manera que, una vez que se ha colocado el proceso en
un estado seguro, permanezca en el estado seguro, hasta que se efectúe un Reset
correspondiente. Medios manuales (por ejemplo, el pulsador de parada de emergencia),
independiente de la lógica, existirán para accionar elementos finales del SIS.
El diseño del SIS tomará en consideración todos los aspectos de la independencia entre el SIS,
DCS y la independencia entre el SIS y otras capas de protección no SIS.
• Detección de pérdida de la integridad de los diferentes circuitos o lazos (por ejemplo, mediante
monitoreo de fin de línea).
• La integridad del suministro de energía del sistema, sea garantizada usando suministro de
energía suplementaria (por ejemplo, empleando back-up de baterías, o mediante suministro de
energía ininterrumpida UPS).
• Detección de pérdida de energía en el sistema.
Consideraciones Generales:
Con el objetivo de diseñar y desarrollar el Sistema SIS de Hornos, se deberán tomar criterios de
selección del hardware haciendo una elección de diversas tecnologías, en cumpliendo con las
siguientes premisas:
Los posibles tipos de fallos que nos encontramos en un Sistema, se pueden agrupar en dos
categorías:
1) Fallos físicos: cuando algún estrés físico excede la capacidad de los elementos instalados.
• Fallos independientes.
• Fallos de causa común.
2) Fallos sistemáticos: cuando el sistema, aunque esté funcionando, no es capaz de realizar la
función especificada debido a errores de diseño o instalación.
Para el Sistema SIS de Hornos, los fallos de causa común son aquellos que se pueden producir
cuando, más de un elemento con la misma función, se implementa en una SIFs. Es decir los
elementos se ven afectados por una misma causa.
Un fallo de causa común puede ser debido a diferentes situaciones. Puede producirse por un
estrés que produce un fallo en varios elementos o en una parte del sistema y hace que sistemas
redundantes fallen. Como fuentes de estrés tenemos temperatura, humedad, corrosión,
vibración, interferencias electromagnéticas, entre otras.
Asimismo, un fallo en un elemento no redundante podrá causar un fallo de causa común, por
ejemplo podemos encontrar un controlador triple redundante alimentado por una única fuente
de alimentación, el fallo de la fuente, hace que caigan los tres controladores. Por otra parte un
fallo de causa común puede resultar de un fallo sistemático (ejemplo de diseño) que afecte a
elementos redundantes.
Habrá posibles fallos de causa común cuando se implementen más de un elemento como
iniciador o como estructura de resolvedor lógico o como elemento final (es decir con votaciones
de estos elementos, diferentes de 1oo1).
Será posible identificar las fallas de causa común, si observamos o tenemos por ejemplo para;
Lógica:
Como los elementos en votación distinta de 1oo1, se pueden ver afectados por una misma
causa. Evitando esta situación se podrá minimizar los fallos comunes.
Caso de Iniciadores y elementos finales:
• Si consideramos que pueden haber fallas de causa común porque se está utilizando el
mismo fabricante y/o modelo y de esta manera cuando un elemento falla, su idéntico puede
fallar también por la misma causa. Puede ser una opción la de utilizar distintos fabricante
para los elementos en votación distinta de 1oo1. Aunque esto tiene efecto sobre las
compras de material y gestión de almacen de la Planta que deberá se evaluada.
• Otra opción será la de utilizar distinta tecnológia para un mismo servicio.
• Respecto a las conexiones y el uso del mismo multicable, se podrá cablear los elementos
de la votación a distintas cajas de conexiones, asi las señales se cablearían en distintos
multicables también.
• Respecto a la misma tarjeta de entrada y salida, se podrá dar solución si se cablea las
señales a tarjetas diferentes, minimizando así esta posibilidad de fallos.
Lógica
En general, para elementos iniciadores o actuadores, se tendrá en cuenta para disminuir los
fallos de causa común, las prácticas consideradas como más efectivas:
• Problemas de tierra.
• Circuitos abiertos y/o en cortocircuito.
• Inducciones electromagnéticas, ruido eléctrico.
A continuación se resumen algunas buenas prácticas a tener en cuenta que podrán ayudar a
minimizar problemas con el cableado:
• Eliminar circuitos comunes. Cada equipo de campo tendrá su propio y dedicado cableado.
Sólo es posible utilizar un cableado común en el caso de un bus de campo, siempre que
cumpla con las especificaciones requeridas de seguridad (SRS).
• Cada entrada y salida de campo deben tener fusibles o limitadores de corriente, que pueden
ser parte de la lógica de los módulos de entrada y salida del sistema o usando fusibles
externos.
• Como se mencionara en apartado anterior, separar el cableado y cajas de conexión del
sistema de seguridad de los demás sistemas de control de la planta, asimismo etiquetar
claramente los cables del sistema de seguridad.
• Se ha de tener en cuenta la inductancia, capacitancia y longitud de los cables.
• Dependiendo de la sección y la distancia se pueden producir inducciones que impidan la
actuación de las entradas y salidas del sistema de seguridad por caída de tensión.
• En general los cables por bandeja deberán llevar cubiertas metálicas o ser cables armados
para protegerse mecánicamente. Estas bandejas o cables armados deben estar conectados
a tierra al inicio y final y dependiendo de la distancia en puntos intermedios con el fin de
proteger las cables de interferencias electromagnéticas y protección contra rayos.
