Seguridad Funcional en Instalaciones de Proceso Sistemas Instrum

March 17, 2018 | Author: Rosa | Category: Programmable Logic Controller, Mathematics, Science, Technology, Technology (General)


Comments



Description

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO Sistemas Instrumentados de Seguridad y Análisis SIL Coordinadora: Inmaculada Fernández de la Calle Autores:                !"# $% &' ()*#  '(' + © Inmaculada Fernández de la Calle et al , 2012 (Libro en papel) © Inmaculada Fernández de la Calle, 2013 (Libro electrónico) Reservados todos los derechos. “No está permitida la reproducción total o parcial de este libro, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos sin el permiso previo y por escrito de los titulares del Copyright” Ediciones Díaz de Santos, S.A. Albasanz, 2 28037 MADRID [email protected] www.editdiazdesantos.com ISBN: 978-84-9969-658-4 (Libro electrónico) ISBN: 978-84-9969-210-4 (Libro en papel) ACERCA DE LOS AUTORES A COORDINADORA Inmaculada Fernández de la Calle ''  .   '. ' M '.  N''   $ '  +' ' M '$' +O$ 6#' ' $'P'': #$K 6+L  ' )' O'' $ $ . ')6#' . ' / . $ : $$ & Q R4. '. (' /6.  . ' ' /       . $. . 'R & Q . '  .  6#' . ' )S:  /$ $. $$  .  #' * $. '.  J$'.     $.  $'  ( '  &. $$ $  .  6+ J /'  $'.  &S 6#' )*''$'''+ ' &6+ J ) $'. '  . $' $ '$4. '.  + . '  $ & ) . '$  . $9K#'. '$  '$ $ #' L/10K*  . 'P. . '#' :6(6L/11 K*'J. . $ 66.  . 'L)12K*'J$ 66L AUTORES Alfonso Camacho López #'R4. '.  ' ). . ' O'. ' $ $ . '/$ $' . ') $G. M '. /6'$  $*'$'&')6'$ $ $  6#' (P G$/G $ G$3 '. ) $ -.   . ..VIII SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. %   .  ' $ & Q  $' '$'$ $ : . '/'J '$ $ . '). $' .    '#' % ' & # ' . ')'' $ Q/ &  ) $  .  T$'' .  $ $3 '.  G$$ $ . ') $G. 68( % . '$ $8K+ $. '$ '$ $ #' L Inmaculada Fernández de la Calle '. . '  .   '. ' M '.  N''   $ '  . ' ' M '. $' +O$ 6#' . ' . . $'P. . ' '#$K 6+L  ' ). . ' O'. ' $ $ . ')6#' . ' / . $ : $$ & Q R4. '. (' /6/.  . ' ' /       . $. . 'R & Q . '  .  6#' . ' )S:  /$ $. $$  .  #' * $. '.  J$'.     $.  $'  ( '  &. $$ $  .  6+ J /'  $'.  &S 6#' )*''$'''+ ' &6+ J ) $'. '  . $' $ '$4. '.  + . '  $ & ) '$   $9K#''$  '$ $ #' L/10K*  'P'#' :6(6L/11 K*'J$ 66 'L)12K*'J$ 66L Carlos Javier Gasco Lallave '. '  '. ' '.  N-+* . ' ' '. $' )+O$ N''$ '(# . ') $G. $'  N'' G'$4. : '.  ' %      '   . $ $3 '. / .    $   6#' G. /.  O$6'$ $ $ 6#' )$O/ ).   #'  . $'' ' .  ''$ ') J  /  '  . $'' . $.  $UM '.  $' V/ N': ' (' )S'#''R  # ) & . ').  $ J  6:+ J  . Acerca de los autores +.  '   $'. ' ). $'$ . ' .  #' $ $ . ''$. $' /#R4. '. (' ) ' $ . $'   '  $ . '$'$ *9  '. &4'. K+ J )G$# L. . 66 Coach. $  $ & #. ' 6#' . ' #  ). $ % . '$ $2K#' . '/$ ) $' L/3 K  $. . ' '$  . '. L/14K $' '$)O$ . '66L)15K'P. . ' 66L Ana María Macías Juárez +W Q  $'##'$' $'$$R. #'. <.  (/. ' '$ 6#' . '    '$' . . $ '. : &. 3'.  JO'. ' ''('#G. /*$ ' . ' . '#' ) '# . '6&Q$'% &'.  $. #' )    . $'. $:684O'% '  $' T$'  $: #4$') ')$#'   $'$'# ')$#  4O' % . '$ $5K*'J. . $ L)17K . $'. L    . .  #' R4. '. $' /. ' '$ 6'6'$  $)6#' /O: $ 6#' . '  $'P.  K 6+L/$ & Q BEEX $ $  $  $ $ . ' *'. . '#' :*'. . 'R4. '.  ( % $ & Q +  '# '#'    $' '$4. $'.   . $ .    D=?= $ D==B+R4. '. (' 6D==X BEEX/ $ $6'$    A$ $' . 'Grocesos I$' )  $ $$ $ . ') $ % . '$ $13KR/'$  . '/.  '' ) ' . '66L IX . . Gabriela Reyes Delgado " 6#' G..X SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.  *'''6#' $' . / 6#'$' +. ' ' M '. )R4. '. 6'G. '(': # & /. ' ' 6#' /%'#')+#   % $ & Q .  JBEEE). $ .  ' $  O'. '   ': . . '  $# % KHazard and Operability StudyL)''6 .    - $' -686:6?@ED:D==A+ ADHE?8ADHDD&6#' . ' /  .    '. . '$  $# '$'P. . ''#/). : $'$  . 'O'$$ '. '   . $P/$3 '.  )# /)# . $'$' /$ $ ' . ' .  '$ . '  *' O'. ' . $ $  . . ' &''('#$' : / &''  $'. ' &+$'% )''6 . / .  &'. . ' $. &  $' '$'$ '$ . ' '   % . '$ $6K''('#G. L/7K$#    : $ ' . ''. 6L)16K. '  #' . ' L) &  Z'. $'& Julio Rivas Escudero  G). $ (P 6 $G$ #' 4. $'.  %      .   '   G$$' $ '$ $ . ')+. $'. '  $' '$)$ $ . ' #' + J=E'). $('$ $ . ')*'#'$ ' . '  P ) $ '.   ). $$   *:  $ $ $  )6'$ G' (P 6 $ G$ $3' JKD==B:BEE>L' &6+ J /$'  '$4 Q$' $' J/3$G'$ G) $U$ $ ') $G68(V  $6#' $'  % . '$ $1K$. . ' '$ '$ $ #' L) 4K$. . ' . '. ' '$ '$ $ #' L 4  $' ' '&) Q''. '  . AGRADECIMIENTOS M''4  # . ' #  6+ J  : Q/ '') )3 . '   3$ '&  / ' #. '3  . ' Q$)Q$  #  P  M  $ 3 )6+ J  :  '  $  $ . '. * /. ) )'. . '  '  #' - Q  &  $  '' /    3  '. $ &'4 $$'& N  . '. '   < /3'  : $  / '   $).  $  . $.  '' & '  .     $ . . PRESENTACIÓ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que algo sucede. +$'&#.PRÓLOGO P “Cuando conocemos. pues. siempre estamos presuponiendo que algo antecede y que a ese algo sigue lo que sucede conforme a una regla” Critica de la Razón Pura.  $   . ' . . '$. $ $   J $ $ )$ '$# . $G. .   6'$ $ $ 6#'   #$ ' . '&'$'&/  ' $3 : $ &     '/      O'. . '  $ /  $  O'. ' /   'P. $ 3  #$ J  ' . $ /)#  $3 $# . $/. $ $  'P /$''  +'&$'). $ 3.    $ . $ . '. ' #' /& $ + :ADHE? + :ADHDD)  $'  '.  6:?@EEED       $'  '. &/ 3&'# .  : ' '$) 3.  ' $'' . $ G   $' .  $. . '/ 3G/. 4'$ : . ' K . $L/. '$ &'4$' +$'   #& . '. '  #' /'J. . : $ /.  $3'#' .  $  ). $/34' . ' . ' /).  $''  ' . ' +$' '$ 4$ '''#/ .   '#:  . '6  '  '$ $ . '. ) #'. . . $  #'  . ' /$''$ $/'$  . '/) $' '$ *     $ DE   specicación de seguridad K6(6L/ '. : ) $.   /'. )  34' . '&. # .  3'. 'P. . '#'  + $DD'. ' $ .  Función instrumentada de seguridadK6L/.  'P.  6/34 . $ )3. ' 'P. : . '/ '$'$  3'$. $ )']. ' $ probabilidad de fallo en demanda KG*L/disponibilidadKL)abilidad K(L XV . XVI SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. G    $ 66/34.. ' . ' )3$': J7& ' /. ' . ' &'$ / '' ' . ' . .   .  T + $DX   '$  . '/.  '' )  ' . ' 66/) 4'. '. ' '$ . 3  .   . $3 )3.  &  + $D@)DH   $ ' $ $&   ': . )Q . ' '$ $' '$) . ') #$' . &'66 . ' $ &'4. $&#. ' . ' /'$'P.   . $'':  #$'.  '    # 3.  &Q$' #: ' . '  + $D>    Q . $'. . '. '  #'  '.    6 $ &. '.  . ' P .  . $   J '  $ ' $ $7 ^ ^ W-6+W6G(" R W6 G(-WWS*( *   3    . ' PQ   . . ' '$ 3     ) 3  3'$  '$' G  P ' /'. ) O7 ^ ^  '$4 ') . '  (. ' &'&'#P.  +$ $'&#& &6#' . ' &  $ : '$ . ' )$ ' O'. '  Inmaculada Fernández de la Calle K '   & L . ........................................................................................................ XI Presentación /   ........................................................ VII Dedicatoria................ÍNDICE I Acerca de los autores .............. .. 14     ......... 10 1...............3............................. Elementos de campo ....................................... 8 1...................................................... SI  IS ................. 11 Para no olvidar .......................................................................... XIII Prólogo / Inmaculada Fernández de la Calle.......3........... 8 1................... ¿Qué es Fallo Seguro  Fallo !eligroso............... 6 1....................................................................... 6 1..................... Necesidad y ámbito de aplicación de un SIS ......................2............ 9 1....................%....... ¿Qué es una Función Instrumentada de Seguridad (SIF) ....................3...............1................... 4 1... ¿Qué es un Sistema Instrumentado de Seguridad (SIS) ......5...............   ..... Introducción a los sistemas instrumentados de seguridad (SIS) / Julio Rivas Escudero .............. 11 1......................................................1.............................6. 4................1..... 5 1..1................. Introducción .................................................................................................................... 2 1....... &tras de'niciones ..................... 13 Conse*os práccos ............. 2 1........XV 1.....................................1..... Selección de redundancia ................... ¿Qué es Tiempo Medio entre Fallos (MTBF) .3................................3....................................... 1  eleccin de la ecnoloa a ulizar.......................2.........3....2.......................................................................3.3............... 1 1....2........ Terminoloa y deniciones más importantes......2.2........... 1 1... ¿Qué es la !ro"a"ilidad de Fallo en #emanda $edia (!F#avg) ............................ IEC....... 2 1.......................................................................................... ¿Qué es un ivel Integrado de Seguridad (SI) .....3..  . .. 15 2....2.............#.............................2...................................... ! / Carlos Javier +asco allave ................de 8 de noviem"re de Prevención de Riesgos a"orales ...... 21 2..119 .................3............................ 24 XVII ........ CFR 1910................................................. 16 2..... 16 2....................................... 15 2............... Seguridad Funcional ......... R......2....1..........................................3....................................1.. orma SI...............2............................. 20 2...... ormas IEC . 19 2....... 21 2........... ............... &S............... Análisis de riesgos de los procesos.......................3........... 12541999 de 16 de *ulio  posteriores modi'caciones..................................2.......... Introducción .................................................. e 311995.2....................3...........1. ....... 45 3................ Salvaguardias............... ormas /E.................... 45 3.........1..................................................................................4........................................ 30 Para no olvidar ..................... 2.........51 3........................ 51 3.................... 41 3........................3......................................3........2... Tipos de IPL .........................................3.......Elemento iniciador..6..... Capas de protección en instalaciones de proceso / Carlos Javier +asco allave ......................... Caracterscas de las capas de protección independientes IPL .........................................................................................................................................49 3.............XVIII SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.4...........3..........2.3........... 54 3........... 34 Listado de Normas Direcas y Guas............1.4........................................... 48 3............3........... Operación de la instalación ................................ 53 3............................................................................. 28 2....................... 50 3............... Ejemplo de estrategia de seguridad funcional ................. 49 3............. Una primera aproximación al concepto de riesgo .............................................5....................................... ¿Podemos minimizar el número de escenarios peligrosos asociados a un proceso? ...... 52 3..............4.....................................................1............. Seguridad inherente al diseño ...................... 35 Tablas Legislación y normaa para la aaluación de riesgos ....................... &tras ormas ................................................. ¿Qué puede iniciar un escenario peligroso?................................... Introducción............................ 34 Conse*os práccos ......2.......................... .................................... 70 4.............. 71 Diseño conceptual..7...................... 68 Para no olvidar ....................................................... SIS vs BPCPS ...........................................8... 57 3.......... 4. ........ 77 .............4.......... 66 3.............. 72 Asignación del SIL de cada función de seguridad.....1................8................................ . Sistemas de control de procesos (BPCS#CS) ...............2......................................................2.4..... 71 Introducción....................4.....................................................................................................................7.................................................%......8................. 61 3......1........................... Capas picas con funciones protecas ....... Sistemas de contencióndispersión .......... Sistemas instrumentados de seguridad (SIS)... 4.............. ..........5...................1............................... Metodologas semicuantavas  cuantavas........1........... ........................................3............ Capas picas con función de migación ........... #isposivos mecánicos de alivio de presión .....................3... 77 Desarrollo de la especicación de seguridad............................................ ................. 58 3......2..... 72 Análisis y ealuación de riesgos de proceso...................................................................................8..........4.......................................................... Sistemas de :uego  gas ............................ Introducción al ciclo de vida de los sistemas instrumentados de seguridad / Julio Rivas Escudero................... 57 3.2.. 4...... 76 4..... 61 3.................... 4..................... 4.... 65 3................ 60 3...........7...3..............8....... Sistemas de alarmas . 61 3................................. Planes de emergencia ........................................................4............. Metodologas cualitavas .................... 77 4..... 69 Conse*os práccos ....... .............2...3............ Diagrama de tubería e instrumentación (P&ID).......... 79 4.. Introducción...............................3...........................2.................................. 85 5........................................ Bases de datos o análisis histórico de accidentes . 113 6...... 104 6..........5.......................... 92 Para no olvidar ......4....................2...............................2....1........................... Re............ 83 5....................................8........................9............................... 78 4........... 108 6.............. . 119 6..... nálisis .............7........................... 83 Conse*os práccos ............ 87 5................5...............5.. ista de alarmas  disparos ...... Instalación.... ........................................... 6..............uisitos comunes <sicos ...........................................2......................4....... Estudios de riesgo  operabilidad (....................?OP)... nálisis mediante listas de chequeo o checA list .......... 120 XIX ........ 87 5................................. nálisis del riesgo con evaluación del riesgo intrínseco......... 79 4.2...........?ID o análisis preliminar de riesgos ... nálisis mediante árbol de sucesos................................ Diseño conceptual / na Mara Macas Juárez ......5......2..........2..............................3.......... 91 5.............. Diseño conceptual del SIS y ericación del SIL de cada función..................................................6......................1..................................... 80 4...... 6........ Diseño de detalle del SIS...... 93 Conse*os práccos ...................efectos  consecuencias (FMCE) ...2.... 95 Tipos de metodologías de análisis de riesgos ....... 6.............2............3.........2.............................. 80 4..... 101 6..................................10..............Índice 4. ........... .......3.........................7............ ...................8..2........... 102 6..... Requerimientos parculares .................... Balance de materia  energa (. Análisis de riesgos de procesos / +abriela Rees Delgado ........... Metodologías semicuantaas....... Modicaciones............................................2................................ .......5.................... nálisis de modo de fallo  efectos (FME)........................................................3....... 90 5.................. 99 6................................. Mantenimiento y explotación de los SIS............ 94 6.............................3....... .... 89 5..... ..................... 95 Introducción al Análisis de Riesgos. Criterios de aceptabilidad del riesgo .... nálisis de modo de fallo... 99 6.....8.3..... Matriz causa  efecto ........................ Descripción general del sistema de enclavamientos . Diseño de detalle ......... Diagrama de =u*o del proceso (PFD).............. Diseño conceptual . pruebas y comisionado del SIS......1................. 106 6..........................................2..... ...MB) .................... Plano general de localización de eqipos.................. 118 6... nálisis mediante árbol de fallos (FT)................................. 90 5.......... ..1.....4..................6.....................1.......... Descripción del proceso o bases de diseño.....................................................3.............. 85 5.....................................6.......................3.3..................................................... 89 5....................... 85 5.7.......................................................... Requisitos comunes funcionales........ .....3......... nálisis @hat if..1.............. 78 4................9........3........................82 Para no olvidar .................... 97 Metodologías cualitaas .......4..........2..................4.................................... 92 5........... 111 6........... istado o índice de instrumentos . 81 4..... 91 5.............................................. ................. Recomendaciones para medida de caudal por presión diferencial...............7................2....2.....................................2................ .............. Introducción .......5....................... Medida de caudal con elemento sensor insertado en la tubería...............................................129 Para no olvidar ........3................................. nálisis cuantavo mediante árbol de sucesos........ ........................5. 143 Conse*os Práccos ............. 125 6.....................1............. Estudio de riesgos y operabilidad AOP ..................................... Matrices de riesgo..........................................2.................. 155 7......2.....................................6.......................................2........... Metodologías cualitaas ....... ........................................4.................................... Medida de caudal por presión diferencial... 188 8..................... 125 6...... Metodologías semicuantaas..................... Índices de riesgo..........2. Ejercicio prácco de aplicación........1.............6.......... Ejercicios Práccos de Aplicación. 150 7................... 169 8.... Tecnologías.....................................2...... ....... 167 8..................... 160 7........................2.......... .............. Criterios de selección de los métodos de idencación de riesgos.............. 6........ 145 7......... 174 8.... nálisis cuantavo mediante árbol de fallos.......................... +rá'co de riesgo calibrado.1.......1.....3.................. 167 8..................4... Criterios de selección de la metodología para cálculo del índice SIL.......7...... Metodologías para la determinación del índice SIL / +abriela Rees Delgado .................... Ventajas e inconvenientes en la medida de caudal................................. .................4........2...2.....1....... Medida de caudal con elemento generador de presión diferencial insertado en la tubería ............................... +rá'co de riesgo ........ ............. ....................... .......... . 168 8..... nálisis OP o análisis de las capas de protección.............XX SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO................................5.................. Metodologías cuantaas...........1................... ..... 155 7.. .............6......................................................5............................... 165 8....... 146 7.......1.... 124 6. Medida de caudal................................................ 190 8........... 159 7............ 162 Para no olvidar .... 165 Conse*os práccos ...................1.3....... Metodologías semicuantaas ...............................................5................... 122 6............... 187 8... 150 7.1...................................... nálisis cuantavo de riesgos en el entorno ......... Introducción.............. 121 6............. 143 7.......... Exigencias de diseño para los sensores de campo...........................2... 145 7...............4.........2... ............................... 125 6..3.............. 174 8........ 147 7......................................... 186 8.............. ............. Reparación  calibración de instrumentos medidores de caudal con sensor insertado en la tubería............................. ............3.. 196 ..5......... ................ Elementos de campo del sistema instrumentado de seguridad / lfonso Camacho ópez ..................... Cálculo del índice SIL mediante matriz de riesgo ........................... ........2.......................1............................................................ 146 7.................................. .............. 295 9............... ..3.. 298 9.............................. 236 8................. ................................. . Tecnología eléctrica.............................................................3......... Medida de la temperatura........................................... 292 Para no olvidar ............................. Termopares....2.........7... ..................................8.3.. 301 9.........................................................................................2.................. Conexión al proceso de instrumentos de nivel.................... 264 8................ 294 9... .........6....... 269 8........ 286 8............4...............................................7.....................1................................5.............1........... .... Inspección  pruebas eléctricasH............ Tecnología PES..........8........... Criterios generales..... ...... Lógica del sistema instrumentado de seguridad / Inmaculada Fernández de la Calle.... ... Conexiones de temperatura al proceso. Prueba de carrera parcial (Paral StroAe Test..........1...............2................ 254 8........2.Índice 8.............................................. ........4. 295 9............ ............. ...... Exigencias de 'abilidad para actuación ante demanda.................................... 302 Para no olvidar ................6................................................7.......... Medida de niel...... 303 Consejos práccos ..PST)...................... 296 9.............. 283 8.................3..2............................................................. 216 8.......... ..... Tamaño del sistema.................. ...... 297 9............ Medida de presión...................1............. 209 8...................1............4. 289 8......5.......................................................... 220 8......7....................... 260 8...... Consideraciones del diseño del soare........ ......... 215 8....................... SoKLare de ulidad...2......4........................... ........ Cableados para instrumentos de seguridad...6............. 295 9..................... 288 8....... SoKLare de aplicación... ... Termorresistencias........................ ............. ................... 282 8..... 300 9..............6......................3................. Tecnología electrónica............ 300 9.........................1........................................................... Conexión de mGlples instrumentos a recipientes.......... Comunicaciones con otros sistemas... 299 9........................1............ ............ Pruebas de carrera total a los elementos 'nales de control.........3.2........................................................................................................... ...4.......2. Recomendaciones para circuitos de seguridad.................... 226 8..........5.. Selección de la tecnología......8.............................. 303 XXI ....... 208 8......... Conclusiones......... 238 8.................. Elementos 'nales aplicados a funciones de seguridad... .......................2............4........ ..2. .............................3..................... Elementos nales de control............. Introducción........................................................ Inspección  pruebas mecánicas..... Conexiones con montaje remoto.................................................................. 294 Consejos práccos .. ............4.........................................................1.............. 278 8... 229 8................ Complejidad del sistema................. .3................. Termómetros de sistemas térmicos llenos (bulbo  capilar)... SoKLare integrado........... ........ 301 9........ Conexión de varios instrumentos de presión diferencial...........................5......2................2.......................................1.............6..3....................... 234 8..........6............... ................. 299 9.............. Inspección y pruebas generales de la instalación..... .......... 299 9......................... 204 8...... ... ..........................3..4...7....... .XXII SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. "# $ .. . ......... 330 11............................   %&   seguridad (SRS) / Inmaculada Fernández de la Calle ...........................4........5.....2.... Modos de fallos y tasas de fallos.................4.. 326 11......................................... 320 Ejemplo del formato recomendado de SRS para una SIF..............................................................2.................. ........ Aruitectura y lógica de otación...................... Métodos de cálculo de la probabilidad de fallo en demanda PFD ........................... Procedimiento para la ericación y diseño del SIS..........6..................... 312 10...........................5......................................6. 315 Para no olvidar................................. .....1............. ............................2..... comisionado y validación del SIS / MN Ángeles MarUn ....................2.......................7. 358 Consejos Práccos ...................................................................... ............... Introducción............ ......... Diseño de detalle del SIS / Inmaculada Fernández de la Calle ........................................3.....3............................. ..... ................................................... 361 12.......................... 321 11....................... Prueba de aceptación en fábrica........... 308 10................ 355 11...... 369 13............................................... 306 10... Introducción.................. 353 11..... Consideraciones generales de gesón personal..ernández......1.....................2............................ Técnica RBD................ 329 11............................... instalación...... 361 12.................... .........9.......................1.......... ........................... ..........................................................................................3...........................................................................7............................................................................................................................................................ ....... .. 324 11................. Árboles de fallos............................................... ......................................7........................ 367 13...... Diagnóscos.................................. Introducción........ Diseño conceptual del SIS de cada función / Inmaculada Fernández de la Calle ................................... 357 Para no olvidar ...............1.. Especicación funcional................. Ejemplo del formato recomendado de SRS para una SIF .... 305 10............ 314 10.... Denición y conceptos básicos.............. 359 12........... 321 11.............. 369 13................ Integración de la información y documentación............................7....... 372 ............................... 331 11................... Introducción........... 349 11.....................................1.................................. ........ FAT................. ....................................................................... Reuerimientos o especicaciones generales....... 367 Consejos Práccos .... 366 Para no olvidar ... ..................................................... Fallos de causa común..................... 320 Consejos Práccos........................ Modelos de MarAov........ 305 10....................................... Fórmulas simplicadas.......... 337 11............... 313 11...... .......... Consideraciones generales del ardare.............................................. 361 12............ 321 11.........................................................8........... comunicaciones y documentación.......................................... ............. Especicación de integridad....3......... ............ 378 13.... Informe de las pruebas ...........................3.............................................................................................3...4................. 387 péndice 3 X Inspección mecánica............. ¿Porqué son necesarias las pruebas a los sistemas?............................6............ 382 13..................... Introducción........................................................ 403 14......................... 397 péndice F X Cer'cado SIT ........................................................4......................................... 386 péndice 2 X Comprobación de inventarios del hardLare  soKLare del SIS...................... 401 Consejos práccos ... X ista de Comprobación de la evaluación de la seguridad funcional ............................... ..................................... 376 13. . Ealuación de la seguridad funcional .......................... Establecimiento del interalo de las pruebas a los sistemas. 398 péndice + X Cer'cado de aceptación del sistema ............4.......................................... Pruebas de integración en planta ...................... 378 13.........1...... Pre-puesta en marcha .... 387 péndice 4 X Inspección del cableado  el conexionado...................................................................................................... . ................ Comprobación del rendimiento .....................................................................4....................................... 393 péndice B X ista de comprobación ST...........2.......4... 402 14................. .............. 394 péndice C X ista de comprobación SIT .... Mantenimiento y explotación del SIS / Carlos Javier +asco allave ................................... Discrepancias ... Validación de seguridad del SIS o pruebas de aceptación en campo pruebas SAT .................................. 379 13....................8............................... 409 XXIII .......................................... 396 péndice E X Cer'cado ST ............ 403 14............................................................................Índice 13.... 399 péndice ........... 375 13........ 389 péndice 7 X Comprobación de la redundancia  diagnóscos del hardLare............................. ............... 395 péndice D X Cer'cado FT .................................................................................. Apéndices ... cvidades generales ........4.... 380 13.................. 392 péndice 11 X Integración de subsistemas......... 404 14......... 381 13................................ ........................................7.....................................2..... ....... ..3.......................... Instalación y comisionado............................................................... 382 13..........1.......................................... Pruebas operacionales ............................ 384 péndice 1 X Comprobación de la documentación................................. 391 péndice 10 X Funciones complejas  modos de operación......................................... 391 péndice 9 X Comprobación funcional............................... ... 380 13.............................................................4................................ Inspecciones de la instalación ....................................4...... 389 péndice 6 X Prueba del sistema de alarma... ...........................................................6.......................................................................5................ 390 péndice 8 X Visualización  operación........................................ 383 13...............................................4.. 388 péndice 5 X Prueba de puesta en marcha  de funciones generales del sistema .....4............................................................5...................... 400 Para no olvidar ....................................... ........................ ...................1..... ................ 452 16...............................5..................2...................................... Documentación  cer'cación de seguridad funcional.........................4... .................. .....3.......................... ............................................... .. Bene'cios de la +erencia de Seguridad Funcional..................................2..2.... Factores claes...... 452 Para no olvidar..5....................... 447 16..................... ...............3........................................................2... 445 16.....2.......................... Pruebas on-line ................ 444 Para no olvidar.............. 450 16...................... 441 "' &   *+*/ Carlos Javier +asco allave ......................... Ejemplos de procedimientos de mantenimiento y operación del SIS........................... 443 15...................3....................... ........XXIV SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.................. 413 14............3..........4............ Tipos de pruebas oY-line y on-line............2............. 454 "- / %.................6...................... Organismos  recursos...................................... Plani'cación de la seguridad...... Consideraciones generales en cuanto a documentación  registrosZ .................. 422 14....... . 449 16.......................................................2........ Procedimientos de gesón del cambio.............5...............................1..................... 447 16... Procedimientos para la gesón del ciclo de ida de los sistemas instrumentados de seguridad... ..... Responsabilidad de las pruebas y la operación de los sistemas......... Introducción.......................................................................................1....... .. Ejemplos de procedimientos de mantenimiento ......... 411 14..............................................420 14. 448 16.................. 14............. 448 16.. 441 Consejos práccos ... Necesidad de gesonar los cambios............................................2.....................1........ 448 16.................................................... ......... 443 15.........................................1. 453 Consejos práccos..................................... Veri'cación de seguridad funcional........................6............................6......................... 416 14.............. Pruebas oY-line ........ 413 14..2....2.................. Gerencia de seguridad funcional / +abriela Rees Delgado ............. 421 14............... 443 15...... Ejemplos de procedimientos de operación........................ ..................... ............. 431 Para no olvidar .........5............5.............................................................. Introducción.................. 445 Consejos práccos.............. ........................................... Diseño conceptual ....................................................... Introducción ....................... 466 17. Diagrama a bloques de arquitectura propuesta  tecnologías ......................... Determinación del SIL objeo para la función idencada ...........3.......... Analisis de riesgos mediante AOP ....5....... Diagrama causa efecto del SIS .........................2............ 464 17............. 455 17............6...................... 461 17...6...6.... 455 17........./ na María Macías Juárez ........................... Cálculos de probabilidad de fallo en demanda promedio (PFDavg) .......2....................................466 ......1....................................... Especicaciones de los requisitos de seguridad de la SIF .............1....... 459 17...........4..... 465 17. 455 17..... ........................Índice 17..................7............................. Diseño de detalle del SIS .................. 471 17.8......................9.............................................. comisionado y pruebas del SIS............................... 471 Glosario de términos y acrónimos ............ 469 17........... 475 :... Procedimientos de operación y mantenimiento ....... Instalación...................  << . .................................................... 479 =  > ................ 483 XXV ........& ................................................................................................. . INTRODUCCIÓN A LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD (SIS) 1 Julio Rivas Escudero SUMARIO: Introducción. Necesidad y ámbito de aplicación de un SIS. Terminología y &  %.    .  . es la forma de tratarlo. En la industria están implementados los Sistemas de Parada de Emergencia (ESD) para la protección a los seres humanos. INTRODUCCIÓN Cuando un accidente ocurre. al medio ambiente y a los equipos. es decir. No es por lo tanto un concepto nuevo. lo que sí es novedoso. es debido normalmente a una serie de causas o sus combinaciones que producen un evento peligroso.1. que  '   '. 1. los sistemas de parada de emergencia van a disponer de un ciclo de vida. S' 6#' /3  $  P'. etc. *$ $' G. La variedad de nombres asignados a los Sistemas de Parada de Emergencia parece algo ilimitado: Sistema de Enclavamientos (IS). Sistema de Parada de Emergencia (ESD). Sistema Instrumentado de Seguridad (SIS).' y acabará en la desmantelamiento. /& $. $'T &'#'P. .   uno de ellos. Incluso en el Comité ISA SP84 hubo discusiones continuas (y cambios . $L& $ '# /P'. ')'#'P. .  $4minos. -&$ $ . ' '$'    ''#'P. / . $  ''J/'$  . '/$  . / $' '$/ 'P. . '/$. dependiendo de la norma. SELECCIÓN DE LA TECNOLOGÍA A UTILIZAR ¿Qué tecnología deberá ser usada: relés. de estos sistemas. Así. nos encontraremos con muchos ejemplos y preguntas que no son fáciles de responder o que la respuesta no es la misma. estándar o persona que la dé.1.1. estado sólido. microprocesador (PLC)? ¿Depende dicha selección de la aplicación? Los relés son todavía usados en pequeñas aplicaciones pero ¿diseñaría un sistema de 500 entradas/salidas con relés? ¿Es económico diseñar un sistema con 20 entradas/salidas con PLC redundantes? . A título de ejemplo se exponen algunas dudas típicas: 1. #P '$ &  $9  '..2 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. . actualmente.2.1. SELECCIÓN DE REDUNDANCIA ¿Cómo de redundante debería ser diseñado un sistema instrumentado de seguridad? ¿Depende de la tecnología o del nivel de riesgo? Si la mayoría de los sistemas basados en relés son simples. ¿analógicos o digitales? ¿Redundancia o no en los elementos de campo? ¿Pueden usarse los mismos elementos de campo para enclavamientos y para control? ¿Frecuencia de prueba de dichos elementos? N&Q$'$'&$ $  $  $ #$ ).3. los sistemas programables de triple redundancia? 1. ELEMENTOS DE CAMPO ¿Deberían los elementos sensores iniciadores ser de tipo transmisor o interruptor (switch)? Si usamos transmisores. ¿por qué son tan populares. ¿Es una buena recomendación? 1.1.'#ridad. NECESIDAD Y ÁMBITO DE APLICACIÓN DE UN SIS Los accidentes industriales raramente suceden por una sola causa. Ocurrió de esta manera: El material que fugó en dicha planta fue isocionato de metilo (MIC).000 están afectados de alguna manera. Unas 3. Dicha fuga (del orden de 40 toneladas) se produjo en un tanque de almacenamiento que contenía más cantidad de lo que establecían los procedimientos de seguridad de la compañía.000 personas han perdido la vida por las secuelas y unos 150. Tomad.500 fallecieron en las semanas posteriores por inhalar gas y beber agua contaminada. El sistema de refrigeración estaba desconectado. como ejemplo. el MIC se había almacenado a una temperatura cercana a los 20ºC y se había reajustado la alarma a 20 ºC. 'Pcar la confusión general que sobre estos sistemas se está produciendo. Los procedimientos de operación establecían asimismo usar un sistema de refrigeración para mantener la temperatura en el producto de dicho tanque en 5 ºC disponiendo de una alarma cuando la temperatura subiese de 11 ºC. el peor accidente químico ocurrido hasta la fecha que tuvo lugar en Bhopal (India) en una planta de pesticidas.2. 1.000 personas murieron de inmediato y al menos 12. Lo normal es que sean consecuencia de una combinación de eventos poco comunes que se piensa son independientes y que no deberían suceder al mismo tiempo. Desde entonces se estima que unas 25. N$ & Q .  ''     .  #  $& )P$3 encontraban obstruidos. El agua pasó al tanque de almacenamiento del MIC a través . los Sistemas Instrumentados de Seguridad constituyen la última capa de seguridad preventiva y ahí radica su gran importancia y necesidad dentro de la Seguridad Industrial de las Industrias de Proceso. Sistemas de contención. El separador/lavador de venteo de gases a antorcha que podía haber neutralizado la fuga estaba fuera de servicio por estar suspendida la producción de MIC y pensar que no era por tanto necesario. Las segundas son aquéllas que se diseñan para paliar o limitar las consecuencias de un suceso una vez que este realmente ha sucedido. Como se puede constatar. y las más importantes son: ^ ^ ^ ^ Diseño de planta. Asimismo la propia antorcha que podría haber quemado parte de dichos gases estaba fuera de servicio por mantenimiento. En el Capítulo 3 de este libro se explicarán con detalle cada una de las capas de Protección tanto las de tipo preventivo como las de mitigación. Es por tanto fundamental que desde el inicio de un proyecto y en su etapa de explotación y mantenimiento se dispongan de dichas capas de protección perfectamente estructuradas. Sistemas de control.Introducción a los sistemas instrumentados de seguridad (SIS) de la fuga de una válvula produciéndose una reacción violenta con gran producción de gases. Por lo explicado anteriormente. Planes de emergencia. Uno de los métodos de protegerse contra ellos es implementando múltiples e independientes capas de protección que hagan más difícil que dichos eventos deriven a condiciones peligrosas. Los medidores de presión y temperatura del tanque que indicaban la situación anormal no fueron tenidos en cuenta al pensar que eran imprecisos. Finalmente hubo una serie de acontecimientos y errores en los planes de emergencia que completaron el fatal escenario de dicho accidente. queda claro que los accidentes suelen ser una combinación de raros eventos que se suelen asumir como independientes y de difícil coincidencia en el tiempo. Sistemas de alarmas. sujetas a procedimientos y mantenidas con una idea muy simple: “No poner todos los huevos en la misma cesta”. Sistemas Instrumentados de Seguridad (SIS). 3 . Son las que se aplican en primer lugar. De manera general. Las más importantes son: ^ ^ ^ Sistemas de fuego y gas. las primeras son aquéllas diseñadas para prevenir y anticiparse a que un determinado peligro pueda ser efectivo y llegue a darse. '/&$ $/..4 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO..  'P.  '. ' O'$$$3&'gado cumplimiento por ley y lo que es una buena práctica de diseño y trabajo reco#'. 'P. . '/$ ) R &'4. También está en este caso la Directiva ATEX. Un ejemplo (entre muchos) es la Directiva 96/82 CE (9/12/96) llamada Seveso II y su traslado al RD 1254/1999 (16 Julio 99) de “Prevención de accidentes graves en los que intervienen sustancias peligrosas”.'33 obligatorio en un país (ejemplo: EE UU). como por ejemplo la EN-746-2 que obliga a un determinado SIL en algunos lazos de seguridad. puede no serlo en otros o viceversa. Existen estándares y normas cuyo cumplimiento se considera recomendable y . pero incluimos aquí algunas ligeras pinceladas. Referente a los sistemas instrumentados de seguridad (SIS) “no” hay ninguna directiva ni RD que obligue a su cumplimiento (pero sí que existen estándares europeos. Esto se verá con detalle en el Capítulo 2. lo obligado por ley se recoge en Directivas y su transposición a reales decretos. En la Unión Europea y como es lógico en España. estableciendo además el intervalo de pruebas y la arquitectura que debe ser implementada). ''$&. $'. G). $)'P. . ' ) 3/.  $. /P  $  .  '. 01. este Instituto soportará el estándar IEC 61511 y podrá reemplazar al ANSI/ISA S84. como hemos anticipado. se describe lo más relevante de los dos organismos internacionales que disponen de los estándares que son la base de todo lo relacionado con los SIS: 1. estaba dirigido direccionado solo a los sistemas que efectuaban las funciones lógicas y con posterioridad se incluyeron los elementos de campo. Inicialmente. El documento ha sufrido muchos cambios a lo largo del tiempo y su futuro a largo plazo está condicionado al desarrollo del estándar IEC 61511. se cubrirán en el Capítulo 2. al día de hoy el ISA 84. El estándar de ISA relacionado con los SIS es el ANSI/ISA 84.01. todo lo relativo a legislación y normativas existentes. En cualquier caso. El primer documento fue editado en 1996 (actualmente está el de 2004) y ya que dentro de la IEC está representando a EE UU el ANSI (Instituto Nacional de Estandarización Americano).1. denominado “Aplicación de SIS para las Industrias de Proceso”. El ISA SP84 (Comité de estándares y prácticas nº 84) ha trabajado muchos años en la elaboración y desarrollo de este estándar. ANSI/ISA En primer lugar está la ISA (Sociedad Internacional de Automatización). de forma detallada.01/2004 es básicamente idéntico al IEC 61511 con la inclusión de una cláusula de salvaguarda (abuelo-grandfatherL3 . y para completar este apartado. Centrándonos en el tema de los SIS.2.$' 3&'#  cumplimiento. A modo de preámbulo. $   'P. . ''$  . 'O'$$)3 básicamente dice lo siguiente: . IEC IEC (International Electrotechnical Commission) tiene dos estándares relacionados con los sistemas instrumentados de seguridad: ^ ^ IEC 61508 “Seguridad Funcional: sistemas relacionados con la seguridad” que afecta a todo tipo de industrias y que se usa básicamente por fabricantes y suministradores. ANSI/ISA 84. inspeccionado. 1. prácticas con anterioridad a la emisión de esta norma (por ejemplo.01-1996). normas. mantenido. el propietario / operador de la planta debe determinar y documentar que el equipo está diseñado.2.2. diseñados y construidos de acuerdo con los códigos. IEC formó posteriormente un grupo de trabajo para de  . probado y funciona de una manera segura”.Introducción a los sistemas instrumentados de seguridad (SIS) “Para los sistemas instrumentados de seguridad existentes (SIS).  $. P. 66  . El estándar se denominó IEC 61511 “Seguridad Funcional: SIS para el Sector de la Industria del Proceso” que debe ser usado como complemento del IEC 61508. no solo a fabricantes y suministradores. El título de la norma es “seguridad funcional . El sector de la industria de procesos incluye muchos tipos de procesos de fabrica. Estos sistemas se denominan sistemas instrumentados de seguridad. sino también a diseñadores. integradores y usuarios.$ '$'  proceso y aplicable.sistemas instrumentados de seguridad para el sector de la industria de procesos”. IEC 61511 es una norma técnica que establece las prácticas en la ingeniería de sistemas que garantizan la seguridad de un proceso industrial mediante el uso de la instrumentación. '/$ .  P /$3 '. /3 '. /  . 4$'. etc. El estándar del sector proceso no se aplica a las instalaciones de energía nuclear o reactores nucleares. Mientras IEC 61511 es aplicable a los equipos 3$'' '$  ''. electrónicos y electrónicos programables.  $ ) / energía. IEC 61511 cubre el uso de equipos eléctricos.  $'.    '  $P / estándar no cubre el diseño e implementación de la lógica neumática o hidráulica. +$  P3''$#' . ' $ &. el denominado Sistema Instrumentado de Seguridad (SIS). IEC 61511 centra la atención en un tipo de sistema instrumentado de seguridad utilizado en el sector de proceso. La Norma no establece requisitos de otros sistemas de seguridad instrumentados. tales como sistemas contra incendios y de gas. El organismo europeo de normalización.'    IEC 61508 en el sector de las industrias de proceso. CENELEC. sistemas de alarmas. ha adoptado la norma como  +-ADHDD+$'#'P. etc. 3. la norma se publica como una norma nacional. El contenido de estas publicaciones nacionales es idéntico a la de la 5 .  $  ' & N' Europea. en Gran Bretaña. Por ejemplo. que es publicado por el organismo nacional de normalización según la norma BS EN 61511. que la IEC 61511 no está armonizada como directiva de la Comisión Europea hasta la fecha (año 2011).. Norma IEC 61511.6 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. sin embargo. + '$   #$'  66 & P' . Debe tenerse en cuenta.    '$ '8  $' '$. '  /'J /'P. Las funciones esenciales del personal asignado a la gestión 66&$ . /'$  / ' / / $) Q  continuamente sus SIS. $   )&'P' . para apoyar la ejecución coherente de sus responsabilidades. Un análisis de riesgos operativo es parte del ciclo de '   '$'P.' '$/#T cesario. para establecer el objetivo necesario. el SIL.01/IEC 61511 utiliza un orden de magnitud métrica. ISA 84.  . '#' .  ' ) . . la reducción del riesgo. La base de diseño y operación se ha desarrollado para garantizar que el SIS cumple con el SIL requerido. Las funciones de seguridad asignadas al SIS son las funciones instrumentadas de seguridad (SIF). Cuando los rendimientos no se cumplen. se relaciona con el SIL. Los datos de campo se recogen a través de actividades programadas para evaluar el rendimiento real del SIS. deben tomarse medidas para .''# respecto a determinados eventos peligrosos. atribuido a cada una de ellas.   &. / # . 3. TERMINOLOGÍA Y DEFINICIONES MÁS IMPORTANTES S  # $ '# )P'.' '$#)P & 1. sistemas de seguridad. ¿QUÉ ES UN SISTEMA INSTRUMENTADO DE SEGURIDAD (SIS)? Un sistema instrumentado de seguridad (SIS) es un nuevo término usado en los estándares que normalmente también ha sido y es conocido por la mayoría como: sistema de parada de emergencia (ESD).3. R &'4 P'. sistema de disparos de emergencia. etc.1. sistema de parada de seguridad.'   7 1. sistema de enclavamientos.   T$' .  #' $'    3''$ . $)  . $ . ' 'P. que son activos y dinámicos. así como prevenir cambios inadvertidos y manipulaciones y un buen mantenimiento. los SIS son básicamente pasivos y dormidos por lo que normalmente requieren un alto grado de seguridad y de diagnósticos de fallos. . debe disponerse de un sistema que de forma automática realice las acciones oportunas (paradas parciales o totales de equipos y plantas) para así evitar el peligro. Estos sistemas instrumentados de seguridad están normalmente separados e independizados de los sistemas de control. incluyendo la lógica.'$) canzan niveles de variables predeterminados que no deben superarse bajo ningún concepto. los sensores y válvulas de campo y a diferencia de los sistemas de control. Introducción a los sistemas instrumentados de seguridad (SIS) H*+K+*HW[#"& \. *+*] “n sistema compuesto por sensores. [  # #$ 7—M4$ #˜P' . lógica y elementos nales con el propósito de llevar el proceso a un estado seguro cuando determinadas condiciones preestablecidas son violadas”.  7 “El estado que consigue un sistema cuando se alcanza la seguridad. Por lo tanto el objetivo de un SIS es llevar a los sistemas a un estado de riesgo tolerable. es decir cuando el sistema está libre de un riesgo inaceptable”. +/^_"'""& \. lógica y elementos nales” +'$ '$ $ #' K66LP'$ $.*+*] “Un sistema instrumentado usado para implementar una o más funciones instrumentadas de Seguridad (SIF) y se compone de una o más combinaciones de sensores.    combinación de una o más funciones instrumentadas de seguridad. S #P. $ '# DD Figura 1. 7 .1. Sistema instrumentado de seguridad. .  6$   ''.8 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. ' /#'. 2. ) $P )$ '#nado un SIL 1. ¿QUÉ ES UN NIVEL INTEGRADO DE SEGURIDAD (SIL)? La integridad de la seguridad indica la disponibilidad de un sistema de seguridad.3. Es decir “La probabilidad de que un sistema relacionado con la seguridad ejecute de forma satisfactoria las funciones de seguridad requeridas en todas las condiciones . 'P.  '$' . 'P. V +. 'P.  '$#'  #' . '$P'343 & . '$ #' /'$ &'4. 'P.  & .  .   dicho sistema debe llevar a cabo su función. El SIL es el nivel de integridad de la seguridad asociado y exigible a un sistema de #' 6P $ . 00% 2 99. $''$#'  #' /' 4 posee el grado más elevado de integridad de la seguridad y el nivel 1 el más bajo.00 – 99.99% En la determinación de la integridad de seguridad se deben incluir todas las cau     3 .99% 4 > 99.00 – 99.90% 3 99. SIL <Disponibilidad Segura < 1 90.90 –99. .    $  '#7     9  K$ $   $'.  '$ $'. L/ '. Aunque algunos de estos tipos de fallos se pueden .'$9 ) &'dos a las perturbaciones eléctricas.  $'P. K$''  ' .   $    & &''   funcionamiento a la demanda). la integridad de la seguridad depende también de .  . $3.  $'P. . . Supongamos una función de seguridad: cierre de la válvula de vapor al calentador de fondo cuando se detecta alta presión en la cabeza de la torre. el sistema no cierre efectivamente la válvula de vapor.3. Este parámetro indica la probabilidad media de fallo al ejecutar. La PFDavg es la probabilidad de que cuando haya alta presión en la cabeza de la torre.''/'3 considerar de forma cualitativa. La relación de la PFDavg con los SIL es la siguiente: . bajo demanda. 1. ¿QUÉ ES LA PROBABILIDAD DE FALLO EN DEMANDA MEDIA (PFDavg)? Para calcular de una forma numérica el SIL uno de los parámetros más utilizados es la PFDavg.3. la función para la cual ha sido diseñado. el cálculo de la PFDavg es muy complejo si se intenta hacer sobre la función de seguridad en su conjunto.90 % 10-3 – 10-2 3 99.00 % 10-2 – 10-1 2 99.00 – 99.90 –99.99 % 10-4 – 10-3 4 > 99.Introducción a los sistemas instrumentados de seguridad (SIS) SIL <Disponibilidad Segura < <PFDavg< 1 90. G  ' 'P.99 % 10-5 – 10-4 Matemáticamente.00 – 99. /3 . 2). Figura 1. 1.'#'$7 ^ ^ ^ Descomponer dicha función de seguridad en sus elementos principales.3. ¿QUÉ ES UNA FUNCIÓN INSTRUMENTADA DE SEGURIDAD (SIF)? Una Función Instrumentada de Seguridad es aquella formada por sensores (iniciaL/#'.2. para el caso citado se calcularían las PFDavg de la parte sensora. la parte del operador lógico y la parte actuadora. La suma de todas ellas sería la PFDavg de la función de seguridad (Figura 1. Realizar la suma de las PFDavg de todos los elementos. Calcular la PFDavg de cada elemento. Por ejemplo. Cálculo de la PFDavg de un Sistema. 4. Los elementos que forman una SIF son. como hemos apuntado en el párrafo anterior. el sensor (compuesto a su vez por un conjunto de uno o más elementos de 9 . ) $P    3O'#$ ' ''$gridad. .10 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. ' L/  '$  #'.. +66O'$'63. K  $ '$    G L )   $ P  (compuesto generalmente por una o más válvulas).   $ ''. Realmente. Normalmente el fabricante debería dar el MTTF (mean time to fail) aunque a veces se da el MTBF como si fuera el MTTF.' P )  ' pre compartirán la lógica. Figura 1. MTTR: Tiempo medio de reposición (mean time to restore).3. 1.5. . ¿QUÉ ES TIEMPO MEDIO ENTRE FALLOS (MTBF)? El tiempo medio entre fallos (del inglés mean time between failure) es la suma del tiempo medio de fallo (MTTF) más el tiempo empleado en reponerlo (MTTR). MTTF: Tiempo medio de fallos (mean time to fail). los tiempos de detección y reparación son despreciables con respecto al MTTF por lo que no existe demasiada diferencia entre el MTBF y el MTTF. Selección de las SIF de un SIS.3. En esencia: MTBF=MTTF+MTTR donde: ^ ^ ^ MTBF: Tiempo medio entre fallos (mean time between failure). 6. el proceso va a una condición segura. Si dicho fallo posibilita que. dicho fallo se denomina peligroso. 6P. ante la necesidad o demanda de la correspondiente función de seguridad.3. ¿QUÉ ES FALLO SEGURO Y FALLO PELIGROSO? Conocer la diferencia entre estos dos tipos de fallos es esencial para el uso correcto de las fórmulas empleadas en los cálculos de la probabilidad de fallo en demanda. Se dice que un fallo de un determinado instrumento es seguro cuando como resultado del mismo.Introducción a los sistemas instrumentados de seguridad (SIS) 1. el sistema no actúe correctamente y deja al proceso en condiciones de riesgo intolerable.  $   #& K™L.  3''$ $  '  MTTF. es decir: O 1 MTTF  $   #& $'  . . 3. esta diferencia es básica a la hora de los cálculos de la probabilidad de fallo en demanda 1. Como se verá más adelante en el Capítulo 11.7.''# K™LKdangerous) y otra segura K™LKsafe). OTRAS DEFINICIONES  Arquitectura  '. ' $ 9 )8$9 '$ G ejemplo: – Composición de los subsistemas del sistema instrumentado de seguridad (SIS). – Estructura interna de un subsistema SIS. ›  '. '# $9      .  .   .  Lo conforman todas aquellas actividades necesarias involucradas en la implementación de las funciones instrumentadas de la seguridad que se producen durante un periodo de tiempo.  Componente Una de las piezas de un sistema. Se inicia en la fase conceptual del proyecto y concluye cuando todas las funciones instrumentadas de seguridad ya no están disponibles para su uso (desmanteladas). subsistema o dispositivo que ejecuta una . '. P. 6''. ' / #'. ) $ P  6    .  Parte de un sistema instrumentado de seguridad que implementa la acción física necesaria para lograr un estado seguro. 11 . Los ejemplos comprenden válvulas.12 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.  .. motores con sus elementos auxiliares incluidos. una válvula solenoide y un actuador si están involucrados en la función instrumentada de seguridad. dispositivos de conmutación.. por ejemplo.  Acción que reduce la(s) consecuencia(s) de un evento peligroso.     .  MooN Indica la votación de un sistema que está formado por “N” canales independientes. que están conectados de tal manera que basta activar “M” canales para que se ejecute la función instrumentada de seguridad (M out of N).    Acción que reduce la frecuencia con que se produce un evento peligroso.   Función asignada al diseño del sistema con el objeto de evitar la pérdida de activos.   . .      + . si fuera necesario. se puede volver a ajustar el sistema a su funcionalidad de diseño. Pruebas realizadas con el objeto de revelar defectos no detectados en un sistema instrumentado de seguridad de manera que.  $'P. . ''#3$ 3O'#'   .     La parte del SIS que realiza una o más funciones lógicas.    .    tolerable. . . .   . de grado '$' /3$. para usos generales. Resolvedor lógico electrónico y programable. P# . P. $  $'' . ' '. +$ P'.5. de la Norma IEC61511-I. ciones de seguridad de acuerdo con la cláusula 11. 'O. ) $ Q$ $  ) ' ) 'P. +Q plos son los relés electromecánicos y las unidades centrales de proceso (CPU) de los sistemas electrónicos programables (PLC en general).    .      El riesgo que surge de las condiciones del proceso causado por hechos anormales (incluido el mal funcionamiento del BPCS). .  La parte de la seguridad general relacionada con el proceso y el BPCS que depende del funcionamiento correcto de los SIS y otros sistemas protectores. .    . interruptores de proceso.Introducción a los sistemas instrumentados de seguridad (SIS)     Dispositivo o combinación de dispositivos. En el caso de las funciones instrumentadas de seguridad el concepto de sensor (también llamado elemento iniciador) incluye a las tarjetas de entrada y los relés de entrada al resolvedor lógico. interruptores de posición). que miden la condición del proceso (por ejemplo: transmisores. transductores. +'$ .  Sistema que responde a las señales de entrada del proceso y/o de un operador y genera señales de salida que hacen que el proceso opere en la forma deseada. $'.    .)''$'$  ) $P les y puede ser un BPCS o un SIS o una combinación de ambos.         .     !   " # Un sistema que responde a las señales de entrada del proceso. de su equipo asociado. de otros sistemas programables y/o de un operador y genera señales de salida haciendo que el proceso y su equipo asociado operen de la manera deseada pero que no se utilizan para funciones instrumentadas de seguridad.  $.  .  La actividad de demostrar que la función o las funciones instrumentadas de la seguridad y el sistema o los sistemas instrumentados de seguridad bajo consideración después de la instalación cumplen en todos los aspectos con  . 'P. . '3''$#' G$ $ ' 66  $ .  La actividad de demostrar respecto de cada fase del ciclo de vida pertinente. ' $ '')8& /3 $  )  ' . P. .  plen en todos los aspectos con los objetivos y requisitos establecidos para   . P. G$ $'P.   . '. PARA NO OLVIDAR  Los sistemas instrumentados de seguridad (SIS) son la formalización de las llamadas uenas Práccas.'  seguridad. 13 . .. Saber idencar las SIF que forman parte del SIS.14 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. CONSEJOS PRÁCTICOS    Familiarizarse con los conceptos y deniciones incluidos en los estándares. Conseguir una visión global del sistema de seguridad que queremos estudiar. Para no o ar. Seguridad funcional. Análisis de riesgos de los procesos. ESTÁNDARES Y NORMATIVAS 2 Carlos Javier Gasco Lallave SUMARIO: Introducción.LEGISLACIÓN. ono ro. Listado .  . ! j> k < q  .  ! % . ! j . 1.   2. INTRODUCCIÓN '$ #' $'J    . '. '. P.  de cada instalación. operatividad y mantenimiento de dichos sistemas. Las diferentes directivas/normativas describen los requisitos para un correcto diseño. buscando siempre la prevención o mitigación de sucesos peligrosos. Muchas veces estos 3''$Q &')$'.  T/' & #/P' '$ . 'P. . '/. . '$. # /' . ' / 3'$. Es importante conocer la diferencia entre Directiva y Normativa. a saber. en los diferentes procesos industriales. tienen responsabilidad directa en cualquier fase del ciclo de vida de un sistema de seguridad. etc. Estas directivas/normativas han sido redactadas para ayuda de aquellos que. daremos una breve descripción sin entrar en mucho detalle:   Directiva: documento de obligado cumplimiento elaborado por instituciones legales representantes de las diferentes naciones que lo componen (en el caso de la Unión Europea es el Parlamento Europeo). inge- . incluyendo. Seguir los requisitos de estos estándares es una condición mínima para quien pretende implementar instalaciones seguras. no existe la seguridad o certeza de que respetándolos se obtenga un proceso totalmente seguro. Lo que sí es seguro es que cuanto más respetemos estos requisitos más aseguraremos la calidad de nuestra seguridad. hasta la operación y mantenimiento de la misma. La transposición de una directiva al régimen jurídico de un estado da como resultado las leyes y los reales decretos.$  componentes. intervalos de pruebas. por supuesto. desde el análisis conceptual del riesgo asociado a una instalación. no es tarea tan obvia. sin embargo.. el diseño de tales sistemas. Norma: documento elaborado por un comité compuesto de expertos con representación generalmente de diferentes ámbitos y funciones. ' / &'...16 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. $/ 'P K. . 'L/$. pero pasa a serlo para aquellas personas/   8'$'$. (Nota: una norma no es obligada. pero facilitan sustancialmente estos procesos.   obligado cumplimiento en el diseño o fabricación de cualquier producto. '3& $ & Q . 'P. . '3 #  referencia a tal norma… cosa que suele ser muy habitual.)  Norma armonizada:.  $. 'P. . '$4. '.  . ' .   '. $' / $  # ' P. '  ' . Por tanto.'. aunque el cumplimiento de la misma proporciona la presunción de conformidad respecto a los requisitos esenciales de la directiva aplicable relacionada. Mantiene su carácter de voluntariedad. constituyen el mejor medio de prueba del cumplimiento de estos requisitos.   $   .  . P. )$   3 '. facilitando sustancialmente su seguimiento. Sin embargo hoy en día existen tal cantidad y variedad de normas. de forma especíP. que se hace imposible conocerlas todas en detalle y difícil incluso buscar aquellas que nos puedan ser de ayuda.$'vas. RD 1254/1999 DE 16 DE JULIO Y POSTERIORES MODIFICACIONES Real Decreto por el que se traspuso al régimen jurídico español la conocida Directiva Seveso II (Directiva 96/82/CE del Consejo Europeo. *P  ' . de 9 de diciembre). 2.2. ANÁLISIS DE RIESGOS DE LOS PROCESOS 2.  Intentaremos facilitar dicho ejercicio comentando las directivas y normativas más relevantes relacionadas con el análisis de riesgos y la seguridad funcional.2.1. $'#' $  . . G$' $ 'P.'$#  los que intervienen sustancias peligrosas. ( *. de 29 de Julio (basado en la Directiva 2003/105/CE conoci .$DD=8BEEH/@&) Real Decreto 948/2005.  6/3 'P. ) Q   $'*'. en la localidad de Flixborough (Reino Unido. 1974). el escape de más de 40 Tm de ciclohexano en una planta industrial dedicada a la producción de caprolactama y la explosión posterior a causa de este escape ocasionó la muerte de 29 trabajadores y cientos de heridos. el accidente de Seveso produjo un antes y un después en la concienciación general sobre la seguridad industrial. anteriormente a este suceso.$' =A8?B8 +L Evolución de esta legislación: Seveso I Como vimos en el Capítulo 1. si bien. . fue la Directiva 82/501/CEE. de 15 de julio. sobre prevención de accidentes mayores $ '   . Los reglamentos para la prevención y control de estos accidentes existentes en los distintos países de la entonces llamada Comunidad Económica Europea se recogerán y sintetizarán en la primera norma que dará lugar a lo que hoy se conoce como normativa Seveso. El Real Decreto 886/1988. La primera norma en este contexto. conocida como Directiva Seveso I. motivó el inicio de una actuación legislativa en la Unión Europea para abordar la prevención y el control de los accidentes que se pudieran producir en aquellas actividades con presencia de sustancias químicas peligrosas. estándares y normavas La fuerte presión social provocada por los desastres químicos antes abordados. unido a los elevados costes económicos y ambientales que los mismos ocasionaron.Legislación. $'' '$' / 'P. ( *. de 24 de junio. del Consejo.$=HB8D==E/ de 29 de julio. incorporó al ordenamiento jurídico español la Directiva 82/501/CEE. relativa a los riesgos de accidentes graves en determina  . $'' '$' / .   'P. . ' *'. los bienes y el medio ambiente ante accidentes graves.$' ?>8BDA8 CEE y 88/610/CEE. plantea la necesidad de tener en cuenta  &'. la Comisión Europea consideró conveniente realizar una revisión fundamental de la Directiva. respectivamente. que mejoraran la gestión de los riesgos y de los accidentes. que tiene como objetivo la obtención de un alto nivel de protección para las personas. que contemplara la ampliación de su ámbito y la inclusión de algunos aspectos ausentes en la Directiva original. mediante medidas orientadas tanto a su prevención como a la limitación de sus consecuencias y que. Seveso II y III Tras más de diez años de experiencia en la aplicación de la Directiva 82/501/CEE. relativa al control de los riesgos inherentes a los accidentes graves en los que intervengan sustancias peligrosas. Ello condujo a la aprobación de la Directiva 96/82/CE (Directiva Seveso II). de 19 de marzo y de 24 de noviembre. entre otras novedades. del Consejo. de 9 de diciembre. y tras el análisis de cerca de 130 accidentes que han tenido lugar durante ese periodo de tiempo en la Unión Europea. . ' '$  . '  'P. . '& $'. por el que se aprueban medidas de control de los riesgos inherentes a los accidentes graves en los que intervengan sustancias peligrosas. fue incorporada a nuestro ordenamiento jurídico mediante el Real Decreto 1254/1999. Con posterioridad. relativa al control de los riesgos inherentes a los accidentes graves en los que intervengan sustancias peligrosas. 17 . como paso previo a interponer la correspondiente demanda ante el Tribunal de Justicia de las Comunidades Europeas.  La Directiva 96/82/CE del Consejo. que dio lugar a la emisión de un dictamen motivado. la Comisión Europea inició un procedimiento de infracción contra las autoridades españolas por disconformidad con la citada transposición de la directiva de referencia. de 16 de julio. de 9 de diciembre de 1996. 18 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. Aunque una parte de las objeciones manifestadas por la Comisión Europea quedó $  ..  *'. $'&'. $. . '. ''  . $) 'P. . de 16 de julio. y este. precisamente. quedaron pendientes otras cuestiones que exigieron una reforma del Real Decreto 1254/1999. aprobada por el Real Decreto 1196/2003. se publicó en el Diario Ocial de la Unión Europea la Directiva 2003/105/CE del Parlamento Europeo y del Consejo. de 4 de febrero. de 16 de diciembre BEEX. de 19 de septiembre. El 31 de diciembre de 2003. fue uno de los objetivos del Real Decreto 119/2005.' ante el riesgo de accidentes graves en los que intervienen sustancias peligrosas. . ' .  6/ 3 'P.  *'. de 9 de diciembre de 1996. relativa al control de los riesgos inherentes a los .$' =A8?B8 + Consejo. . '$# 3'$# $ . ' '# /3P  los siguientes aspectos: ^ En primer lugar.El accidente pirotécnico de Enschede. . en Holanda. Ejemplos de estos accidentes son: . ocurrido en mayo de BEEE/3 'P$3  . en especial las instalaciones de evacuación de residuos.El vertido de cianuro que contaminó el Danubio tras el accidente de Baia  /  ( ' /    BEEE/ 3   'P$ 3 gunas actividades de almacenamiento y tratamiento de la minería. podían tener consecuencias medioambientales muy graves. la ampliación del ámbito de aplicación. de acuerdo con las lecciones aprendidas de algunos accidentes industriales recientes y los estudios sobre carcinógenos y sustancias peligrosas para el medio ambiente efectuados por la Comisión a instancia del Consejo. incluidos los diques o balsas de residuos.  '$)  &'. . ' sustancias pirotécnicas y explosivas conlleva riesgos graves de acciden$G. '#'$/. ' .  'P. )' 'P.  P'.  .' de estas sustancias en la Directiva 96/82/CE. .La explosión que tuvo lugar en una fábrica de fertilizantes de Toulouse. ' /$' &BEED/$ &'4 'P$'# que supone el almacenamiento de nitrato de amonio y de abonos a base de nitrato de amonio. en particular de materiales desechados durante la fabricación o devueltos al fabricante (denominados materiales “fuera de . 'P. . 'VLG. '#'$/& '   . $ . $#rías de nitrato de amonio y de abonos a base de nitrato de amonio de la D'. $' =A8?B8 +  '. ' $' U . 'P. . los estudios efectuados por la Comisión en estrecha cooperación con los Estados miembros abogaron por ampliar la lista de car.'V Asimismo. '#. . $'  &  .   )& Q '#'P. . $' $ las cantidades umbral asignadas a las sustancias peligrosas para el medio ambiente en la Directiva 96/82/CE. estándares y normavas ^ ^ ^  En segundo lugar. '$.Legislación. . '  '    $'P. así como de las personas que puedan resultar afectadas. en el caso de los establecimientos existentes que vayan a entrar con posterioridad en el ámbito de aplicación de la Directiva 96/82/CE. hayan de ser convenientemente informadas de las medidas e iniciativas en materia de seguridad. ciones y la elaboración de las políticas de prevención de accidentes graves. En tercer lugar. como los relativos al efecto dominó. El reforzamiento de la obligación de que todas las personas del establecimiento. los informes de seguridad y los planes de emergencia. la consideración de la experiencia y los conocimientos del personal especializado del establecimiento a la hora de elaborar los planes de emergencia. la matización de algunos extremos de la Directiva 96/82/ CE. Finalmente. la aplicación de forma independiente de la regla sumatoria para   '##  . al contenido del informe de seguridad y a la ordenación territorial. En cuarto lugar. ' .  $O'. G. así como las aclaraciones y matizaciones de algunas notas del anexo I.' / '] &''  y la ecotoxicidad. '#'$/ 'P. ( *. 119 En 1970 el Congreso de los EE UU creó la Occupational Safety and Health Administration para garantizar condiciones de trabajo seguras y saludables para los hombres y mujeres mediante la creación y aplicación de normas y mediante la capacitación.$DBH@8D===/DAQ'/    tarlo a la citada Directiva 2003/105/CE del Parlamento Europeo y del Consejo.1910.2.2. OSHA CFR 1910. En 1992 creó el estándar denominado 29 CFR . divulgación. 2. Actualmente es un organismo con representación también en la UE. Cuyo apartado 119: Process safety management of highly hazardous chemicals. de 16 de diciembre de 2003 (Seveso III) con el Real Decreto 948/2005. for General Industry tiene  P ' &'#   '$  . educación y asistencia. '. . $3 '. Integridad Mecánica. Procedimientos Operacionales. Investigación de Incidentes. Revisión de Seguridad previa al Start-Up. Permisos de Trabajo. Información de Seguridad del Proceso. Además dispone los siguientes apéndices: 19 . Planes de Emergencia y Respuesta. Contratistas.'#  tener procedimientos para garantizar la seguridad en sus operaciones. Análisis del Peligro del Proceso. Auditorías de Cumplimiento de la Seguridad y Condencialidad Comercial) para ayudar a las personas involucradas en sus esfuerzos para prevenir o mitigar emisiones de tales productos químicos que podrían conducir a una catástrofe. El reglamento describe catorce elementos clave (Participación del empleado. Entrenamiento. Manejo del Cambio. . <:<.. : - App A .List of Highly Hazardous Chemicals. Toxics and Reactives (Mandatory).20 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. ž9*' #  6' 'PG. App C .Sources of Further Information (Nonmandatory).9*' # K-mandatory).  . App D .Compliance Guidelines and Recommendations for Process Safety Mngmt (Nonmandatory). ' . P.  & $ $   .    # '  #  puede encontrarse en: $$788999 #88 9&89 .  . Ÿ ˜Ÿ. Ÿ $) 6R-*(*6¡Ÿ$. 2.3.Ÿ D¡Ÿž)  D=DE 2. DE PREVENCIÓN DE RIESGOS LABORALES El artículo 40. Este mandato constitucional conlleva la necesidad de desarrollar una política de protección de la salud de los trabajadores mediante la prevención de los riesgos derivados de su trabajo y encuentra en la presente Ley su pilar fundamental. como uno de los principios rectores de la política social y económica. LEY 31/1995. DE 8 DE NOVIEMBRE. +  ' . velar por la seguridad e higiene en el trabajo.2 de la Constitución Española encomienda a los poderes públicos. P#  . A tales efectos establece los principios generales relativos a la prevención de los riesgos profesionales para la protección de la seguridad y de la salud.# 3 &    distintas acciones preventivas. la consulta. en coherencia con las decisiones de la Unión Europea que ha expresado su ambición de mejorar progresivamente las condiciones de trabajo y de conseguir este objetivo de progreso con una armonización paulatina de esas condiciones en los diferentes países europeos. la eliminación o disminución de los riesgos derivados del trabajo. la participación equilibrada y la formación de los trabajadores en materia preventiva. G  . La Ley 31/1995 tiene por objeto promover la seguridad y la salud de los trabajadores mediante la aplicación de medidas y el desarrollo de las actividades necesarias para la prevención de riesgos derivados del trabajo. la información.  ' '$'. P/ )#   . $ . '    por las administraciones públicas. los trabajadores y sus respectivas organizaciones representativas. Las disposiciones de carácter laboral contenidas en esta Ley y en sus normas reglamentarias tienen en todo caso el carácter de derecho necesario mínimo indisponible. pudiendo ser mejoradas y desarrolladas en los convenios colectivos. así como por los empresarios. . por el que se aprueba el “Reglamento de los Servicios de Prevención”. en el Convenio 155 de la OIT (1985) y en el Acta Única Europea (1986). 92/85/CEE y 94/33/CE. de 17 de enero. estándares y normavas Evolución y adaptación Efectuando un análisis histórico del Ordenamiento Jurídico español. en la Constitución Española (1978). que constituye un complemento necesario e imprescindible a la Ley 31/1995 y dota al conjunto con una misión triple: ^ ^ ^ En primer lugar trasponer al Ordenamiento Jurídico interno las Directivas Comunitarias 89/391/CEE. directa o indirectamente. En 1997 tiene lugar la publicación del Real Decreto 39/1997. +## 'P. entre otros. ya se hallaba contemplado en nuestra legislación.Legislación. en la Ordenanza General de Seguridad e Higiene en el Trabajo (1971). se aprecia que el objetivo de mejora de la seguridad y la salud de los trabajadores en el trabajo. 91/533/CEE. en el Estatuto de los Trabajadores y en su texto refundido (1980/95). ) . que la gente use dichos productos en los mismos términos y que esta categoría de productos se vea afectada por las mismas pruebas de validez y calidad. de tal modo que los productos de dicho país puedan usarse en todo el mundo. NORMAS ANSI/ISA El Instituto Nacional Estadounidense de Estándares (ANSI. por sus siglas en inglés: American National Standards Institute) es una organización sin ánimo de lucro que supervisa el desarrollo de estándares para productos. SEGURIDAD FUNCIONAL 2. La organización también coordina estándares del país estadounidense con estándares internacionales. -6 . agencias gubernamentales.3. servicios.1. Esta organización aprueba estándares que se obtienen como fruto del desarrollo de tentativas de estándares por parte de otras organizaciones. procesos y sistemas en los Estados Unidos. es decir. ISO) y de la Comisión Electrotécnica Internacional (International Electrotechnical Commission. compañías y otras entidades.$ '   $'   $'  En tercer lugar dotar al Ordenamiento de una regulación mínima que permita el posterior desarrollo reglamentario concreto y que sirva de base en la negociación colectiva. ANSI es miembro de la Organización Internacional para la Estandarización (International Organization for Standardization. 2. Estos estándares aseguran que las características y las prestaciones de los productos son consistentes. IEC).3. '$   # ' . ' 3  '  . $'P. . '  . $     . . 3''$P'$ '$ . '  Los programas de acreditación ANSI se rigen de acuerdo a directrices internacio .  $  'P. . '#& $ )  ''  ' . ' 21 . revistas y artículos técnicos para divulgar el conocimiento en todo el mundo. proporciona formación y publica numerosos libros. También organiza ferias y conferencias internacionales. el control y la automatización en general. Asimismo. con el objetivo de destacar las últimas novedades tecnológicas.. capacidad de liderazgo y favorecer en general su desarrollo profesional.000 miembros repartidos por todo el mundo y a todos los profesionales del sector a resolver sus problemas. tendencias y soluciones reales a los problemas de más actualidad en materia de producción.. a mejorar sus conocimientos. ingeniería o gestión. La ISA (The International Society of Automation) fue fundada en 1945 y es una organización internacional sin ánimo de lucro enfocada a ayudar a sus más de 30.22 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Más información puede encontrarse en: $$788999 '#8 &$Ÿ '8'$. ISA se encarga también del desarrollo de estándares relacionados con el mundo de la instrumentación. $'8'$. En efecto. en paralelo con el desarrollo del proyecto de 1995 de IEC 61508 (llamada entonces IEC 1508. y en conformidad con los principios de la IEC (International Electrotechnical Commission). desarrollado conjuntamente con la ISA a principios de la década de los 90. La similitud entre ambas normativas es evidente ya que ambas tienen la misma P ' /' & #O'$/. como actualización de la 1508). y cuyo enfoque se dirigía al fabricante de estos sistemas). una característica de la S84 es una cláusula que describe las principales diferencias con la IEC 1508 (cabe señalar que algunas de estas diferencias pueden no aplicar a la IEC 61508 ya que esta se publicó unos años después.$'Ÿ O˜ ' D $$788999' : '#8#  ˜' D $$788999' # En cuanto a Seguridad Funcional de Procesos podemos destacar el estándar ANSI/ ISA S84.01-1996 “Aplication of Safety Instrumented Systems for the Process Industries”.  #'. /. '$ '. Standard IEC 61508 Número de pasos ciclo de vida Standard ISA S 84.' 3 '  esquemáticamente en la Tabla 2.1: Tabla 2.1. Comparava IEC vs ANSI/ISA.01 15 Número de pasos dentro del alcance del Standard 16 7 Máximo SIL 4 3 Todas las industrias Solo procesos industriales Sí No Campo de aplicación Intervención humana en SIS W'$     'P KJ8  '$  . .01-2004.'L$$' sistemas de seguridad tenemos actualmente en vigor la ANSI/ISA S84.00. inspeccionado. mantenido. operacionales. estándares y normavas “Functional Safety: Safety Instrumented Systems for the Process Industry Sector. el dueño/operadora deberá demostrar que el equipo es diseñado. estándares. and Automation Society”.01-1996). del sistema de gerencia y medición. Systems. Una evaluación de la cláusula Grandfather requiere una revisión de la información existente de seguridad de proceso.Legislación. Si el resultado de la revisión es satisfactorio. que referencia a la IEC 61511 diferenciándose de ella básicamente por una cláusula Grandfather que indica que para SIS existentes diseñados y construidos de acuerdo con códigos. Instrumentation. registros de integridad mecánica. probado y operado en una manera segura. el dueño/operadora puede elegir mantener el equipo existente tal y como se . o prácticas antes de la emisión de un estándar aplicable (por ejemplo ANSI/ISAS84. $ P. '. '  J)'. '  .  $ . Part 1: Guideline on the Implementation of ANSI/ISA 84. ISA TR84. .03-2002. Systems.00. .Part 1: Introduction.04-2005. La ANSI/ISA S84. Part 3: Guidance for the Determination of the Required Safety Integrity Levels.Part 5: Determining the PFD of SIS Logic Solvers via Markov Analysis.00. En esta guía se indican los dos pasos esenciales para determinar la aceptabilidad de los equipos existentes bajo la cláusula Grandfather: : P  3  ''  '# ) '#  '  '     determinar cualitativamente o cuantitativamente el nivel de reducción 23 .'& corregidas a través de planes de acción para cerrar las desviaciones.00.01-2004 se divide en tres partes: ^ ^ ^ G $ D7  9ž/ *P'$'/ 6)$ / % 9   6$9  (3'ments.00.01-2004 (IEC 61511). Relacionados con estas normativas existen además multitud de Guías y Technical Reports de las que destacamos las siguientes confeccionadas por ISA: ^ ^ ^ ISA-TR84.01-2004. and Automation Society”: .Part 2: Example Implementation of ANSI/ISA-84.Safety Integrity Level (SIL) Evaluation Techniques”: . ISA-TR84.00. “Guidance for Testing of Process Sector Safety Instrumented Functions (SIF) Implemented as or Within Safety Instrumented Systems (SIS)”.02-2002. “Guidelines for the Implementation of ANSI/ISA S84.00. Instrumentation. : G $B7*$ ''#$ 6 6' 6' 'P+3 $' .Part 4: Determining the SIL of a SIF via Markov Analysis. Part 2: Guidelines for the Application of Part 1.01 2004. . “Safety Instrumented Functions (SIF) . Una versión actualizada de esta guía verá la luz durante el 2011.Part 3: Determining the SIL of a SIF via Fault Tree Analysis.00. ^ ^ del riesgo requerido para cada función instrumentada de seguridad en el sistema instrumentado de seguridad. : P  $ 4   ...24 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. '3 . ''$ $   seguridad existente ha funcionado acorde al diseño y provee el nivel de reducción de riegos necesitado. -686:=DEEED:BEED/U$'P. $'+ #. 6:R(=DEEEB:BEEX/ U '$'.)6 $96)$  and controls that are Critical to Maintaining Safety in Process Industries”. '$)  'P. y cuyo primer presidente fue Lord Kelvin. International Electrotechnical Commission) es una organización de normalización en los campos eléctrico. Numerosas normas se desarrollan conjuntamente con la ISO (normas ISO/IEC). tenía su sede en Londres hasta que en 1948 se trasladó a Ginebra.3. La misión de la IEC es promover entre sus miembros la cooperación internacional en todas las áreas de la normalización electrotécnica a través de objetivos como: ^ ^ ^ ^ ^ ^ ^ . en 2003 pertenecían a la CEI más de 60 países. de los países miembros. electrónico y tecnologías relacionadas. 2. $' ''  $ tation”. La CEI. Integrada por los organismos nacionales de normalización. NORMAS IEC La Comisión Electrotécnica Internacional (CEI o IEC por sus siglas en inglés.2. en las áreas indicadas. fundada en 1904 durante el Congreso Eléctrico Internacional de San Luis (EE UU).  . '  .  ' P. Asegurar e implementar la calidad de producto y servicios mediante sus normas. .'$ $ Promover el uso de sus normas y esquemas de aseguramiento de la conformidad a nivel mundial. Establecer las condiciones de durabilidad y resistencia temporal de sistemas complejos.  $  P. '. ' . brinda a los países inscritos la '&'' ']'   ' .'$'  Contribuir a la implementación del concepto de salud y seguridad humana. La participación activa como miembro de la IEC. Contribuir a la protección del ambiente. ''$ . ' /$ do los intereses de todos los sectores nacionales involucrados y conseguir que sean tomados en consideración. A la fecha la IEC cuenta con 57 miembros. y que en conjunto constituyen el 95% de la energía eléctrica del mundo. Asimismo. constituye una oportunidad para mantenerse actualizados en la tecnología punta en el ámbito mundial. desde el área de potencia . cada uno de ellos representando a un país. Este organismo normaliza la amplia esfera de la electrotécnica. Legislación. hercio y weber. el sistema Giorgi. el organismo publicó el primer diccionario internacional (International Electrotechnical VocabularyL. A la CEI se le debe el desarrollo y difusión de los estándares para algunas unidades de medida. comunicaciones. que con el tiempo se convertiría en el Sistema Internacional de unidades. En 1938. estándares y normavas eléctrica hasta las áreas de electrónica. así como la primera propuesta de un sistema de unidades estándar. conversión de la energía nuclear y la transformación de la energía solar en energía eléctrica. particularmente el gauss. '$'P.  $ '# 4. $'. / esfuerzo que se ha mantenido durante el transcurso del tiempo. siendo el Vocabulario Electrotécnico Internacional un importante referente para las empresas del sector. Más información puede encontrarse en: $$788999'. . Electrónicos y Electrónicos Programables” es una normativa internacional desarrollada para beP. En cuanto a sus publicaciones referidas a seguridad funcional destacan principalmente las Normativas mencionadas anteriormente: la IEC 61508 y IEC 61511. El estándar IEC 61508 “Seguridad Funcional de Equipos Eléctricos. '  '  $ . ''$ #/$'. $  4$. '$íP. : $4. '.     . '. 'P. . ' $   / Q 'J '$ . '/ ). '' P'. ''#/.   '$#' /P &'' ). $) ).  . '    . '  . ' )P. '. '   . cuando el comité IEC ACOS (Advisory Committee of Safety) constituyó un grupo de estu'  . Las actividades relativas a esta normativa se iniciaron en los años 80. la EN 61508.') $' '$ Actualmente existe una Norma Europea. pero a día de hoy no hay directiva ni trasposición al régimen jurídico. ' &  $  ' . Parte 2: Requisitos para los electrical / electronic / programmable electronic safety-related systems.01 o la alemana DIN (V) 19250. En los siguientes años. G $X7(3''$$9  G $@7*P'. ya que por aquel entonces muchos órganos de estandarización no admitían este tipo de sistemas en aplicaciones críticas para la seguridad. enfocándose hacia el fabricante de este tipo de sistemas electrónicos programables. y denominándose todavía como IEC-1508. Unos años más tarde quedó constituida formalmente como IEC 61508. formada por siete partes: ^ ^ ^ ^ ^ Parte 1: Requisitos generales. se fue desarrollando conjuntamente con otras propuestas como la americana ANSI/ISA S84.'$ 'P$ sistemas electrónicos programables. ') &' $  Parte 5: Ejemplos de los métodos para la determinación de los Safety Integrity Levels (SIL). 25 . ^ ^ Parte 6: Líneas guía para la aplicación de las partes 2 y 3. Las partes 1.. representa para muchas industrias un paso adelante importante hacia condiciones de trabajo más seguras para las personas y el medioambiente. sin embargo. Exige examinar los riesgos basados en el diseño de los sistemas de seguridad. las 2. Parte 7: Panorámica de las técnicas y medidas..26 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. determina   . 6 y 7 en febrero de 2000. Se trata de un estándar de seguridad funcional bastante criticado por la extensa documentación requerida y por el uso intensivo de técnicas estadísticas. 3. 4 y 5 fueron aprobadas en 1998. En el 2002 hubo una revisión general y la última edición ha visto la luz en el 2010. ' P. . . $. En ella encontramos una descripción detallada sobre los aspectos de seguridad funcional de los dispositivos diseñados para la pre. por ejemplo. En este punto interesa comentar la relación entre Atex y SIS. recogida en la Norma UNE-EN 50495:2010. Este estándar es una publicación de amplio espectro que recoge aspectos basados no solo en la seguridad funcional de los sistemas.')' 3''$ de la seguridad. afecta también a la directiva PED (Pressure Equipment Directive) y al método de protección “b” (control de las fuentes de ignición) frente a ATEX (atmósferas explosivas) para equipos no eléctricos. 'O')PQ ''$#' K6L  $'$  protección en contexto ATEX.   $'  J BEEB  '$Q      . P. para el 2012. El estándar IEC 61511 se publicó formalmente en 2003. Ambos estándares hacen referencia directa a la IEC 61508. +$ . con el título “Seguridad Funcional: Sistemas Instrumentados para el sector de la Industria de Procesos” y fue elaborado por el mismo comité que redactó la IEC 61508 para complementar a esta. es la 1.0 2003-01. 7   +  61511 para las industrias de control de procesos y la IEC 62061 para la seguridad de las máquinas. contando varias ediciones el mismo año. La edición más actualizada. P.    '$' . /''#'  'P / )P66'. )/. '. '$#'. '$ .  ' /  $P ) $. # .  3$ ' &'.   aborda el ciclo de vida de los sistemas de seguridad y los niveles SIL. Está compuesta por tres partes: ^ ^ ^ G $D7$. es todavía más amplia. a pesar de su similitud con la ISA-S84.01. por lo que. $ /P'. '/'$ /3''$ 9 )$9  Parte 2: líneas guía para la aplicación de la parte 1. En particular. Parte 3: ejemplos de métodos para la determinación de la integridad de la seguridad en la aplicación del análisis del riesgo y del peligro. esta norma: ^ G. ' 3''$  #  #' . ' /. 'P.  quién es responsable de la aplicación de los requisitos (por ejemplo. diseñaña- . Legislación. esta responsabilidad se asigna a las diferentes partes de acuerdo a la plan'P. contratista…). propietario o empresa explotadora. estándares y normavas ^ ^ ^ ^ dores. proveedores. . 5 de la norma IEC 61511-1) se integra en un sistema global que se va a utilizar para una aplicación de seguridad. Aplica cuando el equipo que cumpla los requisitos de la Norma IEC 61508 (o del punto 11. *P  .' de la seguridad y reglamentación estatal. pero no a los fabricantes que deseen reivindicar que sus dispositivos son adecuados para su uso en sistemas instrumentados de seguridad para el sector de proceso (véase IEC 61508-2 e IEC 61508-3). '$+ ADHDD+ ADHE? '.  $9 #' '$ 3$'.  ' &''  # PQ/  &'. inclu). Aplica a una amplia variedad de industrias en el sector de proceso. $/'J /'$# ) ' 3  $9 '$# K$9 '$ Lull variability languages (véase IEC 61508-3 ). $3 '. /P$/. . pueden tener requisitos adicionales que deben ser satisfechos. y generación de energía no nucleares. offshore). ^ ^ ^ ^ ^ Describe la relación entre las funciones de seguridad instrumentadas y otras funciones. Nota: en el sector de proceso de algunas aplicaciones (por ejemplo.'$)# / pulpa y papel. $'P. 3''$. teniendo en cuenta la reducción del riesgo alcanzada por otros medios. +.' #' ) '$#' K6L  función de seguridad instrumentada (SIF). 'P. 3''$    3'$. $ '$ ). P# . ' 9 /$9  '. . ''$# . ''$  +. 'P. 3''$    '. . En particular: : +$9  '.'$9    ' integradores de sistemas instrumentados de seguridad (cláusula 12). . ') . Estos requisitos incluyen la aplicación de medidas y $4.$''   '$  ciclo de vida del SIS. '. /3$'&Q$'$   $9 ). $ :  ' . ' $'    ' . : G  .'$9 #' 3 pasará a la organización durante la integración del SIS. ' ' . '). ' '$ $' $9 3 necesita el usuario para la operación y mantenimiento del SIS. : . ' '$). 'P. . '3&.  ' # ' . '     . & 'P. . '$9 #' ¨ Aplica cuando la seguridad funcional se realiza con una o más funciones de seguridad instrumentadas para la protección del personal. la protección del público en general o del medio ambiente. 27 . . como protección de activos. N . ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ Puede aplicar en funciones de no seguridad.28 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. '. ' #' )P '$  . $'' 3 necesarias para determinar los requisitos funcionales y los requisitos de integridad. (3'   . ''#)'#  P'3''$ seguridad funcional y los niveles de integridad de cada función de seguridad.  $'P.   4'. $   & &''  '         )   frecuencia de fallos peligrosos por hora para los niveles de integridad de seguridad. +. 'P. 3''$ '    $ . '    9  +. 'P.  $4. '. ) ' .  '    .  ''$#' . 'P.   *P' O' '$#' K6@L/3#     función de seguridad instrumentada siguiendo este estándar. *P' ' '$#' K6DL& Q. pero +$&P'#T. $$dar no aplica. Proporciona un marco para establecer los niveles de integridad de seguridad.   '. . '. P. ). +.' de seguridad. 'P. 3''$  $   $'$ #' '$ $ / $  $P  *P ' . '.  ' .   . '. No impone requisitos directos al operador individual o personal de mantenimiento.' #'  Requiere que el diseño de una función de seguridad instrumentada tenga en cuenta factores humanos. W$  +  $ + ADHDXU-. como su nombre indica. 