• Aislar la tierra de los sistemas entre ellos y separar galvánicamente los elementos comunes.
• Diseñar los armarios de conexiones y cableado de manera que minimicen el ruido eléctrico
y la alta temperatura.
La selección tiene como objetivo, escoger el equipo apropiado para el propósito requerido,
desde elementos finales y sensores, hasta el resolvedor lógico (PLC de seguridad).
La norma IEC 61511 parte 1, recomienda que los equipos utilizados en los sistemas
instrumentados de seguridad, se seleccionen basándose en una certificación IEC 61508 para el
SIL apropiado, o en una justificación basada en el criterio de “Probado en Uso”.
Los equipos/ instrumentos, certificados según la normativa IEC 61508 (transmisores, PLC de
seguridad, actuadores, solenoides, válvulas, etc.), se diferencian de los convencionales por el
nivel de diagnósticos que soportan y otros aspectos constructivos y de desempeño. Como
resultado final del proceso de certificación, se emite un certificado donde se especifica el nivel
de integridad SIL para el cual el producto está calificado y las normativas que fueron usadas
para la certificación.
Estos equipos cumplen con todos los requerimientos de la norma IEC 61508. Sin embargo hay
productos que se certifican con alguna restricción y esencialmente se indica cuando el producto
no cumple alguno de los requerimientos de la normativa. Estas restricciones, se detallan en el
manual de seguridad del equipo y han de tenerse en cuenta a la hora de diseñar el sistema de
seguridad y escoger los elementos de hardware del Sistema.
Para poder obtener la certificación hace falta que un ente tercero independiente, realice una
evaluación de seguridad para certificar que el equipo cumple con todos los requerimientos de la
normativa IEC 61508 (ejemplo TÜV, FM y EXIDA).
Para equipos basados en el criterio de “Probado en Uso” la normativa IEC 61511 no da detalles
específicos. Sin embargo en la industria se acepta que si una empresa tiene muchos años de
experiencia con éxito de desempeño sobre un equipo (sin fallos peligrosos), y adecuadamente
documentado, se puede justificar el uso del instrumento, aún cuando no cuente con certificación
de seguridad.
Para ayudar a los usuarios finales, muchos fabricantes anexan evaluaciones realizados por
terceros que incluyen:
• FMEDA (Failures Modes, Effects and Diagnostics Analysis): el fabricante prove información
sobre las tasas de fallos y los modos de fallos. Se trata de una guía de análisis para calcular
y clasificar las tasas de fallos y el SFF (Safe Failure Fraction) de un equipo electrónico o
mecánico de acuerdo con los requerimientos de la IEC 61508. Un ejemplo es EXIDA que
realiza estudios FMEDA para diferentes empresas fabricantes.
En ambos casos se podrá aceptar la utilización del instrumento sin la certificación de seguridad
hecha por un tercero (TÜV, FM, EXIDA, etc.) según IEC 61508 y IEC 61511, siempre que esté
documentado sus comportamiento, tasas de fallas y desempeño que justifiquen el uso.
Normalmente las grandes compañías con grandes recursos suelen tener un listado de equipos
autorizados para ser usados en seguridad y una arquitectura definida para cada SIL objetivo,
con lo que se facilita y estandariza la ingeniería, diseño e instalación de las funciones
instrumentadas de seguridad según el SIL objetivo a lograr.
Consideraciones Ambientales
Es importante especificar qué requisitos ambientales se necesitan para el Sistema SIS. Por lo
que habrá que tener en cuenta el ambiente y el entorno, en la elección del hardware para
garantizar el correcto funcionamiento del SIS.
En el diseño el sistema se deberá considerar el efecto de variables como la temperatura, la
humedad, los agentes contaminantes, la vibración, las interferencias electromagnéticas y de
radiofrecuencia (EMI/RFI), las descargas electroestáticas, la clasificación eléctrica del área etc.
Por lo que se deberán adoptar soluciones concretas para resolver diferencias entre las
condiciones ambientales a las que estará sometido el Sistema SIS de Hornos y las condiciones
especificadas por cada equipo que se proyecta formar parte del Sistema SIS, de manera que
permita al sistema funcionar en conformidad con lo especificado en las Especificaciones de
Requerimientos de Seguridad (SRS). Medidas como la instalación de calefacción, aire
acondicionado, ventiladores, filtros de aire, traceados eléctricos, etc. deberán ser avaluados si
se requieren.
• Que los tableros deberán estar ordenados dentro de la sala de racks en un orden acordado
y lógico donde el SIS vaya a ser instalado.
• Que los tableros deberán ser accesibles sin dificultades, por el personal de la Planta.
• Que deberá haber una buena ilumnación de las salas de (Control/Racks) como en el interior
de los tableros.
• Que las salidas de emergencia en toda el Area de Horno, deberán estar bien situadas e
indentificadas.
Software de Aplicación
• Modularidad y funcionalidad
• Facilidad para probar la funcionalidad, incluyendo características de tolerancia a fallos.
• Posibilidad de realizar modificaciones seguras.
• Posibilidad de añadir comentarios y nombres comprensibles a las variables (tags).
• El software debe ser fácilmente legible a través de la pantalla y también a través de la
documentación impresa.
• El diseño de cada módulo de aplicación, deberá ser robusto, y chequear los datos de las
variables. Si existe un error en alguna de las variables ha de ser capaz de reconocerlo,
reaccionar y corregirlo (incluyendo detección de fallo de la instrumentación de campo, como
fuera de rango, señales “pegadas”, etc.).
• En sistemas integrados que utilizan un software de aplicación equivalente para seguridad y
para control (softwares comunes), los módulos programados de seguridad estarán
separados de los de control y estarán etiquetados como módulos relativos a la seguridad.
En general cada fabricante de Software de PLC (SPLC) certificados para seguridad, incorporan
su lenguaje de programación, su software de aplicación, junto con su ciclo de vida y cumpliendo
en gran medida con todos los requisitos mencionados.
Una de las ventajas de utilizar un sistema programable, es la capacidad para probar la lógica.
Se podrán realizar simulaciones con el software de PLC fuera de línea. La mayoría de los
fabricantes entregan con sus equipos un programa de simulación que permite probar la
aplicación durante su desarrollo y una vez desarrollado.
Una vez desarrollado el diseño conceptual del SIS, seleccionado la arquitectura del sistema y
sus componentes, deberá calcularse nuevamente el SIL que obtiene cada función
instrumentada de seguridad del SIS, en base principalmente a la velocidad de fallo de los
componentes que se proyectan emplear (PFDavg, RRF, MTTFspurious) y al intervalo de test
(Proof Test) definido para ellos. Es decir que se verificara por cada función SIFs, si cumple con
el SIL Objetivo determinado en etapa de la Determinación del SIL de las mismas, a partir de
modelar con los elementos establecidos que conformarán los componentes (detector,
resolvedor Lógico y actuador) de las diferentes funciones con su tasas de fallos.
De esta forma se podrá asegurar que el diseño conceptual cumplirá con el SIL objetivo y por lo
tanto con la Especificación de Requerimientos de Seguridad (SRS).
El diseño conceptual del SIS y la verificación del SIL objetivo establecerá los parámetros para el
diseño de detalle del sistema y será un punto clave en el cronograma de obra del proyecto que
requerirá aprobación y por tanto un paso o etapa de revisión antes de continuar con nuevas
fases.
Existen diferentes técnicas para el cálculo de Verificación SIL (que implica fiabilidad (PFD) y
disponibilidad del sistema (MTTF)), que emplean metodologías sistemáticas que descomponen
un sistema complejo (función de seguridad en su totalidad) en componentes básicos que
interaccionan entre ellos y se fusionan en modelos de fiabilidad para determinar la
disponibilidad total del sistema. Los modelos más utilizados son:
Los Análisis del Árbol de Fallos (FTA) o el Modelo de Markov, no son métodos sencillos de
utilizar, por lo que se suelen utilizar softwares especializados que resuelve el cálculo del
PFDavg y MTTFspurious.
A continuación se listan las asunciones que comúnmente se pueden tener en cuenta como base
para el cálculo de Verificación del nivel SIL alcanzado por cada una de las SIF, utilizando la
técnica de evaluación de ecuaciones simplificadas (presente en el reporte técnico ISA-
TR84.00.02-2002 - Part 2.).
• Las SIF evaluadas se encontrarán diseñadas, instaladas y mantenidas según lo estipulado
en las especificaciones de requerimiento de seguridad, (SRS).
• Las tasas de falla y reparación se asumen constantes a lo largo de la vida útil de la SIF.
• Una vez que un componente ha fallado en uno de los posibles modos de fallo, no puede
fallar de nuevo en uno de los modos de fallo restantes. Sólo puede fallar de nuevo después
de que haya sido reparado. Este supuesto se ha hecho para simplificar el esfuerzo de
modelado.
• Las ecuaciones se suponen tasas de falla similares para los componentes redundantes.
• La tasa de falla del sensor incluye todo, desde el sensor al módulo de entrada del
resolvedor lógico, incluidos los efectos del proceso.
• La tasa de falla del resolvedor lógico, incluye los módulos de entrada, la CPU, los módulos
de salida y fuentes de alimentación.
• La tasa de falla del elemento final, incluye todo, desde el módulo de salida del resolvedor
lógico hacia el elemento final incluidos los efectos del proceso.
• Se asume que la duración del tiempo de ensayo (TI) es mucho más corto que el tiempo
medio entre fallas (MTTF).
• Se asume que la cobertura del ensayo es del 100% al igual que las reparaciones.
• Todos los componentes de la SIF han sido debidamente especificados, basados en la
aplicación del proceso. Por ejemplo, elementos finales (válvulas) han sido seleccionados
para fallar en la dirección segura dependiendo su aplicación específica.
• Se asume que todos los fallos del suministro de energía eléctrica son hacia el estado des
energizado.
• Las ecuaciones asumen un camino de degradación, es decir un sistema 2oo3 degrada
como 3-2-0. Esto quiere decir que un fallo degrada a un sistema 1oo2 y un segundo fallo
degrada a parada.