2. General requirements for systems”.3. consumidores y usuarios. ad ''$ . de los que forman parte todas las entidades y agentes implicados e interesados en los trabajos del comité y cuyo ámbito de aplicación es el territorio nacional. 9 $/'$ $ $' and control for systems important to safety. que. Por regla general estos comités suelen estar formados por fabricantes. está orientada al sector nuclear. NORMAS UNE Las normas UNE (Una Norma Española) son un conjunto de normas tecnológicas creadas por los Comités Técnicos de Normalización (CTN).3. '/ & $'/. $'$'# . ')+-W(K$' P. '  . $'P. fue reconocida como la úni.  L La actividad de AENOR comenzó en el año 1986 cuando. mediante una orden ministerial que desarrollaba el Real Decreto 1614/1985. $'  &       $   ' . '). $'P. . ' nuestro país. . estándares y normavas Posteriormente. el Real Decreto 2200/1995 de 28 de diciembre que aprobaba el Reglamento de la Infraestructura para la Calidad y la Seguridad Industrial en EspaJ / $'P.Legislación.  & '$+-W(.   &  & . Tras la creación de una norma española. tiene un periodo de seis meses de prueba  3'  T&'.'  normas españolas (Normas UNE) y representante de los intereses españoles en los organismos de normalización europeos e internacionales. $/  4 . bajo las siglas UNE.     '#' .$  P'$' $ por la comisión. son actualizadas periódicamente. Por supuesto.  'P. . '. ' +. 000 normas que permiten evaluar todas las áreas de actividad de las empresas. Más información puede encontrarse en: $$788999P'8$' .000 han sido directamente adaptadas de las propias normas europeas (EN). De las 17.000 normas UNE.'#3'#na una norma está estructurado de la siguiente manera: En España existen unas 17. sus productos o servicios. su calidad y sus sistemas. unas 10. )$8'. '   $$788999 8 8 8 8 ' . por supuesto.'  Con respecto a la seguridad funcional y tal y como se indicó con anterioridad. REBT .RD 842/02 y sus Instrucciones Técnicas. Igualmente se adaptó la IEC 61511 mediante la UNE EN 61511. Normas UNE de obligado cumplimiento por referencia de la IT BT-29: . RD 2135/1980 sobre Liberalización Industrial y Orden 19/12/1980 por el que se desarrolla el Reglamento Electrotécnico de Baja Tensión (REBT).CEI 61241-3 (reglas zonas Clase II) 29 . la directiva vigente asociada: Con carácter industrial: ^ ^ ^ ^ Ley 21/1992 de Industria. Del mismo modo.UNE-EN 60079-10 (reglas zonas Clase I) . con exacto propósito que la IEC 61508. BT-21(Canalizaciones equipos móviles) o BT-29 (Prescripciones particulares para instalaciones eléctricas de locales con riesgo de incendio o explosión). España hizo suya la misma a través de la UNE EN 61508. la IEC 61508 fue aplicada al ámbito europeo mediante la creación de la Norma Europea EN 61508. Otras normas de interés en cuanto a requisitos de seguridad (no funcional) en la industria son aquéllas relacionadas con ATEX y. BT-05 (Inspecciones). por ejemplo: BT-03 (Instaladores Autorizados). 30 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. UNE 21157. UNE 20432-3. UNE 21123. - ^ UNE-EN 60079-17 (criterios mantenimiento e inspección) CEI 60079-19 (criterios reparación) UNE-EN 6079-14 (emplazamientos Clase I) EN 50281-1-2 (emplazamientos Clase II) Sistemas cableado: UNE-EN 50039. RD 400/1996 (Atex100) (Aplicable a aparatos y sistemas de protección para uso en Atex). UNE-EN 50086-1. UNE 21027. Se complementa con el Reglamento CE 765/2008 que entró en vigor el 1 enero de 2010.. Con carácter preventivo: ^ ^ )XD8D==H/G.. UNE 21150. '('# &  (*X=8D==>(# $6'. 'G. ^ (*A?D8BEEXK$ODX>L que regula cómo realizar la Evaluación de Riesgos.2. PQ *.' Nota: las anteriores reglamentaciones han sido comentadas en el punto 2.3 de este capítulo.  $G$. . '. $ +O')$ &. A pesar del hecho de que el .4.3. 1987. Este documento fue el primero en su clase publicado por la asociación gubernamental inglesa Health & Safety Executive. ''ciones mínimas para mejorar la Seguridad. OTRAS NORMAS En este apartado y para dar una visión más completa en cuanto a Normativa asociada a Seguridad. 2. daremos una breve descripción de algunas otras normas conocidas:   HSE-PES “Programming Electronic Systems in Safety Related Applications”. partes 1&2.  $$'.  '. ' P ' '$ . $'. # bles. los conceptos analizados se pueden aplicar también a otras tecnologías. Trata métodos cuantitativos y cualitativos de evaluación junto a muchas tablas con check lists y se ha usado como referencia para confeccionar muchas normativas vigentes relacionadas con el análisis de riesgos en ambientes industriales. Cubre solo parcialmente el ciclo de vida de la seguridad puesto que su in$. Se tomó muy en consideración en los ejemplos de Análisis de Riesgos de la IEC 61508 (Parte 5). Se trata de una pre-norma alemana emitida en 1989 y cuya última edición se publicó en 1994. DIN (V) 19250 “Aspectos fundamentales de la seguridad a considerar para equipos de medida y control”. '   #   P' #    '''# Describe por tanto un proceso de análisis cualitativo que ha desembocado en  '$'P. . '.  . P.  '  \+$   '- . este documento tiene secciones que tratan los sistemas de bloqueo (shutdown) para calentadores. generadores de vapor. turbinas de gas. 1997. Desde entonces este centro ha elaborado numerosos documentos y libros de texto para la seguridad en la industria de procesos.  AIChE-CCPS “Guidelines for Safety Automation of Chemical Processes”. generadores de vapor de gases calen$ / ' $ 3 *''#''. Desarrollado por el American Petroleum Institute. 1993. y en el que murieron miles de personas. que tratan el diseño de los DCS (Distributed Control Systems) y de los SIS (Safety Instrumented Systems) desde $'$  'P   API RTP 556 “Recommended Practice for Instrumentation and Control Systems for Fired Heaters and Stream Generators”. El instituto americano de ingenieros químicos formó el Center for Chemical Process Safety (CCPS).Legislación. en India. estándares y normavas  $  3''$#' K6LP'+ ADHE?) existe cierta correlación entre ellos. inmediatamente después del grave accidente de Bhopal. 1997. Sistemas de recuperación de calor en los generadores de vapor. Gestión de la alimentación de combustible. Installation and Testing of Basic Surface Safety Systems for Offshore Production Platforms “. redactada por la National Fire Protection Association. que además exige un determinado SIL para determinados lazos.'  $ Prías.  API RP 14C “Recommended Practice for Design. La misma organización redacta este documento basado en proven practices. 2001. de la Dirección General de Industria. dirigido tanto a personal de diseño como operativo. EN 746-2 “Equipos de tratamiento térmico industrial”. que publica la relación de normas UNE aprobadas por AENOR – <W+::BEDD:DA?@AL/P' G $B7U(3''$#'     combustión y los sistemas de manejo de combustibles”. Es la versión europea de la NFPA 85.  NFPA 85 “Boiler and Combustion Systems Hazard Code”. Sistemas de pulverización de combustible. Consta de tres ediciones. Calderas con múltiples quemadores. siendo la última del 2011 (Resolución de 4 de octubre de 2011. El estándar comprende:  Gestión de calderas de un solo quemador. Revisada en 2004. Normativa más reconocida a nivel mundial para la seguridad de los sistemas de combustión. 31 . es referenciada por muchas organizaciones para sus BMS (Burner Management Systems). Gestión de las calderas con uidized-bed de presión atmosférica. se podría aplicar también a plantas químicas o instalaciones industriales similares. 32 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Seguridad de máquinas e instalaciones     EN 1050 “Seguridad de máquinas .Partes de los sistemas de mando relativas a la seguridad”. La norma describe requisitos técnicos de seguridad y advertencias referidas a principios de diseño de partes de sistemas de mando relativas a la #' G  $  $/P. La evaluación del riesgo es un componente esencial del proceso iterativo de la reducción del riesgo que ha de continuarse hasta conseguir seguridad. EN 954 “Seguridad de las máquinas .Principios para la evaluación del riesgo”.. El objetivo prioritario de este documento es la descripción de un procedimiento sistemático para la evaluación del riesgo que permita elegir medidas de protección adecuadas y coordinadas.. $# ). Esto incluye los sistemas programables para toda clase de máquinas y los dispositivos de protección pertinentes. hidráulica. neumática. por ejemplo. eléctrica. independientemente del tipo de energía utilizado. puede aplicarse también a controles . Vale para todas las partes de controles relacionados con la seguridad.'&'  funciones de seguridad. Cuando proceda. y se aplica a todas las máquinas del ámbito industrial y privado. mecánica.  $#' 3$''.   $ P ' $4. '. . Parte 2:G'. EN ISO 12100-1 “Seguridad de máquinas. peligros similares.Parte 1: Terminología básica. . metodología. principios generales para el diseño”: . conceptos básicos. ''). 'P. . '$4. '. Partes de los sistemas de mando relativas a la seguridad”. Con la revisión de la Norma EN 954-1 se pretende obtener una norma sim'P.También puede aplicarse a otros productos técnicos que entrañen peligros similares.  Este documento formula principios técnicos para ayudar a los diseñadores y los fabricantes a integrar la seguridad en el diseño de las máquinas en instalaciones. EN ISO 13849 “Seguridad de las máquinas .  /  &/3 # '.  ' Q  $ $'. la futura Norma EN ISO 13849-1 seguirá contemplando. Además de sistemas eléctricos. complejos. $ $. como hasta ahora. electrónicos y electrónicos programables. # . $/.  Q  ]'.  + &'$ . $ . ' +-6WDX?@=:D 'P.  . En relación con el tema “validación” se publicó el actual proyecto de Norma prEN 954-2 como norma armonizada EN ISO 13849-2 en diciembre de BEEXG ' .'& ' 'mo las posibilidades de aplicar esta norma a sistemas electrónicos programables para funciones de seguridad. '$' 'P. . '   /'. ' '- . estándares y normavas ^ sis y las pruebas.  +-+ ABEAD$     . EN IEC 62061 “Seguridad de las máquinas .Legislación. de las funciones de seguridad y categorías de las partes de sistemas de mando relativas a la seguridad.Seguridad funcional de los sistemas eléctricos. electrónicos y electrónicos programables relacionados con la seguridad”. $. P. La base la forman consideraciones cuantitativas y cualitativas de funciones  #'  +$ ''#'     'P. Abarca el ciclo de vida completo. En ella se describe la realización de sistemas de control eléctricos relacionados con la seguridad de las máquinas./&dinada a la EN IEC 61508. desde la fase de diseño hasta la retirada de servicio. / 'J  )  '  sistemas de técnica de seguridad.  +-8+ ABEADP#  '$    '   *'. de forma que su aplicación genera el denominado efecto “efecto de presunción”. *j.$'  de máquinas CE.   \.  |j    EN 60204 “Seguridad de las máquinas .Equipo eléctrico de las máquinas”. La Norma se aplica a la realización del equipo y de los sistemas eléctricos y . $'.   3' PQ  '& $. ' '$/'. EN 60947-5 “Aparataje de baja tensión”.yendo un grupo de máquinas que trabajan conjuntamente de forma coordinada. La Norma ofrece información detallada sobre la construcción eléctrica y mecánica de dispositivos de parada de emergencia con función de enclava '$ . '. )& 'P. . el equivalente de la EN 60204-1.' ' S   ''$' de mando y elementos de conmutación utilizados para generar una orden de parada de emergencia. 33 . Tales aparatos pueden estar provistos con su propia envolvente. o estar montados según las instrucciones del fabricante. Fue actualizada en 2007 para hacer referencia a las nuevas normas de seguridad ISO EN 13849 e IEC 62061 cuando se utilizan controladores y redes de seguridad programables. La NFPA (National Fire Protection Association) ha desarrollado la NFPA 79. NFPA 79 “Electrical Standard for Industrial Machinery”. Estamos seguros de que nuestro esfuerzo no será en vano. La Norma NFPA 79 describe requisitos de los equipos electrónicos de máquinas y es reconocida por ANSI para su aplicación a máquinas en Norteamérica. Siguiendo las guías que hemos tratado en este capítulo. los diferentes técnicos cualicados en los que decae la responsabilidad del diseño. este libro pretende resumir y claricar los conceptos disgregados en tan numerosa normava. Sin embargo son la mejor herramienta de consulta cuando una organización. con seguridad. confeccionada por el Instuto Nacional de Seguridad e Higiene en el Trabajo. CONSEJOS PRÁCTICOS Existen innidad de normavas. inversamente proporcional a su integridad. que recoge una lista con aquella Legislación Española de Seguridad y Salud que precisan e incluyen procedimientos de evaluación de riesgos y otra tabla con normas o guías aplicables. presentaremos a connuación un listado con las normavas y direcvas más relevantes mencionadas en este capítulo. a modo de resumen. estamos hablando también de personas afectadas incluso con la pérdida de la vida. encontrarán una inesmable fuente de ayuda para su quehacer profesional. y sobre todo. ya mencionada. Es pues responsabilidad del propietario de las instalaciones donde pueden exisr estos escenarios de riesgo el hacer un ejercicio de compromiso entre Fiabilidad de la instalación (basada en las pérdidas económicas producidas por actuaciones innecesarias de los sistemas de seguridad que pueden llevar a paradas de procesos) y Seguridad de las mismas (aceptando un cierto Riesgo Tolerable). basado en las consecuencias del evento peligroso y la frecuencia con la que se puede producir. escritos y referencias relacionadas con los Análisis de Riesgos y la Seguridad Funcional. pues al n y al cabo no solo estamos hablando de afectación económica o medioambiental. una normava no es de carácter obligatorio si no se traspone al ordenamiento jurídico o se hace referencia a ella en una direcva. Es este un ejercicio complicado. . guías. Estamos seguros de que nuestro esfuerzo no será en vano. cuando nos disponemos a analizar un escenario de peligro. asumimos un cierto riesgo tolerable. documentación. empresa. focalizando en los denominados Sistemas Instrumentados de Seguridad (SIS). Además añadiremos una tabla. Por supuesto. PARA NO OLVIDAR Como mencionamos al principio de este capítulo. desea tener la sensación de estar haciendo bien las cosas. y en cuyo buen juicio han de conar los máximos responsables de las diferentes organizaciones industriales. ón.34 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. y algunas otras que las complementan. en relación a su aplicación. operación y mantenimiento.. Siempre habrá una cierta probabilidad de fallo en demanda de estos sistemas. equipo de diseño o un simple operador de producción o mantenimiento. Para facilitar al lector esta tarea. Por supuesto la seguridad total no existe. Lo complicado es idencar y encontrar aquella que podamos necesitar para una aplicación concreta. Por ello.. de la Com. de 15 de julio.Legislación. de 24 de junio. estándares y normavas LISTADO DE NORMAS. Europea. (prevención de accidentes mayores en deter '   . DIRECTIVAS Y GUÍAS ANÁLISIS DE RIESGOS Seveso I: Directiva 82/501/CEE. Econ.  RD 886/1988. $'' '$' L/ 'P. de 29 de julio.  RD 1254/1999 de 16 de julio y RD 1196/2003. RD 952/1990. de 19 de septiembre (medidas de control de los riesgos inherentes a los accidentes graves en los que '$'$ . Seveso II: Directiva 96/82/CE del Consejo Europeo. de 9 de diciembre. incorpora esta directiva al oredenamiento jurídico español. ' '# L/ 'P. ^ Información en:  $$788999 #88 9&89 .  RD 948/2005 de 29 de julio. de 4 de febrero. Seveso III: Directiva 2003/105/CE del Consejo y Parlamento Europeo. apartado 119: “Process safety management of highly hazardous chemicals.1910. RD 119/2005. incorporan esta directiva al oredenamiento jurídico español. incorporan esta directiva al ordenamiento jurídico español. de 16 de diciembre. for General Industry” de OSHA. 29 CFR .  . Ÿ ˜Ÿ. Ÿ $) 6R-*(*6¡Ÿ$. 02-2002. ANSI/ISA S84. se trasponen las Directivas Comunitarias 89/391/CEE. SEGURIDAD FUNCIONAL ISA:    ANSI/ISA S84.00.01-2004. 91/533/CEE. RD 39/1997. ISA-TR84.01-1996 “Aplication of Safety Instrumented Systems for the Process Industries”. “Prevención de Riesgos Laborales”. 92/85/CEE y 94/33/CE al Ordenamiento Jurídico Español.Ÿ D¡Ÿž)  D=DE Ley 31/1995. “Reglamento de los Servicios de Prevención”. de 17 de enero. Instrumentation. and Automation Society”. Systems. de 8 de noviembre.Safety Integrity Level (SIL) Evaluation Techniques”. 35 .00. “Safety Instrumented Functions (SIF) . “Functional Safety: Safety Instrumented Systems for the Process Industry Sector. 00. ISA TR84.00.01-2004 (IEC 61511)... “Guidelines for the Implementation of ANSI/ISA S84.00.36 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. “Guidance for Testing of Process Sector Safety Instrumented Functions (SIF) Implemented as or Within Safety Instrumented Systems (SIS)”.U$'P. and Automation Society”. ANSI/ISA-91.     ISA-TR84.01-2001.00.04-2005. Instrumentation.03-2002. Systems. $'+ #. U '$'. ISA-TR91.)6 $96)$  and controls that are Critical to Maintaining Safety in Process Industries”.00.02-2003. '$)  'P. $'''$ $ tion”. Información en: $$788999 '#8 &$Ÿ '8'$. $'8'$. $  # $ & Q*P'. UNE:      UNE . Electrónicos y Electrónicos Programables”.EN . Última edición 2010. UNE .IEC 61508.IEC 61511. contando varias ediciones el mismo año.$'Ÿ O˜ ' D $$788999' : '#8#  ˜' D $$788999' # IEC:   IEC 61508 “Seguridad Funcional de Equipos Eléctricos. Última edición 2012.EN . con el título “Seguridad Funcional: Sistemas Instrumentados para el sector de la Industria de Procesos”. IEC 61511 se publicó formalmente en 2003. UNE-EN 481. '  . . 1996. 1995.' por el tamaño de las partículas para la medición de aerosoles. España. Atmósferas en el lugar de trabajo. AENOR. AENOR. UNE-EN 689. Requisitos generales relativos al funcionamiento de los procedimientos para la medición de agentes químicos. 1995. Atmósferas en el lugar de trabajo. Directrices para la evaluación de la exposición por inhalación de agentes químicos para la comparación con los valores límite y estrategia de la medición. . España. Madrid. CEI 61241-3 (reglas zonas Clase II). Madrid. Normas UNE referenciadas en la IT BT-29:   UNE-EN 60079-10 (reglas zonas Clase I). Madrid. España. AENOR. UNE-EN 482. 1987. UNE 21157. UNE-EN 50086-1.Legislación. EN 1050 “Seguridad de máquinas . NFPA 85 “Boiler and Combustion Systems Hazard Code”. UNE 20432-3. Sistemas Cableado: UNE-EN 50039. UNE 21123. EN 60204 “Seguridad de las máquinas .Equipo eléctrico de las máquinas” EN 60947-5 “Aparataje de baja tensión”.1984 (Ministerio de Trabajo y Seguridad Social. 1993. UNE 21150.Partes de los sistemas de mando relativas a la seguridad”. electrónicos y electrónicos programables relacionados con la seguridad”. Installation and Testing of Basic Surface Safety Systems for Offshore Production Platforms “.10. Reglamento sobre el trabajo con riesgo de amianto. 1997.Principios para la evaluación del riesgo” EN 954 “Seguridad de las máquinas . OTRA LEGISLACIÓN ESPAÑOLA COMPLEMENTARIA   Orden de 31. conceptos básicos. OTRAS:                HSE-PES “Programming Electronic Systems in Safety Related Applications”. UNE 21027. UNE-EN 6079-14 (emplazamientos Clase I). EN 50281-1-2 (emplazamientos Clase II).Seguridad funcional de los sistemas eléctricos. estándares y normavas     ^ UNE-EN 60079-17 (Criterios mantenimiento e inspección). principios generales para el diseño”. API RTP 556 “Recommended Practice for Instrumentation and Control Systems for Fired Heaters and Stream Generators”. partes 1&2. 1997. (. BOE 7. AIChE-CCPS “Guidelines for Safety Automation of Chemical Processes”. EN IEC 62061 “Seguridad de las máquinas . 2001. EN ISO 12100-1 “Seguridad de máquinas. NFPA 79 “Electrical Standard for Industrial Machinery”. EN 746-2 “Equipos de tratamiento térmico industrial”.Partes de los sistemas de mando relativas a la seguridad”. CEI 60079-19 (Criterios reparación). EN ISO 13849 “Seguridad de las máquinas .1984). DIN (V) 19250 “Aspectos fundamentales de la seguridad a considerar para equipos de medida y control”. API RP 14C “Recommended Practice for Design.11. $'P. 11. 37 .  7 .Orden de 7.11.1984 (Ministerio de Trabajo y Seguridad Social. BOE 22.1984).          'P.38 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO... 1.Orden de 7. .1987 (Ministerio de Trabajo y Seguridad Social.3.1987 (Ministerio de Trabajo y Seguridad Social. Protección de los trabajadores contra los riesgos relacionados con la exposición a agentes cancerígenos durante el trabajo. Completada por: .1989) Real Decreto 665/1997 de 12.12.5. (Ministerio de la Presidencia.1993 (Ministerio de Trabajo y Seguridad Social.2.1989 (Ministerio de Trabajo y Seguridad Social.1987).8.1987). BOE 24.Resolución de 20.5.7.  7 . BOE 5.Orden de 22. 'P.Orden de 26. BOE 15. BOE 29. . BOE 3.1.1993).12.1997). 1986). Normas regla $ '  4'. BOE 17.1963). BOE 13.6. Orden de 9.3.1. BOE 6.Real Decreto 1124/2000. (Ministerio de la Presidencia.2000). 7 . Reglamento para la prevención de riesgos y protección de la salud por la presencia de cloruro de vinilo monómero en el ambiente de trabajo. de 16.6. Orden de 12.1963 (Ministerio de Trabajo.4.1986 (Ministerio de Trabajo y Seguridad Social.5.   . . ' '$/' #$'. ). 'P. . 1965 (Ministerio de Trabajo.8. BOE 25.Orden de 15. Completada por: . Sanidad y Seguridad Social.12.'  enfermedades profesionales.5. BOE 17. Cuadro de enfermedades profesionales.1966).1. Real Decreto 1995/1978 de 12.1978). (Ministerio Trabajo. 'P. Aprueba el reglamento general de normas básicas de seguridad minera.12. (Ministerio de Industria y Energía. 7 .Real Decreto 2821/1981 de 27.6.4. 1985. Real Decreto 863/1985 de 2.1981). Ministerio Trabajo. BOE 1.1985). 18. Sanidad y Seguridad Social.11.12. BOE 12. rect. 'P. BOE 30. publicada en la Orden 13. (Ministerio de Industria y Energía. BOE 8.1985 (Ministerio de Industria y Energía.9. rect. 7 . .08.Disposiciones que incluyen las Instrucciones Técnicas Complementarias ITC MIE. * ITC 07. BOE 18.Real Decreto 150/1996 de 2..1991 (Ministerio Industria y Comercio.9.1985).01: Condiciones ambientales de lucha contra el polvo.1.10.1996). 23. entre ellas: * ITC 04. Completado por: .11.2.10.04: Condiciones ambientales. publicada en la Orden 16.1991).3. Real Decreto 363/1995 de 10.2001).10. BOE 7. BOE 26. Real Decreto 783/2001 de 6. (Ministerio de Industria y Energía.7.9.3. (Ministerio de la Presidencia. BOE 5.6.1997).1995). Aprueba las disposiciones mínimas destinadas a proteger la seguridad y salud de los trabajadores en las actividades mineras. estándares y normavas       Real Decreto 1389/1997 de 5.7.Legislación. Aprueba el Reglamento sobre protección sanitaria contra radiaciones ionizantes. (Ministerio de la Presidencia. (# $&$'P. . '$ . '  ).  'P. . '/   y etiquetado de sustancias peligrosas. 'P. 5. V y VI. Anexos I y VI. BOE 17.III.1999). . Anexos I.1998).1998 (Ministerio de la Presidencia. BOE 27.10. III. Anexos I y V.10. IV y VI.2001).9.6.Orden de 11. <W+==/. VI y IX.5.4.1998).1995).1999). . . BOE 10.Real Decreto 700/1998 de 24. .1.4. V. BOE 8. .Anexo I. .9.9.5.Orden de 5. .1999 (Ministerio de la Presidencia.4.7.9.1.7.1998).2000 (Ministerio de la Presidencia.Real Decreto 507/2001 de 11.1999 (Ministerio de la Presidencia. Real Decreto 1078/1993 de 2.2001 (Ministerio de la Presidencia.7. . BOE 6.3.1995 (Ministerio de la Presidencia.Anexos I. BOE 19.Orden de 8. BOE 12.Orden de 30.Orden de 13.7.2. 7 . .Orden de 16. (Ministerio de Relaciones con las Cortes.2001). Anexo I. IV. . .Orden de 5.Anexo I.1997 (Ministerio de la Presidencia. .Orden de 21. (Ministerio de la Presidencia. BOE 14.2000). Prólogo.1998 (Ministerio de la Presidencia. (Ministerio de la Presidencia. BOE 19. BOE 10.1997). $D=DDD==XL(# $&.  'P. . '/  )$'quetado de preparados peligrosos. Actualizado por: .1995 (Ministerio de la Presidencia. 'P.1995).2.2. BOE 23.Orden de 20. 5. rect.4. 3. . BOE 5. 7 .Real Decreto 363/1995 de 10. (Ministerio de Trabajo y Asuntos Sociales. BOE 4. 39 . Disposiciones mínimas en materia de señalización de seguridad y salud en el trabajo. (Ministerio de la Presidencia.4.Real Decreto 1425/1998 de 3.4.7. Real Decreto 485/1997 de 14.1995). BOE 23.6. (Ministerio de la Presidencia.1998).1997).7. Reglamento electrotécnico de baja tensión.7. 4.1997). MIE-APQ-2. MIE-APQ-4. Decreto 2413/1973 de 20. 'P.11.12. Se establecen las disposiciones mínimas de seguridad y salud para la utilización por los trabajadores de los equipos de trabajo. Dicta las disposiciones de aplicación de la Directiva del Consejo 89/392/CEE.40 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. MIE-APQ-6 y MIEAPQ-7.6. Disposiciones mínimas de seguridad y salud relativas a la utilización por los trabajadores de equipos de protección individual.1973). (Ministerio de la Presidencia. rect.7. (Ministerio de Relaciones con las Cortes.5. (Ministerio de Trabajo y Asuntos Sociales. BOE 12.9. BOE 10. (Ministerio de Ciencia y Tecnología.. BOE 23.5.. Aprueba el Reglamento de almacenamiento de productos químicos y sus instrucciones técnicas complementarias MIE-APQ-1. Real Decreto 1435/1992 de 27. 19. relativa a la aproximación de las legislaciones de los Estados miembros sobre máquinas.4. 18.10.11.1999).1992). rect. BOE 7.8.              Real Decreto 486/1997 de 14.1997).1997). MIE-APQ-5. BOE 20. MIE-APQ-3.7 rect. (Ministerio de la Presidencia.4. (Ministerio de la Presidencia. Se aprueban medidas de control de los riesgos inherentes a los accidentes graves en los que intervengan sustancias peligrosas.. Disposiciones mínimas de seguridad y salud en los lugares de trabajo.4..10. Real Decreto 379/2001 de 6. Real Decreto 773/1997 de 30.2001). Real Decreto 1254/1999 de 16. Real Decreto 1215/1997 de 18. BOE 9.7. (Ministerio de Industria. BOE 11. 7 : WDXDD=?? 3 'P. 'P. BOE. 7. rect.12.11.1994). Reglamento de instalaciones de protección contra incendios.5. 14.  R <REBA Real Decreto 1942/1993 de 5. (Ministerio de Industria y Energía.1993. Desarrollado por: .1996). relativa a los aparatos y sistemas de protección para uso en atmósferas potencialmente explosivas. Real Decreto 400/1996 de 1. Dicta las disposiciones de aplicación de la Directiva del Parlamento Europeo y del Consejo 94/9/CE.Orden de 16. Reglamento de seguridad contra incendios en los establecimientos industriales. BOE 6.1991 (Ministerio del Interior. 7 .Orden de 21. Resolución de 30.. BOE 28. rect.2. (Ministerio de Industria y Energía. Publicación del Acuerdo del Consejo de Ministros por el que se aprueba la directriz básica para la elaboración y homologación de los planes especiales del sector químico. BOE 30.12.2000).4.3. .3.1.4. BOE 8.2001).1998). (Ministerio de Industria y Energía. Real Decreto 786/2001 de 6.7. BOE 25.7.1998 (Ministerio de Industria y Energía.1999 (Ministerio de Industria. 8.1991).4.1. M.7. Discussion Document.84 O. Amianto 88/364/CEE RD 88/1990 83/477/CEE CEE 91/382/ OM31.93 Cloruro de vinilo 78/610/CEE OM 9. x HSE (1999). estándares y normavas TABLAS Legislación y Normativa para Evaluación de Riesgos LISTA DE LEGISLACIÓN DE SEGURIDAD Y SALUD EN LA QUE SE DEFINEN PROCEDIMIENTOS DE EVALUACIÓN TÍTULO DIRECTIVA TRASPOSICIÓN Lugares de Trabajo 89/654/CEE RD 486/1997 Señalización 92/58/CEE RD 485/1997 Construcción 92/57/CEE RD 1627/1997 Canteras y minas 92/104/CEE RD 1389/1997 Sondeos 92/91/CEE RD 150/1996 Pesca 93/103/CEE RD 1216/1997 Equipos de trabajo 89/655/CEE RD 1215/1997 PVD 90/270/CEE RD 488/1997 Agentes químicos 98/24/CE Pendiente trasposición.T. Pendiente trasposición.4. BOE 11/3/77.10.4.HSE BooAs.Protecng People. Health and Safety ExecuveZ Reducing RisAs.Legislación.86 Ruido 86/188/CEE RD 1316/1989 Radiaciones ionizantes 8 0 / 8 3 6 / E U R AT O M RD 53/1992 8 4 / 4 6 7 / E U R AT O M 9 0 / 6 4 1 / E U R AT O M x RD 413/1997Redmill (2001). Valores límite 91/322/CEE 96/94/CE No exigible su trasposición. Agentes cancerígenos 90/394/CEE RD 665/1997 Prohibición agentes especícos.7. Plomo 82/605/CEE OM 9. 41 . Pendiente de trasposición.1986 Benceno Convenio OIT 97/42/CE Resolución M. Documento sobre límites de exposición profesional para agentes químicos. A pa96/29/EURATOM per on what is necessary for using IEC 61508.11.84 OM 26. TÍTULO DIRECTIVA TRASPOSICIÓN x Summers Angela and Zachary Bryan ^Improve Facility SIS Perfomance and Reliability_ Sis-Tech.) `y otros» (1994).S.. ^High Integrity Protecve Systems for Reacve Processes_ Sis-Tech Soluons. kxito en la gestión de la salud y de la seguridad. uxemburgoZ O'cina de Publicaciones de las Comunidades Europeas .7Z.Z 84 7425 .October 2002.de 6 de abril. x ópez Muñoz..BOE n{ 104de 1 de mayo. I.1994. ISB. x Summers Angela. x +uía Técnica para la Evaluación y Prevención de los Riesgos presentes en el lugar de trabajo relacionados con Agentes Químicos..+. Published Hydrocarbon Processing.42 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Published in Chemical ProcessingMarch 2004. Pendiente trasposición Agentes biológicos 90/679/CEE 93/88/CEE 95/30/CE 97/59/CE 97/65/CE RD 664/1997 OM de 25 de marzo 1988 Ulización EPI 89/656/CEE RD 773/1997 Reglamento de acvidades molestas.560. Directrices para la evaluación de riesgos en el lugar de trabajo (1996).H. Ph D.D.0. insalubres. SoluonsHouston. x C. ISHT.E. D 2414/61 nocivas y peligrosas BOE 30/11/61 BOE 7/3/62 Manipulación manual de cargas 90/269/CEE RD 487/1997 . (coord. R. 3742001. Estrés térmico por frío Evaluación de ambientes fríos. 1997 INIRC/ IRPA Guidelines para UV 1991.visible.Legislación. estándares y normavas LISTA DE ALGUNAS NORMAS O GUÍAS APLICABLES A LA EVALUACIÓN DE DISTINTOS TIPOS DE RIESGOS MATERIA TÍTULO NORMA O GUÍA Estrés térmico Ambientes calurosos. Requisitos generales. Respuesta humana a las vibraciones.IR) TLV ACGIH ICNIRP Guidelines para visible-IR.UNE-ENV 28041 mentos de medida.UNE-EN ISO 7730 nación de los índices PMV y PPD y especicaciones de las condiciones para el bienestar térmico. Instru.UNE-ENV 28041 mentos de medida. conrmadas por ICNIRP en 1996 Radiación ópca láser UNE-EN 60825-1/A11 ICNIRP Guidelines 1996 Ultrasonidos TVL ACGIH 43 . Confort térmico Ambientes térmicos moderados. Vibraciones mano Vibraciones mecánicas. Respuesta humana a las vibraciones. Esmación del estrés UNE-EN 27243 térmico del hombre en el trabajo basado en el índice WBGT (temperatura húmeda y temperatura de globo). Determina.UNE-ENV 50166-1 nécos de baja frecuencia (0 Hz a 10 Hz) y UNE-ENV 50166-2 alta frecuencia (10 Hz a 300 GHz). Campos electromagnécos Exposición humana a campos electromag.ISO 2631-1 mano a las vibraciones. Instrumentos y méto.UNE-EN 27726 dos de medida de los parámetros sicos. Vibraciones cuerpo completo Evaluación de la exposición del cuerpo hu.UNE-EN ISO 11079 ción del aislamiento de la vesmenta requerido (IREQ). Instru. Directrices para la UNE-ENV 25349 brazo medida y evaluación de la exposición humana a las vibraciones transmidas por la mano. Determi. Ambientes térmicos. Radiación ópca (UV. Requisi. Requisitos generales relavos al funcionamiento de los procedimientos para la medición de agentes químicos Atmósferas en el lugar de trabajo. } ~<.UNE-EN 689 ces para la evaluación de la exposición por inhalación de agentes químicos para la comparación con los valores límites y estrategia de la medición..UNE-EN 482 tos generales relavos al funcionamiento de los procedimientos para medición de agentes químicos.. Directri. MATERIA TÍTULO NORMA O GUÍA Recomendación para la valoración de la exposición a contaminantes químicos Atmósferas en el lugar de trabajo.44 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. html En esta página se encuentran enlaces a varias bases de datos para la búsqueda de información de sustancias químicas. Entre ellas: ATSDR (Agency for Toxic Substance and Disease Registry). CCOHS (Canadian Centre for Occupational Health and Safety).cepis.pe/eswww/toxicolo/basesfac. EXTOXNET (The Extension Toxicology -$9žL/+GK#. <  ]  ^ ^ http://www.org. ' G$. . ' &'$ +$ N'L/ IARC (International Agency for Research on Cancer). ICSCs (Fichas inter . ' #' 3 '. LRW«-+RKRO'. es/portal/site/Insht/menuitem.#)* $ -$9žL http://www.a82abc159115c8090128ca10 060961ca/?vgnextoid=db2c46a815c83110VgnVCM100000dc0ca8c0RCRD En esta página se encuentran todas las NTP citadas en las publicaciones del INSHT. http://www.es/ciudadanos/saludAmbLaboral/prodQuimicos/home. Servicios Sociales e Igualdad.insht.msc. .htm Información sobre productos químicos del Ministerio de Sanidad. Una primera aproximación al concepto de riesgo. Ejemplo de estrategia de seguridad funcional. ¿Podemos minimizar el número de escenarios peligrosos asociados a un proceso? €j\ %j  .CAPAS DE PROTECCIÓN EN INSTALACIONES DE PROCESO 3 Carlos Javier Gasco Lallave SUMARIO: Introducción.  j   .  % .  ‚ / . . >      %   %. j  %. %  ƒ+}„ k%   +} / %  %   . Para no o ar.! / % ípicas con función de mitigación. 3. Riesgo en todo lo que nos atrae. sin embargo la probabilidad de caer. ^ ^ Nos gusta surfear entre las olas. INTRODUCCIÓN.1. . aceptamos el riesgo pues la diversión nos compensa. ono ro. e incluso morir es muy considerable. lesionarse. Conducir una moto a gran velocidad nos proporciona una sensación que muchos encuentran apasionante. UNA PRIMERA APROXIMACIÓN AL CONCEPTO DE RIESGO ¿Dónde está el riesgo? Figura 3. aun así.1. aun sabiendo que en ciertas zonas podemos encontrar tiburones que pueden darnos un mordisco o incluso comernos. Pongamos uno más: ^ En la fabricación de productos químicos se corre el riesgo de sufrir un incendio. Riesgo donde uno menos se lo espera. sin embargo las malas ocurren por sí mismas…” Viajar en avión es mucho más seguro que ir en coche. Reduciendo el riesgo Figura 3.. sin embargo no lo creeríamos de no ser por las estadísticas.2. Por ello. Pero todo avance tecnológico requiere de procesos químicos y por tanto de unidades de proceso. al embarcar. explosión o escape tóxico. solemos acordarnos de ellas… * '  /)  . ya que tenemos muy presente las consecuencias de un posible accidente. pero seguro que a estas alturas se entiende ya el concepto. aunque muchas veces volvemos a casa con alguna que otra magulladura… Así podríamos seguir con innumerables ejemplos. más o menos extremo. Dos frases interesantes:   “El riesgo no siempre está donde se espera que esté…” y “Las buenas cosas ocurren siempre de forma planeada. ^ Divertido también es jugar un partido de fútbol. tenis o cualquier deporte..46 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. P  . '$ $ . debemos  P$'.' basada en datos.    '$    '. )8. ''& tros procesos químicos. . a menudo de gran complejidad. .Capas de protección en instalaciones de proceso En el mundo empresarial. 2. Crecimiento de Negocio. para mantenerse en un mercado de continua competencia. las empresas deben comprometer y balancear sus tres pilares fundamentales: 1.  $<P. En cuanto al tercero. Gestión del Riesgo. la empresa debe comprender sus riesgos. que es el que nos atañe. y el esfuerzo necesario para desarrollar esta comprensión dependerá de: ^ ^ la cantidad de información que posee la organización sobre potenciales incidentes y   .' 3. '. $ . '  . P.  3 P   . '     # ' . los responsables en esta disciplina primero deben utilizar su experiencia e intuición para comprender el riesgo al que sus organizaciones se enfrentan en la operación de una instalación: ENTENDER EL RIESGO …†‡ ¿j\%.' para una mejor información sobre sus riesgos. En cualquier caso. < <  ‚ €j\%j.  . de su experiencia.. competencia. ‚ ¿Cuáles son las consecuencias? Dependerá de la propia organización. conocimiento y rigurosidad en la aplicación de los procesos de trabajo y operación. Lo primero que tenemos que hacer es entender de qué recursos disponemos y cómo aplicar la tecnología para proteger nuestras instalaciones y. pasemos a buscar soluciones.. Nota: de estas técnicas hablaremos en profundidad en el Capítulo 6. Entendido el concepto de riesgo. FUNCIONES PROTECTIVAS 47 .. a menudo basadas en evaluación de la predicción del riesgo e importancia de las consecuencias. que esta búsqueda de entender el riesgo requiera de herramientas sencillas de evaluación y gestión del riesgo o de técnicas analíticas más complejas.. por supuesto. nuestra gente… – Instrumentación:  Control básico  Sistemas de seguridad – Procedimientos:  Críco  Emergencia – Disposivos mecánicos:  Disposivos de alivio  Sistemas de protección contra explosiones  . DCS…) que lo mantiene dentro de un intervalo de operación segura. Sin embargo esta función protectiva también puede fallar. EJEMPLO DE ESTRATEGIA DE SEGURIDAD FUNCIONAL Idealmente un proceso es controlado mediante un sistema básico de control (BPCS. compresores. etc. quien realiza una serie de operaciones programadas en concordancia con la función protectiva diseñada (comparando el valor medido con el set point establecido) y en   8 $8P 8 K  $ / $ bombas.2. El Operador actuará en consecuencia y devolverá el sistema a su estado de equilibrio y operación normal.48 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Veamos un ejemplo en el siguiente punto. … y el momento adecuado para ejecutar estas funciones. por lo que entra en acción una función protectiva del Sistema de Control. por lo que actúa ahora el sistema instrumentado de seguridad (SIS). 6'$' 4O'$/P  $  .. 3.. Decidir cómo interactúan estas funciones se denomina “Estrategia de Seguridad Funcional”. Del mismo modo que el BPCS del paso anterior. Si existe una causa que desestabilice el sistema y la variable de proceso se descontrola superando los Set Points (o puntos de consigna) se disparará una Alarma. su función protectiva se ejecutará a través de un lazo instrumentado. El lazo actúa de la siguiente manera: los sensores detectan la condición insegura en el proceso y envían la señal a través del transmisor de forma electrónica (analógica o digital) al sistema de control. Por diferentes motivos (tiempo de respuesta.) para su actuación. mala ejecución…) puede que el Operador no sea capaz de llevar el sistema a su posición segura. $ dispositivo de alivio de presión.3 podemos ilustrar este ejemplo de la siguiente manera: . las instalaciones y el medio ambiente. en caso que estemos considerando un escenario de sobrepresión. En la Figura 3. emisión de producto a atmósfera. previniendo el peligro. o envío a antorcha… Otras medidas para minimizar las consecuencias del escenario pueden ser planes de emergencia adecuados que protejan las personas. pero produciendo una pérdida de contención primaria (loss of primary containment) traduciéndose en un derrame de producto. retorno a proceso. En un diseño enfocado hacia la seguridad se suelen tener en consideración los siguientes aspectos sobre la instalación: ^ ^ ^ ^  .3.3. Muchas veces la opción más segura es la más sencilla. Ejemplo estrategia funcional.3. operador BPCS o DCS.1. Estamos introduciendo conceptos que empiezan a sonarnos: alarmas.… tal y como veremos a continuación en este capítulo. SIS… Pero profundicemos un poco más. lo que conlleva también una reducción de costes. SEGURIDAD INHERENTE AL DISEÑO El requisito principal de un proceso industrial es que el mismo sea seguro.Capas de protección en instalaciones de proceso Figura 3. 3. Para ello se ha de contar con estándares de diseño y procedimientos de trabajo exigentes buscando siempre la simplicidad sin comprometer la calidad. IPL. ¿Cómo? 3. Salvaguardias. actuación de protecciones. ¿PODEMOS MINIMIZAR EL NÚMERO DE ESCENARIOS PELIGROSOS ASOCIADOS A UN PROCESO? Antes de pasar a pensar en cómo protegernos frente a un escenario de peligro considerando una Estrategia de Seguridad Funcional. tengamos en cuenta que lo primero es minimizar al máximo la generación de posibles escenarios de riesgo.  'P. . ')'$'&. ' . 49 . Instalaciones de almacenaje. Instalaciones de producción. Depósitos de sustancias peligrosas. ^ ^ ^ ^ ^ Fluidos calientes/fríos.50 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO... Instalaciones eléctricas.  'P. Fluidos auxiliares. . 3. suelen funcionar a base de procesos de trabajo establecidos y guías de diseño. Lógicamente los responsables principales en esta capa son los diferentes ingenieros pertenecientes a las distintas disciplinas. como su confección por un equipo de expertos en el proceso. a saber. seguridad. cementeros. ingenieros de proyecto y directores. del inglés Return to Operations) de una instalación que ha pasado por tareas de mantenimiento basadas en procedimientos y listas de chequeo que prevengan posibles fugas y derrames. a base de reducir la variabilidad. Equipos Mecánicos y Rotativos. Procesos…. ciclos combinados. Una política de restricción de acceso a áreas con posibles peligros. puede incrementar considerablemente la seguridad del proceso. Electricidad. Algunos ejemplos de actuaciones de este tipo pueden ser las siguientes: ^ ^ ^ ^ Una disciplina operativa que asegure una disponibilidad mínima de espacio en un tanque de almacenaje antes de la descarga de producto al mismo. etc. Organizaciones de renombre disponen de herramientas que ayudan en el diseño de una instalación. Una ejecución manual siguiendo un protocolo a través de un procedimiento que cumple una serie de características. Tuberías. tiempo y. Tal es el caso de la metodología “Six Sigma”.'áreas peligrosas (Atex). OPERACIÓN DE LA INSTALACIÓN En la rutina de la operación de una planta encontramos variedad de actuaciones no automatizadas que requieren de una gestión importante de recursos. Civil. y por supuesto los responsables de coordinar las mismas y la gestión del capital.2. Los sectores de aplicación competen a diferentes ámbitos de la industria: químicos. petroquímicos. Instrumentación. alimentarios. etc. estándares propios (basados siempre en reglamentación y normativa exterior. de ellas hemos hablado en el capítulo anterior) y a veces cuentan con metodologías externas que ayudan a eliminar o minimizar los errores o defectos en tales procesos. revisión periódica y contemplación de alternativas de seguridad. 3. Un mantenimiento y limpieza exhaustivos que prevenga la creación de polvos explosivos residuales. farmacéuticos. margen temporal. Una entrega a operaciones (RTO. Estructura organizativa y futuro uso de la instalación. . ayuda instrumentada etc.. por supuesto. 4.4.Capas de protección en instalaciones de proceso 3. puesto que para un mismo escenario pueden existir diferentes causas o elementos iniciadores. $ . normalmente expresada en número de eventos por año. ¿QUÉ PUEDE INICIAR UN ESCENARIO PELIGROSO? Es importante conocer los escenarios peligrosos asociados a un proceso. ELEMENTO INICIADOR Cuando hacemos un estudio (por ejemplo usando LOPA) de un determinado escenario peligroso debemos seleccionar la/s causa/s que lo producen y su frecuencia.1. Entendamos qué son: 3. para ello debemos hacer un estudio en profundidad de las consecuencias de que se produzca y las causas que lo pueden generar. . ' /)  ' 'P. . .  $ $'. E-02 2 Fallo de agua de refrigeración 1.I.E-02 2 Pérdida de caudal por ruptura de bomba 1. (AÑOS) FACTOR Fallo de lazo de control BPCS 1. encontramos referencias como la de la Tabla 3.E-02 2 Fallo de válvula de control 1. pérdida de suministro 1.E-01 1 Ruptura de sello mecánico de bomba (doble y con alarma de fallo) 1.E-01 1 Fallo de sensor BPCS 1. en la que se asignan diferentes factores a diferentes tipos de posibles elementos iniciadores.E-01 1 Rayo eléctrico como EI 1.E-01 1 Fallo de regulador de aire 1.E-01 1 Fallo en la acción del operador (>1 vez cada 3 meses) 1.E-03 3 ELEMENTO INICIADOR 51 .1. FRECUENCIA DEL E. Tabla 3.E-01 1 Fallo en la acción del operador (=<1vez cada 3 meses) 1. De tal forma.E-01 1 Fallo de servicios generales 1.E-01 1 Fallo de logic solver BPCS 1.E-01 1 Fallo eléctrico.E-01 1 Ruptura de sello mecánico de bomba (único) 1.1. Frecuencia de los elementos iniciadores./ '#  un factor equivalente mediante una trasposición logarítmica. FRECUENCIA DEL E. o intervención humana que inicia la secuencia de eventos que lleva a generar el escenario de peligro..E-01 1 Fuga en tubería . Múltiples EI simultáneos o secuenciales deben ser tratados con alguna otra herramienta de evaluación de riesgos (por ejemplo FTA). En un estudio LOPA deben considerarse de forma independiente.E-03 3 Fuga en tubería . # $''. control de proceso..I.E-02 2 Fuga en intercambiador <100 tubes 1.<100 m 1.E-02 2 Fuga en intercambiador >100 tubes 1.>100 m 1.E-02 2 Fallo en juntas de expansión 1.52 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.E-01 1 ELEMENTO INICIADOR Un elemento iniciador es por tanto cualquier fallo de equipo. (AÑOS) FACTOR Fallo en manguera en operación de carga o descarga 1. uno a uno. '  'P.  . $ . I.''$ res o de exposición (por ejemplo. pueden hacer que la frecuencia de ocurrencia del E. o que ese escenario pueda generarse únicamente en determinadas condiciones de operación. P /$$' '# . para ese escenario se decremente). la consideración de atmósferas pobres en O2 en escenarios de explosión. '.  $. . 'KWGL&.  plirse que el factor del E.I. sumado a los créditos IPL más los factores facilitadores de exposición deben igualar o superar el factor de seguridad (process safety target level) asociado al escenario peligroso y sus consecuencias: }*kƒ  . „ˆ‰ . ƒ+„Š‰ . ƒ‰   .  K‹% „Š/. \ ƒ+}„ 3.2.4. SALVAGUARDIAS €j\ j Œ* ! j .  ‚ƒ  \ Safeguard) N   # ' Q. $  . '$. . ' $ 4 9 / $9  . $ . '   K ' $. ' '$. $'. #$'L +$ . '$. . '&P. . /. '/.  . Veamos qué deben cumplir Estas para poder . entendida como se ha explicado anteriormente. Cuando nos planteamos una Estrategia de Seguridad Funcional.'  probabilidad de que se produzca el escenario de riesgo o sus consecuencias. hemos de pensar en las Salvaguardias para afrontar los diferentes escenarios de peligro. Formalmente fue el CCPS/AIChE en 1993 quien introdujo.Capas de protección en instalaciones de proceso denominarse “capa de protección independiente” (del inglés IPL. y a través de su Guidelines for Safe Automation of Chemical Processes. el concepto de capa de protección y su uso para evitar la ocurrencia/reducir la & &'' $'#'$'P. Estas respuestas pueden ser automatizadas o iniciadas por la acción humana”).5 CARACTERÍSTICAS DE LAS CAPAS DE PROTECCIÓN INDEPENDIENTES (IPL) Denición por IEC-61511: “Un mecanismo independiente que reduce el riesgo a través del control. independent protection layer): 3. como buena práctica de ingeniería. prevención o mitigación” “Nota: Podría ser un mecanismo de ingeniería de procesos (como el tamaño de los recipientes que contienen productos químicos peligrosos). un mecanismo de ingeniería mecánica (como una válvula de alivio). un sistema instrumentado de seguridad o un procedimiento administrativo (como un plan de emergencia). serán independientes si: :  & &''  'P. Algebraicamente: dados dos eventos A y B. o un incendio). una reacción de embalamiento. cada una de ellas debe considerarse al diseñar una IPL. escape de producto tóxico. Sin embargo varias causas (elementos iniciadores) pueden conducir al mismo escenario peligroso. y por tanto. no debe comprometer al funcionamiento de las otras.  Para que una salvaguardia pueda denominarse capa de protección independiente deberá cumplir las siguientes características:  ^  Especicidad: una IPL se diseña exclusivamente para prevenir o atenuar las consecuencias de un escenario potencialmente peligroso (por ejemplo. o su fallo. Independencia: una IPL debe ser física y funcionalmente independiente de las otras IPLs consideradas para el mismo escenario (y misma causa/elemento iniciador). La actuación de una de ellas. una pérdida de contención.  . . ' <)'. .  [P(A|B) = P(A) y P(B|A) = P(B)].La probabilidad de que ocurran los dos al mismo tiempo es igual al pro. En el diseño se han considerado tanto fallos aleatorios como sistemáticos. : 6P.$& &'' ''$7GK°<L GKL±GK<L Seguridad de funcionamiento/ecacia: se puede contar con ella para que haga lo que está diseñada para hacer. 53 .'$ $U'$'#$VK'#4Smart) Æcapaz de detectar la condición insegura. 54 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. :  6P... '$ $&$ Æcapaz de parar la secuencia de eventos que nos llevan al escenario peligroso. : 6P. '$ $(' Æ capaz de parar la secuencia de eventos antes de que se llegue al escenario peligroso. Coste (capacidad de ahorrar en capital/mantenimiento/pruebas). Además. Maximizar la diversidad (reduciendo las causas comunes que hacen fallar múltiples funciones protectivas). inspecciones. Fiabilidad (capacidad de ejecutar la función protectiva cuando es necesario). es importante considerar también durante el diseño de las IPL un Balance entre:      Seguridad (capacidad de llevar el proceso a su estado seguro cuando se le demande).Pruebas periódicas.6 TIPOS DE IPL Hemos visto anteriormente que la primera línea de defensa es minimizar la probabilidad de que se produzca un escenario peligroso a través de un diseño riguroso y una operación estricta que deben cumplir una serie de requisitos. mantenimiento preventivo… . . una vez iniciada la causa que genera el escenario de peligro. tendre 3 . 3. En ambos casos la misión es minimizar la frecuencia (o anularla) de la causa (elemento iniciador) que genera el escenario.Demostrar funcionalidad en cualquier momento. Aptitud para ser auditada: está diseñada para facilitar la validación de las funciones protectoras sin perder su capacidad de protección mediante: . Sin embargo.Documentación de registros guardada de forma segura pero fácil de localizar. Minimizar la complejidad (un sistema sencillo por lo general mejora los puntos anteriores). G. . '. P. 7 1. Protectivas: estas IPL en juego una vez se ha producido el elemento iniciador del escenario peligroso (por ejemplo un fallo en una válvula de control de nivel) y las condiciones de proceso se han vuelto anormales o están fuera de control. y por tanto evitándolo (el tanque se presuriza por sobrellenado y $ L+$. pero actúan antes de que la cadena de eventos termine en el escenario peligroso. ']) . . ' . . . pero sí en la probabilidad de que se termine generando el escenario de peligro. teniendo en cuenta la seguridad de las personas. 2. las pérdidas económicas y afectación del medio ambiente. Mitigantes: su misión es reducir la gravedad de las consecuencias una vez producido el escenario peligroso.'  elemento iniciador. Actuación de las capas de protección.  Œ/<  j.Capas de protección en instalaciones de proceso ¿Dónde actúan? Figura 3.4.   P. $   '$ G   $  .       P#     “Cebolla”. pero básicamente la idea es la que se expone en la Figura 3.5. Figura 3. Aunque el análisis de las IPL se detallará en el Capítulo 7. La misma tiene diferentes interpretaciones. daremos aquí unas breves indicaciones en cuanto a:  Asignación de funciones de seguridad a las IPL Cuando se estudia un escenario peligroso hay que tener en cuenta las posibles IPL de las que dispondremos. La “Cebolla de la seguridad”. su factor de reducción de riesgo (asociado a la probabilidad 55 . “Metodologías para la determinación del SIL”. Existen diferentes herramientas para determinar la necesidad de implementar IPL para un escenario peligroso dado.5. y según vayamos añadiendo protecciones.. A este riesgo que aceptamos se le asigna un factor de seguridad (process safety target level). con sus factores de reducción de riesgo. de fallo en demanda o también a su integridad) y cuál es la reducción de riesgo total que queremos conseguir.  Reducción del factor de riesgo (RRF) Para cada escenario de peligro se debe contemplar un cierto riesgo tolerable (¡ojo.56 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. el riesgo cero no existe!) teniendo en cuenta la frecuencia de las causas que lo producen y también las consecuencias de que se genere. iremos acercándonos a este  .. Ello determinará el SIL de la IPL SIS en caso de ser necesaria (normalmente la IPL SIS es la última protección que consideraremos debido a su gran cantidad de requerimientos). $#'  $  .  '#$ &. 'P.   . Entre los factores importantes en la evaluación del riesgo tolerable están la percepción y opiniones de los que pueden verse expuestos al escenario peligroso. +O'. ' de peligro en concreto. Los debates y acuerdos con las distintas partes involucradas en la aplicación. y en cualquier caso se deberán tener en cuenta factores como: :  Directrices de las autoridades reguladoras pertinentes. Estándares de la industria y directrices. '  '$' /. QO$). '$P. 01-2004 Part (IEC 61511-3) Mod)-Annex F).0001 para presión y vacío o mejor si se manene la integridad del tanque (por ejemplo análisis de corrosión.5 a 1 Hasta 5 0. IPL Lazo de control PFD RRF 0.01 de factores de reducción de riesgo (y probabilidad de fallo en demanda – PFD equivalente) asociados a IPL con Funciones protectivas y de mitigación (Tabla 3. Algunos valores referenciados en ISA-84. Algunos RRF de IPL (ANSI/ISA-84.2.01 a 0.00.000 o más . Requisitos legales y reglamentarios.0001 Rendimiento humano (bajo estrés) de 0.1 Hasta 10 Respuesta del operador a alarma Tanque dimensionado 0.1 Hasta 10 Rendimiento humano (entrenado.000 10.00. inspección y reparación) De 100 a 10. sin estrés) de 0.2) Tabla 3. Controla la instalación para una optimización del uso de los .Capas de protección en instalaciones de proceso 3. SISTEMAS DE CONTROL DE PROCESOS (BPCS/DCS) Típica capa protectiva. CAPAS TÍPICAS CON FUNCIONES PROTECTIVAS 3.7.7.1.  &$'&/    . . ' ) . '   . de ahí que se denomine a la porción de estos sistemas dedicados a proteger como BPCPS (basic process control protective system). Controlador continuo (por ejemplo. establecidas por los diferentes set-points. Acción de control continua que mantiene el proceso dentro de las condiciones normales de operación. una temperatura o presión a un valor de consigna (set-point) introducida por el operador que genera un feedback continuo del comportamiento del proceso. Controlador de estado (por ejemplo. temperatura. Un fallo en este tipo de controlador puede no ser detectado hasta que se realice un proof test.$ P  + <G 6 K '#4 basic process control system) mantiene dentro de los márgenes de seguridad las variables de proceso como presión. 2. Podemos distinguir dos situaciones diferentes de control de estos BPCS. el controlador de proceso que regula un caudal. de esta manera actúa contra la progresión de una situación anormal del proceso que genere un iniciador de escenario peligroso. cada una con su propio propósito y características: 1. Entiéndase que serán aquellas funciones protectivas de este sistema las que protegerán al proceso en una situación de peligro. Acción de control de estado3'$'P. El BPCS es por tanto el sistema de control que monitoriza y controla en continuo el proceso en el día a día de la operación de planta y podemos considerar tres funciones de seguridad diferentes asociadas a él que pueden considerarse IPL: 1. el controlador de proceso que toma medidas del mismo y ejecuta cambios on-off a indicaciones de alarma y válvulas de proceso) que monitoriza las condiciones del proceso y solamente toma acción de control cuando valores de disparo preasignados se alcanzan. 2. nivel o caudal.    . 7.2. si esta actuación del operador se debe a la respuesta de una alarma.) de información al operador (por ejemplo una situación de alto nivel en un tanque) para que este tome acción usando un procedimiento y teniendo en cuenta los requerimientos necesarios para tomar crédito de seguridad (tiempo de respuesta. entenderíamos esta capa de protección como la explicada en el punto 3. fatiga y estrés en la operación…) Nota: en este ejemplo. Esta acción normalmente resulta en una parada de proceso. llevándolo a su estado seguro. 57 . Acción de control de estado que ante una anomalía del proceso toma acción automática con la intención de llevarlo a sus condiciones normales de operación. 3. Según la IEC 61511 (sección 9.2) se permite un crédito IPL (equivalente a un factor de reducción de riesgo (FRR) de hasta 10.58 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO... Su instalación y conexionado a proceso suele diseñarse con poco rigor. El BPCPS es una IPL relativamente débil ya que normalmente: ^ ^ ^ ^ ^ Tiene poca redundancia en sus componentes. En su diseño no suelen contemplarse opciones de testeo.4. Tiene alta probabilidad de afectación ante error humano. por escenario (y causa que lo genera) aunque se acepta un máximo de dos créditos IPL (BPCPS Acción de Control + BPCPS Alarma y respuesta Operador) si se usan diferentes logic solvers (controladores). o una PFD de 0.1.   $P / & # ' . Tiene limitada seguridad contra cambios no autorizados en la lógica de programación interna. '. $.    conocer bien los mismos y la estructura organizativa del sistema de control y sus responsables. También ayudará conocer y distinguir los sistemas de gestión de activos   $ /'$ 'P. . '/'#' ) '$' . 7. SISTEMAS DE ALARMAS '$    &$ .2.' 3. P# $  3$. $ . '. ''# . P. '$$' . Esto ha generado  '$ . Como hemos mencionado al hablar de las características de las IPL.   #  $' 3   acciones correctoras antes de que se alcancen las condiciones de peligro. se acentúa en esta la necesidad de simplicidad. Es común encontrar salas de control abarrotadas de alarmas sonando a la vez. a las cuales no se les presta atención pues han pasado a ser “cotidianas” o han perdido veracidad y se les resta importancia. '. $'. . P  . . A pesar de todo. la manera en que el sistema se mantendrá. durante una situación de emergencia en la que hay que tomar decisiones en un tiempo muy breve.'$  Por tanto es fundamental una buena política de gestión de alarmas en planta. Debe recoger además. . El ser humano introduce un factor de error elevado aún hoy. controlará y calibrará. la cual deben conocer todos los operadores y debe ser desarrollada junto con su input. en el cálculo de la probabilidad de fallo en demanda de un sistema de seguridad en el que participa. estudios recientes demuestran que. Nota: los datos que indicamos a continuación no han de tomarse como generalidades sino como referencias que entidades de renombre en el ámbito químico–industrial aplican en sus análisis LOPA. recurrir a las personas es lo último que se debe hacer independientemente de la formación recibida. 1) es necesario tener en cuenta una serie de requisitos: ^ ^ ^ ^ El operador debe tomar acción siguiendo un procedimiento escrito.Capas de protección en instalaciones de proceso Para poder dar un crédito IPL a esta protección (RRF hasta 10. que debe estar fácilmente accesible y debe contener toda la información relevante para   . o PFD de 0.  $ # P. '$)''. a su vez. El operador debe estar entrenado en el reconocimiento de este tipo de alarmas.' otros peligros. que. deben diferir (en señal acústica o luminosa) a las normales generadas por otras circunstancias no asociadas a escenarios de riesgo. + &$P. '$$'   $/). #' el problema antes de que se llegue a una situación peligrosa. Está establecido que un ser humano tarda una media de 15 minutos para que su decisión alcan. =EµP &'' /. En algunos casos podemos dar dos créditos IPL (RRF hasta 100 y PFD de 0. debe estar siempre dentro de los márgenes de seguridad respecto del tiempo de seguridad de proceso (process safety time) siendo este el tiempo desde que se produce la condición insegura en el proceso hasta que la sucesión de eventos que llevan al escenario de peligro no puede pararse. hasta que el operador consigue llevar al proceso a su estado seguro.01) si se cumplen requisitos como: ^ ^ ^ ^ El process safety time del escenario permite disponer de al menos 24 horas para que el operador lleve al proceso a su estado seguro desde que se genera la condición de alarma.  G*3#     P. desde que se genera la condición de alarma. y al menos dos personas están involucradas en resolver el problema.  $  &$ $'$ El tiempo de respuesta total. '$ $& Q .      . Para ello las consideraciones del diseño y la instalación de los mismos deben asemejarse a los de un SIS.  para asegurar su correcto funcionamiento. o tener redundancia física en las alarmas (dos sensores diferentes generan dos alarmas iguales). $  &  .   P. '$ $ '#  ) P & como para alcanzar una integridad similar a un SIL2 (por ejemplo usando dos válvulas independientes que sean capaces de parar el proceso por si mismas).  P &''  . '' DH '$$ &. '. Otra consideración importante a tener en cuenta es que cuando un operador toma más de una acción. 59 .  tiempo mínimo de respuesta alcanza. el 99%. espacial. se debe asegurar la independencia entre estas acciones. Puede llegar a ser necesario el uso de herramientas de cálculo más complejas (FTA por ejemplo) para documentar la validez de dichas acciones para un mismo operador. etc. lo cual implica separación temporal. por métodos analizados con rigor. 3..60 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.7.. 3. logic solver) $P /. SISTEMAS INSTRUMENTADOS DE SEGURIDAD (SIS) Un SIS (del inglés safety instrumented system) es un sistema instrumentado formado por sensores.  $. $  . '. etc.  '$ $'  . de forma completamente automática. a su posición de seguridad. Sin embargo. Históricamente se ha conocido como sistema de parada de emergencia (ESD).''gura en un proceso y llevarlo. sistema de disparos de emergencia. sistema de enclavamientos. previniendo el escenario de peligro para el cual fue diseñado como una de las capas de protección. '  . $'$  'P. operación. se le requiere actuar. Su correcto diseño. El SIS es un sistema crítico. actividades que componen su ciclo de vida y competen además su integridad. instalación. $4 ' “SIS” requiriendo de él que cumpla con las exigencias actuales de seguridad funcional. El SIS constituye la última capa de seguridad protectiva. por tanto es fundamental que las empresas de pro. pruebas y mantenimiento. son la garantía de su adecuado funcionamiento cuando. bajo demanda.  3' .   'P .  ' '$.   $' '#$ relacionadas con los mismos (descritas en el capítulo anterior). Debe ser diseñado para cumplir con los requerimientos funcionales (SIF) y los 3' '$'$#' K6LP' $ $#' #' . '  Esto afecta directamente a decisiones de diseño (que trataremos en profundidad a lo largo de este libro) como: ^ ^ ^  . P# . 1oo2.'K' /&$'¶L La lógica de selección de señal que se utilizará (1oo1. 2oo2. El tipo de logic solver (plataforma PLC o BPCS con controladores de alta integridad…)  . 2oo3…). P# . Relación PDF/RRF/SIL para SIS. PFD y SIL para esta IPL SIS se muestra en la Tabla 3.' $P K'  $L Las frecuencia de testeo de sus componentes. Tabla 3. Crédito IPL. ^ ^ ^ ^ ^ La relación entre Factor de Reducción de Riesgo.3. etc. Los requerimientos de tolerancia a fallo de componente (HFT). La diversidad en la tecnología para evitar modos de fallo común.3. SIL /. La capacidad de autodiagnóstico de los componentes. 1 a 0.001 de 100 a 1.000 a 10.0001 de 1.000 3 3 De 0.001 a 0.01 a 0.01 de 10 2 2 De 0.\+} PFD FRR 1 1 de 0.000 . operación.Capas de protección en instalaciones de proceso 3.7. instalación. mantenimiento.4. ^ Cualquier persona que pueda estar en contacto con un SIS. demo'. SIS VS BPCPS Las diferencias fundamentales son: ^ SIS no permite actuación humana y BPCPS sí. en cualquier fase de su ciclo de vida (diseño. 'L&$ &' $$  ).  'P.   Nota: N      $  $  .  'P. . '   $ 4    . $'P. . ' / ' $$' ''$ . '$    / 3.  .   J '&. '    .  'P. para que sean competentes en la materia. operación y mantenimiento) . ^ ^ SIS requiere de una documentación (diseño.   técnicos.   O$  K+. 'P. . '  6#' / (#'$ S'P. ción. Procedimientos Operacionales y de Mantenimiento…) y complicada que BPCPS. Comisionado y Validación de los lazos. N66  )P &/& . $ . bombas. etc. depósitos.1. DISPOSITIVOS MECÁNICOS DE ALIVIO DE PRESIÓN Los dispositivos de alivio de presión son elementos de seguridad utilizados en cualquier recipiente (tanques. CAPAS TÍPICAS CON FUNCIÓN DE MITIGACIÓN 3. que evitan que el recipiente sufra roturas. intercambiadores de calor.) que contenga gases o líquidos a presiones mayores a la atmosférica. En una instalación industrial encontraremos.8. generalmente debido a una falla en el proceso. por lo mencionado anteriormente mayor número de instrumentos dedicados a BPCPS que a SIS. compresores. ante elevaciones excesivas de presión.  )$ $ exige un esfuerzo extra en mantenimiento. con el consiguiente peligro que esto puede implicar. .8. 3. $T '& ]'K3'# L3. '.    . ya sea a la atmósfera o a un recipiente colector especialmente diseñado para tal función.  # # ''$'& . 3' protegido. $ / / '$'  ' ]'do del recipiente. También deben  '$'  Q. a una presión inferior a la de falla del recipiente.  ]'$ 3 #. 61 .' ' $ la presión en el recipiente en cualquier condición de funcionamiento del sistema de que se trate. 62 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Los dispositivos más empleados en la industria para el alivio de presión son las válvulas de seguridad (PSV del inglés pressure safety valve) y los discos de ruptura (PRD del inglés pressure rupture disk).. que son los que suelen tomar crédito como capa de protección.. aunque además existen 'P' ''$'. y están sujetos a reglamentación. . '' '  '. . '$ . 5. R. 2. 1. Estos pueden ser: venteos atmosféricos. además de mantenido adecuadamente e inspeccionado periódicamente. válvulas de respiración para presión y vacío. venteos de emergencia (caso de incendio). o dispositivos de alivio de vacío (Figuras 3. puertas o paneles de explosión.8). cubiertas débiles como techo para tanques. Sombrerete o bonete.6 a 3. Tornillo de ajuste. sellado con líquido para recipientes a baja presión.   cenamiento a baja presión. También debe cumplir con la reglamentación vigente a efectos de integridad mecánica. 4. Para que un dispositivo de alivio de presión pueda tomar crédito como IPL debe estar debidamente diseñado y tarado a aquella presión capaz de prevenir el escenario de peligro. Boca de salida lateral. 3. protección de explosiones o subidas bruscas de presión hidráulica en tuberías de gran longitud. Caperuza. husillos de ruptura. PQ . 11. Placa del extremo del resorte. Husillo o vástago.' Q$ 6. 10. 9. R'PQ . 8. Palanca de apertura manual. 12. Cuerpo. Disco de cierre de la válvula. 7. Resorte. 6. Válvula de seguridad de acción o presión directa. 15. Anillo de ajuste del escape. Asiento. Conexión roscada al recipiente.' ' ajuste. 13. 16. Elemento de guiado en parte inferior. . 14. Figura 3. Figura 3. En este caso no podemos dar crédito a esta protección a menos que exista un sistema de tratamiento de ]$ . Disco de ruptura abovedado convencional. Combinaciones picas de válvulas de seguridad y discos de ruptura. este nuevo peligro debe ser considerado un escenario aparte y analizado debidamente.8. Si un dispositivo de este tipo descarga a atmósfera creando un peligro secundario (ya sea a personas. a equipos o al medio ambiente).7.Capas de protección en instalaciones de proceso Figura 3. $' . '   #. Q. P# . '$''$' para que puedan ser IPL sefectivas: 63 . .64 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. $ % !  ..  ^ ^ ^ ^ Dos dispositivos de alivio de presión en serie sin detección de presión entre $'P. '$'$#'    .  . *''$' ''''. puede alcanzar dos créditos IPL siempre y cuando no se vea afectado el medio ambiente por su disparo y se mantenga e inspeccione debidamente. puede alcanzar dos créditos IPL (FRR de hasta 100 y PFD de 0.4'$G Dos dispositivos de alivio de presión en serie con detección de presión y generación de alarma. Dos dispositivos de alivio de presión en serie con una PSV pequeña entre ellos.01) si es debidamente mantenido e inspeccionado periódicamente. $. . ''Pciente (no alcanza la integridad de un elemento BPCPS. FRR de 10) puede alcanzar. Ž. PFD de 0. un crédito IPL (FRR de hasta 10. como máximo.1). &j. a saber: errores en la instalación. errores de calibración/tarado/pruebas. capaces por sí mismos de prevenir el escenario de peligro. y como en todos los casos. mantenemos la instalación y la inspeccionamos adecuadamente. defectos de fabricante y del propio diseño (el cálculo de los dispositivos debe hacerse por dos expertos independientemente). Dos sistemas de dispositivos con líneas diferentes. podemos conseguir hasta 4 créditos IPL teniendo en cuenta que han de repartirse de dos en dos. es decir. para minimizarlos al máximo.  ^ ^ ^ Sistema único compuesto por un único dispositivo: puede alcanzar dos créditos IPL en un servicio limpio y debidamente mantenido. una IPL sería un sistema y otra IPL el otro sistema. Si en el diseño de los sistemas se han tenido en cuenta los posibles fallos por causa común. condiciones ambientales. ambas deben cumplir los requisitos de '. Por tanto. ' /P. . ' / '$ &'' ). 'P. Se deben tener en cuenta aspectos como la localización de la descarga (antorcha.'  Un único sistema compuesto por múltiples dispositivos pero en líneas separadas: sistemas que requieren más de un dispositivo para aliviar el ratio total de caudal que requiere el escenario de peligro necesitan un estudio más profundo. en el diseño de estos sistemas deben participar expertos que conocen las características del proceso y del equipo a proteger. si un dispositivo falla puede que no seamos capaces de prevenir el escenario. Normalmente. ya que en este caso. tipo FTA. depuradora u otras unidades $ $ '$$4 '. /$ L).  . ' )P. . ' /$'. $ . # K$O'. /'] &/' ' &¶L).  . ' ''/$. La corrosión y pequeñas fugas a través de pequeños . Cuando hablamos de discos de ruptura tenemos que tener en cuenta los problemas que generan servicios sucios o polimerizantes. así como los inherentes a la manipulación de estos dispositivos en su instalación y traslado. debido a la fragilidad de la construcción de los mismos. Capas de protección en instalaciones de proceso 'P. '&&Q$' '. . ') . $'. .  T$'$'. 3. SISTEMAS DE CONTENCIÓN/DISPERSIÓN Contención Quizá sea la IPL de mitigación que actúa en primer lugar en caso de producirse el escenario peligroso. Ejemplos de esta capa pueden ser: ^ ^  $'   .2. cierta frecuencia los discos antes de que fallen o entren en acción. Está concebida para ejecutar las primeras acciones importantes de mitigación de los efectos dañinos derivados de situaciones circunscritas a la instalación fuera de control.8. $ 3' '] & & Q . ''$ 3  contienen con la intención de minimizar el área de exposición a atmósfera del producto en caso de rotura del recipiente. reduciendo de esta forma la . . '# '] &)$ $ & &'' '#'. +'P.' Esta protección no suele tomar crédito IPL. que pueda tener afectación medioambiental. pues está diseñada para reducir las consecuencias del escenario peligroso una vez producido ( y normalmente en este caso se tiene ya en cuenta a la hora de asignarle el factor de seguridad de proceso (riesgo tolerable) basado en esto mismo. las consecuencias y la frecuencia de las causas que lo generan). En caso de considerar un escenario de negocio en vez de seguridad. entonces sí podemos dar un crédito IPL pues un foso puede reducir la frecuencia del daño medioambiental. '. $. '/  $  '#   . Depende de cuál sea el escenario de peligro considerado podemos estar en la misma situación que en la de los fosos. o derivada de tal forma que no afectase a las personas que permanecieran en un posible radio de afectación. En caso de explosión. estructura de acero que actúan como envolvente a zonas de proceso potencialmente peligrosas. esta sería contenida en el interior. como puede ser un reactor nuclear o un reactor que trabaje a muy alta presión. Cuando la consecuencia del escenario  '$'#  'P. '. $. ' $. Si en la evaluación del escenario no se ha tenido en cuenta entonces podemos dar un crédito IPL. que neutralizan mediante quemado o por mediación de agentes químicos derivas de producto producidos por algún problema del proceso.$    hora de analizar el propio escenario y no daríamos crédito a esta IPL. Si es un proceso complejo ha de efectuarse un cálculo más detallado para obtener su PFD y por tanto su RRF y Crédito IPL. Dispersión Se trata de sistemas controlados. como puedan ser antorchas o borboteadores de lavado. 65 . . 3.. SISTEMAS DE FUEGO Y GAS Los sistemas F&G (del inglés re and gas) son sistemas de neutralización for   / #'.8.3.66 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.   . $ )  $ P  .  .   $. humo o llamas.$    combustión de sustancias gaseosas. incendios y. conducir al proceso a un estado de seguridad o emprender acciones destinadas a mitigar las consecuencias del suceso peligroso. generar una alarma. * 6/G #' . en consecuencia. Los sistemas lógicos pueden ser PLC. y suelen acompañarse por estaciones de comunicación manuales. presencia de tóxicos. Los sensores suelen ser detectores de gas. $  $':. P.   '$ ¡  $P '. '. supresión y/o bloqueos para el proceso. a diferencia de otros sistemas de seguridad (por ejemplo emergency shutdown.'$ '$$/' /$4/'$  de apagado antiincendio. extinción o aviso. Una particularidad de los sistemas F&G es que. Por este motivo. ESD o de parada de planta por emergencia) en los que el estado seguro del sistema se logra con la desenergización de las salidas. deluge (tipo diluvio). los sistemas F&G deben energizar salidas para cumplir con el objetivo de iniciar las medidas de contención. es crucial que el equipo utilizado como controlador del sistema sea capaz de energizar sus salidas .   K)$4. $'P.   $ $' '. . Vigilancia y estructura organizativa. como protección de una determinada instalación. Gestión de diagnósticos. Instrumentación de seguridad F&G. Sistemas de cómputo y comunicación para F&G. Gestión de intervención. Estos sistemas pueden llegar a ser muy complejos y pueden diseñarse con un criterio generalista. Análisis de seguridad de contención. Sistemas de cableado para F&G. pero también con una función especíP.'L Para asegurar una protección contra F&G adecuada se deben tener en cuenta los siguientes aspectos: ^ ^ ^ ^ ^ ^ ^ ^ Estructuras de contención. #'  Es en estos casos cuando podemos asignar un (o más) créditos IPL. o del tipo de sistemas que $''. dependiendo de la integridad que lleguemos a alcanzar en el diseño.   ). $'P. +O'$ .  $ 6X/'J/ ''/ uso y mantenimiento que alcancemos dicha integridad o no.  '$  .  . ' . P. / . .  Q     ellos hablaremos un poco sobre los sistemas de Supresión de deagración: ^ 6$ $  4$' 3'$  O'#  y por tanto impide que se lancen al exterior productos no quemados y de combustión. los cuales pueden ser dañinos para las personas y/o el medio ambiente. Capas de protección en instalaciones de proceso ^ ^ ^ + . '. &'. . '3''. ' . acelerándose con el tiempo (milisegundos). &$' $' mente lento. y es este estado inicial el que ha permitido desarrollar este tipo de sistemas de forma satisfactoria. N '$   '  O' . <'. descargando instantáneamente agentes extintores que apagan la reacción de combustión. evitando así el incremento de la presión por encima de un valor predeterminado.$' $á diseñado para actuar. tras la detección de una combustión incipiente. $. Detección. que se consigue mediante componentes activados por la presión o luz.9. 3. Esquema de supresión de deagraciones. 67 . mediante descarga del agente extintor. Figura 3. 2. Dicho sistema procesa la señal recibida e inicia la secuencia de apertura del recipiente que contiene el agente extintor. siendo las condiciones del proceso las que determinan el sistema más apropiado.' '$  $$  7 1. como resultado de la detección se envía una señal al sistema de control electrónico indicando que se ha detectado un proceso de combustión. Iniciación. Supresión. los recipientes que contienen el agente extintor están presurizados con nitrógeno y cerrados con un disco de ruptura. En la Figura 3. Este tipo de sistema puede alcanzar dos créditos IPL. y además puede usarse en combinación con otros elementos BPCS.. 3. PLANES DE EMERGENCIA Los planes de evacuación de emergencia no están representados por mitigaciones '.8.68 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. el cual rompe bajo la acción de un iniciador pirotécnico que genera una descarga de presión primaria.10. como una válvula en línea que cierre por alta temperatura (en este caso habría de asegurar que dichos elementos alcanzan la misma integridad). Para conseguir una respuesta rápida.4. Figura.10 se indica un esquema del sistema así como la secuencia de actuación. Secuencia de actuación de un sistema de supresión de deagraciones. 3.. /' '. ' '$. P. /3&&'. En ausencia de un $.cidos por todas aquellas personas a las que se requiere proteger. . P. o si además cubrimos a la población circundante que pueda verse afectada por un escenario de riesgo de dicha instalación. Para el primer caso.O'$  $ $'#$ $  G3 requiere de revisión y simulación continua.  '4 'O$) ''. se debe contar con una estructura organizativa interna que. En este aspecto podemos diferenciar dos subcapas según nos centremos en las personas que trabajan de puertas adentro de una instalación dada. P. comunicando al resto del personal mediante señalización propia de ./'$#  con urgencia. 69 . Revisiones y auditorías. PARA NO OLVIDAR Ante una evaluación de protecciones para un peligro determinado. En caso de los planes de emergencia comunitarios. independencia. impidiendo.Capas de protección en instalaciones de proceso evacuación (visual y acústica) y organización efectiva del transporte de evacuación. en todo caso. Simulacros que cubran las diferentes situaciones de emergencia. teniendo en cuenta la frecuencia de las causas que lo inician y las consecuencias de que se produzca. Estructura organizativa y diferentes niveles de intervención. manteniendo la coordinación entre las mismas. a efectos de especicidad. Hemos de abordarlo siguiendo una estrategia de seguridad funcional. En cualquier caso se debe tener en cuenta: ^ ^ ^ ^ ^ ^ ^ La valoración del impacto interior y exterior de los diferentes escenarios de riesgo. siendo la IPL SIS la que por lo general ene un mayor número de requerimientos debido a su capacidad de alta integridad (o alto factor de reducción de riesgo) y por tanto suele dejarse como úlma capa de seguridad a considerar. ecacia y auditabilidad. Según la cricidad del escenario considerado. asumiendo siempre un cierto riesgo tolerable. involucrando a aquellos expertos que puedan ayudarnos y teniendo claro los requisitos fundamentales sobre lo que debe cumplir una salvaguardia para poder usarla como capa de protección independiente. se asignará un factor de seguridad. En función de este factor tendremos que considerar más o menos IPL. Plan de emergencia interno y externo con detalles de evacuación. las diferentes administraciones deben contar con los mismos conociendo los posibles riesgos inherentes a las diferentes instalaciones. la propagación de los efectos fuera de valla. Dotaciones internas y apoyo externo. las causas que lo provocan y las posibles consecuencias. Por ello es de vital importancia que los responsables de las mismas mantengan una comunicación directa con las autoridades. es importante entender dicho peligro. Planos layout de áreas de afectación interna y externa. En dicha descripción se ha de tener en cuenta factores como su process safey me (PST).. . indicar claramente los instrumentos involucrados tanto en los elementos iniciadores (causas que generan el escenario) como en las propias IPL a efectos de idencar problemas de independencia sica entre las mismas.70 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Para ello existen diversas herramientas de simulación en el mercado que pueden ser de gran ayuda. CONSEJOS PRÁCTICOS Algo importante que debemos tener en cuenta cuando describimos un escenario de peligro es aportar la mayor candad de información posible. etc. las candades máximas de fuga a través de una válvula cuando el escenario requiere que esta cierre (esto condicionará la clase de la misma a efectos de estanqueidad) y por tanto los requerimientos de las pruebas de fuga que se le tendrá que hacer durante el proof test (pruebas manuales) para mantener su integridad. los empos de respuesta especícos máximos para cada IPL. describiendo analícamente qué puede ocurrir y cómo. Ello ayudará a posteriori a idencar las IPL más adecuadas.. H   *+  .j j. Diseño conceptual.INTRODUCCIÓN AL CICLO DE VIDA DE LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD 4 Julio Rivas Escudero SUMARIO: Introducción. Análisis y evaluación de riesgos de proceso.  $ . .    %&  j.  $ %j  *+*!. &  *+  . pruebas y comisionado del SIS. &  Para no ol idar. Instalación. Mantenimiento y explotación de los SIS.j$    SIS. onseos ráccos. INTRODUCCIÓN +$ $@'$$   ' # .1. 4. Q$ 3. Pguran el llamado “Ciclo de vida de un SIS” con el objetivo de introducir al lector en este concepto de una manera sencilla y progresiva. G$' $/. $. P. /$ $ . $$ . que son las que analizaremos. de manera general. por tanto. todas las actividades relacionadas con un SIS desde la concepción del proceso o del propio SIS hasta su desinstalación. El ciclo de vida de un SIS es uno de los conceptos básicos tanto de la IEC-61508 como de la IEC-61511. Lo que la IEC intenta es que el objetivo de la seguridad guíe todas las fases del diseño. es decir se han desmantelado. Según ANSI/ISA S84. el ciclo de vida contempla. Como un sistema de seguridad no es un componente simple.   estos pasos. el ciclo de vida de seguridad comprende aquellas: Actividades necesarias implicadas en la instalación de sistemas relacionados con la seguridad que se presentan durante un periodo de tiempo. la construcción. Incluye. a la larga produce un sistema más seguro y por lo tanto un aumento en la producción. las fases indicadas en la Figura 4. . Comienza en la fase de diseño conceptual de un proyecto y termina cuando todos los sistemas relacionados con la seguridad ya no se encuentran disponibles para su utilización.01 (IEC-61511). requiere la participación de un equipo multidisciplinar y de una sistemática precisa para minimizar los fallos. Los datos demuestran que aunque esta sistemática aumenta los costes iniciales. la operación y el mantenimiento de un proceso. Según se cita en ellas.1. a continuación. de forma resumida. .2. Figura 4. 4. DISEÑO CONCEPTUAL El objetivo de esta fase es diseñar una planta que sea inherentemente segura.72 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Para .1.. Fases que contempla el ciclo de vida.  '. . . /3')$P. los equipos el medio ambiente o la imagen de la compañía. ANÁLISIS Y EVALUACIÓN DE RIESGOS DE PROCESO El primer objetivo de esta fase es entender todos los riesgos asociados al proceso. la producción. ya tengan impacto sobre el personal.3. +#&Q$'$    '#'$'P. esta fase suele quedar fuera del alcance del especialista en control y depende fundamentalmente del especialista en procesos. Este paso es tratado en el Capítulo 5. En general.'$didad. 4. HAZOP. LOPA. siendo la denominada HAZOP (Hazard and Operability) la más utilizada en las industrias de proceso. .. Existen varias técnicas de análisis de riesgos de un proceso (PHA) tales como: What-if. Semicuantitativa y Cuantitativa.  '' anterior para establecer un ranking. La evaluación de los riesgos puede ser: ^ ^ ^ Cualitativa. En castellano se suele traducir por análisis funcional de operatibilidad (AFO). etc. basado en el $ & Q3'/  '$'P. Los estudios HAZOP son un método probado y bien estructurado.Introducción al ciclo de vida de los sistemas instrumentados de seguridad Aunque este paso se tratará de forma detallada en el Capítulo 6 se adelantan en esta introducción algunos aspectos relevantes relativos al método HAZOP. '#O'$$'J.    'P. . '3$ '.  +'$  ' O   ' . )  'P. . '  ' '$  . ' ) O'$$/. P  '#$. ' . se generalizó y formalizó. Maquinaria. El método surgió en 1963 en la compañía Imperial Chemical Industries. Instrumentos. que utilizaba técnicas de análisis crítico en otras áreas. pudiendo ser necesaria la participación de técnicos de procesos. ICI. Los estudios HAZOP son dirigidos por un coordinador con experiencia. Para los proyectos en el sector de los hidrocarburos. y actualmente es una de las herramientas más utilizadas internacional $ '$'P. especialistas en medio ambiente y de los responsables de la empresa de seguridad e higiene y medio ambiente (HSE). Ingeniería de Proyectos y Operaciones. en el equipo siempre participa personal de Procesos. Posteriormente.' miento al margen de las intenciones de su diseño o de averías de partes concretas de los equipos y los efectos que Estas pudieran tener sobre el conjunto de las instalaciones. . ''# '$  . En una determinada instalación de proceso. Denición del área de estudio Consiste en acotar las áreas a las cuales se aplica la técnica. considerada como el área &Q$$'/P'   ).''$'  La realización de un análisis HAZOP consta de las etapas que se describen a continuación: 1.  ' )' 'P. . Denición de los nodos +.'/  serie de subsistemas o líneas de proceso que corresponden a entidades funcionales propias. separación de disolventes. como por ejemplo: línea de carga a un depósito. 2. reactores. etc.  $&'$  &'$'P. depósito de almacenamiento. Por ejemplo. etc. tubería de alimentación de una materia prima a un reactor.  &'$'P.  ' nodos o puntos claramente localizados en el proceso. impulsión de una bomba. )  . temperatura. etc. $' $$ cada subsistema y en el sentido del proceso para mejor comprensión y comodidad. nivel. La técnica HAZOP se aplica a cada uno de estos puntos. composición. viscosidad. 73 . Cada nodo vendrá caracterizado por variables de proceso: presión. caudal.    ...74 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. ''   $'' . '  $  $4. '.  3' ]Q   3  ' 'P. ' # ]Q$&'$ . ' ) posición exacta. El documento que actúa como soporte principal del método es el diagrama ]Q. /$& '$ $/G¡* 3. Aplicación de las palabras guía Las “palabras guía” se utilizan para indicar el concepto que representan a . $. Se aplican tanto a acciones (reacciones.  P' $' $3$  mento determinado. transferencias. L.     $. P. K'/.  /$  $ /$. L La Tabla 4.1 (en la página siguiente) presenta algunas palabras guía y '#'P. /' $ . 4. las posibles consecuencias. 5. Paralelamente a las desviaciones se deben indicar las causas posibles de estas desviaciones y posteriormente las consecuencias de estas desviaciones. así como las acciones a tomar. En la Tabla 4. descartándose durante la sesión las desviaciones que no tengan sentido para un nodo determinado.1 se presentan algunos ejemplos de aplicación de palabras guía. . Se determinan las posibles causas. Los formatos de presentación de los resultados del HAZOP se desarrollan en el Capítulo 6. Q 3 $  Capítulo 6. Denición de las desviaciones a estudiar Para cada nodo se plantea de forma sistemática todas las desviaciones que implican la aplicación de cada palabra guía a una determinada variable o actividad. Para realizar un análisis exhaustivo. las respuestas que se proponen. Sesiones HAZOP Las sesiones HAZOP tienen como objetivo la realización sistemática del proceso descrito anteriormente. Toda esta información se presenta en forma de tabla que sistematiza la entrada de datos y el análisis posterior. analizando las desviaciones en todas las líneas o nodos seleccionados a partir de las palabras guía aplicadas a determinadas variables o procesos. se deben aplicar todas las combinaciones posibles entre palabra guía y variable de proceso. las desviaciones que originan y sus causas posibles. 1. PALABRA GUÍA NO SIGNIFICADO EJEMPLO DE DESVIACIÓN Ausencia de la variable a la cual se aplica No hay ujo en una línea Más ujo (más caudal) MÁS Aumento cuantavo de una variable Más temperatura Menos caudal MENOS Disminución cuantava de una variable Menos temperatura INVERSO Analiza la inversión en el sendo de la variable. vaporización. sifón hacia atrás. bloqueo parcial. explosión en reactor. Entrada de contaminantes del exterior como aire. presencia de materiales por fugas interiores. Puesta en marcha y parada. emisiones indeseadas. cambio en la alimentación. fallos de la puesta en marcha. Concentración demasiado baja en la mezcla. Fallo de bomba. puntos calientes. controlador saturado. pruebas e inspecciones. acvación del catalizador. fallo de control. reacciones adicionales. fuga. lectura errónea de instrumentos. fuga. venteo bloqueado. 75 . inversión de bombeo. falta de carga. sedimentos en línea. válvula cerrada o atascada. Fuegos exteriores. Parte de lo que debería ocurrir sucede según lo previsto Disminución de la composición en una mezcla Acvidades disntas DIFERENTE respecto a la operaDE ción no-mal Cualquier acvidad EJEMPLO DE CAUSAS ORIGINADORAS Bloqueo. Pérdidas de calor. agua o aceites. fuga. eliminación de tapones. mantenimiento. Palabras guía. fallo de energía. Fallo de bombeo. Se obene el efecto contrario al que se pretende Flujo inverso ADEMÁS DE Aumento cualitavo. bloqueo de válvulas.Introducción al ciclo de vida de los sistemas instrumentados de seguridad Tabla 4. válvula abierta. etc. bloqueo. productos de corrosión. Se obene algo más que las intenciones del diseño Impurezas o una fase extraordinaria PARTE DE Disminución cualitava. corrosión. fallo de bombeo. fallo de aislamiento. succión presurizada. fallo de sellado. reacción descontrolada. Presión de descarga reducida. muestreo. válvula anrretorno que falla o está insertada en la tubería de forma incorrecta. No requiere prácticamente recursos adicionales. principalmente cubre los objetivos para los que se ha diseñado. y además: ^ ^ ^ Es una buena ocasión para contrastar distintos puntos de vista de una instalación. Es una técnica sistemática que puede crear. desde el punto de vista de la seguridad. '$ .. aunque sistemática. no hay una valoración real de la frecuencia de las causas que producen una determinada consecuencia. con excepción del tiempo de dedicación.76 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. Los principales inconvenientes. ‘ ’ !  \ El método. hábitos metodológicos útiles. pueden ser: ^ ^ ^ ^ Al ser una técnica cualitativa.  .  $'P. . ' . .   '    'P. . ' 3 )  3  '     $ '   '$  . 4. ASIGNACIÓN DEL SIL DE CADA FUNCIÓN DE SEGURIDAD +&Q$'$  P'63'  . Depende mucho de la información disponible. hasta tal punto que puede omitirse un riesgo si los datos de partida son erróneos o incompletos. Los resultados que se obtienen dependen en gran medida de la calidad y capacidad de los miembros del equipo de trabajo. deben analizarse con mayor detalle además de otros criterios. 4. como los económicos.' como consecuencia de un HAZOP.  6  . #'  adecuada reducción del riesgo hasta un nivel aceptable y será tratado pormenorizadamente en el Capítulo 7. El cálculo del SIL requerido no es por tanto una medida directa del riesgo del proceso. sino una medida de la reducción del riesgo que hay que aplicar a un sistema    .  '#$ &/. ''#3  PQ .   . Los métodos típicos de asignación del SIL requerido son: ^ ^ métodos cualitativos. o métodos semicuantitativos. Esta fase típicamente se realiza inmediatamente después de la anterior (análisis de riesgos) por lo que están implicados los integrantes del mismo equipo interdisciplinar.$ & Es seguramente una de las fases más complejas de realizar. . METODOLOGÍAS CUALITATIVAS Se tratan de técnicas de análisis crítico que no recurren al análisis numérico.1.4. Su obQ$''.Introducción al ciclo de vida de los sistemas instrumentados de seguridad 4. ' '$'P. Estas pueden ser de disposición general o procedente de la experiencia de las compañías en el diseño y la operación de plantas semejantes a las que se trata de enjuiciar.2. Dado que los análisis cualitativos sirven. como base para otros semicuantitativos o incluso cuantitativos. *$  $#   . Efectos: incidentes y accidentes cuando se materializan los riesgos.4. analizando las capas de protección que vimos en el Capítulo 3. 4. Son técnicas de análisis críticos que incluyen estructuras y cálculos para establecer la probabilidad de sucesos complejos (siniestros) a partir de los valores individuales de la probabilidad de fallo que corresponde a los elementos (equipo y humanos) implicados en los procesos (industriales en nuestro caso). es importante la calidad de los primeros. 7 ^ ^ ^ Riesgos. METODOLOGÍAS SEMICUANTITATIVAS Y CUANTITATIVAS Se trata de técnicas de análisis críticos que emplean índices globales del potencial de riesgo estimados a partir de las estadísticas. Causas: orígenes o fuentes de los riesgos. muchas veces. .  '. Dicha técnica constituye un análisis objetivo de las distintas capas de protección de que dispone un proceso.6]Q  $  y normativas IEC 61508/61511 y ANSI-ISA-S84. evaluando el riesgo del mismo y comparándolo con el . el análisis de la capas de protección se presenta como la técnica más exhaustiva. '$'  '# $ & P'    ' /    . '' '   . Previamente. el diseñador (generalmente la ingeniería de detalle) deberá disponer  . el análisis LOPA se presenta como una técnica que permite una comparación directa de la contribución de las distintas capas de protección del proceso a la reducción del nivel global de riesgo. 4. Por todo ello.5. por el contrario.    protección son adecuadas o. DESARROLLO DE LA ESPECIFICACIÓN DE SEGURIDAD Una vez completada la determinación del nivel integrado de seguridad ( SIL ) de cada una de las funciones instrumentadas de seguridad (SIF) se debe realizar el diseño conceptual del SIS correspondiente. si es necesario mejorar las existentes o introducir capas adicionales. 'P. . '3' '$#' K6(6L3'&''$ realizar dicho diseño conceptual y posteriormente el diseño de detalle. 77 . Aquí se adelantan algunos aspectos de tipo general...78 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Dicha SRS deberá como mínimo. contemplar aspectos de tipo general al conjunto 66K. El detalle de todos los puntos que debe comprender una SRS se darán en el Capítulo 10.   $  6L). P. .   '' . Sin carácter excluyente se exponen a continuación los requisitos generales más comunes que como mínimo debería incluir la SRS dividiéndolo en dos apartados uno relativo a los aspectos físicos (no funcionales) y otro a los puramente funcionales: 4.5.  'tos y/o SIFs. REQUISITOS COMUNES FÍSICOS 6P 3''$.1.  '. ). ' 3 '.  / #'. ) $P '$# $ ' 666. Estándares y reglamentos de aplicación.$   $ otros aspectos tales como: ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ Pruebas. % 9 )$9 667  '. Repuestos. $/$'#'. respuestas a fallos. fuentes de alimentación. $ . etc. cableados. KG /4/ etc. entradas y salidas. redundancias.). '$ . $/ /#P. /   /$. Tipo de lógica: reles. Ejemplos: sensores de contacto versus transmisores. Condiciones medioambientales de los instrumentos del exterior y de los PLC. etc. etc. PLC. N'$ $ . Preferencia en la selección de los elementos iniciadores. transmisores inteligentes con capacidad de autodiagnóstico. '   $P   . por ejemplo. partial stroke test en válvulas. (3' '$  &'.' $   de fallos. $8 ''$ . $'P. 5. 