• Se asume que cuando se detecta una falla peligrosa, el SIS llevará el proceso a un estado
seguro o el personal de la planta tomará las medidas necesarias para garantizar que el
proceso vaya a estado seguro, (se asume que la respuesta del operador antes de una
demanda se producen forma instantánea, y PFD de respuesta del operador se asume como
0).
• Los valores objetivos de la PFDavg y MTTF spurious, se definen para cada SIF que conforman
el SIS.
• El modelo Beta, (β), se utiliza para tratar los posibles fallos de causa común.
En esta etapa, el sistema de control de seguridad y toda la lógica de control asociada al SIS
deberá ser completamente probado, antes de ser enviado por el proveedor a la instalación de la
Planta. Todas las personas involucradas en la implementación y verificación del sistema bajo
prueba, deberán participar en la pruebas FAT. Estas pruebas deberán ser completadas en el
lugar de fabricación, antes del envío del sistema al usuario final.
• Todo el hardware del sistema lógico, módulos de entradas y salidas, terminales, cableado
interno, procesadores lógicos, módulos de comunicación, redundancia del sistema, interfaz
con el operador, etc.
• Auto switch-over, bypass y redundancia.
• Software y programa lógico.
• Otros.
Otra forma podrá ser mediante un programa de simulación separado de la lógica principal que
cree un enlace entre las salidas del programa principal y las entradas del simulador, por ejemplo
utilizando una PC conectada al Sisitema SIS y que contiene el programa de simulación.
Si durante las pruebas FAT se detecta algún error y requiere alguna modificación, habrá que
estudiar que impacto provoca la modificación sobre la integridad del SIS, por lo que será posible
tener que rehacer cálculos de integridad (PFD) de las funciones afectadas.
Instalación y Comisionado
En esta etapa, se deberá asegurar que el Sistema SIS sea instalado de acuerdo al diseño y se
opere de acuerdo a la Especificación de Requisitos de Seguridad (SRS).
Antes de que el sistema sea llevado a su emplazamiento, deberá ser probado hasta su correcta
operación, una vez emplazado se deberá verificar que el sistema esté de acuerdo al diseño
detallado incluyendo los dispositivos de campo. Esto es, entre otras verificaciones, determinar
que el equipamiento, dispositivos y cableado están correctamente instalados y en
funcionamiento, que las fuentes de energía redundantes son correctas y están en
funcionamiento, que todos los instrumentos están debidamente calibrados (los que lo requieran)
y que todos los lazos están probados y son operativos.
Asimismo deberán llevarse a cabo las pruebas de pre-arranque y aceptación del sistema
(PSAT). Se deberá también elaborar un procedimiento que dicte los pasos a seguir para la
instalación detallada de cada función.
Como el SIS es un sistema que funciona bajo demanda, las fallas latentes que en un sistema de
control continuo son rápidamente detectadas, no serán fácilmente descubiertas, por lo que
continuas inspecciones durante la instalación son recomendadas para detectar problemas en
forma temprana, y evitar así errores una vez este el sistema, esté en operación.
Validación
La Validación es la actividad por medio de revisión y suministro de evidencia objetiva, que los
requerimientos particulares para un uso particular y específico, son totalmente cumplidos.
Esta actividad demostrará que todas las funciones instrumentadas de seguridad del SIS a
considerar después de su instalación cumplen en todo con la Especificación de Requerimientos
de Seguridad. La Validación será llevada a cabo al realizar las Pruebas de Aceptación en el
Sitio (SAT) y un test de seguridad antes de arrancar (Pre-Startup Acceptance Test (PSAT))
Mientras que la verificación se hará en todo el proyecto (en cada una de las etapas del ciclo de
vida) y se puede realizar donde se realiza el trabajo (en la oficina); “la validación” sólo ocurre en
el sitio, después de instalar y comisionar el sistema.
En las pruebas de Validación (SAT), deberán realizarse similares pruebas hechas en los
ensayos FAT pero en sitio con todo instalado. Podrán incorporarse o adicionarse otras pruebas
que estén asociadas a las condiciones de las instalaciones reales. Por otra parte las
desviaciones que se hayan detectado en los ensayos FAT, deberán estar resueltas previamente
a esta instancia (las que deberá verificarse oportunamente).
8. OPERACIÓN Y MANTENIMIENTO
La Operación y Mantenimiento del SIS del Horno de Crudo, (parte de la Fase General de
Operación del Ciclo de Vida del SIS), tiene como objetivo, asegurar que la seguridad funcional
del SIS, se mantenga sin degradación durante la operación y el mantenimiento del mismo.
Debe garantizarse que el SIL de cada función instrumentada de seguridad del SIS, se
mantenga durante la operación y mantenimiento, a fin de que la seguridad funcional diseñada,
se conserve. Para lograr estos objetivos, deberán cumplirse ciertos requerimientos generales
(según lo establecido en la norma 61511-1 IEC:2003 E), establecidos en el estudio SRS.
Como actividades de Operación de SIS, se pueden mencionar el rearme del sistema (Reset)
ante un Shut-down, el registro de las desviaciones del proceso, las alarmas, las paradas y
procedimientos que informen al operador de los riesgos del proceso así como el modo de actuar
ante estos, entre otros.
Las acciones de rutina, que necesiten llevarse a cabo para mantener la seguridad funcional del
SIS; por ejemplo, respetando los intervalos de prueba (proof-test) definidos en las SRS.
Las acciones y contenciones que sean necesarias considerar, para prevenir un estado inseguro
y/o reducir las consecuencias de un evento peligroso durante la operación o mantenimiento (por
ejemplo, cuando un sistema necesita ser objeto de by-pass para prueba o mantenimiento, estos
pasos de resguardo o mitigación deben ser implementados, considerando la condición de alerta
de los operadores del Horno de Crudo).
La información necesaria a ser conservada, sobre las fallas del sistema y velocidad de acción
en demanda del SIS.
La información necesaria a ser conservada, sobre los resultados mostrados de pruebas y
auditorías sobre el SIS.
Deberá garantizarse, que los equipos de prueba utilizados durante las actividades normales de
mantenimiento, estén correctamente calibrados y en condiciones.
El personal de planta, deberá contar con documentación vigente de todas las SIF del SIS,
contemplando tener consignado para cada una de ellas, al menos:
• Denominación de la SIF.
• Funcionalidad ante demanda. Riesgo del proceso sobre la que actúa.
• Nivel SIL de la SIF.
• Elementos que están en interlock Ej.: sensores (transmisores), actuadores de acción final
(válvulas).
Como procedimiento operativo del SIS, se recomienda que sean documentadas todas las
desviaciones del proceso, las alarmas y las paradas que sucedan, fijando fechas y
argumentando lo sucedido (causas evaluadas). Por otro lado serán necesario establecer
procedimientos operativos, que informen al operador de los riesgos del proceso y como actuar
ante estos.
Es necesario conocer y llevar registro de los límites de operación segura del sistema, es decir
que parámetros podrán ser cambiados durante la operación del sistema y bajo que magnitudes
de configuración; por ejemplo set-point de instrumentos o de alarmas.
Cuanto más se conozca acerca de un dispositivo o equipo y lo que afecta su operación, mejores
serán los resultados en cuanto al manejo del riesgo en las actividades.
Los disparos en falso y las demandas reales del proceso hacia el SIS deberán ser
monitoreados, analizados y comparados con las expectativas obtenidas a raíz del análisis de
los peligros. El proceso de “Gerencia del Manejo del Cambio” deberá ser usado para cerrar las
diferencias encontradas durante el proceso de investigación.
La estrategia de la reducción de riesgo será probada por los datos de integridad mecánica
teniendo en conocimiento que la reducción de riesgo proporcionada por un equipo es el inverso
de su probabilidad de falla en demanda (PFD).
Siendo la PFD calculada como el número de veces que el SIS ha fallado de manera peligrosa,
dividido por el número de veces que el SIS ha sido demandado. Utilizando técnicas
probabilísticas, la PFD de un equipo específico puede ser utilizada para determinar el
desempeño del sistema y compararlo con lo asumido en las bases del diseño.
Las fallas repetitivas indicarán que el programa de integridad que se lleva a cabo es
inadecuado. El seguimiento de las fallas será esencial. El análisis causa raíz, será usado para
determinar el porqué, la medición está generando tendencias hacia la dirección equivocada,
para que entonces puedan ser aplicados los planes de acción con la finalidad de mejorar el
sistema de gestión, el equipo, los procedimientos y el entrenamiento del personal.
Deberá buscarse determinar y documentar que los equipos o dispositivos han sido diseñados,
son mantenidos, inspeccionados, probados y operados de una manera segura. Esto requerirá
una evaluación de las prácticas de diseño y gestión, en conjunto con la consideración de
buenas prácticas de ingeniería y los requerimientos del proceso.
La revisión o supervisión deberá determinar si el SIS opera de acuerdo con las bases de diseño
y si el sistema de gestión es suficiente para que soporte la reducción de riesgo requerida.
Cuando el SIS se vea modificado (siguiendo los lineamientos del Ciclo de Vida), los planes y
objetivos operacionales deberán considerar cualquier riesgo adicional que deba ser considerado
durante la transición. La operación y las bases de integridad mecánica del SIS deben ser
revisadas y de ser necesario, aplicar nuevas revisiones con la finalidad de asegurar que los
equipos, los procedimientos y el entrenamiento de personal estén en sincronía con las
modificaciones.
Sólo los datos que sean entendidos dentro de su contexto apropiado, proporcionan una base
sólida para la operación segura.
Los operadores deberán estar capacitados en la función y el funcionamiento del SIS en su área.
Esta formación deberá garantizar lo siguiente;
• Deberán entender cómo funciona el SIS (puntos de disparo de acción que realice el SIS).
• El riesgo contra el que protege el sistema SIS.
• El funcionamiento de todos los interruptores de by-pass y bajo qué circunstancias, estos son
usados.
• La operación de la activación de un interruptor de shut-down o de start-up (rearme o reset) del
sistema y cuando estos interruptores manuales deben ser activados.
• Conocimiento de acción, ante la activación de las alarmas de diagnóstico, (por ejemplo, qué
medidas se tomarán cuando cualquier alarma del SIS se active, indicando que hay algún problema).