6 4. REQUISITOS COMUNES FUNCIONALES Como requisitos comunes funcionales a todas la SIF se detallarán. entre otros: ^ ^ Exigir que el diseño no solo contemple la cumplimentación del SIL sino tam&'4&'P.2. 3 . P# . '#' .  . El modo de protección por disparo no deseado debe ser fail safe (fallo seguro) .$' 3  P   '  '$ $' K'L    3 & PQ   cada SIF. estos serán cableados físicamente al ESD.  . Si se requieren pulsadores para realizar parada manual.Introducción al ciclo de vida de los sistemas instrumentados de seguridad ^ ^ ^ ^ ^ estando los contactos normalmente cerrados y los reles/bobinas energizadas. ' & '  $' '$). P# . etc. Detallar la política de rearmes: manuales. en válvulas solenoides. si debe tener alarma de activación en el SDC. automáticos. +# ) $P .'7' aplicará al grupo completo de votación. etc. REQUERIMIENTOS PARTICULARES Asimismo. 4. que será tratado en el Capítulo 11.6. la SRS debe contemplar los requisitos particulares para cada familia de enclavamientos y/o SIF de manera particular. es desarrollar un diseño inicial del SIS que cumpla con los requisitos de seguridad y alcance el SIL requerido o establecido como objetivo.3. DISEÑO CONCEPTUAL DEL SIS Y VERIFICACIÓN DEL SIL DE CADA FUNCIÓN El objetivo de esta fase. Fijar una guía de partida para el diseño del SIS. 4. G  $ .5. Asimismo. dicho diseño deberá cumplimentar los requerimientos del tiempo prescrito de disparo intempestivo (espurio) no deseado. ''$ de los de control y la lógica se realizará con PLC redundante que cumplimente SIL 3. muchos de los cuales se obtienen durante las sesiones de análisis de riesgo/asignación de SIL. P# . ''$ $  .  6$. Esta fase entra de lleno en la responsabilidad del especialista de instrumentación de la Ingeniería de detalle. la complejidad. ' ' & ' $  . los intervalos de prueba. etc. por tanto.. etc. la política de puenteos (baipases). se seleccionará la tecnología.$ $ datos contemplados en la SRS. los requisitos de comunicaciones. el tamaño de la aplicación. la velocidad de respuesta. la arquitectura. teniendo en cuenta factores tales como el presupuesto. Durante esta fase. la interfaz con el operador. '. ' 66 'P. . ' 3'J. . $   . ' 6. 'P.    .  6[.  & 3'. 'J$ . . $' P' de disparo intempestivo (espurio). Para ello existen fórmulas adecuadas de cálculo de probabilidad de fallo en demanda para comprobación del cumplimiento del SIL y otras de tiempo medio entre fallos (MTTF y MTBF) para el disparo intempesti*'$''$ $. . ' ) . P# . ' 79 . elegida se utilizará la fórmula que corresponda para el cálculo existiendo programas ..80 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. ' ' ). $'P. DISEÑO DE DETALLE DEL SIS Durante el mismo se deben realizar una serie de tareas.7. # ' ''$ )  '  4. por parte de la Ingeniería de $ /3.  P  $ '$. En principio se deberán revisar las listas de instrumentos para asegurarse que $ '. '   'zar el montaje e instalación. ' $  .  '    . P# . '  66 6 '   P&Ids para actualizarlos y se realizarán las requisiciones y órdenes de compra de todos los instrumentos y materiales necesarios de acuerdo a la SRS y al resto de . 'P. . ' '. debe incluir al menos la siguiente información: ^ ^ ^ ^ ^ *. asimismo. & El diseño.  $. P# . Documentos de cableado e instalación de los equipos. Documentos de operación/mantenimiento de los equipos. *.'3' Documentos de prueba de los equipos (FAT Y SAT).  $'P. . 8. PRUEBAS Y COMISIONADO DEL SIS El primer objetivo de esta fase es asegurar que el sistema se comporta conforme a 3''$ . 4. INSTALACIÓN.'3' Esta fase es responsabilidad del especialista de instrumentación de la ingeniería de detalle. 'P. . '#' G  /& '  'guientes pruebas: Pruebas FAT (factory acceptance test). Típicamente serán pruebas del operador lógico y de la interfase del operador con independencia del tipo de tecnología que se esté utilizando. Normalmente las pruebas se realizan como mínimo: ^ R 9  #'. El FAT se considera parte de la fase de instalación ya que las personas involucradas en el montaje y pruebas son las que deberían realizar dicho FAT. Incluso si la lógica del sistema se hace con relés o consiste en un PLC de cientos de entradas/salidas dicho sistema debería ser probado en la fábrica del suministrador antes de ser enviado a planta. '$ /'. módulos de comunicación. interfase de operador.) 8W/$minales de entrada/salida. . etc. cableado interno. 6$9 $ $ .Introducción al ciclo de vida de los sistemas instrumentados de seguridad ^ ^ Redundancia. '.   '. . Se incluye los / $P /.' La instalación cubre el montaje en planta de todos los equipos asociados con el SIS y la realiza el contratista de montaje de instrumentos/electricidad. & . /. Q ')' . '/. &' /G /'$  /   /).  3'$ 9  . '  66 Durante la fase de Ingeniería de detalle se habrán generado los documentos y  / .   . 'P. . '3  '. Estos chequeos nos asegurarán que el SIS se ha '$   . Terminada la instalación propiamente dicha y antes del SAT deben realizarse una serie de chequeos de dicho montaje. &)  6(6/3' al contratista para realizar adecuadamente su trabajo. . PQ  #' $ )$     el SAT. operadores lógicos. Para la realización del SAT se requieren una serie de documentos que dependerá de la complejidad de dicho SIS. Esta parte la puede completar el contratista o un grupo de trabajo independiente. La ejecución de esta fase compromete a recursos del suministrador del sistema . Es esencial disponer de un procedimiento detallado para la realización de dicho SAT. IEC-62381 describen el SAT. etc. Una vez completados los chequeos anteriores se debe realizar el SAT (site acceptance test). servicios.) en la propia planta. como un test que posibilita una completa prueba de la total funcionalidad del SIS de acuerdo a la SRS. Típicamente serán pruebas del sistema completo (sensores. actuadores.     '' $ Q)'.  . 4. MANTENIMIENTO Y EXPLOTACIÓN DE LOS SIS Para lograr un funcionamiento correcto. pruebas y chequeos que deben estar procedimentados y documentados. la mayor prioridad es la realización de las pruebas funcionales on line del conjunto de todos los elementos de cada función instrumentada del SIS. Como se describe en los Capítulos 8 y 14.'$P ) tratada con detalle en el Capítulo 13.9. cada sistema instrumentado de seguridad requiere un mantenimiento periódico mediante inspecciones. Este tipo de test es la actividad más crítica de un buen mantenimiento preventivo. . ' '. & . ' 66PQ  $'J . '. '  ' ) . 'P  . P# . '.   . ''$ $  #' )'. 6. 'P.  . Si esta capa no responde a los requerimientos de su diseño se 81 .     Como se ha visto con anterioridad. un SIS constituye la última capa de prevención de Seguridad. . etc. explosión. medio ambiente y daños industriales (mantenimiento y producción). produce el evento indeseado de fuga..82 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. con los riesgos que esto puede conllevar en la seguridad personal. Al igual que en el resto del mantenimiento de equipos de planta. se debe garantizar una disponibilidad funcional del conjunto de los elementos que conforman cada una de las funciones instrumentadas de seguridad (SIF) en estricto acuerdo con el ''$# #' K6L. incendio.. 'P.  . ya que constituye el único camino para asegurar que el nivel SIL de cada SIF se mantiene en el tiempo. Normalmente se trata de encontrar una solución que equilibre adecuadamente el coste de la inversión inicial con la exigencia de realización frecuente de pruebas funcionales en operación normal (on line) lo que conllevaría a un esfuerzo y costos elevados de mantenimiento. no existe una única solución que satisfaga el SIL de cada función. La prueba funcional periódica de cada función instrumentada de un SIS es una actividad esencial para garantizar la integridad de un SIS. Cuando se diseña un SIS. El test $'3'.     $   determinación del SIL (segundo paso del ciclo de vida de un SIS). '  $$ ' '$ 3'#'P. & /#'. /  $P / .  . & )    . pudiendo hacerlo por partes en tiempos diferentes que deben ser tenidos en cuenta en las fórmulas correspondientes.'   &'$ 3$  prueba se realice simultáneamente a todos los elementos. Asimismo dichas pruebas funcionales deberán basarse en procedimientos escritos con objetivos y responsabilidades per. aunque no es estrictamente necesario. $ $.  )P' N &P. ' . '      ' . '  $  &       '. mento del conocimiento de cada SIS por parte del personal de Mantenimiento y Operación. La gestión del cambio implicará que ante cada cambio. Todo cambio será debidamente documentado. MODIFICACIONES El objetivo de esta fase es asegurar que todo cambio en el SIS se realiza siguiendo el mismo procedimiento que en la primera implementación. 4. Este paso será tratado en el Capítulo 14. la necesidad de estas pruebas funcionales on line para comprobar la correcta operación del SIS. es cumplimentar los requerimientos de organismos competentes en el tema tal como ISA. Por ello es fundamental tener un estricto control de toda la documentación.10. IEC y OSHA. De la misma manera. se deberá volver a la fase adecuada en el ciclo de vida del SIS.  3' 'P. . ' )8   . '  '     66 .      'zación de la correspondiente prueba funcional. Este paso se verá con detalle en el Capítulo 15. . construcción. se requiere la parcipación de equipos muldisciplinares. 83 . Se requiere de una sistemáca precisa para minimizar los fallos. El objevo de los estándares de seguridad es guiar las fases del sistema: diseño. CONSEJOS PRÁCTICOS  Los datos demuestran que aunque la sistemáca del ciclo de vida de seguridad aumenta los costes iniciales. operación y el mantenimiento de un proceso. a la larga produce un sistema más seguro y por lo tanto un aumento en la producción.Introducción al ciclo de vida de los sistemas instrumentados de seguridad PARA NO OLVIDAR    Los sistemas de seguridad son mulcomponentes. por lo que en todas las etapas de su ciclo. . Para no olvidar. G  ''. Ya que los documentos generados en esta etapa serán los documentos de entrada a la primera tarea del ciclo de vida de la seguridad funcional correspondiente a la evaluación del riesgo y determinación de posibles funciones instrumentadas de seguridad.DISEÑO CONCEPTUAL DEL PROCESO 5 Ana María Macías Juárez SUMARIO: Introducción. Diseño conceptual. Diseño de detalle. 5. Consejos ráccos.1. INTRODUCCIÓN En este capítulo se intenta dar una idea general de la importancia de la etapa de diseño en el éxito de un nuevo proyecto de seguridad funcional dentro de una instalación industrial. '  'J). $ 'P.  # O'$$/ )' $ $$&'P' . . los cuales serán solicitados al departamento '#' .)3' '$ seguridad y producción del proceso.  $$K#. . 'L 'P /&'      '$     '. '$   Q$'P.    ''  . '$  +$. 2. DISEÑO CONCEPTUAL El objetivo de esta fase es diseñar una planta que sea inherentemente segura y renta&G  . 5.  administrador deberá investigar y asegurarse de que la inversión será rentable y los peligros inherentes a los procesos aceptables. Una vez que se tiene conceptualizada la idea del proyecto el diseño de una planta comienza con la generación de documentos preliminares (ingeniería conceptual) en donde un grupo de especialistas desarrollan las bases de la ingeniería apoyándose en documentos máster y posteriormente se realizan los documentos de detalle.  '. . . /3')$P. . por citar algunos. instrumentos. El especialista que toma el papel de líder en este grupo es fundamentalmente el ingeniero de procesos. eléctricos. Esta etapa depende fundamentalmente de un grupo multidisciplinario de especialistas entre los que se encuentran las siguientes disciplinas: procesos. mecánicos electrónico.'te profundidad cumpliendo con estándares internacionales y nacionales. ..1. Figura 5.SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Flujo de proyecto industrial pico. 86 . Diseño conceptual del proceso Estadísticamente en el ciclo de vida de un proyecto de sistemas de control y sistemas de seguridad. se tiene típicamente que el 15% de los fallos y errores se generan  $  'J. . $ /@Hµ $  . 'P. . '. 'nalidad e integridad (normalmente generadas desde la omisión de conceptos dentro del diseño).2). 5% en la instalación y comisionamiento y 15% en operación y mantenimiento. dando como resultados desviaciones y accidentes en la industria de procesos (véase Figura 5. el 20% en la etapa de cambios después del comisionamiento. ‰j. 87 . de tal forma que los documentos generados en esta etapa son fundamentales para el éxito de proyectos de sistemas de instrumentación y control relacionados con la producción y la seguridad de una planta de procesos. Dichos documentos se incluyen y desarrollan en la etapa conceptual de ingeniería y serán los datos de entrada en el ciclo de vida de la seguridad funcional para dar inicio a la evaluación de riesgos descrito en el Capítulo 6 de este libro. ']Gráca de desviaciones y accidentes causados en las fases del ciclo de vida de un proyecto. Listados de sustancias peligrosas involucradas. *' # ]QKG*L Balance de materia y energía (HMB). Descripción de sistemas de enclavamientos. Listado de instrumentos. Plano general de localización de equipos. Matrices causa y efecto. Sumario de alarmas y disparos. Diagramas de tubería e Instrumentación (P&ID). Dentro del ciclo de vida de la seguridad funcional una de las capas primordiales es el diseño inherentemente seguro de un proceso. ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ Descripción del proceso. 88 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. En el caso de las funciones instrumentadas de seguridad los documentos generados deberán estar perfectamente documentados en el plan de seguridad. Es fácil comprender que aquí se encuentra el núcleo ingenieril del desarrollo de un proyecto y que las consideraciones y decisiones relativas a la seguridad que se hagan en esta etapa van a trascender a las etapas siguientes del propio proyecto..2.1.. DESCRIPCIÓN DEL PROCESO O BASES DE DISEÑO En este documento los ingenieros involucrados describirán a detalle la intención del diseño cumpliendo con normas y códigos relacionados con el proceso y la seguridad. 5. Q /-G/G/-6/6+/. Todos los documentos desarrollados en esta etapa deberán ser debidamente llevados a cabo bajo un sistema de gestión de la calidad. en el cual se contemple la trazabilidad del control de las revisiones. '$  # /P'.  . . . . '/$ . ' '.   /. 'P. . DIAGRAMA DE FLUJO DE PROCESO (PFD) +$     $ . condiciones de operación.2. 5.2.' $'  de construcción por secciones de la planta. medidas de protección requeridas para el potencial de riesgos de incendio y explosión o nubes tóxicas y relación con el entorno ambiental. ' 3 $'.     . P# . ' . '. temperaturas. etc. las condiciones críticas del proceso (presiones. ' # ]Q.   '$  También permiten describir la secuencia de los distintos pasos o etapas del proceso y su interacción mostrando qué y qué tanto de cada sustancia o producto trabajara el sistema. cantidades y tipos de materias primas que son necesarias para lograr los productos. líneas principales y los equipos del proceso (véase Figura 5.3).).  3''J). $¨$' . $'&'' )P'. ' . .  ' ' sarrollo de la ingeniería de detalle y están estrechamente relacionados con los balan.  $' )# +$.  $   . ''' )P. Consecuentemente algunos PFD muestran un mínimo de detalle mientras otros '. Es importante dejar en claro que no existe ningún estándar o norma que regule el desarrollo y contenido del PFD.'$ materia prima y equipamiento para que un proyecto proceda. '$ '#'P. PFD con opción de detalles adicionales:$' # ]Q. $'7   PFD con opción de detalles mínimos:  3' # ]Qceso sea efectivo el proceso es mostrado en un pequeño espacio tan práctico como sea posible. sin considerar el balance de materia y energía. mostrando las corrientes principales y secundarias del mismo. También se suelen incluir detalles como puntos de medición prin- . muestra detalles como la instrumentación y control en una fase inicial del proyecto. Figura 5.Diseño conceptual del proceso cipales.2. 5. válvulas de control y analizadores de proceso y normalmente los balances de materia y energía del sistema.3. Diagrama pico de ujo del proceso. Los PFD son usados como una guía en el desarrollo de los diagramas de tubería e instrumentación (P&ID). BALANCE DE MATERIA Y ENERGÍA (HMB) +$. métodos de control.3.  $' '  ' # ]Q. O. $3%<.   . El dibujo comienza con un diagrama de ujo del proceso mostrando los equipos mayores y sus tuberías.tiene información adicional concerniente a la física del proceso. #   . / $    ]Q ) #  3'   . .    )     $.  $+$.  $. $'' . '  $.  'P.   .  . P. ' )3$#   P '#'  diseño detallado del proyecto. 89 . 2. 5.. es desarrollado a par$'' # ]Q.4. DIAGRAMA DE TUBERÍA E INSTRUMENTACIÓN (P&ID) Este documento.90 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. como ya se menciono en párrafos anteriores.. +. $ $''. '' '3$'. ^ ^ ^ ^ ^ Equipos y válvulas. instrumentación y eléctricos. +. mente la responsabilidad primaria del departamento de procesos pero es compartido con los departamentos mecánicos. Diámetros de tuberías. Este contiene al menos lo siguiente. 'P. . Estos documentos son realizados de acuerdo a normas como ISA 5. +   '#'   'J . Información de instrumentación y lazos de control.1 y prácticas recomendadas por Proccess Industry Practices (PIP).' $' $&  Accesorios de tuberías. . $   & '$'P. Figura 5.4. Diagrama de tubería e instrumentación (P&ID).  $    '& funciones de seguridad y otras capas de protección que llevarán al proyecto a lograr un proceso inherentemente seguro. . en este listado cada instrumento deberá ve' $'$'P. LISTADO O ÍNDICE DE INSTRUMENTOS El listado de instrumentos es un documento en donde se enumeran todos los instrumentos que están plasmados en el P&ID.Diseño conceptual del proceso 5.2.5. . T $ #. . $ 3'3$. Debemos recordar que estamos en la etapa de ingeniería conceptual y que estos datos son fundamentales en esta fase. no debemos confundir este listado de instrumentos (índice de instrumentos) con la base de datos de instrumentos ya que el primero pertenecerá al segundo en la etapa de ingeniería de detalle y se estará actualizando continuamente. ISA no cuenta con un . ubicación en sección del proceso (nodo). o línea de proceso. los rangos de operación y para qué tipo de servicio están dedicados. '#3P . Son tablas de doble entrada en las que P '.2.$' '$ '$ $ 5. El documento puede presentarse como: ^ ^ ^ ^ Una descripción de cada uno de los sistemas de enclavamiento en los que se indican señales o instrumentos que desencadenan la acción y los elementos e instrumentos que ejecutan la misma. DESCRIPCIÓN GENERAL DEL SISTEMA DE ENCLAVAMIENTOS Este documento describe de forma detallada los enclavamientos de proceso (interlocks).6. es decir. este debe incluir las secciones de proceso en las que están ubicadas.2. el lazo de control a la que pertenecen y regularmente se encuentra un vínculo con documentos que serán desarrollados posteriormente como la matriz causa y efecto de una función. que si suceden. LISTA DE ALARMAS Y DISPAROS En este listado se suele enumerar todas la alarmas y disparos que están plasmados en el P&ID. los puntos de ajuste. provocan acciones sobre otra parte del mismo. 5. aquellas circunstancias del proceso.7. Mediante diagramas de causa-efecto. ) $3. .   '$). En el caso de enclavamientos con cierta complejidad. en 3O  #P.lumnas los elementos que realizan la acción de ese enclavamiento. Mediante diagramas lógicos. Son realizados por I&C a partir de la descripción de enclavamientos proporcionada por proceso. pueden representarse los mismos mediante diagramas lógicos. $   . . '#'. MATRIZ CAUSA Y EFECTO +$$'.8.2. 5. $mentos que causan los enclavamientos y los efectos o consecuencia de los mismos.  $$   #P.   . . '3#' una función del control del proceso o bien de una función instrumentada de segu- 91 . ridad (SIF).2. ya que el no considerar estos puntos fundamentales pudiera ocasionar una mala distribución de los equipos de proceso dentro de una planta y con ello resultar en accidentes industriales '. PLANO GENERAL DE LOCALIZACIÓN DE EQUIPOS Estos son planos de construcción producidos por los departamentos de ingeniería mecánica y tuberías. Estos dibujos llegarán a ser las bases de arreglos detallados de tubería e isométricos. Figura 5. Esta matriz explicará la interrelación de entradas y salidas de forma lógica y funcional de cada lazo de control (véase Figura 5..92 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. El grupo de ingenieros mecánicos comienza colocando los equipos principales en una vista en planta manteniendo en mente las rutas de acceso.5). etc. 5. los códigos de construcción.5: Matriz causa y efecto. En la elaboración de este plano se requiere tomar en consideración normas y códigos de espaciamiento internacionales y regionales de acuerdo a cada nación. consideraciones de peso de los equipos..9. factores del entorno ambiental y riesgos potenciales de incendio o explosión. así como la implantación de instrumentos y la implementación de soluciones de ingeniería relacionadas a las capas de protección externas al proceso.  $'P. &$ . $'&'' $4. '. ).  '.  ). esto mediante el uso de técnicas de análisis de riesgos descritas en el Capítulo 6 de este libro. DISEÑO DE DETALLE Antes de ser liberados o aceptados los documentos de ingeniería conceptual y pasar a la siguiente etapa de ingeniería es fundamental que los documentos generados por el grupo multidisciplinario sean evaluados analizando los posibles riesgos y desviaciones a la intención original del diseño.$ 5.3. . se inicia la etapa de ingenierías de detalle.Diseño conceptual del proceso Una vez que se ha realizado el análisis de riesgo y se han documentado las observaciones al diseño conceptual y capas de protección interna y externa al proceso. En esta etapa se generan múltiples docu $.   . 'P. . '.  $)3'/$$ .  para el caso de ingenierías de instrumentación y control de procesos los siguientes documentos. sin ser limitativo este listado: ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ +. 'P. . '  '$   . $ K 3'$. $ / $. # / #P. )./ etc. G .  'P. . ' 4. $'.  +. 'P. . '   '$   #'  K 3'$. $ / $. # / #P. Memoria de cálculo de conductores. Hojas de datos de válvulas de seguridad. 93 . Plano de localización de instrumentos de control. PARA NO OLVIDAR   Los documentos generados en el diseño conceptual del proceso deben estar documentados en un plan de calidad y estos deben estar perfectamente elaborados y validados ya que serán los documentos de entrada en la etapa de evaluación de riesgos e idencación de funciones de seguridad.L Hojas de datos de los equipos. Hoja de datos de los instrumentos. Hojas de datos de válvulas de control. Índice de entradas y salidas (I/O) del sistema de control. Típicos de instalación y montaje. Plano de trayectoria eléctrica. Para el caso parcular de ingeniería y diseño de funciones instrumentadas de seguridad la etapa de ingeniería conceptual y de detalle se describirá dentro del libro SIS en los capítulos posteriores a este y en ellos se describirán los documentos propios de ingeniería de la seguridad funcional. y también serán entradas en las especicaciones de seguridad (SRS). lo que facilitará mucho la trazabilidad de los documentos que se entregan al departamento de seguridad funcional para dar inicio a la ingeniería propia del sistema instrumentado de seguridad.94 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. CONSEJOS PRÁCTICOS  En el desarrollo de cada documento de ingeniería de diseño conceptual del proceso es muy importante que exista la revisión cruzada entre los integrantes del grupo muldisciplinario. y esta revisión se debe validar con rma de cada parcipante y fecha de la revisión.. . Tipos   >        .ANÁLISIS DE RIESGOS DE PROCESOS 6 Gabriela Reyes Delgado SUMARIO: Introducción al análisis de riesgos. Criterios de aceptabilidad del riesgo.     >  j  !   >  j  !  > j  ! /. .  % .      \  & .   ’. %.  %   j.   %. Dichas medidas de seguridad se traducen en múltiples capas de protección de las instalaciones. para las personas. Cada capa de protección está compuesta de equipos y/o procedimientos de control que actúan conjuntamente con otras capas de protección para controlar y/o mitigar los riesgos de los procesos.1. Para no olvidar. 6. CRITERIOS DE ACEPTABILIDAD DEL RIESGO Las instalaciones industriales que almacenan. se entiende por accidente grave cualquier suceso (emisión en forma de fuga o vertido. como en la adopción de medidas de seguridad. tal y como se analizó en el Capítulo 3 del presente libro. incendio o explosión importantes) que sea consecuencia de un proceso no controlado durante el funcionamiento de cualquier establecimiento que suponga una situación de grave riesgo inmediato o diferido. Las instalaciones industriales que tienen asociado un determinado nivel de riesgo deben adoptar estrictos criterios tanto en el diseño de las instalaciones y equipos. bien sea en el interior o en el exterior del establecimiento. físicos y/o químicos) originados por sucesos incontrolados en sus instalaciones o actividades. En el presente capítulo. dado que existe la posibilidad de inducir consecuencias adversas sobre elementos vulnerables (hombre. <   (HAZOP). Consejos ráccos. como resultado de los efectos dañinos (térmicos. INTRODUCCIÓN AL ANÁLISIS DE RIESGOS. En este sentido. los bienes y el medio ambiente. procesan y generan sustancias peligrosas. se realiza una descripción de las principales metodologías  '$'P. tienen asociado un determinado nivel de riesgo. bienes materiales y medio ambiente). . '  '#  '$  . ' '$'  . No obstante. . antes de avanzar de forma detallada en las distintas metodologías. será necesario conocer de forma previa el concepto de riesgo y la forma de establecer los criterios de aceptabilidad del mismo. &Q$  P'   capas de protección más adecuadas a implementar en las instalaciones de proceso. 96 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. +$$'/'#P... daños a seres humanos o medioambientales en términos de frecuencia y magnitud de las pérdidas o daños. Figura 6. Adicionalmente.1 se esquematiza la descripción del riesgo con ejemplos de las distintas unidades que puede adoptar en función evidentemente de las unidades utilizadas para la probabilidad y para la severidad. será necesario que las distintas corporaciones de las   P . para la aplicación de algunas de la metodologías que se analizarán en el presente capítulo. Denición de riesgo y ejemplos de unidades de riesgo.1. En la Figura 6. Se suele expresar como el producto de magnitud y probabilidad de las consecuencias de escenario.   '  & &'' 3 materialicen las pérdidas económicas. '$' . $ &'' '#  '$  . '/$'' #P. .   ''. riesgo susceptible de ser reducido hasta donde razonablemente sea posible). inaceptable (y por tanto será necesario adoptar medidas de seguridad adicionales a las existentes) y ALARP (as low as reasonably practicable.   '# AB/  P'   el riesgo es aceptable. para los '$'$.  ''$'P.  Figura 6.2. Gráca de criterios de aceptabilidad del riesgo. . 2.Análisis de riesgos de procesos 6. TIPOS DE METODOLOGÍAS DE ANÁLISIS DE RIESGOS . ' '$'$'P. . ') '''# '. la construcción. durante el diseño. rante todas las fases del proyecto. así como para otro tipo de requerimientos en instalaciones industriales. la operación.  . es decir. . $ '$'P. . sino que además permitirá ' '  3$ .') '''# '$'$P]jo de los aspectos de seguridad propios de la instalación. ]'. $' ' $. En la Figura 6.'$ $' Q  y evaluación posterior de la instalación. hasta obtener un nivel aceptable de riesgo de acuerdo a los criterios de aceptabilidad establecidos internamente por la propia corporación.3 se facilita un esquema general en el que se señala la . . '  '$'P. . ') '''#. 97 .3.'$'  Figura 6. Evaluación predicva del riesgo. ..98 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. La técnica seleccionada dependerá de los propó'$#'. no cabe hablar de una técnica predominante frente a las demás. Dada la gran variedad de técnicas que se presentan.  '$'P. . ')  . ''#/# . . así como de los datos y recursos disponibles. +.'miento que se tenga de la unidad.  3'. /#  . #'  .   '$'P. . '. Los objetivos de la $'' .narios sin el juicio de expertos en Seguridad Industrial y el apoyo de técnicos familiarizados con las operaciones y plantas involucradas. '$ 4$'$'P. . $'P.''#den ser: ^ ^ Reconocer las situaciones peligrosas en actividades en las que se manejan materiales que implican riesgos con objeto de revisar el diseño y establecer medidas correctoras o preventivas. .  ''& . . '$/. P  ) .  $'P.  '''#  '$'$ $4. '. '$'P. . ''# # $#pos fundamentalmente: a) Métodos cualitativos:$'.  &Q$'$ &.  '$'P. . ' '#'#/ .   $. $ )8. . ' . 3 'Ptan cuando se convierten en accidente. Se verá más adelante que realizan un escrutinio (más o menos conducido. En ocasiones son preliminares y sirven de soporte estructural para los estudios cuantitativos. b) Métodos semicuantitativos: pretenden mediante la combinación de unos fac$ #&  K '   &'P. estructurado y/o secuencial) del proceso y del equipo. incluidos en la planta o unidad objeto de consideración. L  '# $ &.  '. se describen los principales métodos cualitativos. c) Métodos cuantitativos: tienen como objetivo recorrer completo el tracto de la evolución probable del accidente desde el origen (fallos en equipos y/a operaciones) hasta establecer la variación del riesgo (R) con la distancia.$ mente el riesgo (R) o la severidad (S). Casi siempre conducen a resultados globales y relativos que sirven para comparar riesgos procedentes de plantas industriales diversas pero concretas. A continuación. semicuantitativos y cuantitativos. así como la particularización de dicha variación estableciendo los valores concretos de riesgo para los elementos vulnerables situados en localizaciones a distancias concretas. Los factores de riesgos y las escalas para enjuiciarlos proceden de la experiencia en casos similares al que se estudie. . 3.Análisis de riesgos de procesos 6. Su obje$''. METODOLOGÍAS CUALITATIVAS Se trata de técnicas de análisis crítico que no recurren al análisis numérico. ' '$'P. Algunos de ellos establecen estructuras lógicas secuenciales. c) Causas: orígenes o fuentes de los riesgos. Emplean diferentes herramientas lógicas y auxiliares. 7 a) Riesgos. causas/riesgos/ efec$3/  '$'P. b) Efectos: incidentes y accidentes cuando se materializan los riesgos. /'.  $    '' '. como base para otros semicuantitativos o cuantitativos. En otros casos el barrido sistemático de causas/riesgos/efectos conduce a detectar parte de los sistemas (de proceso. de instrumentación de equipo. es importante la calidad de los primeros.1.3.) que. $'$ $' cuantitativos posteriores. requieren el análisis mediante métodos más penetrantes o más cuantitativos. por ser complejas y/o delicadas. BASES DE DATOS O ANÁLISIS HISTÓRICO DE ACCIDENTES Descripción N  $4. Dado que los análisis cualitativos sirven. muchas veces. A continuación describiremos algunos de los métodos cualitativos más frecuentemente utilizados: 6. etc. '. '$'P. . ' . . '$   $$''   las bases de datos de accidentes. Mediante esta técnica se podrá tener acceso a los accidentes más frecuentemente ocurridos en relación con un proceso determinado o una sustancia peligrosa involucrada.  $ $ $  . conociendo sus causas y sus consecuencias y basándose en ellos extraer conclusiones y recomendaciones.  $'P.  & &''   . Entre ellas.cidentes. así como los desarrollos de accidentes más usuales y de esta forma tomar medidas preventivas sobre las posibles causas iniciadoras. así como en relación a sustancias peligrosas. indicando sus causas y consecuencias. destacan las siguientes: 99 . como para conocer los equipos a los que suelen asociarse fallos. así como medidas mitigantes de los efectos. bien acerca de los ratios de fallos en equipos. bien en relación a los accidentes ocurridos en el mundo. Principales bases de datos Existen multitud de bases de datos que aportan información. Bases de datos sobre sustancias: UMPLIS (G).. IEEE (USA). Bases de datos de accidentes: NCSR (UK). El empleo de bases de datos debe plantearse como una técnica de apoyo. ^ ^ ^ Bases de datos de accidentes: FACTS (TNO).D. MHIDAS (UK).100 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. RTEC. de forma que una vez conocido el historial de accidentes característico de un tipo de instala.. 363/95. CHEMDATA (UK). R. MARS (CEE). etc. ECDIN (CEE). '/PQ  . . Solo casos reales más importantes. La aplicación a instalaciones similares. Discernir qué informes son asimilables a la instalación que esté siendo objeto de consideración: selección de informes aplicables. en aquellos casos en los que sea posible. 3. Procedimiento de aplicación 1. 5. La documentación de los casos incluidos puede ser incompleta. ¿Se sabe qué medidas se adoptaron en los accidentes estudiados para evitar su repetición? Ventajas de aplicación de la metodología 1. Elaboración estadística (suele ser corta: medias. Directo a causas importantes. 4. Simple y barato. Estudio técnico de cada accidente (y de sus orígenes. 2. pero diferentes.$'+$$'/# $''  contar con datos de accidentes obtenidos de la propia instalación. Aspectos a considerar en la aplicación de la metodología 1. Adopción de medidas técnicas que neutralicen los riesgos originados en dichos puntos críticos. 3. frecuencias) que permitan los informes. 2. Obtener información y datos de las bases de datos: informes sobre los accidentes. frecuencias y consecuencias) para revisar los puntos críticos (de instalación y operación) que  'P$ 5.  . 4. puede no ser acertada. 2. Basado en casos reales. Puede haber causas críticas que no se han manifestado en los accidentes estudiados o que no se han detectado. 3.  $'P. . ' ' ) G ' $ $. . Es frecuente que no estén claras las causas inmediatas de los accidentes reseñados en los bancos de datos. '$ $' 6. directa y económica de riesgos y causas más importantes en instalaciones existentes y en proyecto. 2.Análisis de riesgos de procesos Idoneidad 1. Evaluación rápida.   '$'P. .  ' . . '$  :j.  % . ANÁLISIS HAZID O ANÁLISIS PRELIMINAR DE RIESGOS Introducción + 4$'$'P. operación normalmente sin recurrir a expertos ajenos a la organización de la compañía que diseña y/u opera la instalación. 1.). TNO.2.3. Acceso a los bancos de datos (SONATA. Equipo profesional experto en diseño. 6. etc. instalación. 2. . '.  '#'++NN/) '.  $  $ #  /3$ $  '  '$'P. . evitando de este modo el costo que supondría 'J 'P.''  de riesgos en la primera fase de diseño. . ' $   $   . corrosividad. carga energética contenida. 101 . Simple y barato. 3. etc. Explorar y explotar tales semejanzas. Exploración de las operaciones y equipo de las que cabe prever criticidad: riesgos implicados (toxicidad. 2. Ventajas de aplicación de la metodología 1. Procedimiento de aplicación 1. Estudio técnico de los aspectos críticos que se hayan detectado en 3). Discernir si se puede aprovechar la semejanza con otros procesos u operaciones experimentados anteriormente. incidencias o problemas potenciales relativos a seguridad industrial en plantas de proceso. 4. 5. Adopción de medidas técnicas que disminuyan el riesgo previsto para los aspectos críticos. 2. PHA) o análisis HAZID (hazard identication) será de especial utilidad en aquellos casos en los que no se tenga información detallada sobre el historial de fallos. Obtener información y datos sobre materiales.' La aplicación del análisis del riesgo preliminar (preliminary hazard analysis. operaciones previstas. Directo a causas importantes.). tal como puede suceder con plantas nuevas que empleen procesos industriales no aplicados hasta la fecha. Depende mucho de los conocimientos y experiencia de los ejecutantes. :j.. Absolutamente cualitativo y desestructurado. Idoneidad Se usa para instalaciones y procesos en etapas de desarrollo y proyecto: cuando no hay otro remedio y hay urgencia. 3. 2.. Aspectos a considerar en la aplicación de la metodología 1. No es sistemático: puede no considerar algunas causas importantes pero poco aparentes.102 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.  % . en la que se incluye: ^ ^ ^ ^ ('#'$'P. con sus conocimientos y experiencia. Resultados Se dan en forma de lista o tabla. Ejecutantes que puedan suplir. la falta de información real y concreta (sobre riesgos y sus consecuencias) procedente de experiencias concretas anteriores. . 3.''# Causa. 6. Consecuencias. Medidas o acciones correctivas. ANÁLISIS WHAT IF? Introducción El análisis What if?/ 4$'$'P.3. . la utilidad del método dependerá en gran medida del grado de conocimiento sobre los procesos desarrollados y la habilidad para encontrar los puntos críticos. el método generará unos resultados necesariamente incompletos. almacenamientos. etc. qué posibles consecuencias se darían ante un determinado fallo.''# )    práctica habitual de las industrias químicas. procedimientos de emergencia. instalaciones. es decir. .. procedimiento de operación. materias primas. equipos.. productos. de forma que si la experiencia del personal es escasa. Trata de llegar a determinar por medio de preguntas. Descripción La cuestión del ¿Qué ocurriría sí.? se puede aplicar a los distintos aspectos relacionados con la seguridad industrial. sistemas eléctricos. Sin embargo. 2. c) Su análisis y contestación. 3. Contestación a las preguntas What if?.) o se decide llevar el estudio de manera global con la sola referencia a la secuencia del proceso. 6. de qué medidas existen y cuáles cabe tomar para prevenir el riesgo. etc. Se explica el funcionamiento del proceso. Redactar informe recogiendo: a) Breve descripción y esquema del proceso. después de lo anterior. seguridad de las personas. Consideración. o. No contestarlas durante esta etapa.Análisis de riesgos de procesos Las preguntas comenzarán. si bien el análisis What if? es menos sistemático y estructurado. Puede ser conveniente. para comprobar si hay preguntas What if? adicionales. etc. Se elige un enfoque o alcance para cada parte del estudio (seguridad del propio proceso. anulándolo o disminuyéndolo. Efectuar todo lo anterior para cada una de las partes decididas en 1. DCI o Defensa Contra Incendios. reagrupar preguntas. Empezando por el principio del proceso. en su origen. por lo general.). para cada pregunta What if?. contemplando un suceso iniciador. Ejemplos: ^ ^ ^ ^ ^ ¿Qué ocurriría si se introduce una sustancia equivocada en el reactor? ¿Qué ocurriría si el operario cierra mal la válvula? ¿Qué ocurriría si la tubería se obstruye? ¿Qué ocurriría si la temperatura ambiental supera los 30 qC? ¿Qué ocurriría si se produce fuego exterior involucrando al tanque? Procedimiento de aplicación 1. Comparte elementos con el Hazop. que requerirá conocer el comportamiento del sistema. materiales. dando como resultado recomendaciones en forma de medidas correctoras. d) Descripción razonada   Q K $ $'  'P. una por una. seguridad eléctrica. revisar estudios What if? anteriores. avanzando a lo largo de las etapas  '  $ P / $ ) $ $  #$ What if? que se les ocurra a los participantes. si se ha hecho el estudio único sin partes. si hay. Por todo el equipo. 5. contestaciones y remedios según los enfoques que se consideraron allí. a lo que seguirá un análisis de las consecuencias previsibles. 4. b) Preguntas What if?. Algunas requerirán estudio aparte o la participación de especialistas (control. 7. mantenimiento. . Ventajas de aplicación de la metodología 1. 2. espontáneo e intuitivo.'L$   $ '  reducir riesgos. Creativo. Variado: considera riesgos de orígenes varios. 103 . +.. 3..104 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.  '. $' ) '7 'P$ ). )T$'  $  $4.'   'recta las consecuencias causas/consecuencia/remedio más importantes. 4. '.  '$'P. . ''# 5. +P.    ''.  '$ $'''. ' 7. ' '$  $'   $3&&Q$$' ' $ 4$ P$'. no solo de su unidad. Al ser desestructurado pueden pasar desapercibidos riesgos ocultos. Idoneidad Muy útil en revamping y duplicación de plantas ya existentes. 2. :j. 3.  Aspectos a considerar en la aplicación de la metodología 1. sino de otras similares. ya que se dispone de personal con experiencia. Como método único de estudio solo sirve para instalaciones y procesos muy sencillos. Depende mucho de la experiencia de los intervinientes y del conocimiento de su seguridad y operación.  % . 3. ANÁLISIS MEDIANTE LISTAS DE CHEQUEO O CHECK LIST Introducción  '$ . del equipo y de las operaciones. 6.4. pero con buenos conocimientos del proceso. Grupo profesional poco numeroso (3 o 4). 3'$ .  $4. '. '$'P. . ' '. materiales o procedimientos y utilizable durante cualquiera de las etapas de desarrollo de un proyecto. Una vez que está preparada. su aplicación puede corresponder a personal menos experimentado. ble para la evaluación de equipos. Las listas de chequeo se ajustan generalmente a unas normas mínimas. Deben ser preparadas por personal que esté familiarizado con el funcionamiento general de la planta y los procedimientos estándares de la compañía. Dichas evaluaciones deben ser realizadas por personal ajeno al que prepare las listas de chequeo y resultarán en . siempre que cuente con la supervisión de algún experto. de forma que sean susceptibles de evaluaciones posteriores. $ ' . '/ ' . ' 'P. . consiste en la elaboración de una lista de aspectos a comprobar en relación con la seguridad de una instalación . tal como se ha descrito.'  '  Descripción El método de las listas de chequeo. 2. Fácil. 3. Realizar los controles y evaluación de la lista sobre la instalación objeto de estudio. en sus aspectos técnicos y de seguridad más relevantes. Realizar las listas de chequeo basándose en el punto 1. Aspectos a considerar en la aplicación de la metodología 1. etc. Analizar la normativa y estándares de aplicación o referencia a utilizar. válvulas. Es típico el empleo de este método en las auditorías de seguridad que se efectúan a procesos y plantas. Procedimiento de aplicación 1. etc. construcción. Calidad muy dependiente de la de las listas de comprobación empleadas. controles. de la operación de la planta. Es. de las paradas. pueden pasarse por alto riesgos no incluidos. por tanto. instrumentos. comentadas antes. las listas de chequeo pueden servir   ). El alcance está muy limitado a las regulaciones de referencia empleadas para preparar las listas. 2. directo y controlado.Análisis de riesgos de procesos industrial y elaborada en función de la etapa del proyecto: diseño. tuberías. Las listas deben cubrir todos los elementos de equipo (aparatos. relativas a los aspectos de proceso y de riesgo.). arranque. Proporcionan una demostración clara del cumplimiento de las regulaciones de referencia. operación y parada. 3. Ventajas de aplicación de la metodología 1. Bueno para adiestramiento de evaluadores de riesgos. que cabe plantear para todas las etapas de un proyecto. un método de estructura lineal con lista de cuestiones concretas. alarmas. Idoneidad Dentro de sus características. Dicha metodología se utiliza igualmente para comprobar el cumplimiento de determinados reglamentos y normas. 2. $ $  ' '   O'$$ 'P. . Los casos de no cumplimiento deben origi . mediante auditoría. el cumplimiento o no de regulaciones de instalaciones existentes.'R bién sirven como base para enjuiciar.   . '   'P. . . $ $ '$  . '.  :j.  % .  Si bien realizar las listas de chequeo es un trabajo riguroso y lento. realizar la comprobación es un método directo. rápido y barato. 105 . 106 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. 3.. ANÁLISIS DE LOS MODOS DE FALLO Y EFECTOS (FMEA) El análisis de los modos de fallo y efectos (failure modes and effects analysis) tiene como objetivos los siguientes: 1. +$ &. Establecer los fallos posibles en todos y cada uno de los elementos de equipo (de proceso y de control) en una planta.3. Analizar las consecuencias de los fallos establecidos en el paso anterior para detectar aquéllas que puedan ser origen de accidentes. 2. 6.5..  ' $. . '3'$ 3 '#'P. se parte de un listado de los equipos y componentes de la instalación . $' Descripción En general. $'&.  /)/  .  /&'$'P. Dividir la instalación en secciones de estudio. 2.1.2. DEBE FALLO Estar cerrado Estar abierto Estar abierto Estar cerrado Flujo No uir En marcha Parado Estanco Fuga Señal de indicación o mando Falta de señal Accionamiento Sin accionamiento Refrigeración Sin refrigeración Abrir No abrir Cerrar No cerrar Sin fuga Fuga Etc.1 Desviaciones como fallos FMEA. Tabla 6. Procedimiento de aplicación 1.  modos de fallo. $'P. se pueden ver en la Tabla 6. Algunos ejemplos de las desviaciones que se consideran modos de fallo. No etc. El desarrollo del FMEA se facilitará utilizando una tabla del tipo como la que se muestra en la Tabla 6. )'$ $ $3'K. ). $L dentro de una sección del proceso en la planta. . *P'.Análisis de riesgos de procesos 3. 5. 4. 6. ' '$.   $3' *P' '& *P' . . . '  P' +$ &. ' P') . . . ' P'  . $  $  $3'  $3$4. ' +.  P $' debe trasladarse la parte del análisis correspondiente al elemento receptor de  ']. '   $ ' . . . ' & '  7. Discernir y recomendar medidas preventivas viables que eviten los fallos P'/3 '#'P. $' . Registro escrito (informe) del análisis. Tabla para análisis FMEA.$#'  8. Documentación básica sencilla.2. Tabla 6. Requiere pocos analistas (1-2). 2. Es económico: va directamente a los fallos importantes procedentes de la experiencia y del funcionamiento de los aparatos. Ventajas de aplicación de la metodología 1. 3. Puede servir como base para detectar sistemas. elementos y fallos que deban ser objeto de análisis más profundos. G. 4.  $'P. & &'' . . No es sistemático. 107 .'   / ciendo que el análisis sea semicuantitativo. Aspectos a considerar en la aplicación de la metodología 1. pueden pasarse por alto fallos y consecuencias. 2. como veremos más adelante. No considera combinaciones de fallos coincidentes o en secuencia. . 2. Muy aplicable para el análisis de sistemas de control de procesos.108 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Aplicable a distintas etapas de proyecto y a la operación de plantas existentes. Idoneidad 1.. :j.  % . +# ' $'. Una de las principales ventajas del método es su sistematización. si bien requiere un cierto grado de conocimiento tanto de la planta y del proceso. como del método en sí. y es un proceso más lento que los analizados anteriormente. 6.6.3. El equipo deben formarlo de 1 a 3 personas. que permite determinar los diversos factores que contribuyen a los accidentes. FTA) es una herramienta muy utilizada en los análisis sobre la seguridad de sistemas o elementos en plantas químicas. ANÁLISIS MEDIANTE ÁRBOL DE FALLOS (FTA) Introducción El análisis mediante árboles de fallos (fault tree analysis.  '$' 'P.   . Descripción + 4$R.' &  tareas a realizar.  ' .  '$'P. . ' . . '$  $' $K. P top event). se llegan a determinar mediante un proceso inductivo los sucesos básicos o iniciadores. así como las diferentes formas secuenciales que  '$/ $ 4 '$'&'' /3 . $. ' '$P $#  lugar. La interrelación entre los diferentes sucesos y sus causas se establece de forma #P.  ' $ ' &# &   &#'. /3 . ''$ '' + 4$ '$$ '  & &'' 3 . $. ' '$P .  /. ' & &'' . . ' . &'. '$'P. . En la Tabla 6. dos.3 se recogen los símbolos lógicos más empleados en el análisis FTA. Procedimiento de aplicación D '$ .3. Símbolos lógicos más usuales en FTA.Análisis de riesgos de procesos Tabla 6. P K6L7 . ). etc. fallo de un gran compresor. Conviene listarlos todos antes de pasar a sucesos intermedios y básicos. Ejemplos: explosión de un recipiente a presión (depósito. Q/  ' / pero los más fáciles de intuir y de obtener de la experiencia o de un banco de datos. reactor. explosión e incendio en un horno. etc. Cada 109 . Establecer y listar los sucesos intermedios (SI) y básicos (SB) mediante el camino inductivo y las preguntas: — ¿Por qué ocurre el SF?: sucesos intermedios y básicos. — ¿Son alternativos?: puertas OR. SF será la cabecera de un árbol de fallos independiente. explosión. 3. Utilizando los símbolos de la tabla 6. A efectos . 2. Posteriormente cabe la posibilidad de agrupar los árboles de fallos tomando como nuevos SF los accidentes fundamentales (emisión.. — ¿Son concurrentes?: puertas AND.3.) para componer la probabilidad (cuando se haga análisis cuantitativo según veremos) de cada uno de dichos accidentes fundamentales. incendio. Dibujar el árbol de fallos. etc.110 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. relaciones efectocausa. lo que afectaría negativamente a la calidad del árbol y de su análisis.. Conviene actuar en pasos cortos para no saltar sucesos intermedios y puertas. '  .  $ K. '$ 'P L. Será interesante P' $4 ' '. No conviene ahorrar el empleo de actividades intermedias: intercalarlas siempre entre puertas. letras y los sucesos básicos con números. '. ' . 3. 2.)83'7$''co. mediante el álgebra de boole o mediante el método matricial y el empleo de ordenadores que facilita la aplicación y cálculo del árbol. detectado nor  $ $ 4$ $4. La preparación y análisis de árboles de fallos hace que los analistas obtengan un conocimiento muy profundo del proceso. Facilita el establecimiento de prioridades para proponer y ejecutar mejoras. 4. permitiendo comparar alternativas. Genera recomendaciones de mejora muy concretas. Muy útil para el análisis complejo de un accidente posible. así como de sus puntos fuertes y débiles en lo relativo a la seguridad. Permite y prepara un análisis cuantitativo detallado posterior. Ventajas de aplicación de la metodología 1. Se determinan los conjuntos mínimos de fallos (cmf). 4. '.   . ''$'P. . Pueden no detectarse fallos (SI o SB) que quedarían sin considerar. 4.''# Aspectos a considerar en la aplicación de la metodología 1. relaciones-causa-efecto y/o puertas incorrectas. 3. Siendo una técnica binaria (considera posibilidades sí/no) no tiene en cuenta . 2. Requiere mucho tiempo: esto puede aliviarse mediante el empleo de programas de ordenador. etc. Pueden darse errores en la lógica del árbol: no considerar fallos intermedios. siendo tal velocidad determinante en que un evento sea peligroso o no. Idoneidad Al ser un sistema tan complejo y que analiza con tanto rigor el fallo.Análisis de riesgos de procesos la velocidad a que puedan producirse los acontecimientos. es especialmente útil para el análisis detallado de accidentes posibles. :j.  % . incluido un especialista en la metodología de análisis. Se hace de importancia capital el uso de herramientas informáticas. 4. ET) evalúan las posibles consecuencias asociadas al fallo en un equipo o alteración en el proceso. Así como los árboles de fallo utiliza&  $. 1. El tiempo dedicado por Suceso Final es importante.7. de forma que analizar todos los posibles accidentes mediante esta técnica sería muy costoso en tiempo y medios. 6. 2. 3. Necesidad del paquete completo de ingeniería básica y de detalle del sistema.3. Equipo analista multidisciplinar. ANÁLISIS MEDIANTE ÁRBOL DE SUCESOS Introducción Los árboles de suceso (event tree. . 'K  $' . . '$P /'$'#  '&. determinan sus posibles consecuencias).  L/ los árboles de suceso utilizan un análisis que va hacia adelante (a partir de un suceso básico iniciador (SB). Los árboles de sucesos establecen los posibles desarrollos de accidente que segui PQ /3# $''     '$'P.  '& consecuencias que resultan tras un fallo. Asimismo. su utilización permitirá conocer 34 . . '$. ' / ). $ $P. /  #    $' T'. . ''. ' /3'3.  '  '$'P. . Procedimiento de aplicación 1.' escenarios. $'P. . '. &'. ''. ' K6<L+$' . accionamiento. rodete. Cada suceso básico iniciador relevante será la cabeza o suceso capital de un árbol de sucesos separado. 111 . lubricación. etc. 2. Aplicación de la disyuntiva (sí/no o fracaso/éxito) al suceso básico capital del árbol.). sellos.$  los elementos del equipo (de proceso y de control) se contesta a las preguntas ¿Qué puede fallar de este elemento y de cada una de sus partes? (Ejemplos: en un compresor: válvula de seguridad. etc. sobre cada una de las alternativas de la disyuntiva.112 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. '.. 3.). 4. Deducción del suceso intermedio. rotura de eje. cuando haya lugar (ejemplos: ignición. . ' . $. '. ' $K L3']'&. [Ejemplo: ignición (sí/no)-detección (sí/no)-alarma (sí/no)-actuación DCI (sí/no)extinción (sí/no). parada de emergencia. ($ . 5. etc.). alivio mediante dispositivo de seguridad. intervención humana o automática derivada de aquélla.] 6.   $nativa de las disyuntivas establecidas en 2 (ejemplos: alarma. Aplicación de la disyuntiva (sí/no o fracaso/éxito) a cada suceso intermedio y/o factor condicionante dispuesto en secuencia lógica de ocurrencia. '#P. 7. &'. K6<L/. '$ 'K6L/ . tores condicionantes (FC) formando el árbol de sucesos. 7. +O . '. $'. Si aparecen: aplicar 3. $  ')$' P'   ' ) 6 y más FC que deban tenerse en cuenta en el análisis. Si no aparecen: las disyuntivas últimas determinan  . 4. 5 y 6 como sea oportuno. . . Requiere mucho tiempo: esto puede aliviarse mediante el empleo de programas de ordenador (sobre todo cuando el análisis sea cuantitativo). Establecimiento y análisis de las consecuencias. 4.' P  '' 8. SI. Una consecuencia puede ser: “sin consecuencia”. Idoneidad Sistemas complejos de procesos incluyendo muchos aparatos. con los que conviene repetir el análisis para observar la sensibilidad (resultado. Ventajas de aplicación de la metodología 1. Puede haber errores en la lógica del árbol. Puede no detectar fallos (SB. Permite y prepara un análisis cuantitativo ulterior. Las mejoras se traducirán en nuevos FC. . Aspectos a considerar en la aplicación de la metodología 1. 9. Los analistas ganan conocimiento detallado del equipo y del proceso. 2. 3. Genera recomendaciones de mejora muy concretas (y de alcance medido si se hace el análisis cuantitativo). etc. sobre las consecuencias) del árbol a las medidas recomendadas. FC) que quedarían sin considerarse. Determinación y registro escrito de las recomendaciones derivadas del análisis. equipo para control y alarma. operadores humanos. 3. El árbol es más sencillo de establecer y analizar que los de fallos. Muy útil para determinar las diferentes hipótesis de consecuencias a las que puede dar lugar un accidente determinado. instrumentos. 2. o en la eliminación de FC anteriores. 5. Análisis de riesgos de procesos :j.  % . ESTUDIOS DE RIESGOS Y OPERABILIDAD (HAZOP) Introducción Los estudios de riesgo y operabilidad (HAZard and operability studies. HAZOP) . 6.8. lo que hace que sean técnicas aplicadas a sucesos concretos. Al igual que para el caso de los análisis mediante árboles de fallos. tanto los medios materiales como humanos necesarios son abundantes.3. $'$)  $4. '.  $. $    '$'P. '# . '    $ . R $ '$'P.  '&' .  3#'.'$  las condiciones de diseño que pueden darse en una planta química.  $4. '. '$'P. . ''#  . Descripción El equipo sigue. una estructura analítica por medio de un conjunto de palabras guía para examinar desviaciones de las condiciones normales de proceso en varios puntos clave (en adelante NODOS) a lo largo del proceso. presión. Estas palabras clave son aplicadas a los parámetros más relevantes del proceso (por ejemplo. su uso se ha extendido a la mayoría de las fases de desarrollo de una instalación. ha hecho que en los últimos tiempos sea. composición) con el objeto de '$'P. dentro de un proceso de brainstorming. la técnica de análisis de riesgos en procesos más utilizada. El claro desarrollo de su metodología y su versatilidad a la hora de aplicarse a cualquier tipo de instalación industrial. temperatura. sin duda. desconocidos. fue presentado por primera vez por ingenieros de la ICI Chemicals en el Reino Unido a mediados de los años 70 y comprende la investigación de posibles desviaciones frente a las condiciones de diseño para las líneas y elementos pertenecientes a una determinada unidad de proceso. caudal. en los que el diseño o la tecnología empleada era nueva. El método HAZOP (HAZard and operability study). fundamentalmente en el campo de la industria química y petroquímica.  .  ). . . '  ' . '$  $.  . $  '$'  $/ '$'P. . '. . . '  deseadas (o inaceptables) dan como resultado recomendaciones para mejoras del . +$ '. ' 'P. . ''J/''. ' '$/ 'P. . ' .  $ . '. '$ /$' '. ' /$. A continuación se indican los términos más usados en la metodología del análisis HAZOP:  $. Las sesiones HAZOP se recogen en tablas HAZOP. en las que se anotan los distintos NODOS analizados. P. . K$ . 113 . 3'  L que se evalúan posibles desviaciones del proceso. ..         .114 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. sedimentación) y/o cuantitativamente por medio de parámetros del proceso.  : descripción de cómo se espera que se comporte el proceso en un determinado nodo. Suele describirse cualitativamente como una actividad (por ejemplo alimentación. como temperatura. reacción. caudal. presión. etc. composición.   . temperatura. etc.   el parámetro relevante para la(s) condición(es) del proceso.  palabra que representa la desviación de la intención. e inverso. más baja. Además. parte de. diferente.  forma en que las condiciones del proceso se alejan de su intención. presión. por ejemplo. más alta. demasiado tarde. las últimas principalmente para procesos de tipo discontinuo. Las palabras guía se aplican de manera independiente a los distintos paráme$/. etc. palabras clave como demasiado pronto. Las más usuales son: no.. también se usan. composición. en lugar de. &Q$'$'P. ' . Pueden '$'P.''  /'&/pecto de la intención.  la(s) razón(es) por las que podría ocurrir una desviación.  ' .      ' ' . '   .  .  los resultados de la desviación en caso de que ocurra. por ejemplo. tal como parada de la planta o pérdida de calidad del producto. a su vez. Pueden asociarse varias consecuencias para una misma causa y. Es posible distinguir. Instalaciones que previenen que ocurra una desviación. entre otros. Medios destinados a detectar la desviación. Incluyen. cinco tipos de protecciones: 1. Las consecuencias pueden abarcar tanto riesgos asociados al proceso. 2. la instrumentación de alarma y detección o la supervisión por parte de operadores. como problemas de operatividad. Un ejemplo para ello es el establecimiento de un blanketing de gas inerte para el almace '$$ . Normalmente son una parte integrada dentro del control del proceso.  instrumentos o protecciones del sistema que pueden ayudar a reducir la frecuencia de ocurrencia de la desviación o mitigar sus consecuencias. 3. sistemas automáticos de control que reducen la alimentación a un depósito en caso de sobrellenado (aumento de nivel). en principio. una sola consecuencia puede ser originada por varias causas. Instalaciones que compensan la desviación. . Estas instalaciones están a menudo enclavadas con varias unidades del proceso. 5. Comprenden. Instalaciones que alivian al proceso de la desviación peligrosa. por ejemplo: válvulas de seguridad (PSV) y sistemas de venteo. tal como el disparo de una actividad. y controladas por computadores lógicos. Instalaciones que previenen un agravamiento de la situación como consecuencia de la desviación.' '] & 4. Análisis de riesgos de procesos    .  .   . $'' '$'P.   $ ''%»WG   #' '$ . ) $   'P. . '  Q  $4. '. de señalización o de emergencia.  3 afecten a los sistemas de control. a las condiciones de diseño de líneas y equipos. o a los procedimientos y documentación . '$ /'' .   . '$'. P. Procedimiento de aplicación El procedimiento consiste en un estudio sistemático y estructurado llevado a cabo por un equipo multidisciplinar de profesionales liderados por un coordinador. de  '$  .$     cualquier aclaración a hacer a las recomendaciones o a aspectos surgidos durante las sesiones HAZOP. '3'3')  /. '/$. P. donde se van a evaluar las correspondientes desviaciones. Esto se lleva a cabo mediante la aplicación de una lista de palabras-guía. proceso o NODOS. cuyo '#'P.  R & A@/ . Q$  $. inversión de reacción química. PALABRAS GUÍA NO SIGNIFICADO NEGACIÓN O AUSENCIA DE LAS ESPECIFICACIONES DE DISEÑO MÁS MENOS AUMENTO O DISMINUCIÓN CUANTITATIVA Se reere a variables de proceso como caudal. temperatura. viscosidad. PARTE DE DISMINUCIÓN CUALITATIVA Se realiza solamente una parte de la función deseada. Tabla 6. MÁS DE o ASÍ COMO AUMENTO CUALITATIVO Si bien se realiza la función deseada. presión. DE OTRA FORMA SUSTITUCIÓN COMPLETA DE LA FUNCIÓN DESEADA De la combinación de las palabras guía con cada uno de los parámetros se obtienen las desviaciones frente al comportamiento normal que el método pretende evidenciar.).4. etc.). concentración. ratio de reacción. reaccionar. INVERSO OPOSICIÓN A LA FUNCION DESEADA Ulizable preferentemente para acvidades (ujo de retroceso. 115 . presión. pH. entre los que pueden encontrarse ujo.  analizar. o a acvidades (calentar. nivel. temperatura. fase o tiempo de residencia. agitación. junto a ella ene lugar una acvidad adicional. etc. Signicado de las palabras guía. causas. se obviará más pérdida de tiempo. por lo que los NODOS deben elegirse de forma que con ellos queden englobados todos los modos de operación o intención. Es necesario precisar que el estudio debe comprender. consecuencias. salvaguardias y recomendaciones deben quedar por escrito en un formato como el ilustrado en la Figura 6. Ahora bien. que aun disponiendo de salvaguardias impliquen un riesgo. y le será asignada por el coordinador de estudio a un miembro del equipo de trabajo. Las consecuencias entrañan riesgos menores o medianos: consideración de esta desviación en la etapa siguiente. así como las salvaguardias que el proceso dispone para evitar la causa o mitigar las consecuencias. se investigan deductivamente las consecuencias posibles de la desviación. En el caso de que la consecuencia no entrañe ningún riesgo. se investigan mediante un proceso inductivo las causas que pueden provocar esa desviación en el NODO en ese modo de operación o intención.4. o bien se anotará que no tiene consecuencias. Finalmente. Las consecuencias entrañan riesgos mayores: consideración de esta desviación en la etapa siguiente. tal y como se indicó anteriormente. para aquellas consecuencias. llegaremos a una de las tres posibilidades siguientes: ^ ^ ^ Las consecuencias no entrañan riesgo: descartar la consideración de esta desviación en concreto. será necesario adoptar acciones correctoras o recomendaciones que de alguna forma palien la consecuencia o la causa. todos los estados o modos de funcionamiento de la Unidad.116 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. desviaciones. como operación normal. que quedará encargado de contestarla e implantarla. Las recomendaciones deben ser consensuadas entre el grupo de trabajo. Para esa causa. arranque y parada. Establecidas las desviaciones objeto de consideración... En ese caso. . Modelo de tabla HAZOP. Esta secuencia operativa deberá repetirse con todas las palabras guía. parámetros y desviaciones.4. para cada NODO/)P  $  $NODOS de la Unidad a analizar.Análisis de riesgos de procesos Figura 6. 117 . En algún caso (método FMECA) se mezclan la estimación completamente cuantitativa de la probabilidad con la semicuantitativa (índices globales) de la severidad.5.. Estas pueden ser de disposición general.4. 6. Una secuencia lógica de trabajo puede verse en la Figura 6..118 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Figura 6.5. . Secuencia operava de un Estudio Hazop. METODOLOGÍAS SEMICUANTITATIVAS Se trata de técnicas de análisis críticos que emplean índices globales del potencial de riesgo estimados a partir de las estadísticas. o procedentes de la experiencia de las compañías en el diseño y la operación de plantas semejantes a las que se trata de enjuiciar. Análisis de riesgos de procesos Estos métodos suelen conducir a conclusiones comparativas: ^ ^ ^ ^ ^ Entre distintas plantas existentes. +$'$ . '/  '  $ / $)4 'P. . +$.' ampliaciones. 4. si fuese preciso. ANÁLISIS DE RIESGOS CON EVALUACIÓN DEL RIESGO INTRÍNSECO Introducción El objetivo fundamental de esta técnica es facilitar una auditoría sistemática y semicuantitativa de instalaciones químicas existentes.1. también procedentes de la experiencia. solicitando. Participan del análisis preliminar de ries# )   '' ' $ '$   .'$''#'  ' P Entre alternativas de diseño dentro de un mismo proceso. Entre cualquiera de los anteriores y unos valores. Descripción Existen varios métodos de esta naturaleza. análisis parciales más profundos de algunas secciones o determinar qué secciones pueden ser objeto de mejoras. 6. que se consideran aceptables. 3  '.   . P. que se emplea para evaluar el riesgo de '. originado por Gretener.'$ para la elaboración semicuantitativa de un índice de riesgo intrínseco que permite hacer comparaciones relativas entre diferentes plantas o entre diferentes unidades de una planta. Hay un método. ''P. '/ ' ' $'$$- . Procedimiento de aplicación 1. y otros muchos. Dicha guía incluye un cuestionario para información o comprobación de numerosos aspectos relacionados con la seguridad de las instalaciones. Evaluación de los índices globales (IGR). se realiza una valoración semicuantitativa basada en una puntuación o índice individual de riesgo. peligrosidad del proceso. Posteriormente. Cumplimentar los cuestionarios para evaluación (Anexo I de la Guía): marcar cuadrados. 119 .' 6#' %'#' Trabajo ha desarrollado y publicado una metodología de este tipo denominada Índices de procesos químicos: guía de autoevaluación. como peligrosidad de las sustancias químicas. 2. utilizando las ecuaciones dadas (Anexo II) para cada capítulo. Asignación de los índices individuales (IIR) dados (Anexo II) para los cuadrados marcados. 3. y combinando todos ellos tal y como indica la guía se llega a obtener los índices globales de riesgo (IGR) para cada capítulo analizado. 5.. 4. Revisión de los capítulos con IGR altos para detectar las contribuciones más '#'P. Enjuiciamiento por capítulos según criterio establecido..120 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. $'  6. *P'. 5.Peligro inminente 4 . EFECTOS Y CONSECUENCIAS (FMCEA) Los análisis de modos de fallo. ya que a cada modo de fallo se le asigna un nivel de criticidad.' Q  Ventajas de aplicación de la metodología 1. Proporcionan demostración del cumplimiento de las regulaciones de referencia. Simple. EFECTO NIVEL DE CRITICIDAD . Idoneidad Principalmente para el enjuiciamiento. barato y controlado. ANÁLISIS DE LOS MODOS DE FALLO.4. Los niveles de criticidad se pueden establecer mediante criterios subjetivos del equipo de trabajo.Ninguno 1 . Aspectos a considerar en la aplicación de la metodología 1. No entra en las entrañas de los procesos. Alcance limitado a lo incluido en las comprobaciones.5.2. Buen adiestramiento de responsables de seguridad e higiene en las plantas. Niveles de cricidad subjevos. 3. Directo a causas importantes. 2.Importantes perturbaciones 3 . efectos y criticidad (failure mode. La diferencia fundamental entre ambos métodos es el tratamiento semicuantitativo que se realiza en el FMECA. como el establecido en la Tabla 6. 2. Tabla 6. 4. auditoría y mejora en plantas existentes. desarrollándose de forma similar.Leves perturbaciones 2 . 6. effects and criticity analysis) se harán en los mismos principios que el análisis ya visto FMEA. mediante la aplicación de una matriz como la mostrada en la Tabla 6. Índice de cricidad. Severidad Probabilidad 1 2 3 4 5 1 1 2 3 4 5 2 2 4 6 7 8 3 3 6 7 8 9 4 4 7 8 9 10 5 5 8 9 10 10 Donde: ^ ^ 6' 7 D $ $P.6: Tabla 6.Análisis de riesgos de procesos Otra posibilidad es establecer el índice de criticidad en función de la severidad y la probabilidad de ocurrencia del fallo.6. K . . Sin daño. 5. Muy baja. G& &'' 7 1. débiles y la idoneidad del FMECA es similar a la de los FMEA. 6. de acuerdo con la bibliografía y los datos existentes. ÍNDICES DE RIESGO *$    $4. Evidentemente. Los puntos fuertes. Baja. 2. 4. 3. Bajo (daño ligero).'$# L 2. así como el daño causado. por ejemplo. la aplicación de estos modos de evaluación del índice de criticidad pueden combinarse con datos probabilísticos de fallos de dichos componentes. Moderada.4. en pérdidas monetarias. 5. Alta. Media (daño moderado). Alta (daño nuevo).3. 3. expresado este. 4. Media. '.   '$'P. . '  '#/ $   #  ' $ . Estos.'  aquéllas basadas en los denominados índices de riesgo. mediante la utiliza. '$ ' . P. '$/'$ .  . $$'. 121 . determinan qué equipos o unidades presentan unos mayores niveles de riesgo. las condiciones de operación y las medidas de seguridad instaladas. 'grosidad de las sustancias involucradas. ..122 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Las técnicas más representativas se corresponden con las siguientes: ^ ^ ^ ^ Z'. *9'. con objeto de centrar en ellos las medidas de protección. o método Fine.')O' Índice Mond. 6 $'' . Método del grado de peligrosidad. El propósito es establecer un ranking relativo del riesgo sobre los equipos de una instalación industrial. Método de subselección. '   'J    '$'P. dan información sobre qué equipos dan lugar a mayores niveles de riesgo.        & + operación. '. *9). $  ) . +$ $'. Las herramientas fundamentales de estos métodos son: ^ ^ ^ La lógica matemática: estructuras lógicas y relaciones entre sus elementos.5.  $ 6. METODOLOGÍAS CUANTITATIVAS Son técnicas de análisis críticos que incluyen estructuras y cálculos para establecer la probabilidad de sucesos complejos (siniestros) a partir de los valores individuales de la probabilidad de fallo que corresponde a los elementos (equipo y humanos) implicados en los procesos (industriales en nuestro caso). . . ' . . $  % .'  )P &'' 3' Cálculos de probabilidades de interacciones entre sucesos. así como su utilidad para conectar el origen y destino del accidente. W$ 'P. Por una parte hay diversidad de elementos y equipos con características variadas. Por otra parte hay una gran diversidad en los tipos de averías. \ j  ! La gran potencia de los métodos cuantitativos. Tales diversidades complican el tratamiento probabilístico de los datos. se ve ensombrecida cuando hay que alimentar los modelos con datos relativos a las probabilidades de fallos. $ $'& /. . . $ '$' 3 '. No obstante. En la interpretación de los datos probabilísticos. electrónico. siempre surgen las mismas preguntas: ^ ^ —+ '3''# P &3 & &'$'.) que cabe aprovechar en nuestro campo de interés. hay datos procedentes de otros sectores (nuclear. /3 ) mucha cantidad de datos y en que la calidad de los mismos puede verse afectada por diversidad de criterios a la hora de recogerlos e interpretarlos. etc. plataformas marinas. ˜ —   Q P &''    $  $' '$˜ . Análisis de riesgos de procesos ^ —+$. '. '  $P &'' .  $.  . todo ello no hace más que ahondar en un mismo hecho: Probablemente los datos estadísticos existentes no sean totalmente aplicables al caso suyo.$  no desarrollados? Evidentemente. . )P &3' k. > %. puede considerarse que todo componente. tras un período de tiempo $ ' /  /P'4$   '#'$. A) Elementos o sistemas que funcionan de manera continuada Para ellos.< < >  .  La teoría probabilística trata de manera diferente a aquellos elementos que funcionan de una manera continua frente a los que lo hacen de forma esporádica. . P(t): probabilidad de que un componente que funciona satisfactoriamente en t=0 falle en el intervalo de tiempo de 0 a t.$7 ^ ^ Función probabilidad de fallo. . 'P &'' /(K$L7.   $ 'GK$L/. Probabilidad de fallo: P(t) = 1 . Así. se tiene: . entonces: ^ GK$L| Ot. Densidad de fallo: f(t) = Oe-Ot. si Ot < 0.e-Ot. Además.P(t) ^ Función densidad de fallos: f(t) ^ Ratio de fallo. .Fiabilidad R(t) = e-Ot (Distribución de Poisson). dado que ha funcionado sin fallos hasta ese momento (también llamada tasa media de fallo en un determinado período). O(t): probabilidad de que un elemento falle en el instante t. de forma que tanto para componentes electrónicos mecánicos como informáticos tienen rangos importantes de O = cte. ^ R(t) = 1 .001. en la zona de O(t) = cte = O. La distribución de O(t) frente al tiempo tiene una forma típica (Bath-tub curve). ^ G ½&K$L G K$L½G&K$L 123 .'/ & &''dad de que el sistema no falle en el intervalo de tiempo de 0 a t. B) Elementos o sistemas que funcionan de manera esporádica 6P '$ $ ...124 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. El concepto básico consiste en la probabilidad de fallo por demanda. /j & . Qd: probabilidad de que falle en el momento en el que se solicita la actuación del elemento. etc. & &  / #' /clavamientos.      '  .<  .  $'P. . '& / &3. ' ' Estos se componen únicamente de sucesos básicos. Para Estos. iden$'P.P2) R = R1 u R2 (<R1. considerando para dichos modos de fallo las reglas anteriores sobre cuanticación de árboles de fallo. la probabilidad de fallo del suceso nal se determina en función de las probabilidades asociadas a los modos de fallo denidos.(1 . P2) R = 1 .R1) (1 . Una vez enunciadas las herramientas. se aplican los siguientes criterios: - Asociaciones en serie (tipo OR) P = 1 .(1 . Para ellos.R2) B) Árboles de fallos para los que se hayan denido sucesos intermedios. R2) - Asociaciones en paralelo (tipo AND) P = P1 u P2 (<P1. avancemos qué resultados pueden obtenerse.P1) (1 . o si por el contrario disponen de sucesos intermedios. a los que se asocian los modos de fallo característicos del árbol: A) Árboles que no contienen sucesos intermedios. Cualitativamente podremos: esquematizar cómo se desarrolla un suceso.  $ 4&'  '$ ¨  $  ''  'J/ $.  ' $   ' 'P. . '/  /$ '    '$  . '/ .    . '  . $'. / $.    .  $'P. . se consigue .1. Mediante la aplicación cuantitativa de los árboles de fallo. ya analizada con los métodos cualitativos. el número de veces que puede esperarse que ocurra el suceso en un determinado período. 6. ANÁLISIS CUANTITATIVO MEDIANTE ÁRBOL DE FALLOS Se trata evidentemente de una metodología similar en cuanto a su desarrollo a FTA. etc.5.'/  $   $/  '$ determinar la probabilidad de fallo global. y una vez localizadas las probabilidades de ocurrencia de los sucesos básicos iniciadores.  $'P. $4 '& &'$'.  . . ' . . ' suceso nal. . y basándose en ello determinar cuáles son críticos para la instalación. ni es lo mismo que el núcleo poblado más cercano a la industria esté a 100 m o a 500 m.5.Análisis de riesgos de procesos De la misma forma. ANÁLISIS CUANTITATIVO DE RIESGOS EN EL ENTORNO Es evidente que no es lo mismo situar una planta química con riesgos en el centro de una ciudad que en un lugar aislado del campo. los sucesos intermedios y los factores condicionantes.2. + 4$   '$'P. 6. ANÁLISIS CUANTITATIVO MEDIANTE ÁRBOL DE SUCESOS También en este caso se trata de la misma metodología ya analizada en los métodos cualitativos.3.5. 6. el método permite el análisis probabilístico de los conjuntos mínimos de fallos (CMF). pero a la que se incorpora el tratamiento probabilístico a través de la aplicación de las probabilidades de ocurrencia de la disyuntiva de los sucesos básicos iniciadores. . ')  . ''#3 '$ se ha desarrollado una visión que va desde el núcleo del proceso y del equipo hacia fuera. Con todo ello se elaboran las líneas de isorriesgo. para cada suceso o accidente posible. con la letalidad de la consecuencia del accidente. Ahora es conveniente contemplar los riesgos desde fuera de la interfase planta/ entorno. la probabilidad de ocurrencia del mismo obtenida a través de sucesos cuantitativos. expresadas en probabilidades de muertes/año. El análisis cuantitativo de riesgos en el entorno se realiza conjugando. El resultado de tales cálculos determinará: a) La aceptabilidad o inaceptabilidad de los proyectos para instalaciones nue / 'P. En muchos ca/   . protección e intervención a prever en los planes de emergencia exterior (PEE). Fase de desarrollo de la planta o proceso Aunque la fase de diseño es esencial en la evaluación de riesgos. 6. operación y parada.6. también merecen atención las fases de arranque.  )8 '   b) Las medidas de autoprotección. CRITERIOS PARA LA SELECCIÓN DE LOS MÉTODOS DE IDENTIFICACIÓN DE LOS RIESGOS Los principales criterios de selección son los siguientes: 1. '$  '$'P.   '# ' $ $ $  $ .   '&/'$ . $'J) 'P. . ''.  - 125 . le seguirá un análisis detallado de la instalación tan pronto como se conozcan las condiciones principales y el diseño de las líneas del proceso. 4. 3. 2. dará lugar a los niveles . luación previa.. 5.126 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. 6. Niveles potenciales de consecuencias La evaluación de la situación más desfavorable..  '#/3Q$'P.  . . de un complicado sistema de seguridad. Dichos estudios. y de difícil realización. resultará poco efectivo. los cuales no siempre estarán disponibles. Requerimientos de tiempo y costo Aunque el tiempo y el costo no deben ser los factores más determinantes  '  '$'P. requerirán estudios en profundidad. serán rentables considerando el costo asociado a dichas medidas de seguridad. por tanto. Si un sistema está escasamente documentado. que tratar de utilizar un método más complejo del que no se tenga experiencia.'$' mayor o menor profundidad. en cualquier caso. Experiencia del personal: grado de conocimiento de las técnicas La experiencia del personal en el uso de una determinada técnica. Las plantas que desarrollen un proceso de alta complejidad. o solo está diseñado en su fase preliminar. resultará esencial para un buen estudio. y precisen. el intentar aplicar una detallada evaluación del riesgo. será más apropiado emplear un método sencillo bien conocido. En general. Complejidad de la planta o proceso El grado de complejidad de la planta o proceso podrá condicionar la elección de la técnica seleccionada. Información y datos requeridos o disponibles Algunas de las técnicas requieren un mayor volumen de datos. al centrarlas en los puntos con mayor nivel de riesgo. . ''#/.   &$   #T  . '. . $  'P. . ' '$. A este respecto.' la planta para reducir el riesgo. la mayoría de los estudios resultarán rentables si se realizan o coordinan por analistas con experiencia. . $' . '$  R & A>/ '$$4. '. '$'P. . ') evaluación. Los atributos de selección serán: ^    $ . así como los atributos en base a los que se deben seleccionar. P: Parada .A: Arranque .O: Operación .6'$'#'$7 .C: Construcción .D: Diseño . Análisis de riesgos de procesos ^ ^ ^ ^ ^ ^ : 7'P. . ' G'$'$. . 7 .P: Especialistas de planta .M: Mediana .Ql: Cualitativos .G: Globales .I: Intermedios .O: Fallos en operación .Qn: Cuantitativos .A: Alta (3' '$ 7 .Rr: Herramienta para reducir riesgos  Q' '$ 7 .H: Fallos humanos .D: Detallados (3' '$$' ).B: Baja .T: Fallos técnicos .S: Especialistas en seguridad (3' '$ $7 .C: Grado de consecuencias R') $  $ 7 . $7 .A: Altos 127 .B: Bajos .M: Moderados . .Tabla 6. 128 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. .. Selección de las técnicas de idencación de riesgos.7. 129 .6. EJERCICIO PRÁCTICO DE APLICACIÓN. ESTUDIO DE RIESGOS Y OPERABILIDAD (HAZOP) Figura 6. Caso prácco Estudio HAZOP de un botellón de proceso.7.Análisis de riesgos de procesos 6. .130 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. . Análisis de riesgos de procesos 131 . ..132 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. Análisis de riesgos de procesos 133 . 134 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. ... Análisis de riesgos de procesos 135 . . ..136 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Análisis de riesgos de procesos 137 . ...138 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Análisis de riesgos de procesos 139 . ..140 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. . Análisis de riesgos de procesos 141 . . ..142 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. al ser el mejor momento para introducir cambios o modicaciones. es fundamental el juicio de expertos en Seguridad Industrial y el apoyo de técnicos familiarizados con las operaciones y plantas involucradas. matriz causa&efecto o descripción de enclavamientos.) actualizada y acorde a la realidad de las instalaciones. Disponer de una documentación de proyecto (diagramas de tuberías e Instrumentos o P&ID. Disponer de un equipo de trabajo muldisciplinar con alta experiencia en plantas similares. procesos e ingeniería. hojas de datos de equipos. Se presenta como una de las técnicas más rigurosas y estructurada para la idencación de los peligros asociados a una planta de proceso. 143 . Para obtener una adecuada idencación de peligros y evaluación de riesgos mediante cualquiera de las metodologías presentadas en el presente capítulo. La técnica seleccionada dependerá de los propósitos perseguidos con el análisis. es muy importante considerar los tres aspectos básicos que se indican a connuación:    Seleccionar la metodología más adecuada a aplicar según las caracteríscas de nuestras instalaciones y los objevos que se persigan con el estudio. La aplicación principal de esta técnica se encuentra en la idencación de riesgos en las primeras etapas del diseño. el grado de conocimiento que se tenga de las instalaciones.Análisis de riesgos de procesos PARA NO OLVIDAR    Existe un gran número de metodologías para la idencación y evaluación de riesgos en instalaciones de proceso. así como de los datos y recursos disponibles. La metodología HAZOP es a día de hoy la más comúnmente aceptada y está recomendada por las normavas sobre seguridad funcional. dado que los resultados son recomendaciones de mejora que modicarán el diseño nal de los equipos o sistemas. en materia de seguridad. etc. CONSEJOS PRÁCTICOS A la hora de aplicar una metodología para la idencación y evaluación de riesgos en instalaciones de proceso. . METODOLOGÍA PARA LA DETERMINACIÓN DEL ÍNDICE SIL 7 Gabriela Reyes Delgado SUMARIO: +. j > /j  !  > *j  !  > *j  ! ’.  }.  H%  /. . Para no olvidar. se debe calcular este índice de seguridad. *  la Metodología para Cálculo del Índice SIL. 7. De esta forma. no solo para las SIF deP'  '#' &'. INTRODUCCIÓN De acuerdo a lo indicado en el Capítulo 4 del presente libro. una de las etapas a cubrir en el ciclo de vida de un sistema instrumentado de seguridad consiste en el cálculo del índice SIL (safety integrity level) para todas las funciones instrumentadas de seguridad (SIF) que integran el SIS de la instalación.1. Consejos ráccos. )$ /'$ &'4   3'$. En el presente capítulo se describirán las principales metodologías existentes para el desarrollo de análisis SIL. El cálculo del índice SIL se realiza aplicando una metodología de análisis de riesgos basado en los resultados del estudio HAZOP y siempre de acuerdo a las metodologías que se recogen en la normativa sobre seguridad funcional. dentro del ciclo de vida del SIS. las cuales se pueden dividir en: ^ ^ ^ $# . El desarrollo de un estudio HAZOP se debe elaborar. nuevas como consecuencia del análisis de riesgos (típicamente un estudio HAZOP) desarrollado para el proyecto en cuestión. de forma previa al cálculo del índice SIL.  '$ $' KP. '#/#T+ :ADHDDG $Xxo E y Matriz de riesgo. según Norma ANSI-ISA-S84 e IEC-61511 Parte 3 Anexo C). $#   '.  '$ $'  KP.   '# . según IEC-61511 Parte 3 Anexo F). '& / #T + : 61511 Parte 3 Anexo D). son las propias normativas las que indican . Aunque las normativas sobre seguridad funcional recogen varios tipos de metodologías para el cálculo del índice SIL. Metodologías semicuantitativas (Análisis de las capas de protección. Su obQ$''.. 7. METODOLOGÍAS CUALITATIVAS Se tratan de técnicas de análisis crítico que no recurren al análisis numérico.2.146 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. que debe ser a nivel de cada compañía donde se determine la metodología a aplicar así como los criterios para la selección de los distintos parámetros. ' '$'P. como base para otros semicuantitativos/semicualitativos o cuantitativos.1. es importante la calidad de los primeros. Causas: orígenes o fuentes de los riesgos. A continuación describiremos dos de los métodos cualitativos más frecuentemente utilizados: 7. muchas veces. GRÁFICO DE RIESGO   '. 7 ^ ^ ^ Riesgos.2. Dado que los análisis cualitativos sirven. Efectos: incidentes y accidentes cuando se materializan los riesgos. . ' $ $#   #P. 3. # - + :ADHDDG $XO+)3$   '# >D+'. P#  O Z'. 6 .    $'    K3.  'P. Gráco de riesgo calibrado según IEC 61511. Figura 7. \D a AK8). Parte 3 Anexo E. Índice SIL.1. . 1 se detalla la relación existente entre el Índice SIL de acuerdo a dicha normativa. SIL NORMAS IEC-61508/61511 SIL NORMATIVA ALEMANA AK1 SIL 1 AK2/AK3 SIL 2 AK4 SIL 3 AK5/AK6 SIL 4 AK7 AK8 +'.Metodologías para la determinación del Índice SIL Asimismo. Tabla 7. en la Tabla 7. Relación índice SIL normava alemana y estándares IEC-61508/61511. y el correspondiente según las normativas IEC61508/61511 que consideran el índice de 1 a 4.1. 6$ '   $''. #P. /   .  '$ tiva los siguientes cuatro parámetros: - - - - Consecuencias (C) ^ D7* J '  ^ B7* J'8 $     ^ X7$ '   ^ @7$ .   Frecuencia o tiempo de exposición (F) ^ D7( . O$  '# ^ B7. $  $  '# Posibilidad de evitar el evento (P) ^ GD7G'&$ '  . '. $ . '  ^ GB7 '' '& Probabilidad de ocurrencia del evento (W) ^ ¾D7G. & & ^ ¾B7G& & ^ ¾X7)& & 7. véase Figura 7. Para el uso de esta metodología. la matriz de riesgos se trata de una matriz tridimensional que adicionalmente a la valoración de la probabilidad de ocurrencia y la severidad de las consecuencias.2. considera: 147 . MATRICES DE RIESGO La aplicación de esta metodología consiste en la valoración cualitativa de la probabilidad de ocurrencia de un accidente y de la severidad de sus consecuencias.2. podemos emplear las matrices de riesgo que se recogen en la Norma ANSI-ISA-S84. o en el estándar IEC-61511 Parte 3 Anexo C. como tercer eje. para obtener mediante el uso de una matriz de riesgo el índice SIL asociado.2.3. Para ambos casos. véase Figura 7. .148 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. ^ ^ La efectividad de los sistemas de protección. Norma ANSI-ISA-S84. -T   ..    $. . ' '. )  66 3    .  'P. 2. PROBABILIDAD CLASIFICACIÓN CUALITATIVA VALOR NUMÉRICO TIPO DE EVENTOS Un fallo o serie de fallos con una probabilidad muy baja de que se produzcan dentro del empo de vida esperado de la planta. Tres o más fallos simultáneos de instrumentos o humanos. . Frecuencia de la probabilidad de eventos peligrosos (sin considerar las PL). MEDIA 10-4 < F < 10-2 / año EjemplosZ 1.  estándar IEC-61511. Un fallo que cabe razonablemente esperar que se produzca dentro del empo de vida esperado de la planta. El estándar IEC-61511 Parte 3 recoge unos criterios para la estimación cualitativa de la probabilidad de ocurrencia y severidad de las consecuencias que se detallan a continuación: Tabla 7. Fugas de proceso. Dos o más fallos simultáneos de instrumentos o humanos. Combinación de fallos de instrumentos y errores de operadores.2. 3. 2. Un fallo o serie de fallos con una probabilidad baja de que se produzcan dentro del empo de vida esperado de la planta. Fallos únicos de instrumentos o de válvulas. BAJA F < 10-4 /año EjemplosZ 1. Fallo espontáneo de depósitos o recipientes de proceso. Errores humanos que pueden dar lugar a escapes de productos. ALTA 10-2/año < F EjemplosZ 1. Fallos únicos de pequeñas líneas o accesorios de proceso. 2. 3. Figura 7. Grave Daños de equipos. Parada de un proceso durante largo empo. Daños temporales para el personal y el ambiente. Daños graves para el personal y el ambiente. Índice SIL. 149 . CLASIFICACIÓN DE LA GRAVEDAD IMPACTO Muy grave Daños de equipos a gran escala. Sin parada del proceso. Criterios para clasicar la gravedad del impacto de los eventos peligrosos. Consecuencia catastróca para el personal y el ambiente.Metodologías para la determinación del Índice SIL Tabla 7. Menor Daños de equipos.2. Parada corta de un proceso. Matriz de riesgo según ANSI-ISA-S84.3. . de forma semicuantitativa o mediante índices globales. a los cuatro parámetros C. Índice SIL. F. GRÁFICO DE RIESGO CALIBRADO La aplicación de la presente metodología consiste en calibrar o dar valores.. P y W del #P. 7.1. Matriz de Riesgo según IEC-61511 Parte 3 Anexo C. Estas pueden ser de disposición general o procedentes de la experiencia de las compañías en el diseño y la operación de plantas semejantes a las que se trata de enjuiciar.150 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.3. 7.3. METODOLOGÍAS SEMICUALITATIVAS Se tratan de técnicas de análisis críticos que emplean índices globales del potencial de riesgo estimados a partir de las estadísticas. Figura 7.3. '#K4  $ >BD$. $LG   $ ' . ' de estos parámetros se considera que la función instrumentada de seguridad que   .  'P. O'$$. ' '$ Esta metodología consiste en la selección de categorías para los parámetros de  #P. '#+$ &$' #P. Este riesgo inicial se podrá reducir bien mediante las capas de protección independientes (IPL) ya existentes o bien (el resto) mediante la función instrumentada (SIF) en estudio. nos indica cuántos órdenes de magnitud se está por encima de lo aceptable. Es decir. +'.  reducción de riesgo (RR) necesaria para cumplir con el criterio de aceptabilidad de riesgo. 6 '#  .  6 '. ' $$  #P.  . Metodologías para la determinación del Índice SIL (riesgo inicial) y la reducción de riesgo proporcionada por las IPL (seguridad ya existente). Los parámetros utilizados en la metodología de grácos de riesgo calibrados son de dos tipos: tres parámetros de consecuencias y un parámetro de probabilidad de . . ' $'#$P'#.  .  '7('# = Probabilidad x Consecuencias. + '# >@$  #P. '#. '& #'   que se recoge en la Norma IEC-61511 Parte 3 Anexo D.  . '& . ' #P.  //G)¾& . Reducción de riesgo. 151 . teniendo en cuenta los criterios de aceptabilidad del riesgo establecidos por dicha Dirección.4.''3 se establezca en un procedimiento en la de dirección de la empresa o compañía. mediante la determinación del número de personas presentes en la zona cuando el área expuesta al riesgo está ocupada multiplicándolo por la vulnerabilidad del suceso accidental. Figura 7. que se resumen a continuación: Consecuencias (C) Se puede calcular como el número de muertes en las instalaciones. en la Norma IEC-61511 Parte 3 Anexo D se recogen unas referencias para la valoración de dichos parámetros. Anexo D. No obstante. Gráco de riesgo seguridad personal IEC 61511 Parte 3. La vulnerabilidad (V) puede calcularse en función de la naturaleza del riesgo teniendo en cuenta los siguientes criterios: ^ ^ ^ ^ S EED73J # $ ...152 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. ' $O'. '] & S ED7# # ' '$ . ' $O'. '] & S EH7# # ' '$ . ' '] &. V=1: ruptura o explosión. '  $/ . $ & bilidad de ocasionarse un incendio o fuga de grandes dimensiones de sustancia altamente tóxica. . . ' .  'P. 01 a 0. CC: de 0.0. 7 ^ ^ ^ ^ CA: daños menores. ‰. CB: de 0.1. CD: mayor de 1.0.1 a 1. FB: frecuente a permanente en la zona de riesgo.  . Posibilidad de evitar el evento (P) ^ ^ ^ GA: se adopta este valor si todas las condiciones que se citan a continuación son verdaderas. GB: se adopta este valor si no todas las condiciones que se citan a continuación son verdaderas. Ocupación mayor de 0. Ocupación menor de 0. ^ ^ FA: raro o poco expuesto en la zona de riesgo.1.j %‹% ƒ‰„ Se puede calcular determinando el tiempo proporcional que el área expuesta al riesgo está ocupada por personas durante un día normal de trabajo.1. '. .El sistema alerta al operador sobre un fallo en el SIS.El tiempo que transcurre desde que el operador es alertado de la situación de riesgo hasta que el suceso indeseado ocurre. excede de una hora o se .Existen sistemas independientes que permiten activar el shutdown de las instalaciones para evitar el riesgo o para conseguir que el personal presente puede alcanzar un área segura.'  '#'$7 . . ' $' P. '$   '   . $ . '.  '  Probabilidad de ocurrencia del evento (W) Se puede calcular como el número de veces al año que una situación de riesgo puede . ' . ' 663$   ' .  'P.  . W3: tasa de demanda entre D y 10*D al año. G$ / '# >H$  P. W2: tasa de demanda entre 0.1*D y D al año. siendo D un factor de calibración cuyo valor debe ser establecido en función del criterio de riesgo establecido corporativamente o a nivel de dirección de la Compañía.Metodologías para la determinación del Índice SIL ^ ^ ^ W1: tasa de demanda menor que 0.1*D al año. La frecuencia de fallo se puede calcular mediante el empleo de un árbol de fallos. Gráco de riesgo medioambiental IEC 61511 Parte 3 Anexo D. Reducción de riesgo.  . Figura 7.('# '& 3 lúa las consecuencias sobre el medio ambiente que se recoge en la Norma IEC-61511 Parte 3 Anexo D.5. '& . ' P.  /G)¾& . No obstante. que se resumen a continuación: 153 .''3 establezca en un procedimiento en la dirección de la empresa o compañía. en la Norma IEC-61511 Parte 3 Anexo D se recogen unas referencias para la valoración de dichos parámetros. teniendo en cuenta los criterios de aceptabilidad del riesgo establecidos por dicha dirección. .154 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Consecuencias (C) Puede adoptar los siguientes valores: ^ ^ ^ ^ CA7.. .  J 3 )# P. '$ te grande para informar a la dirección de la planta. CB7. $ '$.  J'#'P. $' CC: escape fuera de los límites con daños importantes que se pueden remediar .  ''. . . '   '#'P. $'  CD: escape fuera de los límites con daños importantes que no se pueden remediar con rapidez o con consecuencias duraderas. G     '. . '  $ #P.   . . . '  ' &'$  )   lección de los parámetros W y P. se tendrán en consideración los estimados para el #P. #'     ' .  ''#    '# 3#P. '##'  3 T  . . . ' &  ) ' &'$/&P' '.  $'/ $ #P.   '# 3     T   . . . '  &  . $'  bienes materiales de la compañía (considerándose no solo los daños materiales de las instalaciones sino que además habrá de tenerse en consideración la pérdida de &P. '. .  $    '$  . 'L + :ADHDD'. ) #P. '#$. . ' . $'/&'. 'P.  '  ' de compañía. *$#P. '##' 34   &$  él se consigue el punto de partida para determinar la reducción de riesgo necesaria y poder alcanzar el nivel de riesgo tolerable por la instalación.  '# >A $ '. Con esto se consigue determinar la reducción de riesgo que proporcionan las otras seguridades existentes en el proceso que no son la SIF en estudio. La siguiente fase de dicha etapa sería determinar las capas de protección independientes (IPL) asociadas a cada escenario. . . '''#/. 