Las diferencias entre el comportamiento esperado y el comportamiento real del SIS deberán ser
analizadas y en caso necesario, las modificaciones hechas de tal manera que los
requerimientos de seguridad se mantengan. Esto incluirá el monitoreo por ejemplo de:
Los procedimientos (escritos) de ensayos proof-test deberán desarrollarse para cada SIF para
permitir descubrir fallas peligrosas no detectadas por diagnóstico. Estos procedimientos de
prueba por escrito, deberá describir cada paso que se va a realizar y deberá incluir por lo
menos:
Falla Segura
Son aquellas, que ante su ocurrencia, las instalaciones pasan a posición segura (no existe
ninguna causa real que exija demanda. Ej. Detector sensible que dispara la lógica de una SIF.)
Falla Peligrosa
Son las que ocasionan que las funciones de protección fallen en el momento en que es
necesario que actúen, no realizándose la acción de seguridad (Ej. Válvula de Bloqueo trabada;
no cerrará cuando se necesite cerrar por acción de seguridad).
Sistema (o Arquitectura) Tipo A: Los modos de falla de todos los componentes constituyentes
están bien definidos y el comportamiento del subsistema bajo condiciones de falla puede ser
determinado completamente. Existen bases de datos de la experiencia en campo para los
subsistemas, suficiente para demostrar que los objetivos son alcanzados.
Sistema (o Arquitectura) Tipo B: El modo de falla de al menos uno de los componentes del
sistema no está bien definido, o el comportamiento del subsistema bajo condiciones de falla, no
está bien definido. No hay suficiente datos provenientes de la experiencia en campo, para
demostrar que los objetivos son alcanzados.
8.2.2. COMPORTAMIENTO DEL SISTEMA EN LA DETECCIÓN DE UNA FALLA
El SIS del Horno de Crudo, deberá diseñarse de forma tal que el comportamiento del mismo
ante la detección de una falla sea el definido en las SRS.
La tolereancia a falla de hardware de cada componente que conforme una determinada SIF del
SIS del Horno de Crudo, quedará definida cuando se lleve adelante el estudio de verificación de
nível SIL, en donde se verificará la conformidad de cada elemento con lós requerimientos de la
restricción de arquitectura especificada en las Tablas 2 y 3 del ítem 7.4.4 Hardware safety
integrity architectural constraints de la norma IEC-61508-2, “Part 2: Requirements for
electrical/electronic/programmable electronic safetyrelated Systems” (Tablas 9.2.3.a/b).
(*) A Hardware fault tolerance of N means that N + 1 faults could cause a loss of the safety function
Conceptos complementarios:
Votación: Número de caminos (N) de los (M) disponibles, que son necesarios para ejecutar la
función de seguridad.
• Se implementa a niveles de Hardware para mayor robustez del sistema.
• Se implementa a niveles de Software para evitar disparos en falsos.
El gabinete del tablero SIS, deberá contener un panel lumínico, constituido por pilotos
luminosos para dar la noción del estado en que se encuentra el sistema SIS.
Como mínimo, las indicaciones luminosas indicarán:
• Alarmas presentes.
• Falla en campo.
• Diagnóstico del PLC SIS.
• By-pass de Mantenimiento activado.
Estas indicaciones, serán útiles para el caso en que se pierda la vinculación con las interfases
gráficas. El personal de operación y mantenimiento del Horno de Crudo, deberá conocer
perfectamente el significado de estas indicaciones para saber que acciones se deberán efectuar
en cada caso.
8.2.5. CONCEPTO DE ALARMAS
El sistema SIS estará en funcionamiento cuando el mismo se encuentra disponible para actuar
ante cualquier situación de riesgo o variables dentro del proceso que no estén dentro de su
comportamiento normal, es decir que en forma pasiva esta monitoreando todas las funciones
instrumentadas que lo componen y listo para actuar.
• Indicación de eventos e históricos que puedan almacenarse en una base de datos, la cual pueda
ser consultada en el tiempo.
• Estado de actuadores.
• Estado de válvulas.
• Alarmas por alto nivel y muy alto nivel de detección de gases o detección de mezcla explosiva en
unidades de % LEL en las zonas contempladas por el SIS mediante vínculo con F&G.
• Alarmas por detección de fuego / humo en las zonas contempladas por el SIS mediante vínculo
con F&G.
Todo evento de alarma que conlleve a que el Horno de Crudo, pase a un estado de paro de
emergencia, deberá ser reconocido previamente a efectuar el Reset del sistema. Solo cuando el
SIS tenga todos sus parámetros y sensado de condiciones, en estado Normal y su alarmas
hayan sido reconocidas, se podrá acceder al Reset o Rearme del Sistema en caso de un paro
de emergência del Horno de Crudo.
La selección de componentes que se vaya a utilizar como parte del SIS, que se integra en la
arquitectura y los criterios de aceptación para los componentes y subsistemas asociados, en
términos de SIF e integridad de seguridad, deben seguir ciertos requisitos.
Los componentes y subsistemas seleccionados para su uso como parte del SIS para SIL 1 a
SIL 3 deberán estar en conformidad con las normas IEC 61508-2 e IEC o 61508-3 según
corresponda.
La evaluación de la seriedad de la selección de componentes y subsistemas se demostrará
mediante:
Nota: La energización de circuitos discretos de entrada y salida contarán con un método que
garantice la integridad y la fuente de alimentación. Por ejemplo el monitoreo de fin de línea,
donde una corriente testigo sea continuamente monitoreada para garantizar, la continuidad del
circuito. Ante una magnitud no suficiente de esta señal testigo, se indicará que está afectada la
correcta operación de la entrada/salida. Estos conceptos deberán ser de pleno conocimiento
por parte del personal de mantenimiento, a través del alarmado correspondiente.
8.4. MANTENIMIENTO PREVENTIVO
• Memoria Descriptiva del Algoritmo que describa las tareas y acciones del programa (si es
posible paso a paso).
• Certificados de Pruebas
La Matriz Causa- Efecto SIS, deberá estar en pleno conocimiento por cada uno de los
operadores del Horno de Crudo y personal de mantenimiento. Esta presentará una descripción
detallada de cada función instrumentada de seguridad (SIF) y qué tipo de acción desencadena
ante una demanda.
Las actividades de mantenimiento deberán llevarse a cabo siguiendo esta matriz como
herramienta, efectuando los by-pass que correspondan para tal fin (que se hayan diseñado) y
verificando que el funcionamiento de las SIFs del SIS concuerde con la misma.
En general todos los trabajos de mantenimiento, deberán ser programados, cuando surja una
actividad de mantenimiento no programada tendrá la calidad de Correctivo. Por ejemplo,
cuando ocurra una falla en cualquiera de los sistemas que involucra este aspecto, deberá
atenderse de acuerdo a la criticidad para no alterar las condiciones operativas. Para ello,
deberá contarse con un stock mínimo de equipos e instrumentos, que permitan realizar los
reemplazos, cumpliendo con los tiempos de reparación especificados en los requerimientos.
Será necesario realizar un informe técnico después de atender cada acción correctiva.
Las pruebas periódicas (Proof testing) se deberán llevar a cabo mediante un procedimiento
escrito, para revelar los defectos detectados que impiden el funcionamiento del SIS, de
conformidad con el requisito de seguridad especificación.
El SIS se deberá poner a prueba desde el sensor, incluido el resolvedor lógico y el elemento
final de cada SIF (por ejemplo, el shutdown de válvulas).
La frecuencia del Proof Testing se encuentra determinada en el estúdio SRS y deberá ser el
verificada la factibilidad de su cumplimiento durante lós cálculos de verificación SIL del SIS.
Diferentes partes del SIS podrán exigir un Proof Testing de diferente intervalo de tiempo, por
ejemplo, el Resolvedor Lógico puede requerir un intervalo de prueba muy distinto al de los
sensores o elementos finales.
Las deficiencias detectadas durante la prueba de ensayo, se repararán de forma segura y
oportuna.
En algún intervalo periódico (determinado por el usuario), la frecuencia de las pruebas, deberá
ser re-evaluado sobre la base de diversos factores, entre ellos los datos de los ensayos
históricos, la experiencia de plantas, la degradación de hardware, software y fiabilidad.
Se consignan los siguientes procedimientos para poder testear la funcionalidad del sistema, no
siendo estos limitativos:
Se deberá tener en cuenta que el hacer la inspección de un SIS, es diferente de hacer pruebas
de un SIS. Mientras que una prueba asegura que el SIS funcionará correctamente, requieren
que una inspección visual valide la integridad mecánica de la instalación.
• Lazos de presión
• Lazos de nivel
• Lazos de temperatura
• Lazos de flujo
• Válvulas y actuadores
8.6.2. DOCUMENTACIÓN DE PRUEBA, INSPECCIÓN Y TESTEO
Sera importante documentar los resultados de las pruebas y de las inspecciones para registrar
lo que se fue encontrado o detectando. No hay exigencias específicas que establezca cuanto
tiempo estos resultados deberían ser conservados, pero generalmente un período suficiente es
conservado para tener la posibilidad de reexaminación de resultados anteriores y así ver si se
evidencia un historial de fallas de algún componente.
Por ejemplo, si un sensor falló un test de prueba, será el momento adecuado para repasar los
resultados de pruebas anteriores y así ver si este sensor ha fallado en una prueba similar,
dentro de un ciclo de pocas pruebas pasadas. Si la historia indica que la falla se repite, se
debería considerar la revisión del diseño del SIS y ver la manera de usar un tipo diferente de
sensor.
Los datos esenciales para llevar un registro pueden ser los siguientes:
Si las pruebas se requieren realizar en línea, porque el proceso no puede ser detenido debido a
diferentes razones, el sistema deberá permitir en su diseño, las pruebas que se requieran como
necesarias.
Si el tiempo de funcionamiento estimado o previsto de un proceso es más largo que el intervalo
calculado como necesario para efectuar las pruebas de SIFs del SIS, facilidades One-Line
deberán ser consideradas para poder efectuar las correspondientes pruebas de forma segura.
En general, la modalidad de by-pass es útil para estos casos y el Personal de operación y
mantenimiento deberá conocer como se activan, desactivan y la mecánica operatoria de los
mismos.
a) SIS shall be designed in accordance with the maintenance and testing requirements defined
in the Safety Requirement Specifications.
b) The operator shall be alerted to the bypass of any portion of the SIS via an alarm and/ or
operating procedure.
c) Bypassing of any portion of the SIS shall not result in the loss of detection and/or
annunciation of the condition(s) being monitored.”