36P  $ '  $    & $#P. '#/ nos la suma de los créditos asociados a cada IPL. Para calcular estos créditos. a cada G . ' '. 4'$' '  &$'#P. 2. Varias causas pueden conducir al mismo evento peligroso. varios escenarios de evento pueden iniciar la acción de una IPL. una reacción de embalamiento. Independencia: una capa de protección se considera IPL si es independiente $ $ $ . tal como vimos en el Capítulo 3: 1. Especicidad: una IPL se diseña exclusivamente para prevenir o atenuar las consecuencias de un evento potencialmente peligroso (por ejemplo.'# Recordemos las propiedades o requisitos que deben cumplir las salvaguardias para poder considerarlas IPL. o un incendio). escape de producto tóxico. y por tanto. una pérdida de contención.  $. . ' . '  . '#'$'P.  como de la SIF en estudio. . 4. Aptitud para ser auditada: está diseñada para facilitar la validación regular de las funciones protectoras. Figura 7. En el diseño se han considerado tanto fallos aleatorios como sistemáticos.4. METODOLOGÍAS SEMICUANTITATIVAS Son técnicas de análisis críticos que incluyen estructuras y cálculos para establecer la probabilidad de sucesos complejos (siniestros) a partir de los valores individuales de la probabilidad de fallo que corresponde a los elementos (equipo y humanos) implicados en los procesos (industriales en nuestro caso). ANÁLISIS LOPA O ANÁLISIS DE LAS CAPAS DE PROTECCIÓN Recordemos lo analizado en el Capítulo 3. Es necesario realizar ensayos periódicos y un mantenimiento del sistema de seguridad.Metodologías para la determinación del Índice SIL 3. 7.1. las capas de protección en una instala.6. Criterios de aceptabilidad del riesgo y reducción del riesgo por IPL. 7. Seguridad de funcionamiento: se puede contar con ella para que haga lo que está diseñada para hacer.4. '. ) P#  . &  #' (. como pueden ser el sistema de control. los sistemas de alivio. 155 . Aquéllas destinadas a introducir medidas de mitigación. la respuesta de la planta ante emergencia o la respuesta de la población ante emergencia. de protección física. las actuaciones por parte del operador y los sistemas instrumentados de seguridad (SIS). 3 dividir en: ^ ^ Aquéllas destinadas a prevenir el accidente. las alarmas críticas. como pueden ser los sistemas fuego&gas. 156 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.7. Figura7. *$  $#   ... La “Cebolla” de la Seguridad. .  Z'. evaluando el riesgo del mismo y comparándolo con el .6]Q  $  y normativas IEC 61511 Parte 3 Anexo F y ANSI-ISA-S84. Dicha técnica constituye un análisis objetivo de las distintas capas de protección de que dispone un proceso. el Análisis LOPA (layer of protection analysis) o análisis de la capas de protección se presenta como la técnica más exhaustiva por su carácter semicuantitativo. '$'  '# $ & P'    ' /    . '' '   . La metodología general para el desarrollo del análisis LOPA se detalla a continuación. si es necesario mejorar las existentes o introducir capas adicionales. ETAPA 1.    protección son adecuadas o. el análisis LOPA se presenta como una técnica que permite una comparación directa de la contribución de las distintas capas de protección del proceso a la reducción del nivel global de riesgo. por el contrario. Idencación de consecuencias  esación de su severidad Esta primera etapa tiene dos objetivos fundamentales: ^ ^ $'P. dándose una breve descripción de las seis etapas de las que se compone. Por todo ello. . '$'& .  :. . . Categorización de las consecuencias de cada par causa-consecuencia para la posterior selección de escenarios LOPA (Etapa 3) y evaluación del riesgo del .' -  $ este objetivo se desarrolla a través de un estudio HAZOP. Metodologías para la determinación del Índice SIL mismo (Etapa 6). La categorización de las consecuencias se realiza según los   $. . . ' P'. que también deben ser P' '.' '$3&Pnirse a nivel corporativo. Dicha categorización será la que determine a partir del criterio de aceptabilidad de riesgo de la compañía (véase Etapa 6) el valor del riesgo aceptable para los escenarios estudiados.   J  ETAPA 2. Seleccionar el escenario objeto de estudio -$   Q .  :. . . ' '$'P. se acude a un árbol de fallos para calcular la frecuencia del evento iniciador combinando mediante puertas lógicas varios sucesos de los cuales sí se tengan datos de frecuencias de fallos disponibles. En tales casos. ETAPA 3. en el caso de que existieran. para lo cual se dispondrá de bases de datos que recojan las tasas de fallo de los componentes del proceso. la frecuencia/probabilidad de los sucesos condicionan$) 'P. habrá que determinar. A veces. Generalmente. además de la frecuencia del evento iniciador. será el análisis SIL el que determine qué par causa-consecuencia será escenario LOPA. A nivel corporativo debe adoptarse el criterio de seleccionar como escenarios LOPA aquellos en los que se requiera una Función Instrumentada de Seguridad (SIF). Idencar el suceso iniciador del escenario  deterinar su frecuencia (en año-1) La frecuencia del evento iniciador se calcula en eventos por año (año-1).  $'%»WG&jeto del análisis LOPA dada la complejidad de este último. En esta etapa. en las bases de datos no se encuentra la frecuencia del evento iniciador en cuestión. en función del riesgo asociado a la misma. . '. ' /3. En concreto: ^ ^ Los eventos permisivos o condiciones. pero que deben estar presentes o activas para que el escenario pueda desarrollarse hasta sus consecuencias P - 4'. Consisten en operaciones o condiciones que no causan directamente el escenario.$'$)$ $3 intervenir en el escenario. $ . $   . . ' .  '/. '4  en todos los casos en los que intervienen.  'P. . '. ' G '$ Q$  . . ' . Ejemplos de Estos son la probabilidad de ignición. la probabilidad de presencia de personal en área afectada. ETAPA 4. sistema o acción que es capaz de prevenir o evitar el desarrollo de un escenario hasta llegar a la con- 157 . Idencar las IPL ue intervienen en el escenario objeto de estudio  deterinar la robabilidad de fallo en deanda (PD) de las isas Una capa de protección independiente o IPL es un mecanismo. rio a través de la probabilidad de que se den unas u otras consecuencias. etc. la probabilidad de lesiones fatales. .. secuencia indeseable (véase Capítulo 3 del presente libro para profundizar en los tipos de capas de protección).1 del presente capítulo.158 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Toda IPL debe reunir los requisitos establecidos en el Apartado 3. N  '$'P.  .  $. . 'O'$$  .  . Es importante recordar que. una función instrumentada de seguridad con un índice SIL 3 tendrá una PFD como máximo de 10-3. se debe determinar su probabilidad de fallo (típicamente. PFD).8 se observa la relación entre capa de protección y reducción del nivel de riesgo. rio. Por ejemplo. probabilidad de fallo en demanda. En la Figura 7. ETAPA 5. en LOPA solo las salvaguardias que sean consideradas IPL contribuirán a la reducción de riesgo del escenario. Figura 7. Esar la frecuencia del escenario con los datos de suceso iniciador consecuencia e IPL N  P'$  $/  .8. Capas de protección y reducción del riesgo.  .  '. .  cuencia mediante la fórmula: n fs f ie · p e · p cm – PFD i i 1 Donde: . .Metodologías para la determinación del Índice SIL fs.probabilidad de los eventos permisivos o condiciones PFDi..frecuencia del escenario fie..probabilidad de fallo en demanda de la IPL i pcm:& &''  'P..frecuencia del suceso iniciador pee. . '. Evaluar si el riesgo obtenido en la etapa anterior es tolerable según los criterios adoptados +'#P .'  ETAPA 6.  '&$'.  &' . ' . . '  . la evaluación del riesgo consistirá en la comparación de  . En el presente estudio.secuencias mitigadas (calculada en la etapa anterior) y la severidad de dichas consecuencias. . '  . . . '  '$'#  . . ' P .  '/. . sino a soluciones no instrumentadas. y en último lugar. funciones instrumentadas. válvulas de seguridad. es preferible no recurrir a ellas en primer lugar. etc. Aunque los análisis SIL y LOPA están relacionados con las funciones instrumentadas de seguridad.lada en el punto anterior con el criterio de aceptabilidad de riesgo de la corporación teniendo en cuenta las consecuencias consideradas para los escenarios objeto de estudio. el SIL resultante para la SIF en cuestión será aquél cuya PFD permite cumplir con el criterio de aceptabilidad del riesgo de la corporación. se debe decidir qué capa de protección adicional se debe implementar para eliminar esa diferencia. diques.. En este sentido. tales como: doble contención. El motivo es que Estas son más complejas y 3' . discos de ruptura. Si después de analizar las capas de protección se concluye que los niveles de riesgo considerados admisibles son vulnerados.  'P. . . si existe algo al respecto regulado.5. que incluyen: ^ ^ ^ ^ ^ La complejidad de la aplicación y de las instalaciones. Las directrices de las autoridades competentes. CRITERIOS DE SELECCIÓN DE LA METODOLOGÍA PARA CÁLCULO DEL ÍNDICE SIL Tal y como hemos expuesto en el presente capítulo. 159 . La metodología a seleccionar dependerá de muchos factores. La experiencia y habilidades en materia de análisis de riesgos. operaciones. La información disponible sobre los parámetros correspondientes al riesgo.' ) $' '$' 7. etc. La naturaleza del riesgo y la reducción del riesgo requerida. de las personas disponibles para acometer el estudio. existen diversas metodologías para el cálculo del índice SIL. seguridad. A continuación.. Nodo 1 P&ID Nº XXX Rev. Apartado 7. EJERCICIOS PRÁCTICOS DE APLICACIÓN En el presente apartado se recoge el cálculo del índice SIL para una función instrumentada de seguridad del caso práctico del Capítulo 6 del presente libro..160 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Normalmente. 12:”Instalar un transmisor de nivel independiente en el botellón de carga V1. en la Recomendación 12 del estudio HAZOP se recoge la siguiente acción de mejora (REC. se procede al cálculo del índice SIL de dicha función instrumentada de seguridad aplicando las siguientes metodologías: CÁLCULO DEL ÍNDICE SIL MEDIANTE GRÁFICO DE RIESGO CALIBRADO DATOS GENERALES DE LA SIF SIF 1 Muy bajo nivel en el botellón de carga V1. del presente libro). Muy bajo nivel en el botellón de carga V1. En concreto. Enclavamiento I-01 Referencia Análisis de Riesgo Estudio HAZOP del botellón de carga a la Unidad V1 (ejercicio prácco Capítulo 6.6. se debería considerar con mayor detalle usando un método semicuantitativo para obtener un entendimiento más riguroso de su integridad de seguridad requerida. 7. congurando enclavamiento de parada de las bombas P-1 A/B ante muy bajo nivel en el mismo”). En algunas aplicaciones se puede usar más de un método. se recomienda usar un método cualitativo/semicualitativo como un primer paso para calcular el SIL de todas las SIFs y para aquellas que se les asigne un SIL 3 o 4 en esta primera etapa.   &    . con riesgo de daños a las mismas y fuga de hidrocarburo al exterior. 1 SIF iniciada por LSLL-XX Intención del diseño Evitar giro en vacío de las bombas P-1 A/B. en el que se realiza el estudio HAZOP de un botellón de proceso V1. |j. Parada de las bombas P-1 A/B para llevar el proceso a estado seguro Otras acciones del enclavamiento no incluidas en el SIF .  .No aplicable. . / j   ƒ ausencia de salvaguardias) del fallo de la SIF en demanda 1. pues las bombas P-1 A/B se encuentran en un cubeto y se ha esmado que la fuga o escape quedará dentro de los límites y con daños menores. Fallo del lazo de control de nivel LIC-02. De esta forma.1 y se ha supuesto que pueRR DE PROTECCIÓN DEL MEDIOAMBIENTE den exisr 2 operadores presentes en la zona de riesgo. Posible fuga de hidrocarburo al exterior con generación de charco inamable. W=W2 por estar comprendida entre 10-3 y 10-2. ‰]se ha esmado la presencia de opeW W2 C CA P PB RR 1 radores en la zona de riesgo durante un empo esmado de 30 min.1. por turno. REDUCCIÓN DE RIESGO (RR) REQUERIDO SEGÚN LAS GRÁFICAS DE RIESGO (IEC-61511 PARTE 3 ANEXO D) Juscación de la elección de los paráRR DE SEGURIDAD metros para seguridad personal: PERSONAL •] ver árbol de fallos (Figura 7. C es igual a 0. instalaciones y medio ambiente. F = FA por ser el RR DE PROTECCIÓN ACTIVOS (1) factor de exposición menor de 0.9). nube inamable y daños a personas.5 horas al día (3 turnos/día). *+:–:+$Žƒ . Se ha adoptado el factor de calibración D W W2 C CC F FA P PB RR 2 igual a 10-2.Metodologías para la determinación del Índice SIL FALLO PELIGROSO EN DEMANDA Causa 1. con riesgo de giro en vacío de las bombas P-1 A/B y posibles daños a las mismas. No idencadas. (Véase recomendaSalvaguardias o Capas de Protección Indeción de este caso prácco). }]PB pues no se dan todas las condiciones indicadas en el Apartado 3. De esta forma. siendo por tanto un total de 1. 2. Juscación de la elección de los parámetros para medioambiente: W C P RR /]CA. Descenso de nivel en el botellón de carga V1. /] se ha valorado la vulnerabilidad como V = 0.2 y por tanto igual a CC. Crédito pendientes de otras IPL = 0.1.  +}„] SIL = 2-0= SIL 2 KDL-   #P. '#4'  . $'/ - + :ADHDDG $X O*. #'#T#P. $$'/&' .   J  3P '. #P. + . 3 .   J $# P'/ '.    '  3#P. #'  personal y de daños al medio ambiente. 161 . debiéndose adoptar el valor de SIL más alto obtenido. o mayor) de respuesta desde que se acva la alarma hasta que se da el giro en vacío de la bomba P-1 A/B con daños a la misma...7. COMENTARIOS La instalación de esta función instrumentada de seguridad se recomendó en el estudio HAZOP (REC. RECOMENDACIONES Es posible disminuir el índice SIL obtenido a un valor de 1. Enclavamiento I-01 Referencia Análisis de Riesgo Estudio HAZOP del botellón de carga a la Unidad V1 (ejercicio prácco Capítulo 6.1 de este capítulo.   &    .162 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. es necesario que se cumplan los requisitos para IPL indicados en el Apartado 4. del presente libro) Nodo 1 P&ID Nº XXX Rev. Adicional a esta condición. para poder considerar esta alarma como IPL en este escenario. siempre que el operador tenga empo suciente (20 min. 7. y por tanto poder darle crédito. CÁLCULO DEL ÍNDICE SIL MEDIANTE MATRIZ DE RIESGO DATOS GENERALES DE LA SIF SIF 1 Muy bajo nivel en el botellón de carga V1. 1 SIF iniciada por LSLL-XX Intención del diseño Evitar giro en vacío de las bombas P-1 A/B. mediante la instalación de un transmisor de nivel independiente (al LT-02 y al correspondiente a esta función instrumentada de seguridad) en el botellón V1. Apartado 7. con señal y alarma de baja en sala de control. 12Z_Instalar un transmisor de nivel independiente en el botellón de carga V1. con riesgo de daños a las mismas y fuga de hidrocarburo al exterior. SIL = 2 – 1 =1.con'gurando enclavamiento de parada de las bombas P-1 AB ante muy bajo nivel en el mismo”). queridas para llevar el proceso a estado seguro .No aplicable. Otras acciones del enclavamiento .Parada de las bombas P-1 A/B Muy bajo nivel en el botellón de carga V1. no incluidas en el SIF . parada corta del proceso y daños graves para el personal y medio ambiente. SIL 2 /]Grave. 163 . y por tanto poder darle crédito. 1. el SIL sería igual a 1.Metodologías para la determinación del Índice SIL FALLO PELIGROSO EN DEMANDA Causa 1. SIL 2 RECOMENDACIONES Es posible disminuir el índice SIL obtenido a un valor de 1. por estar comprendida entre 10-4 y 10-2. mediante la instalación de un transmisor de nivel independiente (al LT-02 y al correspondiente a esta función instrumentada de seguridad) en el botellón V1. (Véase recomendación de este caso prácco). instalaciones y medio ambiente. para poder considerar esta alarma como IPL en este escenario. siempre que el operador tenga empo suciente (20 min. nube inamable y daños a personas.1 de este capítulo. es necesario que se cumplan los requisitos para IPL indicados en el Apartado 4. Nº PL (incluyendo la SIF a clasicar)]1. con ries/ j    go de giro en vacío de las bombas P-1 A/B y posibles (en ausencia de salvaguardaños a las mismas. COMENTARIOS La instalación de esta función instrumentada de seguridad se recomendó en el Estudio HAZOP (REC. dias) del fallo de la SIF en 2. Índice SIL requerido según la Matriz de Riesgo (IEC-61511 Parte 3 Anexo C) W Media C Grave Nº PL 1 Salvaguardias o Capas de Protección Independientes SIL REQUERIDO Juscación de la elección de los parámetros para la Matriz Riesgo: •] Media. o mayor) de respuesta desde que se acva la alarma hasta que se da el giro en vacío de la bomba P-1 A/B con daños a la misma. 12Z”Instalar un transmisor de nivel independiente en el botellón de carga V1. con señal y alarma de baja en sala de control. Véase árbol de fallos (Figura 7.con'gurando enclavamiento de parada de las bombas P-1 AB ante muy bajo nivel en el mismo”).9). No idencadas. Se ha esmado daños a equipos. Posible fuga de hidrocarburo al exterior con generademanda ción de charco inamable. Fallo del lazo de control de nivel LIC-02. Nº PL pasaría a ser 2 y para probabilidad media y gravedad media. Adicional a esta condición. De esta forma. Descenso de nivel en el botellón de carga V1. 164 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. $&'&'#P.9. Figura 7. Árbol de fallos para cálculo de la probabilidad... 7 (1) Guidelines for Process Equipment Reliability Data. (2) Manual de Seguridad Industrial Plantas Químicas y Petroleras. . CCPS. (3) TNO. Para obtener una adecuada determinación del índice SIL mediante cualquiera de las metodologías presentadas en el presente capítulo. así como un adecuado estudio HAZOP de los procesos donde se encuentren idencados todos los escenarios de riesgo a valorar en relación a la SIF a clasicar. CONSEJOS PRÁCTICOS A la hora de aplicar una metodología para el cálculo del índice SIL en instalaciones de proceso. procesos e ingeniería. Normalmente. así como vericar la idoneidad del estudio HA ZOP de las instalaciones. se recomienda usar un método cualitavo/semicuantavo como un primer paso para calcular el SIL de todas las SIF y para aquellas que se les asigne un SIL 3 o 4 en esta primera etapa. matriz causa&efecto o descripción de enclavamientos. el grado de conocimiento que se tenga de las instalaciones. hojas de datos de equipos. Disponer de un equipo de trabajo muldisciplinar con alta experiencia en plantas similares. Disponer de una documentación de proyecto (diagramas de tuberías e instrumentos o p&ids.Metodologías para la determinación del Índice SIL PARA NO OLVIDAR    Existe un gran número de metodologías para el cálculo del índice SIL. en materia de seguridad. así como de los datos y recursos disponibles. es fundamental el juicio de expertos en seguridad industrial y el apoyo de técnicos familiarizados con las operaciones y plantas involucradas. La técnica seleccionada dependerá de los propósitos perseguidos con el análisis. etc.) actualizada y acorde a la realidad de las instalaciones. es muy importante considerar los tres aspectos básicos que se indican a connuación:    Seleccionar la metodología más adecuada a aplicar según las caracteríscas de nuestras instalaciones y los objevos que se persigan con el estudio. se debería considerar con mayor detalle usando un método cuantavo para obtener un entendimiento más riguroso de su integridad de seguridad requerida. 165 . .  !   &  .ELEMENTOS DE CAMPO DEL SISTEMA INSTRUMENTADO DE SEGURIDAD 8 Alfonso Camacho López SUMARIO: Introducción. Medida de presión. Medida de temperatura. Medida de caudal.  / <   % .  . j  j. Consejos práccos. Para no olvidar.dad. Inspección y pruebas generales de la instalación. INTRODUCCIÓN Los objetivos de este capítulo están dirigidos a facilitar conocimientos y técnicas de instalación de los instrumentos de campo.1. 8. pertenecientes a sistemas instrumentados #' 6 #   'P. ) # 3$. de acuerdo a lo indicado en la +. $ sistema de seguridad están correctamente instalados. 'P. . y se indican ventajas e inconvenientes de diferentes tipos de instrumentos que se pueden utilizar. para medir cada variable.')(3' '$6#' KSafety Requirement Specications SRS) y. De acuerdo con la industria en la que se van a utilizar. Los instrumentos e instalaciones . suministro. la selección de tipos de instrumentos puede ser distinta en función de los productos a medir. para que sirvan de guía a los técnicos que intervienen en el diseño. de las características de la instalación y de la aplicación concreta. ingeniería. montaje y pruebas de los instrumentos pertenecientes al sistema de seguridad. a los planos correspondientes. Se comentan diversos tipos de conexionado y montaje de instrumentos. Se muestran las técnicas de medida más utilizadas con cada una de las variables de proceso. Se analizan diversos instrumentos utilizados en los sistemas de seguridad. Se evalúan ventajas e inconvenientes desde los puntos de vista de la seguridad y del funcionamiento continuo del proceso. Los que van insertados en los procesos y los instrumentos que son externos al mismo. no se contemplan valores .   $''  $  $ $ 3 Q ]' $' mente limpios en estado líquido o gaseoso. Aunque en los cálculos de probabilidad de fallo a demanda y en las fórmulas utilizadas para la evaluación de los sistemas de seguridad.  $'P. &' $''$  . '/$. . Con las recomendaciones que se exponen. se puede deducir cuáles son las instalaciones que responden a los mejores criterios de seguridad y funcionamiento. '$ $  '$  ciones físicas de los instrumentos y las conexiones mecánicas más convenientes para cada caso. especialmente los que se realizan para instalaciones químicas y petroquímicas.168 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. a las condiciones ambientales de la '$  ... Los montajes de sistemas instrumentados de seguridad. debido a la alta densidad de instrumentos utilizados para la automatización. '/  '#' ]'3 ' )  .  Q' $4. Se debe evitar compartir sensores con sistemas de control. por un lado. y el mantenimiento y operación normal por el otro. así como a otros sistemas que no sean de seguridad. Si los instrumentos fueran compartidos con los 66/. o controles secuenciales también denominados automatismos.1. 8. Durante la operación de las plantas son necesarios y relativamente frecuentes los cambios de rango de los transmisores utilizados en control.1.nica de los instrumentos y sistemas que se manejan. EXIGENCIAS DE DISEÑO PARA LOS SENSORES DE CAMPO Los instrumentos sensores de campo dedicados a los sistemas instrumentados de seguridad. Se les debe exigir experiencia demostrada en la ejecución de montajes de instrumentación. como pueden ser controles batch. para no crear problemas entre la seguridad de la planta. y concretamente en plantas de características similares. para adaptarlos a las condiciones reales del proceso. deben ser dedicados únicamente al sistema de seguridad y completamente independientes de otros instrumentos de campo que estén asociados a los sistemas básicos de control de procesos. hacen necesario que la ejecución del montaje sea realizada por empresas muy especializadas. &' # .  # / 'P. ''rectamente los valores de los puntos de disparo que fueron ajustados en el PLC de seguridad. Es necesario controlar los rangos de los instrumentos pertenecientes a los SIS y    3 'P. . ' . $  '$ #'. /  3 valores de actuación en unidades reales de ingeniería continúen siendo los que se han '$'J'#  3' 'P. . '  . $ . '& Q$'P.  ).  $   Las pruebas de los sistemas de seguridad serán realizadas con personal y procedi '$. P. /).  . . ' PQ  . ' '$'$ tos de los sistemas de control se prueban cuando sus fallos afectan a la producción. ) 'P. . '). las válvulas de raíz.  $P $ .' '$'$'$ Para conseguir la independencia de los componentes del sistema de seguridad. las líneas de impulso y las conexiones mecánicas y eléctricas. se deben separar los siguientes elementos de campo: ^ ^ Los sensores. de los componentes del sistema de control.   ') .  para actuación de seguridad o disparo. . tendrán que ser aisladas con separadores galvánicos. las líneas de aire. Los sistemas de seguridad y los instrumentos de campo se deben diseñar con el concepto fallo seguro (fail safeL+$'#'P.Elementos de campo del Sistema Instrumentado de Seguridad ^ ^ ^ Los cables y multicables. u ópticos. las cajas de conexión. Las fuentes de alimentación eléctrica y sus alimentaciones de potencia. tales como separadores galvánicos asociados a las entradas-salidas y dedicados exclusivamente a los sistemas de seguridad. Las señales del sistema de seguridad que tuvieran que ser enviadas al sistema de control. los borneros de conexión y los elementos de seguridad intrínseca. están cerrados durante la operación normal del proceso. nivel o temperatura de campo. Los aparatos instalados en campo deben ser de tecnologías muy probadas. un fallo en la alimentación eléctrica. o una rotura en los cables. 3   $&$  ' tados eléctricamente y los contactos de los interruptores de caudal. en cualquiera de los componentes. una apertura en el interruptor. No utilizar sensores de nuevos diseños o técnicas sin referencias. En estas condiciones. en las conexiones eléctricas. presión. será detectado porque producirá una actuación igual a la de un fallo del proceso. para las aplicaciones de . aunque este esté normal.  3  $'' 6&'. $'P. taponamiento de líneas o el cierre accidental de la válvula de un instrumento. 6&. Una manera sencilla de detectar la discrepancia es. para poder calcular la probabilidad de fallo a demanda. fallos seguros y no seguros. Cuando se utilizan sensores de campo redundantes. Cuando se utilizan dos transmisores en redundancia para cumplir las exigencias necesarias para tener un valor de SIL aceptable. &  '   por organismos reconocidos. por ejemplo. Los elementos sensores se deben conectar directos y únicamente al sistema lógico de seguridad. producir una alarma cuando la diferencia entre la medida de uno y otro transmisor es superior a un dos por ciento. se requieren conexiones separadas para así eliminar fallos peligrosos comunes. Los instrumentos de campo deben ser instalados de acuerdo con los reglamentos y códigos aplicables localmente y con la legislación vigente. con resultados aceptables en cuanto a MTBF tiempo medio entre fallos (mean time between failure). se debe proveer una alarma de discrepancia para indicar el fallo de cualquiera de los dos transmisores. Por ejemplo. No se deben conectar a ningún otro sistema que no forme parte del sistema de seguridad. '  '$'P. . ''$ $ . ' . '$mas de seguridad. que las innova. 8.2. para diferenciarlos del resto de instrumentos.1. TECNOLOGÍAS Aunque hay una tendencia natural a asumir sin demasiadas dudas. Por ejemplo. o poniéndoles etiquetas distintas. pintándolos de otro color especial. ' $4. '.   Q 3  O'$$/  & . Se requiere 169 . #  ]O' cuando se trata de los sistemas de seguridad de las plantas industriales. 170 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Es necesario analizar la enredada maraña técnica de los instrumentos. un esfuerzo adicional de análisis. para cuestionar si todo lo nuevo es lo mejor.. o no lo es. equipos y '$ .. P# . # . ''$'#$/  .   ). con la llegada de los PLC. '  posible lo que puede ser mejor para la seguridad de la instalación. la lógica de actuación se programa en la unidad central de procesado. Esto permite que con relés electromecánicos se haga una lógica cableada. enclavamientos. y además se comienzan a utilizar señales analógicas. disparos o paradas de emergencia de la plantas industriales. Posteriormente.  $'' . en el cableado o en alguno de los relés. y hasta muy recientemente los sistemas de seguridades. Se siguen utilizando contactos libres de tensión como entradas-salidas. generalmente se producía un disparo espurio. para que ante ciertos sucesos en el proceso se produzcan unas actuaciones concretas. Con la opción del PLC. hay mayor facilidad para el manejo de muchas señales de entradas-salidas y para realizar lógicas más complejas. Desde el comienzo de la automatización y del control de los procesos químicos. las entradas y salidas se concentran en tarjetas electrónicas de diferentes tipos. y solo se veía afectada la parte concreta de la planta que se gestionaba con esa lógica. El contacto está cerrado en condiciones normales del proceso y se abre cuando se sobrepasa un valor límite preestablecido. Si había un fallo en el instrumento. se han venido haciendo con instrumentos que miden las variables de proceso y accionan un contacto libre de tensión. '$ . P# . '. G /# . presenta problemas debido a que los disparos espurios por fallos de tarjetas o CPU. pueden .'$# dos por unidades operativas que pueden funcionar de forma independiente. $   ' ' . G   . & ) 'P. . En pequeñas unidades de proceso que tienen pocos enclavamientos. Directamente generaban la actuación de un interruptor eléctrico que abría o cerraba un contacto. Hay tarjetas de entradas-salidas para una gran variedad de señales. se puede producir una alarma o una actuación de seguridad. se ha seguido utilizando lógica cableada con relés y con entradas procedentes de contactos desde presostatos. en función de que la variable estuviera por arriba o por debajo . para hacerlas independientes. vías de comunicación internas y tarjetas de entradas o salidas. con dobles o triples procesadores. Instrumentos mecánicos con interruptores En el origen. Los nuevos PLC de seguridad son redundantes. Con esta señal. Las tarjetas de entradas analógicas contienen lógica inteligente para comprobar el rango de la señal. con diseños de los canales de entradasalida a fallo seguro (fail safe) y con reconocimiento de la calidad de las señales externas. y son capaces de detectar cuándo están fuera del rango de medida. o interruptores de nivel.' los enclavamientos de las unidades de proceso que están paradas. la medida de las variables se hacía en campo con instrumentos mecánicos. y para mejorar la disponibilidad de las instalaciones. se exigen redundancias y se segregan los PLC por unidades de proceso. Por ejemplo. Este tipo de instrumentos se están utilizando a lo largo de decenas de años y las $4. y se ha diseñado para que por baja presión se abra.Elementos de campo del Sistema Instrumentado de Seguridad de un valor preajustado. La única forma de saber que estos instrumentos están trabajando correctamente es probándolos con cierta frecuencia. falla y no tiene forma de indicar el fallo cuando hace falta su actuación. Pero no proporciona ningún otro tipo de información o diagnóstico. Los interruptores se conectan en el modo a fallo seguro –contacto cerrado con el proceso en condiciones normales de operación– en estas condiciones facilitan solo un tipo de información. termostatos e interruptores de caudal. y es que el circuito esta permanentemente cerrado. Esto mismo puede ocurrir con interruptores de nivel. Si baja la presión y no puede abrir porque se queda pegado. un presostato tiene un contacto de disparo que está cerrado en la operación normal del proceso. '.  &'. . ' . . ' / $ . Actualmente.#'3 P &''  cánica y eléctrica de los instrumentos con interruptor sea muy grande. Se utilizan menos los termostatos porque el uso de termopar o termorre'$.  )$'' $ $)'$$'$']$ /   líquidos. ' ). $':$  '   '  P &). Los interruptores mecánicos de caudal .' 3 3 puede obtener con un termostato mecánico. $'' /&'   '  . ' )P &3. '#. Los contactos de los interruptores eléctricos deben ser fabricados con materiales de gran calidad. el interruptor debe ser herméticamente sellado para aislarlo del medio ambiente y con#'  O' P &'' . y las diversas técnicas que se verán más adelante. instrumentos electrónicos. la intensidad del circuito se debe limitar a pocos miliamperios. ' '$ #'$$')$ $. $'P. . se disminuye la posibilidad de fallo debido a que los contactos se queden pegados.1. se indican datos relativos a la seguridad de instrumentos.'$$*G*R/ que son conmutadores de doble circuito. con este arreglo. cuando el nivel está correcto. conectados como en la Figura 8. en el apartado de Medida de nivel. Suponiendo un interruptor con actuación por bajo nivel. G    . actuará la función de seguridad. los contactos se deben abrir y se producirá la actuación de seguridad o disparo. La posibilidad de fallo por quedarse pegados los contactos en los dos circuitos al mismo tiempo es muy remota. y con solo uno que abra. Si se conectan en serie los dos contactos (NA) de los dos circuitos del DPDT. Con esta disposición. cuando baja el nivel. Más adelante. el contacto normalmente abierto (NA) está cerrado. '  P &'' $$''$ $/ . Están instalados en intemperie y con clima lluvioso. para dar disparo por bajo caudal. que llevan funcionando una media de 25 años en distintas unidades de procesos continuos.''$  los datos obtenidos de una planta real. en la que se ha tomado una muestra de 23 presostatos. El 43% de los presostatos están conectados a la salida de 3-15 PSI de transmisores neumáticos. El 57% de los presostatos están conectados directamente . /. ]'# 3'/ $' $' '6   '  171 . Había producido un disparo espurio. las incidencias de mantenimiento de los últimos cinco años y se ha comprobado lo siguiente: ^ ^ ^ Un cambio de microrruptor en un presostato FSLL..172 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. N .. O']Q . & $    #'. 46. Figura 8. Conmutadores de doble circuito. presostato. De los tres fallos encontrados. Había producido un disparo espurio. Había producido un disparo espurio. Una obstrucción de una línea de impulso de un FT neumático cuya salida va a un presostato FSLL. son producidos por otros elementos de los circuitos que se deben tener en cuenta en el cálculo de PFDavg de la SIF.  $     ™ D8RR D8DDHO?>AE =/=BODE-7 Si asumimos que en este tipo de instrumentos más del 60% de fallos son seguros. aunque todos dan como resultado un disparo. el único que es producido por el presostato es el del microrruptor. El MTTF (tiempo medio de fallo de un presostato) es de 23 x 5 = 115 años. )3 . Los otros disparos. pero que no pertenecen a los presostatos.1.  & .   J/ G* #' 'P. . G* # ™D x TI/2 = (3.97 x 10-7) (8760/2) = 1.73 x 10-3 Los instrumentos mecánicos con interruptores eléctricos para medir caudal. presión.97 x 10-7 Intervalo de pruebas TI = 1 año (8760 horas). son aparatos o subsistemas tipo A.4 = 3.92 x 10-7) 0.  $ $7 ^ ^ ^ R   '#™D = (9. temperatura o nivel. un aparato o subsistema se puede considerar de tipo ' $3.Elementos de campo del Sistema Instrumentado de Seguridad De acuerdo con IEC 61508.  $'$ &'P'/.  portamiento en las condiciones de fallos están totalmente determinadas. y existen P. '$ $&  O'. ' .   . Transmisores inteligentes Se utilizan cada vez con más frecuencia en el control de los procesos y en sistemas #' /&' P &'' ).$ $    peligrosos detectados y no detectados.  . '  $' #$'. La señal puede proceder de un contacto libre de tensión. no admiten entradas o salidas múltiples mediante vías de datos con protocolos digitales de comunicación. los sistemas instrumentados de seguridad (PLC de seguridad) que manejan la lógica. Las tarjetas que reciben la  ' &  #'. Admiten. una entrada por cada instrumento.6&' #nósticos es necesario hacer algunas consideraciones: ^ ^ ^ ^ Actualmente. o una entrada analógica (generalmente de 4-20mA). $'.  . '   .  'P.  . Mediante protocolo HART. se pueden comunicar sistemas de diagnósticos complejos de los transmisores. '  J / ejemplo. La mayoría de los transmisores inteligentes utilizados en aplicaciones de seguridad son de señal analógica de 4-20mA y protocolo HART. si está dentro del rango de medida adecuado. Se puede saber si una medida de variable es sospechosa  $      PQ  $  $' / /  . se está desarrollando y utilizando en el área de mantenimiento con aplicaciones $9 . El gran potencial que la tecnología de transmisores inteligentes permite. &'        velocidad excesiva. Permite conocer anticipadmente averías que se pueden producir en el transmisor.  Q +.  '$. $ 3. modos de estado.   '$  que están a disposición de mantenimiento para ajustar. e interpretar la “salud” de los instrumentos. Por esta razón. o cualquier otro. los instrumentos dedicados a sistemas de seguridad no se les permiten conexión externa a vías de comunicación con protocolo HART. ver características. o para abrir y cerrar válvulas. bloqueo de señal. que $4 . para cambiar rangos. no se debe permitir el acceso incontrolado a los instrumentos sobre los que se basa la seguridad de la planta. Desde el punto de vista de la seguridad de las instalaciones. también permite manejarlos e interactuar sobre los mismos. $ . $'P.   # . Hay tendencia a que los propios sistemas de lógica de seguridad incorporen $9 /3'$$)$''.'G #'  sistema de lógica del SIS.   $3 )   )P &''  '$ $+$'#'P.  )) . 173 . Q  en la lógica y en las tarjetas de entradas o salidas del sistema de seguridad. Probablemente.174 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Por ejemplo. en un futuro cercano. se consiga que los accesos permitidos al sistema de seguridad queden adecuadamente documentados y que se puedan inhabilitar (quedando documentado de forma automática) las funciones que pueden afectar a la seguridad. el modo de funcionamiento del transmisor y de las tarjetas de entra  ' /&3 ' &/$.. la calibración de instrumentos de seguridad..    $9   P. '$ $#/$. o con salida única con protocolo digital. Los instrumentos transmisores electrónicos para cualquier variable de proceso. sean con salida de 4 a 20mA. De acuerdo con IEC 61508. un aparato o subsistema se puede considerar de tipo <' $3. son aparatos o subsistemas tipo B.$'' '$ guridad todo el potencial de los diagnósticos de los instrumentos inteligentes. sean con salida de 4 a 20mA más protocolo Hart. tanto en transmisores como en posicionadores de válvulas.  $'  &'P'/ comportamiento del subsistema en condiciones de fallo no puede ser completamente $ ' / )P. '$ $&  O'. ' . o es un carrete de la misma. Los instrumentos que están insertados al proceso se diseñan y someten a los mismos códigos y normas que las tuberías y recipientes.   contrar tasas de fallos peligrosos detectados y no detectados.2. MEDIDA DE CAUDAL Hay muchos y variados principios físicos que permiten detectar y conocer el caudal de líquido o gas que pasa por el interior de una tubería de un proceso industrial. del cual forman parte el elemento sensor y el transmisor. Debido a que están en con$ . En casi todos ellos el elemento sensor está insertado en el interior de la tubería. 8. $. . $)]'. '.  $/$'3'J . que pueden . $' les adecuados para soportar las condiciones de presión y temperatura del proceso. igualmente tienen que ser inmunes a los ataques químicos o erosivos. ']'. .  $. $ . MEDIDA DE CAUDAL CON ELEMENTO SENSOR INSERTADO EN LA TUBERÍA En este grupo. .2. 8. el rotámetro y el medidor de caudal Vortex. Los medidores de caudal en tuberías a presión se pueden dividir en dos grandes grupos: los que tienen el elemento sensor y el transmisor montados en la propia tubería y los que tienen un elemento generador de presión diferencial insertado en la tubería y un transmisor externo. los instrumentos más utilizados son: el medidor de efecto Coriolis. el medidor magnético.$-  $/'$ $ que se insertan en los procesos son diseñados para las condiciones más severas. Los materiales utilizados suelen ser de características superiores a los que serían exigibles para las tuberías o recipientes en que se instalan.1. cuya comprobación en campo presenta . Son elementos sometidos a la vibración de la tubería.Elementos de campo del Sistema Instrumentado de Seguridad Los elementos detectores de estos medidores van introducidos en la tubería del proceso o son la propia tubería. La medida se basa en principios físicos. pero no se pueden desmontar sin parar el proceso. son medidores que suelen tener una precisión superior a la del grupo de medida por presión diferencial. En general. 'P. $ ) . /'& G  'P. ).  &  . '& . '$$''$ $/. Esto implica que en caso de avería o necesidad 'P. llevarlos a laboratorios o bancos de prueba especiales provistos de circuitos de tuberías. rio desmontarlos y sacarlos del proceso. bombas y recipientes calibrados para contrastar la medida del transmisor. . '  ' /$'3'$ '. ) . o se pueden obstruir y tienen más posibilidades de avería que los generadores mecánicos de presión diferencial. por ello. Los elementos detectores de algunos de estos instrumentos pueden tener partes móviles. Por otra parte. la comprobación y reparación sin interrumpir el proceso es mucho más compleja. o se ha previsto una línea de baipás con las correspondientes válvulas para aislar el instrumento y poder desmontarlo. obliga a la sustitución de todo el instrumento prescindiendo del mismo durante un periodo largo de tiempo. aunque las averías de la electrónica de estos instrumentos se produzcan con frecuencias similares a las averías de los transmisores electrónicos de presión diferencial. están sometidas a vibración.  $'$ $3 . o se debe parar el proceso. En la mayoría de los casos.' una parada no deseada. $#). $'P. sino datos teóricos de laboratorio. La mayoría de los problemas de funcionamiento de los instrumentos son . 6 son datos tomados de aplicaciones concretas y reales. . . '  . '. ' ]'. )  ' . viscosidad. Los instrumentos que se describen en los siguientes párrafos son instrumentos utilizados con frecuencia en diversas instalaciones industriales para medida de caudal. Teniendo en cuenta los productos que se manejan en cada aplicación particular. es muy importante hacer la medida con la técnica y el instrumento idóneo para cada aplicación.. etc. Para las funciones de seguridad. temperatura.' presión. se recomienda utilizar solo instrumentos con . se debe analizar la idoneidad del medidor seleccionado con el producto concreto. composición. que se dan en el mismo. Por ello. '  'P.    '. . Medidor de efecto Coriolis El medidor de efecto Coriolis.' ' '  - $''  '$ $ O'mentales o no probados. mide el caudal en unidades de masa directamente. El ]'   $ 4$&3'&  . . '  $ ). El teorema de Coriolis dice que un objeto que se desplaza con una velocidad ' .   que es descrita por Coriolis. $ $/ $ 4 P. '#' $' 3$ . . '  #  175 . 2. experimenta una velocidad tangencial tanto mayor. Cuando el tubo se está moviendo hacia arriba debido al  '. Figura 8. El tubo vibra a su frecuencia natural o frecuencia de resonancia. La Figura 8. cuanto mayor es su alejamiento del centro. $ ]' '  $ #'  $  vibración vertical del tubo. Funcionamiento de un medidor efecto Coriolis.176 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. constante. movido por una bobina o sistema electromagnético que se encuentra situado en el centro de la curva del tubo. Está formado por un cuerpo distribuidor acabado en bridas y por uno o dos tubos en forma de U que se encuentran alojados dentro de una caja de protección.. como indica en el detalle A. una fuerza aplicada.. por tanto. La vibración es similar a la que produce un diapasón. Este cambio de velocidad implica una aceleración y.2 muestra el principio de funcionamiento de un medidor de este tipo. '. '& . a partir $$$&   .'/]'3$$   ' ''#' hacia arriba. Al tener el tubo su máximo recorrido ascendente en el centro de la curva. empujando al tubo en dirección descendente. como se ve en el detalle B. Estos dos empujes hacen que el tubo sufra un giro. Estos giros o retorcimientos carac$$'. Cuando el tubo se mueve hacia abajo debido a la segunda mitad del ciclo de vibración. como el que muestra el detalle C. se produce el giro en sentido contrario. o deformación temporal./3  ']' ' empujará al tubo en dirección ascendente.  ' . $ ''* .   # )-9$/  . $' #'$&'. $ $. '     ]'3   a través del medidor. . dando como resultado la no existencia de diferencia de tiempo entre los dos sensores de velocidad. el cual hace que exista una diferencia de tiempo entre los sensores. El producto pasa directamente a través del medidor. La masa se determina midiendo la diferencia de tiempo mostrada por los sensores de velocidad. el cual forma parte de la  . La diferencia de tiempo es proporcional al caudal en masa.Elementos de campo del Sistema Instrumentado de Seguridad Los detectores situados a cada lado del tubo miden la velocidad de la vibración. Cuando el caudal es cero no existe ángulo de giro en el tubo. Cuando pasa caudal se produce un giro del tubo. $& N6$PQ . '$'&' concentrador del producto en las zonas de entrada y salida.2% del caudal medido y pueden medir caudales con relaciones de máximo a mínimo muy altas. El error de medida es del 0. en ventas. respectivamente. en transferencias y en balances másicos de productos. El medidor de Coriolis se utiliza fundamentalmente con líquidos. Tienen gran precisión comparado con otros medidores de caudal. y libre para poder vibrar en la parte redondeada de la U. y la pérdida de carga es más alta que en otros tipos de medidores de caudal. % . La buena precisión hace que se utilicen para medidas en mezclas. manteniendo el error indicado. .  El espacio requerido para su montaje es bastante mayor que el de otros medidores. No se requieren tramos rectos de tubería antes o después del medidor porque no  . La instalación se debe hacer siguiendo las instrucciones del fabricante. si se requiere. debe hacerse independiente del soportado de las tuberías a las que está conectado. Se deben soportar adecuadamente las tuberías del proceso a las que se conecta el instrumento. para evitar que se transmitan vibraciones a los tubos del medidor. El soportado del equipo. $ P. Se debe poner especial cuidado en el diseño de las tuberías para evitar que en los $& '3 $  # '' ]'.' ]' $&  Hay limitaciones en el tamaño de estos medidores. los mayores tamaños de medidores encontrados son para conectar a tuberías de diez pulgadas. Seleccionando entre diferentes fabricantes.  3'3. $# # 3 # 'P. /& .  $ Q '$ $. $ & Q ).  $ Q$& $'. . ]'. '. 2).  ]'  .  hacia arriba (véase la parte superior de la Figura 8. El montaje sería dando un giro de 90º en sentido contrario a las agujas del reloj. con la conexión de entrada en la parte inferior y la de salida en la parte superior de las conexiones a la tubería.  3' 3 . $#  ' '/  .  ]' de proceso gas que puedan contener líquidos. se montarán en tubería vertical con ]'. . $/$&  '$ . 177 .$& ' horizontal y bien nivelados para evitar puntos bajos que permitan acumulación de líquidos en gases o sólidos en líquidos. El instrumento es la propia tubería del proceso y en caso de avería se hace necesario parar el proceso. No se puede calibrar en línea con la planta en funcionamiento.. difícil de diseñar y ocupa bastante espacio.. lo cual es caro.   . o disponer de baipás del instrumento en la línea de proceso.178 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Tomando datos de los catálogos de algunos medidores utilizados en el mercado. se &$'      $      '#  $. Es un aparato del tipo B. con una fracción de fallos seguros SFF superior al 93%. se obtiene la probabilidad media de fallo a demanda: G* # ™DU * TI/2 = 2.31 x 10-7 x 8760 / 2 = 1. La vida útil recomendada por los fabricantes para estos instrumentos en aplicaciones de seguridad es superior a diez años. Para una aplicación que se actúa con un solo transmisor (1001) y en la que se efectúa una prueba del instrumento cada año. La tasa de fallos se garantiza durante el periodo de vida del instrumento. .01 x 10-3.$  ™DU = 2.31 x 10-7 fallos por hora. tienen gran aplicación en plantas de tratamiento de aguas residuales y en cualquier planta que tengan líquidos con una conductividad eléctrica del orden de 10 Âs/cm o superior (Âs = micro Siemens). para lo cual los líquidos necesariamente han de tener un cierto nivel de conductividad eléctrica. el medidor magnético y los electrodos. el cual contiene el tubo. por lo que el empleo de este tipo de medidor no está muy extendido en las petroquímicas. La mayoría de los derivados del petróleo no pueden ser medidos con medidores magnéticos por la baja conductividad de los hidrocarburos. + $' '#  J . Sin embargo. El elemento secundario corresponde al receptor electrónico. \ El medidor de caudal magnético mide el caudal volumétrico de líquidos. El medidor consta de dos partes: ^ ^ El elemento primario que va instalado en la línea de proceso. '  .  ]Q. '. En las leyes de Faraday se establece que cuando un conductor interrumpe transversalmente  ]Q #4$'. La señal se transmite a un receptor electrónico que puede estar montado cercano al emisor. Se basa en las leyes de Faraday de inducción electromagnética. El medidor electromagnético opera con el mismo principio que un generador eléctrico. te. /'. . . $ $'3'. $ $ . '   . ' .  3  ]Q'$ + . B y D).' de (V. . Elementos de campo del Sistema Instrumentado de Seguridad Donde: E = Tensión generada en el conductor S S. ' ]' B = Fuerza del campo magnético D = Diámetro de la tubería El conjunto del medidor electromagnético y el trozo de tubería que forma parte del medidor debe estar aislado eléctricamente de la tubería principal por ambos extremos. Se genera un campo electromagnético constante a través de la sección del tubo y ]'3 $ ' .  #4$'.  . . . $3. $ '$   ]Q+. $3$. . ' $  $ oposición. en la sección del tubo. se genera una tensión que es proporcional a la ve. ' ]'K4  '# ?XL $'. '$ $  'P. Figura 8. Principio del funcionamiento del medidor electromagnéco.  y acondiciona por el receptor y proporciona una señal normalizada.3.  ' #4$'. $''  '. . ']' . $'' $/$ &'4$'' . ]'. ')  3 T'.  $ $'. . $ . $. ]'. $ 179 . 4. El medidor magnético responde exclusivamente a la velocidad del caudal. es independiente de la viscosidad. El error de los medidores magnéticos es del orden de 0. Figura 8. por ello.. por lo que son adecuados para su instalación en grandes tuberías de suministro de agua. Componentes del medidor electromagnéco. donde es esencial que la pérdida de carga sea pequeña.5% del valor de medida. con caudales máximos y mínimos que pueden tener una relación de 10:1. de la presión y de la tempe $ + #. La pérdida de carga es nula.. de la densidad.180 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. No se puede calibrar en línea con la planta en funcionamiento.' ]' ' $E/H)DE 8#/  velocidad mas adecuada para líquidos está entre 2 y 3 m/seg. % . . en vertical o en ángulo. Para que pueda efectuarse la medida correctamente. Puede ser montado en horizontal. Se deben seguir las instrucciones del fabricante para su montaje y conexionado. el diseño de tuberías ha de realizarse para asegurar que el medidor está siempre lleno de líquido. El medidor es una pieza de tubería. pero la tubería deberá $  6' $ $'. pero el montaje tiene que hacerse con muchos más cuidados que una tubería ya que es un elemento eléctrico.  $]Q & Q . '  '&    #rarse el llenado. Cuando se monta en horizontal. el eje de los electrodos no estará en el plano vertical para evitar que una pequeña cantidad de gas impida el contacto del . $. 3'6' $ $'. ). ]' & '/.  '  disponer un tramo recto de tubería antes y después para evitar la erosión del reves$' '$ '/3. ' ']Q$' $& . '' ' $ - . La tubería a ambos lados llevará los correspondientes soportes para que aguanten el me'+ '. las perturbaciones aguas arriba del medidor no afectan de manera importante. Con tamaños de hasta doce pulgadas.Elementos de campo del Sistema Instrumentado de Seguridad mente antes o después del medidor. Desde el punto de vista de la precisión en la medida. el medidor no necesitará soportado. Las tuberías se diseñarán . $   $  /'$PQ   tener deslizamientos debidos a la dilatación de la tubería.  P. '$]O'&''   3$  '$ O. '    . Ambas señales deben estar perfectamente separadas internamente. y a lo largo de sus rutados. Es muy importante conseguir una buena puesta a tierra y tener un único punto equipotencial.   de las bridas del medidor. Los medidores llevan dos tipos de señales eléctricas bien diferenciadas. la alimentación eléctrica y la señal de medida. tanto para el líquido 3])/.     $& )   ' #4$'. para dar la tierra al líquido. aún cuando el tubo del medidor o la tubería adyacente no sean metálicos. se suele disponer de un anillo metálico insertado en el medidor y en contacto con el líquido y con las bridas de la tubería. el medidor y la tubería. Si el medidor no es metálico. Se deben seguir las instrucciones del fabricante para cumplimentar las exigencias del conexionado eléctrico.   . Siempre debe haber una conexión de tierra entre el líquido. Es un aparato del tipo B. con una fracción de fallos seguros SFF del 73%. Tomando datos de los catálogos de algunos medidores utilizados en el mercado. se obtienen   $   '#$. Medidor de área variable.29 x 10-7 fallos por hora. Para una aplicación que se actúa con un solo transmisor (1001) y en la que se efectúa una prueba del instrumento cada año. Rotámetro El rotámetro es el medidor de área variable más utilizado para la medida de caudal. + '. se obtiene la probabilidad media de fallo a demanda: G* # ™DU * TI/2 = 3. La vida útil recomendada por los fabricantes para estos instrumentos en aplicaciones de seguridad es superior a diez años.$ ™DU = 3.44 x 10-3 La tasa de fallos se garantiza durante el periodo de vida del instrumento.29 x 10-7 x 8760 / 2 = 1. $ $&$'. )]$ 3  $'.  $ el interior del tubo. Los medidores de área variable funcionan sobre la base de que $' ''. ' . $ $/ '$'  $  P. en función del aumento del mismo.  donde pasa el caudal. 181 . .182 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. +]$ $   .. '  $$&)$  '. ''$' ' / 3  . '  .   3 . '.   $  ]$  )  $& + ]$  ' $' ' ' ]'  '+ . '.   $ 4  3  .   '. '$ 3 ]$ PQ / '$ $&.' $ &$ ]$ )  tubo. en el punto en que el obturador está en equilibrio. .   constante desde su parte inferior a la superior.5. como se puede ver en la Figura 8. +  .   ).  $  '& 3''&]$   '. '3''&']$ ''.  . . ' /3. Con una presión diferencial constante ›3 3' $ ]$ ›/. con un área variable que es función del caudal.  '. $ $. Figura 8. se requieren materiales especiales para la construcción del cuerpo.5. Pueden medir caudales con relación de máximo a mínimo de 10:1 y con error probable del 2% del caudal medido a lo largo de toda la escala. Los tamaños pueden ser muy variados y van desde tamaños tan pequeños como 1/8 de pulgada hasta 8 ó 10 pulgadas. 6$''    ']'' ')$ &'43'. transmisores y controladores. Existen rotámetros indicadores. o combinación de ambas al mismo tiempo. Los diseños para que soporten las duras condiciones de operación repercuten en un encarecimiento excesivo de este tipo de medidor.'  al área de paso. Principio de funcionamiento del rotámetro. Cuando se emplean en servicios de altas presiones. altas temperaturas.  $ '. 'dades que requieren calentamiento para evitar su congelación. como por ejemplo. en . No se pueden calibrar en línea con el proceso en funcionamiento. % .Elementos de campo del Sistema Instrumentado de Seguridad el procesado de los aceites minerales que se utilizan para lubricación. .  $ $ $ ' $'. ). La salida puede ser por la parte superior o por un lateral.]Q$   $'ferior. si es de tipo acodado. 6& $ # $$  $O$'& . '). P. '$$  '&. ' /   $ ]$ '$  '. . '*& ser instalado en zona accesible y visible desde suelo o plataforma. para evitar vibraciones. En líneas de gran tamaño. válvulas y elemento de medida. se debe tener un cuidado especial con el diseño y soportado adecuado de las tuberías. se necesita baipás y válvulas de bloqueo para poderlo desmontar. Se debe tener en cuenta que en las $  ) ' /. para reparación y mantenimiento. Si se quiere reparar sin tener que parar la planta.   '$ /. &']Q  =E# /. '' '. 3 . .  '  & PQ . Figura 8. Para tener una buena precisión con este tipo de medidor. 183 .6. como en los elementos de presión diferencial.6). Rotámetro con válvulas de bloqueo y baipás.'/  '$  daños en las líneas (Figura 8. no se requieren tramos rectos aguas arriba de tanta longitud. se garantiza que la pertur& .184 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Con cinco diámetros de tramo recto antes del rotámetro... ']' . $   .   . en los tamaños grandes. se requiere un cuidadoso diseño para dotarlos de baipás.''  '  Por ser elementos insertados que forman parte de la propia tubería. válvulas de aislamiento y elementos de despresurización y purga para el mantenimiento. Los datos corresponden a un rotámetro provisto de dos interruptores de posición conectados en modo de fallo seguro (fail safe). con una fracción de fallo seguro SFF del 68%. Existen rotámetros con salida de 4-20mA y J % $. Es un aparato de tipo A. . $'P. 6/.  'P. . se obtienen   $   '#$.    $$'< Tomando datos del catálogo de un medidor utilizado en el mercado. 77 x 10-7 fallos por hora. se obtiene la probabilidad media de fallo a demanda: G* # ™DU * TI/2 = 0. En la documentación manejada no consta la vida útil recomendada por el fabricante para este instrumento.77 x 10-7 x 8760 / 2 = 3.37 x 10-4 La tasa de fallos se garantiza durante el periodo de vida del instrumento. Para una aplicación que se actúa con un solo instrumento (1oo1) y en la que se efectúa una prueba del instrumento cada año. Medidor Vortex El medidor se basa en el principio de que si se introduce un cuerpo de geometría $ '   .$ ™DU = 0. '$.  /.  ]Q. .  . El cuerpo no tiene que ser aerodinámico. pero debe .$ticas oscilantes determinadas.  # $'. ]'$ ' # ' . por disco oscilante. . se producen los vórtices a partir de la misma y aguas abajo. En la parte izquierda de la Figura 8. Figura 8.7 se aprecia lo indicado.7. por variación de resistencia debido a la diferencia de presión. Cuando se introduce la obstrucción en la corriente de caudal. por capacitancia. Principio de funcionamiento del medidor Vortex.' número de Reynolds. como son: por ultrasonidos. por bola oscilante y por variación térmica. Para detectar los vórtices existen varias técnicas. tal como ve en el detalle de la derecha.7 funciona de la siguiente manera: En la pieza generadora de vórtices.Elementos de campo del Sistema Instrumentado de Seguridad El detector térmico. El termistor detectará los vórtices. cuyo detalle se puede ver en la parte derecha de la Figura 8. colocado detrás de la cara frontal del generador de vórtices. hay un paso transversal a través del cuerpo. como consecuencia del efecto de enfriamiento debido al paso ]')$$' $ $' $/)3. se sitúa un termistor que se calienta y mantiene a una temperatura constante cuando no hay caudal. En este paso.  . . . en cada lado del paso transversal. % . proporcional al número de vórtices que a su vez es directamente proporcional al caudal. Las variaciones de temperatura son convertidas en señal eléctrica. generalmente pulsos.'  las variaciones de presión generadas por los propios vórtices. . Para ello. debe haber un tramo recto de al menos 20 diámetros después del codo de 90º y hasta el transmisor. 185 . válvulas.8. Medidor Vortex. cambios de plano de la tubería. se puede producir un error de medida considerable. para evitar que las perturbaciones aguas arriba produzcan la formación de remolinos en el caudal. o por la junta de la brida anterior del instrumento que esté mal colocada. No se pueden calibrar en línea con el proceso en funcionamiento. que puedan enmascarar los vórtices. El caudal a la entrada debe ser muy estable. Figura 8. es muy importante no tener perturbaciones en el tramo anterior al detector. Si llegan perturbaciones causadas por codos. Con este tipo de medidor. si hubiera un codo a 90º aguas arriba del transmisor. y no estar sometido a ningún tipo de vibración.   .186 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO... &$'  $   '#$. Tomando los datos de los catálogos de algunos medidores utilizados en el mercado. Para una aplicación que se actúa con un solo transmisor (1001) y en la que se efectúa una prueba del instrumento cada año.31 x 10-3 La vida útil recomendada por los fabricantes para este tipo de instrumentos no se ''.$ ™DU = 3 x 10-7 fallos por hora. se obtiene: G* # ™DU * TI/2 = 3 x 10-7 x 8760 / 2 = 1. con fracción de fallo seguro SFF mayor del 72%. Son instrumentos del tipo B. . $'P. * . . REPARACIÓN Y CALIBRACIÓN DE INSTRUMENTOS MEDIDORES DE CAUDAL CON SENSOR INSERTADO EN LA TUBERÍA En los tipos de instrumentos que se han visto. la mayoría de las averías electrónicas pueden ser reparadas reemplazando la electrónica directamente en campo.2. sin tener que desmontar todo el instrumento y hacer necesaria la parada del proceso. Los transmisores electrónicos suelen tener una vida útil de entre ocho y doce años. 8.2. La comprobación del buen funcionamiento de los instrumentos. + ADHE?:B  $ >@>@/& asumir un tiempo de vida útil basado en la experiencia. y la calibración  '   'P. . recepción y montaje. Es necesario resaltar lo que implica el envío de instrumentos fuera de la planta. en cuanto a tiempos de indisponibilidad del instrumento y costes de desmontaje. envío. estos instrumentos han de ser enviados a laboratorios de las casas centrales de los suministradores. donde pueden disponer de los instrumentos y medios necesarios para la comprobación de su calibración. H .'' ' / '  ''$ con el proceso en funcionamiento. En la mayoría de los casos. seguimiento de la reparación o calibración. limpieza.  !  <. %  Debido a los problemas que se plantean al enviar el instrumento fuera de la instalación. se opta por la alternativa de calibrarlo o ajustarlo en la planta.   $/  . $T  'P.    $ . Dependiendo de los tipos de instrumentos.P#    '$  electrónicos del detector-transmisor. medirlo con otros medios y reajustar los parámetros del instrumento. En este tipo de pruebas y ajustes. para que su medida se aproxime lo máximo posible a la realidad. de depósitos o tanques calibrados para almacena '$]'  ')'P. es necesario disponer de: básculas o plataformas de pesaje de cierta precisión. puede ser necesario hacer circular caudal por el instrumento. . '.   . Es necesario utilizar líneas .  /33  sido medido por el instrumento a comprobar y ajustar. para direccionar y almacenar el caudal del medidor que se 3''P.Elementos de campo del Sistema Instrumentado de Seguridad y circuitos del proceso. ¨  ' .  ''$ & &). $. Por ello. pero con productos fuera . Se necesitan más recursos humanos para controlar los caudales. la parte del proceso donde está el medidor no puede ser operativa.   También es necesario utilizar recursos humanos especializados para efectuar la comprobación de la calibración. aunque el medidor no forme parte del control automático del circuito. que generalmente se hace en conjunto con el técnico de la casa suministradora del instrumento. Durante el tiempo necesario para la calibración en campo. el pesaje y toda la operativa necesaria. los almacenamientos. que puede ser de bastantes horas por instrumento. puede ocurrir que la planta o la unidad de proceso afectada tengan que estar en funcionamiento para generar y mover el producto a medir. 'P. . '/3.  ' . se deben analizar los tipos de '. $' $ Teniendo en cuenta lo anteriormente expuesto.  O'$$ . / .  . $$'. ]')  condiciones operativas de la aplicación para la cual los necesitamos. 8. MEDIDA DE CAUDAL CON ELEMENTO GENERADOR DE PRESIÓN DIFERENCIAL INSERTADO EN LA TUBERÍA Los elementos generadores de presión diferencial más utilizados para la medida de .3. podemos decidir cual es el más indicado para nuestro proceso.2. y así.  ''. ' 7  . 'P. la tobera de caudal y el medidor tipo Wedge.'/$&S$'/$&bar. Cada uno de estos elementos tiene características singulares para su utilización . '$]'# $'#. '& Q 4'  . # /$  $'' & .  . $$'. . ]'  $ . ' / $$'' . ]'.  $ '. ' )$. ]'. no tiene partes en movimiento. Los elementos # ''. mediante dos líneas de conexión de presión. Todos estos elementos generadores de presión diferencial permiten conocer el caudal mediante la medida de la presión diferencial que generan al pasar el caudal a través de ellos mismos. exento de averías. es robusto y bien conocido su comportamiento frente a desgastes por rozamiento. Cuando se selecciona el material adecuado es prácticamente inalterable. o a taponamientos por ensuciamiento.' con partículas sólidas en suspensión. son muy conocidos. El elemento generador de presión diferencial es mecánico. muy contrastados y fáciles de comprobar. y por ello. Las fórmulas matemáticas. y los principios físicos utilizados para establecer la relación entre el caudal y la presión diferencial de estos generadores de presión diferencial. La diferencia de presión generada por el elemento se mide con un transmisor de presión diferencial conectado al proceso. ' › . 'P. '/S$'/$& )¾#›$'' . ]' $' $' '/$ BE  J. 187 . sin necesidad de ningún tipo de mantenimiento.' miento continuo. 188 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. si es necesario. aunque pierda precisión en la medida. Se puede esperar hasta la próxima parada. se puede esperar a la próxima parada del proceso para inspeccionar y cambiarlo. Cuando se sospecha que la medida tiene un error superior a lo previsto.. La tendencia de la presión diferencial generada siempre sigue los aumentos y disminuciones del caudal. porque este tipo de elemento puede dar un error que irá aumentando lentamente durante un largo periodo de tiempo.. no hay nada que bruscamente pueda impedir que se genere presión diferencial en el 'P. y permitirá efectuar el control del mismo. cuando pasa caudal. Con la excepción de un taponamiento en las líneas externas. '  . / $& /S$'¾#G   .  '' ) &' $$&'/.  '  '. . comparándolas con las originales.   )  'P. para controlar los desgastes por rozamientos.'' ) 'Pcación de sus dimensiones internas. $ 3# . $$' ' . Proporciona una medida de caudal menos precisa que la del resto de los generadores de presión diferencial. Los problemas vienen dados por las columnas de líquido que se forman y por los taponamientos o fugas que se pueden producir en las líneas de conexión. Son susceptibles de mal funcionamiento $  '$ #Q/'. para eliminar o minimizar los problemas de las líneas de conexión. El tubo Annubar es otro elemento que se utiliza para medida de caudal por presión diferencial.   se producen en las líneas de conexión de alta y baja presión al transmisor. Más adelante se indican técnicas de montaje. . 8. con la medida basada en la presión diferencial.2. se puede apreciar que dependiendo del tipo de medidor adoptado en cada proceso.]' $' $' '- recomendables para su utilización en funciones instrumentadas de seguridad.4. se  . VENTAJAS E INCONVENIENTES EN LA MEDIDA DE CAUDAL Comparando las medidas de caudal de los instrumentos insertados en el proceso y la variedad de técnicas utilizadas. ''$ 'P. $  '&''  $' '$) . sería preferible utilizar los elementos y sistemas de medida más fáciles de comprobar. en caso de avería. y requieren su desmontaje para poderlos comprobar. & ción o sustitución del instrumento de medida. la mayor parte de las averías del sistema detector transmisor necesitan equipos complejos. más . cuyos instrumentos no se pueden desmontar de las mismas sin parar el proceso. la mayoría de los problemas se producen en las conexiones al proceso y en menor número en el transmisor. En los medidores por presión diferencial. mientras que el proceso sigue en funcionamiento. para poderlos desmontar. En los detectores insertados en las tuberías. En las funciones relacionadas con el control y los sistemas de seguridad. Esto obliga a parar el proceso o a disponer de línea de baipás y válvulas de aislamiento. Ambos son externos y pueden ser reparados o reemplazados. Elementos de campo del Sistema Instrumentado de Seguridad P &$ & Q) . ' $+&Q$'3. que los instrumentos estén disponibles cuando la seguridad lo requiera.  paradas imprevistas de la instalación y. 6  $''   '$ $ . sobre todo.  Q . '' ) ) 'P. También se pueden utilizar más ampliamente los instrumentos que van insertados en plantas de trabajo discontinuo. balances. pero se mantiene la producción y el nivel de seguridad. la producción o la seguridad de la planta. Para los sistemas de seguridad de la planta. o en plantas de producción que tienen partes del proceso con sistemas de trabajo intermitentes. si no se utilizan para estas funciones de manera directa. quedarán fuera de servicio durante un largo periodo de tiempo. para funciones tales como: medidas para comprobar rendimientos.$   prueba. donde las paradas por cambio de tipo de producto son muy frecuentes. Si durante el ciclo de trabajo entre paradas estos instrumentos tienen alguna avería que no pueda ser reparada en funcionamiento. pero no absolutamente necesaria para el funcionamiento. podrán ser reparados o reemplazados y su repercusión sobre la producción será reducida. ajustes de la operación y en general donde la precisión de la medida es importante. la disponibilidad de los instrumentos 3$'. En caso de avería y parada de producción parcial. si los procesos son independientes unos de otros. ’%   j j%. sin que sea necesario parar los procesos.   ' &''$ ' //P$''  instrumentos que se puedan comprobar fácilmente y que se puedan reemplazar por otros. en periodos de tiempo muy cortos. se calienta un producto derivado del petróleo.  j Observemos una planta de procesos. El periodo de funcionamiento continuo entre paradas programadas es de tres años. En un horno de proceso. Para garantizar la seguridad de los tubos. se debe producir una alarma de aviso. que va controlado en caudal. El operador del proceso tomará alguna acción de las varias previstas. y para que no se sometan a temperaturas excesivas cuando baja el caudal de un valor determinado. para solucionar el problema. Por diversas razones. diseñada con exigentes criterios de seguridad. como consecuencia de que el bajo . automáticamente se debe producir una acción de seguridad que proteja los tubos de la alta temperatura que se alcanzará en los mismos. si el caudal sigue bajando y se llega a un valor inferior al de seguridad predeterminado.  '# P. '$ $  . . '#' /. '$ . Para producir una función de alarma previa. Para la función automática de seguridad. se debe detectar el caudal mediante un transmisor con conexiones independientes del de control. se debe detectar el caudal mediante un transmisor con conexiones independientes del de control y del de alarma previa. el caudal de entrada al horno se debe controlar utilizando un transmisor para el lazo de control. e incluso. 189 .$  sobre el sistema de combustión para poner los quemadores al mínimo. bloquear y apagar los que sean necesarios para que baje la temperatura. En esta aplicación. o por ambas exigencias al mismo tiempo. alarma y seguridad.5. También se debe analizar la posibilidad de reemplazar o sustituir piezas.2. Se debe analizar si se pueden probar cuando están instalados en el proceso. o ante un plan de pruebas preventivas para asegurar el funcionamiento correcto. o si es necesario tener que desmontarlos. sabemos que puede haber funciones de seguridad que por el nivel de riesgo asignado en el análisis. Se mide la presión diferencial con un instrumento conectado al proceso mediante dos líneas de impulso de alta y baja presión. y cuando pasa el caudal través del mismo se genera una presión diferencial entre la entrada y la salida del elemento. requieren no solo uno.190 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. El transmisor genera una señal de salida electrónica. En centenares de aplicaciones similares al ejemplo mostrado. o el instrumento completo. ¿Se puede tener un instrumento de reserva como respaldo de muchos?. se utiliza la medida del caudal mediante la técnica de presión diferencial y transmisores independientes para cada una de las funciones de control. se ha de analizar la posibilidad y facilidad de comprobación de los instrumentos ante un fallo de los mismos. mediante válvulas de cierre en las líneas de impulso. Considerar el tiempo necesario para reparar externamente a la compañía cada instrumento y los costes de envío y devolución. 8. sino dos o tres transmisores independientes. ¿se debe parar el proceso?. MEDIDA DE CAUDAL POR PRESIÓN DIFERENCIAL La medida de caudal por presión diferencial se produce cuando en la tubería se introduce un elemento que produce un estrechamiento. En la aplicación. Cualquiera de estas funciones –la función de alarma requiere además la intervención del operador es capaz de mantener el proceso en condiciones aceptables de trabajo. . los instrumentos y las líneas de impulso se pueden aislar del proceso sin que se tenga que interrumpir el mismo. que es proporcional a la presión diferencial medida por sus cámaras de alta y baja presión. o cada instrumento es particular y se requiere una reserva por cada uno. Cuando se eligen los instrumentos para funciones instrumentadas de seguridad. El fallo de las tres funciones podría llevar el proceso a una situación de peligro rotura de los tubos por sobrepasar la temperatura de funcionamiento seguro. Considerar los costes para las válvulas y líneas de baipás necesarias para los instrumentos insertados. son necesarios tres transmisores para las funciones de control. El caudal que circula por la tubería es proporcional a la raíz cuadrada de la presión diferencial que se genera.. Considerando las funciones indicadas en esta aplicación u otras similares. En estos casos.. de alarma y de seguridad. para satisfacer las exigencias de diseño. o puede seguir funcionando durante la prueba o reparación. se deben considerar y analizar todas estas preguntas. por probabilidad de fallo ante demanda. El instrumento es externo y se puede independizar fácilmente del proceso. bien por arquitectura. De acuerdo a lo indicado en otros capítulos. }  .Elementos de campo del Sistema Instrumentado de Seguridad Los elementos más utilizados para conocer el caudal mediante la medida de la presión diferencial que generan. son los que se indican en los siguientes párrafos. fundamentalmente de la viscosidad y del grado de impurezas o sólidos en suspensión que pueda contener.& Dependiendo de los tipos de productos a medir. existen las '#'$ ' $ . . 'P. '7G . 'P. '. . 4$'. /'P. '  # $/. 'P. 'O. 4$'. /. &.   $. . Figura 8. o con otras formas especiales para distintas aplicaciones.   . Placa de oricio concéntrico./ cónica.9. 'P. '. . 4$'. ) '$ '  $$. $. su adaptabilidad a todo $']' # 3'/ ''&'' .    ampliamente utilizado en la mayoría de las plantas industriales. su robustez. vapores y líquidos relativamente exentos de sólidos y con baja viscosidad. Las principales razones para ello son: su bajo coste. para la medida de gases. P. '$. y la dispo'&'' $ ) &'P'   .'sión obtenidos a través de multitud de pruebas realizadas en laboratorio. . /'J'$  . '   . $ $']Q  '$ ' )  ' &' . ]+  '. . ']Q $ $' $ &$'/  . $'P. '. $)&$&' 191 . .192 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. +O'$ '    . . /'J'$  . '  . Una de las más utilizadas es la Norma ISO 5167-2. 'Pcio. $ '  $ Q  . 'P. '/''$ $$' que sea. se debe inspeccionar cuidadosamente para que el montaje sea correcto y . #' )# . ''  ' .  6'  . 'P. ' ha sido bien calculada. el material para su construcción ha sido bien seleccionado   ]'  '/) '. . ') $ Q . . . sin causar ningún problema. G    '  ''.$ $/manecer en su lugar de instalación durante veinte años midiendo adecuadamente. ' .     . 'P. '/O'$ varias formas de situar las conexiones de presión respecto a la placa. las más utilizadas son:  &   .  '.  .  # Es el tipo de conexión más utilizado en tuberías de dos pulgadas de diámetro o mayores K'# ?DEL '$$'' . Los ejes de cada una de las dos conexiones de alta y baja presión están situados a una pulgada antes y después de la cara anterior A y posterior B de la placa. Figura 8. Es importante la observación de las distancias de las tomas para no . Conexiones en bridas. Se deben considerar los espesores de las juntas colocadas entre las bridas y las caras A y B de la placa.10. (D en mm).''#'$7ÃDB/H /HEÄ*ÄDEEE /E/DÄÅÄE/>H/T ()(eDÃHEEE)(eDÃD>EÅ2 D. Elementos de campo del Sistema Instrumentado de Seguridad ']'. P. '$.  )$ $ .  &  . en el resto de casos se da 25.6 y 58 mm<D<150 mm.''  ' 6   siguientes tolerancias: 25.4 mm r 1mm.5mm cuando simultáneamente se da que E>0.4mm r 0.  . . .  .  . están localizadas a un diámetro de tubería aguas arriba de la placa y al punto de mínima presión aguas abajo de la placa. Con relaciones E 8*ÄE/>B . Se utilizan frecuentemente en la medida de vapor de agua y se obtiene mejor precisión que con las tomas en bridas. # Las conexiones en la vena contracta. O' 'nan radius taps). $T $PQ D' $ #  '& )Ç' $ #  & Q  . 'P. '/4  '# ?DD . G 'P.''  '  prácticamente igual a la obtenida con las tomas en vena contracta. $ 3O'$  P' # & Q  .  '$ . Conexiones radius taps. Figura 8.'  de la vena contracta.11.  &    . este tipo de conexión no se utiliza. Las conexiones pueden ser realizadas de forma individual. este tipo de conexiones se utilizan con las toberas ISA 1932. o realizadas en un '  . y en la conexión aguas arriba de las toberas Venturi. # De acuerdo a los tamaños de líneas indicados en la Norma ISO 5167. $'O $ $ P*&'  .  Q'  Q. se recomienda ver la norma con la que se ha efectuado la .ción de estas conexiones. $. . '/   .  '. . ')'P. . '$   ' .  '  antes de su instalación. 193 . Toberas de caudal 6$''  ..194 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. $ $3  . 'P. ') '$    $& /$&' /.    . 'P. ' $ Q '. ' /. $    . 'P. '/3$' .  . ' .  . ''' G   4' ')' $'P. '$ ' / ' $  AHµ .  3  . 'P. '6$''    ']'.  $  velocidad. Cuando se utilizan con bajo número de Reynolds. la precisión de la medida disminuye considerablemente. pero las dos más utilizadas son: la tobera ISA 1932 . Hay varios tipos de toberas. )P$  .  È. . /) $& 6+. )P $  .  È'$ . $. $'). . En la Figura 8.12. Puede ser del 10 al 14% de la presión diferencial producida para la medida del caudal. es la más baja de los elementos generadores de presión diferencial para medida de caudal.5167. cálculos y conexiones del Venturi clásico.   & tipos de tobera se pueden ver en el Estándar ISO-5167. La pérdida de carga permanente de los tubos Venturi. En la Norma ISO.13 se puede ver un tubo Venturi clásico. que corresponden a la entrada y a la zona de es- . Se hace notar que las conexiones de alta y baja presión. Figura 8.12 se pueden ver los dos tipos de toberas indicados. En la Figura 8. se describen diseños con dimensiones. Tubo Venturi El tubo Venturi se utiliza en aplicaciones donde es muy importante reducir la pérdida de carga permanente. Toberas de caudal. al menos cuatro. hechas en forma radial y unidas a una cámara anular que promedia el valor de la presión medida en cada una de las cuatro tomas. Las cámaras anulares pueden ser construidas   $S$'/.Elementos de campo del Sistema Instrumentado de Seguridad trechamiento del Venturi. se efectúan con varias tomas.   P#  $  / . a las cuatro tomas radiales de sus zonas correspondientes. .13. Las conexiones de presión para el instrumento de presión diferencial son dos y se efectúan en las cámaras anulares o en los tubos circulares. tubos que rodean circularmente el Venturi por las zonas de entrada y cuello respectivamente y están conectados. Figura 8. Tubo Venturi. cada uno de ellos. Figura 8.14. La restricción crea una presión diferencial entre la entrada y la salida del caudal a través del estrechamiento. La res$'. La presión diferencial producida está en función de la relación entre la abertura segmentada H y el diámetro D. j %• El elemento medidor consiste en un tubo con una restricción en forma de cuña como se puede ver en la Figura 8. que es proporcional al caudal volumétrico al cuadrado que pasa por el tubo de medida. Medidor de caudal po Wedge. vapores de hidrocarburos y vapor de agua. gases. Puede medir líquidos.14. . ' . J $'& P /'' '# $. 5% del caudal '$ #.ticos que puedan afectar de forma apreciable la precisión de la medida a lo largo del tiempo. Los medidores se pueden suministrar con precisión de 0. '& . '/  &. 'P. )'. 'brados desde fábrica. 195 . 196 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Se resalta que este tipo de medidor tiene ventajas con respecto a otros más con... ' .    . 'P. '/   '. $'. /. ').   $.    ' 3  $  '   ]' .  $  . se pueden hacer dos tipos de conexión para unir el instrumento de presión diferencial. por ello.14). Se aplican este tipo de conexiones.diciones de trabajo son muy difíciles de medir y además obstruyen fácilmente las tomas de presión. cuando se quiere utilizar Flushing como sello dinámico. (véase la Figura 8. que son:   Conexiones de ½” o de ¾”. entre el ]'. ) .   '$ $''. como se puede ver en la Figura 8.'  Bridadas.15. Se emplea frecuentemente $$'. O'/. se utilizan diafragmas de sello y capilar para aislar las . &' & 3$ ]' interno de la tubería.   $  '''. 8. la cuña de obstrucción (parte obscura) queda perpendicular en la sección de la tubería y las tomas en horizontal. se debe utilizar el Estándar ISO 5167 para el cálculo del elemento. se permite el paso libre a los sólidos en suspensión y se evita que puedan quedar atrapados gases en las conexiones.2. es posible que queden atrapados gases que puedan causar errores. RECOMENDACIONES PARA MEDIDA DE CAUDAL POR PRESIÓN DIFERENCIAL Para efectuar la medida con la máxima precisión. Con esta forma de montaje. tamaño y distancia de las .15. En esta disposición.' ]' $&  Para medida de líquidos se recomienda la instalación con las conexiones giradas 90º con respecto a la línea central de la tubería. Cuando se utiliza Flushing. para la disposición.15. Figura 8. las conexiones hacia arriba se pueden ventear a través de las líneas del Flushing y no causan problemas en la precisión de la medida. Cuando las conexiones bridadas se hacen hacia arriba. que podrían falsear la medida de la presión diferencial correspondiente al caudal. como se puede ver en la Figura 8. Conexión con bridas.6. así como para la exigencia del cumplimiento de los tramos rectos antes y después del elemento de medida. para la rugosidad y tolerancia de las tuberías. k.Elementos de campo del Sistema Instrumentado de Seguridad tomas de presión diferencial.  .     %j\   . . %.   G  '$ $& . '  ]Q/) .   ' . . ''' '    '  O' $  $  &$. P. '$ '. todos los elementos generadores de presión diferencial como placas 'P.  en el cálculo. '/$& .  )$&S$'/3'  . . $ '$  . antes y después del elemento de medida.' longitudes de tramos rectos antes y después de los elementos. Los tramos rectos necesarios. están basados en la relación de diámetros de la  . Los tramos rectos se dan en longitud equivalente al número de diámetros de la tubería que deberán ser rectos y libres de perturbaciones. 'P. '. . siempre que sea posible. menor es la exigencia de la longitud de tramo recto.$ ' $'$'* $& /$  3 cuanto menor es la relación. Si debido a nuevas condiciones en el proceso. utilizar la longitud de tramo recto como si la relación fuera de 0. Se recomienda.7. en el futuro fuera .  '. &'   . 'P. '/  '  . . Deben estar de acuerdo con el elemento primario y con el tipo de conexiones utilizado en el cálculo.72.' /'Q  hubiéramos dispuesto tramos rectos para una relación d/D = 0. En la mayoría de los casos. se $''   . por el cambio de la placa. Situación de las conexiones en la tubería o bridas Para que la presión diferencial pueda ser medida. la relación fuera de 0.4 y posteriormente. se necesita conectar el transmisor mediante dos líneas denominadas líneas de impulso o tomas de presión diferencial a las conexiones dejadas por tuberías. 'P. '. $ &'  + $  &' 'P. '/. .   '  Uvulas de raíz”. & . Cuando no es posible y solo como alternativa. las conexiones se deben efectuar con las siguientes orientaciones:   Fluido líquido o vapor de agua.16. se hacen a 45º hacia abajo para medir líquidos. Fluido gas seco. las cuales permiten aislar de la línea principal de proceso las líneas de impulso y el transmisor. gas húmedo (vapores de hidrocarburos) o vapor de agua. como se indica a la derecha de la Figura 8. Para evitar problemas en la medida de la presión diferencial. se deben hacer en horizontal. .  ''. Están de acuerdo con las recomendaciones de ASME. se obtienen los mejores resultados en las medidas. 197 . Con las conexiones de salida representadas. en 45º hacia arriba y en vertical hacia arriba.   $'3'   ' P#   conexiones para medir vapor de agua pueden estar situadas en horizontal. API y la propia experiencia en instalaciones de plantas industriales. 16...198 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Conexiones para medida de caudal. Figura 8. Se deben evitar las conexiones verticales en la parte inferior de la tubería. Aun3]' Q  ' '/'  &  $ $.  ' 3'$ $& $  . 'P. ' . O' de alta presión se obstruirá al cabo de un tiempo en función de la deposición de sólidos. Las conexiones a 45º hacia abajo que se dan como alternativa en líquidos. las conexiones a 45º hacia abajo están a pocos milímetros del fondo de la tubería y son susceptibles de obstrucción por los arrastres de sólidos depositados antes de la placa 'P. también se deben evitar por la misma razón. En tuberías de 3” e inferiores. ' En la Figura 8.17 se muestran dos tuberías de 2” y 4” con sus correspondientes &' 'P. '). O' @HÉ'$   . '  & Q6 . el agujero de la conexión de presión queda a una altura de 4 mm del fondo de la tubería.' 3 en líneas de tamaño pequeño. Si hubiera partículas sólidas arrastradas. o '3' ' /3  $'   . 'P. las conexiones de presión quedan a más altura del fondo de la tubería. ''.'/ y entrarían en la conexión hasta obstruirla. En las líneas de 4” y mayores. En la brida de 4”. =  $ 6']' $' $' '/ &$. . siempre se producirá. Por las razones dadas anteriormente. pero aunque más tarde. si las conexiones se hacen en horizontal. cual3' $.' tardar mucho tiempo en producirse.  ' 3  $ 4'P. '  . y no se producirá obstrucción en las mismas. . no se depositará en las tomas. /  $    largo de la tubería. Elementos de campo del Sistema Instrumentado de Seguridad Figura 8.17. Conexiones en bridas de oricio con tuberías de 2” y 4”. Longitud de líneas de conexión al proceso +# /]'. '.  $ $& . ocupan mayor espacio. El ahorro en escaleras. compensan en poco tiempo el extra coste inicial de este tipo de montaje. Los instrumentos deben ser montados lo más cerca posible de las tomas de impulso y en zonas con gran ventilación. horas de ejecución de los trabajos y el aumento de la seguridad. salas de interconexiones. Sin embargo. Las posibilidades de error disminuyen con líneas cortas. La unión de los instrumentos a las conexiones de los elementos de caudal se hace con líneas de impulso de longitudes comprendidas entre tres y doce metros.&  diante las líneas de conexión de instrumentos a salas de control. andamios. la buena ubicación y accesibilidad de los instrumentos en suelo o plataformas accesibles es uno de los factores fundamentales para la ejecución de un buen mantenimiento. Cuanto más cortas sean las longitudes de las líneas hay menos posibilidad de fugas. La $  . paneles locales o cualquier local que pueda estar cerrado aunque solo sea parcialmente. Las líneas largas requieren mayor soportado. requieren más materiales y tienen mayor riesgo de fugas. de taponamientos y mayor velocidad en la respuesta del transmisor a las variaciones en la presión diferencial. . ' $ ' . ' ''. ' & /. ]' limpios y de viscosidad similar a la del agua.   .  ()  Los medidores se instalarán siempre por debajo de la línea de proceso. Habrá una pendiente ascendente desde las cámaras del transmisor hacia la tubería. para que 199 . De esta forma. Las líneas deben tener siempre una pendiente hacia arriba superior al 10%. Las conexiones alternativas de 45º hacia abajo se evitarán siempre que sea posible.200 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.18. las tomas de presión estarán siempre llenas de líquido y equilibradas. En la Figura 8. cualquier gas que quede atrapado..   .. así el instrumento medirá solo la presión diferencial correspondiente al caudal. para impedir taponamientos a lo largo del tiempo.18 se muestran dos tipos de montajes remotos que permiten situar el instrumento en zona accesible y exenta de vibraciones. pueda escapar hacia arriba. Figura 8. para facilitar el venteo de cualquier gas que pueda haber en las cámaras del transmisor o en las líneas. incluso en la puesta en marcha inicial. Medida de caudal de líquidos.  .  .   . o gas que pueda tener condensables.19 muestra la disposición típica de los transmisores para la medida de gas seco. El montaje de los transmisores por encima de la línea de proceso y con pendiente en caída desde el transmisor hasta la  . La Figura 8. 'P. .'/#  $' 3 $   /) 3 $nan por su propia pendiente. Elementos de campo del Sistema Instrumentado de Seguridad Cuando por diferentes razones el instrumento no se puede montar por encima de   . 'P. '/)  /# . $.  &  $quido. Las conexiones de la placa  .20. se efectuará un montaje como el de la Figura 8.  . '  '& /.  ''. Este montaje impedirá que se formen columnas de líquido en las líneas de impulso y el instrumento medirá correctamente durante largos periodos de tiempo. 201 . se drenará hacia los potes.19. y se dará pendiente a las conexiones para que cualquier líquido se drene hacia los potes. $ '' P# 6'$   potes de recogida de condensado en ambas líneas. Se deben revisar y drenar los potes cada cierto tiempo. Medida de caudal de gases. El instrumento se situará más alto que la conexión a las líneas de impulso verticales. Figura 8. Las válvulas sobre los potes estarán abiertas en servicio normal. Cualquier líquido que entre o se condense en las líneas de impulso. en función del líquido que se acumule. .20.202 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Medida de caudal de gases con potes de drenaje. Figura 8..   .   .  . .  En la medida de vapor de agua. los instrumentos se deben instalar por debajo del  $''. ' )  '$ . ' P. '$   '$' . se debe facilitar que se interpongan columnas de condensado entre las cámaras del instrumento y el vapor que va por la tubería. En la Figura 8.sación y el enfriamiento del vapor.21 se muestran dos montajes típicos de transmisores remotos para ' . o en la electrónica del instrumento. Debido a la alta temperatura del vapor. que puede causar daños en las cámaras.    . O'  . 'P. ' . En todos los casos. y se puedan anular una con la otra. con salida en horizontal. o en 45º hacia arriba. y consecuentemente al caudal de vapor. las dos conexiones de alta y baja presión deben salir al mismo nivel. . De esta forma. la presión diferencial que medirá el transmisor corresponderá a la generada por la placa. para que las columnas de líquido en ambas cámaras del transmisor tengan la misma altura. o en vertical hacia arriba. cuyo desplazamiento volumétrico suele ser menor de 0. como ocurría en los instrumentos antiguos del tipo célula Barton. para que las columnas de líquido en las líneas de alta y baja presión estén siempre equilibradas y solo mida la presión diferencial producida por el elemento generador de presión diferencial.08 cm3. Al aumentar o disminuir el volumen de las cámaras por el efecto de la variación de presión. Con los instrumentos de las últimas generaciones. no es necesario utilizar los potes de condensado. Medida de caudal de vapor. el líquido condensado que contienen es necesario reponerlo rápidamente. W&43. Los potes de condensado se utilizan fundamentalmente con los instrumentos que al variar la presión en las cámaras.21.Elementos de campo del Sistema Instrumentado de Seguridad Figura 8. Estas se contraen o expanden. Esta variación mínima. con el máximo desplazamiento volumétrico indicado. la variación de altura de columna es inferior a 1 mm. es el objetivo que se trata de conseguir cuando se instalan $  . ' $&'#'O' &ÇVW*' $ interior de 10 mm.   6  P  3 .   '$ $  & Q   '$  4$'. /  P. '$ .  3   $  $  &'$ . y que las salidas de las líneas de conexión hacia el instrumento estén al mismo nivel. 203 .    condensación en las dos líneas. 204 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. CONEXIÓN DE VARIOS INSTRUMENTOS DE PRESIÓN DIFERENCIAL En las plantas de proceso muy instrumentadas y con criterios estrictos de seguridad. 8..7.2.   ' .  .   . 'P. '$''    ' . ' diferentes. por ejemplo: función de control del caudal. función de alarma por alto o bajo caudal y función de seguridad para producir actuaciones sobre el bloqueo. disparo. o arranque de equipos. + P#  $'  $  $ Q. '$ $ caudal. Estas se pueden conseguir de dife$  '# P &'' 3 '#  . Cuando se requiere más de una función. +  ' . un fallo solo afectará a una función. de alarma o de seguridad. De esta forma. aunque tengan asignadas funciones de control.     La función con máximo nivel de seguridad se asigna a un instrumento que tiene conexiones eléctricas y mecánicas independientes de otros instrumentos.  /&'  & P &''  $ '  &   ''. ' / . 'P. '/S$'/$& )¾#/ acepta que con una sola placa se puedan conectar hasta tres transmisores. para obtener la máxima P &'' )''&'' . Se recuerda que la posición de las conexiones del elemento generador de presión diferencial se debe realizar como se indicó en los párrafos precedentes. Cualquier otro fallo que pudiera darse en un instrumento. actuaría el disparo llevando el proceso a posición segura. por exigencias de arquitectura del sistema. .' '$ En la Figura 8. La obstrucción en una de las conexiones del otro lado podría inutilizar las funciones de control y alarma. Cuando la función necesita un alto nivel de seguridad por probabilidad de fallo ante demanda. las conexiones mecánicas de alta y baja presión tienen como punto común la válvula de raíz y el niple de conexión a la brida. se requieren tres instrumentos transmisores para la función de seguridad con la disposición dos de tres (se produce la acción de seguridad cuando dos de los tres instrumentos alcanzan el valor deseado). pero en este caso. pero la función de seguridad actuada por el otro transmisor. Las funciones de control y de alarma previa de caudal se consiguen con instrumentos y conexionados independientes entre sí. que es totalmente independiente. o cuando es necesario por ambas situaciones a la vez. por ejemplo la obstrucción de una de las conexiones a la placa. o en un conexionado eléctrico. Con esta disposición y un solo fallo.22 se muestra una disposición de montaje con tres funciones. en cada línea respectivamente. se podría inutilizar el transmisor del sistema de seguridad. el transmisor de control y el de alarma previa nos permiten mantener el proceso en control seguro. La función de seguridad se consigue con un instrumento cuyas conexiones mecánicas son totalmente independientes. En este caso. como consecuencia de ello se desestabilizaría el proceso. afectaría a una sola función.    $''  $ '$ $ $  ' .22. Conexión de tres instrumentos a una placa de oricio.Elementos de campo del Sistema Instrumentado de Seguridad Figura 8.    . P# . De las J . se puede prescindir de un instrumento independiente para producir la función de alarma previa con valor anterior al de disparo.'   tres para producir un disparo. $' $$  '' /. P# . En este caso. Veamos las posibilidades que se pueden dar para hacer la conexión de los transmisores al proceso: ^ N$'' . tenemos un transmisor para el lazo de control y tres transmisores para las funciones de alarma previa y de seguridad. para que alerte al operador.'$9  del sistema de seguridad se puede obtener un valor para que se produzca una alarma a un valor previo al de disparo.  . '  '# ?BB. $$  '+$  ' y las conexiones de impulso para funciones de alarma previa no existen por las razones dadas anteriormente. Los tres transmisores del sistema de seguridad se conectan en paralelo a las líneas ' 3 P# ''. El transmisor del lazo de control va por conexiones de impulso. conexionado eléctrico y sistema de control independiente. .  R:X#'   '$ $ ' '   ' '$)&  $ . las conexiones eléctricas y los componentes electrónicos que componen el circuito de cada instrumento de seguridad. se pueden independizar los instrumentos.P# ción. Los transmisores de seguridad tienen en común las líneas de impul/   ) . O'  &'   . 'P. conociendo el tipo de producto a medir. su limpieza y la forma en que se efectúan las conexiones podemos 205 .' De acuerdo a lo que se indicó anteriormente. 206 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Con productos sucios o viscosos. $' # P &'' ) '&'' $  '$   de impulso o las conexiones. es porque se requiere un alto grado de seguridad y una buena disponibilidad de funcionamiento de la instalación.23. Conexión de tres instrumentos con máxima separación. Cuando se utiliza una composición dos de tres para el disparo. Figura 8.. el taponamiento de las conexiones es desechable. las posibilidades de taponamiento deben ser tenidas en cuenta y hacer que se desestime este tipo de conexionado mecánico. o con conexiones en 45º hacia abajo en líquidos.. ^ . Con líquidos limpios y conexiones en horizontal. o con gases secos y conexiones hacia arriba. '    ' '# ?BB ' &. O' &  '   . /' '    '   . $)    P#  actual. Conectar dos transmisores de seguridad en un lado y el transmisor de control y un transmisor de seguridad en el otro lado. +  '$   #'  . Si se obstruyen las conexiones correspondientes a los dos transmisores de seguridad y se bloquean en un valor que no es el de disparo. Con este tipo de montaje. Cuando se produzcan variaciones apreciables en el caudal. el sistema sigue funcionando mediante el lazo de control. la señal del transmisor de seguridad en el lado del control tendrá un valor diferente al de los otros dos transmisores de seguridad que se han blo- . dos de los tres transmisores de seguridad comparten las conexiones desde las válvulas de raíz hasta las bridas.P#    $9        desviación de cualquiera de los tres transmisores de seguridad. Si se obstruyen las conexiones correspondientes al lazo de control y al transmisor de seguridad. En el caso de que las perturbaciones sean incontrolables.  &$. Esta alarma obliga a hacer una revisión de los tres transmisores y del sistema de seguridad y se podrá detectar el bloqueo de las señales. dependiendo del sistema y de las perturbaciones detectadas. En este caso. lo máximo que puede ocurrir es que se produzca el disparo. antes de llegar a la condición de disparo. puede que el operador logre estabilizar el proceso. la seguridad del sistema estará garantizada.Elementos de campo del Sistema Instrumentado de Seguridad ^ queado y se producirá la alarma de desviación. el sistema se desestabilizará por mal control y se llegará a la condición de alarma previa. Se producirá mediante los dos transmisores de seguridad que están conectados en el lado opuesto y que funcionarán correctamente. ' O'   . ' . Exige '$     .O''$ $ consigue con una instalación como la que se muestra en la Figura 8.23.   'P. '    '  '  .  / .  . $. para el mismo caudal y presión diferencial. /  duplica la pérdida de carga permanente del sistema debido a las dos placas. Se tendrán en cuenta los errores de medida. es necesario cumplir con los requerimientos de tramos rectos entre las placas u otros elementos que puedan estar entre las mismas. Para que las medidas de las placas sean correctas. Las dos placas deben tener el mismo diámetro y tienen que ser calculadas con las mismas condiciones operativas. ' $ . P# . '/. '$' . '  $  '  6 '#     . ' )  ' .    . P# . ' $'P. Para una aplicación que se actúa con un solo transmisor (1001) y en la que se efectúa una prueba del instrumento cada año. se obtienen valores de las tasas de fallos peligrosos no detectados que van de 0.9 x 10-7 x 8760 / 2 = 8.9 x 10-7 fallos por hora.'$ Seguridad Como se indicó anteriormente.32 x 10-4 207 . Los transmisores electrónicos son aparatos del tipo B.75 a 3. Los datos que se dan a continuación afectan solo a los transmisores y se hace notar que están obtenidos en pruebas de laboratorio con condiciones ideales. se han dado las recomendaciones generales que se deben cumplir.00 x 10-7 fallos por hora. la mayoría de los fallos en la medida de caudal por presión diferencial se producen en las líneas de conexión del instrumento al proceso. muy alejadas de las condiciones reales de los procesos industriales. por ello y para minimizarlos. Tomando datos de catálogos de diferentes transmisores de presión diferencial utilizados en el mercado. Tomando un valor medio de ™DU = 1. se obtiene la probabilidad media de fallo a demanda: G* # ™DU x TI/2 = 1. 208 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. trabajando a 40 ºC tienen una vida útil mayor de 50 años.. La vida útil recomendada para estos instrumentos en aplicaciones de seguridad.. Los datos reales disponibles de los transmisores en campo indican una vida útil bastante inferior. En los sistemas electrónicos. Si no se dispone de da$. los cuales. es la que corresponde a los elementos que lo componen. La tasa de fallos se garantiza durante el periodo de vida del instrumento. los componentes limitativos son los condensadores electrolíticos. $'P. /& '$. ). En este apartado veremos las formas de conexionado al proceso y las posiciones más convenientes para instalar el instrumento. Las recomendaciones para el diseño de líneas que se indican a continuación son similares a las que se dieron para el montaje de instrumentos de presión diferencial. . control o seguridad. MEDIDA DE PRESIÓN Para conocer la presión en los procesos industriales. es necesario conectar al proceso el instrumento transmisor utilizado para funciones de indicación. J' T$' 8. La medida de esta variable es relativamente sencilla.3. respecto a la toma. $3 Q .  3''$' 3 '. se deben evitar las líneas largas. situado remotamente en una sala de control centralizada. tóxicos y su manipulación puede resultar peligrosa. se detecta la presión lo más cercana posible al proceso y se transmite la señal a un sistema de control. por ello. denominada válvula   /    $&   . Las líneas para conexión al proceso deben ser lo más cortas posibles. para evitar derrames. Como ya se comentó para los instrumentos de presión diferencial. y los riesgos derivados de los productos que contienen. o a un sistema de seguridad. '] bles. La primera válvula de bloqueo en la conexión del proceso.  .    . 'P. . ' . En la Figura 8. aunque con altas presiones o con ciertos productos pueden ser soldadas.24 se ven detalles típicos de conexión de presión. para líneas de DÇV) /) BV) )  $ . La conexión hacia el instrumento puede ser roscada.'$  servicio del que se trata. La conexión al proceso se hace normalmente de ¾” y la primera válvula y el niple son también de ¾”. O'. $  ')  ËV/ P#  '3' 3''. preparado para soldar directamente a la tubería. Estas variantes proporcionan gran robustez a la conexión y ahorran la soldadura del niple a la válvula. La tubería para el conexionado de los instrumentos de '&'$   .   válvula con el cuerpo extendido que hace de niple para soldar en la T. y en la derecha un válvolet forjado con la válvula incorporada. .  . 'P. . En gran parte de los servicios se utiliza tubería de acero al carbono de ¾” y Schedule 80 o superior. para el servicio que se requiere.'$&    principales de proceso. o el tubing . .'O' &6XE@XDA/ÇV diámetro exterior (OD). es necesario tener en cuenta la posición relativa del instrumento con respecto al punto donde está la toma del proceso. independientes para cada instrumento. en la cual se quiere medir la presión. El instrumento medirá con error por exceso. 8. 209 .3. las posibles columnas de líquido entre los transmisores y las tomas de proceso deben tener la misma altura. Conexiones de presión. Cuando el nivel de seguridad requiere la utilización de dos o tres instrumentos para una función. Para medir la presión en líquidos. se efectuarán tanto las tomas al proceso como las líneas de conexión.24.1.Elementos de campo del Sistema Instrumentado de Seguridad Figura 8. es una buena opción la utilización de un manifold de una vía y dos válvulas. las tomas del proceso estarán a la misma elevación y los instrumentos se situarán al mismo nivel. Si el instrumento se monta más bajo que la toma. además de la presión del proceso el instrumento medirá también la presión correspondiente a la altura de la columna de líquido que hay entre el transmisor y la conexión al proceso. con el instrumento adecuadamente soportado y exento de vibraciones. Cuando se utilizan varios instrumentos para la misma función de seguridad. Además de disponer de la válvula de raíz para poder aislar del proceso la línea de conexión y el instrumento. para aislar y purgar el instrumento en las labores rutinarias de pruebas y mantenimiento. Con el objetivo de que tengan la misma medida. CONEXIONES CON MONTAJE REMOTO Los instrumentos de presión para funciones de seguridad se efectuarán siempre con montaje remoto. si el transmisor se monta por arriba o por abajo.5%. por ejemplo 1 kg/cm2. Si el instrumento se monta más alto que la toma. por arriba o por debajo de la conexión al proceso. Con líquidos o gases condensables. para evitar error.3 kg/cm2 (1 kg/cm2 + 0. dependiendo de la precisión requerida.25). Suponemos que el instrumento está montado tres metros más bajo que la toma de presión y que la línea está llena de agua. De lo anterior se deduce que con gases secos el transmisor puede montarse indistintamente donde sea más accesible. Figura 8. se puede medir de varias formas distintas.210 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Cuando se miden presiones bajas. .3 kg/cm2.25..000 mmca) y tendrá un error del 30% que no es aceptable. el instrumento indicaría una presión de 20. si la presión a medir fuera de 20 kg/cm2.. Medidas de presión. se introduce el error correspondiente a la columna de líquido que se acumule entre el transmisor y la conexión al proceso (véase la Figura 8. el error por la diferencia de posición puede ser aceptable. El instrumento indicaría una presión de 1. En la medida de presiones altas. la posición del instrumento respecto a la toma es muy importante. o en la medida con gases. El instrumento medirá con error por defecto. la presión de la columna de líquido formada entre el transmisor y la toma se opondrá a la presión del proceso. Medida de diferencia de presión La diferencia de presión entre dos puntos de un proceso. En el ejemplo anterior. el error por exceso sería del 1.3 kg/cm2 de la columna de 3. El instrumento debe estar en el mismo nivel. Elementos de campo del Sistema Instrumentado de Seguridad   .   . es necesario tener en cuenta el error debido a la imprecisión de cada uno de los transmisores utilizados. la medida puede resultar difícil de efectuar. y en el sistema de control se hace el cálculo de la resta entre las presiones medidas por cada transmisor. El error del instrumento debe ser muy ''  ''.   Se puede medir la presión en cada punto con un transmisor de presión relativa. Cuando la diferencia de presión entre los dos puntos es pequeña y la presión a medir en cada uno de los puntos es alta. En este caso. Si por 'P.' 33' '/  3$  P &G   que la medida sea lo más correcta posible. para evitar columnas de líquido. se debe tener en cuenta que el modelo y el rango de medida de los dos transmisores debe ser exactamente el mismo en ambos. Si la presión diferencial a medir es pequeña. El error va relacionado con el rango de medida y los dos transmisores deben tener un error similar y bastante menor que la presión diferencial que queremos medir. cada transmisor debe estar instalado a la altura de la conexión correspondiente. $   $ Q  &'. . '  '$ $ &'  . para corregirlas con el correspondiente ajuste de cero del transmisor.   .    3'/  tendrán en cuenta las presiones de las columnas. .        . siempre que la presión diferencial a medir esté dentro del rango de medida del transmisor. Se deben tener en cuenta las columnas de líquido que se formarán en las líneas de conexión de alta y baja presión.   . puede ser más precisa que la efectuada con dos transmisores. La medida de la diferencia de presión entre dos puntos del proceso con un solo transmisor de presión diferencial. y la posición del transmisor respecto a las tomas de alta y baja presión.       . .  . . . 6']'. # /'$ $'$ . '  $  y se tendrán en cuenta las mismas consideraciones que se tienen para la medida de .  . que será equivalente a la del proceso. Las dos líneas deben tener sus columnas de líquido equilibradas.   .# 6']'3'/'$ $'$ & Q  tomas y se tendrán en cuenta las mismas consideraciones que en la medida de caudal de líquidos. y así el transmisor nos dará la diferencia de las presiones medidas en sus cámaras de alta y baja presión.       .     . . al medir la diferencia de presión entre los lechos de un reactor. La diferencia en la altura de los 211 . Por ejemplo. o entre bandejas de platos de una columna de destilación. En este caso. la columna de líquido formada por esta diferencia de altura introduce un error que puede ser muy importante. Se debe tener en cuenta la presión ejercida por esta columna. 6']'  '# . para corregirla en el ajuste del instrumento. puntos a medir puede tener varios metros. si el transmisor se monta en la parte inferior y el producto interior es líquido.. Si la diferencia de altura de las líneas de alta y baja presión es de varios metros.212 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. las líneas de conexión de alta y baja presión estarán llenas de líquido. o se condensa a temperatura ambiente. /#  .  3J   $ . Figura 8. Medida de presión diferencial.26. se debería considerar el calentamiento de las líneas mediante acompañamiento de vapor. 6']'  '  ). &  temperatura ambiente y el instrumento se instala por encima de la conexión superior con pendiente en las líneas de alta y baja presión para que cualquier condensado que se forme en las líneas se drene hacia las conexiones del proceso.26). para impedir la condensación. Si la cantidad de gas-vapor condensado fuera apreciable y el drenaje pudiera crear taponamientos en las conexiones. no se formarán columnas de líquido en las líneas del transmisor y la medida será correcta (véase parte superior de la Figura 8.  & $  $  &'$3'/ nos debemos asegurar de que el montaje del instrumento está a la altura. y que las líneas de alta y baja presión estén siempre llenas de líquido. o debajo de la toma inferior. se tendrán en cuenta las columnas de líquido que se forman . De esta manera. Supongamos que se va a medir la pérdida de carga en una columna de destilación a lo largo de varios platos de separación. De esta forma. Seguridad Se recomienda que las aplicaciones de diferencia de presión para funciones de seguridad sean realizadas con transmisores de presión diferencial. En estas condiciones. la cámara de alta presión del transmisor se conecta a la zona de alta presión del proceso y la cámara de baja presión del instrumento se conecta a la zona de baja presión del proceso. En la cámara de baja presión se detecta la presión dinámica del proceso en la parte alta de la columna de destilación. Los valores de seguridad son parecidos a los que se dieron en el apartado anterior para los transmisores de caudal por presión diferencial.Elementos de campo del Sistema Instrumentado de Seguridad en las cámaras y líneas del instrumento. Las columnas de líquido de las líneas de conexión desde las cámaras del transmisor hasta la altura de la toma inferior producen la misma presión en una y otra cámara y no se tienen en cuenta porque se anulan. Se debe ajustar el cero del transmisor con la presión correspondiente a la columna de 10 m (10. La línea de alta presión.7 = 7. El instrumento  $ & Q $ ''(P'4   $'' '#  8. para que la medida sea correcta. Se debe corregir la presión correspondiente a la altura de columna entre las tomas de alta y baja. Desde el punto de vista de seguridad. con el ajuste de cero del instrumento.7.26.000 mm x 0. la señal de salida dada por el transmisor corresponderá exclusivamente a la diferencia de presión del proceso entre los puntos de las tomas de alta y baja presión. no se puede garantizar que esté llena de líquido y no se sabría qué cantidad de columna de líquido habría que compensar en el ajuste de cero del transmisor.000 mmca) aplicada a la cámara de baja.   . lo que haría imposible una medida correcta de la presión diferencial. tienen características similares. no se recomienda montar el instrumento en la parte superior. que va desde la toma inferior hasta el instrumento instalado arriba. Supongamos que la diferencia de altura entre las tomas de alta y baja presión es de 10 m y la densidad relativa del producto que entra en las líneas es de 0. las dos líneas de conexión estarán llenas de líquido. los transmisores de presión y diferencia de presión. o en los lechos de un reactor. Siempre habría gas en cantidad desconocida en la parte alta de la línea. más la presión correspondiente a los 10 m de columna de líquido. con el instrumento instalado y las columnas de las cámaras de alta y baja presión llenas de líquido. Cuando en las líneas de conexión hay líquido.  Los montajes de presostatos se deben hacer remotos. para evitar vibraciones. se instalan con un manómetro 213 . Debido a que el presostato no tiene indicación local. Se deben soportar de manera independiente de las tuberías de proceso y de las líneas de conexión. para eliminar fallos por causas comunes. En estos casos. cada instrumento actuador transmisor o presostato. Seguridad $ $&'$ . El montaje puede ser con tubería rígida como en el detalle de la izquierda de la Figura 8. se conectará al proceso con conexiones y líneas independientes.. Conexiones de presostatos. Figura 8.. utilizando una sola conexión a proceso para los dos instrumentos.27. o con tubing y accesorios rígidos como en el detalle de la derecha de   ' P#  Cuando se requiere un sistema con alto nivel SIL y con gran disponibilidad de planta en funcionamiento. Tendrán válvulas de aislamiento y purga independientes para el manómetro y para el presostato.27. indicador.214 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. se utilizan tres presostatos con disposición de actuación dos de tres.   &'P') .  . + ADHE?.  'P. .     $$'+ '. . '#'  tiene cero tolerancia al fallo. Según distintos modelos y fabricantes. R . las fracciones de fallo seguro SFF varían desde 61 a 84%. $'P.  ' &'. $)'$ $ $/& 3 $   '#$. se obtiene la probabilidad media de fallo a demanda: G* # ™DU x TI/2 = 1.2 a 2.16 x 10-7 x 8760 / 2 = 5.$ ™DU varía desde 0. Para una aplicación que actúa con un solo transmisor (1001) y en la que se efectúa una prueba del instrumento cada año. .12 x 10-7   +#'  '$ '™DU = 1.08 x 10-4 .16 x 10-7 fallos por hora. Los cálculos & .Instrumentos mecánicos con interruptores.1.Elementos de campo del Sistema Instrumentado de Seguridad El valor es mejor que el que se obtuvo en el apartado 8.2 Tecnologías . Aquellos instrumentos son de diferentes modelos y fabricantes. y están en funcionamiento desde hace más de 25 años. .  $. $'P.  $''   '. . 4.' 8. MEDIDA DE TEMPERATURA   ' $  $ ]'. '.  $. 3 '. '$'   ' &3$  T$''P. $  ' '$ . '. % ). y por la manera en que se debe indicar. transmitir o controlar la temperatura. por la precisión con la que se quiere medir.   aplicación concreta vienen determinadas por las condiciones de presión y temperatura de trabajo. por la inercia térmica o velocidad de detección en las variaciones de la temperatura. .   )3 '). $ $  $ ]'. Siempre se ha de poder medir de forma que no sea necesario interrumpir el proceso cuando exista una avería. o cuando se tenga que hacer una 'P. o tan altos como 870 ºC y 60 kg/cm2 de presión. la temperatura se ha de medir con la precisión y velocidad de captación que exija el proceso. valores tan bajos como -10 ºC y por ejemplo 3 kg/cm2 de presión. En ambos casos y en combinaciones de valores intermedios. . ' $$. $  ' $  $ . unido me' $$&. También utilizan este tipo de elemento detector los termómetros de bulbo y capilar que utilizan los termostatos. El termómetro de bulbo consta de un bulbo metálico. industriales se basan en alguno de los siguientes fenómenos físicos. Variaciones en el volumen o en el cambio de estado de los cuerpos (gas o líquido). Elementos de Bulbo A este tipo pertenecen los termómetros de vidrio encapsulados en contenedores metálicos (muy poco utilizados en procesos industriales por su fácil rotura). '   ' /  .   $'. . moviendo una aguja en una escala graduada para indicar la temperatura existente en el bulbo. Termorresistencia + $. Variaciones de resistencia de un conductor.  $]O'& Cuando la temperatura del bulbo cambia. el gas o el líquido en el bulbo se expanden. y se transmite la expansión a la espiral que tiende a desenrollarse. '$  $  '$ 'P. . El material utilizado para la termorresistencia &$'$  ' /)&$.$ utilizado. El hilo está bobinado sobre capas de material aislante y protegido con un revestimiento de vidrio o cerámica. P. '$'$. ' &'P'/3O  $  $ . 'P.    ' . ' '$. '  ohmios del conductor por cada grado centígrado que cambia la temperatura. 215 . ..216 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. $.. cuyas uniones están a diferente temperatura. monel o acero y una aleación de ferro níquel denominada invar (contiene 35% de níquel) que están laminados conjuntamente. Thomson. descubrió en 1821 que cuando hay un circuito cerrado formado por dos metales distintos. formando espirales o hélices. se establece una corriente eléctrica en el mismo. observo que si un hilo de metal simple o aleado se calentaba en un extremo. midiendo la fuerza electromotriz que se genera entre los extremos del lado frío de los conductores del termopar. Seebeck. Las dos causas que contribuyen a la generación de la fuerza electromotriz Fem que produce la corriente son las siguientes: Peltier. Teniendo en cuenta lo anterior. Peltier y Thomson. Teropar Estudiando los efectos descubiertos en su momento por Seebeck. entre los extremos caliente y frío del hilo se generaba una Fem (conocida como Fem de efecto Thomson). la Fem total que se produce en un circuito eléctrico formado por dos metales distintos. Este tipo de sensor se utiliza en termostatos para el control de temperatura de sistemas económicos que no requieren gran precisión. se comprende el fenómeno físico por el cual se puede conocer la temperatura de una fuente de calor que se aplica a un termopar. es la suma de los efectos Peltier (Fem en cada unión del circuito) y Thomson (Fem sobre cada hilo). uera electrootri creada en la unión de dos etales disntos. No se utilizan en sistemas de seguridad para la industria en general. tales como latón.&        Elementos bimetálicos Están constituidos por dos metales. observó que dos metales distintos puestos en contacto producían una Fem. Las láminas bimetálicas pueden ser rectas o curvas. la magnitud de la Fem depende tanto del tipo del metal del hilo como de la diferencia de temperatura de los extremos. y que la magnitud de la Fem dependía tanto de la temperatura como de los metales utilizados. La Fem total de este tipo de circuito depende de la temperatura de las dos unio6' $  $  'PQ   . Por supuesto que se deben tener en cuenta los signos algebraicos de las cuatro Fem (dos uniones más dos hilos). . '/.  3'. En este principio se fundamenta la medida de temperatura mediante los pares termoeléctricos o termopares. CONEXIONES DE TEMPERATURA AL PROCESO Las conexiones para medir la temperatura en los procesos son muy importantes. la temperatura de la otra unión (unión caliente) puede ser determinada por la medida de la Fem desarrollada en el circuito.1. 8.4. Q /  temperatura de fusión del hielo que es de 0 ºC. . $ Q. . '/']'3  '  la temperatura sea o no correcta. Excepto los casos en los que se mide la tempera- . Elementos de campo del Sistema Instrumentado de Seguridad $  P. 'O$ $& . $ '$/  $ . $.  $#   P. se hace necesario efectuar agujeros en las tuberías. en todos los demás casos. para la medida de la temperatura. para $. con los elementos sensores en su interior.'skin points. en los recipientes o en los equipos. para poder instalar los termopozos roscados o bridados. $  $  $ ]'$O . y 4”. Para poder introducir los termopozos o vainas.$3' '+ la Figura 8. de las posibles conexiones de temperatura que se pueden realizar en tuberías de procesos químicos. el tamaño mínimo de línea debe ser: 3” cuando se inserta en codos. Los tipos 4 y 5 se utilizan para servicios en los que la vaina irá roscada. La posición del accesorio elboletPQ  . cuando se inserta en tramos rectos de tubería.28 se muestran varias. ' '. . ']'+$'=. Para las conexiones en tramo recto de tubería. Si las conexiones se disponen en codos y el tamaño de la línea fuera inferior. horizontal o vertical.&$/$& )&' $''  para servicios en los que la vaina debe ser bridada. 2 y 3 en tubería recta. son para servicios que permiten vainas o $ . se deberá aumentar a 3”. Los tipos 1. el tamaño mínimo de la misma deberá ser de diámetro 4” o se aumentará el tamaño de la línea hasta este valor. / '. . ']'''$$'A/>)? para vainas bridadas.  #'$/<) $'3PQ    .  $ J$& ) midas como estándar por tuberías e instrumentación. Instrumentación P' #'$  '    . de esta forma.  . 'P. . '.   6 indican las distancias mínimas entre los diversos accesorios para conexión Sockolet.  #'$/+&$/$. / $     . .   $&  ]. Q  ''.  '. . ' 3']''$)  '. ' 3&. .  . O'+ #. /]' circular indistintamente en dos sentidos. los productos que se manejan son completamente inocuos. Las conexiones roscadas en las líneas de proceso solo se utilizan donde la presión-temperatura es muy baja. la posición de la toma y el sentido del caudal deben ser únicos. y además. en otros casos como en los codos. 217 . 218 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Conexiones de temperatura.28.. Longitud de inmersión Representa la distancia entre el extremo libre del termopozo y la parte roscada o   $'' &' PQ .. Figura 8. '3 . . la longitud de inserción debe ser P.29 y la longitud B en la Figura 8.'& $& 3' Es la longitud A mostrada en la Figura 8.30. Para la mejor ejecución de la medida de temperatura. '$ $#    '$'3  $'& $$. La instalación adecuada es la que permite que el elemento detector esté sumergido en toda su longitud más  #    ]' '# / ' '&$  #'$ del elemento sensor. cuya longitud puede . Los termopares y los termistores tienen una longitud sensible muy corta. las termorresistencias y los bulbos termométricos llenos de líquido o gas tienen elementos sensibles largos o muy largos.$$4 totalmente sumergido en el medio en el que se quiere medir. más tres pulgadas. Los termómetros bimetálicos. Para tener una buena medida de la temperatura.Elementos de campo del Sistema Instrumentado de Seguridad variar entre 1” y 6”. toda la longitud  $'&&$  #' ]'. Longitud de inmersión Es la distancia desde el extremo libre del termopozo donde se sitúa el elemento  $' ']'. Es muy conveniente que el suministrador del instrumento con bulbo suministre también el termopozo correspondiente.) $  $ 3' medir. se hace necesario tener cuidado especial con la longitud de inserción de estos elementos. Como los bulbos de sistema lleno de líquido o gas tienen longitudes y diámetros grandes. ) $  $ 3  'G   obtener la máxima sensibilidad y el mejor tiempo de respuesta en la medida de la temperatura. diseño de la conexión mecánica y grosor de las paredes del termopozo. espacio disponible. También depende  ' '. la longitud óptima de inmersión depende de factores tales como: tipo de elemento sensor. termopar. termorresistencia o bulbo. ]'/. P. '$$ . ' . /  . ' ]') '. Figura 8. 219 .' $  $ $$ ' ) la brida o rosca superior del termopozo.29. Conexiones roscadas. Figura 8. Conexión bridada.220 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO..30.. N ' ''P. '$. '3'$  ' . $ $P ' 'N #'$' 'O. ' /Q$.   $ . ' ]'/. 29 y 8.   $ $  En las Figuras 8.4. La parte de la vaina cercana al centro de la tubería es la que está inmersa en el líquido al cual se quiere medir la temperatura. TERMÓMETROS DE SISTEMAS TÉRMICOS LLENOS (BULBO Y CAPILAR) Los sistemas de medida de temperatura basados en sistemas encapsulados llenos .30 se observan las posiciones relativas de las vainas respecto a la línea central de las tuberías.2. Las dimensiones de las cotas “A” y “B” según sean vainas roscadas o soldadas. Se considera posición idónea la que sitúa el elemento sensor cercano al centro de la línea de proceso. 8. es la parte de la vaina que está insertada en el líquido de proceso. 3'/#  .   &/ ' 6K6. '$'P. 1 se pueden ver los tipos de sistemas. En la Tabla 8. los rangos de temperatura de aplicación para cada gama de instrumentos. . Apparatus Manufacturer of America). y la longitud máxima recomendada para los capilares. dependiendo de los rangos de aplicación. los tamaños mínimos y máximos de los bulbos en longitud y diámetro. C.5 x 5/8 a 10 x 7/8 30 Expansión de mercurio -40 a 650 ( V-A. B. TIPO DE SISTEMA (CLASE SEGÚN SAMA) TEMPERATURA RANGO oC TAMAÑO BULBO (PULGADAS) CAPILAR LONGITUD (METROS) Presión de vapor (II-A.Elementos de campo del Sistema Instrumentado de Seguridad Tabla 8.5x 9/16 a 4 x 11/16 I-A = 30 I-B = 6 -185 a 315    &. V-B) 3x ½ a 6 x 5/8 V-A = 30 V-B = 15 Expansión de líquido (I-A. I-B) 2. D) -40 a 315 2 x 3/8 a 6 x 9/16 45 Presión de gas (III-A.B) -215 a 815 3.1. Conexión bridada. tanto en la caja como en toda la longitud del capilar. La longitud del capilar debe ser lo más corta posible. Dependiendo de la posición del bulbo respecto al elemento indicador (Bourdon). pueden tener error en la medida. se han utilizado los de dilatación de mercurio SAMA-VA con compensación de las variaciones de temperatura ambiente. es necesario indicarlo al suministrador. teniendo en cuenta la longitud requerida en cada caso. En esta circunstancia. para que desde origen el instrumento venga con la corrección correspondiente al error producido por la variación de la altura de la columna que no es neutralizada por la capilaridad. los instrumentos de clases I y V de expansión de líquido. Se produce error apreciable cuando el bulbo está por arriba o por abajo más de ocho metros. .    En la industria química. &'$  $  &'$ . $  $&. los efectos de la temperatura ambiente sobre el capilar no afectan de forma considerable y no necesitan compensación. ' ) ]''$/ por ello. Para longitudes supe'/'$  ' '#. Con longitudes de capilar inferiores a ocho metros. también afectan a la medida de la temperatura. la tem $  . En estos sistemas compensados. '  ' ]' y montado sobre el principal. el capilar de compensación actúa sobre un mecanismo que se opone y anula el error introducido por las variaciones de la temperatura ambiente sobre el capilar principal de medida. $   ' $ . solo mide la temperatura del producto en el que está sumergido. 221 . Es necesario estudiar cuidadosamente la aplicación donde se quiere utilizar este tipo de detector para. que es la que interesa medir. Las nuevas normativas están restringiendo la utilización del mercurio en usos industriales. si es posible. sustituirlo por otro.']'&&3 $/ y por lo tanto.    &.222 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO... existen otros líquidos mucho más baratos que también se pueden utilizar en los sistemas del tipo de expansión.    . y el alcohol para rangos de -46 ºC a +150 ºC.  ()  Además del mercurio. Los líquidos más utilizados son el xileno para rangos de temperaturas de -40 ºC a +400 ºC. Estos otros líquidos permiten la utilización de materiales distintos del acero inoxidable para el bulbo y el capilar. la presión p es función de la temperatura T.  El principio de funcionamiento de este tipo de instrumentos es el siguiente: el volumen que ocupa una determinada masa de gas a una presión determinada es una función de su peso molecular y de la temperatura. El comportamiento de los gases se representa por la ecuación pv = RT. Esta es la base de la medida de temperatura con los sistemas llenos de gas. Como v (volumen) y R son constantes. Cuando hay un cierto volumen de gas encerrado en un bulbo con capilar unido a un tubo Bourdon. la presión indicada por el tubo Bourdon puede ser calibrada en términos de la temperatura detectada por el propio bulbo. + . P. '$  O '   #   . Con este tipo de sistema de medida de Clase III no es necesario tener en cuenta la posición del bulbo respecto al instrumento de medida.00018.  ) 3    3' o sólidos. debido a la gran relación del volumen del bulbo respecto al muy pequeño volumen del conjunto tubo capilar y tubo Bourdon.00003. El error introducido es muy pequeño. ya que pueden estar varios me$ '&  & Q''$'$ $/'']'  '  $  $      . y el acero inoxidable tiene 0. Si se tiene un bulbo con un volumen mucho mayor que el volumen formado por el del tubo capilar y el del tubo Bourdon.0037. el mercurio tiene 0. por ejemplo: el aire tiene 0. los cambios de temperatura ambiente que afectan al capilar y al tubo Bourdon pueden ser despreciados a efectos de error en la medida. e intenta aumentar el volumen del vapor que $. el líquido y el vapor están en equilibrio en el interior del bulbo. pero en el bulbo se contienen las fases de líquido y gas. aumenta el vapor. En el rango de temperatura a medir. un aumento de la temperatura produce una ebullición de parte del líquido. Es un sistema similar al del gas.   . 'PQ) . . . tam- .' 3  $  '/3 es equivalente a decir que aumenta la temperatura que marcaría el indicador actuado por el tubo Bourdon. del volumen del tubo capilar. del volumen del tubo Bourdon y por tanto. La indicación de temperatura es completamente independiente del volumen del bulbo. puede haber error debido a la columna de líquido formada en el interior del capilar. la escala de estos instrumentos tiene las divisiones más separadas a medida que va aumentando la temperatura.31. el bulbo y todo el sistema está lleno del gas. La presión de saturación del vapor no es lineal con la temperatura. Cuando se instala el instrumento aproximadamente a 7 m por arriba o por abajo del Bourdon. La ejecución de un instrumento con sistema lleno de vapor es prácticamente igual al instrumento con sistema lleno de gas. El resto de los elementos del sistema térmico. Se le debe indicar la posición del bulbo respecto al instrumento. para que utilice un líquido con la presión de vapor lo más alta '&/. En el de gas.31). Sistema térmico de presión de vapor. En el sistema de vapor. como son el capilar y el tubo Bourdon. Figura 8. estarán a la temperatura ambiente (véase la parte derecha de la Figura 8.  Clase IIA Los instrumentos de esta clase se diseñan para medir temperaturas de operación que siempre estarán por encima de la temperatura ambiente. y por ello. al suministrador del sistema.Elementos de campo del Sistema Instrumentado de Seguridad bién es independiente de la expansión o contracción del capilar y del tubo Bourdon debido a las variaciones de la temperatura ambiente. el sistema siempre está lleno de líquido. Dentro del rango de medida de temperatura. el bulbo está lleno parcialmente con líquido y el resto con el vapor del líquido. .  / ']. '   ' . '  $ . 223 . eliminar el error. y por tanto.  )$' en cuenta la fuerza del rozamiento por capilaridad. Se puede calibrar el sistema para anular la diferencia entre la presión de la columna en el capilar y la fuerza del rozamiento del líquido por capilaridad. será la menor posible.  Clase IID Los instrumentos de esta clase se diseñan para medir temperaturas de operación que están por arriba.  Clase IIC Los instrumentos de esta clase se diseñan para medir temperaturas de operación que pueden estar por arriba o por abajo de la temperatura ambiente. No se produce error. El sistema está lleno de líquido cuando la temperatura a medir está por encima de la temperatura ambiente. dado que en este caso. Dentro del rango de medida de temperatura.. mientras que está lleno de vapor cuando la temperatura a medir está por debajo de la temperatura ambiente. por abajo o al mismo valor de la temperatura ambiente. Véase la parte izquierda de la Figura 8. Sistema térmico de presión de vapor.31. no se recomienda su utilización cuando el bulbo y el instrumento están a alturas apreciablemente diferentes. el instrumento medirá incorrectamente. Está lleno de líquido solamente en una parte del rango de medida y por ello.224 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.  Clase IIB Los instrumentos de esta clase se diseñan para medir temperaturas de operación que están por debajo de la temperatura ambiente.. el sistema siempre está lleno de vapor. Figura 8.32. cualquiera que sea la posición de montaje del instrumento respecto al bulbo.32. Véase la parte de la izquierda de la Figura 8. En este $'/3'$'. Este sistema requiere un bulbo bastante mayor que los tipos IIA y IIB. Dentro del rango de medida de temperatura.P   $'$' &&/)#3' no volátil se utiliza para transmitir la presión del vapor al elemento expandible de medida (tubo Bourdon).32. . el sistema siempre está lleno del líquido no volátil. Véase la parte derecha de la Figura 8. ponga un líquido con la '   $ '&/. se le debe indicar al suministrador del sistema para que este.Elementos de campo del Sistema Instrumentado de Seguridad Cuando se instala el instrumento más de 7 m por arriba o por abajo del Bourdon. .  / ']. '   ' . Termostatos La mayoría de los termostatos utilizados en las industrias químicas. que produce un pequeño desplazamiento por el efecto de  O ']'+  '$. además se puede calibrar para anular esa diferencia y por tanto eliminar el error. En vez de utilizar tubos Bourdon para actuar el mecanismo de apertura o cierre del interruptor eléctrico.' tura de columna menos la fuerza del rozamiento por capilaridad será menor. están provistos de un elemento sensor basado en uno de los sistemas anteriormente descritos. o una membrana metálica. pueden utilizar un cilindro con una parte metálica elástica. '$ ' '$ . '. permite ajustar el punto de actuación a la temperatura que se requiere.33 se indican los componentes de un termostato del tipo sistema lleno con bulbo y capilar. que mediante un sistema de palancas se utiliza para actuar el interruptor eléctrico.33. Componentes de un termostato. Figura 8. El punto de actuación deberá estar dentro del rango que permite el instrumento seleccionado previamente. distinto en cada fabricante. En la Figura 8. El diseño mecánico. Los termostatos se requieren preferiblemente con compensación de temperatura en la caja y en toda la longitud del capilar. La longitud del capilar debe ser lo más . $ '&  '$ $$4 .  'P.  '#O- 225 . . el compartimento eléctrico tendrá una protección que será adecuada para la zona en que está ubicado.226 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. sión. En sistemas con lógica mediante PLC que disponen de tarjetas de entrada para señales analógi. Los termostatos se utilizaban frecuentemente para funciones de alarma y de seguridad en sistemas con lógica realizada mediante relés electromagnéticos. /P$'' $  $ '$. ' . . $':$  ' @:BE /3$' ). '' ' )# P &''  Seguridad $ $ $&'$ .   &'P') .  . + ADHE?.  'P. .     $$'+ '. . Según distintos modelos y fabricantes. las fracciones de fallo seguro SFF varían desde 36 a 80%. W& .'#'  tienen cero tolerancia al fallo. $'P.  ' &'. $)'$ $ $ $.  /& 3 $   '#$. 31 x 10-7 x 8760 / 2 = 5.29 a 2. TERMORRESISTENCIAS La medida de temperatura con termorresistencias está muy extendida.33 x 10-7   +#'  '$ '™DU = 1.$ ™DU varía desde 0. se obtiene la probabilidad media de fallo a demanda: G* # ™DU x TI/2 = 1. La forma típica de construcción de estos sensores consiste en un hilo de platino bobinado sobre un cilindro cerámico encapsulado en un tubo de vidrio sellado mediante cemento cerá '.3. 8.4. Para una aplicación que actúa con un solo transmisor (1001) y en la que se efectúa una prueba del instrumento cada año.31 x 10-7 fallos por hora.74 x 10-4 . ''/.   '# ?X@+. P. '$' $ . La intensidad de utilización suele estar comprendida entre 1 y 5 mA. La corriente de excitación que circulará por la termorresistencia debe ser lo más baja posible. El estándar más utilizado para la medida de temperatura con termorresistencia es la denominación PT 100 DIN. que van desde -200 ºC hasta + 600 ºC. para evitar error de recalentamiento por la propia intensidad circulante por el circuito.' materiales que intervienen en la ejecución deben ser similares para evitar roturas por la desigualdad en las dilataciones. pero el rango de temperaturas que pueden medir es bastante inferior al de los termopares. Corresponde a la termorresistencia que a 0 ºC tiene una resistencia de 100 ohmios. Con temperaturas superiores a 400 ºC. Con termorresistencias especiales se pueden medir temperaturas en aplicaciones industriales. Las termorresistencias pueden medir la temperatura con buena precisión. los soportes cerámicos sobre los que se enrolla el hilo de platino plantean problemas de robustez mecánica. . Las termorresistencias tienen un retardo térmico superior al de los termopares. Las termorresistencias se introducen en los termopozos situados en el punto del proceso en el que se quiere medir la temperatura. Conexión de las termorresistencias Las termorresistencias para uso industrial se deben introducir en termopozos. Termorresistencia. La resistencia de los cables es distinta en función de la longitud y sección  ' R &'4 'P. que transforma la variación de resistencia en una señal normalizada de 4-20 mA.34. las termorresistencias son más frágiles que los termopares. se sitúa un convertidor transmisor. En los ambientes industriales. Los cables de conexión de la termorresistencia introducen un error en la medida debido a la resistencia de los mismos.Elementos de campo del Sistema Instrumentado de Seguridad Figura 8. En campo y a una cierta distancia de la termorresistencia.  '$. ' .   ' . ' $  $  ambiente a lo largo del recorrido de los cables de conexión. la resistencia del otro conductor L1 está en serie con la resistencia R3 y el tercer conductor L2 se utiliza para llevar la alimentación al puente. para medidas con buena precisión. 227 .35 y los conductores deben tener igual longitud. se utilizan cables de tres conductores. L1 y L3 se anulan por estar acopladas a las ramas contiguas del puente. Para la conexión de la termorresistencia se suelen emplear cables de tres o cuatro conductores. Las resistencias de la línea. Se puede observar que la resistencia del conductor L3 está en serie con la R4 de medida. con lo cual se anula el error producido por la resistencia de los conductores y por las variaciones de temperatura sobre los mismos. Los cambios de resistencia de las termorresistencias se miden con aparatos que utilizan circuitos basados en el puente de Wheatstone. En plantas industriales. Los cables se conectan como se indica en la Figura 8. Figura 8.. + . Conexión con tres o cuatro hilos. De igual forma.228 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. se anulan las variaciones de resistencia en los hilos de la línea producidas por la temperatura ambiente.35. debido a que afecta de igual forma a los conductores y se compensa de manera automática en ambas ramas del puente. eliminando así el posible error. O'. .  $ '/. . $ .  ''.  . con lo cual se anulan las resistencias de la línea y se mide solamente la resistencia de la sonda termométrica. se conectan con tres o cuatro hilos a un convertidor-transmisor en campo y este envía la señal equivalente de 4 a 20 mA al sistema de lógica. también se desarrolla el supuesto con valores para termorresistencias.'$  P# / dos hilos L3 y L4 y la R4 de medida se conectan a una rama del puente. los otros dos hilos L1 y L2 se conectan a la rama contigua. los colores de los tres hilos de conexión son: Rojos los dos conductores que están conectados al mismo punto y blanco el tercer hilo. De acuerdo con la Norma IEC 751. Seguridad S4  P '#'$$?@@$  +Q     de seguridad de los termopares. Cuando se utilizan para sistemas instrumentados de seguridad. . 4.2. TERMOPARES Los termopares son los elementos sensores más utilizados para la medida de temperatura en la industria. En las normas se regulan las curvas de la (Fem) fuerza electromotriz que se genera en cada tipo de termopar por la variación de un grado en la temperatura a medir. con una precisión aceptable. la composición de las aleaciones que componen los $ $  / #$'' .Elementos de campo del Sistema Instrumentado de Seguridad 8. Los termopares se construyen de acuerdo a normas y las más utilizadas son la ANSI MC-96. Cubren la medida de un amplio rango de temperaturas.4.1 y la IEC 584. '. Ciertos componentes del Alumel. Los metales más idóneos para formar los termopares de uso industrial son aleaciones que se pueden dividir en dos categorías principales:   Aleaciones de metales preciosos. Utilizando termopares enfundados en vainas de protección y rellenas de aislamiento mineral se anulan algunos de estos efectos. el poco volumen de aire también produce un fenómeno llamado corrosión verde.600 ºC en trabajo continuo. debido a la mayor oxidación del cromo que forma parte de la aleación de uno de los conductores. el más utilizado es el tipo K. principalmente debido a los cambios de composición causados por la oxidación. en ciertos rangos de temperatura. pueden causar cambios en la homogeneidad del conductor. El rango de aplicación esta restringido a 1.100 ºC para trabajar de forma continuada.  $'$  ) P'ción y tolerancia de los termopares. o el hierro/níquel-cobre.300 ºC. Son muy caros y su uso en la industria esta restringido a casos muy concretos. Cuando se encuentra enfundado dentro de una vaina de protección sin aislamiento mineral. se pueden evaporar y desplazar a través del aislamiento mineral (generalmente de oxido de magnesio) y contaminar el Cromel. o por el bombardeo de neutrones en las aplicaciones nucleares. El resultado será un cambio en la com'. Puntualmente o en cortos periodos de tiempo pueden medir hasta 2. derivados del uso del aislamiento mineral y de la composición de los materiales del termopar. Dentro de este grupo. como el manganeso o el aluminio. Los termopares pueden presentar derivas a largo plazo cuando están sometidos a altas temperaturas. como son el platino y el platino-rodio. Pueden surgir otros problemas de inestabilidades debidos a los efectos magnéticos. Por encima de los 800 ºC. desde 0 ºC hasta los 1. Los termopares se forman con la unión de dos metales. Aleaciones de metales comunes. los efectos de la oxidación en termopares de tipo K al aire. como el cromo-níquel/aluminio-níquel. Son termopares muy estables y cubren un rango de temperaturas muy amplio. '. . $)P  $  ' . Se utiliza frecuentemente en laboratorios para rangos de medida de temperatura 229 . Se llama comúnmente termopar de Cobre Constantán.  Termopar tipo T. Está indicado especialmente para ambientes oxidantes y cuando se utiliza en ambientes distintos se debe proteger el sensor. También se puede utilizar este termopar en aplicaciones criogénicas con temperaturas de hasta -230 ºC. se utilizan en entornos oxidantes o inertes de forma continua. La máxima temperatura de funcionamiento en continuo es de 800 ºC. El rango de temperatura de utilización continua es de 0 a 800 ºC en atmósferas oxidantes o inertes. Termopares tipo R y tipo S. pero dentro de este rango es más estable. Para estas aplicaciones. Es uno de los pocos termopares que se pueden utilizar de forma segura en atmósferas reductoras. La temperatura máxima de funcionamiento en continuo es de 1.. El termopar tipo R produce una Fem ligeramente superior y una estabilidad a lo largo del tiempo mayor que el tipo S. Es el termopar que da la mayor señal de salida en milivoltios para una temperatura medida. Termopar tipo J. Termopar tipo K. por lo que la precisión en la medida a lo largo del tiempo puede ser ligeramente mejor. La temperatura mínima es de –210 ºC. En ambientes oxidantes y por encima de 550 ºC. El termopar lo forman los hilos conductores a y b y los a1 y b1 que son los hilos conductores de extensión o de compensación. Es el termopar más utilizado en aplicaciones industriales. También es muy utilizado en aplicaciones criogénicas de baja temperatura y en aplicaciones con alta humedad ambiental. Se emplea ampliamente en aplicaciones nucleares..36 se puede ver el diagrama básico de conexión de un termopar. se utilizan aislantes y fundas de alúmina recristalizada de alta pureza y no porosa.     comprendidos entre -250 y 400 ºC.000 ºC. Termopar tipo E. La máxima temperatura de empleo es de 1. El rango de aplicación es más estrecho que el del tipo K. por lo cual es más utilizado aunque todas sus características son muy similares. por lo que no se debe utilizar para aplicaciones con este ambiente. ya que el conductor de hierro puede sufrir oxidación. Se le llama habitualmente termopar de Cromel-Alumel.100 ºC. Se le llama termopar de Cromo-Constantán. Conexión de termopares En la Figura 8. Estos termopares se utilizan para medir temperaturas superiores a los 1.600 ºC. para evitar que pequeñas cantidades de vapores metálicos puedan causar deterioro y falsear la Fem generada por estos termopares. aunque por encima de los 800 ºC la oxidación puede causar deriva apreciable en la medida a lo largo del tiempo. Los cables de extensión o de compen- . El termopar sin funda de protección se utiliza en la industria del plástico y se tiene en cuenta que el hierro se oxida tanto con temperaturas altas como con temperaturas bajas. se produce una rápida degradación del termopar. Se le llama comúnmente termopar de Hierro Constantán. pero se debe tener cuidado con la condensación a temperaturas inferiores a la de ambiente.230 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Son termopares especiales de características muy similares. como ocurre en los multiplexores instalados en campo. existen normas que regulan las tolerancias máximas de los distintos tipos de cables para asegurar la intercambiabilidad de los mismos. por ello. se utilizan para prolongar la señal generada por el termopar hasta el instrumento que efectúa la indicación o la transmisión de la medida y en el cual. la señal transmitida se puede llevar por cables de cobre.Elementos de campo del Sistema Instrumentado de Seguridad sación. Las N -6 =AD) + H?@X'$'P. Los cables de extensión y de compensación pueden introducir desviaciones en la medida de temperatura por el simple hecho de su inserción en el circuito. se hace la compensación correspondiente a la corrección de la unión de referencia. A partir del punto donde se hace la compensación de la junta de referencia. .  Los cables de extensión de los termopares están fabricados con materiales iguales a los del termopar correspondiente. Se pueden utilizar distintas aleaciones para el mismo tipo de cable de compensación y se distinguen con letras adicionales.  Los cables de compensación son cables que están formados por materiales distintos de los cables de los termopares para los cuales se emplean. Se hace así para trasladar la junta fría de referencia a un lugar alejado de la cabeza del termopar. La composición de las aleaciones de los conductores de los cables de extensión. y por ello tienen las mismas características de milivoltios-temperatura que el termopar al que están conectados. Figura 8. donde la temperatura sea razonablemente estable y donde los efectos de la temperatura puedan ser compensados. Diagrama de conexión de un termopar. es exactamente la misma que la de los hilos que forman el termopar. Son más baratos y se utilizan como 231 .) $ cias para cada tipo de cable de extensión o compensación.36. .232 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. sustitutivos de los cables de extensión dentro de los límites de temperatura P' . Los acondicionadores de señal o convertidores-transmisores tienen la función de aislar. o a tarjetas redundantes. Los acondicionadores de señal son elementos electrónicos con microprocesadores. convertir y transmitir la señal en forma de 4 a 20 mA. cajas de conexión y multicables separados. que pueden caracterizar la señal de entrada de los termopares o termorresistencias de acuerdo con las ecuaciones de conversión de resistencia o milivoltios a su temperatura correspondiente. puede ser un termopar o una termorresistencia. se llevan las señales al sistema de lógica de seguridad. se hace utilizando tres termopares con sus respectivos termopozos. La impedancia de entrada de los acondicionadores tiene que ser muy alta para que la medida esté libre de error. escalar. Cada termopar se conecta con cable de extensión a su correspondiente transmisor convertidor de milivoltios intensidad. El alto precio de los cables y multicables de extensión o compensación. Desde cada uno de los tres transmisores. hacen que en las aplicaciones de control y de seguridad se utilicen convertidores o transmisores de milivoltios intensidad en campo para convertir la señal del termopar. y los múltiples problemas que presenta la manipulación de las señales de milivoltios. Los convertidores-transmisores reciben la señal de un elemento sensor. Para aplicaciones con alto nivel de seguridad y disponibilidad de planta. cuando son necesarias tres medidas de temperatura en disposición dos de tres. el diseño preferente para la función de seguridad. dependiendo del diseño con el . El termopar genera tensión en función de la temperatura. En este sistema se conectará cada señal a una tarjeta de entradas analógicas distinta. rechazar interferencias. pero si circula intensidad en el circuito de medida se produce caída de tensión y la temperatura equivalente obtenida resulta errónea. y producen la señal de salida estandarizada de 4 a 20 mA que puede ser aceptada por sistemas de control distribuido o sistemas de seguridad. Este tipo de señal de salida puede ser enviado a más larga distancia y con menos problemas de interferencias que las señales de los termopares o de las termorresistencias.'$    Acondicionadores de señal La señal procedente de los termopares es de muy bajo nivel y puede ser alterada por numerosas interferencias. por rutados.   . $'P. '$ #' +&Q$'''P. .  J  para asegurar al máximo la disponibilidad de la actuación de seguridad y disminuir los fallos comunes.   . como el convertidor-transmisor. El conver- . A efectos de seguridad. es necesario tener en cuenta tanto el elemento sensor de temperatura (termopar o termorresistencia). lejos de la cabeza del termo  $  '$  '].Elementos de campo del Sistema Instrumentado de Seguridad tidor transmisor será instalado a temperatura ambiente. '  $  $ . 4% error de deriva por degradación. El circuito abierto en el termopar puede ser detectado por el convertidor-transmi). 1% error de cortocircuito de señal por humedad o perdida de aislamiento. La distribución de fallos de un termopar se acepta que es: 95% circuito abierto por quemado del termopar. Termopar La tasa de fallos por hora de un termopar instalado en ambiente poco agresivo es de 50 x 10-7. P#   J  '   ' / /. '$ en fallo peligroso detectado. El resto de los fallos 4+1% pueden ser peligrosos y no $. $  $   '#$. 5 x 10-7 fallos por hora.05 = 2. Termorresistencia La tasa de fallos por hora de una termorresistencia instalada en ambiente poco agresivo es de 20 x 10-7.$ ™DU = 50 x 10-7 x 0. La distribución de fallos de una termorresistencia se acepta que es: 70% circuito abierto. 29% por cortocircuito. El circuito abierto y el cortocircuito en la termorresistencia $. 1% error de medida por degradación de la termorresistencia. $ . $':$  '/) ' $. P# . El 1% de fallos por error en la medida pueden ser peligrosos y no son detectados.'sición de puentes se puede hacer que su señal de salida vaya a mínimo valor. La tasa de fallos peligrosos no $. lo que permite convertir estos fallos en peligrosos detectados. 9 x 10-7 x 8760 / 2 = 3.2 x 10-7 x 8760 / 2 = 1. ™DU = 0. Teniendo en cuenta los fallos peligrosos no detectados del termopar o de la termorresistencia y los del convertidor-transmisor. Convertidor-transmisor Tomando datos de los catálogos de algunos convertidores-transmisores utilizados en el mercado.01 = 0. Para una aplicación que se actúa con un solo transmisor (1001) y en el que se efectúa una prueba del instrumento cada año.2 x 10-7 fallos por hora con termopar. G* # ™DU x TI/2 = 0.7 x 10-7 + 0. 233 . se obtienen valores de las tasas de fallos peligrosos no detectados del ™DU = 0.$ ™DU = 20 x 10-7 x 0.7 x 10-7 + 2.2 x 10-7 fallos por hora.5 x 10-7 = 3. para el conjunto sería: ™DU = 0.9 x 10-7 fallos por hora con termorresistencia.94 x 10-4 con termorresistencia. se obtiene la probabilidad media de fallo a demanda: G* # ™DU x TI/2 = 3.40 x 10-3 con termopar.2 x 10-7 = 0.7 x 10-7 fallos por hora. . Los transmisores electrónicos suelen tener una vida útil de entre ocho y doce años.4.4. se debe asumir un tiempo de vida útil basado en la experiencia. En aplicaciones de seguridad y de acuerdo con la IEC 61508-2 apartado 7. La vida útil de termorresistencias y termopares depende en gran medida de la aplicación. es mayor de 50 años. Los componentes que tra& Q . pero es inferior a la de los transmisores. La tasa de fallos se garantiza durante el periodo de vida del instrumento..7. La vida útil recomendada por algunos fabricantes de convertidor-transmisor en aplicaciones de seguridad.234 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. .  '$. 'P. . '. Se requiere buena exactitud en la medida. porque debido al gran volumen del almacenamiento. tales como: reactores químicos. . La razón más común para medir nivel de un recipiente. platos de extracción en columnas de destilación. Recipientes sometidos a presión con distintas funciones en plantas de proceso. La metodología de los sistemas instrumentados de seguridad se está aplicando ampliamente en los procesos químicos y petroquímicos. etc.000 m3. MEDIDA DE NIVEL En los procesos industriales. y como consecuencia conocer la cantidad del producto que contiene.' T ' T$' 8. los productos líquidos y sólidos se almacenan en diferentes tipos de recipientes. Los recipientes se diseñan de acuerdo a la función de almacenaje que se requiera en el proceso productivo y teniendo en cuenta las condiciones operativas del mismo. y en el almacenamiento de productos intermedios y acabados se requiere este tipo de medida. La seguridad del control de nivel de estos procesos se considera menos crítica. Puede ser lenta. Grandes tanques atmosféricos para almacenamiento de petróleos y derivados con capacidad de hasta 100. En los almacenamientos de productos de alimentación a unidades de procesos. con velocidades relativamente lentas de llenado o vaciado y en la mayoría de los casos en procesos discontinuos. dado que se utiliza para hacer inventario de materias. También existe la necesidad de medir o controlar el nivel de llenado en recipientes contenedores de sólidos.5. las variaciones de nivel no son rápidas. por ello daremos algunos ejemplos de conexión de diferentes instrumentos de nivel a recipientes que contienen líquidos con condiciones de trabajo de presión y temperatura superiores a la atmosférica.  Necesidad de medir el nivel de líquidos. calderines de generación de vapor de agua. con temperaturas moderadas cercanas a la ambiente. Generalmente los almacenamientos de sólidos suelen ser recipientes abiertos a la presión atmosférica. depósitos separadores de productos con diferentes densidades. depósitos acumuladores entre columnas de destilación. es conocer su porcentaje de llenado. Se citan a continuación algunos ejemplos de recipientes contenedores de líquidos. sea válvula de control o bomba de impulsión. Una tercera razón para medir nivel en un recipiente sería establecer niveles de protección para evitar que el líquido de un depósito o tanque se derrame. En estos casos las medidas para las funciones de seguridad pueden ser puntuales. ya que el control del proceso lo requiere. no es necesaria una medida # . o se quede vacío y se pierda un sello hidráulico con otro recipiente y también para protección de las bombas en el vaciado. En este caso la velocidad de respuesta y disponibilidad de la medida es más importante que la exactitud.Elementos de campo del Sistema Instrumentado de Seguridad  ^    Otra razón para medir nivel es la necesidad de controlar la cantidad de producto ue entra o sale. actuando automáticamente mediante un lazo de control sobre algún equipo o elemento del proceso. ''/# P &'' )''&''    . $ . También las propiedades físicas y químicas del producto a medir. Igualmente se tendrán en cuenta determinadas características del proceso como: la tendencia al ensuciamiento.' Selección de instrumentos de nivel. Detección puntual de nivel. Cuando el nivel está por arriba o por abajo del punto de actuación no se conoce exactamente donde está. 235 . o para funciones de seguridad. En recipientes presurizados se montaran instrumentos externos con objeto de poder hacer el mantenimiento del instrumento sin tener que parar el proceso. plato de extracción. Se requiere la medida continua en todas las aplicaciones de control cuando el nivel es una variable regulada y es necesario enviar la señal al controlador mediante un transmisor de nivel. con instrumentos interruptores de nivel. Características del recipiente y tipo de conexiones. decantador. Medida continua de nivel. Se tendrá en cuenta si se puede introducir el sensor en el tanque o debe ser completamente externo. constante dieléctrica. La selección del instrumento de medida adecuado depende de los factores que se muestran a continuación. También se comienzan a utilizar en los sistemas de seguridad con entradas analógicas. reactor. Se requiere cuando es necesario conocer en cada instante el valor de la medida. como: densidad. a formar vapores o espumas o la erosión que pueda causar daños al instrumento. Existen gran variedad de métodos para medir nivel que se fundamentan en diferentes principios físicos. Se debe considerar la función del recipiente. conductividad. La detección se efectúa en el propio proceso en campo y se comunica al sistema de control o al sistema de seguridad mediante la apertura o cierre de un contacto. También la forma y sus dimensiones. el material con el que está construido. Condiciones de operación. para actuar automatismos. el tamaño del mismo y la presencia de internos. viscosidad. composición y contenido de humedad. como detector puntual para seguridad. Se deben valorar cuidadosamente las condiciones del proceso en cuanto a temperaturas y presiones de operación. almacenamiento. Esta funcionalidad se utiliza casi exclusivamente para producir alarmas. Se utiliza para detectar el nivel cuando llega a un punto concreto. donde se considera crítica la velocidad de respuesta y la medida de nivel debe ser P &)$ ''& '. Existen otras aplicaciones.. Hay aplicaciones donde se requiere mucha precisión en las medidas de nivel. como es el caso de los tanques de almacenamiento de productos comprados o para venta. como son todas las que requieren control.  Tipo de medida..236 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. . '#' . 6P.  O'#. o de acuerdo con las exigencias establecidas en el análisis de riesgos operativos que se efectúa al proceso y sus 3'G  $  '.'  das por el licenciatario del proceso. . nos referiremos solo a los tipos que se adaptan a muchos procesos. transmisores de nivel por microonda guiada. 8. los instrumentos pueden ser aislados de los recipientes mediante válvulas y se conectan a los mismos con líneas y tubos tranquilizadores stand pipe.'3''$ $# P &''  de actuación y de disponibilidad permanente. Con este tipo de montaje. en recipientes de procesos a presión. como son los siguientes instrumentos: ^ ^ Transmisores de nivel por presión diferencial. Aunque existen una gran variedad de principios físicos para la medida del nivel de líquidos. transmisores de nivel con desplazador. $$$ '$']$ O$ .5. CONEXIÓN AL PROCESO DE INSTRUMENTOS DE NIVEL Se exponen las prácticas mas recomendadas para conexión de instrumentos de nivel externos.1. . $#  P 3 P'. '/'J/ . 'P. porque son varias especialidades técnicas las que están involucradas.*P 3'33' macenar y controlar y marcan los siguientes niveles de más alto a más bajo. 100% HLL High Liquid Level Nivel máximo del líquido 95 % HHLL High High Liquid Level Muy alto nivel de líquido 80% HLL High Liquid Level Alto nivel del líquido 50% NLL Normal Liquid Level Nivel normal del líquido 20% LLL Low Liquid Level Bajo nivel del líquido 5% LLLL Low Low Liquid Level Muy bajo nivel del líquido % LLL Low Liquid Level Nivel mínimo del líquido .  Especialidad de procesos. ción y la compra de un instrumento que se utilizará para aplicaciones de seguridad de nivel en un equipo o recipiente cualquiera. tienen que intervenir varios departamentos de una ingeniería. como puede ser parar una bomba de extracción o cerrar una válvula de bloqueo. delimitan el volumen máximo de almacenamiento en el recipiente. El nivel se controlará alrededor del 50% con oscilaciones admitidas entre el 20 y el 80%. Especialidad de recipientes. El departamento de Instrumentación espe. Las posiciones del nivel tienen que ser traducidas a elevaciones en el equipo por el departamento de Recipientes. Al sobrepasar estos valores se producirán las alarmas de bajo o alto nivel. En el nivel HHLL puede ocurrir un rebose o meter líquido en un lugar que implica un riesgo. como es parar el compresor. las alturas de los interruptores de nivel respecto a sus conexiones y las longitudes de visión de los niveles de vidrio o de tipo magnético. Para no llegar a estos límites se asignan otros valores intermedios denominados “alarma de bajo nivel LLL”. las líneas de conexión. El nivel para control y el indicador local de tipo visor de vidrio o del tipo magnético deben abarcar todo el rango para poder ver entre el cero y el 100% de nivel.Elementos de campo del Sistema Instrumentado de Seguridad    Los niveles LLL y HLL en los extremos. Especialidad de tuberías. Los niveles LLLL y HHLL pueden ser niveles de máxima seguridad por ejemplo. y la alarma de alto nivel HLL que avisará antes de llegar a la otra situación de riesgo por muy alto nivel. En este punto se debe tomar una acción. por ejemplo en los cilindros de un compresor alternativo. Se deben tener en cuenta los rangos reales de los instrumentos de desplazador. si se llega al LLLL puede cavitar una bomba o perderse un sello hidráulico entre dos recipientes. Especialidad de instrumentación. y el número y el tamaño de las mismas. Aquí también se debe tomar una acción. para indicar que se está fuera de los límites normales de control. Ambos puntos de muy bajo o muy alto nivel están implicados en la seguridad de la planta o de los equipos que la forman. El departamento de tuberías tiene que diseñar los tubos stand pipe. que es el que debe marcar las alturas de las conexiones. '  $/PQ -/3' 3'/  del cual se controlará. Tiene la responsabilidad de diseño y compra del equipo. las distancias entre tomas. que debe actuar a un valor más alto que el LLLL y avisará antes de llegar a una situación de riesgo. los venteos y los drenajes a partir de las toberas de conexión al equipo. Las actuaciones de seguridad se efectuarán en el 5% y en el 95%. 'P. /'J /).   '$ $*& . ''$  $& 3  similares a la Figura 8. También debe facilitar las dimensiones físicas a tuberías para que este departamento pueda realizar las ' 4$'.37 con las cotas de las elevaciones y los tamaños de las conexiones de cada uno de los instrumentos. . '$)PQ  '. ' . accesibles y estén en el nivel adecuado para realizar su función de seguridad. para que sean visibles.' '$mentos en los tubos stand pipe. 237 . . 8. Figura 8. se tienen en cuenta las siguientes consideraciones que se oponen entre sí: ^ ^ Mínimo número de agujeros en el recipiente.5.2.238 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. CONEXIÓN DE MÚLTIPLES INSTRUMENTOS A RECIPIENTES Para decidir cómo hacer las conexiones en la medida de nivel de los recipientes. en la medida del nivel de un depósito de carga a una unidad de pro. Máxima seguridad de que la medida del nivel es correcta. Por ejemplo. Esquema de conexiones de instrumentos de nivel.37.. Cada uno de estos instrumentos. por su forma física. tiene un tamaño de conexión distinto de los  +$  '  $'. un indicador visual de vidrio armado. P $$'' '#'$'$ $7 transmisor de nivel de desplazador externo. por su peso y por la responsabilidad que se le asigna. '$$]$      & Q')'$$]$    alarma de alto nivel. cada uno. Conectando directamente cada instrumento al recipiente se tiene la máxima seguridad. dos conexiones de 1”.O'DÇV/''' armado tiene dos conexiones de ¾” y los interruptores de nivel tienen. En el caso que nos ocupa. La obstrucción de una línea solo afectará un instrumento y el resto siguen funcionando+$ ''. se tienen ocho conexiones de tres tamaños distintos. '$' ). $/  )'P. $   P' . La coordinación de las alturas relativas de alarmas. se hacen solo dos conexiones de 2” en el recipiente y se sitúan a una distancia que cubre sobradamente todo el rango de medida. Este conjunto se denomina stand pipe y se puede ver en las Figuras 8. y para dar accesibilidad a todos los instrumentos con objeto de facilitar el mantenimiento.38 y 8. El montaje directo puede hacerse para procesos muy críticos y que además tengan que medir líquidos sucios con los que no se quiere asumir riesgo de obstrucción. En este caso.39. rango de control y actuaciones de seguridad  . Las conexiones con sus válvulas de aislamiento se unen a un tubo vertical de 2” y de este tubo se sacan las conexiones para cada uno de los instrumentos. Normalmente y en oposición a lo indicado en el párrafo anterior. las facilidades para dar accesibilidad al conjunto son mayores.Elementos de campo del Sistema Instrumentado de Seguridad las alturas de cada toma en el recipiente. '/ 3 'P.   $ '. 4. Para evitar la obstrucción se diseñan las conexiones con líneas y válvulas BV/3$ J.$' recipiente. . . ' P. '$ $#   '$ $  '$6']'. $'''/'). $ ]' purga en forma continua o intermitente para mantener limpias las líneas del stand pipe. Figura 8. 239 . Posición de instrumentos de nivel en un stand pipe.38. Los instrumentos que se montan con stand pipe. se disminuye la posibilidad de perder todas las señales al mismo tiempo. control y seguridad se montan distribuyéndolos entre los dos stand pipe. Figura 8. Para sistemas con muy alto nivel de seguridad.39. se montan dos stand pipe haciéndose cuatro agujeros en el recipiente..240 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. con lo cual. Los instrumentos para alarma. llevan sus propias válvulas de aislamiento y drenaje para poder hacer el mantenimiento individualizado de cada '$ $/'3   . Esquema con posiciones de instrumentos de nivel en stand pipe 2”.. $ + P#  $' $. se compran los transmisores de desplazador y los interruptores de nivel con las conexiones previamente . Esto obliga a hacer un estudio con las dimensiones de los instrumentos. Observar que se han de mantener distancias mínimas entre las soldaduras de los distintos accesorios utilizados en el stand pipe para conectar los distintos tipos de instrumentos. las distancias entre conexiones de cada uno.'tadas se muestran algunos detalles de tamaños de líneas y válvulas de stand pipe e instrumentos. los rangos de los transmisores y los puntos de actuación de los interruptores de nivel para situar correctamente las conexiones en el stand pipe. Como consecuencia del estudio. Elementos de campo del Sistema Instrumentado de Seguridad P' 7 $ : $ / $ :''/ $ :'':''). para poder realizar las conexiones en el stand pipe. se produzcan en las elevaciones donde está previsto.  distancias entre las tomas según convenga. De esta manera. se puede hacer que los rangos y puntos de actuación en el nivel del recipiente. Para la comprobación de los instrumentos se debe prever en cada uno de ellos una   Q   . '   ]'  $O'. De las tecnologías disponibles. se indican los principios básicos de las más utilizadas en industrias químicas y petroquímicas. se debe diseñar un sistema de recogida de drenajes mediante embudos y tuberías. La presión ejercida está en función de la altura de la columna y de la densidad del líquido.   . El principio de medida está basado en la presión que ejerce sobre la cámara de alta de un transmisor de presión diferencial. la cual corresponde al nivel que se quiere medir. la columna de líquido que se quiere medir. Decidir cuál es el tipo de instrumento más adecuado en cada aplicación concreta.38). tuberías conectadas directamente al drenaje para canalizar los derrames (véase el detalle A de la anterior Figura 8. Los transmisores de presión diferencial para medida de nivel tienen gran versatilidad para poder ajustar rangos bajos y altos con elevación o supresión. Medida de nivel por presión diferencial El método está basado en la medida de la presión hidrostática correspondiente a la columna de líquido de una altura determinada./'# o simplemente manchan lo que está debajo. es una tarea compleja. o.    . ) . y la de baja presión L a la atmósfera. Para llevar a cabo la medida de nivel en un recipiente abierto se hace una toma de presión en la parte inferior del depósito que se conecta con la cámara de alta del transmisor de presión diferencial. El transmisor detecta los cambios de nivel como cambios de presión con respecto a una presión de referencia que es la atmosférica. 241 . % %ÌÎ Hp = Presión debida a la columna de líquido. en el cual se quiere medir la altura del nivel H = 3.  En las Figuras 8. para medir nivel en depósitos o tanques abiertos a la atmósfera. La toma de alta presión H está conectada al recipiente. La toma de baja presión del transmisor se deja abierta a la atmósfera.41 se ven transmisores de presión diferencial.40 y 8.000 mm. Π' 3' En la Figura 8. H = altura del líquido en el recipiente.41 se representa un recipiente a presión atmosférica. con un transmisor de presión diferencial. .40..41. Conexión instrumento de nivel a recipiente con presión atmosférica. Esquema. Figura 8.242 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. . Figura 8. medida de nivel en recipiente con presión atmosférica. la columna de líquido h = 2.500 mm entre la cámara de alta presión H del transmisor y la conexión que corresponde al nivel cero que se quiere medir. ejerce presión sobre la cámara del transmisor. Se repiten los ajustes de cero y SPAN con las presiones correspondientes a las columnas h y h+H respectivamente. La presión correspondiente a esta columna. El rango de medida se ajusta aplicando a la cámara de alta una presión Hp correspondiente a las columnas h+H para tener una salida de 20 mA o 100% del nivel.Elementos de campo del Sistema Instrumentado de Seguridad El transmisor se puede instalar al mismo nivel o más abajo que la toma de proceso. hasta obtener la calibración correcta. que es necesario suprimir ajustando el cero del transmisor. hace que el transmisor de una señal de salida superior a 4 mA o 0% de nivel. G  3  '  . En este caso. . $ / .    &PQ  )$' .   .$  en el ajuste del instrumento y debe estar permanentemente llena con el líquido cuya densidad se ha utilizado en la calibración.    . )  . Los vapores pueden condensar en el interior de la línea conectada a la cámara de baja presión L. La presión del recipiente está aplicada a las cámaras de alta y baja presión del transmisor. Para evitar que la línea esté llena o vacía de condensado de forma incontrolada y se produzcan errores tan grandes que impidan la medición. se llena con un líquido que no sea miscible con el producto del recipiente. y la toma superior a la cámara de baja presión del transmisor de presión diferencial. la presión LP ejercida en la rama de baja presión del transmisor por la columna del líquido de sello es diferente a la que soporta la rama de alta presión. En la Figura 8. y por ello se anula su efecto. 243 . por el cambio de presión en la cámara de alta presión debido a la variación de la altura de columna de líquido en el recipiente. y otra toma en la parte superior del mismo. En este caso. El transmisor detecta los cambios de nivel. El líquido de sello de la línea de baja presión tiene densidad superior a la del líquido que está en el recipiente.  Para realizar la medida del nivel mediante transmisor de presión diferencial en depósitos cerrados y presurizados se hace una toma en la parte inferior del recipiente donde se situará el 0%. Para medir correctamente el nivel es necesario neutralizar la presión de esta columna.42 se representa un recipiente sometido a presión en el cual se quiere medir el nivel de un producto que puede tener vapores en equilibrio. en función de la temperatura ambiente. Se conectan la toma inferior a la cámara de alta. donde se situará el 100% del nivel a medir. *' 3''  'ΠE/>Bž#8 3.244 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. son las siguientes: ' . Densidad del líquido de ÎÏ Dž#8 3.800 mm. a una distancia h = 1. El rango de nivel a medir es la diferencia de alturas de las tomas H = 1.42.. Esquema. medida de nivel en recipiente presurizado. Figura 8. El transmisor está situado por debajo del cero del nivel.500 mm. Las presiones en las cámaras de alta Hp y de baja Lp.. Si la columna permanente de la cámara de baja se llena con un líquido que con las variaciones de presión y temperatura se va mezclando con los gases o vapores existentes en el recipiente. a lo largo del tiempo se tendrá un producto de diferente densidad del original y habrá error en la medida. Si el líquido en el interior del recipiente está a temperatura diferente del líquido existente en la cá- . la mayoría de los problemas en la medida de nivel se derivan de la columna de líquido en la línea de la cámara de baja presión.    ' DEEµ    %  ÌÎ   %ÏÌÎÏ  % K%½ LÌÎ  %ÏÌÎÏ  DHEEOE/>B DE?E  XXEEOD XXEE  KD?EE½DHEELÌE/>B BX>A  XXEEOD XXEE   Después de ajustar el transmisor de nivel con las presiones indicadas se debe observar que al instalarlo hay que llenar las columnas de las cámaras de alta y baja presión con los líquidos de igual densidad a los previstos en la calibración. Con estos transmisores. Si el líquido existente en la cámara de baja puede evaporarse en función de la presión interior y de la variación de la temperatura ambiente. que debe ser permanente. o en función de las variaciones de la temperatura ambiente. la medida del nivel se hace imposible.Elementos de campo del Sistema Instrumentado de Seguridad mara de baja (que está a la temperatura ambiente) tendrá diferente densidad y por ello habrá un error en la medida proporcional a la diferencia de densidades. Si la columna de la cámara de baja. se evapora y se condensa en función de las variaciones de presión o de temperatura en el recipiente. el error puede ser muy grande. GQ /P $)$3 '. O'$ . . *. dependiendo del producto a medir (Figura 8. Conexiones para medida de nivel en recipiente presurizado.43. Figura 8. Si se pierde la columna de líquido en la línea de baja presión. Las líneas de conexión están sometidas a las variaciones de la temperatura ambiente y puede que el producto que está en el interior de las líneas en equilibrio se condense o evapore. el error será tan grande que se pierde la medida. los que los productos están en equilibrio líquido gas a la presión y temperatura interna de trabajo. por ello se debe tener cuidado en la elección de este tipo de medidor.43).       Cuando el producto que está en el recipiente tiene características que impiden utili $$' ' 7]'.  $ '. ' $'.  $'3 evitar la contaminación del mismo. se utiliza la opción de medir el nivel del recipiente con transmisores de presión diferencial con las cámaras conectadas a sellos 3 '.  $ $ 4. ' 3. La medida de nivel de un recipiente. 245 .$']' $' silicona o aceite vegetal.44. mediante transmisor de presión diferencial con sellos y capilares se puede ver en la Figura 8.   . probar.44. reparar y mantener los instrumentos. Con este montaje se debe tener en cuenta que en procesos continuos se tienen que poner válvulas de aislamiento entre los recipientes y las bridas de conexión de los sellos y capilares a los instrumentos para que se puedan desmontar.. Medida de nivel. Instrumento con diafragmas separadores.. Figura 8.246 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. sin afectar al proceso y sin tener que hacer paradas imprevistas por averías en los instrumentos o en las líneas de conexión. Si el líquido de las columnas es muy estable ante las diferentes condiciones del proceso y ambientales. Recordar que los problemas en la medida de nivel por presión diferencial se dan por las columnas de líquido en ambas cámaras. Los instrumentos de presión diferencial utilizados para la medida de nivel tienen las mismas características y valores que los utilizados para la medida de caudal. lo indicado allí en el párrafo de seguridad aplica igualmente para estos transmisores. la medida puede $ P &.   $  ' Medida de nivel con desplazador Los instrumentos de desplazador fundamentan su principio de medida en que detectan la diferencia de peso del desplazador. cuando está sumergido en uno o en dos lí3'$ $'P. '$' /3$'  .   no hay ningún líquido que efectúe empuje sobre el mismo. . acoplado a un circuito electrónico genera una señal de salida proporcional a la altura del nivel. La diferencia de fuerza ejercida sobre el desplazador se transmite por medio de un sistema de barras de torsión o un muelle que se comprime y a un transductor que permite variar un campo inductivo.45 se puede ver el principio de funcionamiento de tres transmisores de nivel electrónicos del tipo desplazador. el cual. En la Figura 8.Elementos de campo del Sistema Instrumentado de Seguridad El empuje depende del volumen desplazado por la parte sumergida del desplazador. de la densidad relativa y del nivel del líquido. En la parte izquierda se muestra $'$  '.  . . Medidores de nivel de desplazador. El eje de torsión puede llevar acoplado un sistema inductivo con circuito electrónico. otro medidor con una vista seccionada del cuerpo del desplazador y del brazo de torsión.45. El desplazador lleva en la parte superior un núcleo móvil que se desplaza en el interior de un transformador diferencial lineal variable (LVDT) acoplado a un circuito electrónico. Por el interior se desplaza el núcleo y por el exterior están enrolladas las bobinas del transformador. o un sistema lengüeta tobera y un transmisor neumático. el cual produce una salida de 4 a 20 mA en función del pequeño movimiento del desplazador y como consecuencia de la variación de la altura del nivel de líquido. generalmente de acero inoxidable. que está unido a la brida superior del cuerpo y que hace de aislamiento de cierre entre el producto y la electrónica del transmisor.' 3 P Q$'/ detector inductivo en el alojamiento de la cabeza electrónica. En la derecha se aprecia una sección esquemática de otro tipo de transmisor electrónico en el que el sistema de brazo de torsión es sustituido por un muelle de rango. 247 . Figura 8. En el centro. En la parte superior hay un tubo. Por contra. De acuerdo a lo indicado anteriormente. el líquido ejerce una fuerza de empuje que contrarresta el peso del desplazador y el esfuerzo en el tubo de torsión será bajo. Se '. el empuje disminuye y el esfuerzo en el tubo de torsión aumenta... al aumentar el nivel. al bajar el nivel la parte sumergida disminuye.248 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. La longitud y diámetro de los desplazadores depende del rango de medición.    '']' $' $' '). '. Se debe tener en cuenta que por su principio de funcionamiento. la exactitud de   '. Este tipo de nivel se adapta bien a una gran variedad de los diferentes productos que se manejan en plantas petroquímicas.6$''  con muy buen resultado para medir de nivel interfase. y por ello se utiliza ampliamente en estos procesos. ' . $  . &' ' ]'G  . la imprecisión de la medida por la variación en la densidad del líquido no se considera muy importante. Sin embargo. sí se aprecian la disponi&'' / P &'' )& Q $' '$  J  ' $'# P &'' )$''    .' control o de seguridad. $/   alarma o para actuaciones de seguridad. Debido al mayor coste inicial de estos instrumentos y a la mayor envergadura de montaje. en muchas funciones de alarma o #' /&$ '. . '. 'P. #' .  . $ . para poderlos calibrar y ajustar sin tener que parar el proceso. transmisor de nivel del tipo desplazador LT. interruptor de bajo nivel LSL e interruptor de alto nivel LSH. con la agrupación de los posibles instrumentos de nivel de un recipiente como son: nivel de vidrio armado LG. En la Figura 8. pero es preferible montarlos separados del recipiente con un stand pipe o en un tubo de derivación y con válvulas de aislamiento.   .39 se representó el esquema de un stand pipe.' $/$'$)'$ $'$$'$'&) ]$  Los niveles tipo desplazador se pueden instalar directamente al recipiente mediante una brida. $  '. $'. '  '$ $.  'P. Basándose en datos generales de fallos en campo. de aproximadamente 15 años. Para una aplicación que se actúa con un solo transmisor de nivel (1001) y en la que se efectúa una prueba del instrumento cada año.6 x 10-7 fallos por hora. se estima un periodo de vida útil para estos instrumentos.62 x 10-4 La tasa de fallos se garantiza durante el periodo de vida del instrumento.6 x 10-7 x 8760 / 2 = 2. con fracciones de fallo seguro SFF del 92% del total de fallos.  tipo B. se obtiene la probabilidad media de fallo a demanda: G* # ™DU x TI/2 = 0. Se asume que el sistema de lógica del SIS detecta si la señal del transmisor está fuera de rango. Se comprueban datos de catálogos de transmisores de nivel utilizados en el mercado y se obtienen valores de tasas de fallos peligrosos no detectados ™DU = 0. . Elementos de campo del Sistema Instrumentado de Seguridad $. %jj ! %. — . ‹.  Los tipos de interruptores de nivel más utilizados en petroquímicas son los de boya ]$  $  .   . ]$ 3$' Q. Desde el punto de vista mecánico.46 y solamente con objeto de mejor visualización.46. al pasar frente a una zona determinada. se representa una ampolla con una gota de mercurio que abre o cierra un circuito. Figura 8. La conexión en modo de fallo seguro tiene en cuenta el fallo mecánico y el fallo eléctrico.) extremo tiene una parte magnética. En la Figura 8. en la función de actuación por bajo '/. o sobre una función de seguridad para actuar la protección de un equipo. atrae un imán unido a un sistema basculante que actúa un microrruptor con contactos sellados y aislados del medio ambiente. La apertura del interruptor puede actuar en un circuito para activar una alarma. Interruptores de nivel de otador. esta parte.  ]$ $ & Q' '  . ' '$$$ # .   $ #4$'. O$ ']$ /)  mantiene el mecanismo del interruptor en la posición mostrada en la derecha de la P#  . O'4. $'. '$$/$.  TK L)  $ abierto (NA) está abierta. 249 . por arriba de su punto de actuación. Cuando el nivel está en su posición correcta. el interruptor .250 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. el imán y la parte magnética se atraen y vencen la fuerza del muelle.. &' )$    '3'  P#  . O'4. $'. y cualquier anomalía en la apertura de los cables. llevando al proceso a la condición de seguridad prevista. En esta forma. el circuito eléctrico está vigilado por estar cerrado. no hay alarma o actuación de seguridad. en el fallo de un relé energizado. El sistema actuaría ante el fallo. en el fallo de la alimentación. Por el contrario. si utilizamos el contacto abierto en condiciones normales de  . 'terruptor entre el común (C) y el normalmente abierto (NA) está cerrada. o con cualquier otra anomalía sería detectada inmediatamente al producirse una apertura del circuito. '/3.  '$ . . $K P# $''. . y no hay garantía de actuación cuando más falta hace. o no exista alimentación en el circuito. malmente cerrado NC. que es la condición peligrosa ante la que se debe actuar. sin presión. es el que tiene la menor posibilidad de fallo ante una demanda de actuación. debe tener el grado de protección adecuado a la . La envolvente. Puede haber sucedido cualquier cosa que impida el funcionamiento correcto de la función de seguridad. sin nivel. El instrumento tiene una caja donde se sitúan el microrruptor y los bornes de conexiones eléctricas. dado que se representan en su estado de reposo. sin caudal y a temperatura ambiente). Cuando el nivel baja. no hay vigilancia del sistema. El diseño a fallo seguro (fail safe) de cualquier circuito. puede que el imán y la parte magnética no tengan fuerza para tensar el muelle. o los cables del circuito eléctrico no estén conectados.  'P. . '  $4'$    + $' $'.   ]$  . 'O' &6XDA6$''   o titanio.  . cuando el producto a medir o las altas presiones y temperaturas lo requieren. Normalmente se referencia el pun$ .O')  $ Q P# '  stand pipe mostradas anteriormente y en la Figura 8.47. $ . ']$ . . En uno se conecta el interruptor de disparo y un nivel visual de vidrio y en el otro se conecta un nivel de vidrio. el transmisor de desplazador y un interruptor de nivel con la función de alarma previa. se utilizan dos stand pipe y se reparten los instrumentos entre ambos. Cuando se requiere alta P &'' )''&''  .$ Q $ ' Cuando el instrumento se utiliza para actuar una función de seguridad. con objeto de minimizar el riesgo de taponamiento. '#' )$'' $'$ $ en disposición dos de tres para la actuación. Con estos instrumentos en la disposición dos de tres se debe generar mediante $9     '. los instrumentos se distribuyen en dos stand pipes.  . ' 6$. $ '  . permite tomar acciones que evitan llegar a la situación de riesgo del nivel de seguridad o disparo. Siempre que exista una actuación de seguridad.'$$'  cualquiera de los interruptores está en posición distinta de los otros dos. Esta solución. . en la mayoría de los casos. se debe poner un interruptor con función de alarma previa. a un nivel previo al disparo. 47.Elementos de campo del Sistema Instrumentado de Seguridad Figura 8.   . Montaje de interruptores de nivel. '$$'&) ]$ . '/.  . . ' '$ . '. ) '. $ $'6G*R*G*R/'$ $.  'P. 11 x 10-7 fallos por hora con micro ruptor SPDT y de 0. El DPDT se utiliza poniendo en serie los dos contactos NA (normalmente abiertos) del doble microrruptor. cuando la función tiene que actuar por bajo nivel. R      .08 x 10-7 fallos por hora con micro ruptor DPDT. se obtienen valores de tasas de fallos peligrosos no detectados de 0. $')$' fracciones de fallo seguro comprendidas entre el 60 y el 90% del total de fallos. Comprobando datos de catálogos de diferentes interruptores de nivel utilizados en el mercado.   .  '. 82 x 10-5 La tasa de fallos se garantiza durante el periodo de vida del instrumento. se obtiene la probabilidad media de fallo a demanda: G* # ™DU x TI/2 = 0. La vida útil recomendada por los fabricantes para estos instrumentos en aplicaciones de seguridad.11 x 10-7 fallos por hora. está condicionada por el tipo de microrruptor utilizado. Se debe pedir .11 x 10-7 x 8760 / 2 = 4. Para una aplicación que se actúa con un solo interruptor de nivel (1001) y en la que se efectúa una prueba del instrumento cada año.$ 6G*R/ ™DU = 0. $'P. '$ $. . $).  ''. &'  suministrador. 251 . .252 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Medida de nivel por onda guiada El sistema de medición de radar por onda guiada (TDR time domain reectometry) consiste en enviar la onda de radar a través de un cable o varilla metálica introducido 3'/33' ''  ]Q ..  .  . &'&.  . $ $'4. $'. Véase la Figura 8.48 para ilustrar la medida de nivel por onda guiada. Puede ser instalado en un recipiente grande en un tubo de derivación para hacerlo indepen'$. ]'3$ #' el cable. ''$/$&' '  ''.  P# ) . 48. Figura 8. Medida de nivel por onda guiada. +  $' P# 3 )''.   stand pipe como si fuera el cuerpo de un transmisor de desplazador. ' ' /    . &). Conociendo el tiempo transcurrido desde que se emitió hasta que se ha recibido. por la presión. No son afectados por la humedad. Los instrumentos de medición de onda guiada se pueden utilizar con gran variedad de líquidos y con algunos sólidos. La señal de salida del transmisor puede ser de 4 a 20 mA correspondiente a 0-100% de nivel. el procesador del instrumento calcula la altura del nivel. #  3']Q   $/ vuelven al elemento emisor receptor y son detectadas. Se pueden utilizar para efectuar medidas de interfase entre dos líquidos. Los pul #'  $ 4   '  ]O'$. por la temperatura ni por la presencia de polvos o vapores. $  P. '3'.  . $  '. $ $'4. $'. '$ '$   ]O' G $    #  . $'T  ' Q   $ 4  ]' ) $   ' '$' ]O'''.  ''$  . 49.49 se puede ver el principio de medida de nivel interfase por onda guiada. Medida de nivel interfase por onda guiada.Elementos de campo del Sistema Instrumentado de Seguridad Figura 8. La diferencia entre las constantes de los dos líquidos debe  ) . Para las aplicaciones de interfase se tienen que cumplir los siguientes requisitos: ^ ^ ^ ^ El producto superior debe tener una constante dieléctrica más baja que el producto inferior. En la Figura 8. $' PQ   &'. $' Dependiendo de la sensibilidad del nivel. puede realizarse solamente si el líquido de menor densidad está siempre por . La medida de interfase con elemento externo o acoplado a un stand pipe. la capa de producto superior debe tener un espesor mayor a una cantidad dada por el fabricante. '  $ ' 'O$S' P# &  3.  