Normalmente en el frente del panel del gabinete del PLC SIS, contará con comandos para la
activación de By-pass. Estos By-pass solo trabajarán sobre la matriz de seguridad (causa-
efecto) que se confeccione en la Ingeniería de Detalle, evitando que el Resolvedor Lógico
realice el correspondiente Shutdown, no obstante deberán dar aviso en las interfases de
comunicación del SIS y panel luminoso en caso de activarse su condición de alarma.
Los By-pass serán temporizados con un tiempo de rearme acorde a lós requerimientos
determinados en las SRS de SIS. Los Switches de habilitación de Bypass deberán estar
protegidos por password y jerarquía adecuada para prevenir el uso indebido de los mismos.
Toda manipulación y operación que se requiera sobre el SIS, tendrá que estar administrada por
medio de privilegios y distintos niveles de usuario. Así se implementará y documentará como
mínimo tres niveles de usuarios: Administrador, operador y Mantenimiento.
Operador: accederá al SIS, para poder realizar diagnósticos sobre el estado de todo el sistema
y además podrá ejecutar funciones de By-Pass y modificación de set point de alarmas.
El operador deberá ser alertado del by-pass activo de cualquier porción del SIS por medio de
una alarma y/o procedimiento operativo. El By-pass de cualquier porción del SIS, no deberá
resultar en pérdida de detección y/o anunciación de las condiciones monitoreadas.
Como política recomendable para el caso de los By-pass, se menciona los siguientes aspectos
a tener en cuenta:
La operación de ejecutar un By-pass dentro del Sistema Instrumentado de Seguridad del Horno
de Crudo, deberá realizarse según las condiciones de contorno presentes en las cuales el
sistema está activo, debiéndose tener en cuenta lós siguientes modos de ejecutar um By Pass:
Para efectuar las tareas de mantenimiento, será necesario contar con equipos de calibración,
configuración y herramientas en general adecuadas para llevarlas a cabo. Cada equipo y/o
herramienta, deberá tener la certificación de calibración vigente, proporcionada por una
empresa ente gubernamental o institución certificante reconocida.
En este punto se detallarán las acciones y recaudos que los encargados de realizar el
mantenimiento del sistema SIS de planta deberán llevar adelante para mantener la cobertura de
riesgo que ha dejado de estar presente al poner en mantenimiento una SIF.
Toda función Instrumentada de Seguridad y/o salvaguarda tiene como función la de cubrir ya
sea parcialmente o totalmente el riesgo existente en la operación de una planta, ya sea en
forma conjunta, (SIF + Salvaguarda), o en forma individual, (SIF o salvaguarda).
Para que el factor de reducción de riesgo asignado tanto a las SIF o los salvaguardas se
mantenga en el tiempo, se deben realizar testeo y/o mantenimientos a los mismos con una
cierta periodicidad. En el momento en que se realiza dichos testeo o mantenimientos, la SIF y/o
salvaguarda quedarán inhibido para poder cumplir con la función asignada, (reducir o mitigar el
riesgo), por tal motivo en dichos momentos se debe acompañar las inhibiciones mencionadas
con acciones y recaudos destinados a brindar la reducción de riesgo que brindaba la SIF y/o
salvaguarda.
8.9.2. CONSIDERACIONES
A continuación se listará una serie de consideraciones que deben aplicarse y tenerse en cuenta
cuando se este realizando un testeo y/o mantenimiento de una SIF y/o salvaguarda.
• El mantenimiento de las válvulas de alivio solo podrá ser realizado cuando el equipo al cual
están asociadas, se encuentre fuera de servicio. (Por tal motivo en la descripción de los
recaudos y acciones a tomar cuando se inhibe una SIF no se han considerado).
• Antes de proceder a realizar el testeo y/o mantenimiento de una SIF y/o salvaguarda, se
debe identificar y tener presente los procedimientos y equipos sobre los cuales se debe
actuar en el caso de generarse una demanda.
• En aquellos casos en los cuales el equipo designado como reemplazo del que se esta
manteniendo, (válvulas manuales, push button, etc.), se encuentre con problemas o fuera
de servicio, se debe buscar otro sobre el cual poder actuar, asegurándose que se logrará el
mismos efecto, (reducción de riego), y se cumplirá con el tiempo requerido para la ejecución
de la acción destinad a reducir el riesgo.
• En el caso de que un determinado riesgo se encuentre cubierto por la suma de una SIF y
una o varias Salvaguardas, NO se debe testear o poner en mantenimiento al mismo tiempo
el SIF y las salvaguardas. Se debe evitar eliminar por completo la cobertura del riesgo.
• Solamente pueden testearse y/o ponerse en mantenimiento en forma conjunta una SIF y los
salvaguardas asociados a la reducción de un determinado riesgo sobre un determinado
equipo SI y Solamente SI, el equipo asociado se encuentra fuera de servicio, aislado, y los
elementos que conforman la SIF, (sensor y actuador) y los salvaguardas no se encuentran
compartidos con otras SIF y/o equipos.