3' ' ]. Los tipos de productos. limitan las aplicaciones en que se pueden utilizar este tipo de medidores. En estos casos. la temperatura de operación y la constante dieléctrica.$ $ $ )$ el depósito por debajo de la conexión superior.   . los rangos entre los que pueden variar la viscosidad. el transmisor tiene que ser montado directamente en el recipiente. Se deben estudiar detalladamente las aplicaciones donde se utilizarán estos sistemas de medida. la presión. en el tubo de la derecha no habrá correspondencia con los niveles.  $  '  '    #'    '$ $ .  'P. 253 .  $' < ) con fracciones de fallo seguro comprendidas entre el 80 y el 92% del total de fallos. Tienen señal de salida de 4-20 mA y protocolo Hart. 254 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Se comprueban datos de catálogos de transmisores de nivel utilizados en el mercado y se obtienen valores de tasas de fallos peligrosos no detectados de 1. Se asume que el sistema de lógica del SIS detecta cuando la señal del transmisor está fuera de rango.83 x 10-7 fallos por hora.06 x 10-7 y de 1.. 6'$   .. Cuando los fabricantes no concretan un periodo de vida. Para una aplicación que se actúa con un solo interruptor de nivel (1001) y en la que se efectúa una prueba del instrumento cada año.83 x 10-7 fallos por hora. Los componentes que trabajan cerca de los límites de sus especicaciones pueden reducir aún más su vida útil.01 x 10-4 La tasa de fallos se garantiza durante el periodo de vida del instrumento.4.4. Esta observación es aplicable a todos los transmisores electrónicos. se aplica el siguiente párrafo: En aplicaciones de seguridad y de acuerdo con la IEC 61508-2 apartado 7. se debe asumir un tiempo de vida útil basado en la experiencia. ELEMENTOS FINALES DE CONTROL   $ P   . se obtiene la probabilidad media de fallo a demanda: G* # ™DU x Ti/2 = 1.83 x 10-7 x 8760 / 2 = 8. /™DU = 1. Los transmisores electrónicos suelen tener una vida útil de entre ocho y doce años.7.6. Los componentes limitadores en estos instrumentos son los condensadores de los circuitos electrónicos que tienen un periodo estimado de 50 años. 8. $    $       .   $  '$   ' 6&Q$'. $ &3 ]'. '.  $ por el conducto o tubería. y permiten aislar '$'$ '$  $ '$ . Desde el punto de vista de las funciones de seguridad son los elementos que cortan el paso de caudal en los conductos. La válvula está formada por un cuerpo y un actuador. en la Figura 8. o en funciones de seguridad para actuación. todo o nada. aplicada en función modulante para controlar el proceso.50 se pueden ver prácticamente todos los componentes que forman una válvula de globo. El .' P'  +  $ P   $''  en las plantas químicas es la denominada válvula de control. 3$'   . ). temperatura y corrosión ]' El actuador es el elemento que mueve la válvula como respuesta a la señal de actuación procedente de un aparato de control.$']''$' Esta parte de la válvula debe cumplir todos los requerimientos exigibles a la tubería para que pueda soportar las mismas condiciones de presión. El actuador debe ser diseñado para ser .     Q. ' ]'&&$ )  . .locar el obturador en la posición adecuada en los cambios de demanda del proceso. Cuerpo de la válvula de control Existen tantas variantes en los tamaños. materiales y tipos de conexionado de los cuerpos de las válvulas de control y de actuación todo nada.Elementos de campo del Sistema Instrumentado de Seguridad Figura 8. Válvula de globo.50. formas. que es necesario P' # .  . $$'. /. P. #'  ' $  ' . Para facilitar el montaje y desmontaje. Todos los cuerpos serán fabricados en . Las uniones de las válvulas con las tuberías pueden ser roscadas o bridadas. los cuerpos de las válvulas deberían ser acabados con bridas. pero el tamaño mínimo por razones de robustez mecánica suele ser de 1”. Será el adecuado para el caudal que tenga que manejar. Conexiones. Materiales y resistencia mecánica.'7    Tamaño.   . & .   '  K.     . 'P. . '  $&  ''3 $   . '    ]'  . '. '  . ' /  & '. L% $ $ J$ ' /X@V. '$'P. rating XEEÐ.   ' /.  . 'P. . estas últimas deben prevalecer.' $& 3' características superiores. Para los tamaños 255 . 256 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.     '  @V/ '...  $'#O'#' . 'P. . las distancias entre las caras de las bridas de los cuerpos de las válvulas de globo o mariposa se deben fabricar de acuerdo con las normas adoptadas en el proyecto.'  tuberías aunque sea inferior a 300#. Dimensión entre caras de bridas. Internos de las válvulas. Las partes internas son como mínimo de acero 'O' &  ]' Q . Para poder diseñar las isométricas de tuberías.   . '/. o cuando se producen caídas de presión superiores a 10 kg/cm2. las guías y los casquillos deben ser estellitados. La empaquetadura debe ser fácilmente accesible para facilitar la reposición y el mantenimien$* . para evitar fugas al exterior.  líquido con sólidos en suspensión. Las válvulas llevan prensaestopas y su correspondiente empaquetadura. los asientos y obturadores. Prensaestopas y empaquetaduras. . dan lugar a interpretaciones erróneas cuando se $'' . Las fugas de la válvula a través del conjunto obturador asiento. $  $ ]''$/   3$    $''   $ BBEÉ $])  $  $ ' BBEÉ  # P$ Fugas en los asientos de las válvulas. . $ &'#.  U# . V/U $ . De diferentes maneras se quiere . V/ Pnición muy extendida en inglés tight shutoff. '3  #/P .  $  # '   3&'P.  +O'$ '  3P . '. ' & )' de estanquidad que se deben exigir a las válvulas. la cual ha sido asumida por ANSI. Las clases de fugas en las válvulas de control de la Norma ANSI/FCI 70-2 son ')P   '#'$7 : - -   # $'. una de las más ampliamente utilizadas por los fabricantes de válvulas de control es la FCI-70-2 del Fluid Controls Institute.  'P. ). La fuga puede ser el 0. Clase II. aplicado a la válvula con el obturador cerrado por el actuador. Las pruebas se hacen en las mismas condiciones que la clase II y la fuga puede ser el 0. y con este alimentado a su presión requerida. Clase IV. La prueba se hace con aire o agua a una presión de 3. Son las fugas admitidas en las válvulas para usos normales.5 bar.5% del caudal de la válvula a apertura total. en funciones de control. 3'   $ se acuerda previamente entre el usuario y el fabricante.1% del caudal de la válvula a apertura total. .01% del caudal de la válvula a apertura total. Las pruebas se hacen en las mismas condiciones que la clase II y la fuga puede ser el 0. Clase III. 0005 ml agua/minuto por pulgada de diámetro del asiento por PSI de presión diferencial. La prueba se hace con agua entre 10 y 50 ºC. +. y una vez conseguido con mecanizados y lapeados costosos. Con asientos metálicos duros es difícil conseguir este grado de estanquidad. en los que una motobomba proporciona la presión del sistema óleo hidráulico que se almacena en un acumulador. El ruido. las válvulas se denominan como: neumáticas. es el que está accionado por aire a presión. En lugares donde normalmente hay personal. o a 3. se recomienda la observación de la norma citada. o en burbujas/minuto. Los actuadores electrohidráulicos se utilizan cuando se requieren grandes fuerzas impulsoras y actuaciones muy rápidas. eléctricas o electrohidráulicas. La fuga puede ser 0. con gran diferencia sobre los demás. Para el detalle exacto de los procedimientos de las pruebas y las fugas. para el aislamiento de ciertas partes del proceso.5 bar (la que sea menor). tras realizar varias actuaciones de aperturas y cierres con el conjunto obturador asiento. el nivel continuo de ruido a un metro de la válvula. Clase VI. se genera por el efecto dinámico del ]'   '$  /)&$/$&$  y el asiento cuando se produce algo de vaporización. Los actuadores eléctricos y los electrohidráulicos se aplican en casos especiales. Es la clase de fuga que se pide a válvulas que tienen que asegurar un buen cierre en los circuitos con funciones de seguridad. También hay actuadores electrohidráulicos. Niveles de ruido permitidos. El caudal de fuga en ml/ minuto.Elementos de campo del Sistema Instrumentado de Seguridad - -  Clase V. accionando directamente sobre el obturador. Actuadores El tipo de actuador más utilizado en las válvulas de control. Las pruebas se hacen con aire o nitrógeno a la presión diferencial de trabajo. En función del medio utilizado para su actuación. El aceite a presión hace las mismas funciones que el aire a presión en los actuadores neumáticos. se da en función del tamaño de la válvula. y a la presión diferencial real de trabajo. Existen actuadores con motor eléctrico. debe ser inferior a 85 db. se pierde fácilmente. con productos muy peligrosos y en los que las condiciones del proceso permiten la utilización de asientos con materiales blandos. principalmente cuando no hay disponible red de aire para el sistema de instrumentación y control. La clase VI se exige en casos excepcionales.      . . . mueve el vástago de la válvula a la posición de apertura o cierre deseada. ya que se pueden utilizar varios para con- 257 . Cuando no hay aire. El aire a presión. Los actuadores de diafragma y muelle se denominan de simple acción. el muelle o muelles. En este modelo. hace que la válvula se coloque en la posición contraria. empuja el diafragma hacia arriba y con él el vástago que está solidariamente unido al mismo.258 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. seguir la fuerza necesaria..51 se puede ver un actuador neumático de diafragma.. En la Figura 8. el aire entra por la parte inferior de la cabeza. El movimiento .  '  /$  .  # P. '$  3. +.51. Figura 8.  $  ' actuación se expanda y lleva el vástago y el obturador a la posición contraria. Actuador neumáco. Pueden ser:  De simple efecto. Esta posición es la que se desea a fallo de aire (Figura 8.    !  Se utilizan con válvulas de control que requieren un gran recorrido. Al fallar el aire de control.52). El aire se aplica a un lado del pistón que al moverse comprime un muelle en el lado opuesto. el muelle coloca la válvula en la posición contraria a la que la sitúa el aire. o la aplicación de una gran fuerza en el vástago. . 52. Actuador de cilindro y pistón de simple efecto. estos actuadores. pondrán el aire de reserva en el lado adecuado. cuando falla el aire. se quedan en la posición en que estaban antes del fallo.53. 259 . como el representado en la Figura 8.Elementos de campo del Sistema Instrumentado de Seguridad Figura 8.53. ante el fallo del aire de actuación normal. También existen los de doble efecto sin muelles. Actuador de cilindro y pistón de doble efecto. para llevar el vástago a la posición prevista de seguridad Figura 8. con una serie de dispositivos que. Se utilizan para trabajar con altas presiones diferenciales en el proceso. Si se quieren llevar a una posición determinada. Reciben aire de control para su posicionamiento por ambas caras del pistón.  De doble efecto con muelles. se debe facilitar un depósito de almacenamiento de aire. además de las características indicadas anteriormente para las válvulas .6. ELEMENTOS FINALES APLICADOS A FUNCIONES DE SEGURIDAD Cuando las válvulas se utilizan en circuitos de proceso. 8..1..260 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. con actuación desde sistemas de seguridad. $/O'#'$ . P. En la industria petroquímica y en las que se manejan ]' '] &/ ) # '$   .   $$'     Protección re safe.  . que requieren la utilización de válvulas de actuación con protección ante el fuego re safe+$'#'P. $ '# tencial. 3/ $#$ '  $) $$' &'P'/   . En algunas aplicaciones de seguridad. Tiempo de cierre. la velocidad de cierre es muy importante para asegurar la actuación en un tiempo determinado. las válvulas de bola y las válvulas de mariposa.$     cerrarla y deberá mantener la estanquidad entre obturador-asiento. *&. si las hubiera. y evitar las fugas al exterior por empaquetaduras y por las juntas de las bridas. Los tipos de válvulas que pueden cumplir este requisito son: las válvulas de compuerta. 'P. $'  O'  '$'  . compuerta y mariposa (Figura 8. . Sistemas de cierre obturador-asiento. Las válvulas de compuerta se utilizan en oleoductos.54. En válvulas de tamaños grandes que requieren gran velocidad de actuación. puede ser necesario utilizar dispositivos especiales. Tipos de válvulas ulizadas en SIS. Figura 8.'    apertura. para la carga o descarga rápida de la presión de actuación. límites de batería y grandes tamaños. de las válvulas más utilizadas para las aplicaciones de seguridad. Los sistemas de cierre obturadorasiento. Generalmente son operadas por actuadores eléctricos. bola. son las siguientes: asiento.54). Las válvulas de asiento no pueden cumplir la exigencia re safe”. Las válvulas de Bola son las mas utilizadas en aplicaciones todo nada de seguridad. y bola hueca en tamaños grandes. El sistema de cierre metal-metal permite conseguir estanquidad clase V. El conjunto obturador-bola suele ser del tipo bola maciza perforada en tamaños pequeños. y en algunas aplicaciones con metales blandos la clase VI. Hay una gran variedad de diseños y en procesos con bajas temperaturas se pueden disponer discos con juntas elásticas y cierres metálico-elásticos para conseguir estanquidades con clase de fuga IV. en accionamientos todo nada y aplicaciones de bajo nivel de seguridad.Elementos de campo del Sistema Instrumentado de Seguridad Las válvulas de asiento se utilizan para aplicaciones todo nada de seguridad con altas presiones y altas temperaturas. El paso interno puede ser de paso inte# 'P. Las válvulas de mariposa son muy utilizadas para grandes líneas y baja presión de trabajo. '. ' . $. . El cuerpo representado en la Figura 8. Los '$/3. El mantenimiento se puede hacer sin tener que desmontar la válvula de la línea. Las válvulas de bola entrada superior (véase la Figura 8.   & ]$ $ Q') & $#'   por los propios asientos. y el acceso a la bola y los asientos requiere el desmontaje de la válvula.55) se fabrican con el cuerpo de una pieza.54 es de dos piezas. El cuerpo está formado por dos o tres piezas.'& ]$ $Koating ball) o de bola de entrada superior (top entry). y la bola y los asientos se insertan por la parte superior. ' & & / $'. /GR+/# P$$ $' . P.   . Figura 8.'Jtop entry pueden ir equipadas con asientos especiales para que con altas temperaturas y asientos metálicos se mantenga una buena estanquidad. Válvula de bola. 261 .55. 262 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO..   &   %  En los diversos procesos industriales hay algunas aplicaciones que pueden conside .. ' )33' $P 'J   '     'cación concreta. + '# ?HA $ /  )3 $'. /  ''P. Cuando se produzca una de las condiciones previstas en la caldera que afecten a su seguridad. Figura 8. Los gases de salida pueden estar a una presión ligeramente superior a la atmosférica y a una temperatura tan alta como 400 ºC. El sistema hidráulico puede tener dos o tres bombas para mantenimiento automático de la presión del . la velocidad de cierre y las condiciones de presión y de temperatura en los gases. El peso de la compuerta.56. hacen que el sistema mecánico y su accionamiento sean bastante complejos. dora (diverter) de las que se utilizan en plantas de cogeneración. la salida está cerrada a la chimenea y los gases se pasan a través de la caldera con objeto de aprovechar su calor residual para producir vapor. con dimensiones tan grandes como 2. Generalmente. Diverter. procedente de un sistema hidráulico. o cuando en el turbogenerador se produzca algún disparo que por seguridad del equipo requiera el desalojo de los gases a la chimenea. la compuerta basculante debe cerrar el conducto hacia la caldera de generación de vapor. El conducto puede tener forma circular o rectangular.5 x 2 m de sección. o hacia la chimenea de salida de gases. En condiciones normales de funcionamiento. para direccionar los gases procedentes del escape de un turbogenerador hacia un sistema de generación de vapor. el accionamiento se hace con cilindros actuados por aceite con alta presión. '$/'$. ''$. $) $   . acumuladores de presión. el sistema suele estar provisto de una bomba manual de pistón. que permite elevar la presión manualmente y llevar la compuerta a su posición #' P'  . válvulas de seguridad.'$/P$/  distribuidoras. lazo controlador de presión con transmisor controlador y válvula de control. válvulas solenoides para disparo o actuación de la compuerta y por si falla lo anterior. presostatos para arranque y parada de bombas. para conseguir una estanquidad adecuada con este tipo de cierres. en la cara posterior del cierre de la compuerta se tiene que hacer un sellado inyectando continuamente aire a una presión ligeramente superior a la del gas caliente.Elementos de campo del Sistema Instrumentado de Seguridad Teniendo en cuenta la alta temperatura de los gases de salida. su aplicación mayoritaria se hace como actuación todo o nada de apertura o cierre.57. en aplicaciones de seguridad. Para ello. donde se manejan los gases de combustión de hornos hacia precalentadores o chimeneas.58. se utilizan otros tipos de válvulas especiales –Damper como el mostrado en la Figura 8. Sin embargo. o se opera con grandes volúmenes de aire para la combustión. Con cilindros y posicionadores adecuados. Figura 8. las compuertas que estrangulan el paso. pueden hacer un control regulado del caudal. movidos por cilindros neumáticos de doble efecto y articulaciones mecánicas con palancas y puntos giratorios. se requiere un sistema con máquina soplante y los instrumentos necesarios para su automatización.57. En grandes conductos. Puede haber variantes con mayor o menor complejidad. pero un sistema sencillo consiste en un depósito de  . se tienen que llevar a una posición determinada de apertura o cierre. Actuador para grandes conductos de aire o gases. véase la Figura 8. Cuando por necesidades de seguridad. circulares o de forma rectangular. en los equipos que se actúan con cilindros de doble efecto se tiene que suministrar un sistema de aire a presión con alimentación de emergencia.  '$ ' '/.  P. '$  3 $  '$''    . . ' '$ $P  '$  '  . $ . '/    '$   '. '#' PQ    $/$$' de recipiente requiere pruebas y tratamiento administrativo similar al de otro recipiente a presión. También se requieren presostatos para detectar el fallo de la presión del '/. incluyendo válvula de seguridad calibrada a la presión de diseño del equipo. Se requiere válvula antirretorno para evitar la fuga del aire y válvula solenoide para la actuación eléctrica del disparo.  T$  '3 '$  $P / el cual se actúa sobre el SIS. 263 . para producir disparo y llevar la válvula a su posición de seguridad prevista. Figura 8.. Sistema neumáco con depósito pulmón.264 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.2. EXIGENCIAS DE FIABILIDAD PARA ACTUACIÓN ANTE DEMANDA    $P   $'' .6.58.. 8. ''$ #' /  .  '''P &''  . $ . '/ 3O'#   válvulas aplicadas a sistemas de control. Parámetros relacionados con la seguridad G    . .    #   P &''       ) ' '. . Tiempo medio entre fallos. MTTR (mean time to restore). Se obtiene de valores experimentales. El   $$'. para cada tipo de válvula. Tiempo medio esperado para que la válvula tenga un fallo que pueda afectar a su actuación. Tiempo medio para hacer una reparación. Se dan por el fabricante. a los fabricantes de las mismas se les exige que faciliten datos de los siguientes parámetros:      MTBF (mean time between failure). MTTF (mean time to failure). dividiendo el número de fallos entre el número de unidades en servicio.'   sistemas de seguridad. ']. ' . . Ti Intervalo de tiempo entre pruebas+$  $$'# '].G*+  & establecer el usuario en función de su propia disponibilidad. ! DU Tasa de fallos peligrosos no detectados. ! DD Tasa de fallos peligrosos detectados.    ' 'P. .'  el cálculo del PFDavg. Tasa de fallos peligrosos por hora. PFDavg = ½ DU x Ti.D (dangerous failures rates).      . .     & &''  media de fallo ante demanda. . que recibe la señal procedente de la lógica del sistema instrumentado de seguridad. generalmente una electroválvula. quitando tensión a la válvula solenoide y .Elementos de campo del Sistema Instrumentado de Seguridad Las válvulas con actuación neumática o hidráulica necesitan un elemento intermedio. '  . $ . '. ' $  $P  P &''   . $ . Esta composición es la más sencilla y la más utilizada en las aplicaciones para sistemas de seguridad. limitador de señal o cualquier $ $. Si la válvula utiliza posicionador.' & $/  ') $P  o válvula todo nada de proceso. relé neumático.  '   . $ . '#' / P &''   . $ . En las aplicaciones de seguridad se deben evitar todos los elementos que no sean &$ $.' dependerá de la de cada uno de los elementos y la de todo el conjunto será menor.  '  . #'  . $ . genéricamente denominada válvula solenoide. es un elemento crí$'.' $P  Electroválvula La electroválvula.  $P . son las que se utilizan para interrumpir el aire de accionamiento a los actuadores neumáticos. Son de pequeño tamaño. generalmente las vías suelen ser ÈV No nos referimos a las válvulas solenoide que van directamente insertadas en las $& ). Las válvulas solenoide a las cuales nos referimos aquí.$/&$''   )&   para uso industrial y particularmente las que se utilizan en ambientes exteriores. o el aceite en los circuitos hidráulicos. $ . $. ]'. lo cual debe ser siempre. Se requiere que estén energizadas durante el funcionamiento normal del proceso. pero no se utilizan en sistemas de seguridad debido al número de fallos que tienen. y por el propio calor generado por el estado energizado de la bobina. Las válvulas solenoide utilizadas en aplicaciones de seguridad deben ser capaces de trabajar con temperaturas ambientales elevadas por recibir la radiación directa del sol. en condiciones normales de operación. reactores o generadores de vapor. y se le quita tensión para la actuación de seguridad diseño a fallo seguro. por recibir el calor de entornos tales como paredes de hornos.+$  '$'lizan en algunos procesos automáticos. Las solenoides alimentadas con tensión de 24 vcc o 120 vca son las 3$' )P &'' /3   $. ' /. Cuando se desenergiza. '$   y tienen mayor duración. Válvula solenoide pilotada.R'3J'P. Las válvulas solenoide pueden ser:   Actuación directa. Estas válvulas se piden: normalmente Cerrada (NC) o normalmente Abierta (NA). la válvula se abre o cierra al contrario de antes. La bobina solenoide energizada atrae un vástago que cierra o abre la válvula. ''$3 & o cierra por el movimiento del vástago. que permite que la presión del aire 265 . Cuando la solenoide está #'  /'P..266 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. se utilice en la actuación de la válvula solenoide.. ''$. ' ) ' ' '. Cuando la solenoide está ener#'  / &'P.  para cerrar con fuerza extra el paso del aire. Dependiendo de las aplicaciones para las que se utilizan. Si la válvula solenoide es normalmente cerrada (NC). El rearme permite que cuando se produce un disparo. es decir. aunque el mismo desaparezca. Las válvulas solenoide pilotadas pueden ser de tres o cuatro vías. y cuando se desenergiza se coloca en su estado seguro. La posición a fallo seguro se da. cuando la solenoide está desenergizada y su muelle de retorno mantiene el piloto en la posición de cerrado. se pueden necesitar con rearme. se da alimentación al actuador de la válvula de proceso. se corta la alimentación y el actuador de la válvula de proceso se ventea y despresuriza por la tercera vía de la válvula solenoide pilotada. Las válvulas solenoide pilotadas tienen estado o posición a fallo seguro. y se utilizan para dar presión o para ventear el actuador de la válvula de proceso y producir su apertura o cierre. para volver a la situación normal se requiere que un operador actúe sobre el pulsador o palanca de cada electroválvula con rearme. cuando está energizada y las conexiones neumáticas están correctamente hechas. lo cual obliga a 'P.''$/    O$ ) & paso de aire hacia el actuador de la válvula de proceso.    . . $  '. '   $ P      . '  ''. se permite el paso de aire al actuador de la válvula de proceso y esta se moverá a posición no segura.'  proceso. El rearme descrito puede ser peligroso en algunas aplicaciones. Con la electroválvula ener#'  . “y mientras se mantiene actuado”. Cuando el actuador de la válvula todo nada de proceso es de simple efecto y el retorno por muelle. si se actúa manualmente el rearme. En algunos tipos de electroválvulas. con la solenoide desenergizada por un disparo. se utiliza electroválvula de tres vías. $'/ 'K]' $L    . '  . Cuando se quita tensión. Esto permite al pistón y vástago  $P  '. se cierra y bloquea el aire en la vía de entrada.$   válvula todo nada y la tercera vía está a la atmósfera. y dos vías para direccionar el aire de la otra parte del cilindro al venteo. se comunica el actuador con la tercera vía y se ventea el aire a la atmosfera. Los actuadores de doble efecto necesitan electroválvula de cuatro vías: dos vías para entrada de aire y direccionado a un extremo del cilindro. El servoactuador queda sin presión y el muelle del actuador llevará la válvula todo nada a su posición de seguridad (véase la parte superior de la Figura 8.59). De esta forma. se direcciona la entrada de aire al extremo opuesto del cilindro al que estaba antes. el aire mueve el pistón$ #) $P $    '.' Al quitar tensión a la electroválvula. y la parte del cilindro que anteriormente estaba con presión se direcciona al venteo. .'#' W&43   tener la posición de seguridad es imprescindible disponer del aire motor. Elementos de campo del Sistema Instrumentado de Seguridad Figura 8. Las causas de fallo en las electroválvulas son: ^ ^ Corte o quemado de la bobina solenoide. más generalmente. se producirá un disparo espurio. Se puede producir por excesiva fuerza de rozamiento debido a ambientes con atmósferas hostiles y. Bloqueo del eje o vástago que mueve el direccionamiento de las vías de aire. Válvula solenoide de tres y cuatro vías. Cuando se utilizan en aplicaciones con diseño a fallo seguro –energizada en condiciones normales de operación. como consecuencia de que el aire .59.  ' '   . $ . '$4P. Pero si falla el interno de alguna electroválvula. se pueden utilizar solenoides con doble bobina. o una disposición con dos electroválvulas conectadas como se indica en la Figura 8. para que la válvula de proceso cierre. es necesario quitar tensión a dos solenoides para poder despresurizar el actuador de la válvula de proceso.60. 267 .'$ $' ' En las aplicaciones donde se quiere evitar disparo espurio por el quemado de la bobina. Conexión de dos solenoides para evitar disparo espurio. Con este montaje.60. puede ocurrir que falle la actuación de seguridad. se contraponen la mayor disponibilidad y la menor seguridad de la planta. Con esta disposición. Figura 8. El máximo intervalo de prueba recomendado para válvulas solenoide es de cinco años.. los fabricantes recomiendan inspeccionar entre uno y dos años. En aplicaciones de seguridad. Los mismos fabricantes estiman un tiempo de vida de entre cinco y ' J/ $.268 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO..  #  $'  P &''  '/'. se da en catálogo un PFDavg = 4. Para una válvula solenoide pilotada.77 x 10-4.$T  plan de mantenimiento. haciendo pruebas cada año. En las aplicaciones de seguridad. las válvulas solenoide se deben reemplazar antes de cumplir su tiempo de vida. inspecciones y la instalación que recomiendan. que normalmente está energizada y que produce el disparo al quitar tensión. +O'$ &'. $3 ''$ . Q$'. P# . ' redundante. y con PFDavg de valor similar al indicado anteriormente para una sola válvula solenoide. G    '$ . ' P &'' )''&''  . en atmósfera explosiva (todas . Están instaladas en intemperie.$ / se muestran los resultados de un estudio realizado sobre una muestra de 66 válvulas solenoide. que llevan funcionando una media de 25 años. en distintas unidades de procesos continuos. $. . ' $'] # $#'   $  L). El 20 % tienen rearme manual. uno ha producido la actuación de la solenoide por falta de tensión. Los otros dos fallos son producidos por otros elementos que se deben tener en cuenta en el cálculo de PFDavg de la SIF. pero no pertenecen a la válvula solenoide. Asumiendo que en este tipo de instrumento el 80% de fallos son seguros y que se .  $     ™ D8RR D8KDAHO?>AEL A/=BODE-7. De los cuatro fallos encontrados. Se han analizado las incidencias de mantenimiento de los últimos cinco años y se ha observado lo siguiente: ^ ^ ^ ^ Fuga de aire por el venteo (junta interna deteriorada). El MTTF (tiempo esperado de fallo de la solenoide) es de 66 x 5 / 2 = 165 años. Rearme de palanca agarrotado.' & $ $'so. Los dos fallos primeros se han producido en la válvula solenoide. Fuga por conexión de racor en válvula de proceso. Cable roto en caja de conexión.  & .   J/ G* #' 'P. 760/2) = 6.    '7 R   '#™D = (6.92 x 10-7) 0. Válvula de proceso para actuación de seguridad todo nada Tradicionalmente. G* # ™D x TI/2 = (1.04 x 10-4 que es un valor similar al de 4.38 x 10-7.38 x 10-7) (8.760 horas). Intervalo de pruebas TI = 1 año (8. las válvulas para los sistemas de seguridad se han utilizado en su    .2 = 1.77 x 10-4 tomado de catálogo. P# . '  . '     O'. '  .       .  vamientos de seguridad de plantas petroquímicas. se ha podido comprobar que los . limitadores de señal $ & Q /4&3/P .Elementos de campo del Sistema Instrumentado de Seguridad distintos accesorios que pueden ser utilizados (posicionador.  /''. '. '/$. o prensaestopas mal elegidos. e incluso bloqueo por agarrotamiento. la válvula de bola con actuador mediante cilindro y pistón de simple efecto y muelles de recuperación. o rotura de los mismos. según sea la aplicación. Están instaladas en intemperie y clima bastante lluvioso. en los sistemas de seguridad se recomienda. En esta válvula. por corrosión entre materiales.  ]Q  &' &3   . Fuga en las bridas. Las causas de fallo en válvulas todo nada pueden ser: ^ ^ En el cuerpo. Resortes mal dimensionados. El cuerpo es de bola. mediante actuador de cilindro y resorte para llevar a la posición segura. A fallo de aire. Por lo anterior. siempre que sea posible. y solo se actúan cuando existe una demanda por emergencia. durante mucho tiempo pueden ser varios años. Con un giro. las válvulas cierran. con actuación todo nada. El mayor problema de las válvulas con actuación todo nada. Depósitos de sólidos y obstrucciones con cuerpos extraños entre obturador y asiento (menos probable en válvulas de bola por su geometría y paso pleno). se abre o cierra la bola al asiento. Fugas de aire en el circuito de mando. En el actuador. es que permanecen en una posición abierta o cerrada.L/ causantes de la mayor parte de las averías que impiden el funcionamiento correcto de apertura o cierre de la válvula. Se ha realizado un estudio sobre una muestra de 46 válvulas de proceso utilizadas en sistemas de seguridad. aplicadas en funciones de seguridad. Se han analizado las incidencias de mantenimiento de los últimos cinco años y se ha observado lo siguiente: ^ ^ ^ ^ Cambio de actuador por rotura del prensaestopas. solo intervienen elementos mecánicos y el aire motor. Llevan funcionando una media de 25 años. Aumento de fricción. con poca fuerza. en distintas unidades de proceso continuo. $ . ' Tubing de aire roto. Asumiendo que en este tipo de válvula.  $     ™ D8RR D8KH?O?>AEL D/=>ODE-6. solo el 25% de fallos son seguros y que  . El MTTF (tiempo esperado de fallo de la válvula) es de 46 x 5 / 4 = 58 años.  & .   J/ G* #' 'P. PRUEBA DE CARRERA TOTAL A LOS ELEMENTOS FINALES DE CONTROL G& .3.47 x 10-6. 8.47 x 10-6) (8760/2) = 6. G* # ™DU x Ti/2 = (1.43 x 10-3.75 = 1.6.97 x 10-6) 0.    7 R   '#™DU = (1. Intervalo de pruebas Ti = 1 año (8760 horas). ' '$ $P . $.   $  . de causar perturbaciones en el funcionamien- 269 .'/ conlleva riesgos de parada. o al menos. . Una válvula que está abierta y que solo debe cerrar ante una situación de emergencia.. no es aconsejable. G    . solo se debe actuar para evitar un mal mayor. to normal de la misma. cuando el proceso está bien. Hacer pruebas en estas válvulas.270 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. o que está siempre cerrada y deba abrir para desalojar una presión o para aportar un producto que corte una reacción. $  &     $ P   . $/    $  & estar parada. o por      'P. Esto es lo que se hacía hasta muy recientemente con los sistemas de seguridad de las plantas industriales. cuando se paraba por una emergencia.   $' '$/ . & ) .  &  '$ .   '$/  'P.  . $ . '+ T'.   $ que se podían abrir o cerrar las válvulas del proceso sin causar problemas al mismo. '     'P. por estar parado.   ' . '  #/)  /$ '.  $4. '. / .   '$.  $'P.   ) P &'' 33 $. Si la planta tiene que estar en funcio '$)$'3 .$'$ #' 6 & 3 la probabilidad de fallo para actuación ante demanda PFDavg disminuye a medida que aumentamos la frecuencia de las pruebas. &   $P . $/ 'J '$  . ' ' $) 'P. Ejemplo 1. y por ello. Se controla la temperatura de la entrada al reactor por la parte inferior. La prueba de carrera total en línea es crítica para mantener la disponibilidad de la seguridad del SIS. Protección de un reactor por alta temperatura o alta presión  Proceso El reactor debe operar a una presión y temperatura constantes para que una parte del producto reaccione y se transforme en otro de más valor añadido. al aumento del nivel de seguridad SIL. mediante un lazo de control y un intercambiador de calor.  Situación de riesgo Por grandes variaciones en la calidad del producto tratado. Aumentar la frecuencia de la prueba. En operación normal la temperatura de salida puede variar entre ciertos valores sin causar ningún problema. en tres ejemplos de procesos continuos. Analicemos cómo se pueden hacer pruebas a válvulas de proceso dedicadas a aplicaciones de seguridad./  3 se puedan hacer las pruebas sin perturbar notablemente el proceso. y para que se mantenga la seguridad. por tener en la entrada una temperatura muy elevada debido a un mal control. es directamente proporcional a la bajada de la probabilidad de fallo a demanda PFDavg. por mala distribución del ca- . La reacción es exotérmica y se mantiene estable dentro de unos límites de temperatura y presión. Elementos de campo del Sistema Instrumentado de Seguridad talizador en el interior del reactor.  Actuación de seguridad Para cortar la reacción. la reacción se multiplica y es necesario pararla. lo más efectivo es despresurizar el reactor mediante la descarga del producto a un sistema de antorcha. se diseñan dos líneas de igual capacidad. a partir de un cierto valor de temperatura más alto que el de operación normal. o por una combinación de los diferentes factores. y a otros equipos del proceso. para evitar que la alta temperatura que se genera cause daños al reactor. El riesgo por alta temperatura es grande y para evitar el fallo de una sola línea de descarga. Cualquiera de las dos desaloja el .  P. '$  & Q  '' $). $   . . la lógica del sistema de seguridad quita tensión a las válvulas solenoides UY las cuales. cortan el aire de instrumentos a las válvulas de proceso UV y ventean la presión de las mismas para abrirlas.'K4 '#  8.61). La posición de se#' KWL  &G    '#/P. Por alta presión o temperatura. '$. 3 &      ''. 'DB P &''  . $ . En este sistema. Para aumentar la disponibilidad de la planta y disminuir los fallos espurios no deseados. Figura 8.62.61. Protección contra alta presión con doble circuito de salida.' $ /$ &'4 alta la posibilidad de fallo no deseado. la disposición de dos válvulas 'N[. en cada una de las dos líneas de despresurización a antorcha se instala un sistema como el de la Figura 8. . $  .  ''. el actuador de la válvula 271 . Para que exista actuación de disparo y se pueda abrir la válvula UV. En esta situación. es necesario que las dos solenoides estén sin tensión.  P# /'$ ' ' el fallo de una solenoide. lógica. regleteros. las válvulas se deben bloquear abiertas mediante llave mecánica. Figura 8. indicando permisos.62. válvulas a probar. se despresuriza por el venteo de la solenoide superior derecha. antes. se evita el disparo espurio por el fallo del aire de instrumentación AI. en la Figura 8. y con los elementos del sistema que se instalan en cada válvula.  Cómo se puede probar este sistema con la planta en funcionamiento? Cuando se diseña una planta y se aplican sistemas instrumentados de seguridad con todo su rigor. El desbloqueo para poderlas cerrar obliga a la utilización de un procedimiento administrativo que será utilizado para las pruebas de carrera de las válvulas. con la frecuencia prevista en los cálculos. observaciones. tarjetas. los planos que se deben manejar. etc. Con la doble línea de despresurización tendremos seguridad de disparo. porque el bloqueo por error de una de las mismas invalidaba el sistema de protección. fecha de ejecución. En el Capítulo 14 del libro se describe con detalle la forma en que se han de efectuar las pruebas de los SIF. alarmas y la secuencia de válvulas manuales que se han de abrir y cerrar. Para este caso. Estas válvulas se evitaban en diseños antiguos. Protección contra disparo espurio. .272 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. cajas de conexión. se han de prever los medios para hacer pruebas completas a todos los elementos que conforman un SIF. se evitan los disparos espurios. durante y después de efectuar la prueba.61 antes y después de cada válvula de seguridad UV se dispone de dos válvulas de actuación manual marcadas (LO. cables. descripción de las señales involucradas. lock open) bloqueadas abiertas. quiénes realizaran la prueba y sus responsabilidades. Ahora.. Por otra parte.. con las indicaciones. Se dispondrá de un procedimiento muy detallado. con la capacidad de almacenamiento TK y la válvula antirretorno. Elementos de campo del Sistema Instrumentado de Seguridad +$. . . $)  )' 'P. Posteriormente. Se comprueba la correcta actuación de las válvulas. lo que invalidaría el sistema de seguridad. Dependiendo de si la prueba se hace por partes.O) y se les pone un bloqueo mecánico para impedir que por error se puedan cerrar. la válvula UV abrirá. con lo que la válvula UV se volverá a cerrar. lógica por $) $P $/ . Se cierra el circuito y se repone tensión a las solenoides.O) situadas antes y después de la válvula UV. sensores por un lado. Se abren las válvulas manuales (L.  7 - - - Se comienza la prueba de la actuación de una válvula de disparo cerrando las dos válvulas manuales (L. Se abre el circuito y se quita tensión a las dos solenoides UY de la línea que se esta probando. se prueba la otra válvula siguiendo el mismo procedimiento. con lo cual se bloquea la salida de producto en una línea mientras que la otra línea sigue en servicio.  . Q$ /. sería necesario bloquear al mismo tiempo las cuatro válvulas manuales. Si se hace de forma conjunta. es posible que en la programación del sistema de seguridad se tengan que contemplar algunos condicionantes para las pruebas. y en la posición de prueba 2. en la posición de prueba 1. Si se decide hacer la prueba a todo el conjunto al mismo tiempo sin cambiar el programa. quitar tensión solo a la salida 2. En esta situación. con la consiguiente situación de riesgo. este no produciría efecto por tener las válvulas manuales cerradas.' '$ pruebas puede ser más o menos complejo. Por ejemplo en este caso. quitar tensión solo a la salida 1. si en el proceso se produjera un disparo real durante la ejecución de la prueba. ’% /.  <j < ƒ „ |j . j˜. manteniendo la relación aire/combustible necesaria. Hay lazos de control para mantener la relación aire/combustible y para mantener la temperatura del producto al valor requerido. fallo en los quemadores o en el suministro del combustible se pueden dar situaciones de riesgo en el horno por acumulación de gases no quemados.  Proceso El combustible gas alimenta a los quemadores de un horno de calentamiento de producto en una planta petroquímica. como pueden ser.  Situación de riesgo Por múltiples razones. El objetivo es calentar el producto a una temperatura determinada. o por 273 . fallo en los lazos de control de combustible y aire. para que la combustión sea adecuada y segura. 274 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Una de las disposiciones más seguras que se pueden utilizar es la que se puede ver en la Figura 8. con lo que se anula el fuego y la aportación de calor. sin considerar la parte encerrada en la nube. También se puede producir temperatura muy alta en el producto que se está calentando..  Actuación de seguridad Para eliminar cualquiera de las situaciones de riesgo.. apagado de la llama. la actuación de seguridad más efectiva consiste en cortar el combustible. Se ponen dos válvulas .63. o en los mismos tubos por donde circula el producto. $NS'/. P# . 'DB). '. Figura 8.'#'    cierra (fail close). Protecciones en gas combusble a quemadores de hornos. se cierran las dos válvulas en serie cortando el combustible al quemador y se abre la válvula de la línea intermedia. Esta válvula ventea a lugar seguro.63. Cuando por una situación de riesgo se produce un disparo. que lleva una tercera válvula UV cuya posición de seguridad es FO fallo abre (fail open). Entre las dos válvulas existe una línea en derivación. En situación normal de funcionamiento las tres solenoides UY están energizadas. con ello se impide la presurización del carrete de tubería entre ambas válvulas y que la presión pueda introducir gas al quemador y a la cámara de combustión del horno. . para crear una situación de riesgo en un encendido posterior. las dos válvulas en serie UV están abiertas y la válvula UV está cerrada. las cuales actúan al mismo tiempo cerrando. cualquier fuga que pudiera producirse en la válvula que aguanta la presión del colector de gas combustible. Elementos de campo del Sistema Instrumentado de Seguridad $ . P# . '/  . $ .  Cómo se puede probar este sistema con la planta en funcionamiento? No se puede probar porque el corte de combustible implica parada del horno. si se requiere probar este conjunto de válvulas con la planta en marcha. que de producirse. podrían crear situaciones de riesgo que invalidarían la buena seguridad del diseño. se eliminan fallos de tarjetas de salida y de cables individuales.'$'&$ fectamente coordinadas. el periodo de prueba de carrera total de las válvulas de corte es menor que el periodo de parada programada de la unidad de proceso. Un diseño podría ser duplicar el conjunto de las tres válvulas y ponerlo en paralelo con el existente. parada de la unidad de proceso. Cuando por razones de nivel de seguridad. En la lógica de seguridad. y generalmente. De esta forma. el segundo conjunto tendría las válvulas NSÏ. por ello se recomienda la utilización de un solo canal de salida del sistema de lógica de seguridad y de un solo cable para alimentar las tres solenoides. se debe prever un diseño que permita hacer la prueba.   ) N[Ï &'$ . '. '$ & Q /) '. '. cortando el combustible al horno. cuando a las válvulas de corte que funcionan normalmente se les hace la prueba de cierre. Durante el tiempo de prueba de las válvulas. +  $ . cualquier disparo de seguridad actuaría sobre los dos conjuntos de válvulas.traria.  &'$ /. . se dispondrá de un procedimiento detallado para la ejecución de la prueba.' '$&'P') sin estar en contradicción con la normativa aplicable. G    $ $'   & '/) ' 'P. se podría diseñar una alternativa similar a la indicada en la nube de la Figura 8. antes y después de las válvulas UV. La válvula de baipás irá provista de indicación de cierre o alarma de apertura.63. abiertas y bloqueadas (L. Los lazos de control de presión y/o de caudal del colector de combustible están '$  $$ 3  P#  Como ya se indicó. Se deben prever válvulas manuales.O) durante la operación normal. en el sistema de seguridad. y una línea de baipás con su correspondiente válvula manual. con línea de baipás y válvula manual ZSO.  /. No debe causar perturbación apreciable en el proceso. dado que el control de presión y caudal se efectúan antes y absorben la pequeñísima diferencia de pérdida de carga que se introduce al poner dos líneas en paralelo. Se observa que el proceso sigue estabilizado. 275 .O) situadas antes y después de las válvulas de corte del sistema de seguridad. En la interfase del sistema de seguridad se conoce la alarma ZAO “válvula de baipás abierta”.' '$ podría ser: - - Se procede a abrir completamente la válvula de la línea de baipás. Se cierran las dos válvulas manuales (L. 276 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. y abrien NS3$  # #6'P.. Las tres solenoides actúan cerrando las dos válvulas UV que están en serie.. - - -  Se quita alimentación a las solenoides abriendo el circuito. 3   . Si las válvulas solenoide tienen rearme manual individual. El proceso debe $ $ &''  &  P '  $' . Cerrar la válvula manual del baipás.O) y ponerles el bloqueo mecánico en esta posición. Después rearmar las solenoides que están en serie y las válvulas UV se abrirán. Se cierra el circuito y se da alimentación a las tres solenoides. Abrir las válvulas manuales (L. las tres válvulas de corte UV continuarán en la misma posición. Primero rearmar la solenoide UY de venteo a lugar seguro. y la válvula UV se cerrará. Debe desaparecer la alarma “válvula de baipás abierta” y aparecer la indicación de cerrada.$T  adecuadamente. $' $) . si se produce. cerrando la válvula de baipás en caso de detectarse un disparo. informe correspondiente. se debe mantener un sello hidráulico en la columna de alta presión y por ello.  Situación de riesgo Si por fallo en el lazo de control de nivel se pierde el sello hidráulico. actúe. Aislamiento entre zonas de alta y baja presión  Proceso En un proceso hay una zona de operación de alta presión y otra zona de baja presión. un disparo de seguridad. Los diseños de los equipos y las tuberías están calculados y dimensionados para soportar sus máximas condiciones de trabajo reales. aunque estuviera cerrada. y se puede disponer que el operador que está controlando el cierre de las válvulas de corte. y la presión en la zona de baja podría aumentar de manera peligrosa para los equipos y tuberías existentes. Ejemplo 3. el nivel de la columna no debe bajar de un nivel mínimo LSLL. Desde la zona de alta presión. La pérdida de carga se produce casi totalmente en la válvula LV. Observación Durante el tiempo que la válvula manual del baipás está abierta no tendría efecto. En el procedimiento de actuación para la prueba. Para que la presión no se traslade a la zona de baja. . se puede indicar se preste especial atención para detectar si se produce un disparo. la válvula LV sería incapaz de producir la pérdida de carga para aislar las dos zonas. el producto líquido pasa a la zona de baja presión mediante un control de nivel. que tome la acción de bloquear la salida cuando todavía )'P.Elementos de campo del Sistema Instrumentado de Seguridad  Actuación de seguridad Para evitar la situación de riesgo se provee un instrumento independiente de medida o detección de nivel. '$  #  $'  ''. % )' . Si fuera necesario aumentar la seguridad. un interruptor de nivel y la correspondiente lógica. al hacer análisis de seguridad y asignar nivel SIL. El sistema ha funcionado razonablemente bien durante años. las que se utiliza un enclavamiento formado por la misma válvula LV del sistema de control con una solenoide. En las nuevas unidades con este tipo de proceso. se opta por una válvula UV independiente y aplicada solo para seguridad. además de la válvula UV y conjuntamente con la misma. para actuar con la lógica del muy bajo nivel y con prioridad sobre la señal del lazo de control.    . también se podría utilizar la válvula de control LV con una solenoide. con su correspondiente solenoide UY. La válvula se pide con un cierre más exigente que el de la válvula de control.         . asumimos que se puede cortar el caudal durante un minuto. se dispondrá de un procedimiento detallado para la ejecución de la prueba.  Asumiendo el esquema de la Figura 8. 277 . Como se indicó anteriormente. También se sabe cómo afectan las variaciones de caudal a la zona de baja presión.64. En el ejemplo que nos ocupa. Figura 8. el volumen de líquido que se almacena en el fondo de la columna de la zona de alta presión y el caudal medio de salida durante la operación normal de la planta.64. sin causar problema serio en la zona de baja presión. Protecciones para separar zonas de alta y baja presión. en la fase de diseño se ha comprobado el rango del nivel de control. por ello se puede hacer la prueba del SIF completo. sin necesidad de equipamiento adicional. incluso a caudal cero durante un corto periodo de tiempo. .278 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. +$.. /) ' 'P. quita tensión a la solenoide UY que a su vez quita aire y ventea la válvula UV.  7 - : Cerrar las válvulas manuales de conexión al proceso del interruptor de nivel LSLL. produciendo lo siguiente: actuación de la lógica del SIS. Después abrir la purga del mismo. la cual se cierra. da alarma de muy bajo nivel. Se vacía el LSLL y actúa su interruptor que abre el circuito. S'P.  $  $'/  . A lo largo del tiempo se han desarrollado diferentes métodos que permiten probar una parte de la carrera de la válvula. dependiendo de la necesidad del proceso. no se mueven durante la operación normal. La prueba completa puede durar dos o tres minutos y la válvula de proceso UV puede estar cerrada entre 15 y 30 segundos. Se recupera el nivel. es decir. se abren las válvulas manuales de conexión al proceso.6. las válvulas de actuación todo nada aplicadas en sistemas de seguridad. permanecen durante meses o años en una misma posición.'    #   '$$  ' LSLL. se energiza la solenoide UY que cierra el venteo. da presión de aire al actuador de la UV y la válvula se abre. PRUEBA DE CARRERA PARCIAL (PARTIAL STROKE TEST -PST-) Como ya se indicó anteriormente. se actúa el interruptor del LSLL.  & . 8.4. se apaga la alarma de muy bajo nivel. cerrada o abierta. con lo cual se garantiza una parte del funcionamiento total.   . ' KG6RL'  . P   ''   $  /3  $. $   '. y asimismo disminuir la probabilidad de fallo a demanda PFDavg. en algunos casos.'P Gde evitar. ). la inmovilización por agarrotamiento del vástago del obturador. La prueba se puede hacer con una electroválvula para la actuación de emergencia. haciendo pruebas parciales con frecuencia. se pueden alargar los plazos de comprobación de la carrera total de la válvula. En algunos casos. '  $/P .     ' . Cada una de las variantes tiene  #   '# ) 'P. Las aplicaciones que se han desarrollado a lo largo del tiempo para hacer la prueba de carrera parcial han sido las siguientes: mediante limitadores mecánicos. con válvulas solenoide y mediante control de la posición. El posicionador se puede montar conjuntamente con la solenoide.' $  sobre la posición de la válvula. el cual incorpora todo lo necesario para hacer una prueba de carrera parcial. Hay desarrollada una alternativa que consiste en montar en la válvula un posicionador inteligente. o en sustitución de la misma. $   Q. . ' R &'4 .     . que se deben tener en cuenta en los diseños originales de los SIF.'   utilizar equipamientos más o menos complejos. . topes mecánicos con volantes roscados. e implica la instalación de un aparato mecánico que limita la carrera de la válvula. Durante el tiempo que se están utilizando los medios mecánicos. o mecanismos más complejos actuados con llave. los métodos mecánicos son baratos.Elementos de campo del Sistema Instrumentado de Seguridad Limitación mecánica Es el método más sencillo. Se actúa mediante una llave externa que pone en la posición adecuada una forma de varilla ranurada. Las piezas que forman la abrazadera tienen el tamaño previsto para hacer de tope y limitar el movimiento del vástago a la longitud de la carrera que se quiera. El sistema de mecanismo complejo para válvulas rotatorias se integra en el diseño de la válvula y debe ser pedido en la orden de compra. Se pueden aplicar a válvulas ascendentes/descendentes y también a las rotatorias. Los elementos mecánicos utilizados suelen ser abrazaderas o argollas. Las abrazaderas o argollas se suelen utilizar alrededor de los vástagos que tienen movimientos ascendentes y descendentes para la apertura o cierre de las válvulas. Se $'' P . que limita el giro de rotación del eje de la válvula. Tienen que ser iniciados manualmente y requieren varias personas para su ejecución. Los topes mecánicos con volante y eje roscado limitan el movimiento del actuador y se ajustan girando el volante para roscar más o menos el eje que limita la carrera deseada. Es fácil construir en cualquier taller mecánico. Considerando solo el equipamiento. la válvula no está disponible para efectuar una actuación de seguridad. Se piden al suministrador de la válvula durante la fase de compra.     . P . El comienzo. Los errores que se pueden producir en las pruebas con los métodos mecáni. la ejecución y el retorno a la normalidad de la prueba tiene que ser llevada a cabo de forma manual y con procedimiento detallado de todos los pasos a seguir.' $  ' '$ de la válvula. /# P'. '. ' '$)  . para conseguir el movimiento de carrera parcial deseado. La .' técnicos que efectúan las pruebas. El tiempo que está sin tensión se debe ajustar en cada conjunto solenoide/ válvula de proceso. se puede hacer una prueba de carrera parcial. quitando tensión durante un pulso de tiempo predeterminado. Con válvulas solenoide Con una válvula solenoide que está normalmente energizada. P . ' '. '  'P.  ' $'$$ de posición. para asegurar que la carrera de la válvula es la preestablecida. se puede automatizar la realización de la prueba mediante un programa lógico. Con los medios citados. por durar más de lo previsto. o en función de una frecuencia establecida. bien por demanda del operador. El interruptor de posición o el posicionador se pueden utilizar en la lógica del programa. ejecutado en el propio SIS. o mediante un transmisor de posición. anulando el pulso si fuera necesario. 279 . a la que previamente fue ajustada para ese valor. Generalmente se utiliza una tarjeta de señal analógica de salida del SIS y se pueden actuar con señales de 4-20 mA. Se requiere la instalación de un posicionador inteligente que puede montarse solo. Como la válvula solenoide con la que se efectúa la prueba es la misma del sistema de seguridad. si se produce un disparo del proceso. Al hacer la prueba se pueden producir fallos espurios por la solenoide. por ejemplo. o de movimiento rotatorio. Hasta que los PLC de seguridad tengan lógica.. Se puede emplear para válvulas con vástago ascendente. capacitados para interpretar y manejar los parámetros ). Para evitar o reducir los mismos. 16 mA.. para que lleve la válvula a su posición de seguridad. el posicionador interpreta que la válvula debe situarse en el porcentaje de carrera parcial.280 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Con el diseño adecuado de la lógica de actuación se puede hacer que durante la prueba de carrera parcial. o con señal de 0-24 vcc. o al tanto por ciento de carrera que se quiera actuar. procesadores y electrónica de tarjetas de entradas o salidas. Control de posición El método del control de posición utiliza un posicionador para situar la válvula en el porcentaje de carrera de apertura o cierre deseado. al quitar y dar tensión se prueba completamente. se pueden utilizar solenoides redundantes. Con un valor de señal intermedio. actuando todo o nada. Los últimos modelos de posicionadores tratan de sustituir la solenoide. o además de la solenoide. Se hace en función de la señal de salida programada en la lógica de actuación. este prevalezca sobre la prueba y actúe sobre la solenoide. '$. % $Ò $' #' ) . $'P. . '   el nivel SIL exigido—. cuando se quieren utilizar las informaciones que facilita el $. % $/$'3. . Mientras que el sistema externo está conectado.$ '$ O$/3$$'PQ y necesita cableado. es necesario & ' $P . $[ . que pueden ser utilizados en la lógica del SIS. que se suministran como aparato cer$'P. o contactos abierto/cerrado para indicar posiciones parciales ajustables. $ $' $3 uso del protocolo Hart puede afectar a la seguridad del sistema. Hay posicionadores inteligentes para PST. Los posicionadores pueden dar señales de salida para indicar la posición continua de la válvula. . $# $'3  $.  $$ &' P'   )    '. '  $ . $'P.  . Los aparatos y subsistemas tipo A tienen mayor tolerancia a fallo y menor restricción de arquitectura para un nivel SIL determinado. Se debe comprobar si cumplen la velocidad de actuación exigida para la aplicación. La velocidad de los actuadores depende del posicionador y del tamaño del actuador.    $ de categoría tipo B. que los aparatos tipo B. porque el comportamiento ante fallo de los subsistemas no está bien determinado. La capacidad de venteo de una válvula solenoide es mayor que la de los . Elementos de campo del Sistema Instrumentado de Seguridad posicionadores. Si se utilizara posicionador y solenoide. aunque se esté haciendo la prueba de carrera parcial. +. y por ello la velocidad de actuación de la válvula de corte puede ser mayor con la solenoide. esta debe ser instalada entre el posicionador y el actuador. En este caso. la función de seguridad no se pierde.  .  . Antes de que se decida utilizar la prueba parcial PST y de hacer los diseños con los medios necesarios. La frecuencia de prueba de la carrera total se tiene que demostrar y validar. y en algunos casos conseguir que una planta que tiene una frecuencia de parada de por ejemplo dos años. calculando la PFDavg de la SIF con la frecuencia de pruebas de carrera parcial y total previstas para alcanzar el SIL deseado. se debe analizar la forma en que se pueden realizar las prue&  $P  /.* La prueba PST puede ser una ventaja para conseguir que la prueba de carrera total se haga con un periodo mas largo. y no se necesite poner líneas de baipás y válvulas manuales a las válvulas de actuación de seguridad. se aproveche para hacer las pruebas totales en la parada. por- 281 . En estos casos. pero no se podría probar la válvula de venteo a lugar seguro. se hubiera llegado a la conclusión de que la válvula no puede estar cerrada el tiempo previsto. están abiertas y cierran ante la actuación de seguridad. Si en el análisis realizado sobre esta aplicación. En el diseño mostrado no tiene aplicación la prueba PST. no se puede aplicar la PST porque requiere mover el obturador una parte de la carrera. para hacer la prueba de carrera total con la frecuencia requerida. se podría hacer la prueba PST a cada una de las dos válvulas en serie. Si se le dotara a cada válvula de posicionador PST. Ejemplo 3: la válvula UV está totalmente abierta durante el funcionamiento normal. En proyectos recientes.    Ejemplo 1: la válvula está siempre cerrada y tiene que abrir para despresurizar el sistema. el diseño se puede hacer con alguna de las alternativas indicadas anteriormente. que cortan el combustible al quemador. La apertura conllevaría mandar producto a la antorcha y desestabilizar el proceso.' ' &''  &  PST. hay aplicaciones en las que el intervalo de prueba asignado es menor que el periodo de parada de la planta. Esto no se puede probar con una prueba PST. y ello implica abrir la válvula. Se debe tener en cuenta que en esta aplicación. Veamos los tres ejemplos de procesos mostrados anteriormente. Ejemplo 2: las válvulas UV en serie. En este caso. como consecuencia de aplicar la metodología de análisis y asignación de nivel SIL. lo importante es el buen cierre de la válvula para evitar que llegue combustible a la cámara de combustión del horno. porque no se pueden cerrar las válvulas sin parar el proceso. . con sus correspondientes válvulas manuales. Sería similar a lo que se ha dispuesto para las válvulas de combustible del ejemplo anterior. La ejecución de esta prueba. con cierta frecuencia.     .282 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. que causaría problemas en el proceso aguas abajo. se tendría que disponer en la válvula UV de una línea de baipás. no causaría perturbación en el proceso y permitiría alargar el periodo de prueba total. Si no se alcanzara el tiempo necesario por ser muy largo el periodo hasta la parada. entonces sería conveniente utilizar la prueba PST. hasta que se hiciera la parada de planta programada.. Se puede utilizar en algunos casos y no se debe utilizar en otros.* Es necesario analizar particularmente cada aplicación. +&P. ' ' $ $ & .   . en Europa. Hay que ser conscientes de que la ejecución frecuente de la prueba PST aumenta la posibilidad de disparos espurios. En algunos casos. para la automatización de la prueba PST. se tiene que aplicar la directiva ATEX. y para que la prueba se lleve a cabo de forma ordenada y completa. tierras. Se debe sopesar la implicación de utilizar más equipo inteligente programable. La documentación necesaria y los requerimientos para hacer la PST serán los mismos que los utilizados para efectuar la prueba de carrera total. para conseguir el nivel SIL asignado. alimentaciones. se diseñará todo el sistema de instrumentación –cableados. se aplicarán los particulares para el tipo de industria concreta. etc. Sea cual sea el método seleccionado para efectuar la prueba PST. Además de los reglamentos generales. Al tener en cuenta esta directiva. puede evitar la necesidad de proveer línea de baipás para la válvula. se ve que hay varios métodos de protección para los componentes eléctricos. Es muy probable que se introduzcan más fallos peligrosos no detectados.' G6R/3 )  para alargar el periodo con que se debe hacer la prueba de carrera total.7. se debe utilizar un procedimiento escrito para evitar producir disparo intempestivo de la válvula de corte. instrumentos. 8. Por ejemplo. Si se elige el sistema de seguridad intrínseca como método de protección. CABLEADO PARA INSTRUMENTOS DE SEGURIDAD El cableado de aparatos de campo se debe diseñar y realizar cumpliendo con las directivas y normas existentes en el país donde se ubica la instalación.– teniendo en cuenta y cumpliendo lo que se indica en todas las normas relacionadas con la seguridad intrínseca. . si se trata de una instalación que va a manejar sustancias que puedan dar lugar a atmósferas explosivas. Elementos de campo del Sistema Instrumentado de Seguridad 63''#'P. 3# $# )  $'. Son el resultado de la lectura e interpretación de mucha normativa y de las experiencias observadas después de la ejecución y puesta en marcha de múltiples proyectos. el cálculo de rendimientos y la gestión de los equipos y las instalaciones.1.7. La aplicación de las recomendaciones generales y particulares ayudará a eliminar problemas en el manejo de las señales de baja tensión e intensidad y facilitarán el mantenimiento posterior de la instalación. Las recomendaciones generales y particulares que se dan a continuación para los cableados de sistemas de seguridad no están en contra de ninguna norma. Son miles de señales que están distribuidas en distintos lugares de   $ )$ . CRITERIOS GENERALES En las plantas industriales muy automatizadas existe gran variedad de señales eléctricas procedentes de diferentes instrumentos. que son utilizados en la automatización. & cumplir siempre. el control del proceso. 8. Por campos eléctricos generados por transformadores o motores de baja. las de muy bajo nivel de tensión. Los problemas se pueden presentar por campos eléctricos generados por tensiones o intensidades variables en circuitos separados. sobre todo. Para evitar o minimizar a límites tolerables los problemas que se plantean con las señales eléctricas de instrumentación.])   racks o de control. También son fuente de problemas las ondas electromagnéticas de radiofrecuencias. se deben seguir las recomendaciones que se dan más adelante. y para evitar posibles errores por confundir la conexión de cables contiguos que perte. procedentes de las emisoras portátiles y utilizadas para comunicaciones entre plantas y salas de control. media o alta tensión. Para evitar las interferencias eléctricas que se puedan producir entre diferentes niveles de tensión o de intensidad. la distribución y posición de los borneros en los armarios de los PLC de seguridad. para facilitar la organización del cableado interno. pero en cables que están cercanos y con recorridos en paralelo.  . '. '$'$/. '$.  'P. ) #  J . las cajas de . criterios que se exponen a continuación. Separación de señales La separación de señales quiere decir que los cables. los multicables. O'/&) '$'P. . '. ^ Alto nivel señal entre 5 VCC y 75 VCC. de otros tipos de señales: 1. Separación entre señales de CC por niveles de voltaje: ^ Bajo nivel señal entre 0 y <100 mV. 283 . ^ Medio nivel señal entre 100 mv y <5 VCC. Separación entre señales corriente continua CC y corriente alterna CA. 2.   $'J /& ser distintos y separados físicamente. Grupo de señales relacionadas con los automatismos o enclavamientos de seguridad de la planta. 6. Teniendo en cuenta lo indicado en los puntos anteriores. y separadas de las señales de 120 VCA que se utilizan para alimentar instrumentos o equipos de sistemas de control distribuido. Separación entre señales de corriente alterna de 120 VCA. o indicaciones de posición de apertura o cierre de las válvulas. registro. porque no son utilizadas por instrumentación. e) Señales de termopares. Habrá separación con otras tensiones superiores que aquí no se consideran. 5. que se indican a continuación: Agrupamientos posibles: a) Señales de 4-20 mA de CC seguridad intrínseca. 4. En general. d) Señales digitales de 12 o 24 VCC seguridad intrínseca. deben ser agrupadas entre ellas.. ^ Señales entre 0 mA y < 50 mA. no deben ser llevadas en el mismo multicable con las señales de mA que se utilizan para la medida analógica de variables de proceso. Ambos tipos de alimentaciones proceden de sistemas de alimentación segura. b) Señales de 4-20 mA de CC seguridad intrínseca. Separación entre señales de CC por intensidad. solenoides (alimentadas a 24 VCC) y todo tipo de elementos de CC que tengan frecuentes conexiones y cortes de tensión. Grupo de señales relacionadas con los automatismos o enclavamientos de seguridad de la planta. o de marcha/paro de motores. utilizadas en sistemas de seguridad o automatismos. todos los termopares se . Separación entre señales de corriente continua por su forma de actuación. en cualquier instalación se pueden formar los agrupamientos de señales por cables/multicables. Las señales de alimentación a válvulas solenoides. 7. o control. 3. Es necesario hacer agrupaciones por cada tipo de cable de compensación o extensión distinto que se pudiera utilizar. cuya función es producir alarmas. Grupo de señales procedentes de contactos de interruptores. Separación de señales o de alimentaciones de corriente alterna entre circuitos de 120 y 230 VCA. Las señales de seguridad intrínseca que estén incluidas en los tipos 2) 3) y 4) serán separadas de las que no lo son. o de detectores de proximidad. o de sistemas de seguridad. Grupo utilizado para indicación. alarma.284 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. ^ Señales de 50 mA o mayores. Separación de señales de seguridad intrínseca. c) Señales digitales de 12 a 24 VCC de seguridad intrínseca.. bobinas. Las señales de relés. Si hubiera circuitos de no seguridad intrínseca. Los termopares que se utilizan en funciones instrumentadas de seguridad. tendría que hacerse una separación entre uno y otro tipo.Elementos de campo del Sistema Instrumentado de Seguridad utilizan con circuitos de seguridad intrínseca y por eso no es necesario hacer una segregación. &  $'$'P. .  $. evitar la posibilidad de interacción entre las señales de distintos niveles de potencia eléctrica. Generalmente se utilizan tres o cuatro hilos por cada elemento y son señales que van separadas de otras. pueden tener graves consecuencias.'$ 66 f) Señales de termorresistencias. con señales utilizadas en sistemas de seguridad para protección de equipos o para la seguridad de personas. como son las señales utilizadas para indicar o controlar. Para localizar el error. La normativa aplicable obliga a que exista separación de las señales de seguridad intrínseca de las que no son de seguridad intrínseca. causa problemas en la organización de las canaletas de distribución. funcionalidad. La mezcla de señales con distinto grado de responsabilidad. aunque sean señales del mismo tipo. Las termorresistencias que se utilizan en funciones instrumentadas de seguriad. borneros y en el conexionado de tierras y de pantallas de protección de los cables que hay en los armarios de sala de control. sean de seguridad intrínseca o no. la válvula de control se bloquea con sus válvulas manuales y el proceso continúa trabajando de forma manual por la línea del baipás. y por mejorar el mantenimiento y la seguridad de la planta. Esto repercutirá en la organización de los borneros en los armarios de los sistemas de control distribuido. y en los armarios de los PLC de seguridad. Las señales indicadas en los puntos a) al f) son grupos que se separan por tener en cuenta conceptos tales como: organización. La mezcla de señales no homogéneas. deberán separarse del resto. Veamos el siguiente ejemplo: mantenimiento quiere revisar el mal funcionamiento de una válvula de control que erráticamente produce movimientos bruscos cuando la señal procedente del sistema de control se mantiene constante. e identicarse como pertenecientes a un SIS. Se debe conseguir una buena organización y homogeneidad en las señales de las cajas de conexiones instaladas en campo y sus correspondientes multicables. Se revisan las conexiones del circuito y se desconecta un hilo en la caja de derivación de campo para comprobar la '$' 3#  '. ' G$  '$'P. si las señales se agrupan y separan tal como se indicó anteriormente. aunque ambas sean del mismo tipo de 4-20 mA. /  no. si se separan las señales por funciones de similar responsabilidad. se desconecta el hilo contiguo. 285 . el cual corresponde a un transmisor que produce el disparo de la planta por bajo caudal de carga al horno. Esta parada por error se puede evitar. Se facilita el trabajo del mantenimiento y se eliminan muchos errores. Alimentaciones a equipos o sistemas que no requieren alimentación segura. Grupo de señales para la activación de válvulas solenoide. i) Alimentación de 230 VCA. Se utilizan para dar alimentaciones de tensión segura a equipos o paneles locales. Las alimentaciones de 120 VCA o 230 VCA de los puntos h) e i) son para ele $3' ).. h) Alimentaciones de 120 VCA. relacionadas con sistemas de seguridad. pueden agruparse en multicables.286 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. g) Señales de corriente alterna de 120 VCA.. . $/. . # $. RECOMENDACIONES PARA CIRCUITOS DE SEGURIDAD Después de aplicar los criterios generales. Los cables de los puntos g). h). Se pueden causar graves perturbaciones en las señales de los cables de instrumentación.7. Supongamos una planta industrial grande. pero pueden funcionar con cierta independencia. e i) se llevan por caminos eléctricos. 8. se indican algunas recomendaciones particulares para el cableado de los elementos que componen cada función instrumentada de seguridad SIF. Las paradas de las unidades para el mantenimiento pueden efectuarse en distintos periodos de tiempo. Los procesos de las unidades tienen relación entre ellos. totalmente separados de los cables de instrumentación contemplados en los puntos a) al f). si se hacen recorridos cercanos y con largos tramos en paralelo.2.'  )P' R'3 ser conductores de secciones adecuadas a cada caso. formada por la unión de varias unidades de proceso. por ello son individuales y no se agrupan en multicables. Se debe conseguir la independencia de cada unidad desde el punto de vista de los '$ #' /  &'J '$'P. . las alimentaciones eléctricas. las cajas de conexión. los armarios y el PLC de seguridad por cada unidad.  '$ seguridad. los borneros. los multicables. armarios o PLC de seguridad. No se deben mezclar enclavamientos de distintas unidades en multicables. *$  / . &  'P. . . SIF-n).' '$ #'dad. sin interferir con otras unidades que estén en funcionamiento. Una unidad grande. Con objeto de controlar adecuadamente los instrumentos y sistemas de seguridad. etc. alimentaciones. con muchos enclavamientos. borneros para conexión de cables de campo. Numerar los PLC de seguridad de cada unidad de proceso (UP1-PLC-1. se puede proceder de la siguiente manera: ^ ^ Numerar los SIF correlativamente para cada unidad de proceso (SIF-1. tarjetas de entradas/salidas. puede necesitar dos o más PLC de seguridad. El sistema del PLC es un conjunto compuesto de uno o varios armarios conteniendo procesadores. separadores de seguridad intrínseca..n). los cables. En plantas o unidades de proceso. cajas de conexión y &&'$'P. en los que hay uno o varios SIS.Elementos de campo del Sistema Instrumentado de Seguridad ^ ^ ^ ^ ^ Un sistema instrumentado de seguridad SIS lo forman un PLC de seguridad junto con los SIF que se controlan y ejecutan en el mismo. Es conveniente numerar los SIS por unidades de proceso (UPn-SIS-1). . 66 3$. la segregación desde campo facilita la iden$'P. Como todos los cables y multicables de un SIS se llevan físicamente a varios borneros (uno por cada tipo de señal) de uno o varios armarios de un PLC./)&$  segregados en base a cada SIS. . '/ # ' . ' . O' ) '$'&. ''. hilos y cajas de conexión asociadas con los sistemas instrumentados de seguridad serán separados de todos los demás cableados dedicados a control o a otras funciones de automatización. '$'P. Los cables. cajas de conexión y borneros de sistemas de seguridad.  de los cables y multicables. multicables. cables individuales. Los multicables. .   $  ''. Cada entrada y salida a campo del PLC de seguridad debe tener su propio cableado individual y dedicado. Se conectará cada señal analógica de entrada a un canal de entrada analógico y cada contacto de un interruptor de campo se conectará individualmente a un canal de entrada digital. GP&/$. Actualmente no se aceptan y no se recomiendan las redes de comunicación de campo (Fieldbus. 3  $'$  seguridad. una a continuación de la otra. ante un disparo cierran para cortar el gas al quemador. utilizan tres válvulas para el corte del gas. para facilitar la distribución en campo ya que las válvulas pueden estar ubicadas en posiciones distantes. Cuando una función de seguridad actúa sobre varias válvulas solenoide. El cableado desde el sistema de lógica se hace con cables individuales o pares separados de un mismo multicable. porque en caso contrario podría ser peligroso.3. tanto en las tarjetas de entradas como en las de salidas. Entre ambas válvulas hay una línea que lleva otra válvula de seguridad. Cuando es necesario que la actuación de las válvulas solenoide esté absolutamente coordinada. Ante el mismo disparo esta válvula abre. dos cerrando y una abriendo para 287 . cada canal tiene su propio sistema de vigilancia y alarma de línea. En general. Véase el ejemplo 2 del apartado 8. para ventear cualquier fuga que pueda tener la primera válvula. o de calderas de generación de vapor. se recomienda utilizar un solo canal lógico y un solo par de hilos para actuar sobre varias válvulas solenoides a la vez. Dos válvulas en serie. e impedir que la línea se pueda presurizar y que por fugas de la segunda válvula pueda entrar gas a la cámara de combustión. se protegerá mediante un borne con fusible. las líneas de gas a quemadores y pilotos de hornos.6. Por ejemplo. La mejor operación se realiza cuando las tres válvulas actúan al mismo tiempo.L  $'' '$ #'  La salida a cada válvula solenoide de seguridad. es conveniente que se utilice un canal de salida por cada válvula solenoide a actuar. . podrían darse situaciones potencialmente peligrosas. Afectan a todo tipo de instrumentos con independencia de la función que tengan. Si hay tres circuitos de salida. 8. incluso en funcionamiento normal. las tres válvulas actuarán como una. Se hace notar que la tensión necesaria para mantener energizada la solenoide o la bobina de un relé es notablemente inferior a la que se necesita para su activación cuando se energiza. indicación.. o por efecto de capacitancia entre los propios hilos. si hay un circuito único. control. después de realizado el montaje y antes de que se efectúe la puesta en marcha de la instalación. Antes de efectuar la instalación de los instrumentos. Considerando un fallo en un canal lógico de salida. alarmas o seguridad de la instalación.288 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. se han de llevar a cabo diversos trabajos de inspección.8. En sistemas de seguridad con solenoides. y sobre todo con lógica de relés. INSPECCIÓN Y PRUEBAS GENERALES DE LA INSTALACIÓN Las inspecciones y pruebas que se indican a continuación se aplican al montaje de instrumentos en instalaciones industriales. para asegurar que lo realizado se corresponde . Con distancias superiores a 300 metros. durante la ejecución de la misma. especialmente en los circuitos de activación de las bobinas de los relés. ^ ventear. se debe tener en cuenta la longitud total de los cables. de calibración y de comprobación de funcionamiento. en el fusible del circuito de salida. se debe pensar que puede haber problemas de inducciones de tensión en los cables. en una falsa conexión o en la rotura de un hilo. bien por campos eléctricos. 3 '. 'P. ). $  $/ '.  ' 3'. '& . ')'P. . '/ .  $ ). ' '$     realización de todos los trabajos de calibración y pruebas. El personal propietario de la planta debe participar en todas las labores de inspección y pruebas de la instrumentación. se incluyen en el contrato del montaje de instrumentación. aceptado por la propiedad y por el montador. Los medios para la ejecución del procedimiento deben estar incluidos en el contrato de montaje de instrumentación. Existen múltiples puntos de inspección que se deben hacer durante el montaje y conexionado al proceso de instrumentos. y para que además le permita obtener formación y conocimiento de la instalación. para que se realice una buena inspección. Se hace notar que es imprescindible disponer de un procedimiento de inspección y pruebas. Los trabajos realizados por el montador deberán pasar pruebas técnicas y una inspección técnico-administrativa. Debe    . $'.  $   $ Q)  P ' . ' ' /   facilitar la aceptación de la instalación antes de la puesta en marcha. el montador llevará a cabo las pruebas necesarias hasta que. los lazos de control y los sistemas instrumentados de seguri- . los instrumentos. Antes de poner en servicio los instrumentos. en opinión del responsable de puesta en marcha del propietario. estén en condiciones de operación y sean adecuados para el servicio que se les destina. Se comprobarán todas las placas de características de los instrumentos contra   T$'  ''    .Elementos de campo del Sistema Instrumentado de Seguridad dad hayan sido correctamente instalados. 'P. . '  $'  K3''. 'L  . En general. se realizará la inspección visual para asegurarse de que no hay piezas defectuosas o incorrectas. Se cuidará de conectar adecuadamente las fuentes de alimentación y guardar la polaridad correspondiente. accesorios. Asimismo. 6. siendo responsabilidad del montador los daños ocasionados al instrumento por no tomar las precauciones necesarias. opciones. La actuación de los instrumentos será comprobada para su aplicación concreta. etc. $  modelo. se comprobarán los rangos y ajustarán para todos los instrumentos el cero. el SPAN y los valores de salida de tres puntos como mínimo.  &  . .  #. 'P. comprobar y ajustar todos los instrumentos de seguridad a sus valores de actuación. Los reglajes y pruebas serán efectuados de acuerdo con las normas e instrucciones de los fabricantes de los instrumentos respectivos. la acción de operación del controlador y de la válvula de control. de modo que solo se requieran posteriormente los ajustes de las condiciones de proceso. relés. líneas de transmisión. Comprobación de la localización de los instrumentos. así como la operación satisfactoria de los diferentes circuitos auxiliares. La comprobación comprenderá los interruptores. En los circuitos de sistemas de seguridad y alarma. El montador realizará el preajuste. unidades de alarma y se hará simulando las distintas condiciones posibles. válvulas solenoides. Estos deberán estar de . / ' ' $  ' y el receptor. eliminando todos los seguros de transporte de los distintos instrumentos y probando con distintas señales enviadas desde campo. calibración y prueba de los instrumentos para que toda la instrumentación quede en situación operacional. . '&Q). 'P. . '. Comprobación de todas las juntas y empaquetaduras de las válvulas para asegurar la estanqueidad. Se realizará una comprobación de orientaciones con iluminación nocturna. etc.'$/'$   $  nera que permitan su fácil lectura y accesibilidad. 289 . Inspección de las válvulas de drenaje y bloqueo y de todas las conexiones a proceso. INSPECCIÓN Y PRUEBAS MECÁNICAS Antes de la puesta en operación. deben someterse a una inspección tan extensa como sea necesaria. la instrumentación de campo y las líneas de conexión asociadas a la misma.8. 8. para asegurar que se cumplen los diseños de montaje realizados por la ingeniería. y se utilizan los materiales y los procesos de construcción adecuados y previstos. Comprobación del tendido aéreo y subterráneo de cables conexionados y perfecto estado de prensaestopas.1. . y corregir posibles defectos en materiales. en soldaduras o en el roscado de accesorios. sin necesidad de desmontar otros equipos o líneas . Los instrumentos están montados en lugar accesible y pueden ser desmontados para su reparación o calibración. de acuerdo a lo que se ha indicado para cada una de las variables en los apartados anteriores.290 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. El objetivo es detectar que el instrumento ha sido instalado correctamente. Todo ello ha de efectuarse antes de introducir en las líneas productos del proceso en la puesta en servicio. Las conexiones al proceso están hechas en el lugar de la tubería o equipo que se han previsto. e independientemente del instrumento. 6 $'.3'$P  Las líneas de conexión al proceso están soportadas adecuadamente. $ $']Q '$  . '   . $/  . 'P. '/ .  '$'P.O' $ )& Q '$ misores de caudal y en los de medida de diferencia de presión. . ''$ $) '$'P. . '. O' .  . . $ ). '. '$. . 'P.  Las purgas manuales o automáticas (purgadores de vapor) cercanas al instrumento no inciden en el mismo. Pruebas a los instrumentos insertados en el proceso Los instrumentos que están insertados en las líneas o equipos de proceso. Generalmente. Las purgas de las cámaras del propio instrumento tampoco inciden sobre equipos adyacentes. niveles de desplazador. También debe probarse a la presión que son capaces de soportar los elementos internos de los propios instrumentos. forman parte de los mismos y deben soportar las mismas condiciones. estos instrumentos se prueban montados y conjuntamente con las líneas. Por ejemplo. Esto ocurre con los termopozos. etc. medidores de caudal insertados en línea tipo efecto de coriolis. un interruptor de nivel de boya debe soportar la presión de prueba como recipiente contenedor pero la boya interna soportará la presión que hemos . los rotámetros. o todo nada. magnéticos y válvulas de control. niveles de vidrio. los interruptores de nivel de boya. Todos los instrumentos que están insertados en el proceso se deben comprobar para que sean capaces de soportar las presiones de prueba de las líneas de proceso. 'P.  Q  $  $. 'P. En el caso de instrumentos de boya o desplazador. y haciendo que la prueba se haga con la presión máxima de operación o la de diseño. es bastante probable que no soporte la presión de prueba.5 veces la presión de diseño del recipiente contenedor. . De esta forma. En estos casos.  ' O'  del proceso. y si es así. sin tener los internos montados.25 o 1. se debe exigir que la prueba se efectúe sobre el cuerpo externo del instrumento. que suele ser 1. se puede detectar si existen fugas en las bridas o en las válvulas de corte y no se causa daño a los internos. es normal que se efectúe una prueba en campo con los instrumentos montados en el stand pipe. los riesgos por fuga o rotura son controlados. Se tiene en cuenta que las secciones de las líneas son generalmente pequeñas. y siempre hay una válvula de raíz que.Elementos de campo del Sistema Instrumentado de Seguridad Pruebas a los instrumentos conectados externamente al proceso Para las líneas de conexión que se conectan al proceso y se pueden aislar con válvulas en la raíz de la conexión. de medida de caudal por presión diferencial y de medida de nivel por presión diferencial. Este es el caso de los instrumentos de medida de presión. al cerrarla. las longitudes son cortas. En estas condiciones. En la medida de nivel con instrumentos de desplazador o de boya. aísla o separa el proceso de la línea del instrumento. en general no se contemplan exigencias en los códigos y normas de tuberías que obliguen a efectuar pruebas tan exhaustivas como las que se aplican a las propias tuberías. se utilizan   $ DÇV(3'$ $ '$'. o a recipientes de proceso. . como se indicó más arriba. radio# P /3'$ $)& ' '. se exigen pruebas de ultrasonidos. Dependiendo del tamaño de las líneas.')& ' '   las tuberías de ese tamaño. . ')& ' P' $& . que es el caso de todas las conexiones remotas de instrumentos. los códigos y normas solo contemplan pruebas de presión hidrostática. las líneas de conexión remota de instrumentos deben someterse a pruebas de presión en la fase P  $ Q)'  $  .' ')$  $ $ & Q)$' ]' Q  En tamaños de líneas inferiores a 2”. Aunque no sean exigibles por normas de obligado cumplimiento.  '$  . En las líneas que lleven acompañamiento de vapor o aislamiento térmico.'/  '$ '# de fugas en accesorios mal apretados. las pruebas se deben efectuar antes del recubrimiento. para que de esta forma la inspección de las fugas se pueda realizar correctamente. }. mal roscados o con soldaduras defectuosas. j< ˜.   6& ' .  & . '' /  'P. 3  . de .O' de instrumentos y los propios instrumentos se pueden probar hidrostáticamente. . 3''$. 'P. /  #  $' 3 '$. ' '$#'  ' $4.  . 3' . 'P. . . el alcance de la misma. la duración de la inspección y los criterios de aceptación. deben ser establecidos de forma clara y deben ser documentados. la presión límite de prueba.' El propósito de la prueba. los medios utilizados. '$' ' PQ . ' '$& /'' '$ $'/ serán los siguientes: ^ El establecimiento de presiones. temperatura y composición del agua utilizada así como los ciclos de pruebas hidrostáticas. La presión de prueba utiliza- 291 . *Q  .. El valor suele ser 1.292 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. ^ ^ da para las líneas de conexión de instrumentos será la misma que la utilizada por tuberías para la prueba de presión de la tubería o recipiente al que están conectadas.25 veces la presión de diseño.. 'P.   $'  P. etc. suele ser de diez minutos.'$  $' '$    '  prueba y los criterios para poder determinar la aceptación. }. dispositivos limitadores o de alivio. El tiempo mínimo establecido para poder examinar las posibles fugas en bridas. y proveer.. empaquetaduras de válvulas. para no sobrepasar las presiones accidentalmente. Se deben proteger los elementos exteriores a los límites de la prueba para no dañarlos. soldaduras. si fuera necesario. j< j Las pruebas neumáticas de presión. no se utilizan como sustitutivas de las pruebas hidrostáticas en tuberías. salvo en casos excepcionales en los que no pueda haber tra  #   . /'.   $'&'' . ]' . En estos casos. La detección de fugas se hace con el colector presurizado y aplicando una solución de agua jabonosa a cada una de las uniones roscadas. INSPECCIÓN Y PRUEBAS ELÉCTRICAS  Cajas de derivación: se comprobará que las cajas instaladas quedan accesibles para el mantenimiento. que las armaduras de los cables quedan sujetas con los prensaestopas. raramente se utilizan gases comprimidos. Se comprobará que en su recorrido no interrumpen los pasos peato ' . siempre es menor de 8 kg/cm2. La presión máxima utilizada en la prueba es la presión de trabajo del colector general de aire de instrumentación. Se efectúan ajustando el aire a la presión máxima de trabajo de cada circuito (suele estar comprendida entre 20 y 60 PSIG) y aplicando la solución de agua jabonosa en cada uno de los accesorios de compresión y en las uniones roscadas. que están cableadas según la documentación del proyecto. la cual. soldadas o realizadas mediante bridas.' El gas comprimido a la presión de prueba. y que la caja está puesta a la red de tierra.25 veces la presión de diseño.  Bandejas de cables: se comprobará que están correctamente tendidas y soportadas. En los circuitos de señales neumáticas también se hace prueba de fugas. la prueba que se efectúa se denomina prueba de fugas. Pruebas neumáticas se efectúan solamente en los colectores de distribución de aire de alimentación a instrumentos y en las líneas neumáticas de transmisión de señales.2. que suele ser 1. 8. Para probar las líneas de conexión de instrumentos al proceso. puede ser peligroso y se deben adoptar medidas especiales de protección para las personas que efectúan las pruebas.8. /' ''P. y guardan las distancias con los caminos de fuerza elec$ $'.$ $ & Q $' '$ de equipos vecinos. 'P.  . así como polaridad y continuidad hasta el instrumento receptor.Elementos de campo del Sistema Instrumentado de Seguridad  Cables y multicables: todos los cables instalados deben ser timbrados y se debe comprobar: continuidad de cada conductor. resistencia de aislamiento. aislamiento de conductores respecto a la armadura. aislamiento entre conductores. en líneas donde sea requerido y la polaridad en todos los cableados eléctricos.  Pruebas eléctricas nales:  'P. Se cuidará que las pantallas de cables y multicables de señales tengan continuidad. inductancia y capacitancia. y estén conectadas a tierra solamente en sala de control. y aislamiento de conductores respecto a la pantalla. Comprobar el conexionado y cableado tanto en campo como en sala de control. incluyendo la continuidad. Comprobación de todas las uniones de termopares para asegurarse de que son efectivas. ) # 3 '$ $ . se realizarán por el montador y serán supervisadas por el propietario las si#'$& P 7.' está preparada para la puesta en marcha de la instalación. antes de la misma.  &    . Esta prueba se realizará desconectando los conductores a comprobar tanto de la caja de derivación como del instrumento de campo. La prueba se realizará desconectando los conductores a comprobar tanto de la sala de control como de la caja de derivación. Desde sala de control se comprobará el aislamiento de las pantallas con respecto a la tierra. desconectando ambos extremos. 50 y 100% del rango. Se comprobará desde la caja de derivación el aislamiento de cada conductor con respecto a tierra de todos los pares cuyo recorrido sea aéreo. Se generará en el instrumento transmisor de campo la señal correspondiente al 0% y 100% de su rango. Se comprobará en la sala de control la correcta recepción de la señal.$ ' 'to de cada conductor con respecto a tierra en todos los multicables enterrados. Deberá soltarse la pantalla en la sala de control. Se comprobará continuidad de todos los conductores. porque es el único lugar donde estarán puestas a tierra. Desde la sala de control se dará tensión al lazo y se enviarán señales correspondientes al 0. y se comprobará que todos los  $'$ '. para comprobar que los hilos están conectados a sus correspondientes bornes y no se ha cometido error cambiando un hilo por otro.  . Se debe disponer del aire motor o del sistema hidráulico correspondiente para poder hacer que el actuador se mueva a la posición deseada.'/  3 $P  )  a las posiciones deseadas. Contactos de instrumentos interruptores. En las válvulas de corte que llevan solenoides. Se simularán en el instrumento de campo las condiciones que provoca el fallo. y se observa- 293 . Estas deben estar energizadas. ejemplo: a un presostato se le aplicará la presión de calibración que hace el cambio de estado. reparar y calibrar con los medios disponibles en planta. Salidas de tensión a solenoides. elegir los que tengan fallo a modo seguro. Siempre que sea posible. CONSEJOS PRÁCTICOS   Los instrumentos o sus accesorios se averiarán alguna vez. subiendo o bajando. Si se depende del exterior. etc. rá en el aparato receptor. Se provocará la falta de tensión en la sala de control o en el lugar desde donde se alimente este elemento.294 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. ejemplo: válvulas de control todo nada. es el correcto. y que el sentido de accionamiento. alarma o enclavamiento de seguridad que el referido cambio se realiza. Ulizar instrumentos que se puedan comprobar. y se comprobará en campo el correcto funcionamiento de la válvula solenoide y de los elementos afectados por ella. accionamientos hidráulicos. aunque produzcan parada... pistones. Para controlar un proceso connuo con seguridad. . se pierde el control sobre los instrumentos y el empo de parada puede ser indeterminado. se requieren instrumentos con medida disponible y able durante el periodo de empo entre paradas. PARA NO OLVIDAR   La selección de los instrumentos más adecuados y una buena instalación de los mismos evitará mal funcionamiento y paradas imprevistas. Los circuitos correspondientes a sistemas de seguridad deberán satisfacer las inspecciones y pruebas descritas anteriormente y además se realizarán las pruebas que se indiquen en el procedimiento particular y detallado de cada uno de los SIF. / .LÓGICA DEL SISTEMA INSTRUMENTADO DE SEGURIDAD 9 Inmaculada Fernández de la Calle SUMARIO: Introducción. Selección de la tecnología. 9. Comunicaciones con otros sistemas.      ™ware. INTRODUCCIÓN S   $ . Consejos práccos. Tamaño del sistema. Conclusiones. Complejidad del sistema.1. Para no olvidar. $   '. $'.        ) . 'P.   3' '$. P.    #'. '$ '$ $ #'  Es la parte 3 de la IEC-61508 la que establece todos los requerimientos de soft9  $. $ /'&'.  '$).    $D)B del citado estándar. +$4 '# $9 $''   66 ' safety related)$.   '.  . $$'. 3'. ' $9 $''zado para funciones de control. P $. $ .  . ^ ^ ^ ^ ^ ^ ¿Cualquier tecnología es válida para utilizarla en un SIS? ¿Qué tecnología tengo que utilizar? —M4$#3$.  '#'$#$  que nos surgen la primera vez que nos enfrentamos con el diseño del sistema. $   'J $9 $4. '. $ . si bien veremos que una de ellas se impone siempre y cuando el SIS que queramos implantar sea nuevo y no ampliación de uno existente con otra tecnología. Es cierto que durante muchos años se han llevado a cabo funciones de seguridad en sistemas eléctricos y electrónicos para la mayoría de las aplicaciones.table? ¿Puedo comunicarme con otros sistemas que no sean de seguridad? ¿Tengo que tener en cuenta algún requisito especial para la comunicación con otros sistemas? ¿Si utilizo un PLC puede ser de propósito general? 9. SELECCIÓN DE LA TECNOLOGÍA La primera de las etapas consiste en la selección de la tecnología que podemos aplicar.2. las que aquí se recogen son las habituales. . .. el objetivo de seguridad se puede alcanzar mediante varias tecnologías. Sistemas basados en los PLC se han utilizado tanto para llevar a cabo funciones de no seguridad como de seguridad.296 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Para la mayoría de los casos. Cualquier función de seguridad debe considerar no solo los  $''. ' ) $P '$ &'4'$ 3 . 3 $ $P   . $ .   . $'  $''. '  Quizás conviene adelantarnos en este capítulo lo que veremos en detalle en el $DD/3P  .  'P. . ' $3. para decidir cuándo se puede utilizar una tecnología u otra.   Elemento tipo A: es aquel elemento simple.  una función instrumentada de seguridad de acuerdo a la IEC-61508-2. cuyos modos de fallos están bien '$'P. 6. #$$ $#/'$$)  (sin partial stroke test) Elemento tipo B: el resto de elementos.2. Con redundancia se alcanzaría SIL3.1. Además debe quedar claro que no existe un sistema mejor que otro sino que hay que elegir el sistema que se adapte mejor a nuestras necesidades 9. Normalmente los elementos tipo A no tienen diagnósticos. Y la arquitectura de los sistemas indicada en la IEC-61508-2 cuando disponemos de un solo elemento: ^ ^ Arquitectura permitida para 1 elemento tipo A: SIL1. dependiendo de la fracción de fallos seguros (SFF). TECNOLOGÍA ELÉCTRICA R. Arquitectura permitida para 1 elemento tipo B: SIL 2. por lo que todos sus fallos son no detectados. # 4. $'. P  . '#'. siendo la más habitual la lógica de relés. Este tipo de relé tiene uno o varios contactos eléctricos acoplados con un elemento móvil del circuito magnético de un electroimán. la cual direcciona el movimiento del elemento móvil y hace que el contacto del relé abra o cierre. son muy P & El coste del equipo es relativamente bajo comparado con otras tecnologías. El electroimán es controlado suministrando tensión a su bobina. . Los relés electromecánicos son dispositivos todo-nada. de manera que el mecanismo de actuación es parte de un circuito que se activa mediante una bobina a través de la cual circula la corriente. Dependiendo de los relés que se utilicen. la seguridad es muy alta. 3'  $  ' $ técnicas electromecánicas. Su uso tiene ventajas: ^ ^ ^ Es la solución para sistemas pequeños. en torno a 100 entradas/salidas. No se puede establecer comunicación con otros sistemas. Solo se puede utilizar cuando el sistema es pequeño. se les puede añadir pero hace que el sistema sea mucho más complejo. el fallo de un relé puede dar lugar a un fallo del sistema. el sistema se hace extremadamente complejo. que maneje a lo sumo. Por lo tanto la disponibilidad no es alta. porque no hay scan del sistema. Y también inconvenientes: ^ ^ ^ ^ ^ ^ Puesto que se utiliza sin redundancia. porque si no. Como estándar no tiene baipases de mantenimiento. Cualquier cambio en una acción del proceso. menos de cien entradas /salidas. aunque sea un fallo seguro.Lógica del Sistema Instrumentado de Seguridad ^ El tiempo de respuesta es rápido. La tecnología eléctrica . origina cambios de cableado. Solo maneja señales discretas (no analógicas).  'P. .   $Tipo A y al no disponer de redundancia.2. 9.2. se podrá implementar solo en funciones de seguridad con nivel SIL1. TECNOLOGÍA ELECTRÓNICA R. # . $'. P  . '#'.  '&'' 4$ ''#'P. Como todos los relés. 3'  $  ' te lógica de estado sólido o relés de estado sólido. en el cual la corriente se conduce mediante uno o varios semiconductores. el relé de estado sólido requiere relativamente baja energía para cambiar el estado de la salida de desactivada a activada (de off a on) y también al contrario. El funcionamiento del relé de estado sólido es como un elemento controlador todo-nada. Se puede incluir baipases de mantenimiento sin que ello obligue a un aumento demasiado grande en la complejidad del sistema. porque no hay scan del sistema. El tiempo de respuesta es rápido. $' $  $ 3  de un relé eléctrico para una misma señal de salida. Su uso tiene ventajas: ^ ^ ^ Los equipos son más pequeños que en el caso de relés de tecnología eléctrica. Este tipo de relés no tiene partes móviles. Y también inconvenientes: que coinciden con los inconvenientes citados para el '$ 4. $'. 3 P) . &$  & '$ 4 La tecnología electrónica.  'P. .   $Tipo A y al no disponer de redundancia. 297 . se podrá implementar solo en funciones de seguridad con nivel SIL1. .2. 9.3..298 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. TECNOLOGÍA PES PES son las siglas de programmable electronic system/)P  #'. 3 implementa en los PLC. 6P.  '$ . $/$. . ' '$' . El PLC de seguridad tiene diagnosis por comparación en las señales de entrada. Se incluye todos los elementos que lo componen. El resto de PLC utilizados para llevar a cabo control o enclavamiento no asociados a la seguridad se denominan “de propósito general”.'&   o varios elementos programables electrónicos. Los PLC que se utilizan para llevar a cabo funciones de seguridad son los PLC denominados “de seguridad”. 2. [. El PLC de seguridad siempre tiene controladores redundantes y continuamente se está monitorizando. El PLC de seguridad tiene diagnosis por comparación en las señales de entrada y 3. incluso las fuentes de alimentación y las comunicaciones. Hay tres diferencias fundamentales entre un PLC de seguridad y un PLC de propósito general: 1.  $ $ . P# . '$. $'P. # ' 'pendiente como PLC de seguridad de acuerdo a IEC-61508 Su uso tiene ventajas: ^ ^ ^ ^ ^ ^ Los equipos tienen un coste razonable cuando hablamos de varios cientos de entradas/salidas. 6'. Dispone de puertos para comunicación serial con otros sistemas. El manejo de cambios es fácil. )#P.  . existe la posibilidad de detección de un fallo peligroso en un componente. un solo fallo no va a producir un disparo en falso. por lo que aumenta la seguridad del equipo. Al ser redundantes se aumenta la disponibilidad.' Puesto que tienen diagnósticos. Y también inconvenientes: ^ 63'. es decir.  $. Q3$9 Q#   $ / esta manera debería utilizarse solo para las funciones que son exclusivamente de seguridad. # G+6.  'P. .   $$'<G #'  . $'KR(L. KM(L $/$'#'P. 3 se pueden implementar en funciones de seguridad con nivel SIL3. . Lógica del Sistema Instrumentado de Seguridad PES son las siglas de programmable electronic system)P  #'. 3. CONSIDERACIONES DEL DISEÑO DEL SOFTWARE +'J $9 &$. 3 se implementa en los PLCs. 9. $ '#'$7 ^ ^ ^ ^ ^ ^ Las funciones de seguridad y su nivel de integridad.  . P# . ' 3'$. incluyendo sensores ) $P  3' '$$ .$ '$  Los requerimientos de integridad del sistema completo. La interfaz con el operador.'$9  $''  El tiempo de respuesta. $$'$9 3  . $' . '$P' + : ADHDD'. 'P. 3' '$ # . '. FVL: full variability languages: este tipo de lenguaje es el que utilizan los programadores de ordenadores y es el que directamente está relacionado con $9 '$#   + :ADHDD' '$    '. los diagramas lógicos. los bloques funcionales. LVL: limited variability languages: en este tipo de lenguaje proporciona la capacidad desarrollar las acciones de seguridad. 2. son por ejemplo.'6 Y además hay tres tipos de lenguaje: 1. Este tipo de lenguaje lo usan los PLC 3. niveles de alarma…. FPL: xed program languages: en este tipo de lenguaje. como por ejemplo rangos de transmisores. el usuario se limita a ajustar unos pocos parámetros. . '$9 /$'' GS -'#$9 3  . $' . '3'    . '66  .  . '/ 'P. . ').  $ . ' 9.1.3. SOFTWARE INTEGRADO +$$9 3 ''$ .   $'$ ). . 5.'& cumplir con la IEC-61511-1 apartado 11. donde se detallan los requerimientos de .  $ 6/) 3$$9   $#'. 3.2. El lenguaje que se utiliza el FVL. SOFTWARE DE UTILIDAD +$$9      )'P. 9.   '. . 4.'# )& cumplir con los requerimientos de la IEC-61511-1 apartado 12.4 conjuntamente 299 . con el manual de seguridad del equipo que proporciona el fabricante. SOFTWARE DE APLICACIÓN +$9 . 9.. en el que se explica cómo puede ser operado el sistema de manera segura.3.3.300 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. P.     '. . '33'  'P )# G+6  .  '3' '$ . 'P. . permisivos. expresiones. limites. secuencias lógicas.'#'  Contiene. generalmente. cálculos para producir una salida adecuada cuando se activa un elemento iniciador y está descargado en los controladores y deberá cumplir con los requerimientos establecidos en la IEC-61511-1 apartado 12.  .1. 'P. . '$$9 '. De esta manera: ^ ^ ^ ^ ^ Se minimizarán los riesgos por introducción de fallos. ^ Las señales de detección y alarma tanto del proceso como del sistema. Se eliminan los fallos existentes Se asegura que los fallos que permanecen no ocasionarán resultados inaceptables 6. ^ Las funciones relacionadas con las pruebas periódicas on-line y off-line de las SIF.'7 ^ Las funciones que tienen que ser activadas para alcanzar y mantener el proceso en estado seguro. ^ Las funciones que permitan realizar cambios en el SIS de manera segura. 6 $ 3$9 $' .'  $' '$$9   #$' '  SIS. ' 33'   . . '. &. '3$9 #  .   .   $ . '. /'3$. . $ $. 'P. habrá que determinar cuál es el tamaño del sistema que pueda ser fácilmente manejable. para ello además hay que tener en cuenta el posible aumento de la complejidad porque hay que considerar  . 9. $/  la importancia de reducir los fallos sistemáticos. TAMAÑO DEL SISTEMA Una vez que se haya seleccionado la tecnología a utilizar.4. 'P. . '3' '$#' )' )3'  $  #no de los siguientes puntos: ^ ^ 6$9  $ '$'  '$' . ' 9 '$ /'. )) $ P  . Lógica del Sistema Instrumentado de Seguridad ^ ^ ^ Pruebas periódicas de las funciones de seguridad mientras el sistema de seguridad está en operación. Posibilidad de probar las funciones cuando el sistema de control está operativo. . '$9 3Q. $  & . todos los que trabajamos en sistemas de seguridad estamos de acuerdo en que: “Lo más simple es lo mejor” 6'#'$ P / $  . puede ocurrir que la arquitectura del sistema deba ser revisada o incluso la tecnología que en principio hubiéramos podido considerar aceptable. 9. COMPLEJIDAD DEL SISTEMA En términos de seguridad.5.' )$  bas de diagnóstico para que se cumpla la integridad del sistema. Si se tienen en cuenta todas estas consideraciones. . ''$  . no por tener un sistema con muchas opciones.   nuestras necesidades. posibilidad de ' #$'. . ''P/$  Q'$ 3  .   aumenta la complejidad del sistema aumenta la posibilidad de fallos sistemáticos en  . P# . '3  '. '$. hay tecnologías que permiten comunicaciones con otros equipos.6.$  Así pues. tenemos que hacer el ejercicio de seleccionar el más simple de los equipos que cubra todas las necesidades de mi proceso. 9. y de hecho es lo habitual pero hay que tener cuidado en la P'. COMUNICACIONES CON OTROS SISTEMAS Como hemos visto en apartados anteriores. '$ .  '. . ' G  ' 'P. /  66 '$ .   '$/ . pero no se  $ &. pues para visualizar las variables y las acciones que se generan en el SIS. esto es un hecho ¿para qué?. El SIS se comunica con el DCS de la planta.    tecnología aplicable.  . &'   * 6 3 . $    . P# . el SIS debe ser independiente Los protocolos de comunicación manejan direcciones. esto hace que la velocidad de respuesta de la acción de una señal comunicada sea menor que para 301 . Aunque esté comunicado. no variables.'  66 Además un fallo en las comunicaciones o en el DCS no puede ocasionar un fallo en el SIS. .  J .302 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. &     . P# . Partiendo de esta base la selección del protocolo de comunicaciones desde el $'$  #' $ ' $ $.'  J   más errores sobre todos cuando se producen revisiones o cambios en estos mapas.  . P# . ' mentación y uso. Como última mención. merece la pena apuntar la existencia de los llamados “buses de campo seguros”. $'P.  $ 6X/$'.  $ ' #ticos de la comunicación. detectando los posibles fallos: retardo. repetición o falsiP. . ' $/. . '  '. . ' '$'. . Pero es un campo que se está abriendo aunque tengamos que cambiar nuestro concepto de una señal un cable.$/$ acuerdo al estándar aplicable IEC-61511 que establece que cada elemento de campo deberá tener su propio y dedicado cableado al sistema de entradas /salidas. CONCLUSIONES Como conclusión terminaremos comprobando si hemos respondido a todas las preguntas que se plantearon al comienzo del capítulo: Pregunta: ¿Cualquier tecnología es válida para utilizarla en un SIS? ($ 7 -/ .7. 9. ' . ) . 'P. . ' de requerimientos de seguridad. pero la comunicación no puede ser la misma en los dos sentidos. un fallo en los otros sistemas no puede generar un fallo en el sistema de enclavamientos. Pregunta: Qué tecnología tengo que utilizar? Respuesta: La que sea más simple y cubra todas mis necesidades. Pregunta: Qué tengo que tener en cuenta para diseñar un software técnicamente aceptable? Respuesta: Que sea capaz de producir la acción deseada cuando se activa un iniciador. Pregunta: Tengo que tener en cuenta algún requisito especial para la comunicación con otros sistemas? ($ 7 +'$ . Pregunta: Puedo comunicarme con otros sistemas que no sean de seguridad? Respuesta: Si. .  '$ P &)$' )''&'lidad que el sistema de control y tiene que seguir siendo así a pesar de estar comunicado. CONSEJOS PRÁCTICOS  El sistema más simple es el mejor. 303 . PARA NO OLVIDAR   No hay tecnologías malas o buenas.Lógica del Sistema Instrumentado de Seguridad Pregunta: Si utilizo un PLC puede ser de propósito general? Respuesta: No. La tecnología se ene que adaptar a nuestros requerimientos no al revés. para las funciones de seguridad debe utilizarse un PLC de seguridad. . DESARROLLO DE LAS ESPECIFICACIONES DE SEGURIDAD 10 Inmaculada Fernández de la Calle SUMARIO: +. j :|j.     %&   .    %&  .j  %& .  +. .  . Consejos práccos.1. INTRODUCCIÓN  6(6 +. Ejemplo del formato recomendado de SRS para una SIF. 10. Para no olvidar. j  Ejemplo del formato recomendado de SRS para una SIF. 'P. . cláusula 10. Cuando el especialista en diseñar el SIS se enfrenta por primera vez a la creación  6(6/.'(3' '$6#' (Safety Requirements Specication) y su desarrollo corresponde a la etapa 3 del ciclo de vida de seguridad tal y como está establecido en la IEC-61511.parte I. $ .  & $'. P'. ')# ' cuestiones que son las que iremos resolviendo a lo largo del capítulo: ^ ^ ^ ^ ^ —G34. '$   . 'P. . '#' ˜ —-P. '$ . 'P. . '). $ . 'P. . ' de la propiedad? —M4$#)3'. ' . 'P. . '3' '$#ridad? —M4. ').  .  '. 3$). 'P. ˜ —+ . 'P. . '#' . en torno a   '$  . $'˜ Tengamos en cuenta que según se relata en bibliografía especializada. . '$3. &  . 'P. . ' .   G $ $ )' $ $P'. . $ $ 6(63 '' '. 1 que ya vimos en el Capítulo 5. Recordemos visualmente en la Figura 10. para la aportación en los aspectos típicos en la vida de los equipos: +. 'P. 3' .   $'$  #  '  . . # BEµ .'dentes. sin perder de vista que los cambios incontrolados después del comisionado. . '$/$ $''. '  . 'P. . . evitaremos de esta manera el 65% de los accidentes.' seguridad alguna llamada de atención al control de cambios. 1..306 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Figura 10. Iremos.. Gráca de desviaciones y accidentes causados en las fases del ciclo de vida de un proyecto. de esta manera paso por paso descubriendo el cómo y el por qué de la ge . '$ . 'P. . '#' /3 .  $. A lo largo de este capítulo estableceremos los requisitos mínimos para que el 6'$ 3. $ y concreto que nos permita desarrollar el SIS. 'P.  .   $+$&Q$' 10.2. REQUERIMIENTOS O ESPECIFICACIONES GENERALES  . 'P. . '#' K  $'  6(6L'$'$  $. 'P. . '/.  $3$ &. mínimos requisitos que tienen que estar satisfechos en el desarrollo del proyecto. por lo tanto. En algunos casos la 6(6'   3 ) . como un documento vivo. No debe considerarse. sino como un documento de mínimos. #. ' . $  'P. . '/ no es ese el objetivo. no debería existir retroalimentación $'P. esta etapa no es necesaria. . '). 'P. . '#'   . 'P. . ' &   .   'P. . '&   . '$' P'    '$  '   '  #   '&$  3 . .   '$'$. '$'. ' '$ 'P. . ' No deberíamos incluir en la SRS. objetivos que a priori sabemos que '. por lo tanto. '.  '&'. 'P.   . . '3 )3$ .   de los objetivos establecidos no se pueda cumplir. . no necesariamente en este orden: ^ ^ ^ ^  .Desarrollo de las especicaciones de seguridad La base de la SRS es. 'P. . basados en su experiencia y en el conocimiento de las características de la instrumentación disponible en el mercado válida para realizar las acciones de seguridad. La normativa aplicable en el país de localización de la planta.  6(6$'3. Criterios de diseño del responsable de la SRS.' '  Los requerimientos de la ingeniería básica. '  .   . 'P. . fácil de manejar. De una SRS se espera que sea un documento único. porque se basa en información sobre: ^ ^ ^ + $''. no sistemáticos. con demostrada traceabilidad que también minimice la cantidad de documentación a manejar ¿por qué?. con mucha información pero ordenada.'#' #& / recogiendo los aspectos de diseño que nos llevarán a disponer de una planta donde los errores resulten minimizados y sean fundamentalmente aleatorios. ' 7$  '/'$$/P .  /$.  #'. 7+6*)$ . 'P. . '. '  + $P 7 ) $ Y no de manera independiente sino que también hay que incluir sus interrelaciones. +Q $'. $ '$ . ' P'. hay que acordar cuál de ellas es la que queremos que se realice. muy particular. Hay que conocer cuál es la acción del ESD ante la lectura de la señal de fallo y si hay más de una posible acción. sino cuantitativamente. no ser demasiado importante. Se debería tener una lista de vendedores cerrada. Hay que estar seguros de que el ESD es capaz de leer y entender los valores de fallo. 307 . Bloques funcionales del ESD. Por lo tanto en solo un aspecto. pero hay que considerar los siguientes aspectos: ^ ^ ^ ^ Conocer los distintos fabricantes que vamos a considerar como posibles suministradores de los equipos. Acciones sobre el proceso. parece.'   transmisores. Hay que conocer los distintos modos de fallos de los transmisores. a primera vista. como es el caso de un transmisor. no solo cualitativamente. estudiando cuáles son los efectos de elegir una acción u otra. nos ha llevado a que tenemos que tener conocimientos de: ^ ^ ^ Transmisores. 3' '$# &  $ . Esto demuestra... la interrelación de los elementos.308 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. 'P. . 10. tanto de elementos iniciadores como del sistema de enclavamientos. Cualquier no aceptación a alguna clausula de la IEC-61511.'# les de proyecto. El orden de preferencia de las recomendaciones que se dan en la IEC-61511 para el diseño del detalle de la SIF. Lista de vendedores de todos los equipos asociados al ESD. ESPECIFICACIÓN FUNCIONAL *  # / . desarrolladas por la propiedad y son: ^ ^ ^ ^ Orden de preferencia de la tecnología a utilizar.3. 'P. . '. ' . '&.  &. '  un equipo. de esta manera en la SRS también debe quedar descrita que funcionali $'.    63$ . 'P. la razón puede no ser tan obvia pero recordemos lo siguiente: ^ ^ ^ ^ ^ Una SIF no tiene por qué ser un enclavamiento completo. ¿por qué no adjuntar el diagrama lógico en la SRS sin indicar nada más?. ¿qué situación queremos evitar implementando una función de seguridad? Sus iniciadores con los valores de actuación. La información que necesitemos para el desarrollo del ciclo de vida de seguridad debe ser solo la correspondiente a las acciones de seguridad. debe quedar establecida:    La intención de diseño de la SIF. /'3 )    actuación. al que denominaremos genéricamente D-1: . sino cual es la variable de proceso que va a desencadenar la acción de seguridad. Veamos mediante un ejemplo cuáles son los datos funcionales y cómo se extraen de la documentación existente en el proyecto: Supongamos que. es decir. Son las SIF las únicas que nos interesan. en la SRS. esquemáticamente. identicándolos. de manera que cada entrada en el sistema de enclavamientos tiene una determinada salida o acción & $P  Para cada SIF. otra información puede ser incluida pero no es necesaria. tenemos las siguientes protecciones en un equipo. La acción sobre los elementos nales. En este punto no es tan importante indicar si estamos hablando de un interruptor o de un transmisor. son el diagrama causa-efecto y/o el diagrama lógico. En un enclavamiento puede haber funciones de seguridad (SIF) y otras acciones de no seguridad. ¿qué acción y sobre qué se va a producir cuando se desencadene la acción de seguridad? Entonces. Los métodos habituales establecidos para desarrollar la funcionalidad de un enclavamiento. es decir. Alarma PAH-2. Recordemos que la asignación de los créditos a las IPL está directamente relacionada con la capacidad de la reducción de riesgo de las capas de protección. Recordemos que todas las IPL son salvaguardias pero no todas las salvaguardias son IPL.5 kg/cm g XV-1 P-1 Cierra Acva la marcha Y que durante las sesiones de asignación de SIL se seleccionó la siguiente SIF: Por muy alta presión en el depósito D-1 mediante el PT-1 (PAHH) se cierra la válvula de alimentación UV-1. Además se establecen. en las mismas sesiones las siguientes salvaguardias: ^ ^ Válvula de seguridad PSV-1 es una IPL. a la que además se le asigna 2 créditos. las acciones del enclavamiento IS-1 son dos: EFECTO CAUSA 2 PT-1(PAHH) 3.Desarrollo de las especicaciones de seguridad Supongamos que disponemos del diagrama causa-efecto en el que se establece que en este caso. que no se considera IPL. 309 . Ambos conceptos los vimos en detalle en el Capítulo 3 De esta manera.310 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. tenemos acciones de seguridad y de no seguridad en el mismo enclavamiento: ^ ^ .. . .'#' 7 .Por muy alta presión en el depósito D-1 mediante el PT-1 (PAHH). se cierra la válvula de alimentación UV-1. . R $ ' . se pone en marcha la bomba P-1.Por muy alta presión en el depósito D-1 mediante el PT-1 (PAHH).'#' 7 . ' )3'. y que a su vez está ordenada.'      6(6/'$'Pcando: ^ ^ ^ ^ El número de enclavamiento. Así. Que es mucha más información que la que a primera vista se obtiene del diagrama causa-efecto completo o del diagrama lógico. hemos obtenido que es 2. Las IPL con sus créditos asociados. Las acciones que son de seguridad. *$   3  P' $#  6(6 Supongamos que como resultado de la asignación de SIL. Las acciones de no seguridad. quedaría: [$ ) ''. 'P' .  . $$'. . '  $'.   de la SIF. para ello tenemos que concretar cuál es el valor al que se va a producir el . *P' $ &'4.Desarrollo de las especicaciones de seguridad disparo y por lo tanto se va a alcanzar el estado seguro /$ 3P' cuál es este estado. modo de demanda de la SIF. en la industria petroquímica se considera que los . esto está relacionado con el número de veces que se espera que la SIF entre en funcionamiento para llevar al sistema a estado seguro.   '$ . $T   & Q    /  3 '#'P. esta premisa está aceptada en toda la bibliografía )$$ $' K$   .  3  $'  34 funcionar más de una vez al año. *P' $ &'4''$ .$ P' el Capítulo 11). +.  '$normalmente energizado o normalmente desenergizado.  &'$ ' /$3'. Si además sobre el sistema existen otros estándares aplicables que impliquen limitaciones  '$ $ . Si ante fallo de un instrumento vamos a producir disparo o alarma y dejamos la responsabilidad de la actuación al Operador. si vamos a incluir baipases de mantenimiento.'3 P'  6 3 $P $4  $#' ) $ enclavamiento. Tendremos que conocer si existen paradas manuales de emergencia. se manda energizar. esto ocurre casi siempre en las despresurizaciones de emergencia en las que el fallo de aire de instrumentos no coincide con la acción de seguridad y se hace así para evitar que un fallo espurio en la válvula ocasione la despresurización de la unidad. '3$ . 'P.  Por último. qué vida media vamos a considerar para la SIF este valor será el de '  '   $  #T.  $'.   3P . $'P.  .   + :ADHE? $   #   . 'P. . '. '  6/. '  sus características generales y las particulares: -3 P'.   O' $  ' '3$ 'puestos a aceptar. 311 . + $ $   'P 3$ &...312 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. .  . +$. $ tiempo está dispuesto a asumir la parada de la unidad o de la planta por un fallo seguro en el sistema.  & '.  ) '/ 'P 3 '$ disparo en un tiempo igual al intervalo de pruebas. hasta los que aceptan un disparo  '   $ 6 .    /&$ P' Del valor de la tasa de fallos espurios. del valor del intervalo de pruebas y del SIL 3'/   $  $  3'$. $ P  6 10. ESPECIFICACIÓN DE INTEGRIDAD   .4. 'P. . '  '$#'  & $ &.  .     $ 3 ) que incluir para conseguir el SIL requerido de una función de seguridad SIF y en qué . P# . '&$ /$ &. '$ $  3'$. $  '  N P'  . 'P. . '. ' /3  '$  $  terior. tendremos que unos determinados iniciadores provocan una acción de seguridad sobre uno o  ' $P / $. y con el resultado obtenido en las sesiones de asignación de SIL. $ .  P' '$#'  esta función. Integridad de los elementos iniciadores ' 3 )3P'$'$. Supongamos el mismo ejemplo anterior. #  $'' /$ $ . ''$   . 'P. . '). $/. ' ' +$. Cuál es nuestra estimación del tiempo medio de reposición cuando se produce el  $  ')P' T$' otros requerimientos que hayan sido  ' . que además suele ser el caso generalizado. *P' $ &'4intervalo de pruebas que estamos dispuestos a aceptar. seleccionando arquitecturas que muestren disponibilidad y abilidad a partes iguales. que normalmente coincidirá con las paradas programadas de la unidad.   $  por hacer los disparos utilizando transmisores electrónicos y que además es requerimiento del proyecto minimizar los disparos en falso o espurios. Los criterios que se hay que considerar para establecer los intervalos de prueba manual se detallan en el Capítulo 14 “Mantenimiento y explotación del SIS”. 'P. . '# '$ . $).   '$ *$   $ P'.  &.   '  $ iniciadores de la SIF que estamos analizando. . Desarrollo de las especicaciones de seguridad —6'#'P. $3'P.  6. $  'GR:D$ . 'DD˜/O . $ $3'#'P. P. '$. que es con el que hemos comenzado el estudio.'  transmisor. Veremos en el Capítulo 11 el diseño conceptual de cada función y cómo hay arquitecturas que son más adecuadas para evitar los disparos espurios y otras arqui$. de partida tenemos que incluir un 2oo3 para cumplir con los requerimientos de mínima tasa de disparos espurios. si no que ya. $ 3 U# V/  $   3 . P# . 'BX  que mejor relación seguridad/disparos espurios tiene. +. por ello es la que hemos seleccionado con la premisa establecida de que estos disparos sean mínimos.      &  Del mismo modo que en el caso de los elementos iniciadores debemos proseguir con  $P /$ &. '$.  '   $. '#  '. ' /3  . . '  3'$. $ P/) 3.    $ P   .  $ .   P &''  $    ''&'' / 3 ) que conseguir una SIF que funcione o lo que es lo mismo que estén minimizados los fallos en demanda. '   . '# J ' $P /  3' uno falla. + $=  $  . tenga otro disponible.  'P. . ' $/.  3 las válvulas de corte son elementos tipo A y que es aquel elemento simple cuyos  $&''$'P. 313 .  Y la arquitectura de los sistemas se indica en la IEC-61511-1 cuando disponemos de un solo elemento: Arquitectura permitida para un elemento tipo A: SIL 1 Si bien. no solo el tipo de elemento. Esto lo vemos en detalle en el Capítulo 11. en la IEC-61508-2 se detallan las arquitecturas permitidas teniendo en cuenta otros factores. Teniendo en cuenta nuestro ejemplo.. tenemos una SIF con SIL 2.314 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. y ya que como  $P $  $$'/)3  3'$. $  '$' .   $D/$ 3. '  . P# . quedaría: 10.5. INTEGRACIÓN DE LA INFORMACIÓN Y DOCUMENTACIÓN N .'  En el caso que nos ocupa. 'P. $  $ . '   6/3 '$#  toda la información que hemos desarrollado y adjuntar una serie de documentos del proyecto que aclaren y sirvan de referencia en la SRS. estos documentos se pueden adjuntar o se pueden referenciar. depende de los requerimientos de la propiedad y de  Q &33 3  $ . 'P. . clausula 10. Pregunta: No son sucientes las especicaciones del proyecto o las especicaciones de la propiedad? . Diagramas causa-efecto. Bloques funcionales requeridos del ESD.'#'  Estos documentos son: ^ ^ ^ ^ ^ ^ Informe de HAZOP Informe de asignación de SIL. Como conclusión terminaremos comprobando si hemos respondido a todas las preguntas que se plantearon al comienzo del capítulo: Pregunta: Por qué necesito desarrollar unas especicaciones de seguri.dad? Respuesta: Porque así se establece en la etapa 3 del ciclo de vida de seguridad de acuerdo a la IEC61511-partI. P&ID. Diagramas lógicos. Desarrollo de las especicaciones de seguridad Respuesta:6 &  $'  6(6 . 'P. . '#&  #' /. '$   $33  .  . 'P. . Pregunta: Qué ocurre si no soy capaz de cumplir con lo que estoy especicando? Respuesta:N 6(6 . recoge todos los datos necesarios para proceder a hacer una SRS.'  propiedad. Pregunta: Qué tengo yo que incluir en una especicación de requerimientos de seguridad? Respuesta: Este capítulo y el ejemplo que en el apartado siguiente se muestra. 'P. . ' ' / )3. siempre debemos cumplirla.'  detalle los requerimientos que se exigen. Pregunta: Es la especicación de seguridad un documento vivo? Respuesta: . 'P. . '#' $ ' .  .  3'$ . 'P. . '/  3    .   . &'   &   . / &  ' .  $  )  . 'P. . ' ' / $$ .  ). $&  'P.  G$ $/& . '  . clara. concreta y completa.  un documento vivo. 10. se muestra aquí a modo de ejemplo lo que podría ser una SRS para una SIF. EJEMPLO DEL FORMATO RECOMENDADO DE SRS PARA UNA SIF Como resumen de todo lo indicado en el capítulo. sencilla.6. Una  #' & P. '$  . 'P. $3' '$#' .  '/$    ' ' . '. Q$ .  P. de manera que aunque 'P3 6D/B)X/ O'$'$ .  En cada casilla se encuentra el número explicativo para poder proceder a rellenar los campos adecuadamente. Es importante recordar que en una SRS debería incluirse todas las SIF consideradas en el informe de asignación de SIL. sea cual sea su SIL.  &''  ' . ' 315 . 316 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. .. siendo los más habituales: 317 . Se puede incluir entre paréntesis los créditos asociados estas salvaguardas. es mejor incluir en este apartado la referencia al causa-efecto correspondiente. "#. que también deben estar en el informe de asignación se SIL. ^ Muy alta presión en la alimentación de fuel gas a quemadores en el horno F-001. que viene dado en el informe de asignación del SIL "%$ Indicar el equipo asociado a proteger. no tiene sentido incluirlas en este documento. por ejemplo: ^ Daños mecánicos en el reactor R-001. "'$ Indicar el o los números del P&ID y su edición que se utilizaron para las sesiones de asignación de SIL. "/$ Indicar de manera genérica los elementos iniciadores de la SIF. ^ Proceder a la despresurización de la unidad. "($ Indicar la fecha de las sesiones de asignación de SIL. "&$Indicar el número del enclavamiento o los enclavamientos asociados a la SIF. Esta información viene dada en el informe de HAZOP y en el de asiganción del SIL. Estas acciones se han establecido en el informe de asignación de SIL y deben de coincidir con acciones establecidas en el diagrama causa-efecto. con peligro de fugas al exterior con posibles daños a las personas.$Indicar las acciones que hay que llevar a cabo para llevar el proceso a su estado seguro. "#'$ Incluir si se han realizado. Este dato viene dado en el diagrama causa-efecto. por ejemplo si se ha realizado un LOPA y la referencia del estudio. entorno a más de 5. estudios cuantitativos adicionales. "#&$ Indicar cuál es el SIL que le ha sido asignado a esta SIF. este dato viene dado en el Informe de asignación del SIL. Esta información viene dada en el informe de HAZOP y en el de asignación del SIL. "*$ Indicar el número de documentos del informe de asignación de SIL. "#($ Indicar cuál es la máxima tasa de disparos espurios que permite la propiedad. de manera que sea más fácil visualaizar que elementos se están considerando IPL y que créditos les han sido asignados. ")$ Indicar el número del documento del informe de HAZOP. Si en un enclavamiento las acciones de seguridad son muy numerosas.Desarrollo de las especicaciones de seguridad "#$ Indicar el tag de la SIF. por ejemplo: ^ Muy alta temperatura en el reactor R-001. Este dato procede del informe de asignación de SIL. "##$ Indicar las otras acciones que se recogen en el causa-efecto y que no fueron consideradas de seguridad durante las sesiones de asignación de SIL. "-$ Indicar qué se quiere evitar al incluir esta SIF. Por ejemplo: ^ Cortar la alimentación de fuel gas a quemadores. "#%$ Incluir todas las salvaguardas consideradas en el informe de HAZOP. .318 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. ^ Una vez en la vida de la planta. ^ Una vez entre paradas programadas de la unidad.. G      $' 3 P' & $' /    . . normalmente será baja demanda que es  3 &'$  $$ &. "#-$ Indicar el modo de demanda aplicable. "#)$ Indicar el estado seguro del equipo o proceso que estamos estudiando. "#*$ Indicar en unidades de ingeniería el valor de disparo al que se produce la acción de seguridad. por ejemplo: ^ Válvulas de alimentación cerradas.    magnitud que estamos manejando. ^ Válvulas de despresurización abiertas. Véase punto (27). ^ Bomba de carga parada. P  "#/$ Indicar si es: ^ Desenergizada para disparar. ^ Energizada para disparar. Este dato se recoge en la descripción de enclavamientos y se puede obtener es$'   . . Este dato se indica en el P&ID. Este dato se indica en G¡* . Este dato se indica en el P&ID. "%#$ Indicar el tag del pulsador de emergencia.$ Indicar si existe pulsador de parada de emergencia.'& $P 3 $ G¡* "%. "%%$ Indicar si se han considerado baipases de mantenimiento. 'P. . '. ' 'J+6*  ). una vez que se ha solu. "%'$ Indicar si se ha establecido un reset del enclavamiento.$ "%&$ Indicar el tag del baipás de mantenimiento. Este dato se indica en el P&ID. ' '#' +$ $''.  . 'P. . '. '  de diseño del ESD para el proyecto. cuando se produce fallo de la SIF. "%($ Indicar la acción que se lleva a cabo. "%)$'. normalmente la acción es producir el disparo. ' )' #$'.  $''. ' )8P +$ $ &$'$' 34 $''. ' )P $ . por ejemplo: ^ Que las válvulas sean TSO. "%/$ Indicar el tipo de grupo de sensores. "%-$ Indicar si la SIF necesita cumplir algún otro requerimiento. de las bases de proyecto y del conocimiento intrínseco de la unidad y de los estándares aplicables. "%*$ Indicar el tiempo de vida de la SIF. es un dato que se establece en las bases de proyecto y oscila entre 20 y 30 años. etc.' / por ejemplo: ^ Transmisores: si tienen diagnósticos. ^ Que se cumplan además otros estándares internacionales. ^ Que las válvulas tengan un tiempo de cierre o de apertura determinado. ^ Interruptores: no tienen diagnósticos. Este dato se obtiene del P&ID. por ejemplo: . Desarrollo de las especicaciones de seguridad ^ Transmisores de temperatura. +$ $$ &. ^ Interruptores de nivel. ^ Finales de carrera. etc.  & ). por ejemplo: ^ 1oo1.$)]Q G¡* "&. etc. Este dato normalmente se establece en las bases del proyecto y si no se tiene. Este dato se obtiene del diagrama causa-efecto. Este dato se incluye en el informe de asignación de SIL y en el diagrama CausaEfecto. Este dato se obtiene del diagrama causa-efecto. ^ Válvula todo-nada cerrada y no abierta. 2oo2. "&#$ Indicar la votación de los elementos iniciadores. para que las labores de mantenimiento no '$P . 2oo3.$ Indicar el tag de todos los sensores que actúan como iniciadores de la SIF. "&&$ Indicar el tiempo medio de reposición de un instrumento que de fallo. "&'$ Indicar el intervalo de pruebas manuales. ^ Muy alto nivel. ^ Muy alta presión. 1oo2. etc. "&%$ Indicar la situación que produce el enclavamiento. Este valor debe de coincidir con las paradas programadas de la unidad. por ejemplo: ^ Muy bajo caudal. se considera un turno para la reposición (8 h). por ejemplo: ^ Mismo modelo de transmisor.  $' '$ "&($ Indicar las causas que pueden ocasionar un fallo común. +$$'3$  . ^ Mismo recorrido de los multicables. etc. "&)$ Indicar cómo degradan los grupos cuando se produce un fallo de un elemento iniciador y como se degradan los grupos ante el mantenimiento de un elemento iniciador.   . 'P. . '. el valor en mA que al ESD le llega.' 'J ESD. en los bloques funcionales se detalla en comportamiento de los grupos y su degradación. En este caso habrá que estudiar de manera conjunta los posibles fallos de los transmisores. como por ejemplo: ^ La dirección del fallo de los transmisores. "&-$'. la posibilidad de lectura de este valor en el ESD y la actuación del ESD ante esta lectura de fallo. ^ Existencia de alarma de discrepancia y por lo tanto de comparación externa. "&*$ Indicar otros requerimientos no indicados hasta ahora. $'#/R(M() . $'P. . "'.'6 "&/$ Véase (33). "'#$ Indicar el fabricante y modelo del ESD.$ Véase (34). Si lo desconocemos por no ser un equiP'.  $  ' $ 6(6/.  ''. '$ dato. 319 . .320 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. "'%$'.. +$ $. $'# $P /Q 7 ^ Válvulas todo-nada. etc. ^ Compresores. ^ Bombas. $ ' # .  :. $)]Q G¡* "'&$'. $ #$ $P  6+$ $'. ) el informe de asignación de SIL y en el diagrama causa-efecto. "''$'.  $ . ' 3. +$&$'$'   . 2oo2.$ '$'$ $P / ejemplo: ^ 1oo1. 1oo2. 3oo3. etc. 4oo4. . '3. & $P  "'($ '.  . . se minimizan los errores. "'/$ Incluir los requerimientos adicionales que no se hayan incluido hasta ahora. etc. "'*$ Véase (34).   $   3 ) 3      $ P /  ejemplo: ^ Válvula cerrada. etc. "')$ Véase (33). La SRS es una especicación integral. "'-$ Véase (35). CONSEJOS PRÁCTICOS  La SRS debe ser un documento claro. ^ Compresor parado y aislado. desde los elementos iniciadores hasta los elementos nales y su comportamiento frente a los fallos. como por ejemplo: ^ No es técnicamente aceptable incluir baipás manual en las válvulas todonada. minimizando la información superua. conciso y prácco. ^ Incluir baipás panel para prueba de válvulas solenoide. PARA NO OLVIDAR   La SRS es una especicación de mínimos requerimientos. DISEÑO CONCEPTUAL DEL SIS DE CADA FUNCIÓN 11 Inmaculada Fernández de la Calle SUMARIO: +. j $&   %  <      .  H.       . |jj.   ! ‰   j œ}. % .   !. &   *+*\  j  %.    ƒ}‰$„$   ‰.< <  . INTRODUCCIÓN En este capítulo desarrollaremos. Consejos práccos.j  % &   Para no olvidar. partiendo del SIL asignado para cada Función Ins$ $  6#' K6L) +.1. 11. 'P. . '6#' K6(6L/  3'tectura adecuada.   $'    3'$. $  . . '  /   . $   )  . .     & &''    /3. #' )$ $'P.   ''$#'  . ''$ $  #'  11. DEFINICIÓN Y CONCEPTOS BÁSICOS +.2.  ' Q . $  '. . $)  . '3/$ $ &.  $$ 3 ) &$'/)  3más importante'$$ $   . /3 P''#'$.'3  4rico de las mismas. . $7  Probabilidad de fallo en demanda (PFD)  +$ &.  & &'' 3  6 .   3''$ $'  +$ $. / '  P &'' K(L3$' . '/ . '/.   3 6 . $T.  &'$  $'  )$ $  ' 4O'$'$  N 6$ $ P &.  $ & &  /  37 <**K(L D:G* G$ $ & &'' / G*T  ' ' )$ $  & &''  .   P &'' . ' '  '$  de tiempo. . 322 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.  Probabilidad de fallo en demanda media (PFDavg) +  '  & &''     ($  '$# ... '$'   & &''   en demanda.  Estado seguro ($   P'. '. cuando el sistema está libre de un riesgo inaceptable”. es decir. Intervalo de pruebas (TI)  +$ &. $D+$ #7 -  El estado que consigue un sistema cuando se alcanza la seguridad. $'  O' $&  . . $' '. . ' 6 3. '$'. . ''$ & $. '$  $D@/  $  3. '$'# 7 -  $'$$ 3. '. ' . G.    #    '  ' $'7 : : No entorpecer la rutina de los operadores. ' '$&  ' 3  $ $    G& .  $ $ $ 3 & 3 $  . $    .   . '    &'. $      #'  +  .   3   &     . '. ' .     #   ' / )3'. '  '$  . '$.  '   . $ & .   $  . '$ . $  $?)D@  Tiempo de reparación (RT) = Es el tiempo empleado para la reparación de un '$ $/.   $. $ 3$   Tiempo de vida (LT) +$ &. $' 3  . ' '  la SIF. - ). '$'# $ &. '.  $  . . podemos . Como primer criterio. depende de si consideramos las pruebas periódicas completas o si consideramos desgaste de los instrumentos.'  adecuado. . '   + :ADHE?:B/  $ >@= 3''. 3$  $$ .  J  MTTF=R'  ''$ $    Kmean time to fail). Nos ''. .  $$'    . Cuando un '$ $  /  $'$))$ $$$' /  6  $ ''& .4O'$  MTTR= Tiempo medio para reposición (mean time to restore). Diseño conceptual del SIS de cada función +$ $'   '. ' '. )  $'   $. . '    )  $'   . 'K(RL . &   $ &.  .  $  P'. '  . . $  sistemas reparables/3 $    & . ' )3$  . $   $ $'. 3 $. $ Ó R  '. '/P.  'RR(+$ &.   . . '  '. ' P 1 MTTR ™ R   /P.  'RR+$ &.  rados por unidad de tiempo. O  1 MTTF MTBF= '. $'  '$$ $ Kmean time between failuresL/3  . '3$$. . $$ &. 7 R< RR½RR(  MTTFs R'  '$ #+$ &. /.  .  $$'   ' '$ $' 6/)  $3 ''. .    3'$. $ 3 '. &.  .  +  $ '#'$$. $P' $ . . $  #) '#  Disponibilidad (A): 6P.   & &'' 4O'$6'$  '$ $$' /$ $ $   K' RRL) $  '. 'K'RR(LG$ $   & &''   ' '  DISPONIBILIDAD( A) MTTF MTTF  MTTR  -$  .   $' 7 Los conceptos de DISPONIBILIDAD y FIABILIDAD a veces se confunden. sin embargo la Disponibilidad es un valor instantáneo que depende de las tasas de fallos y de reposición. ^ Tolerancia a fallo de hardware (HFT):* . la Fiabilidad depende siempre de tasas de fallos y del intervalo de tiempo de operación. por lo que es conveniente aclarar que.   + :ADHE?:B/  $ . '   UV'#'P. 3U½DV  .   4'   . '#'  323 . ..  Q   3'$.324 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. $  $''   $''. si dos elementos entran en fallo. si uno falla podemos tener disponible la SIF. 1 Al tener tres elementos y ser necesarios dos de ellos para iniciar la SIF. podemos aceptar un solo fallo antes de perder la funcionalidad de la SIF. podemos aceptar el fallo de dos antes de perder la funcionalidad de la SIF.' 7 k < """ Arquitectura y HFT. 1 Al tener dos elementos. se origina la pérdida de la SIF. ARQUITECTURA HFT (TOLERANCIA A FALLO DE HARDWARE) 1oo1 0 1 solo fallo origina la pérdida de la SIF. podemos tener incluso dos fallos antes de perder la funcionalidad de la SIF. 2 Al tener tres elementos siendo uno de ellos únicamente el que inicia la SIF. 1oo2 1oo3 2oo3 2oo4 EXPLICACIÓN  ' . 2 Al tener cuatro elementos y ser necesarios dos de ellos para iniciar la SIF. . '.  $P / 3$.    3'$. $ 3'  $  #'$'$ $ &.  #  # 7 + $ . ''$ -/$ &. 37 %R -: ""Ž$Ž*$‰HŽ*žkH*H*$‰HŽ   &    )3$.  .  '$ $ 3 $.    6 ) .     +  $ A  '   $'  /$'$ +''. .       / 3'& 3$ &.  /Q /   '$$ ' 3'$'' $  '. ' #$'. / &''$'' $  '$ . $ ' #$'.   .  . $$'.  '$ $ . '. /    $? U+ $ 6'$ $ $ 6#' V +' $ $  ' 34$''$ $  '  $ ) '$3 )3' $. . ' '$$4. '. . '$ tación de campo. Diseño conceptual del SIS de cada función *P'   $'  . '#' ) . '7   Fallo seguro  + 3.  . /  '$  $  #  $ $.  #.$  ' fallos seguros detectados y cuando la detección no es posible se denominan fallos seguros no detectados. '' '$ $'K'L.   '$ . '  Fallo peligroso  + 3. 3'$  )  +$  6#'# 3.  #/'$. $  ' fallos peligrosos detectados y si la detección no es posible. pasan a denominarse fallos peligrosos no detectados.  $'$ $' $$ &.  $   /  $ 8  7        7R   $$  D7R   '# S7R   # DU7R   '#$. $  DD7R   '#$. $  SU7R   #$. $  SD7R   #$. $  [ .   '     $   P'. '/ $ &.      . ' $ $'  '$ ) $   7 O   1 MTTF Fracción de fallo seguro (SFF)   $$  +. . '$$ #½ '#$. $ $  totales. +$  . . ' $ &. ' . '$'  P'  3'$. $   implementar para la SIF. +O'$$. . $'. $ $ . ' .  . ' $. es el porcentaje de fallos seguros: % Seguros OS OS  O D 325 .tados y no detectados. . S  #P..326 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. $$. . $) . '7 Tasa de fallos    Cobertura de diagnóstico  MP.   . '  $$ 3$. $ ' #$'. ) '. $ $   seguros (CSL.    '#K DL7 Cobertura de pruebas manuales(CPT):+$ &.  . $''  &  ''. )$ $. $ Q 3$. ARQUITECTURA Y LÓGICA DE VOTACIÓN R $ + ADHE?.$  en estas pruebas periódicas.4. 11.   + ADHDD$ &.   ' $ . '    9 K%RL/  3. . ' ''/$'$''$ $3$ '$ . ' / P'   . '   3'$. $ / $ $   $ ''. ' / .   #'. / .     $ P  . Diseño conceptual del SIS de cada función  '   O' . '.  ' $''  + :ADHDD/3 . . '  3'$. $  #&   . $' . ' * . SIL HFT (Tolerancia a fallo de hardware) 1 0 2 1 3 2 4 APLICA LA IEC-61508 + + :ADHE?'$. SIL HFT (Tolerancia a fallo de hardware) SFF <60% SFF 60 % to 90% SFF >90% 1 1 0 0 2 2 1 0 3 3 2 1 4 APLICA LA IEC-61508 Para elementos sensores y elementos nales: k < ""HFT para sensores y elementos nales.  + :ADHDD:D/$ 7 En el caso de procesadores lógicos: k < ""HFT para procesadores lógicos. . . $ $$') $ $'<S  P'' $ .  'P. . '7 Elemento tipo A  3  $ ' / . )     $ &' '$'P. 6. El procedimiento de pruebas partial stroke test (o prueba de carrera parcial) se O'.#$#/'$$) K'partial stroke test).  $? Elemento tipo B$7R  '/G / . etc.partial stroke test. los elementos tipo A$'' #$'. Normalmente. [   ./3  son no detectados.   + :ADHE?:B7 327 . < 90% SIL1 SIL2 SIL3 90% . SFF (Fracción de fallos seguros) HFT (Tolerancia a fallo de hardware) 0 1 2 < 60% SIL1 SIL2 SIL3 60% .< 90% SIL2 SIL3 SIL4 90% .. Arquitectura de elementos tipo A k < ""[ SFF y HFT para elementos po A.328 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.< 99% SIL2 SIL3 SIL4 > 99% SIL3 SIL4 SIL4 < 60% G   . SFF (Fracción de fallos seguros) HFT (Tolerancia a fallo de hardware) 0 1 2 No permida SIL1 SIL2 60% ..< 99% SIL3 SIL4 SIL4 > 99% SIL3 SIL4 SIL4 Arquitectura de elementos tipo B k < ""' SFF y HFT para elementos po B.    $ &  $'/  . ' Q 73$  '#'$6).  'P. /  $' $7 ^ ^ ^ ^ '. '  GRK+ $$'<3$  ''$'#$L G.  #'.  G K+ $$'<3#'. L + $'  S  $'. $:  K $$'3 . ' 3$# partial stroke test). ' $Q 3$ . '6B6 B +3 $'. $/$ ''. '  $7 . Diseño conceptual del SIS de cada función G  6B) .   $ &  $$'</.   . . ' Ô=EµK.  &'$  $. $'P. L/. '$   %RD +$'#'P.  $ . 'DBBX  G  [.  $   ' %R  ''. ' /$ &'4#' $  '  3'$. $  G$ $. '$  G  $)  $  ' $ . 'DB +.  $  $P /  6B)  '  . . ' / 3' %R/  3 '#'P.  3         . $ &/      3'$. $ DD $P  /$'. $  $'. . ' 3'$. $ /3 ''. ' /     7  . . '3 $ . '    ' %R$ ' / .      $/ '$ $'K#L3$ 'puestos a asumir. (.    3'$. $   &'$ $'. $  $ . TOLERANCIA (HFT) ARQUITECTURAS POSIBLES 0 1oo1 1 1oo2 ó 2oo3 2 1oo3 ó 2oo4 ""'‰HŽ*$/H–*H/ŽŸ 6'&'  $'.'   7 k < ""_ Arquitecturas y HFT simplicada. . ' 3'$. $ $ 3' 3 . $ . ''$'$  DD/ )3. '  3 6 . ' &'  .  .  T/$/$'' 7 ^ ^ '   $ ' $. #  329 . 330 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. ^ ^ ^ ^ ^ ^ ' .. P# . '$  ' '  $'. & ' . '. & ' $ . *$ / ) # 3  '' ' '. ' $ Q$ $  8 ' +6* Etc. ' '/Q / &. '$''#' 3 $$ . ''$'$  DD7 ^ ^ -.   $  $'. &)$ $.   $ . Q . O' -.   $ $ Q$ $  8 ' +6* +.  $ $'' $. # '$'$  &'. $8 '$'$    $$ . ''$'$  DD/ . $'. O$' ) 3. '  $& / . ' .  #' . ' .  $' '$3')$  . 4  $'$ $' $ . .  G* ' $&  )$ .  .  T.  $'P. .  . $Å/3 . $.  .  T) )3$. $ ' ).    3'$. $  DD) $ '# Å . $3$ '    O'  $''   '$ 3 . # + :ADHE?:A3. ' $EB)EEH/'3. ' 3.  T$'$ )3 . $   . &L 3'$. T'$  ""_}:Ž/$++kŽ}H:HH‘:+‰+/H/+ ž$+*¡Ž$*+* % $     $ ' 7 a) El SIL de la SIF. $  $''. ' /KG.  #'. L) $ P $'.  $  %R (.  . . baja demanda y demanda continua7 Ž$Ž/Žk+–Ž] Cuando la función de seguridad es parte del modo normal de operación. Ž$Ž¢H£H$H$H] Cuando la función de seguridad se lleva a cabo solo bajo demanda para llevar al sistema a estado seguro y la frecuencia de esta demanda es menor de una vez al año. .$alta demanda. Ž$ŽHkH$H$H] Cuando la función de seguridad se lleva a cabo solo bajo demanda para llevar al sistema a estado seguro y la frecuencia de esta demanda es mayor de una vez al año. Diseño conceptual del SIS de cada función -. '$    $ '  '   6 3   $ &. ' .    6 3'/  . . $.  . .  probabilidad de fallo en demanda media KG* #L/$3$ 3$ &. ''$#' . 6'$ 3 baja demanda/3  &'$  '$' . 01 < RRF < 10-100 2 0. SIL 1 ¤}‰$ !> 0. k < ""-Índice SIL para sistemas en modo de baja demanda.01-0.001-0.0001 1000-10000 4 0.1-0.001 100-1000 3 0.00001 10000-100000 +.0001-0. .  . $' $   /. '$'.  %. SIL }‰ƒ. 'Pcación del SIL lo establece la probabilidad de fallo por horaKG%L/$   7 k < ""WÍndice SIL para sistemas en modo de alta demanda o demanda connua. ˜. „ 1 > 10–6 to < 10–5 2 > 10–7 to < 10–6 3 > 10–8 to < 10–7 4 > 10–9 to < 10–8 G$ $ 'P. . '/ $ &. '   3'$. $  6/&   . .  $ & &''    /3 T . G  $ $ ' .  6   estar disponible y por lo tanto el sistema desprotegido. 'O'$ ' 4$/33    . $' . '/' O$'&  ""-¦kŽ$Ž*$//–Ž$H}:Ž¢H¢++$H$$‰HŽ $H$Hƒ}‰$„ $.   $'. $  '$'$  3'$. $   6/  $ '  $ $'. $) #  & &''     KG*L) & &''     ' KG* #L/ 331 . . .332 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO..  .  . ' ' 'P.   ) $'  . $    . L 6P & &''  KGL.$''     &  periódicas parciales.   [.   O' . '7 M$'' ' 3 3&$#  ÔED/3   normalmente es nuestro caso.   & & &''    KG*L/# & &''  KGL/ $   3. '  peligrosa.3  #. '   . $ . '.   '$)$ $ generan una no disponibilidad de la SIF. *$  7 PFD 1  eO D ut [.   '  O' . 01 fallos por año ¿Cuál es su abilidad en un periodo de empo de dos años?: Planteamiento y solución: Calculamos la PFD: PFD 1  eO D ut PFD= 1-e 0.0198 Teniendo en cuenta que la abilidad R=1-PFD.02  la abilidad resulta: R= 1-0.01x2x8760 = 1-0.02= #¨W Resultando valores muy parecidos.01x2= 0.9802=0. . Resulta: :§#¨W# Si ulizamos la fórmula simplicada para el cálculo de la probabilidad de fallo en demanda: PFD OD u t Sustuyendo los valores: PFD= 0.' $'7 PFD OD u t EJEMPLO 1: Un transmisor de temperatura ene una tasa de fallos =0. 01 fallos por año.9999908 [. El empo de reparación es de ocho horas ¿Cuál es su disponibilidad?: Planteamiento y solución: Recordemos que la disponibilidad es DISPONIBILIDAD( A) MTTF MTTF  MTTR Los datos que tenemos son: MTTR= 8 horas MTTF= 1/ 0.01 = 100 años =100x8760 = 876000 horas Sustuyendo: DISPONIBILIDAD( A) 876000 876000  8 0.Diseño conceptual del SIS de cada función EJEMPLO 2: Un transmisor de temperatura ene una tasa de fallos =0. detectándose todos los fallos inmediatamente. ' 3.  $. $ /   . $ ) . '  $' (RKR' (  . 'L/)3 '#$. $  .  &  6/. '/$. $ $&   KRL/3  7 &L 6P & &''   ' KG #L.   '$# $'  G/ 37 [ & &''  '    7 [.  (RK  $  L. ' &$ RK  $  JL/3  .  T$' ' 'P. . '7 M .  . '' 'P.     6.  3'$. $ DD/. &  ''. .  $ )'$. $ $' ' '# $+ $ $T$'.   O' . ''#   .    '$ - 333 . . 'P..334 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. . '     6$ 3&$'. $  O' . ' )$' '$  S  Q   PQ . . resul- Es habitual dar todos los resultados en horas y se considerará 1 año = 8760 horas. por lo que si tenemos en cuanta la fórmula: % Seguros  sustuimos los valores que tenemos: OS OS  O D . b) Ahora deberíamos determinar cuál es la fracción de fallos seguros y cuál la peligrosa. En el enunciado nos dicen que el porcentaje de fallos seguros es del 80%. Estudiemos los datos de parda: a) ta: MTTF es 500 años. como sabemos que la tasa de fallo es el inverso. Planteamiento y solución: Teniendo en cuenta la fórmula que hemos desarrollado: Por lo que necesitamos daterminar las tasas de fallo.$   $   7 EJEMPLO 3: Supongamos que tenemos un transmisor de presión como elemento iniciador de una SIF y con los siguientes datos: kk‰ Porcentaje de fallos seguros (%Seguros) Cobertura de diagnóscos (CD ) Tiempo de reparación (RT) Intervalo de pruebas (TI) '##  80% 60% 8h 1 año Determinar la probabilidad media de fallo en demanda del transmisor de presión. ya sean seguros o peligrosos.Diseño conceptual del SIS de cada función Resulta: Y ahora determinamos el valor de OD O OS  O D por lo que : OD O  OS y sustuyendo: c) Ahora que ya conocemos las tasas de fallos. debemos determinar cáales son fallos detectados y cuales no detectados. esto signica que el 60% de los fallos que se producen.0219e -05 6'$ . En el enunciado nos indica que la CD es del 60%. obtenemos la d) Y ahora que tenemos todos los datos podemos sustuir: Por lo que resulta que la Probabilidad de Fallo en Demanda del Transmisor de Presión objeto del ejercicio es: PFDavg 8. de esta forma: Y restando del total. voy a ser capaz de detectarlos. $ 3 & ''. .  $ /&$   '#'$.  . '7 + 3 . ' 3  $ . ' '#$. # .$  es despreciable. '  P) . &'#'' 'P.   S    Q '. ) . &$  &        $ . '3$' G* # 335 . De esta forma: Resultando que la Probabilidad de Fallo media en demanda es: Algo menor que el resultado que habíamos obtenido considerando pruebas manuales completas. EJEMPLO 4: Considerando el mismo transmisor de presión del £}Ž": kk‰ Porcentaje de fallos seguros (%seguros) Cobertura de diagnóscos (cd ) Tiempo de reparación (rt) Intervalo de pruebas () '##  80% 60% 8h 1 año Con los siguientes datos adicionales: Tiempo de vida de la SIF (LT) Cobertura de las pruebas manuales ( 20 años ) 90% Determinemos la PFDavg.336 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. Planteamiento y solución: Consideramos ahora la fórmula En la que se considera despreciable la aportación de los fallos detectados peligrosos..   &  &#' #$ 7—. Esto signica que las simplicaciones nos hacen los cálculos más sencillos pero menos precisos. $   P &''    ' . . ˜7 + $A/$' +*/.  $ $' / &$' P &'' /.    $+*/'$ $& /&$. $'P. 6/3$ &'4'. ) $P &'' / O' $' $&   )  . '. ' &'$  3  . $ & . Diseño conceptual del SIS de cada función + .  3'         $' $ . '  . '    &   .  $ / '$ & KRL3 ']). .  G*/) 3'. $ $. ' /   $  '$ & /  $  G*  $'    $   .  . '& &''    $'. $   $''  ""-":¢Ž*$‰HŽ* +$  $ /$ ' '  & &''   $ W()  $ -*/  4 '.    3'$. $ 6  &'$  )&$  & &'' 4O'$ 6%  $' $ ' . ' '/. ' #  &3  $'' 7 L "&    $ -* 337 . .338 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. G  34$P K6L/$'3 $''. ' K)<L/ 3 & &'' . . ' K3 L$P . $  & &'' . . ' K3 L$''. ' /  37 &L "&    $ W( +$.  $P K6L.  4.  3' $ ''. ' K<L/ 3 & &'' . . ' K3 L$ P $ &. .  7 PS PA  PB  ( PA u PB ) +$ .  . '. ' 3$''. '  $ $O. )$/. '/3  /  <)  )<' $ $/.    . 3. $ '    &'/. & / '.  . . & &''      6/$ &'4 . ' 'P. . ' [ 3 & &'' 3$ $''  )& Q/   '37 ^ ^ G   $ W( & &'' . . ' $ suma de probabilidades de los iniciadores ) 3. $& &''  . . '    . G. resulta el producto de las probabilidades de los iniciadores.  3J3   & &''  ocurrencia de cada uno independientemente G   $ AND.       &     3'$. $   &'$ .  . ' . ''#'$' $ $7 . Diseño conceptual del SIS de cada función +&  '.   & &''     ) 3 $  . $  3 Q    ' )    .   &   . . $ $ )3$''   &$) &$'  & &'' / .  '$#   &$  '/) 3 '$#  producto no es el producto de de integrales. ""-""H. |jj. 1oo1 +$$' 3'$. $ '$   /.    '#)$.  .  .  '#$. $ .  .  $. $ '#+3  &7  & &'' 3  '#)$. $ 7  & &'' 3  '#)$. $ 7 G3  $ W(/$    & &'' 7 [''$# 7 3   P 3&$'7 339 . 6'33 $ '  & &'' 3..340 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO..  'K #L/ &3$. $ 3'$   #.   . &' #$. $  #$. $ /3 )3  & $     &$ $   #'7 ['$ . $ 3$'  '$ ''  $   /$ 7 MTTFs 1 STR M ' .  .  $$'  '  .   &  ''  $# ' . Planteamiento y solución: Recordemos los resultados que habíamos obtenido el valor de s: Por lo que la Tasa de fallos espurios total (detectados y no detectados) es: Y el empo medio entre fallos espurios Esto signica que para un el instrumento del ejemplo se espera un fallo seguro cada 625 años.  '$ EJEMPLO 5: Considerando el mismo transmisor de presión del Ejemplo 1 determinar la tasa de fallos espurios y el empo medio entre los mismos. por eso es  .cepto de tasa de fallos espurios en lugar de probabilidad de fallo seguro. . ' $ $'. $ $   3    . $ + $    & &''  #. '# $''.  $'  ':  33. '$ 43 . '  '  *$  7 . ""-"H.Diseño conceptual del SIS de cada función EJEMPLO 6: Y considerando un empo de re-arranque de 24 horas determinar la probabilidad de fallos espurios. Planteamiento y solución: Sustuyendo los valores en la fórmula que acabamos de desarrollar: Que es un valor de probabilidad pero que no nos da idea del empo entre fallos espurios por eso no se suele ulizar. |jj. " +$$' 3'$. $ 6'$   /.    '#$''. ' +3  &$. 7 [  $ $'. 7 341 . . —[..342 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.  .  $'P.  .   $˜G  $  3'. '  .  .  TÅ* 37 [  '  7 G3' $''.  & &'' .  $''$/&$   $ -*/&$  7 [ '     $'  . $     .  /      $ W(7 [''$# . . $ $' /&$  & &''      ' 7 [' & $''. ' '# /$ 7 . Diseño conceptual del SIS de cada función ['  $ . $  ' 'P. . entonces re$ 7 EJEMPLO 7: Determinar la PFDavg de un sistema formado por dos transmisores de presión idéncos a los del Ejemplo 1 en votación 1oo2. la probabilidad de que falle el sistema es menor.'3RT<<<<TI . ¿qué signica? Que aumentando la tolerancia a fallo de los elementos. [   $      '  &$' $'  . El valor de que habíamos obtenido era: Y el intervalo de pruebas manuales era de dos años. Y si consideramos la fórmula simplicada para la votación 1oo2 con elementos idéncos: Mucho menor que el valor que habíamos obtenido en el caso de un esquema con votación 1oo1. $  O. ' $   #—  & .  '˜N'$  $ . 'DB  #.  .  3' .  $ #/ $ $7 343 . 344 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. *7 ^ O  '&' ...  $ ^ < '&' .  $<) ^  .  . < STR OSUA  OSDA  OSUB  OSDB  OSUC  OSDC ['. '  & $'# )3 ) .  . es decir un solo elemento en votación 1oo1. La tasa de fallos seguros que habíamos obtenido era: Planteamiento y solución: El valor de la tasa de fallos seguros que habíamos obtenido para un solo transmisor. T/ $ 7 EJEMPLO 8: Determinar la tasa de fallos espurios y el empo medio entre fallos espurios de un sistema formado por dos transmisores de presión idéncos a los del Ejemplo 1 en votación 1oo2. es exactamente la mitad. directamente pasamos a calcular el valor el empo entre fallos espurios: Si lo comparamos con el valor obtenido en el caso del esquema en votación 1oo1. es: Teniendo en cuenta la fórmula para la votación que estamos considerando. —M4'#'P. 1oo2. es: Y conociendo la STR. $$ 3  &$'˜7'  ' 3 $       / . '37 ^  $  $ . '   KDD DBL' ') & &''    KG*L/. 3  $  . . ' . Diseño conceptual del SIS de cada función '#K((L)$ $63 .   )/$   $ $ &'4 & &'' ' ' ""-"H. |jj.  +$$' 3'$. $ 6'$   /.    '# $''. ' +3  &$. 7 Nota: +3  '#    3'$. $ BB'4$'.   '  3'$. $ $ . 'DB *  3 & &''  7 +'$# &$  & &''     ' 7 [.  ' 'P. . ' &'$ ) & $'# 7 345 . Esta arquitectura (2oo2) arroja valores de PFDavg menores que para votación 1oo1 y 1oo2 por lo que el SIL que se alcanza también es menor.346 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. Planteamiento y solución: El valor de que habíamos obtenido para el caso de un solo transmisor en votación 1oo1 era: El intervalo de pruebas manuales que hemos considerado es de dos años.  '$ ' . Y si ulizamos la fórmula simplicada para la votación 2oo2 con elementos idéncos: Con este esquema de votación no disminuimos la PFDavg con respecto a la votación 1oo1 y mucho menos si lo comparamos con la votación 1oo2. EJEMPLO 9: Determinar la PFDavg de un sistema formado por dos transmisores de presión idéncos a los del Ejemplo 1 en votación 2oo2.. & '4$'.   $ ' . '    '#    3'$. $   $ . ' DB G    $ '# /&$'. Planteamiento y solución: La tasa de fallos seguros que habíamos obtenido era: Teniendo en cuenta la fórmula para esta votación: Y el empo entre fallos espurios: . 7 EJEMPLO 10: Determinar la tasa de fallos espurios y el empo medio entre fallos espurios de un sistema formado por dos transmisores de presión idéncos a los del Ejemplo 1 en votación 2oo2. ya que para que se produzca un fallo seguro. ambos transmisores enen que fallar seguro.Diseño conceptual del SIS de cada función Con este esquema de votación hemos aumentado considerablemente el empo medio entre fallos espurios. Por lo que la arquitectura 2oo2 (con respecto a la arquitectura 1oo1 y 1oo2) resulta ser la que mayor PFDavg alcanza.  . es decir la de menor Fiabilidad y la que menor tasa de disparos espurios arroja. . '  3'$. $ .   ' $ . '  $ $  . '.   ')3''&'$G* #)RR ""-"[H. |jj.  +$$' 3'$. $ '$    .  '#'$3  &7 +  $ $'. C  ( PFD B uPFD C )  PFDB .7 PFD ( PFD A uPFD B )  PFD A.C  PFD A. B  ( PFD A uPFDC )  PFD A. B .C 347 . 348 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO... 6'#' ' . ' '$ $ . ' $'&$'   .  $'# 7 EJEMPLO 11: Determinar la PFDavg de un sistema formado por dos transmisores de presión idéncos a los del Ejemplo 1 en votación 2oo3. Si consideramos la fórmula simplicada para la votación 2oo3 con elementos idéncos: +& . Planteamiento y solución: que habíamos obtenido era: El valor de Y el intervalo de pruebas manuales considerado es de dos años.  ''4$'.   '#) $ $'. $&$' .  . ' $   '7 EJEMPLO 12: Determinar la tasa de fallos espurios y el empo medio entre fallos espurios de un sistema formado por dos transmisores de presión idéncos a los del Ejemplo 1 en votación 2oo3. La tasa de fallos seguros que habíamos obtenido era: Teniendo en cuenta la fórmula para esta votación: Y el empo entre fallos espurios: . El mayor de los empos entre fallos espurios lo da el esquema de votación 2oo2. así tendremos una idea global de los resultados: 1oo1 1oo2 2oo2 2oo3 PFDavg 8.2e-04 1. por lo que es la de mayor abilidad y con la que mayor SIL se obene.5 98123 10937 Así:    La menor de las PFDavg se obene con la votación 1oo2.aunque es la menos segura porque es la que mayor PFDavg arroja.0219e-05 3.024e-07 MTTFs (años) 625 312. La solución más equilibrada la da la arquitectura 2oo3. por lo que es la solución que menos disparos en falso produce .Diseño conceptual del SIS de cada función Vamos a comparar los valores que hemos obtenido de PFDavg y de MTTFS en todos los ejemplos anteriores.41339e-08 3. - '$ 3$  &$'$'' .  &   $  $  '. T'. &Q$.    $ G* # )RR/  #   . . '.   3'$. $  P &).    3 Q '  # G .  &  ' '$ $ &$' R#   . $   / 3 $ Q   . '     $   6. . .  $. $  $D>3.   Capítulo Ejemplo. ""- k¦/+/H:¢$   $4. '.  (<*    $4. '.   Reability block diagram. no tiene traducción en  J/ 3.   &    ' ' # &3/3 $. '3   $ . . ' O$'  6&    3 $'. $. 4O'$ $/ $'' ' # &33$  $ -*) $ W(/ # & $ 3&$'& &''  4O'$# & &''   . '  . '$4O'$) /. '   $/)  3.  'P. 6 6 . '  & &''     /P$'' & # (<* Nota= Cuando un sistema falla signica que no ha tenido éxito. 349 . por lo tanto R = 1-PFD. 350 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. *   $  $ /(<*    3'$... $   &'$ )      4O'$ & &''     ) 3 3      $ DD>D"&  $ <> . ## +'$ $4O'$.   $3 . determinar la abilidad del sistema con arquitectura 1oo1. La abilidad de un elemento es la diferencia a la unidad de la PFD.94026 $ <> . de forma que: Y por lo tanto.2 e-03. $# 4O'$ *$  7 EJEMPLO 13: Considerando un transmisor con una PFD de 1. teniendo en cuenta que el sistema está formado por un solo elemento. resulta que: Rsistema 0. #% +$. '$ $4O'$.   $$# 4O'$)   .   $' $ $  +$  3'$. $ /$ $/$' $ . '   D*$  7 . Ambos elementos son idéncos.2 e-03. determinar la abilidad del sistema con arquitectura 1oo2.94026 Y como ambos elementos son iguales: RB 0. resulta: Rsistema Rsistema RA  RB  ( RA u RB ) 0.94026 Si ahora sustuimos en la fórmula para la votación 1oo2. .Diseño conceptual del SIS de cada función RA  RB  ( RA u RB ) Rsistema EJEMPLO 14: Considerando un transmisor con una PFD de 1.94026) Rsistema 0.94026 u 0.99643 Hemos aumentado la abilidad aumentando la tolerancia a fallo.94026  0. Calculamos entonces la abilidad de cada elemento RA = 1 – PFD = 1 – 1.94026  (0.2e-03 = 0. $ <> . %% + $ $'  3'$. $ /  '$  $ 4O'$ .      $ ' $ $$# 4O'$)  '  +$  3'$. $ $'  $ . '   E *$  7 Rsistema RA u RB 351 . 88408 Resultando una abilidad menor que la de la arquitectura 1oo1. EJEMPLO 15: Considerando un transmisor con una PFD de 1.94026 u 0. teniendo ambas la misma tolerancia a fallo de hardware (HFT). $ <> . determinar la abilidad del sistema con arquitectura 2oo2.94026 Si ahora sustuimos en la fórmula para la votación 1002.2 e-03. Calculamos entonces la abilidad de cada elemento Y como ambos elementos son iguales: RB 0.94026 Rsistema 0. resulta: Rsistema Rsistema RA u RB 0... Ambos elementos son idéncos.352 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. %& +.   3'$. $ BX/ 6$4O'$.  $ $' $ $$# 4O'$)  .     $ $ +. '/$  3'$. $ $' $ . '   D *$  7 . Diseño conceptual del SIS de cada función Rsistema ( RA  RB  ( RA u RB )  ( RA  RC  ( RA u RC )  ( RB  RC  ( RB u RC ) ""-Ž$Ž*$H:©Ž‘   ž/&   #P. )$' $ $ tico de los estados. +$' # $ 4O'$/ ) $ '. '$ &$  N &$'3 /$ $     $'.    . '$3  $'  '$  6$''  &    $$' 7 [.     . . $7 ^ ^ R    O R    . '8'. +$'    .' P N'$   $ W\   $ 4 O )  $    $ W\ $ 4 P G$ $/' $ $P'&'$  los elementos y cómo se interrelacionan.  $  '.    3'$. $ DD7 N'$ . $ $ . '$.  $$ 7 D +$ W\KW\L B +$   #K'$'#$$. $ )$. $ 3 & '$  $ #LK 6L X +$   '#$. $ K*NL @ +$   '#$. $ K**L [$ . '7 353 . 354 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO... [  $'. ' 7 Cómo se obtiene esta matriz? S    $Q  3'$. $ DD/# .  '. .  3'$. $  .  Q / P) . &'P' &' 3 /4$ $  '   $'. '  .  Q D   $'$'$ $ .   .  $ /$. $ .  $ $ /3$ .  $.    B +' .    /3$. @O@ X +.  P $  .  $ )   .   /    $ S  $. 7  KD/DL+$ W\— $)$$ ˜/.  $#  /—) $ $'. $˜($   '  /)  #'#/.  '   $  $'/$)4O'$ .  $) / 7 & KD/BL—  # $ B$ D˜/. '4  #/$ $/$ $ '. ' 3$#3. .' / nuestro caso . Diseño conceptual del SIS de cada función .  KD/XL—  # $ X$ D˜/. '4  '#$. $ / 3/ .  KD/@L—  #  $ @$ D˜/. '4 '#$. $ / 3  '#  . [ $ $  '  P /)  $ '  P '   $'.  . ' $ DS $.  .  &$    # P -$ 3 . #$ ' '  .  KB/XL—  # $ B$ X˜/ )$ '.   '  P 7  KB/DL —   #  $  D   $ B˜/  ' '   3 /$  . '$ $$ / 3E # KB/@L—   #  $  @   $  B˜/  $ .  ) . . ' / 3E  KB/BL —   . '#  $  B˜/ '$. '  $  Q4    P /$)$ B.    $ D/. ' .  6'#' ' . /#   .  $   $' @ N .  . $$'.   $'3.  P  D .  & '&P'. ' [ 3$   $'7—34  &$ ˜/ . $ ' . .  $'. ' /. '/#  &$RR ""W$+Hª *k+/Ž* % $  3$  $ $'.   . ' 3' #$'. $ &   /. '/3  . ' $. . '  '#'$ & ¨  . ' /$ $/3$  $. .  . ' $. $  '#). '   .   '$/. '/.  $' #$'. /$   $   #). ''#/$$ .   )P &''   6/$   $  $   '  ' /   ' $ 3#   . '.   '$ &—      'P.    . .  G* #) 6R(˜   '$ 3'$. $ $''    ' 'P.  7 Nota:(. 355 . 3 6R( $   #) G*  & &''    . H...356 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. |jj. ""$]   . & ''. /$3 ) $' #$'. / $. $  '# )3. '  & &''    ) 3 . '' '/37 [ $   ''. '$.  $. $ '#7 H. |jj. "$] '  3$  $'$'$)  '  ' /  '#$. $ '$' & &''    *$   7 +'# 3.  $'/ $. $ '#'$'  $   '7 STR OSUA  OSDA  OSUB  OSDB  OSUC  OSDC  ODDA  ODDB  ODDC H. |jj. $]   ' . ' . ' $'7 [ $   '7 . Diseño conceptual del SIS de cada función *™   #)'#$. $   #$. $ .  .  $) .  T &.  $7 O OSUA  OSDA  OSUB  OSDB  OSUC  OSDC  ODDA  ODDB  ODDC ""¨‰ :–H**+}+‰+/H$H* +$  $ . #   ' 'P.     $ . $ ) 3  ) T$'    $    #'$      & &''    )$'  '$ '3 &$''  . 'P. . '/) 3&$'  #.  ' $' '$ /3   $ &.  '$#' 3  G  . .  & &''     ' .  $'# ).  $'$'$7 H. |jj. }‰$ !    1oo1 NO APLICA }‰$ ! %  j  1oo2 2oo2 2oo3 [ '#'$ # .  $ 3$'. $  . $.   .  T/' 'P.  $ &'47 H. |jj. }‰$ !«ƒ ‹ « %. |j      j  „ 1oo1 NO APLICA 357 . H..358 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. |jj. }‰$ !«ƒ ‹ « %. |j      j  „ 1oo2 2oo2 2oo3 [ $   '7 H. |jj. k .  %j. . Se produce el fallo de una SIF y por lo tanto una situación peligrosa cuando se dan fallos peligrosos. Un fallo seguro dará lugar a un disparo en falso y por lo tanto es una situación segura aunque no deseable.   j  ƒ*k:„ 1oo1 1oo2 2oo2 2oo3 PARA NO OLVIDAR    El cálculo del SIL ene dos componentes fundamentales: PFDavg y restricciones de arquitectura. para ello las fórmulas simplicadas cumplen esta misión. Los cálculos matemácos exactos se deben realizar mediante un soware especializado.Diseño conceptual del SIS de cada función /Ž*£Ž*}:/k+/Ž*   Lo más importante es manejar con soltura los conceptos y sus relaciones. 359 . . DISEÑO DE DETALLE DEL SIS 12 Inmaculada Fernández de la Calle SUMARIO: +. j / .     ˜ . ~ .  / .   .     ]%. Consejos práccos. 12.  j  j Para no olvidar.1. INTRODUCCIÓN S $. $ . $'J3$ 3. '    P' 9 '$ '$ $ #' 6'&'/  )  '$''. $ $. . & &'' )$ $ . . 6/3  $. Q$'$ '$ $ / ' $ $ & . $ &'4$ . $   ) . . $3 /&'. ' 6(6.   '    C $ DE '.    $ . $ 34 '#'P.  $' .   . . $).  . '$ 3#' 6  $B + :ADHE?) D + :ADHDD 3$ &. $  3' '$  9   $  . $ / ' &'    $ D $ &.   . $#    P'. CONSIDERACIONES GENERALES DE HARDWARE G$3&Q$''J )  66/    ' .2.'66 12. '$' . . ' 9 /''$ 3$ $ 'J '$  3. 6 .$ '#'$&Q$'7 ^ ^ ^ Sea manejable por el operador. *  $. Facilite las pruebas manuales.'mantener. /. . $7 Sistemas normalmente energizados o normalmente desenergizados ^   ) .   '$. /. 'P. normalmente energizados. '. '  . '/) 3 $ ' . ^ ^  #.362 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...  $/'$ '  /. '/'$     #G$ '$ . ' /) 3  . —G $  '$  &    $ #' ˜/  $  #$ / $ -W/'$ 3$   '  % )  '$  $'.'  desde siempre.  3  . 'P.    $ #' / 3 . $' . ''  . '  & 3  . $' . '. . 3'% & '$ fuego y gas y de los sistemas de despresurización. En estos casos y para no mermar la seguridad. 'P. '$  '$' . '   3 '#' $'  '$ &''$ /. '/' $'  . $    3  Minimización de fallos de causa común ^ ^ ^  .  .  T 33. .     $.   ' . '/'  $  6 Es importante tener en cuenta la función instrumentada de seguridad (SIF) como un conjunto de elementos y las interacciones entre ellos. de esta mane  '' '   .  .  T$'P34  % & '&    .   .  T .   '  $      $/$ $'''. ' .  #'. .   $P /. '/ ' 3$ $$# $ . ''$'$ DD$ '& .  .  T Identiquemos .  : L '. ' ) $P 7 : '  &'. $)  : ' . Q . O') '  $'. & : ' . '. & $  . &' 66 : ' $ Q$ 66 &L #'. 7 : ' . G #' / $ . ' $'$.  '$ /. 'G #' & $'.  $ Minimicemos los  .  7 L '. Mismo fabricante y modelo:'.' ) $P 7 . ' 3 ) .  .  T3$ $''  '  &'. $) /)$   .   $  /'4$'.   $ &'4  . Diseño de detalle del SIS ' .  / . '$'' '$'$ &'. $    $$ . ''$'$  DD : +$'  . '' &/$ .   . ' .  'J 66/' &3$'. $&  .    $' /#$'  . : W$  .4  $/3 siempre es recomendable. '3 . ' $'' '$'$ $. #    ' '. ' .Misma caja de conexiones y mismo multicable: en este punto nuestra .   . '.  'J ' . &  $ $ . ' '$'$ . Q . O'/$    J . &  '$'$ $'. Mismo recorrido de cable hasta la cabina del SIS: 3      J  $$ . &$ &'4 . ' '$'$ $'. &/  )'. '3+$    . &' 66'$'$ . '/.  'J 66& $ . Misma tarjeta de entrada (o de salida) en el SIS:'$ 3 . dación. . &  J  $ Q$ '$/ '' ' $  &L #'. 7 . la votación de los elementos es intrínseca al sistema:   '& '' '      .Considerando el caso de un PLC de seguridad.  .  T$$''$ /3'  . .  $'P.     $. $ . . P &''  *  3 . &      . . '   3   '' ' . '      7 ^ ^ ^ +#''$'$ &'. $   $''. ' KP L'. so distinta tecnología. &  '$'$ . Q . O' Cablear a distintas tarjetas de entrada (o de salida). [. .  $'P.   .  T+ + :ADHE? $A/$ '  ' $ '$ . 3$  ' Å/.     '$. $ $'  $  . '$  '$ . 3/   $ ''. ' P  Å  $Dµ)DEµG  '$ #'. . '  $E/Hµ)Hµ Dimensionamiento de las salas y ubicación de las cabinas G .   ' '$ 3$ . $ . '  '#'  66/ / '$ 366. Q$& Q  /37 363 . . ^ ^ ^ ^   .364 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. &'  & $     $         . ž    #'.    .  /3  . $'.  &'$  .  Q66 )  '$    . &' $'3 . . '&''P. $  '/ R'3 & & ' ' . '$ $   .   '  #. '$'  cabinas. ' &$ &''$  ). $/$ &. ''$'Pcados.  ''. ' . &' & . #$ &'4 3' '$'J 66 Consideraciones medioambientales + )' $ $$. $  . 'P. . ' &'. $   &'. . ' . &' 66/) 3 3$ & Q . '. ''  $3$. $ ' . $ &$  $ /   / ' . '. $ #4$'. /  3  . '. ' ' &'$   3 '#'  '$ $'. 663 '. '$. $  ) T '. '. '  +. $'.  &'$ 3    . ž.   $ 'P. '.  &$ . '4. $'. /'&' . 'O$' 3.  '. $$ &/ $3$. $ . ' . 'O$ 'J/$ .   '     .   $'.    '' ' . $  ' . '. $ #4$'.    . 'P. . '   '$ /   3  P    . '. ' ' &'$ /& $ &'4  '  'J 66  .   . ''J  '. ' '. ' &'$7 ^ ^ ^ Temperatura con alarmas de alta y de baja en los límites aceptables. %  .     '$''.  &'. $3'pos.  & . '3 )$ ' . '. $ #4$'. 3  . $  . ' '$'$ /.  Q  $ '  . & 4. $'. )' ) '     . ž Baipases & '  $3 '$ . mantenimiento o bien operar   $ '$ . '. ' /.  Q  $ $  .  ' . . .  W6Kmaintenance override switch) y los segundos GW6 Kprocess override switchL  & '  . $T  '  &   $ iniciadores. . Diseño de detalle del SIS S  .  . $$'. .  ).   . $  'J667 ?@ los baipases de mantenimiento operan directamente sobre el SIS impi'3. '   . '. ' $''. ' % )  '    ' $& ' / $'' 7 ^ ^ ^ ^ G '. $  . &' 66 G '. .  $  . &' 66 G $9   $  66 G '. .   .   O'' 3 '$   . . '&  $9   $  66 R $ . '$''  $  #'   3. '$   . .   . $' . '   . . '  .     3    '.     . ' .   ' $ .   . ''J 66) . $'.  &'$  'P  3.  T $33& '    . . '.   '$  . '4 ' /    ' '        '$  )   O'$    3''. 3& '  . $' * $$'  . $' . '& '.   '$$. ' '$ +. W6 &'$ $ &. $'  O'  . $' . '   3. ' ' /3 . '. ' . $ $'   . . $' 3& '$ . $' /) $ $3$  . $'.   '$ POS7  & '    . ' . $T  '. $ $ &  66 ' '' 3. '  $. $    '  $ ''. '  $ $  .   Q . '$ . $'.    $ . *' $.7 ^ ^ Disparo por muy bajo caudal de carga a la unidad. . ' 3    '&. P# . '$& ' 7 ^ ^ G $9   $  66 G '. .   .   O'' 3 '$   . . '&  $9   $  66 [.  . W6/3& '    . . '.   '$  . '4 '     ' '        '$  )   O'$    3''. 3& '  . $' * $$'  . $' . '& '.   '$$. ' '$ 365 . +  ..366 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO..    GW6  3   $ &.   $'   . $' . '/   3  $ $'. /$ . '$$' /.   '$3  $'  O'$. ' & ' '$P. .  P &''  6 3 Q   $'' ) $' '$  $ '$3      #  '$3.     #  / . $3.  4' . . ' Interfaz del operador *  # $ $  . &'.  3'.   '$KQ  $' L.      . $' . 'W6GW6/' $ $$ &. .   & . $' . '/) 3  . . '$ '$''. $ $ #'   $ / )' $ $ $ &. ' . $ . '. . $ J .   . ' '$ . ') $' '$ . Pruebas funcionales  & .    ' mentación de la seguridad en las plantas. ' $   $?)D@/ 3.    &'. .  ' $ . ' 3$' & . ' & P &''  66/)3   '  & . '   $3.    6/+$$'3  Accesibles y además '  & .   $  .  . 3'$ & . '. ' . $' $ &. "/Ž*+$:H/+Ž*ª:H*$ª*k+ ]}:*ŽH /Ž–+/H/+Ž*ž$Ž/–kH/+  '# 3.' paradas programadas. P' 9 $9   'J  66/ )3 .   $ . '     '.   / . . ' H  $/ + ADHDD$ &. $3' '$) 3   O7 ^ ^ ^ ^ *&&Q$'.  T .  '$ # 6P'  &'' .   .   $ $   ' . '. '. ' #'  .    $ $.  '.  &''    '.   &.  $$  $ & Q. .  do. Diseño de detalle del SIS ^  .  $. '     ' . ' '#'$ . $7 : +O'. ' . 3  '  $ 66 : +O'. '     $. #  3     $''  KG   #' / $  ''$'#$/ $:  /$. L : +O'. ' #' K '''#/%»WG/$. :  .L .Conocimiento de leyes y regulaciones. '   ' 3'$ & Q) . . '  .      ' . '. '. ' #'  :  . '   $ '&. . . ' $ : . ' '$ ' '. . '3$'  '# . R &'4' $ $.'6   SIF.  3'J66$  .  $ . '3 P ). $'$ /3 $) . 'P. . ' 3$''.   'J & &' .    ''. PARA NO OLVIDAR   El diseño del SIS es global. esto signica que hay que tener en cuenta todos los elementos. incluso los que no intervienen en el cálculo de la abilidad 367 . El diseño del SIS es global. El diseño del hardware implica elección de diversas tecnologías. /Ž*£Ž*}:/k+/Ž*  .' Gyecto. . ‰Hk+*kHH/+ /Ž+*+ŽH$Žž VALIDACIÓN DEL SIS 13 M de los Ángeles Mar n Hernández SUMARIO:+. j}. j<  % .<.  ƒ‰Hk„ +    ‘   j.   *+*%. j<  %  %ƒ*Hk„! j    j. INTRODUCCIÓN  & RK&  . .j H%\ Para no olvidar. 13. Consejos práccos.1. $ . '&'. L .  ' . ' $    'J¨    3   &  R    '   .  4O'$ . '$ 3   'J )  ' . . $ $/.  $ Q ) ''J  9 )$9  '#' )'  $ . ' ''$  '$  $ & Q$ $  ) Q3  '$  . ' 3 - + ADHDD $DX& R/$ $   ' $' /#$   $  ' $ . '  '  & & R¨.   3$ & Q '$ $ . '). $. . /  '$  . ' '$ $ . '/66). $ T$' /$'3$       $. ''/3'/$&' /' ' 3'/$.  $  .  '$ $ . '/).    )  . . /). $ ) &  )$  '$ / . P & / de esta manera se elimina el margen de instrumentación y se acorta el tiempo pre'$   '$  . ')& '$ $ . '). $¨'3' # &'& )'P. '$  . 3& . & /'#  . . '$ . '$9  $ $' & ). #' /$  $  .  '$  . '3'3&' a la instrumentación y control. Las prisas nunca son buenas. N & & R $ 3'' /#' / '$ $ . ') . $   ' . '/$ ) .  & /   . '&' 3 & R '&$ & Q/'$ &   .   . ' /'$  $  $  . &' '$ ) '$# . ' 3 $ &'/&'P. 3 '  '. . ' '4$'.   '&   & R/. '3 ''$ '$  ' .   &  R    .  )' #  $$ & Q '  pruebas FAT.  ' . '    $    'J )    ' . '  'J '  $     . '. '. ' #'  . ..   ' .370 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. '&  '#'$. $'7 ^ ^ ^ ^ ^ ^ ^ ^ —+'$ & '$'P.  $ '''#˜ —6  '  $' . $' $$ 'J.  '˜ —+'J . #' .  6&Q$'  .  . ''$ $  #' ˜ —+'J . #'  .  . ''$ $  #' /$ . ' ' .  ' '$'P.  6(6˜ —6 '  $  . ''$ $  #' K6L .   6(6˜ —6 )  $' '$ .  'P. ) $ ˜ —6 .  )'P. . ' '$ $' '$˜ —% ). ' '$. &' $ ˜  $  $ #$ $'3 P $'  $.    3) . '  $   ' . '   . '. '. ' #'  . '  $ ' $ $   3    '    . $''   $   . '. '    # 3  $ )3  .  $ $¨.  & 3 'P. .  . ''$ $   #' )3.   . 63'/) . & . '  . P.   . P 366. ' #T3''$'J + + ADHDD:D .  '#'$'$'. '$ ' . ')'P. . '7  ^ Validación . $''    $  3   . ' '$ $    #'  )  sistema instrumentado de seguridad bajo consideración cumplen en todos  . $/    '$  / .    . 'P. . '   3''$  6#' K6(6L S'P. . ' . $''  $ . ' ' $ '')8& 3.     . '.   '   #' /      $   . P. /    '  .    $ $  '$   &Q$' ) 3''$ $ &. '   '.  . P.  G$ $ 'P. . ' ' $   . '. ' #'    # .  ' '$. $' 3''$ especicación de los requisitos de seguridadK6(6L/ '$ 3  ' . '  . $''  T'. /3 $ 3'$ '$ $ #' K66L). ''$ $  #' K6L. ' )   . .     . 'P. . '3''$#' K6(6L/ $3.  3''# $4$.  . comisionado y validación del SIS  'P. Instalación.FAT. . '$ . '  . .   . '. ' #' / '$ 3  ' . ' . ' .   . $'' 3 # .  ' '$  6(6W$ '. ' $ 'P. . ')  ' . '3 'P. . ' ' '.  '')& / '$   ' . '3' '. . &Q$' & R/'$  .''recta y pruebas. '66/.  '' )    ' . '7 ^ ^ Integrar y probar el SIS. S ' 366.  $$'$ 3''$#' $4 '. ''$ $  #' 3' /' '$#' #' 3'/. ' ' #' 3'  K . . '3$'3 ' /$'    '   . . '#' / etc. + '# DXD/ $  .). '. ' #'  ‰j. 371 . "" Fases del ciclo de vida de seguridad. 2. 13..372 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. PRUEBA DE ACEPTACIÓN EN FÁBRICA +&Q$' &  . $ . '&'. KRL&  9 )$9 G Q$/ &  9 G )$9  . '  $ '$  . ' $  . ''$'P. ). 3  ' .#')    mínimo coste. '& R O'#. '  - K   DX+ :ADHDD:D' $' L/'. & R ).   &$ #'. /.   ''.  '$. . ' &$ 3 #'. 3'  $ . ''$ $ das de seguridad cuya lógica de aplicación o las disposiciones de redundancia (por Q /DB/DB*/BX/$. L .  Q  + '. $'.     '. . ' - / $B - + ADHDD/ ''. 7 6'66)   & R/$. $  $  ' . '¨3' ' . '& ' $ & R   # 3$$9  '. . ' ) . 4O'$)3. '#' todos los problemas encontrados durante el FAT. G'.  '$' & $9  '. . '.   $  & 6R+$ '. &.  7 ^ ^ ^ ^ +$ . ' $'. '  '. '   'P. . '  ' . ' 6 'P. 3$9   '. . ' $' . 3''$  . 'P. . '3''$#' K6(6L $ & R/) 6'P. 3 '  '. . ''4$'. 6' & #/ )' $ $ # 3 .   '&   las pruebas FAT. ' J $ $/  .  '$/ ' . '/3$) $P $. . $ $. . $   ' #'. /3 . ''$ $  #' . ' . . $ $)3 '$   . '  ' . '.  ' 6.  ' $ $ 3' $  & ''.  P''.   ' . ' 66/3 &    ' #'. ) $ . '#   )''. .  $O$  $  ' $ $   '  & & R$.  $ &'. '$)$. $ 3P .   $3$'3 .  #'.    '. . '/$'3$ &'P')Q .  34&. 4.   $  N.  $''3.   $ . ' ' 3$'3 . / .  & . )34& .  G  . #'$.  $& $ & Q  $  'J. $ &Q$'/. #'.  $.  ).  $''3  . comisionado y validación del SIS . Instalación.FAT. '. ' /'$ &'4 . '. '  )     . /'.  '& ' . '   3/'&   $ $'. ¨'$'4 & ' $ $'. &P'.  ).   . $' ). ).   . $' /$.  $$'3$  P''3'& ' $' '$  ''. ' .   '$  . ''$ $  #' /$. +$  . $ &  .  $3P . '. ' /P. '. '   /'  3/. $.  $ '  &  & R/'3 ''J  '. . '$ .  &' ' &'J' $' ' . '   ' . '  3 . $  & R3 9  66    & '$ )  $$. . $. . /$9 66)#P.  . ' . ' $  ' $) ''$    ' . 3'$$9  66'#P.  . ''. 3. Q$K$9 /#P. L G. '$ &'3 '#'' P .  $ $ . ' ' /.    ''.  $' $/3 '#'  # #'.  $''.   '$ '  . '¨'  O$ ' #  #'.  & .  6 &'$&  '   '$$ '$ $ '$ . +  .'''cadas a modo de ejemplo. '  $ ) $' '$'$ . '$3 '$   & R) 3$ $ '$'&   . '66 /$   . ' &  #. '  Q . ' '$& /&   O'. ' .  '$ ' ' /. . ' '$ . '. '. P.   $ )  # ' . ''$ '$  /3 &' '$ $ 'J  &  ' '#'  . ' '$ . $   ''$ ) & .   ). '$P /). '$'7 ^ ^ ^ . . ' .  $ . ' (. $  $'  )  .  & /      ' ' ''.      /   . desmontaje). tarjetas. posibilidades de reparaciones (montaje. disposición de bornas. G&  9  : . etc.' '    $  '$   & mantenimiento. )/ 3  $ ' '$    /   &   $    +86/ $ Q$ /$ ' $ . '/ $  /.  '. . '/'$  . & /$'4'. O'$$/&   '$' . '  +86'$ . $. R &'4.  &   $  3' . '   ' $ . '/ .   dancia del mismo. 373 . 374 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. ^ ^ G& $9  :  & $9  .. $# $ 7 &    $/ '$/ $   .    / ' #$'.   /  3 $ $'. 4 # /   /. etc. G& . /#'tros. ' '$#  '. . ' : G&  &  $$  ) ' 7. 3 #/'. . '+86/ Q$   /$ $ '$    $   : G& .   '$)# 7'  $  J  O$' )  .  &  3  #  &     ' #  #'. .   . ' '    : P.  . '¨. 3'$    )  Q/ $$ #P. ) # . '$#P.   & .  '. . '. 3'$. .  '  '.   . Q$ . . ' $4. '.  &'$ /' 3$ sea posible.   '$ 66   $  '$ . $/&   '  & . Q$ .  '. . '¨$ 366&& . '$  . '  &  ' / $. '$/$  ''$ /3&$3') .  '    . & $  . $''  3 '. . '$. $ #T. $ $' / . ' . '/ & Q/$. /.   $'$. '  . '3' G  3'  $ .  '   & . '. '$P   - + ABX?D # T$'    ' . ' & R/6R )6R'$  $ $' . ' '$' .  '#'$4'. . '$ . 3$'. &      + ABX?D/     $ '. . ' '$  . '7 ^ ^ ^ ^ 4'. D›  & . ' .  $ . ' 4'. B›  & . ''$ ' 4'. X›. . ' . '.  4'. @›. . '. & ). O'  +4'. '#'$. ' '$ . 3$'. 3 $''  $ &  . ' 7 ^ ^ ^ ^ 4'. H › G&   G$   .  )  . ' #   sistema. 4'. A›G& '$     4'. >›  & . '  . ' )' #$'.  9  4'. ?›S' ' . ') . ' . Instalación. comisionado y validación del SIS ^ ^ ^ 4'.FAT. =›  & . '. '  4'. DE›. '.  Q )  . ' 4'. DD›$# . '&'$  "+*kHH/+ ž/Ž+*+ŽH$Ž +&Q$'  $  . ''$  '$ '$ $ #'   .   . 'P. . ') ¨)&Q$'.  '' .  '' '$ '$ $ #'   3$4      ' . ' P '$  $$  . $'' /&  /' ) &   'P. . ' $   7 ^ ^ ^ ^ ^ M4 . $'' '$  . ').  ''   . &: . . ) O. ' M'4  . &$  . $'' :) &''    ' :#  '$    . &:. ' '$ .  / ' /$4. '. )cursos.  .  $ )''. $  *4   & &'. /'$ $ $  &  e instalado.   '$  . ' &     .  .    '$. . '   3''$ K $'.  $'. $  $'. . '   #' L).  '3 $$  & $ $$ $   # 3. . 6& '$  $66#T 'J'$  . condiciones y procedimientos.$3''$ instalación. 'R   ' . '. $ 'J'  . 3'). $. P # 3 $' . $  3''$'J   . $'' .  '' &'. 'K'' '$  L. P . '  '#'$7 ^ ^ ^ ^ ^ ^ ^ ^ ^  $'  . . $ . . $ $  . O'4. $'.  . . $ . . $ $)$ $'   $$ $) $'  &   3'$  - ) $'. '# R'$ $ . '& . . $ $ R'$ $. $ $'  '. . $ . P# . ')# . 'G  . #  +G ) $  8 ' $ $'  $ . '$ ' ' . '$ $' 375 . ..376 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. ^ ^ $ . $'$ )'4'. $ $' R. &  . . $ )&  + ''$  #'. &.  & . & '$ '$ /   .  '. . ' $   G /   ' $ . '  '$ / '$ $' ) $' G.  . #   '. . '¨&'P. 3 '. . $ . P# . ')# . 'G  . # $ $ #'. .    '$ .  )'P. $  .  '. . '' ' / ''$ '$ #' . #  '$# . '.  3'$. /'O'$+$ & 3'  '$. ' . Q$   ''$ G ) ''$ 3' .  '.  + ''$  $  . ' ' ) $'' '$  6R) ' . '.    $ 3 ) . . ' $' . $' mente la instalación y el comisionado y todos los registros de soporte de la inspec. ') &  ) .  $ /' ) & . . $ $ + ABX?B # T$'   .  & . ' 4. $'. )$ $ . '.   $  '$  . '). VALIDACIÓN DE SEGURIDAD DEL SIS O PRUEBAS DE ACEPTACIÓN /H}Žƒ}:–¢H**Hk„ +&Q$'  ' .4. ''  13. '66 '  $ 4'. . ')& /3 $ $'$ '$ $ #' '$  ).  '' /.   . ''$ $  #'  . '  / .  3''$''.   . 'P. . '3''$#'    ' . '66 ' &  . $ . ' $ K6RL)$  $ '#       . $  ''$'$ $ ) $  3 '$'P.  3$ P'  '   & 6R ' 4 '$  . ').  '' '$ K66L  $ . /   $  . ' ' '$ 4'$  . '). $. ''  Esta funcionalidad debe demostrarse antes de que estén presentes los peligros identicados (por ejemplo antes del arranque de planta).   6R/& &'$# ). . $ $'$  $.  $ $ 9 )$9  Los siguientes ítems deben comprobarse durante la instalación del sistema y an$.    6R ^ ^ ^ R 9 $'$  . . $ $ R3'4. $'. ). & $'$  . . $ $ R3'$' ). & $'$  . . $ $ . FAT. comisionado y validación del SIS ^ ^ R3'. Instalación.  '. . '). & $'$  . . tamente. R$9 $'$  . . $ $ + 6R   '  $''    .  &' . '  '. . ' )  ) .    . 'P. . '  3''$  #'     #  3    $'.   3''$. '  $$  . $'' /&  /' ) &   'P. . ' $   7 ^ ^ ^ ^ M4 . $'' &  . $ . '&   . &7 . .  )O. ' M'4&   . &$  . $'' 7) &''    . &$  . $'' 7 'P. . ' '$    . &$  . $'' 7. ' '$ .  / ' /$4. '. ).  $.  3'& )8'' $ &   '' .  $ 'J/  ' . '$ ). 'P. . '/ . $ '  $ '$  . ''$ +$ ''& . . $   6(6  & &  . & . .  '$. . ' &'. $ 3''$ /).  '3 $$  & $ $$ $ &'. $   ''$ $   '. . '  . . ' / .  . . . '$ .  ' 3  encontrarse. En este punto del proyecto. es cuando se puede apreciar la importancia de tener  6(6.  ). '$$3 )  '   .  '&) P. '$66)6  $   ' . '. '$    . '. '. '  #' . '  $' $ $+ 3' $   . $''  $'. '. ' #'    # 3  '  . . $ $ )3 .  $ . '$  $  6 ' & . P.   . P 3 . '66$ .  3''$'J$ $$4 ' . 'K. ' ' L .  .  $ '$K. ' $ L 6'  ' & R/'. & $. ' . '  $.  ' . '+3' ' . '&' $   & R   # 3$   '. . '$9  &   $' . $' $)3$& . $  $ & R  . #' G'.  '$' & $9  '. . '. siempre y cuando se cumplan las condiciones indicadas ante- 377 .  $ de las pruebas SAT. 378 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. ' $  $ & R¨' & # )...   & .    ' . ' 6   $  . ' ' '$ 4 '$  . ').  '' ) $3$4$'#'$'P.  K $  3 $ L 6'' . 4'$  & R/   #   ' . '66/$ 3&  . 3' $  & ''. .  $   . ''$ $  #' K6L''. '     #'.  $  $P / 3 &    G ) $P '#   & .  $ '. ACTIVIDADES GENERALES  &  .1.4.'' P 13. $ . ' $  '   . P 3¨ ^ ^ ^ ^ ^ R3''$ 6(6 '  $ . 4O'$ R3' '$   .   '$. . ' &'. $ R3' '  $ #T  #' K '3L  6 ). ' .  3'6(6 R  .  $ . ' '. '. ' #'  $.  $    ' . '& '   $  $ . ' . )3' . ' /'. )7 ^ ^ ^ ^ G  . '  '. ). '# ' ) Q$ #  3/ $ $'. /  / ' $ $'. / . '  (  /' / $' '$)& '  '. '    & $''&/Q /. '. ''$'P.     '''# +.   &$''  '$ . 3   # 3.  $ '# $$  '. . ')&   .  6¨$ '$ . 3 $ &   6(6/ 3 )3. P 3$3''$ 6(6 '  $ . 4O'$ $ & 6R )3$.  $$3 #3  '  & .  '' )3'. & . &$R # *'.  $'& $ '$ $  8 ' 66 R  .  $  O'$ $   &  6R/ $ $ $'   . '$)&P  $'P. G& . $ . ' &'. K6RLK4 4'. +: $'P. 6R&   - + ABX?DL 13. INSPECCIONES DE LA INSTALACIÓN $  .4.2. &.  3'&  . ' /3' '. . '. '  3''$  ) .  $ . '). $  . P 3 . comisionado y validación del SIS '$ .FAT. Instalación. '. '.  6(6/ 3') '$. . 'nes de instalación. +  $'.  /  & . P   6  3' '$    '. . '    .  $ . '). $'P.   . $'P. 33' ''$  .      '. . '3' )' ' 'P. . '6.   . ' . ' '$ . ') $' '$&$   /' /'. )$ . ' '$& ''. '$  pruebas. +' $ $. P 3$.  $'$  $#  '$ . $ )  ' $ / '$   ) . . $  . . $ $[  3 3 )  ' T '#'P. $'. 3 3' $/.  T33'$/ J'  $ $'$ '$'K $ . PRUEBAS OPERACIONALES  &  .4.3.L 13. ' .  '   . P  . ' ' .  '#'$& &  .   SIF tanto en operación normal como en condiciones anormales. &  . P 3 . ' #'  . . $ $$ ).  ''.  6(67 ^ ^ ^ ^ ^ ^ ^ ^ ^ Comprobar la operación de los instrumentos de campo tales como entradas . K'. )$.   $L/3$' $. $ . . $ $)3'$ $ .  &  #'. # de medida adecuados. /Q 3  . '$$  ) '  . . $ )3Q. $  .   $ . . S'P.' '  'so. 3  . . ') ' . /'. ).   $/. ' . . $ $ P 366 $  .   ' . '$ $#P. .   en anunciadores.  & 3 . '    .   $  & 3& '  $' '$  .   $K'. ) #  . ' . ' '   . 'L  & 3        .   $  & 3& '  3  .   $  & 3$ $66.  .  $''' .  $  .    3' $   4'   '. ' K Q / $. '  4. $'. / '/ ]' ''. / $. L ) . P  3 .   '.  '. '    $   /   . ' '$ $    #'   $   379 . 380 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO... ^ ^ ^ ^ P 3.  $. $  ) '. . $    ' &. KQ /  #L/  . &  acciones correctas (incluyendo la degradación del modo de operación). # 366.  '.  .   $K.  3' L.  '$ &'. . $. . .  3'$'$ 3 lo necesite P 3 $ 6'$ <'.  $G.  .  3'$'$ . . $ . . $ &  adecuada operación del SIS. P  ' ' . $ #4$'. K+ L  '   +# /3'&  . '    # 3$9 ' . '# 3''$#'  $. '. ' 66  . '#  /'Q. $ . ' ' $9 3' $ ) P' . 'P. . 'K34 . )34&  . / '$ &'434 . )34&  . L "[[/Ž}:Ž¢H/+ $:$++kŽ 6. '$  .  & ' '$  . P 3 6. ' . . $ $'3 .  .  . '$'' '$P'/)  $4 ' ' . $ $'  6&  . & '#'$&   . P 3 6$ & Q  . . $ $#TP' 6(67 ^ ^ ^ ^ P $' $    .  $ #' K$' $$   $. $  ) '   . . '&  3$'   3.  $'#L  & 3. . 3 . 66. . $ S'P. $' $   . . '66 *  . ' O . $'$    '  .    $     ' . '/ $. '$ $   $ . '&. '&   $ .  &$ $ ). # '. $' & '      '. . '6'$ . '& . ' . $'&/&$'' ).  $   4$ $ $' "['+‰Ž:$H*}:–¢H* 6& '#  .  $$   . $ )P  &  P )   &'' ''' . $'.    #  . '  . $ &   . ' .  $ . '*'. #'$$7 ^ ^ S'  ' . '66$''  . ' '$ $    #'  & Q &  K ''L/ .   J   . FAT. comisionado y validación del SIS ^ ^ ^ ^ ^ ^ ^  . Instalación. ' . P.  3''$'$'P.  $  'P. . '  ' . '66 % '$ )3'$'' /Q$.  $. '& . ' ($ .  &  S' . 'P. . '& $''   Criterio de aceptación de las pruebas de integración. S'$ $ 9 ). +. $9 663 &  Discrepancia entre los resultados esperados y los reales. 3#' '.  . ' / ''3 '     '. $' & .  & '. '$ &   ' . '  'P. ción.  & . ' .  $  $ 3 ) .  $   $# ). 4O'$$  / ) $  $  .  $ . ' ) ) . . '$  '') & . '.  '  "[_$+*/:}H/+H*    . '.  . ' $$  ) / ''  $  . ''&'. $'T   ' . ''. '$   ' . '   'P. . ')    $' . '. ' / & $$   ' . '#'  +$ . ''&$  $ .  .  $. ' ) . '$4. '.  .   ) )  '$ #$'. &' .   G  '$ '. . . ' . .  O'$. ' '.  . '  &  K'    L/&$. '$' 8 $ &. '  ' ción y es importante documentar claramente las tolerancias en las medidas de proceso )$' $ GQ /'' .  XE& #/. '$' . $ &  $ &. XEÕEEH& # Q3 $XE& # . $  . 'P. . '/.  3'$ & Q'.  $'.  '  detectadas durante la SAT debe ser registrado en una lista. Cada ítem debe categori .  '#7 ^ ^ ^ ^ ^ +' '  . $/. $' 6R4 . $'P. . ' (. $'P. *& 'P.  $6R Debe repetirse SAT. 46R/ $3'$ '$# # '. ' R $ $ $ & Q 3 & . $'P.  K Q    'P. . ' controlada durante la operación)   6R  . '  .  $  .     )  &   $' . $' $ $    . ' .  '   .  .   . ' '$ ) . 'P. . ' ' 6R/. O. . ' 3 3 $ .   .  '$ $ '$ 381 . ..382 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. "[-}:^}–*kHH:/H $66'. '&  . & '#'$ . $'' 7 ^ ^ ^ ^ ^ R   . $'' '$  . '/.  '' )6R . . ' R  . '& ' $ '. '  R ' '$. )  & ' . .   '. '3'    $  .  R3') $'   &  3'$  R K$  / ' )J $    $ . P. /)   ' $ 9 $9 L&' ' )/' '. /$ '   J $ &'4&' '  +$ .  & . ' . ' &  . &. Q$.   .  & . '. ' '$).  $ . '$   . '   #'  . '  K6L    #  3  '$    .      ) '.  3'  "[W}:–¢H*$+kª:H/+ }HkH 6'663''$ . $'$ K$'. $<G 6L/$. & '  & '$# . ' $ K6RL  & 6R '   &  .  &' . ' '$  ''$3&.  &'   &$ . ' '     P . $). $+$ #  3 &'$ .  .  . ' Q$   .  $ PQ  P . $  & 6R&'. $. '$& .  '. . ''$ . . ' $'$ #' )&'$    # 3. ' . . $$  .tamente juntos. $'' /&  /' ) &   'P. . ' $   7 ^ ^ ^ ^ ^ M4 . $'' & '$# . '&   . &: . .  )O. ' M'4&   . &$  . $'' 7) &''     . &$  . $'' 7 'P. . ' '$    . &$  . $'' 7. ' '$ .  / ' /$4. '. ).   .  $ )$ .  $   '$# . '&  . &. .  . ' .  '$. . '  &'. $3''$ K $'.  .  $'. . '    6#' L )   .  ' 3  $ $    $4 $ $ $ &'. $'$  '$#    ''$ $   . FAT. Instalación. comisionado y validación del SIS &$ . ' '   / .     ' . . . '$  .  ' 3 . $  +4'.  :'$ & 6R)4'. : $'P. 6R$ .  $ . $' $$'. listas de chequeo y de certicados de pruebas/&    + ABX?D "'‘H–H/+ $H*ª–:+$H$‰–/+ŽH + ADHDD:D3'3   . &   . ' #'  . ' K6L $3$'#'$'P. . '4  '$  . '/. . ') ' . ' N    . '    #'  . '  K6L    '$'# . '/ &    '. ' /  Q#  #' . '  .     .   protección. +   . ' #' . '  $  $   $ 3'$ '$ $ #' .  3''$ $'  .   ' &  .''$ $  #' ) ''$#'  #'  (SIL). &6 $3'#'$'P. $4$/Q 4 ) .  $  '$  . '/: .  '' ) ' . 'P '$ '$ $ #' )4 3 )   . ' '$ . ') $' '$    . ' #' . ' &   . &3'/ 3$#  ' &  . . . ' '$). $)3'/  .   &Q$' '. ' K  $. '#.  '3 #3. & $ $)3. . $ $L * . . + :ADHDD:B  $ HBAD@/   . '. ' . $   $  X ' . $ $''#' '    $  . KG66(L $3$4$'#'$'P. /$   . '&. P 37 ^ ^ ^ ^ ^ 6  '    . ''#)'# 6 '  $ $ .   . '#'    . ' '#)'#3  '. & '$ '$ $ #ridad. 6 . $ . ' '$. &''J). 6 $ .$)  sido aplicados correctamente.   . '3 ) #'   . ' 6#' . ' ' /' O'$' +'$ '$ $ #' $'J /. $''$    . .  . 'P. . '3''$#' / &'' '$'P.  )$ .  3' '. '  383 . . ^ ^ ^ ^ 6  ' .384 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. ' '$ $' '$. '$  sistema instrumentado de seguridad.   'P. . '  ' . ''$ '$ $ #'  '  ) .  $   . $''  ' . ' 6 .  $   . '  ) . ' ' . 6 '.' '  &'$ '$ $ #'    de mantenimiento y operación.  )$ $#'    '   . ' '. ' #' . '  $$  . $'' /&  /' ) &   'P. . ' $   7 ^ ^ ^ ^ ^ M4 . $''   . ' #' . ' &    . &7 . . )O. ' M'4&   . &$  . $'' 7) &''    . &$  . $'' 7 'P. . ' '$     . &$  . $'' 7. ' '$ .  / ' /$4. '. ).   .  $ )$ .  $  Antes del inicio de la operación y la introducción de materiales peligrosos. los re#'$$    . ' #' . ' &$ .  tos y las conclusiones acordadas con los responsables de la gestión de la seguridad . '   66 + 4'.  % : '$    & . '      . '    #'  . '  .  . '  '$ .  & . '$'.    . 6 "_H}¦$+/* +$.  $'. )'#'$4'. 7 ^ ^ ^ ^ ^ ^ ^ ^ 4'. D›  & . ' .  $ . ' 4'. B›  & . ''$ ' 4'. X›. . ' . '.  4'. @›. . '. & ). O'  4'. H›G& $  . ). 4'.'# 'tema. A›G& '$     4'. >›  & . '  . ' )' #$'.  9  4'. ?›S' ' . ') . ' . Instalación. comisionado y validación del SIS ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ 4'.FAT. =›  & . '. '  4'. DE›. '.  Q )  . ' 4'. DD›$# . '&'$  4'. <›'$ .  & . '6R 4'.  ›'$ .  & . '6R 4'. *› $'P. R 4'. +› $'P. 6R 4'. › $'P. 6R 4'. › $'P.  . $ . ''$  4'. %›'$ .  & . '   . '.  '#'$$ .'  #ridad. ' '.  $4'. 7 ^ ^ ^ G  . $ &    NA = no aplica. *&$''  '  &   . $  .  & . '  3$  '. . $K    .  & . '.  $  ''..4O'$LGQ plo. . $K    .  & . '.  4O'$L&$''  '#'$ . : y poner las iniciales del probador así .   .  & O'   $ & ) $ . . $  .  ' K L&#'$  '$ '$)& $3'$ #  . Estas listas de comprobación deben ser tan completas . +# /$ '$  comprobación son unas guías.   '&/'. ) '$ $   $ 3&'P. 8.  & $.  $ '$.  . '   R &  D  DD$'J     & R/. 385 . $las se podrían usar para el comisionado y para las pruebas SAT. 386 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. H}¦$+/H"¬/Ž}:Ž¢H/+ $H$Ž/–kH/+  G'$7 ^ (' $...  $R $ *.  $. preciso y aprobado. precisos y aprobados.' 7 ^ Ninguno =k ACTIVIDADES RESULTADO DE LAS PRUEBAS 1 La especicación de requisitos de seguridad (SRS) está completa. P [_] F [_] NA [_] 3 La lista de entradas/salidas comunicadas está completa. precisos y aprobados. P [_] F [_] NA [_] … n Completar para cada documento. P [_] F [_] NA [_] 2 La lista de entradas/salidas del SIS está completa. precisos y aprobados. precisa y aprobada. P [_] F [_] NA [_] 8 Manuales de seguridad de los equipos están completos. precisos y aprobados. precisa y aprobada. Documento “………………. P [_] F [_] NA [_] 5 Descripciones de enclavamientos y matriz causa/efecto están completos. P [_] F [_] NA [_] 7 Esquemácos de operación están completos. /%. precisa y aprobada..” está completo. precisos y aprobados. P [_] F [_] NA [_] 4 Diagramas de cableado y cajas están completos. P [_] F [_] NA [_] 6 Diagramas lógicos están completos. <  %. ƒ<. „ /%. <  %. ƒ‰.  „ … P [_] F [_] NA [_] ‰˜ NOTAS . Instalación.FAT. comisionado y validación del SIS H}¦$+/H¬/Ž}:Ž¢H/+ $+‘kH:+Ž*$H:$•H:ž SOFTWARE DEL SIS G'$7 ^ S'P. 3  3'$. $  9 /. $' /' '/'$ /$. /$ . . .  $ $ & . 3  '. . ' $9 /$).  '& *.  $. ' 7 ^ G  &  9  ^ W. P [_] F [_] NA [_] 3 Conrmar que los repuestos. consumibles y herramientas apropiadas están disponibles. P [_] F [_] NA [_] /%. P [_] F [_] NA [_] 2 Chequear que la versión de soware y licencias son las correctas (incluyendo  rmrmware).   =k ACTIVIDADES RESULTADO DE LAS PRUEBAS 1 Chequear candad y calidad de hardware suministrado. <  %. ƒ<. „ /%. <  %. ƒ‰.  „ NOTAS ‰˜ H}¦$+/H¬+*}//+ /+/H G'$7 ^ . . '   3'$. $  9 )$  . $ . mentos aprobados. *.  $. ' 7 ^ G  &  9  ^ +. 'P. . '). $ ^ '#)$  '. & =k ACTIVIDADES RESULTADO DE LAS PRUEBAS 1 Cable de entrada. P [_] F [_] NA [_] NOTAS 387 . prensaestopas. barra de soporte y accesorios (abrazaderas de cables. etc. nombre de cables y señales. P [_] F [_] NA [_] 2 Equetado.). P [_] F [_] NA [_] 3 Montaje de componentes y módulos. .. P [_] F [_] NA [_] 8 Reserva disponible y capacidad de reserva. P [_] F [_] NA [_] /%. =k ACTIVIDADES RESULTADO DE LAS PRUEBAS 4 Conexiones atornilladas. P [_] F [_] NA [_] 5 Conexión a erra. conexión equipotencial. P [_] F [_] NA [_] 7 Mantenibilidad de venladores de cabina. construcción de las cabinas. equetado de avisos. P [_] F [_] NA [_] 6 Protección a las descargas eléctricas.388 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. terminación de las conexiones. <  %. ƒ<. „ /%. <  %. ƒ‰.  „ NOTAS ‰˜ H}¦$+/H[¬+*}//+ $/H¢H$Žž/Ž®+ŽH$Ž G'$7 ^ S'P. 3. & $ . .   $    . 'P. . '). $/.  $ 9  & )  &'. . ' .  . $ '$'  *.  $. ' 7 ^ G  &  9  ^ +. 'P. . '). $ ^ '#)$  '. voltajes. P [_] F [_] NA [_] 3 Nombres. P [_] F [_] NA [_] /%. P [_] F [_] NA [_] 8 Entradas/salidas cableadas a bornas. equetado. seguridad intrínseca. cableado de circuitos internos. & =k ACTIVIDADES RESULTADO DE LAS PRUEBAS 1 Cables y cableado. P [_] F [_] NA [_] 2 Fusibles. interruptores diferenciales. P [_] F [_] NA [_] 10 Pruebas de aislamiento de tensión del sistema. cruces de cables. P [_] F [_] NA [_] 9 Orientación del enchufe del sistema. P [_] F [_] NA [_] 4 Segregación de líneas. colores. <  %. ƒ<. „ /%. <  %. ƒ‰.  „ ‰˜ NOTAS . Instalación.FAT. comisionado y validación del SIS H}¦$+/H'q}:–¢H$}–*kHH:/Hž$‰–/+Ž*ª:H* $*+*kH G'$7 ^ S'P. 3'$ $'& $  . /.   $'). ' . . $ . #   &'P. 3'$ $ $ '$  *.  $. ' 7 ^ *.  $ . ' $. $ ^ ' '$. P. P [_] F [_] NA [_] 5 Tiempo de actualización del valor. P [_] F [_] NA [_] 6 Carga del sistema (capacidad de memoria. P [_] F [_] NA [_] 7 Estrategia de comienzo de sesión y niveles de acceso. capacidad de historización. P [_] F [_] NA [_] 2 Cambios en línea. P [_] F [_] NA [_] 8 Estrategia de procesamiento y reconocimiento de alarmas. P [_] F [_] NA [_] 4 Tiempo de carga del gráco. P [_] F [_] NA [_] /%.'$  =k ACTIVIDADES RESULTADOS DE LAS PRUEBAS 1 Nuevo arranque (parar/arrancar). P [_] F [_] NA [_] 3 Tiempo de ciclo del controlador. etc.). <  %. ƒ<. „ /%. <  %. ƒ‰.  „ NOTAS ‰˜ H}¦$+/H_¬}:–¢H$*+*kH$HH:H G'$7 ^ S'P. 3  $' '$  . '      del sistema y de las cabinas aparecen en el sistema. *.  $. ' 7 ^ *.  $ . ' $. P [_] F [_] NA [_] 3 Venladores. P [_] F [_] NA [_] 4 Comunicación y monitorización de red. P [_] F [_] NA [_] 2 Fusible. ACTIVIDADES RESULTADO DE LAS PRUEBAS 1 Fallo de suministro de energía. monitorización de rotura. P [_] F [_] NA [_] =k NOTAS 389 .$ ^ Lista de mensajes de alarma. fuera de rango o falta a erra. P [_] F [_] NA [_] 6 Perro guardián y otros diagnóscos. P [_] F [_] NA [_] /%. =k ACTIVIDADES RESULTADO DE LAS PRUEBAS 5 Cortocircuito..390 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. rotura de cable. <  %. ƒ<. „ /%. <  %. ƒ‰.  „ NOTAS ‰˜ H}¦$+/H-¬/Ž}:Ž¢H/+ $H:$–$H/+Hž$+Hª *k+/Ž* DEL HARDWARE G'$7 ^ #  . . $  . ') '$' . '. *. $dantes.  $. ' 7 ^ *.  $ . ' $. P [_] F [_] NA [_] 6 Monitorización y operación redundante de todos los elementos redundantes no mencionados antes. P [_] F [_] NA [_] /%. P [_] F [_] NA [_] 3 Monitorización y operación redundante de fuentes de alimentación. P [_] F [_] NA [_] 5 Monitorización y operación redundante de entradas/salidas. P [_] F [_] NA [_] 2 Monitorización y operación redundante de comunicaciones y redes.$ =k ACTIVIDADES RESULTADO DE LAS PRUEBAS 1 Monitorización y operación redundante de controladores. P [_] F [_] NA [_] 4 Monitorización y operación redundante de estaciones de operación. <  %. ƒ<. „ /%. <  %. ƒ‰.  „ ‰˜ Nota: T'.  & . $    . ''$ $$  NOTAS . Instalación. comisionado y validación del SIS H}¦$+/HW¬‘+*–H+¯H/+ žŽ}:H/+  G'$7 ^ S'P.FAT.  . ' ' #P. $ ) '. . ' . .  . ' .  . 'P. . ' *.  $. ' 7 ^ *.  $ . ' $. $ ^ +&'$ $ $ . '#P. transiciones y jerarquía).  =k ACTIVIDADES RESULTADO DE LAS PRUEBAS 1 Color de fondo y cambios de color. forma y color). P [_] F [_] NA [_] 3 Texto estáco (tamaño. P [_] F [_] NA [_] 4 Organización (saltos. P [_] F [_] NA [_] 2 Símbolos (tamaño. lenguaje y color). P [_] F [_] NA [_] /%. <  %. ƒ<. „ /%. <  %. ƒ‰.  „ NOTAS ‰˜ Nota: $$ $'. $  $  $$$'. #P.   $' '. &   $ .  . '. P# . ' H}¦$+/H¨¬/Ž}:Ž¢H/+ ‰–/+ŽH G'$7 ^ S'P.  . ' ' '$  .  .  $  *.  $. ' 7 ^ *.  $ . ' $). $Q 7 ^ -  $' . /. $)#'  ^ *. '$'.   '$ ^ *' # .  ). $K ¡+L ^ *' # . ' &3K<*L ^ *' # #'. .   '$ ^ . ':P' $'. 8 $'  =k 1 2 ACTIVIDADES Idencación y equetado de lazo/función. RESULTADO DE LAS PRUEBAS P [_] F [_] NA [_] P [_] F [_] NA [_] NOTAS 391 . Pruebas entrada/salidas hasta el gráco. historización (internas y externas). Comprobar baipases de operación para el arranque. Comprobar funcionalidad de alarma con prioridad de indicación correcta.. grácos y actualización de señales en grácos y carátulas..392 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. Comprobar acción individual cuando el baipás de mantenimiento está habilitado. /%. Operaciones con variables. =k 3 5 7 8 9 10 11 12 13 14 15 16 ACTIVIDADES Comprobar funcionalidad de disparos y enclavamientos. Comprobar acción de degradación ante detección de fallos. tendencias. Comprobar acción de degradación de la votación cuando el baipás de mantenimiento está habilitado. Comprobar acción manual. Comprobar acciones frente a perdidas de energía. Comprobar la acción de rearme. Comprobar mensajes. Comprobar acción individual ante detección de fallos. <  %. ƒ<. „ /%. <  %. ƒ‰.  „ RESULTADO DE LAS PRUEBAS NOTAS P [_] F [_] NA [_] P [_] F [_] NA [_] P [_] F [_] NA [_] P [_] F [_] NA [_] P [_] F [_] NA [_] P [_] F [_] NA [_] P [_] F [_] NA [_] P [_] F [_] NA [_] P [_] F [_] NA [_] P [_] F [_] NA [_] P [_] F [_] NA [_] P [_] F [_] NA [_] ‰˜ Nota:  . . . &$  & &.   $P'  & /Q DEEµ/'P. . '$ /$. . Es recomendado que se realicen para todas las SIF pruebas al 100 . H}¦$+/H"#¬‰–/+Ž*/Ž}£H*žŽ$Ž*$Ž}:H/+  G'$7 ^ S'P.  . ' ' '$  .  .  $ dos. *.  $. ' 7 *.  $ . ' $). $Q 7 ^ -  $' . /. $)#'  : *. '$'.   '$ : *' # .  ). $K ¡+L . FAT. Instalación. comisionado y validación del SIS : : : =k 1 2 3 4 *' # . ' &3K<*L *' # #'. .   '$ . 'P' $'. Comprobar mensajes. grácos y actualización de señales en grácos y carátulas. en los disntos modos de operación. Comprobar funcionalidad de alarma con indicación de prioridad correcta. /%. Comprobar cualquier cálculo realizado por el SIS. de parada. etc.8 $'  ACTIVIDADES Comprobar funcionalidad de arranque. <  %. ƒ<. „ /%. <  %. ƒ‰.  „ RESULTADO DE PRUEBAS NOTAS P [_] F [_] NA [_] P [_] F [_] NA [_] P [_] F [_] NA [_] P [_] F [_] NA [_] ‰˜ Nota7.  Q$'. . '   3 /.  /$.  H}¦$+/H""¬+kª:H/+ $*–¢*+*kH* G'$7 ^ S'P.  '$ $'' '$ . '  *.  $. ' 7 ^ +$  8 ' J  $ ^ ( $<*/ ¡+$. 2 3 4 /%. =k ACTIVIDADES 1 Comprobar funcionalidad deseada. historización (internas y externas). Comprobar mensajes. Comprobar funcionalidad de alarma con indicación de prioridad correcta. grácos y actualización de señales en grácos y carátulas. Operaciones con variables. tendencias. <  %. ƒ<. „ /%. <  %. ƒ‰.  „ RESULTADO DE PRUEBAS P [_] F [_] NA [_] NOTAS P [_] F [_] NA [_] P [_] F [_] NA [_] P [_] F [_] NA [_] ‰˜ Nota:   )  .  '. . ''K$8WL & & '  .  .  +86. &  $'. ' . ' . '. ' .  '. 393 . el tiempo de transmisión. por ejemplo. ción serie. 394 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO... H}¦$+/¢¬+*kH$/Ž}:Ž¢H/+ *Hk G'$7 ^ (' $$  $6R *.  $. ' 7 ^ *.  $ . ' '$  . ' ^ *.  $ . ''$  ^    ''$  ^   & RK' '. L ^  . ' '. . ' 7 :  . ' '.    8'$   $9 8P 9  : (''/ .  . $ ' . P [_] F [_] NA [_] 11 Integración de sbsistemas. P [_] F [_] NA [_] 5 Prueba de puesta en marcha y diagnóscos. P [_] F [_] NA [_] 9 Comprobación funcional. P [_] F [_] NA [_] 7 Comprobación de la redundancia y diagnóscos del hardware.'''& $9 8P 9  =k ACTIVIDADES RESULTADO DE LAS PRUEBAS 1 Comprobación de la documentación del sistema. P [_] F [_] NA [_] /%. P [_] F [_] NA [_] 3 Inspección mecánica. P [_] F [_] NA [_] 2 Comprobación de inventario hardware y soware. P [_] F [_] NA [_] 6 Prueba del sistema de alarmas. P [_] F [_] NA [_] 8 Visualización y operación. P [_] F [_] NA [_] 4 Inspección del cableado y del conexionado. P [_] F [_] NA [_] 10 Funciones complejas y modos de operación. <  %. ƒ<. „ /%. <  %. ƒ‰.  „ ‰˜ NOTAS . Instalación.FAT. comisionado y validación del SIS H}¦$+//¬+*kH$/Ž}:Ž¢H/+ *+k G'$7 ^ (' $$  $ & 6R *.  $. ' 7 ^ Documentación de la instalación. ^ *.  $ . ' &'. $'$  ^    ''$  ^  '$ .  & . '6R'$ &'$ 3$''$#  *  |j  . P [_] F [_] NA [_] 4 Vericar comunicaciones entre sistemas. conguración del soware. etc.). Ethernet. P [_] F [_] NA [_] 2 Conexión entre sistemas instalados correctamente (conexión serie. bra ópca.). etc. las señales de E/S entre sistemas funcionan correctamente. P [_] F [_] NA [_] 5 La visualización de subsistemas dentro del sistema está de acuerdo a la especicación P [_] F [_] NA [_] /%. P [_] F [_] NA [_] 3 Velocidad (baudios) para cada comunicación establecida (interrupciones del hardware.  ] Principal Subsistema =k ACTIVIDADES RESULTADO DE LAS PRUEBAS 1 Comprobación de la documentación del sistema. <  %. ƒ<. „ /%. <  %. ƒ‰.  „ ‰˜ NOTAS 395 . .396 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. H}¦$+/$¬/:k+‰+/H$Ž‰Hk +  '. $'P. . 'R#'$  $ ' . 'O'$   &  . $ . '&'. ) &''$   $ 66 ACEPTADO [_] NO ACEPTADO [_] / ] }  }.  }. ³ –  *  j .  FAT ‰˜ %  /  ƒ<. „ /  ƒ‰.  „ ‰˜ Vendedor ƒ<. „ Vendedor ƒ‰.  „ ‰˜ ˜ %j % [_]  . ! !.  %. < .  %j % [_] *    % . !>[_]  ]   %j %     [_]  . %. < [_] . Instalación.FAT. comisionado y validación del SIS H}¦$+/¬/:k+‰+/H$Ž*Hk +  '. $'P. . '6R#'$  $ ' . 'O'$   &  . $ . ' $ ) &''$  #' & 6R   & 6RK'33'& '$# . 'L    . '  #' . '  $  . ' ACEPTADO [_] NO ACEPTADO [_] / ] }  }.  }. ³ –  *  j . *Hk ‰˜ %  /  ƒ<. „ /  ƒ‰.  „ ‰˜ Vendedor ƒ<. „ Vendedor ƒ‰.  „ ‰˜ ˜ %j % [_] /j .  .  .  [_]  ]   %j %     [_] /j . .  .  [_] 397 . 398 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. H}¦$+/‰¬/:k+‰+/H$Ž*+k +  '... $'P. . '6R#'$  $ ' . 'O'$   & '$# . ' $ ) &''$  #' & 6R     . ' #' . '  $  . ' ACEPTADO [_] NO ACEPTADO [_] /  }  }.  ³}.  –  *  *j<   *j<   j .  *+k ‰˜ %  /  ƒ<. „ /  ƒ‰.  „ ‰˜ Vendedor ƒ<. „ Vendedor ƒ‰.  „ ‰˜ ˜ %j % [_]   %j %      [_] /j .  .  .  [_]  ] /j . .  .  [_] . FAT. Instalación. comisionado y validación del SIS H}¦$+/ª¬/:k+‰+/H$Ž$H/}kH/+ $*+*kH +  '. $'P. . ' . $ . ''$ #'$   $ ' . 'O'$  &  . $ . ' &'. K' '. L/ &  de aceptación en planta y de las pruebas de integración en planta (si aplica) y se usa    .  $ . '  '$  . '$   '$'  P ' . '   . ' #' . ' K6L $  . ' ACEPTADO [_] NO ACEPTADO [_] /  /  }.  }.  –  *  *j<   *j<   j . ‰Hk ‰˜ j . *Hk ‰˜ j . SAT Y SIT DE ACUERDO A LA ESPECIFICACIÓN /  ƒ<.*+k ‰˜ EL ABAJO FIRMANTE CONFIRMA QUE EL SISTEMA DE AUTOMATIZACION HA PASADO FAT. „ /  ƒ‰.  „ ‰˜ Vendedor ƒ<. „ Vendedor ƒ‰.  „ ‰˜ ˜ %j % [_]   %j %     [_] /j .  .  .  [_] /j . .  .  [_]  ] 399 . . H}¦$+/¬+*kH$/Ž}:Ž¢H/+ $H‘H–H/+ $H SEGURIDAD FUNCIONAL G'$7 ^ P )#'$   ..400 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. $''  . '  .  $.  $     . ' #' . ' K  3L *.  $. ' 7 ^ +. 'P. . '3''$#' K6(6L ^ G &  ^ G. ' '$ ^  . ''$  H!  : j    }. P [_] F [_] NA [_] 3 El procedimiento de cambio existe y ha sido correctamente implementado. Cualquier diferencia ha sido idencada y resuelta. P [_] F [_] NA [_] 2 Las recomendaciones surgidas en la evaluación de peligros y riesgos se han implementado o resuelto. Cualquier diferencia ha sido idencada y resuelta. P [_] F [_] NA [_] 8 Los procedimientos de operación y emergencia para el sistema instrumentado de seguridad son correctos. Cualquier diferencia ha sido idencada y resuelta. P [_] F [_] NA [_] 4 Las recomendaciones surgidas en la evaluación de la seguridad funcional han sido resueltas.j< 1 La evaluación de peligros y riesgos se ha llevado a cabo. P [_] F [_] NA [_] 7 El sistema instrumentado de seguridad está instalado de acuerdo a la especicación de los requisitos de seguridad (SRS). P [_] F [_] NA [_] 6 El Sistema Instrumentado de seguridad está construido de acuerdo a la especicación de los requisitos de seguridad (SRS). P [_] F [_] NA [_] >  . P [_] F [_] NA [_] 5 El sistema instrumentado de seguridad está diseñado de acuerdo a la Especicación de los requisitos de seguridad (SRS). Instalación.FAT. comisionado y validación del SIS H!  : j    }. P [_] F [_] NA [_] 10 La planicación de la validación es apropiada y las acvidades de validación se han completado P [_] F [_] NA [_] 11 El entrenamiento de los empleados se ha completado y se ha suministrado al personal de mantenimiento y operación la información apropiada sobre el sistema instrumentado de seguridad. P [_] F [_] NA [_] 12 Existen planes o estrategias para implementar ulteriores evaluaciones de la seguridad funcional.j< 9 Los procedimientos de mantenimiento y pruebas para el sistema instrumentado de seguridad son correctos. P [_] F [_] NA [_] > /%. <  %. ƒ<. „ /%. <  %. ƒ‰. desde los elementos iniciadores a los elementos nales. sasface en todos los puntos la especicación de los requisitos relavos a la seguridad (SRS). después de la instalación y antes de que estén presentes los peligros idencados. Las pruebas FAT es la culminación de la etapa de diseño y la validación del diseño es la primera etapa de la fase deoperación del ciclo devida de seguridad. 401 . „  ‰˜ PARA NO OLVIDAR     Las pruebas de aceptación en fabrica (FAT) consisten en probar el hardware del PLC y el soware asociado para idencar y corregir errores a un mínimo coste. Una prueba por separado de la unidad lógica y de los elementos de campo no es igual a una prueba funcional completa de una SIF. La validación del SIS consiste en la acvidad de demostrar que las funciones instrumentadas de seguridad (SIFs) y el sistema instrumentado de seguridad (SIS) en cuesón. /Ž*£Ž*}:/k+/Ž*     Realice siempre unas buenas pruebas FAT del SIS: hardware del PLC y soware asociado. . Realice siempre una prueba funcional completa de cada SIF.402 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. desde los elementos iniciadores a los elementos nales. validando todas sus SIF frente al SRS. Verique que la versión de la aplicación instalada es idénca a la versión probada en pruebas FAT.. Valide el SIS después de la instalación. antes del arranque de la planta y por tanto antes de que estén presentes los peligros idencados en el SRS de cada SIF.. Hk++kŽž®}ŽkH/+ $*+* 14 Carlos Javier Gasco Lallave SUMARIO: +. j €}.  |j\   .    %. j<       ‚   <    . !    %. j<        : % <     %. j<  %.       k% %. j< ]´^ ^  ’%   %.   %. Consejos práccos.1. 14.  *+* Para no olvidar. INTRODUCCIÓN $  $ 'J/ '$  . '/.  '' )'$& &'. ) $ KR)6RL  ' . 4O'$ %   '    &  $'$ $    $   . ¨   .  & )'P.  . . '.  $/. 3 . .     '$ 3'$. $  ) #'.   $ . '  .   6 3' G . 3'$ P &)&$3 . 'P. . ''. '$ & R &'4  'P. 3 '$  . '$.  $$ .    $3'J .  '. 3''$O'#'&.  $  . O'  . ) &'' +$9  ' )'  /) )'&'' ' 3 ) . $     .  ''   ' $' ) ' #T #  $  . )  ' $  'P. . ' /&     $  J /.  &  . . $ . O'$.  $   %   '  O'$ $    ' . '  .   . '  $ '$ K-686:?@EEED:BEE@G $DK+ ADHDD:DL/.  DHL/.  K'          '&L .   . '. ' '#    . / '  '$ $'$ '$ $ #' ). 3 . . $. ' '$ )$'  G  . ' 3 $  . $$ .   $  )   .    .  $  . $ '$  . 'ÖR & Q . ×Ö. ' / T -W  $ ' × *& .  3$ . . $'/$ $ . '.  ' 3$ ' .   66/. '/.  /  3 / . '$  )3    8. '8. . $/ 8 8 G$ $/Ö$66  .  3 . × . M'$ & Q '  $    ' $')..404 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO..  '. / 33 Q $  ' $ $3 . ) *&   ) $$66   $$''$#' . 3  .   $' "[€}Ž:–¦*Ž/*H:+H*H*}:–¢H*HŽ**+*kH*‚ (.  34$  . '. ' $  ' $ #P. &     + :ADHE?+ :ADHDDK'# D@D)D@BL ‰j. . "[" Ciclo de vida según IEC-61508. Mantenimiento y explotación del SIS ‰j. "[Ciclo de vida según IEC-61511. [.  ) '$ $H)DE3 . P.   '$ PK'# D@XL NDHµ . $' '#'P. $' 3& . ' /$ $ mos de preocuparnos en operar y mantener el SIS lo mejor posible. S .    .  *P'. ' #T+ :ADHDD:Dproof test7“Pruebas realizadas para detectar fallos ocultos en el sistema instrumentado de seguridad de tal manera que. el sistema pueda ser restaurado con la funcionalidad establecida en su diseño” . 405 . si es necesario. 406 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO... ‰j. G   . "[ Distribución de fallos del SIS.  ' #P. 4 '# D@@7 ‰j. (. "[[ Probabilidad de fallo en el empo.   .  . '    $DD/ 3''. &  3     '#  3    $. $  ' $   &  ''. K'# D@HL . Mantenimiento y explotación del SIS ‰j. (. "[' Tipo de Fallos.  3  $ . 4'$ & ''. & $ & Q  & Q   K   7+ :ADHDD7BEEB/G $D. . 'XB@XL7 UN  . . '. P. KQ . '  L$  .  $   . '. '. $ $   +.   '# . ''$ $  #' /'#$. ' .  .  .   . <G 6V El modo en continuo.. $ '/P3& $   . ' #'   34 . . ' '#$. ' / 3$  . . ' '. '   '+$. &$ . 4'$&  periódicas G  $&' . ' ']. '  &  $' '$)  . '. '. ' 66& .   # . La medición de la abilidadK  $3P  & &'' 4O'$ $'$ $'  /).$'])$ en la determinación del SIL. ) ' P  & &'' 4O'$/  /. ' . +'$   && P'$ &'4$'  '('.$3 '   $ ' 6L3 3'$  O'$ $ $'$ $'   ' RR (mean time to fail). 'RR(Kmean time to restore/3'$ $   '.   '$ $  /$RR( $'  '  $. $  K$'8BL $'  '   '    . 'K(RL7 RR( $'8B½(R 407 . 408 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. J   P'... '$   7R<KMean Time Between Failures) 3$'  '$ ).     3) Q'   $DD7 R< RR½RR( (.  3 $ &. '6/#T   '. $ $'/'#'$  'P. 3$ . '.   .   '$#' G  & . .   G* #'$    . '. P. /.   $'$  .  $ /$ ).  '  $D7 G* #6 G* #6½G* ##'. ½G* #+ $P  -$ &Q$'  $  $    . .     G* #  '$ / ' $   ' $ . '  3 $'   &  ''.     ' /     $    .  . '' 'P.  O'.   $DD   K. P# . 'DDL7 G &   . '' . '$  &  * '  /)  '$. P# . '$'. $  '# ) . $Å .  T7 H. |jj. 1oo2 2oo2 2oo3 }‰$ !«ƒ ‹ « %. |j     j  „ . Mantenimiento y explotación del SIS W& 3' O'$/.   ' /  . '' . R G$ $7 "[*kH¢/++kŽ$+k:‘HŽ$H*}:–¢H*HŽ* *+*kH*    '$/'$ '$ $ #' K66L.  '.  . '#' K6L'$$ .  . . ' )   $ &. '  'J/ &.  '  .  '.  '$#' K6L 3'    . ' G$ $/ $ '#' $ .  $ 3    . . ' $$)$'$$  '. /$3$ . '$  . por ejemplo en la necesidad de redundancia en sensores.$    ingeniería de los mismos. '.  Q    ' . ' & in-line o procedimientos de ' '$ '$  . '. P. /$.  . $ .  7  #' 3  . . '  . P# . ''$ .  $  . ' ) $P  $. #  ' / $ . ' ' )  . $ . ''$ $$ &'4$ '  +$  $ .  & . . $  . . '  '. . 'proof test#T3'  6 . ')  & 3&$ . mantenimiento y operación. $  disciplinas de diseño. *$   /& input3 . '&''$' '. / T$  $' $. $ '&. &'3 3'/ $ .  7 ^ ^ ^ &' . P# . 'K J ' . ' /. &'  #'. $ . J ' $  .'DB/BB/BX¶L J ' $'ush/drain.     #  . . ). 409 .$  tests. . *''$'. ^ ^ ^ ^ J ' $'&3& ' Necesidad de incorporar autodiagnósticos a los componentes.410 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. '  $' #$'.    .$'partial stroke para elementos P ¶ Etc. . ' '$  &   .  $66    .  6$ ' / . '. ').  . $$'. . & . '  /   .  . $$'. '  /.    .  $  $/#'. $ . '/ . ' / $' #$'. .  $/$.  GQ /'$   ''. '  $  . '. '.  K. '/'/. $. '  ' ' /. '$ ' $. '$  3Q  '$   . '    3. ' '. . $  -  $PQ '$ &  J$'. $ $'  $     #      ' / 3  . '. '  '$#'  $ 3'. '  +.  3'. /'$ &  &:  ''. $) Q$ & $ / . '  . ') .   . ' &'. $   #' '$ $. $ '#'P. 3$ . '$. $ '&& 3'.  ) '/$.   $  . '  . '/) 3 # 63'   . N . (pudiendo llegar a parada de planta). $3$''   . ''$ &  .  . ' .  $$. $  K $' #$'. L$ . $. & . ' 3' $ $ &3 ' .  . $. $ $ .  $/) 3  $. $   $ . $'.   '  G Q /   &$. . '    $   . O'  .     ' & ' )$. $  autodiagnóstico. para situaciones como la descrita podemos usar otro $'' #$'. Sin embargo. O$ .  $/Q .    . 'J   #'. '$$  ' $logic solver. +  Q 33 )3  $' $.  3'' #$'. . ' /. . ' .  . ' $. . '/  Q$'P.  . . ''$ &  Nota: '.  3''$#' 3'   . ' . 001 a 0.01 de 10 a 100 2 de 0.001 de 100 a 1000 3 de 0.0001 de 1000 a 10000 .1 a 0.01 a 0. '$ & &'' 7 SIL PFD RRF 1 de 0. Mantenimiento y explotación del SIS [3$ $/    $ &. periodo de pruebas asociado a un SIL $ ' /&$ $ &'4$'$ +$&'  . .  #3  7 GQ 7 G  '$ .  Q   $  $'/. ) .  . RESPONSABILIDAD DE LAS PRUEBAS Y LA OPERACIÓN $Ž**+*kH* [   .4.'G* # '#'$/)   '$#' 6:B$ 7 14.  $ 3&O'$'. $ '. ''  diseño. mantenimiento y operación    $ &. '$  &  +. '$P 3& ) $'$ /) # $  $3 . '#' $' $   $$ '  $' ) '$  $')&  )$' #T'J  .  ' .  '$#' 3'  -  $. .$ $'$ K'#' L3' '  plan de las actividades de operación y mantenimiento del SIS con apoyo del cliente.    .  $ /)&'. ''#'$7 ^ ^ ^ ^ ^ ^ ^ ^ ^ . $''    . ' )   *#  . $''  $' '$$'/& . ' les y rigurosas.  . ' '$/ '  ) $4. '.       $    . S'P.' ) mantenimiento. . '    ''   . ' '$   . G#   #$'    #'$   '$'P.' ) $'miento.  .   &    . &$  . $''  +3')  '$ 3'     . &  . $''  tenimiento.   / $ $)# ' . ' &$  . $''  +# .  . '$ . ').  $. ' 3' 3&   . &  . $''  . ')8 $' '$ (. ' . '' . ' . '  .  . P &'' .  $66 $   . ' 411 . 412 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. +$  planicación  ... ' '$ . ') $' '$)  &. ' 7 ^ ^ ^ ^ ^ '$  &   . &'. . ' 'tos. . . ')$'. . '3'   '$ '#)8. ' . . . ' $'# $ $' '$   . 'KQ /.  & . $ )34$. . ' $ $'  &'  $ .  '$ $'3$ ' & '     ' . '&  $' '$L  . '3& $'  '$   . G.' 3  & #'$  &  $     '$  ) pruebas. ' '$$   66/'. )7 : (''' #$'. )  . '#T  : G. ' '$    ' . '    . ' ) $' '$  &    . &  .  '  .   . ' '$ $' ) ) 3 #  $'  3  3' &     $$  . $'' $. '& )&$   &$ .  . '$  . ') . '66  +$ .  . '$ . '& # '#'$7 ^ ^ ^ ^ ^ ^ ^ ^ M.   . '66Ksets points de disparo y las acciones $ $3 ' '$ L '#. $ 366$$#'   . '$'$$)& Q34. '. $ . '  estos se deben usar.   . '.  3'$ . '   )  . $''   3  ). $ $ . '  & . $'  +O. $ $'   . $' . '    ' #$'. KQ / '  $ .   . $'        66L  .  . ' # . '. P# . '66 La aplicación de la lógica del SIS. +$' '$$ ) O'$$  . '  uso de SIS. +  . ') $' '$&.  . '$ #T 3'    $ J. ' 66K3')# L''#' '$#' G  /)' . ') &'' .   /& $ P $ '$. $'  Los procedimientos de prueba (proof testsL3'''/).  3'. & '#'&. &Q$  'grosos no detectados por el diagnóstico. Estos procedimientos escritos deben descri&'.    $  3  . &'. '7 . Mantenimiento y explotación del SIS ^ ^ ^   . '. . $ .  ) $P  La acción lógica correcta. Las alarmas e indicaciones correctas. R  P. '. ' $. $   $proof test se deben reparar de una ma # )$  .  66&'. . ' '  $   # 3 )  '  'P. . ' $'  )& #T$'KQ 7  $ . &'$ '$ $/ &   O'  /  &. . $ /$&UconduitsV$/$  .  $ / $  ' '$L -$ 7 Es posible que las frecuencias de las pruebas deban reevaluarse en función de diversos factores. la degradación del equipo y/o programas y la conabilidad de estos. entre ellos los datos históricos de las mismas. la experiencia de la planta. 6 & $ #'$ 3 . $'P3 3   &   '. . '   '   .  .   3'/ ) & '. '   '#'$ ' . ' .   ' 7 ^ ^ ^ ^ ^ *. '. '$ & Q '  . )#  ' . ' - &  '.    -T '$'$'P. T'. '$ & ¨$$/ T  /T '$'P. . $  & K.'/T 3'/T  de SIF.  . 'O  . '. 'Ø$ ) .  . $Ø)Ø$ ).  QØL "['k+}Ž*$}:–¢H*]OFF-LINE Y ON-LINE "['"}:–¢H*OFF-LINE +$$'&  '  '$ .  .  $# $ $'/$     ' $   . . '$'$  'P.   . '#' '.   $. +  .  T   '. . 'nes de seguridad. +&Q$'' ' $. $  '#  $' #: $'. /)'66 '. . $ $'J / ) $'.  & &3. $  3' '$&'. $ & $. '$ .  => -686:?@ED:D==A/ 3.  #'.  )   T'.  '   $$   . '&' $4. '.  ) . ' '$  P. . '  . . '     . &''& 3 $. '  $'#  '$  413 . .. R  .414 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. 'K6L66&$ . . $ $'$'P.  /  como todas las entradas. +. salidas y lógica asociada a cada una de ellas. ' '$. '$   '  & &. '&'. . '  $ .   '   ' /)&''. . .  '/$ $ $'  .   /  3$O'$ +3'.  '&'P.  y calibrado. "['"":|j.   %>& G    '    &    '$  . ' & $  &' $ '   ) '&  .   & &#  ' $ 4$. $'KQ /. # '$.  '$#L/.  $ $$ & &' '  ' $. $'   ' '$ . )& & '$'P.  $ & Q/' ''  $   Q 3$4 '.   .  &   ' '. '  #$. $/$ & & '  . '$ $ ' 3.   .  '$#' 3'    . '3 ' .  .  $ /)$  $& $  . '#' /)   . $  #  . ' . P# . ''J    $$' $'#' ' $  '# . ' $. . ' $ $'  3. &   ' . '#'  $  ' . ' &   #'. /&$$ $  .  $' '  /  $  3 $ .  $3Q# ' $ $  . '#' 3  /  &7 Sensores/Transmisores/Switches G  & $  $   . $  7 D  '.   '   K. $ & off-line). B '    $   . '. ''#  ' $$ '.  3' $/ X '    '   .    '$ .  '. . '  $4. '. #' &. 'P. '. ' '$/'preferente el orden indicadoN $ '   & &'P. . . $$     ' '$/.  ' / '/$/# /$. /$. y en cualquier caso deberán testearse con una frecuencia mayor que los transmisores. . pero no nos dará información del estado del proceso hasta ese momento. como lo puede hacer un transmisor vía señal analógica. -$ 7 Los switches disparan el lazo una vez se dé la condición insegura en el proceso (set point). Por ello es normal tender a evitarlos en este tipo de aplicaciones de seguridad. Mantenimiento y explotación del SIS +' $ $ $ 3& ' 8$  '89'$. /   'P.   . . $ $  ) . ' '$    . O'  . /   . O'4. $'. /. & $.      '  & / $. $ /. '& . '/'P. . 'set points/$. /'#'$  $ /.  'Q  $ $' Logic Solver ( '    &   $$/ 3 ' '.    $  '.   9  ' $ &'4. . $. ' '$.  . '  . ' ).  / $  . '/) )3  $. ' . $3. '  $$  '$. '#'  *& .  & '  '  . . ' $'.  . '#/'3 $ . $ $ #'. +$ '.  #'. &   '$ 4. $ . '. $ '/ $'. '$ . $'. # &   O'$  ' #'$  )  O$ $' ¾*R Kwatch dog timers). +$ &  $$  .    '  . . '  3  #'.   6 . $ & .  $ . '. '  . Center for Chemical Process Safety.” . “Guidelines for Safe Automation of Chemical/Petrochemical Processes.$7American Institute of Chemical Engineers. guideline series book. ' '$3#' . P. )3'7 ^ ^ ^ ^ *' #   Diagramas lógicos. +3 4. $'.  '$ . 3¶ La comunicación con nuestro logic solver  P$'.     $''$ .   &: 3' K%L. ' # . )3'.  . ' . ' $'  +$ . ''$  ' $ $'& / .  '. $ $ . '. ' ' ) .  & . . $. ' '$& . '.  ). K $P L +.  3'.  &3. 3 )'P. . '# . $.   internos para la calibración y los límites de los rangos mediante manipulación de los  $  ) ' % &3.  & ).      ' el sensor y el de lectura en el logic solver con un medidor certicado y ajustarlo al ' .  '. ' .  ) Bµ # ' S    $ #Q  Elementos nales <'. $$ $  &').     )  .  $  ''' / # . ' $' $.    #  . . $. ' '$ 415 . ..416 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. . . '$'. 3$ 3 '   7 ^ ^ ^ ^ # . 3 .  $ '$  ' $ .  ¨ $'  $ ). 'K3  J  $ 3 .   $/. $ $   . '&$'  $3 #  . $  '    . $3 L¨ .  & # # '$  ' $leak tests3#    .  Q' ' $ $#T3' /P'.  ''#33 '$ / ) $ 3' ¨ .  & '  $3$.  $$&$ /  .  . O' 4. $'. ) $'.  Otros elementos secundarios     Válvulas solenoides J .  $ 3'P. /. ' '$  $#'  /$  &&' )3 )  #  '/   &$. . '$$)  . . $ '$ . '   #   HMI J  3'''. . ' . '  .   ' &3 '66 . '$ #P. $ %/)   $ . '$ & Q<G 6/  $ . ' $4'$ . '/ ' .  &$ &'4 . 3     #    '$  ' &  . set points)'$.    adecuados. las prealarmas de disparo.  . $$'. Comunicaciones J  3'.  deben comprobarse.  '. . '$'$ .  <G 6 G  '. . '. 66&$$    #  . . $ $ . '  $/ )$' 6& # /)'P. 3 '&  'P. . '  $66.  3'$'$  .  '. . '/'3 $'$  . $  . ' #' . P#  66 Tubing. cables y sus conexiones/# )P$ '/. Q '$. O'/conduits/  ' '$/$)# /. '# ) ' '$/$/ $$ &'4 $. $ ) 3/ .   ' /& #  '. . ''  "['PRUEBAS ONLINE +$ $'  &  3'      . $ . ' '/ . ' . '     'J ) . ' '$ $'. $ 6 & $  'J    . ' #'  '' ' ' '  . ' & '   . $   & /$3$ ' '  . '#' )& &.   $. . ' $ $'  /.  3' $ J '   . &  on-line/)  & ' '$ $ . '/&. . ' $. 3    $.  '' +' $ $$) $' 3$$'&  . Mantenimiento y explotación del SIS  '  $  . ' . /)$ $$ . '$ riesgo de perturbación del mismo. e incluso de parada no intencionada causada por una ejecución incorrecta de las pruebas. $ '  & on-line&' . ' '$3     . &$4. '. .  'P. '$ $ . '8. $'. '  $' '$) . '/  $4. '. 3$4 '' ' . . / '#)$. . '+$#&' /.   ' /'#'$7 ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^  ' $ . ' 3 $$4&' $' & & 3   '    $66  . '#' 3 '  $ $$  +'. ' '$/$'$  $)'$&   '& . $ . ' $'$ /. + . <G 6/   u otras SIF. . $ & Q/O . $ $3  $$ ).  & '   '$  . '   .    .  '. . '/ . ' / $  $4. '. ''$'3Q .  $' '$ 3  '   & ) 3'  '&   #  ) necesarios reseteos. ' . &) )    .  G'&. . ' $. $  M4 & . /  . ' ) $' '$/  .   3  '      6 '$ input3$$$ $ & ' M4& . / . ') $' '$/' 63''    '$  $)$& ''$$   / . ' '$/ # 3 $ '   & / 6 $ '. ' "['":|j.   %>& Las pruebas on-line -W& ' ' .   ' #' . +$ . $/). '.      $ $ &. '  . '/ $      . '  ' $$' & /) 33 '$#' K6L3'    $ '  6 3' '$ &  3'$    $ &. '/   $' '& +$ & . ' . $  $4 $ $   .  .    33  ' /'  $'3 # & Q$'. $ . '. '. $/ . ' '$3 '& ) &  O$.  'P.  - & .    $  $  #  3  & '$. ' 3 .   $ &   ' N $4& '   $ - 417 . 418 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.   ' / &' ... $'. $''  ' '$ 66/)&.  ''. '   . . ' 6/ $. . ' $ $' /' )    .   ' /$  '.    & &. .   guir en caso de una demanda real del proceso y debe incluirse como llamada de $. ' .  '$. $$    . sea capaz de implementar con efectividad un plan de mitigación para este proceso”.' '$& on-line7 “Precaución: el operador debe entender con claridad este procedimiento y estar preparado para que. en caso de que una demanda real del SIS se produzca durante el mismo. $' . ' # # &.    O' '   P &''  & '.   $ #' . 7 Sensores 33. '$$$'& &/# /'$  .  #T'redundancia   #   '  '$  '  & 6' la abilidad. .  / . P# . ' $. #'. $ . 'BBBX.  '  6 & $ '  '  '  $  & '      . ''$    &  K  $ . '. '$  '& . '$  /$3 $$  )#$/'3'    L#'. $&$ &. $'  O' K  $. 'RR(L3 $$ '$ . ' #    $''  autodiagnósticos  $. $ '& $  '/ ) P &'' $ . $'. / . '  . ' $'/$'BX/  DB' K$. $ L$  ''   +$. & '   .  '  .     $ .  . '  '  $  & *$   #      $ . 'DD)/ $ 3 # . . '  '$ .   $ #' W$  . ' $BB.  $' #$'. ).  . P# '' K.  ' '   $  . . ')  /$'  O'  $ &. '/  $. 'RR(L  . . '  &  ) 3$ .  $ 6/'RR ' /  . ' )#'. $ . 'N   '.  $ ' &    . P# . ' $ $ '  6/ ' $.    . ' J   #'. )   ' . '. & $ . $$  ). '& .  $ . P# . '  $3.   ' . ' Logic solvers Una prueba on-line del logic solver. $'.  .  $ . ' '  logic solver&.  &  ) '   $ . ' 6 . Mantenimiento y explotación del SIS .  $. . '. +' $ $ . . '. '' '#'$&  3' .     #  . )' 3 6& 3  '. '. &'#'.  .       &   $    P   '  $ . ''#'   $''$ . $   ' & 3  . $ . '+$ $ . ''  . '. # .  '  # ). '#3$  6/3 'P.  . ' allí antes incluso de implementarlas. +$ U . ' V ) O ''$ & #'. / .  3'. /$ 3$$ .  . . ' P' 3'$$  '  . . '. ''.     #  .  Elementos nales 6 .  $ 63. $'&) ) ' KHEµL  & &''   . '.  3'  . $ . '+$& '  . $7 ^ ^ ^ ^ 6$' '$  .  . '  $' #$'. K O. . ' ''$'partial stroke    / . $ )'. ' T$' # . '3. 'smart). R'. $  .     '. ' PQ   $  # '  $' /'  $ 33' .     proceso. G $  '$    '. ' .  . '. '   . '   K. '/' ' . '/ $ ' / $' ¶L $'# . $' 3J .  $ . '.  '3 &$ &''$#  ) $'   3/. Q$$ P   & G$/  $/)   .   '$#' 3' / $P $'$ & O'#$3 Q$  '$    $ &. '/3 & on-line  . '    & G    'J $ $.   ) $'$ '$  . '/)  & ' / $ $/''$'partial stroke. ins$ $ . ' )/$.    ' $$'& ''$ ' el proceso. *& $ . '  $. '  3.  $.  3 ' &''$ .    /Q  4'  ''$ $K.  $3  . $   L$. '   .  .  T 419 .   ..420 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO..   /  J '  . '     $ P   suponer una reducción en el periodo de las pruebas. En este caso es importante tener &'.  .    . $ $ $P )  .  $ $ &'S '$Q 7  +.  '3' . '   '.  ' '#7  +$  '. P# . 'DB  3    '  . '  ) P. '$   Q.  . '#' 6  & K   '4. $'. /.  L  +$    . P# . 'BB  3             Q.    . '  #'   & $ . .    /'3& .   6   $ &'4   +.  '3'  $    '.  ''#7  +$  '. P# . 'DB  3        $   ) P. '$   Q.  . '#' 6  &WK    '4. $'. / &'L  +$    . P# . 'BB  3   '    Q.  . '#' & $  .  &'  /'3&  &' 6   $ &'4W +.  $  $.  '/#T. debemos mostrar las mismas consideraciones para las pruebas online.'&'   $  Pruebas off-line. "['/Ž*+$:H/+Ž*ª:H*/–HkŽH$Ž/–kH/+ ž REGISTROS  $. ' '$ ' . denominados proof test/&.'3   6$ '  /  pruebas a sus componentes. P.   .   *&$ P. '$ $$  ) &$  '' ' . .    . $ '#T&  $  ' . '  ' *&'. '/  7 ^ ^ 6 3$. .  $ $$  Descripción de la SIF. . Mantenimiento y explotación del SIS ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ *. '. '.  $K /'/$. L). ' . ' . $''  $' '$ . '   . $''  . ' . '   +3') .  '    '  & 6'. ' O'' '3'K$' /P$/& $ ¶L . . ''  G& . '  4$. '& . ' +$  $)4 &  ('' (. '  .  $$ . etc. G¡*/loop drawings. % ).  - &)P  $'. ' $ +$. ' '$&#'$ ) $#T $'. .   empresa. pero es muy recomendable disponer de un programa de gestión integral  $' '$/   3   . $   '$'.   &   '   . $ / . $  &  '#   .  . . $/ repuestos necesarios. "[_£}Ž*$}:Ž/$++kŽ*$Hk++kŽž OPERACIÓN DEL SIS +$  $ O /. etc. etc.  Q / #. ' '$ . ' ) $' '$3$ .  . ' / '. ' . ' '$& . ' . '$$   '$ $. +$'  /'   Q / 3 $'. / en el Capítulo 8. ' .   $R:DDD''. ' ) & & G:DDDD)GDDDD< . '#' 3 '  & &  )& Q.   S $$'. ' '$3  ' 7 1. 3. 2. Proof test .  $ K$.  L G. ' '$ ' '$ . K$. L G. ' '$ ' . 'K $ L 421 . . "[_"£}Ž*$}:Ž/$++kŽ*$Hk++kŽ *+*}:ŽŽ‰k*kq‰k^"""" }:Ž/$++kŽ$}:–¢HH–k:H*+*Ž:$/H–$H POR PRESIÓN DIFERENCIAL SECCIÓN 1 / &  : Trabajo crítico : R & Q-$' '8 ..422 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. ž'$ † Trabajo rutinario Introducción +$. ' '$$  $ /    .  'P.    'P. . '$. ' '$&.  .   W . 'G $  : % <  '$ '.  $ & Q)&'# . Que la totalidad de procedimientos de operación estén actualizados. Proporciona documentación y requisitos que aplican dentro de la organización. La aprobación de los procedimientos crícos y de emergencia es responsabilidad de los ingenieros de producción. La aprobación del resto de procedimientos es responsabilidad de los coordinadores de acvidades. Revisión de los procedimientos crícos y de emergencia. . Que la totalidad de procedimientos se ulicen de modo correcto.'7 ROL - Responsable de EH&S RESPONSABILIDADES   - Ingenieros de producción - Ingenieros de mejora - Coordinadores de acvidades de planta - Coordinador procedimientos - - Otros a denir en las plantas/departamentos Administrador de la documentación       Interpreta la legislación y como afecta esta a los procedimientos de operación. Que los procedimientos estén archivados en su lugar correspondiente. Redacta o modica procedimientos y. Cumple con el contenido de los procedimientos de operación.Mantenimiento y explotación del SIS ROL - Personal experto en la materia RESPONSABILIDADES     Es conocedor de las acvidades a realizar. Idenca entrenamiento y recursos de aprendizaje aplicables a los diferentes procedimientos.      }  . - Usuario (personal que desempeñe su acvidad en la planta) Comprometerse al cumplimiento de los requisitos recogidos en las polícas corporavas. Idenca la necesidad de revisar procedimientos ya existentes y parcipa en su modicación. según necesidad. Determina las práccas más apropiadas para cada acvidad. departamentos. de acuerdo a la denición contenida en la políca moc (gesón del proceso del cambio) de las plantas. Idenca la necesidad de nuevos procedimientos y parcipa en su elaboración. consulta con otros miembros del departamento. funciones y servicios compardos. parcipa en las auditorías de procedimientos. - Persona que revisa y da la  aprobación Persona conocedora del proceso y de la instalación. Como usuario. a tener en cuenta an$  ''.  Lista de riesgos potenciales con sus precauciones asociadas. '  $ & Q K. ' . '  #' / $O'. ' / O'. En el caso de no poder evitar la línea de fuego. así como el cumplimiento de todas las normas de seguridad referente a equipos de alta presión. 423 . por lo que se tendrá especial cuidado en tomar todo po de precauciones. ulizar los equipos de Protección Individual y barreras sicas necesarias para minimizar el riesgo. de la tarea que se esté efectuando. Línea de fuego Siempre que se pueda se evitará estar en la línea de fuego.' ) ' &'$L7 RIESGO PRECAUCIÓN Trabajar a altas presiones Durante las maniobras se generan altas presiones. contacto con sustancias nocivas.. Tener en cuenta la posición correcta para efectuar el trabajo (ergonomía). Área de trabajo El acceso debe estar libre de obstáculos. RIESGO PRECAUCIÓN Golpe accidental Trabajar con herramientas adecuadas y en buen estado. |j%%. buscar iluminación adicional. Si no hubiera buena visibilidad. corrosivas y exposición a altas temperaturas Usar equipos de protección Individual adecuados según requiera el trabajo. ingesón. Se extremará la atención a la hora de dirigir nuestros movimientos si el espacio es reducido. Solicitar a producción información sobre el producto. Inhalación. cáuscas. el cual ha estado o está en contacto con el instrumento y la forma de eliminar riesgos. La zona ene que estar limpia de aceites o uidos que puedan causar un accidente..424 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.  '$ 3'$. . ' 3'    ' . '$ & Q6' '$ $' #' /. $ . $ . $4. '. protección audiva y ropa ignífuga. gafas y zapatos de seguridad.+%¡67 EQUIPO DE PROTECCIÓN Casco. DISPOSICIÓN Personal SECCIÓN 2 Introducción +$ . ' '$  $''     'P.  $    . '   $  ' $''  663. 3  ' #$'. '$+ ' $ $3$  $ $. ' '$  '  3  .  :|j  < |j R3''$&3. $ . '$'#'$. ' '$&3#$' / ' )Q. $   $ 7Aislamiento SIS-FT1111. }.  j  <  K .  j N P ' $ & Q. '#$' ' / .     +$$ & Q . $  . ' . $ . Mantenimiento y explotación del SIS . .  '$   '$ . ' 3. '     ' . '$ & Q7 ^ ^ ^ Comunicador del Fabricante y manual de instrucciones. $ $'#'$  +3'   . '& . '. '. $'P.  }.   .  (.   . ' .  '   ' $ & Q7 ^ Instrumentista. }.  j % . j .  ^ Normalmente todos los transmisores con o sin capilar se pueden comprobar ). '& '. '  $ 6' Q. $ T'. $  $ D)X+. . $ '/Q. $ .  $ $. ' '$ }. % .  . < ’ R  3 '  .  $ . '  Q. . Se acvará la alarma de fallo de instrumento de FT1111. 3 Planta bloqueará el FT1111 según el procedimiento Aislamiento SIS-FT1111 4 Planta nocará al líder de operaciones que se va a realizar el proof test sobre el FT1111.'$ & Q7 TAREA 1 El instrumensta informará a la persona responsable de planta del alcance del trabajo a efectuar para que actúe en consecuencia. SECCIÓN 3 H  . Se acvará la alarma SIS-F-LL del disparo de este SIS. 2 Planta situará al FT1111 en manual desde sala de control. j.j.  . 1 Localice el transmisor en planta. Ž© OBSERVACIONES 425 .! ACCIÓN 1.2 Compruebe que el instrumento esté correctamente idencado como lazo SIS. 1. 6.7. En caso contrario..3 Noque a la persona responsable del cuadro de control que el transmisor se quitará de servicio y que tome las acciones oportunas. ACCIÓN 1.4 Operación debe aislar el transmisor según el procedimiento Aislamiento SIS-FT1111 1. Ž© OBSERVACIONES $  ’  . pasar a la Tabla 14. connuar con la Tabla 14..5 Si el instrumento ene los accesorios como para poder comprobar su calibración sin desmontarlo. 1.426 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. j%. < ƒ!\ Œ}.  j  % . j . 2. „ ACCIÓN 2. 2. Si no es así pase a la etapa 2. Ž© OBSERVACIONES .2 Purgue la línea desde las tomas de aislamiento a las del transmisor. reemplácelo por otro del mismo modelo y caracteríscas. Compruebe la ausencia de agua o humedad en la caja de conexiones.4 Saque el transmisor de la línea de proceso. Revise el apartado 1.6 Limpie el instrumento.8. Anótelo en la Hoja de Revisiones. 2.7 Inspeccione el estado del transmisor.5 Inspeccione si la línea de la instalación ene fugas.8 Lleve el transmisor al taller para su calibración. 2. 2. obstrucciones así como el estado de sus elementos de conexión. Si está averiado.1 Asegúrese de que el transmisor está fuera de servicio.3 Desconecte el cable de conexiones eléctricas (idenque el conexionado) y verique su estado. según procedimiento especíco de planta si lo hubiera. 2. corrosión interna o externa. 2. Mantenimiento y explotación del SIS /%. <   <.   . 1% del rango calibrado vaya a la etapa 3.  Si el cero ha variado más de ± 1% de límite del rango superior vaya a la etapa 3. purgue la línea desde las tomas de aislamiento a las del transmisor. realice un cero en buenas condiciones al transmisor.1 Si el instrumento está montado en campo. 3. según el procedimiento especíco de planta si lo hubiera. 3. Ž© OBSERVACIONES +    .8. 3.4 Mediante el comunicador.5 Usando el comunicador.2 Prepare equipo de calibración y el transmisor a calibrar. lea y guarde las variables de proceso.5.6. Use una fuente de presión NO corrosiva y compable con el producto (consulte con Planta).  Si el cero ha variado entre ± .3 Conecte el transmisor a una fuente de presión.j ACCIÓN 3. comunicador y alimentación eléctrica (en el caso de que esté en el taller).  Si el cero ha variado menos de ± . 3.1% de rango calibrado y 1% de límite del rango superior vaya a la etapa 3. j%. 2 Asegúrese de que la línea de la planta dónde se instalará el transmisor está de forma segura aislada del proceso. 4. Ž© OBSERVACIONES 427 . 4.5 Usando el comunicador. En los transmisores de presión diferencial. 4. asegúrese de conectar las tomas de alta y baja correctamente. lea y verique las variables de proceso con las lecturas del computador de proceso en sala de control. 4.4 Conecte el cableado eléctrico al transmisor con la polaridad adecuada.<  ACCIÓN 4.1 Localice el lugar de la planta en el cual se instalará el transmisor.3 Instale el transmisor. 4.. 4. vericando en el computador de proceso en sala de control la lectura y el rango. de ser necesario. verique que toda la información del transmisor es la correcta (TAG.13 Informe a la persona responsable del cuadro de control.12 Deje en su correcta posición las válvulas que ha manipulado en este procedimiento. 4.5 mA. la posición de fallo del instrumento. Comprobar con el operador del cuadro de control que ha salido la alarma de fallo de instrumento. 4.8 Compruebe la lectura de 4 mA en el computador de proceso en sala de control y efectúe.7 Iguale las presiones en las cámaras de alta y baja del sensor del transmisor (dP) o abra las válvulas de venteo del transmisor. que el transmisor está listo para ser puesto en servicio.. OBSERVACIONES SECCIÓN 4 ‰   . número de serie. un cero al transmisor. 4. rango.6 Mediante el comunicador.).10 Compruebe.11 Con el comunicador forzar una salida de 3.428 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. No efectúe un cero a los transmisores de la presión absoluta.9 Simule una salida de 20 mA en el transmisor. 4. etc. 4. unidades. ACCIÓN Ž© 4. si está denida en el programa del computador de proceso en sala de control. < ’ M4$  & '  4 Q. . 2 Planta desbloqueará el FT1111 según el procedimiento Aislamiento SIS-FT1111 3 Planta situará al FT1111 en automáco desde sala de control.'$ & Q7 TAREA 1 El instrumensta informará a la persona responsable de planta de la nalización del trabajo. 4 Planta nocará al líder de operaciones que ha concluido el proof test sobre el FT1111. Se tendrá que resetear la alarma de fallo de instrumento de FT1111 y la alarma SIS-FT1111-LL del disparo de este SIS. . Mantenimiento y explotación del SIS ‰.  +$. ' '$. . ž'$.  $ 7 - &8(      . ______________________________________ ______________________ ______________________________________ ______________________ ______________________________________ ______________________ ______________________________________ ______________________ ª  j +$. ' '$$ . ' . ' '   . 'R   $' '$). $'. $ $ $  $' /. . ' $' '$6'$  $'. 8G. ' '$ /.   +$. ' '$ '.  7ŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸ . 7ŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸ ‘   +$. ' '$ ' ' 7ŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸ . 7ŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸ H%. <  +$. ' '$ ' & 7ŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸ . 7ŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸŸ  .   j :!  01 ‰˜ 01-01-2012 } &  !  &  Creación nuevo procedimiento. H%  <. K‰. 429 .  Ejemplo. . SECCIÓ' ’ : .430 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. ] kHª] %.  ] }  ] ‰ <.  ] }. k + .. .j *+* *+‰] |j%] }µ+$]  ] +. . !  :  <. ] . /. Este bloqueo será usado dentro de los trabajos de proof test y validación de lazos SIS donde este instrumento se vea involucrado. CATEGORÍAS .Mantenimiento y explotación del SIS "[_£}Ž*$}:Ž/$++kŽ*$Ž}:H/+  H+*H+kŽ*+*¶‰k"""" }:Ž/$++kŽ$H+*H+kŽH}:Ž/*Ž $+*k:–kŽ*+*}H:H:H+¯H/+ $}:–¢H* SECCIÓN 1 ALCANCE Este procedimiento es usado para bloquear del proceso el medidor de caudal FT1111. Ž%.> † Puesta en marcha † Emergencia † Parada .  † Temporal †Mantenimiento † Otros (especicar) –  . ’  !.   . RIESGOS –    H.  %j ón . ^:j .<j † Runario . PRECAUCIONES Línea de fuego. Se extremará la atención a la hora de dirigir nuestros movimientos si el espacio es reducido. Área de trabajo. de la tarea que se esté efectuando. Tener en cuenta la posición correcta para efectuar el trabajo (ergonomía). k  $}µ+· † . Golpe accidental. La zona ene que estar limpia de aceites o uidos que puedan causar un accidente. Siempre que se pueda se evitará estar en la línea de fuego. En el caso de no poder evitar la línea de fuego. Si no hubiera buena visibilidad. buscar iluminación adicional. 431 . El acceso debe estar libre de obstáculos. ulizar los EPIS y barreras sicas necesarias para minimizar el riesgo. Trabajar con herramientas adecuadas y en buen estado. indicar riesgos con el pictograma correspondiente… / . Se deberá llevar puesto arnés de seguridad. RIESGOS PRECAUCIONES Alturas. ulizar postes autos estables. Señalizar zona inferior tomando como referencia el procedimiento de balizamiento. Caída de objetos a disnto nivel. Se deberá ulizar la protección personal adecuada.432 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO... altura. pensando en el acceso así como en la ejecución del trabajo en la parte superior. Evaluar previamente la situación del equipo. lugar y medidas prevenvas a tomar. cumplimente la correspondiente orden de trabajo dando el trabajo como nalizado y rellene el/los informes de revisiones. el sustuto debe ser del mismo modelo y caracteríscas que el sustuido. En caso de tener que cambiar un instrumento. *j. El instrumento averiado quedará a disposición de los analistas de fallos por si hubiera que realizar un estudio. hay la posibilidad de NO detectar fallos o defectos de funcionamiento. En caso contrario. De no ser posible tendrá que considerarse un procedimiento para la gesón del cambio. es importante seguir en su totalidad este procedimiento. En la medida de lo posible.  Los instrumentos catalogados como SIS requieren de una revisión individual así como una prueba funcional. Una vez terminado este procedimiento. alta presión. prendas de protección personal o cualquier otra precaución requerida en la autorización del trabajo.. riesgo de explosión e incendio. rmada por la persona responsable de planta y/o talleres. En todo momento se respetarán todas las normas y direccas aplicables vigentes. trabajos en equipos con fuentes radiacvas. :. se tomarán las debidas precauciones según los estándares de seguridad y/o calidad referentes a la manipulación de equipos bajo tensión. Una vez nalizado el trabajo. Para la realización de este procedimiento y dependiendo del trabajo a efectuar. el permiso deberá ser devuelto debidamente cumplimentado a la Persona responsable de planta y/o talleres.  Para poder llevar a la prácca este procedimiento será necesaria la correspondiente autorización. 03-2002 “Guidance for Tesng of Process Sector Safety Instrumented Funcons (SIF) Implemented as or Within Safety Instrumented Systems (SIS)”.00. . ISA-TR84. Mantenimiento y explotación del SIS }. . j  Una vez nalizado el trabajo NO será preciso gesonar <  K  residuos.  j / .      . . Lista de herramientas que se precisan para la realización el trabajo son:  Las normales del operador.  Este trabajo no afecta la calidad del producto. SECCIÓN 2  % Ejecutor 1 Operador Bloqueo a proceso de la FT1111 2 Operador Normalización a proceso de la FT1111  %  H ¢ |j %.   ‰k"""" # Ejecutor Acciones (Incluir riesgos y precauciones si procede) Check 1.3 Operador y mantenimiento Firmar apertura permiso de trabajo para realizar pruebas.2 Operador Crear lista de emplazamiento de tarjetas de advertencia contra manipulación.1 Operador Cerrar las válvulas manuales anterior y posterior a FT1111 y colocar tarjetas de advertencia contra manipulación. †  %  Nombre/ Día/ Hora . † 1. † 1.    %. 1 Operador Una vez terminados los trabajos de proof test o validación de lazo: Rerar tarjetas de advertencia contra manipulación en las válvulas manuales abiertas anteriormente.  ‰k"""" # Ejecutor Acciones (Incluir riesgos y precauciones si procede) Check 2. † Nombre/ Día/ Hora 433 . Abrir la válvula manual anterior y posterior a FT1111. 434 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO..  %  ..    %. † 2.  ‰k"""" 2.3 Operador y mantenimiento Firmar cierre permiso de trabajo de pruebas.2 Operador Completar lista de emplazamientos de tarjetas de advertencia contra manipulación. † SECCIÓN 3    }µ+$· $j  :   ³}µ+$ k>j }µ+$ BX-1111 Ejemplo para procedimiento Listar los documentos relacionados aquí: SECCIÓN 4 ‰.   %.   . j .  :!  ‘   H%. <  En caso de procedimiento no runario rmar el siguiente apartado: Inicio: Iniciales __________Fecha ___________ Hora ________ Finalización: Iniciales __________Fecha ___________ Hora ________ Este procedimiento fue revisado por: (Nombre/Role) (Fecha) Este procedimiento fue validado por: (Nombre/Role) (Fecha) Este procedimiento fue aprobado por: (Nombre/Role) (Fecha)  .   j ‰˜ :  %. . Ejemplo H!  Creación del documento. Mantenimiento y explotación del SIS ‘H+$H/+ *+‰¶"""" }:Ž/$++kŽ$‘H+$H/+Ž$–H¯Ž*+* SECCIÓN 1 H   Este procedimiento es usado para validar la SIF-1111. 2. / . Llevará a todos los sensores involucrados a su condición de acvación de lazo. Por validar entendemos la acvidad de demostrar por medio de inspecciones y testeo que la SIF-1111. Llevará los elementos nales involucrados a su posición segura dentro del margen de empo máximo especicado desde la aparición de la situación anómala. después de su instalación. La validación consisrá básicamente en una prueba de lazo que: 1. cumple con todos los requisitos de seguridad acordes con su función. 3. Comprobará que el logic solver genera las outputs y las órdenes de actuación al operador requeridas. > ./. }j   .> † Emergencia † Operación † Mantenimiento . ˜ H. ^.<j † Parada † Temporal † Otros (especicar) † Runario . j .  –  . ’  !.   –    k   }µ+$· .  %j ón . :  † . }. Si no hubiera buena visibilidad. buscar iluminación adicional. Área de trabajo. En el caso de no poder evitar la línea de fuego. de la tarea que se esté efectuando. Siempre que se pueda se evitará estar en la línea de fuego. 435 . ulizar los EPIS y barreras sicas necesarias para minimizar el riesgo. Se extremará la atención a la hora de dirigir nuestros movimientos si el espacio es reducido. El acceso debe estar libre de obstáculos. La zona ene que estar limpia de aceites o uidos que puedan causar un accidente. j Línea de fuego. Trabajar con herramientas adecuadas y en buen estado. Golpe accidenta. Tener en cuenta la posición correcta para efectuar el trabajo (ergonomía). :  }...436 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. ulizar postes autos estables. lugar y me. altura.Se deberá ulizar la protección personal adecuada. didas prevenvas a tomar Caída de objetos a disnto Señalizar zona inferior tomando como referencia el procednivel imiento de balizamiento. pensanmente la situación del do en el acceso así como en la ejecución del trabajo en la equipo.parte superior. j Alturas. Evaluar previa. indicar riesgos con el pictograma correspondiente… / . Se deberá llevar puesto arnés de seguridad.  Los instrumentos catalogados como SIS requieren de una revisión individual así como una prueba funcional. es importante seguir en su totalidad este procedimiento. *j. En caso contrario. Una vez terminado este procedimiento. el sustuto debe ser del mismo modelo y caracteríscas que el sustuido. En la medida de lo posible. hay la posibilidad de NO detectar fallos o defectos de funcionamiento. De no ser posible tendrá que considerarse un procedimiento para la gesón del cambio. cumplimente la correspondiente orden de trabajo dando el trabajo como nalizado y rellene el/los informes de revisiones. El instrumento averiado quedará a disposición de los analistas de fallos por si hubiera que realizar un estudio. En caso de tener que cambiar un instrumento. . trabajos en equipos con fuentes radiacvas. Una vez nalizado el trabajo. riesgo de explosión e incendio. Para la realización de este procedimiento y dependiendo del trabajo a efectuar. se tomarán las debidas precauciones según los estándares de seguridad y/o calidad referentes a la manipulación de equipos bajo tensión. alta presión. el permiso deberá ser devuelto debidamente cumplimentado a la Persona responsable de planta y/o talleres. rmada por la persona responsable de planta y/o talleres.  Para poder llevar a la prácca este procedimiento será necesaria la correspondiente autorización. prendas de protección personal o cualquier otra precaución requerida en la autorización del trabajo. :. En todo momento se respetarán todas las normas y direccas aplicables vigentes. 00.03-2002 “Guidance for Tesng of Process Sector Safety Instrumented Funcons (SIF) Implemented as or Within Safety Instrumented Systems (SIS)”. }. ISA-TR84.  j  Una vez nalizado el trabajo NO será preciso gesonar residuos.  <  K  .  j / .   Este trabajo no afecta la calidad del producto.    . Mantenimiento y explotación del SIS . .  Emisoras de radio (2).  Cronómetro.  Lista de herramientas que se precisan para la realización el trabajo son:  La normal de instrumensta. }.    .  1 Operador/panelista.  1 Técnico electricista. El ingeniero de control solo dará un soporte puntual en caso de ser requerido por el ingeniero de planta.  1 Ingeniero de planta-control. Recomendación del personal necesario para realizar el trabajo.  1 Técnico instrumensta. }. % .   . sin incurrir en riesgos. El operador asegurará.). purga del instrumento. }. Este procedimiento de validación nunca será llevado a cabo cuando unidades de proceso que afecten a este lazo estén acvas. un caudal en la línea del FT superior a 300 m3/h. etc. aislamiento del proceso. 4. 5. purga del instrumento. 3. El mismo informará a las personas involucradas de la nalización del trabajo a efectuar para que actúen en consecuencia (normalizar señal en manual. etc. La Persona Responsable de Planta informará a los involucrados del alcance del trabajo a efectuar para que actúen en consecuencia (poner señal en manual. aislamiento del proceso. El ingeniero de Planta cumplimentará todas las check boxes de este procedimiento.). < ’ Las siguientes tareas deben ser realizadas con antelación a la ejecución del trabajo: 1. 2. % .       . El step recomendado por defecto es el de process wait. Para poder proceder a la validación de la función SIF no es necesario situarse en ningún step en concreto ya que la función SIF está siempre enable. k . El operador/panelista comprobará que ningún elemento sensor (FT1111) se encuentra forzado o en fallo. El operador/panelista comprobará que la SIF-1111 no se encuentra acva. Es decir que la alarma SIS-FT1111-F-LL no aparece en en sistema. Si alguna de los elementos nales estuviera en su posición segura. 437 . 2. 3. El técnico electricista comprobará que los elementos nales (P1111A y P1111B) se encuentran en la posición no segura (circuit breaker cerrado) 5. ] 1. 4. el técnico electricista hará la maniobra para cerrar el/los circuit breaker/s pernente/s. El operador/panelista comprobará que las unidades de proceso involucradas no están en servicio. de planta Registrar la prueba de validación. SECCIÓN 2  % Ejecutor H 1 Equipo de validación Pruebas de validación.  % # }...438 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. 2 Ing. j< !   Ejecutor H ƒ j. .   %.  j  /˜¸ %. „ 1.1 k\  . Si alguna de los elementos nales estuviera en su posición segura.2 + . el técnico electricista hará la maniobra para cerrar el/los circuit breaker/s pernente/s.  Comprobará que los elementos nales (P1111A y P1111B) se encuentran en la posición no segura (circuit breaker cerrado). 1. j    %K Ž%. . 1. Si el sensor estuviera forzado.3 + . al hacer esta operación también se acvará el disparo SIS-FT1111-F-LL. Al ser un lazo con una conguración 1oo1. el panelista haría peción de normalizarlo.^ }    Vericar que el FT1111 no está forzado. Abrir el cableado del FT1111 hacia el logic solver y comprobar que en el Sistema se anuncia la alarma de fallo de instrumento SIS-FT1111-IFD. j    %K Ž%. . Resetear la alarma de fallo de instrumento y la del disparo y comprobar que desaparecen en el sistema. † † † <. las pruebas siguientes no serían aceptables.^ }    Cerrar el cableado del FT1111 hacia el logic solver. Nota: Si no se normaliza (resetea) esta alarma de fallo de instrumento y del disparo. K $> K. . Mantenimiento y explotación del SIS  % }. j< !   # Ejecutor H ƒ j. .   %.  j  /˜¸ %. „ 1.4 + . j    %K Ž%. . ^ }     Kk\  . por encima de su valor de consigna. Una vez el panelista vea en la ventana de alarmas que se ha acvado el disparo SIS-FT1111-F-LL en el sistema. La suma de ambos empos (desde que se genera la condición de alarma hasta que los elementos nales alcanzan su posición segura) más dos segundos (empo de respuesta del FT1111). se aportará caudal a la línea del FT. será el empo de respuesta del lazo. Una vez se genere la condición de acvación.5 k\  . cronometrar el empo que tarda en acvarse el disparo SIS-FT1111-F-LL en OS. sin incurrir en riesgos.  Para poder comprobar la condición de acvación del lazo SIS. Una vez hecho esto se irá cerrando lentamente el aporte de caudal hasta llegar por debajo del punto de consigna. † 1. Este empezará a cronometrar también el empo hasta que el técnico electricista le indique que el circuit breaker del cubículo de las P1111A y P1111B ha abierto. † 1.6 Ž%.  Vericar que el circuit breaker del cubíículo de las P1111A y P1111B ha abierto. . 7 Ž%. † 1. (Tiempo máximo permido para la acción del SIS).^ }    Vericar que el empo de respuesta del lazo (desde que se genera la condición de alarma hasta que los elementos nales van a su posición segura) es inferior a XX segundos. . volviendo a subir el aporte de caudal por encima del valor de consigna. y hacer el reset del disparo SIS-FT1111-FLL desde en sistema. 1.^ }    Situar al FT1111 en una situación de no alarma.8 Ž%. . † <.^ }    Vericar que el disparo SIS-FT1111-F-LL desaparece. K $> K. 439 . .440 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.  % }.. j< !   # Ejecutor H ƒ j. .   %.  j  /˜¸ %. „ 1.9 Ž%. . 10 k\  . † 1. Normalizar el aporte de caudal al la línea del FT según sean las necesidades de planta. †  %  : .  Vericar que el circuit breaker de las P1111A y P1111B se deja no forzado. .  %. 1 <.j< !   # 2. K $> K. Ejecutor +.  }  H ƒ+ j. .    %.  j  %. <.„ /˜¸ Registrar la prueba del lazo electrónicamente en aquellos documentos que lo necesiten. K $> K. † SECCIÓN 3   }µ+$· ³}µ+$ k>j }µ+$ B1-XXX1 B1-XXX2 $j  :   ‰.   %.   . j .  Listar los documentos relacionados aquí: En caso de Procedimiento No Runario rmar el siguiente apartado: Inicio: Iniciales ___________________ Fecha ______________ Hora ________ Finalización: Iniciales ____________________ Fecha ______________ Hora ________ :!  Este procedimiento fue revisado por: (Nombre/Rol (Fecha) . Mantenimiento y explotación del SIS ‘   Este procedimiento fue validado por: (Nombre/Rol) H%. <  (Fecha) Este procedimiento fue aprobado por: (Nombre/Rol) (Fecha)  .   j ‰˜ :  %. tenemos que tener en cuenta también la manera en que operará este lazo y cómo lo mantendremos. 441 . a priori. a las diferentes personas que posean el conocimiento y la experiencia necesarios. y la exigencia de las mismas.00. Para ello es fundamental involucrar. /Ž*£Ž*}:/k+/Ž* Una considerable fuente de procedimientos po que pueden ser de gran ayuda y de donde este capítulo se ha ilustrado es el muy recomendable Technical Report de la ISA:  ISA-TR84. en empo y forma. Una buena previsión y gesón del po de prueba que tendremos que realizar nos facilitará la tarea en el momento de hacerla.03-2002 ^+uidance for Tesng of Process Sector Safety Instrumented Funcons (SIF) Implemented as or @ithin Safety Instrumented Systems (SIS)”. en aquellas acvidades que deban realizar. Juega un papel importante aquí la periodicidad con la que tengamos que hacerle las pruebas a estos componentes. H!  01-01-2012 Ejemplo Creación del documento PARA NO OLVIDAR Para poder cumplir con la integridad requerida. Muy importante es tener a toda la gente involucrada en el proceso entrenada. Recordemos que un testeo incompleto nos incrementará la probabilidad de fallo en demanda con el empo. denominadas proof test. y por tanto no conseguiremos alcanzar la integridad necesaria. no nos basta que los componentes del lazo sean robustos y que las arquitecturas y funcionamiento del lazo estén bien diseñados. . Ž$+‰+/H/+Ž*$*+* "' Carlos Javier Gasco Lallave SUMARIO:+. j    .    < }.      <Para no olvidar. "'"+k:Ž$–//+  N 366$'  $ ) $'O'$'' . Consejos práccos. $33'   'P. . ' '  $' . / 'J' .  3 # 3 P &'' 66    /   ' . '. 3 $ . '. '''. ' +$/    . $ ' . ' . '  $. # . 3'. -$&Q$'$. $ ducción. etc. $$' .    # 3.  3' 'P. . ' K)     9   $9 L   66 $ . . $ $    /'  ) &   $ ' .  3' . . '. &'/ $'/$/ '$#' #' 3''. '  $$ 66 "'/*+$H$$ª*k+ŽH:Ž*/H¢+Ž* +' $ $3 # $ . &'' $' $'   . '#' /)    'P. . ' 9 $9  + .  $  $9 /  66 $  '  #  .   . $ $ PQ / 'P. &  O. . '/) $  $  . /  '$'. $ $$#'  'P. &/) 3 3' . .  $ 3. $4 $'N $ &. ' /)   '  $' / . $ $&. $' PQ  'P. & +$Q 33' #$'. &'66/ & . $. 33' $ &'4/Q '$ . '.  7 ^ ^ 'P. . '. ' '$ . ' .  . '  $' '. $' #'   . $ '   . ^ ^ ^ ^ ^ ^ ^ 'P..444 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. . '.  &' . 'P. . '3''$#'  'P. . '  . #'$9 P 9  'P. . '  . #' '$ $'.  'P. . '   Q  P &''  'P. . '   '' '  $    66 . $ ' . '. &'$9  &&' '. . ' "'}:Ž/$++kŽ*$ª*k+ $/H¢+Ž *&O'$'. ' '$3''3.  ''. ' /.  $ /' ) & . &' 66 /&  # 3 '  $'. ' . ''#'$ $ ' . &'7 ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ 6 .  $  . $$4. '. 3O'.   . El impacto del cambio sobre la seguridad y salud de las instalaciones y personas. +'  .'  del cambio propuesto. $. ' '$ . 'O'$$ +'&'  . $$ . '#'  + #$  .  '   ' . &' ( &3& $' . &' G 3&$'P. . +. &' Disponibilidad de espacio de memoria y procesado en el sistema. $$' $ 66 +. $ P &'' 66 +  . '. &'on-line versus off-line)'# . ' ¶ Durante el proceso de revisión del cambio debemos asegurar en todo momen$3 '$#'  #'    $/.   &íamos comentado $' $/)3  '. '' $'$$$ 3 . $ . &'&'  ' )$  $'  $ .  .  R 3' 34 . '. ' 66 . $   . &')'P. 3$ $ /. ' '$) .  $ . ''.    ' . $ ' / $'#'$ ' $' $ .  '$  . '. . &''  $ /$  3'P. ) '  . '#'    .  $ . ' & $# .   $ $  'P. . '  $'  /4' $. . '6&'#    &  #  '#'. ' '$. $.  $  '  . Modicaciones del SIS Nota:  .   3  66   . '$ / $   . &' .    '. '$  . &  ' /&  #  3O'$. ' '$#$'. &'/.    O'.  $. $/3. $'&. &'). '& .  )3'4  $'  '  /&'. ' 4$'$'P. . '  . . )'# . ' ).  ' '''  . $  . '#' /  . $ ' . ' lisis de '#  $ KQ WG:% L/)$''  . $  '  . ''.    .   '. 445 . y los registros que deben crearse. /Ž*£Ž*}:/k+/Ž* Lo más importante es tener claro las personas y disciplinas que deben involucrarse en las tareas previas al cambio. dependiendo de la complejidad y el grado del cambio implicado. Cuando el SIS se va a modicar. La operación y las bases de integridad mecánica del SIS deben ser revisadas y aplicar revisiones con la nalidad de asegurar que el equipo. los planes y objevos operacionales deben considerar cualquier riesgo adicional que deba ser tenido en cuenta durante la transición. y el entrenamiento del personal estén en sincronía con las modicaciones. así como de idencar previamente los documentos que han de actualizarse. Implementar actualizaciones que apunten a mejorar la ecacia operacional a largo plazo toma empo en completarse. será dicil llevar a cabo con éxito la acción del cambio. Sin una buena coordinación entre las diferentes funciones.' PARA NO OLVIDAR La mejora connua es necesaria para mantenerse por encima de condiciones latentes que representan desaos potenciales en la seguridad y debilitan las capas de protección. los procedimientos. . GERENCIA DE SEGURIDAD FUNCIONAL "_ Gabriela Reyes Delgado SUMARIO: I. j‰ .   ! }.  % .     !        . j   j. Consejos práccos. ƒ*+*„ Para no olvidar. "_"+k:Ž$–//+  +&Q$'$. $'$'P.   . $'' #$'3.  '    # 3.  &Q$' #' . '   $' + ADHE?P seguridad funcional.  U $ #' #&   . '  . 3'& Q. $K+N /“Equipment under control”) y su sis$ . $/ .  . . $. ' '$'$ +8+8+G (“Electrical/electronic/programmable electronic”) relacionados con seguridad. así .   '$  . 'O$    . . ''#V +$4 ' .  '&/ gerencia de seguridad funcional gobierna las . $''  . '  .  #' 3'). /  '  3  $ '.     . ' '$   '$  . P.   #'  6 . ' ' '   . '   '&''      '$ $'.  .   ''P  Q  #'  '' '  . . '  . . '$ #  '$  . ' &Q$''. '  . ' 6#' . ' 7 ^ ^ ^ ^ ^ ^ +. 'P.  . $'' #. ' )$4. '.  $. '. ' #' /   .  ) $ #' . '  +. 'P.   &''   )# ' . ' '$'$  . $''  *P'  . '.  '   )# ' . '   '  $ . ' '$'$ $  . '. '  G. '    $#  .  T  ' .  $'      #$'/  $$. '. ' /'$ '$ $ #'  +' '  '. $' & &   '$#'   '$   #' / P. '. ' . $)''&''  . '#'   instalaciones. G. ' $  &'' )'&''  '$ $'$ #'  . . ^ ^ ^ # 3'J..448 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.  . .  3' $' '#$ '. & +$ &.  & 'J $ $#'  $' '$). cia de pruebas. +O$  '. &'' '$ . ' O'$$  #$' sistemas instrumentados de seguridad. + . ' $T$' $/''. 3 #' . ' . $   . '  . '$ . ' /.   6W=EEE+$. /  + ADHE? . '  #. ' .  6W=EEE/$  3. 'P. aplicaciones y gerencia de los proyectos. Entre las dis$'$ '3   + ADHE?) ADHDD/O'$'.  desarrollo de los productos. ' $  3. &$ . 7 ^ ^  + ADHE?. &$ . $/'.  + ADHDD.)  9  ) $9    '$   #' 3 &'   '  cobertura su implementación puede ser complicada. . $  ' . debido a su limitada cobertura. tiene una '  $ . Esta.) ' los sistemas de seguridad. ' . '  "_‰H/kŽ:*/H‘* *$ . ' 6#' . '   $ .  ' . $.     #  & #$' #' '$ '$ $ / 3$   . $' . '7 "_"}H+‰+/H/+ $H*ª–:+$H$ 6&'$    'P. . ' #'   P'  . $'' 3 3' ' Q$.   / $ $/# ' $ '   & ' $  . $'' 6& . $ ' $  'P. . '   .  '   #$. '. ' #' 66   'P. . ' #' '.   7 ^ ^ ^  . . ' . ' $'$  U #' V¨ .  $''$$'$ U #' V¨  '.  $3'. '. ' '$  . $'. normalmente a incluir dentro del Sistema de Gestión de Seguridad de las instalaciones.  de trabajo. "_Ž:ªH+*Ž*ž:/–:*Ž*   / $ $/# ' . '$ ' 3  &   '  ) '  .           . '.   '   #'   66 . Gerencia de Seguridad Funcional &'$'P.  )&'    &''  '#     K'. )/. son competentes para realizar las actividades de las que son responsables”.   / $ $# ' ' '. Tal y como recogen las - + :ADHE?8ADHDD“…asegurar que las personas apropiadas. implicadas en cualquiera de las actividades del ciclo de vida de la seguridad global del software o de sistemas E/E/PE. 3  $/  $' 3$#  los permisos o los organismos reguladores de la seguridad).  . $'' . '.  ' #' $'3$ $# ' .  $$   '   . se deberían tratar los aspectos siguientes cuando se considere la competencia de las personas. organismos u otras unidades implica  .$''  3 & Como mínimo. departamentos. $'' . '. ' #' 7 ^ ^ ^ ^ ^ ^ ^ ^ . ' '$  '#' /  . ' ) O'. .'  '       aplicación de proceso. ' '$  '#' /  . ' ) O'. '  '       $. #   '. . '  KQ /4. $'. /. $'. . trónica programable). . ' '$  '#' /  . ' ) O'. '  '      ) $P  . ' '$'#' #' KQ / ''#'dad de procesos). . ' '$3''$ # $ . '# )#' ¨ $' .   ) &'' ' # .        . $'' . '. ' #'  +$' '$ . . . ' $. '  . $. ' '$¨  ' . ').  Q'   '. . ') $. #  G   #  .  $. '   &   . $''   #. '. ' 66/&P''.  . '$ . '. ' /$  3 P'. '/'  $ . ')#$'66&  $'. '  .  'P. &  '. '.  . '$ . ' "_‘:+‰+/H/+ $*ª–:+$H$‰–/+ŽH La vericación de la seguridad funcionalP.    . $'' 3. '$/  .   . '. ' #' . '$/ $  '')8 )/3   $  . P. /  '  $' . / $$/&Q$')3''$PQ     . P. + . ' $$/ $DX$'&. #)$   '$'$  . $''    '$  . '/& ).  '' 66 449 . .450 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. Se deben aplicar los procedimientos para asegurarse de un pronto seguimiento y . ' $' . $'  .   . '. '$ 6'$ $ $ 6#' . $  . $'' 'P. . ') ' . ' "_[$Ž/–kH/+ ž/:k+‰+/H/+ $*ª–:+$H$‰–/+ŽH    O'. $DABD/&O'$'  .  .  . . ' '$P. '$  #  $'  #' . ' . + $$'/) '. '  '.  . '$ . '. ' 3P   '.  $'     & '$'$  . $'' . '.  ' /O'$$'. $'P. . '7  H  " JH     K .  $ + &Q$'  Q    $  ) $ &.    $   .  $. '   3  '.    . $'.  '. . ''$ #'  '$' . )  . $ +O'$  $'  3 '$$$'. $'P. . '3$   . $' . Exida. empresa de reconocido prestigio internacional en el campo de los Sis$ '$ $ #' 6# .'7 1. $'P. . '. $   '/ 6+Kcertied functional safety expertL# O$ 33'  DE JO'. ' .  #' ) 6GKcertied functional safety professionalL# ' 33'   JO'. ' .   #' G   &'.  '  ' . 'O  3 $ .  $. ' . T V S D. 2.  . '$ '$ $  de seguridad. $'P.  . '$ '$ $   #'  6 #   . $'P. . ' . $    '/  6+ (functional safety expertL# O$33'   ' JO'. ' .  #' )6GKsafety professionalL# ' 33'  ' J O'. ' .  #' G   &'/  . ' . 4 '.  '$. ' JO'. ' 3'6   . 6G.  '  O )  6+/ '. '   JO'. ' 3'/.  '' $'$ . '6G/   ' . '. . $'. ) $  .  $. ' .  '. . 'K $. / ' ' . '/$. L $' 6#'  Funcional. . Gerencia de Seguridad Funcional   > H. H "   Q. .  W ?     $ +$. $'P. 63') $K$  '/G / /'/$. L/. 'P. R . '#'$ $7 ^ ^ ^ ^ ^ ^ ^ ^ Índice SIL. '    9 K $L  . . ' #KL G& &''    KL  $   '#$. $ K™L  $   '#$. $ K™L  $   #$. $ K™L  $   #$. $ K™L *'. . $'P. &' .   J . '$' *+ K ' / +. $  *' #$'.  )'L/   3  '. ) ) . 'P.  $ '& ''.  .  $ '. ' /)   #' 3. 'P.  . ' . '#'  $.  .$  y se listan las restricciones al uso del sistema. $'P. . ' '$  . $'P. ) $' /.   #RÛS( ' / $'  . $'P. *'. $'  N'+ K 3' ' /3''/$. L - . ' )(. #'R$ & $)K-(RL . '$  W6%  . $'P.   NK'  # ' . ' . $'P. #' . ' ++NNL) $$ ++ UU y a otros estados canadienses. +$# '  & . '   # 3. $'. ) P. '$#' . ' #T''$#' K6L   ''. $'P. 6  .  $ #   . . '  3.   3'. U. $'P. 6V #  #'    $ '. '  )'P. . ' *$  / T''.  $3'. . $'P. . ' 6/. '3'$   '. . '.   . '63'+$.  'P. . ' G*'$ '$# )  3'$. $ '$ &.     . '63'/)  3' '  '. '   . $'P. . '63'. '$ / .  ' $'3  '$'    . $'P.  .   RÛS/ &'. $ '$'  .   . '.  ' 63'3.  . ' '  .   . 'P. .  $.   + ADHE?)8+ ADHDD+. . $/ .   . '.  ' 6'. ' $& &''  $)  ''.    . $'P. . '6 451 . .452 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. "_' ¢‰+/+Ž*$Hª:/+H$*ª–:+$H$‰–/+ŽH &P. '#'.  #. ' #' . ' 7 ^ ^ ^ ^ ^ Q   . '$. '$) Q.  '. . ').  '   &''  Q . '  .  G ''$   '$'P. . ''# +$ &. ' '$ . . ' '$)know-how de las distin$ '. '' ) $'.    "_}:Ž/$++kŽ*}H:HHª*k+ $/+/Ž$‘+$H$Ž* *+*kH*+*k:–kH$Ž*$*ª–:+$H$ƒ*+*„ G    '. . ')  '$'$ $  . '. ' '$ '$ $ #' /O$ '$'$. $$ '&/.  '  '  $ . ''$ #$''. . '. ' / ' $   P'. ' ) '. . '  '$'$ . ' '$  #$' 3  desarrollen. R ).     '  $ B$. $/ #$' 66 . $ . ' 6#' . ' / 3 )3 . '  . $.  . 'P. '.   $  *$  /  'P. . ' #' 66 .      &$ # ' . ''.  . $'' /&. 'P.  G. ' '$'$ '.  $' .   J -  $/) . '    3 '$  . ' . $   *'. $' 6+S+6W& . . '$# /$. ' '$'$# $''$ #$'    #'     '$  . ' .     $#   ''  '# adicional a aplicar respecto a las ya tradicionales. se presentan los contenidos 3&'$procedimientos para la gestión de los SIS/ 3 '#  P'$'  '   . A continuación. '$'.   '.   J 3$4 ' '$ $.  . $'  $' &#' . ' 7 ^ ^ ^ ^ W&Q$. - $'  .' '$ Ámbito de aplicación.  '. . '). ' ) $' #  ( . ' . $   '. . ' .   J  S'#. ' / ''. ' #  ) $ '$' / &'4 . 'P.    . $''   '   ). $ .    '$  . 'O'$$) $'    . Gerencia de Seguridad Funcional ^ ^ ^ ^ ^ ^ ( &  & . ') $' '$8 . $ ' . '. 'miento.  '$4 '/3'. ) $'' '. dimiento. Desarrollo del procedimiento de gestión de los sistemas instrumentados de #' /3. 'P. $   . $'' . '. '  66P'&Q$'/$  &$ .   & de la implementación de cada etapa. & . Asimismo. y en relación a este punto. $     &     'P. . '    #'  .   '  $   $ '  $ . ' '$'$  . '.  '   . '3' /3P '.  . '$ . '. '    #  .  $. '  3 &   . $''   #. '. ' 66 $' .  $ . '/$  3$  .  $ . '#  . '. ' 66'. ) '$ #$'.  $   3 . . $4. $ ) 'P. . de personas (Experto en Seguridad Funcional) y de equipos/componentes (Programas de Cercación y Manual de Seguridad). y no la del equipo en aislado. <'&'#  )O PARA NO OLVIDAR   Existe dos pos de cercaciones en materia de seguridad funcional. En todos los casos la vericación de la PFD del sistema integrado y la arquitectura del sistema deberán ser comparadas con el nivel SIL requerido. Aún disponiendo de equipos con cercación SIL. puede ocurrir que el sistema o la aplicación no cumpla con el nivel SIL requerido.  auditoría. 453 . . Gesonar la documentación generada en la aplicación del ciclo de vida del SIS en un sistema de gesón documental para que su acceso esté controlado y pueda ser vericado en caso de auditoría. . es muy importante considerar los tres aspectos básicos de gesón que se indican a connuación:    Desarrollar un procedimiento de gesón de los sistemas instrumentados de seguridad. /Ž*£Ž*}:/k+/Ž* A la hora de aplicar las normavas de seguridad funcional.454 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. resultados a obtener así como responsables de la implementación de cada etapa. Denir el nivel de capacitación de referencia para asegurar la competencia del personal que es responsable de desarrollar acvidades a lo largo del ciclo de vida de los SIS. en el que se especiquen todas las acvidades del ciclo de vida de los SIS deniendo los objevos. CASO PRÁCTICO "- Ana María Macías Juárez SUMARIO: +. j H     .      H¯Ž} $.     *+ <’!% .  .j&   %&    . |j   j.    *+‰H   .    H¯Ž}$ .  *+*$ %j  $   *+*+    %.   j ^. j<  *+*}.   %. Consejos práccos.  Para no olvidar. "-"+k:Ž$–//+  +$. . $'. '. )   $ . Q . '. '  #' . ' 66K. 'P. . '/'J/'$  . '/.  '' / operación y mantenimiento). Estudiaremos el caso de una SIF implementada en la torre de absorción del pro.  . ' 6 .   3  $. . $) '$ $ . '  .  $. . '' 'P. . '3'  '$ $'  '$$' )]Q '#. 33'  '  "-H+*+*$:+*ªŽ*$+HkH¯Ž} + $ &. '*:@@ED  ' &'. ' 3 . $ .  7 ^ ^ ^ . $'# .  $  $ # .'K%BS) en el gas de alimentación(corriente principal). ')8 . '*+&/)  . '.  . '*+ 6''.  $ . $'# . '&'.  $  . '.  . '  '    $ ' ' &. '  $  $  . ' ' & ' $    $*:@@ED&$ $@HÉ )HEÉ R  $  )$  O. ' 4'   '    ' . ' ) $ &'4    .  . '   &. '   . $$  $  +T'. . $' $ &. '*:@@ED. $'  :@@EB.    & Q'3 $''3' .  ) $ & $ . ..  $ $''#   $# % W'$'P.456 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. . '. . '#' / .  $. . $'. . '&'     '#'$'#'$'P.  ‰j. "-"P&ID del proceso. . }H:k:Ž Nivel PALABRA GUÍA Menos Válvula controladora de nivel abre totalmente debido a una señal incorrecta (LV-4402) CAUSAS Incremento de presión en el sistema de baja presión de MDEA. Caso prácco 457 . Instrumentación del contrasta.  Pérdidas de producción CONSECUENCIAS LSLL-106 que manda a cerrar la válvula XV-101 SALVAGUARDIAS Incluir un enclavamiento de seguridad con nuevos iniciadores dedicados que cierre la nueva válvula todo-nada a situar en la línea de descarga y pare la bomba GA-4402R. resultando fuga de gas y posible fuego o explosión. ACCIONES Área de procesos. RESPONSABLE El tag de la SIF es SIF-3 /ŽkH:+Ž* * : 27-02-2012 Nodo 3: Condensados amargos del separador (FA-4402) a la torre de absorción (DA-4401) incluye la bomba (GA-4402R) y Separador FA-4413. + : Torre de Absorción P&iD: 32701 A 414 rev6 $ ! :  ! k < "-"Resumen de Análisis HazOp. .458 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.  $ %»WG/  '$'P.. $ $/ . '  '. ' . ''$ $  #' 7 6:X7 ^ ^ + $''. ' 7»R:EB + $P 7. '  «»S:DED ‰j. . "-P&ID con propuesta inicial de función instrumentada de seguridad. Caso prácco Antes de pasar a la etapa de determinación del SIL. necesitamos una serie de  $ $' 7 ^ ^ ^   &'$  '$' . / 6 . $ <*+-*  ' $ &. 3  O' $  ' '3$'$   . $ EB8 JK .  H JL)  $' 3  $' $$ ÝD>H/EEE +T  . D$ "-$k:+H/+ $*+Ž¢£k+‘Ž}H:HH‰–/+  IDENTIFICADA +$. . $'.    4$ $''#   . . ' 6+$ 4$$' $ Q ' '. /) $ Q 3  63&$'/   4$$$  $.  '$ $'/ # .     $''#3$''   3. # + :ADHDD:XO K'# D>XL ‰j. *7 ^ ^ N . "-Matriz de riesgos para la determinación de SIL. ''$ $  #' 6X. ' P. '$. . ''#$'6.  '  'P. . ' '. N  .'  con objeto de reducir el riesgo. ' '$ $    #'  6 X  3  . ' P. '$. . ''#$'6.  ' '' 'cionales. 459 . .460 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. ^ G& & $   .  '   .    $. . (.' ''$ diante la implementación de un SIS.  3'  $>) .  'P. . ' & &''  . . ' 3 .  + :ADHDD:X7 }. o fallos espontáneos de recipientes de proceso. [ '  . o escapes importantes en áreas de carga/ descarga. Medio Eventos tales como fugas de proceso.< <   k%! / &  j  ! Eventos tales como los fallos múlples de diversos instrumentos o válvulas. Alto  ] el sistema debería estar de acuerdo con esta norma cuando se realiza una reivindicación de que una función de control falla con frecuencia inferior a 10-1 por año. errores humanos múlples en un entorno sin tensiones. fallos de instrumentos o válvulas únicos. o errores humanos que dan lugar a pequeños escapes de productos peligrosos. Bajo Eventos tales como los fallos simultáneos de instrumentos o válvulas dobles. . . ' 7 / &   . Consecuencia catastróca para el personal y el ambiente. Parada de un proceso durante largo empo. [   '3   $' $. Parada corta de un proceso. Menor Daños de equipos. Sin parada del proceso. !  +%  Muy grave Daños de equipos a gran escala. Daños graves para el personal y el ambiente. Grave Daños de equipos. Daños temporales para el personal y el ambiente. /.  37 ^ ^ ^ % & '$'P. .    # ' .   '$. )3   $ . ' GK6:DEA. '   «S:DEDL . ' G3''$ .  ) $ $'.    .  3$ . '  . $ /$ '#'P. 3 & &'' . . ' R +%»WG'$'P. .  . . . ' 7 : G'&#  O$'. '#O' : G4' . . ' . Caso prácco 3   '.   $'  #' )4' . . '       Paso 1:$3  '$'P. %»WG GO'$$/   $''# )3$ GB3$. ' '$ )3. '  G3$ .  'P. +. '/$. ' '$ ) 3 #$ 7 —34 6 & $  .   '$ 3 $) '. ' ˜ Paso 2:  '$3 & &'' . . ' R Paso 3:$ 3. ''& '  . . . ' /   3' $ $3# '# . '$4 . /.     $ &. ' 3/  ' / )     $/ . '     . . . ' .  (S+6K J#    L * $      &$' 3  6+N(**  6  $  6  6B X > H 6'#' ' . ' '$3  . #' 7    Paso 1:$'P.   ' GO'$$/3$ 3$  GB Paso 2:% '$3 & &'' . . ' R Paso 3: '  . . . ' /$. $ &'4(S+ KG   . $ . L G3$ &'4&$ 6B $ 66B#' )6B J 3'84'  producción. Nota: 6' $ 3. . ' 6  $   '#   6 "-[*}/+‰+/H/+Ž*$Ž*:–+*+kŽ*$*ª–:+$H$$H*+‰ N 3  $ ' 6/.    '  6(6+#'   $'. ' $DE $  .  Tag de la SIF SIF-03 Servicio/Equipo DA-4401 y FA-4413 Enclavamiento asociado en el ESD SIF-03 P&ID no.) P&ID-32701 A 414 rev6 Fecha 2-ENERO-2012 461 . (Revisión no. .. y XZV-101B. Véase Nota 1 Elementos nales y acciones para llevar el proceso a estado seguro Cierre de XZV-101A Nota 1 Otras acciones de NO-Seguridad asociadas al enclavamiento Parar el equipo dinámico GA-4402R cuando se detecte pérdida de posición de las válvulas XZV-101A y XZV-101B. Referencia del estudio de HazOp HAZOP-11-2011 Referencia del estudio de la determinación del SIL GRSIL-12-2011 Intención de diseño de la SIF Para evitar la sobrepresión del sistema de MDEA equipos FA-4413. Sensores o iniciadores de la SIF LZT-02A y LZT-02B. y baipases de mantenimiento. de las acciones del SIS y sus diagnóscos. Véase Indicación en interfaz Hombre Máquina (HMI) de seguridad. así como su restablecimiento.462 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. LSLL-106 que manda a cerrar la válvula XV101 (IPL10) Salvaguardas SIL requerido 2 Comentarios/estudios adicionales No ‰  j. 2/Año / . Máxima tasa de disparos espurios 0. . >  .j  % . j . del SIS. PB-01 Baipases de mantenimiento/máximo empo de acvación No Reset del enclavamiento Por soware una vez que se ha llevado al proceso al estado seguro. Parada manual/tag del pulsador de emergencia Si. . se han restablecido las condiciones operavas y el personal Responsable ingresa la contraseña con privilegios. Estado seguro Válvula XZV-101A y XZV-101B cerradas Valor del disparo Bajo-bajo nivel de la torre DA-4401(LLL150mm) Modo de demanda Baja demanda Modo de protección Desenergizar para disparar. etc. disparar los elementos nales. en instrumentos sensores y PLC. Diagnóscos Sí. Tiempo de vida de la SIF 15 años Requerimientos especiales (TSO.). No * .Caso prácco Modo de fallo En caso de fallos peligrosos detectados. En caso de Mantenimiento. Tipo de Grupo Sensor Transmisores Indicadores de nivel Tag de los sensores LZT-02A Y LZT-02B Votación 1oo2D. provocará degradación 1oo2 a 1oo1. Otros requerimientos especiales No   !. y mediante un empo programado de 8 hrs. Interferencias electromagnécas. toma de erra común para toda la instrumentación y equipos asociados. Misma ruta de cables. se mandará a falla segura. se bypaseará el Transmisor de Seguridad dentro de la Lógica del SIS. y no habiéndose corregido el fallo. mediante contraseña. Mismo mulcable Degradación de votación ante fallo/ mantenimiento Cualquier fallo detectado por los diagnóscos de los Transmisores. Véase nota 1 Acción Desenergizar para disparar MTTR (mean me to restore) 8 hrs Intervalo de pruebas manuales 1 año Causas de modo de fallo común › › › › Temperatura ambiente por encima de los rangos de operación admisible por la electrónica y/o accesorios de la función instrumentada de seguridad. Transcurridas 8 horas. ƒ% . Véase Nota 1 463 . Véase Nota 1 Votación 1oo2 en válvulas.  „ Tipo de grupo pLC de Seguridad MTTR (mean me to restore) 8 horas Intervalo de pruebasmanuales 1 año Fabricante/modelo no especicado   &  Tipo de grupo Válvulas on-oY Tag de los elementos nales XZV-101A y XZV-101B. que origine atascamiento del vástago de la válvula. Otros requerimientos especiales No Nota 1: G  .464 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. Acción de los elementos nales Desenergizar para disparar MTTR (mean me to restore) 24 horas Intervalo de pruebasmanuales 1 año Causas de modo de fallo común Suciedad en las líneas de proceso que no permitan la estanqueidad requerida en el asiento de las válvulas. Corrosión en el ambiente.. ''.   '  3'$. $ 3  3' ) 3. '  %R/.  3'  $=)DD + .    '   O' . ' $   . $    + :ADHE?:B/ 3 $ &.  3   $$'</ O' 63 .  . %R D) 6 Ô=Eµ.   &'$ /6B  $ 6B .  ''. '  3'$. $ DB¨  /.  $ $  '.  ''. ' /  3'$. $  . '  DB* ‰   +$. /   $$'/)$ . $  + :ADHE?: B/  $$' $%R E. 6ÔAEµK $.  T     $:  L/ O' 63&$'6D/3$ 3'. '     '. '   3' '$  3'$. $  + $ .  $  DB –   G    . tomando en cuenta  + :ADHE?:B/$.     unidad lógica de electrónica programable. ' $'' 3'.   . . '  6# ) =Eµ/.  /  $$' $%R E/ O' 6 3&$'6B "-'$+Hª:HH/H–*H^‰/kŽ$*+* + $  $ )       $ &'4  ' #  .  :. $/   3#P. $   . . '#' ) #'  KR & D>BL . "-_$+*¡Ž/Ž/}k–H  .Caso prácco k < "- Matriz causa y efecto del SIS. 'P. . '3' '$#' $ &. 3''$#' #' 3'  $ . '6B)3 $  '  '& )EB8 J+' '$$'J/ $ $. # #'  6(6K. . '$'   3  'J . . $ /) 3  $ $  ''  &$  465 . 466 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...  $'' #$'. / '. ' '$$'/3  . ' /.  . $'   '  L "-_"$+Hª:HHH¢Ž–*$H:–+k/k–:H}:Ž}–*kHžk/ŽŽª=H* * .   &  $   3 & 'J. . $ / . $ .  .  TÅK. '/.  $''  3'$. $  $L/ED   $. #  Q $ $P /EEH/)EEBG  +3'#' . ' . 'ó para esta SIF la siguiente tabla de  $K  $  & &''     / ) . '/    &'$ '/    P'. $'. 4 600 PLC de seguridad 1.60x10-6 1.7 0.40x10 0.30x10-6 0.70x10 0.500 "-_//–Ž*$}:Ž¢H¢++$H$$‰HŽ$H$H}:Ž$+Ž ƒ}‰$ !„ .0 0.5x10-7 0.995 5.41x10-6 3.000 Conjunto válvulaactuador 2.L7 k < "-Datos de equipos disponibles para la Función Instrumentada de Seguridad.0 3. EQUIPO  ƒ˜-1) -6 ƒ˜-1) -6 / Cd ¹j  Transmisor de nivel 0.999 0.  K        > . #% G* # ÞKD:Å)KD: DLO™D]BORBL8X½KÅOCDO™DORL8B G* # ßÞKD:EEHLKD:E@LOE>+:AàBO?>AEBâ8X½ÞEEHOKD:E@LKE>+:ALO?>AEà8B  G* #sensores @E>B+:A½=D=?+:H =AEHB+:H .  K Z> . ## G* # KK™LORL8B G* # KD: DLO™DORL8B G* #G = (XHODE:>LOKD:E==HLO?>AE8B >AAH+:A .  K .  [ . !#% G* # ßÞKD:Å)KD: DLO™D]BORBâ8X½KÅOCDO™DORL8B ßÞKD:EDLODX+:AàB O?>AEBâ8X½KEDODX+:AO?>AEL8B . Caso prácco G* # $P  XHEDH+:H½HA=@+:@ AE@@+:@ .  K   G* #total==AEHB+:H½>AAH+:A½AE@@+:@ >E?D+:@ (.  3(( D8G* #/3$. 7 (( D@DB3.  . 6X)$ $.  . 6B . elemento simple.    H H "\$] Cálculo de la STR de los transmisores en arquitectura 1oo2D (Os  O D ) x 2 para tecnología Tipo B. STR 1oo 2 D  ÞBOKKE@+:AL½KE@OE>+:ALLà DXA+:A :D Cálculo de la STRdel PLC en arquitectura 1oo1D STR 1oo 1D (O S  O D ) para tecnología tipo B.  ÞD@D+:A½KE==HL«XH+:>à D>A+:A :D .  \ .  [ . ! > .  KBA+:ALOB HB+:A :D Cálculo de la STR Total 6R($$  DXA+:A½D>A+:A½HB+:A ?XB+:A :D + J7 6R($$  EE>B J  EE>BÔEB'J . #% STR 1oo 2 (Os ) x 2 para tecnología tipo A. $ & RR6 DX>B J +G¡*/4 &'P. 'J. . $ /3  .    '# D>@ 467 . ‰j..468 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. N 3  ' 'J. "-[P&ID del SIS. . $ 66/.     '#'$ . '. ' #' . ' /3. . 'J de detalle del SIS. Caso prácco "--$+*¡Ž$$kH$*+* G $' . 'P. . '3' '$#' )'J. . $ .  . ''$ $  #' K ' $. ' '$ /   $'. '. '  #' . ' L/  . &'#'$7       Base de diseño del SIS. $  3' '$#' /. '$    . 'P. . '  3' '$  #'  KL/ $  . $ $$ ) $'  '. &  '  $  'J. . $ '#' /.  /'$  . ') & 66 Filosofía de operación del SIS.+    $   /  . '.  . ''$ $  #' /. '$  . 'P. . '3' '$#'  3/. '& . . '   3&  . &    3. 3'. P&ID. indicando los tags   /3'/'$ $/3'$'$  ción del SIS. en restablecimiento y en mantenimiento. su parada. + $/ 3  .  el SIS. '$    '$ $ . ' 3 .   .   . ' '$ $    #' / $   T   3' 3 .  .  &'$ K/. $ / $P L/ .   'J . . $ /  . '/  # . '  K#'.  DD/ DB/BX/$. L/) '$# . '$ J  ' '$   & 3' K%L +$.  $/   . $.  . ''$ $  #' /  $/ .   ' &# ' HD .  $3. $' $$' . $ ' ''. '. '   $ #'. . $ $ . 'K$ .   UinterlocksV ' '$ $/. $ /) $P . Este documento.$L Lista de instrumentos. se complementa con el recuento de '$ $)3'. $3.  66R .   R  '  '/ . Q$ . $ : / 4  6#' / $.  Este documento. dependiendo de la etapa del desarrollo de la ingeniería se .   $    '. '$ $/)P  $/ &  de datos de los sistemas de control (en este caso. Plano de implantación de equipos. del SIS). En este documento. las disciplinas de $& /. '') . '. /'. '  $/   &'. . ' .   3' . '. . K$ . . '  / $' '. '/ . ž$& L/ .   'P. . 'K.  & & . subestación 4. centro de control de motores.so. cuarto de control de operación. $'. /. '$  # '$  . 'L 469 .          N  '  $ ..470 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. '/. '  #   $ /  '$ $ . '66+$.  $ )' $ $    . $'$  . '3'/  3'.  &      '#' 4. $'. K. '. &4. $'. :. &   '$ $ ) 3'  66L/ )      . $''    . al ser listados. Estos. generan un recuento de  +$  )6 '  #   .' ) mantenimiento del SIS. Lista de entradas y salidas.  $'J K@:BE /B@ S */$. L/.  . '  ' ' '$G 6#' /)$ #3'$9  '$   & 3'  Diagramas de lazo de control. ''. ' ' #   . $$  $ ). $' . '. '$4. $'. $$ ' /3 '# . $/ $. / $ . $  ). R . / $  '$   Hojas de datos para especicación. de instrumentos y equipos del SIS. y especicaciones.  . '  . 'P. . '3' '$#' / & 'J/)'. '$ $/.   '   Q  $). 'P. . ''$ $)3' 66 ' . '3   $ $  Q  $/'. )$.  $/  /. 'P. . ' '$ $)3'/   $' $   /. '&' .  &# G '$   & 3'  *4$$ '  /) '   '#' K$ P '#' ) 'P L/.    3''. '3'3 .    '$  '$ $   #' /  .  / '     ''' $$  K ''$ 'P. . '/Q L/  . '' '  '$ $'.  $   'J'$ /.  ' '$ . '. ' #' . '  K'P. . '66L Conguración de controladores de seguridad. a &3/ $. y listado de programación realizada (lógica escalera. listados de entradas/salidas de controladores. L/ .   .  /  $ &.    #'.   # . Diagramas de conexionado eléctrico de cajas de y regleteros en las cabinas del sistema de seguridad^.'   lenguaje seleccionado.  / $  ' '3 3'   Q   . . ')3'. $$. Q / .   . O'. $)J /3' $ $ . /. Se describen las partes de repues$3.$ '$   & 3'  Lista de repuestos de los elementos del SIS.   3'/$ .   '   on-off/$'   /$'). '. ' $ Q$ /. $ /$'$ /. $ #' /$. incluyendo especi- .L Documentación del equipo suministrado por el vendedor. Caso prácco P. . '/3' '$'$  . '/)   $' '$K 3  ) . /$'. '  #'  3'66/.  /. '& . ' . ' $'.      . & $' '$3'L "-W+*kHH/+ /Ž+*+ŽH$Žž}:–¢H*$*+* N 3 .  $  '#' ).   66/.   $    '$  . '/   .   '.     '$  . '  /  &'/    '$  . ' O'$$Krevamping). G    '  . /  3'  66/  '$       $   . $. . '/ .   $ & Q  '. '' '#'  K . '. /$& /. ''/$. L .  . #  '  . . . ' 3'. /) #$& /. .  $$ . $' G  #. /3'$ & Q   . pruebas y puesta en . el tiempo programado de la instalación.O'$$/ lo cual. normalmente. 66/&. '. ''. $' .  $  $   -  $/  $ '. '$' $' T$'   '  $' '$ ) 3'. +$/ #  '$  . '66/. 3  $ ) $4 . ' S4  $DX/. '&$  & ' '  K&'. L/) $ / '   3'3.  66 "-¨}:Ž/$++kŽ*$Ž}:H/+ žHk++kŽ G $' P  . '66 '    'J$   66/'.    'P KJ '$  . 'L/     . ' '$ . '66/  3'. .  $    . . '    3 $ / #  $ / . . '  $ &.  66.  # /). ' '$ $ &'4 . '&'$. ' '$/  . . ' $' '$$'/ . . $'  '. ) '. . ' $' '     .   . ' '$ $   #' K'''. ' &3'$ $/     ' '/&3 . '. 3'. 3 &' /$. L*'#  / . '. ''$  . . '      ''. K' .  .  $ J/ .  'J conceptual del SIS. (. por ejemplo).  $ &'43$Q   . ' 3'$  de pruebas manuales (TI) es de un J+$'#'P. 3'    #amadas  '  )$$' / )3  6 . . ' 471 .  3$ '$  ..472 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO..  &   .   $ . ': $ '$  .  &   .   $ . ':  '$  .  &   .   $ . ' '$'$'$$'. P# . '3 '$ . &  line se estudiaron en los C $?)D@/'  &'$ /' 3   $'  '. sustución de accesorios. mande a cerrar de válvulas XZV-101A y XZV-101B. 5 Vericar que el punto de disparo de LZT-02 A congurado en el PLC. recibiendo conrmación de enterado por cada uno de los involucrados. 9 Vericar que el sistema solo puede volverse a rearmar. 8 Vericar que la pérdida de aire de instrumentos (fallo segura). mediante contraseña (reconocimiento de disparo del sistema. & '$ /'  $ & ' $&    corte y baipases de mantenimiento en los transmisores. en caso de que aplique. conectar el transmisor de nivel LZT-02A al equipo de pruebas. mediante contraseña proporcionada por el asignado como responsable. 6 Vericar que la desconexión eléctrica de la señal de LZT-02A (fallo segura). 10 Reper estos pasos para el otro transmisor de nivel del SIS (LZT02B). desde el SIS. mande a cerrar las válvulas XZV-101A y XZV-101B). mande acvar la secuencia denida en la matriz causaefecto (cierre de válvulas XZV-101A y XZV-101B). 4 Mediante los bloqueos de válvulas aplicables. . o disparo en falso en su caso). y en úlma revisión). incluyendo permisos. # 2 Nocar a todo el personal operavo de la planta que se realizará una prueba al SIS. de acuerdo a la matriz causa-efecto. 7 Vericar que la pérdida de energía eléctrica de alimentación a válvulas (fallo segura). PASO # ACCIÓN CHECAR Ž© 1 Conjuntar toda la información requerida para las pruebas (información validada. y vericar la señal obtenida en interfaz hombre máquina. mande a cerrar las válvulas XZV-101A y XZV-101B. 3 (Tomando en cuenta que la planta se encuentra fuera de operación) Realizar la prueba iniciando con la puesta en modo test del SIS (desde el controlador. etc. k < "-[Procedimiento pico para operación y mantenimiento del SIS. del SIS. y corroborar si con las pruebas.Caso prácco PASO # ACCIÓN 11 (En caso de aplicar según diseño conceptual del SIS y recomendaciones de los fabricantes de los equipos). 13 Vericar el correcto voltaje de las fuentes de alimentación a solenoides de válvulas XZV-101A y XZV-101B. nivel de secado. se cumple con el factor de reducción de riesgo de la Función Instrumentada de Seguridad. por ejemplo). retornar a su correcta posición. fuentes de alimentación de CD. al personal aplicable (Diseñador del SIS. proponer nuevas estrategias. remplazo de ltros en caso de aplicar). drenes. dentro del diseño conceptual. recibiendo conrmación por cada uno de ellos. con los valores reajustados. 12 Vericar la correcta calidad del aire de instrumentos que llega a las válvulas XZV-101A y XZV-101B (presión. que la prueba ha concluido. y accesorios. remplazo de accesorios. válvulas. Remplazar solenoides de válvulas XZV-101A y XZV-101B y/o conjunto válvula solenoide. relevadores de seguridad. CHECAR Ž© 473 . 16 Entregar el reporte de pruebas realizado. 15 Nocar a todo el personal involucrado. 14 Una vez que se ha concluido la prueba. venteos. incluyendo el remplazo de partes mayores de la función instrumentada de seguridad. en caso contrario. . ªŽ*H:+Ž$k¦:+Ž*žH/: +Ž* G <Z< as low as reasonably practicable. _ basic process control system.  . K` certied functional safety expert.      .  $  3  . $'' .  ' '.    '  $ . ' . ''$ $   #'  3.  $'$'        . . ' 3$. $ ' #$'.     H   "\):. $ Q 3 detectados en las pruebas periódicas. H .    ' '$ /&'$ /''$'3 Q. $  . '. P. 6''. ' / #'. ) $P  6   .  . $  ' . '. 3.    . $ '.   .'  distributed control system.  H   ''.  documento de obligado cumplimiento.   . . '$' 3'$   $    `f`f` electrical/electronic/programmable electronic. `f`f` electrical/electronic/programmable electronic system. `   H< 3 $' /. )  $&''$'P.  `   H_$ $3.  'P. .   `  Q  $'$ '$ $ #' 3'  $   . . ''. . . '   # $ # ` emergency shut down (sistema de parada de emergencia). `  $ 3..476 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.. '#'$ .   .   #' / . '.  '$ $'&'#' . $ & `h equipment under controlK3'& Q. $L K . . j 7 33. .    $/ .   ' . deja al proceso en condiciones de riesgo intolerable. K     .'/'  $  6 K H 4  # K H  4  # KH   cuando al producirse.   $   ' /  .       . '. K<\ factory acceptance test. K   "$& &'' 4O'$ K?`< ''  /.' segura. $). . . KZ xed program languages. K< functional safety assessment K  .'  K?`< failure modes and effects analysis. ' #' . ' L K\< fault tree analysis. q<w hazard identication. HAZOP: hazard and operability. qK\ hardware fault toleranceK$ . KkZ full variability languages.  `$ $' +. safety and environmental.'    9 L q`health. $$. '.   '' Z$G$. $' ) < International Society Automation. Z@< layer of protection analysisK '' .  $. . 'L Z\ life time K$' ' L ZkZ limited variability languages. ? .   . . '3.  KL. . . ' KL$'# ? .   . ?   .'#'  $  : eración.   . '#'   . && Q      '$  $ #) . . ' $    )   J ?[  .   . '#'   . && Q      '$  $ #) . . ' $       J . Glosario de términos y acrónimos ?"M out of N):''.  $ . ''$ 3$ U-V.  ''$/3$. . $ $   3& $  . $' UV .    3Q. $ . ?\\K mean time to fail safe K$'  '$ #L ?\\ mean time to restore.''$ $  #'  MOS: maintenance override switchK& ' $' '$L ?\_K mean time between fail. ?\\K mean time to fail. &'$ 3'' '$  . '   ' $'%»WG  {ada:.  $. 'P. . '$4. '.  . ' .  *'. $' / $  # ' P. '  ' . ' $'. . $$ ' / 3.  ' '$  ' . '  . '.  ' . $ 3''$. '  '. $'  '. . & relacionada.  $ & .  '$4.  $O$. $ . '#  $'$ &'$). '/&'# . ``  #. 'miento. ' O$' ` programmable electronic system. K& &''  '     K process ow diagram & &''    /. $O$3$''. POS: process override switch K& ' . K probability of failure safeK& &''  #L PHA: preliminary hazard analysisK '''#' ' L Z programmated logic control. 'L   .   . . '3.  . . ' . 3. $'#  . .   . . ' '#   'J'$ . &Q$'$   4'  . $'  | .    '  . &Q$ . $$. $  sistema instrumentado de seguridad. } process & instrument diagram.  . \ partial stroke test (test de prueba parcial). .    7 .  $'P. . ''#3$ 3O'#'   .   $ &    .   $663 '   . '#'.   . $ . . ' . . ' $ . . . '  3. '. $ \ repair time (tiempo de reparación). 477 .   | .478 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...   la parte de la seguridad general relacionada con el proceso )<G 63. ' '$. .  ''$'.$66)$'$  protectores.  &' . '''$'/3 ' . '. '.  K Q 7 $  '/ $ . $/ '$$  . <\ site acceptance test.  f$. inte'$: rruptores de posición)./ o. . ''$ 3 )  . '  . . ' . . '  ' . ' '$'# . . . '  KK safe failure fraction K . . \ site integration test (pruebas de integración en planta).  sistema instrumentado de seguridad. Z safety integrated level.' #L K safety instrumented function.    .  '$ 3  J $  . )8  )# J  ' 3 . 3.        safety requirement specication. | ~  H . .  7. P.     '. . '33'  ' P )# G+6 | ~  3 ''$ .   $'$  | ~    3     )'P.   '. . \ time intervalK'$ &   L k .'grama.    . $''  $ 3 . ' . ''$ $ das de la seguridad y el sistema o los sistemas instrumentados de seguridad bajo . ' . ' 4    '$  . ' .    $  . $ .    . 'P. . '3''$#'  k  Q. .    . $''  $ . $.   . '. ' $'$/ ' $ '')8& /3 $  )  ' . P.  .  $ . $. &Q$')3''$$ &. '     . P.   . $.  .  T €$    €d$   '# €:$   # €dd:$   '#$. $  €:$   '#$. $  €:$   #$. $  SD:R   #$. $  . -[R 66.REFERENCIAS BIBLIOGRÁFICAS ^ ^ ^ ^ ^ ^ ^ ^ ^  ^ ^  ^ ^ B -686:6?@ED:D==A7Application of safety instrumented systems for the process industries. -[R 6 Society.'$) -6866G?@ED7Aplicación SIS para la industria del proceso. -686:?@EEED:BEE@G $XK+ ADHDD:XL-[R 66. Americam G$ $'$$D==X G(GHHX Renery control valves. ¾  '#$. ¾  '#$  '.'$) G (G HHD Process measurement instrumentation. +'# $ +'$'/-[ '. D==? G6$  H=?7Valve Inspection and Testing. G$ $'$$.  G$ $'$$.BEE@ 6+:GR :D=XTemperature measurement.-[ '. 6. '$). '.  -[ '. +#'D=>@ 6+:GR : D=H Flow Measurement.  6. '$)  . '. Directrices para la evaluación de riesgos en el lugar de trabajoO &#7WP.  +#'BEEH C.E. ' G&'. . '   ' + KD==AL Directriz Básica de Protección Civil para el Control y planicación ante el riesgo de accidentes graves en los que intervienen sustancias peligrosas. Aprobada (*DD=A8BEEX/D=6$' & *9 )$. ISA TransactionsD==?¨X>7DHH:DAA *9 )$.$'  )'$ ''# $)'$#'$):. $'  )' ' $) . Process Safety Progress:D===¨D?/@7BD@:BBE Evaluating process safety in the chemical industry -[ '.   '$) . '  $  '. G. 6 $) $ */< . ž %6Human reliability and safety analysis data handbook.-9[ž7¾'):$. '. 6BEEH ./D==@ &¾ '%Safety instrumented systems verication: practical probabilistic calculations. . Methods for the determination of possible damages.480 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO.  ^    ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ Green Book.. G( DA+/ R-W/*$. ''$)6. NY.'  'D==B  G/ '%Safety shutdown systems: design. analysis and justication. American Insti$$  '. 6D==? Guidelines for chemical process quantitative risk analysis. NY. +#'/BEEE Guidelines for process equipment reliability data – with data tables. Center   '. G. 6 $)$  '. $'$$  '. American Institute   '. +#' D=?= Guidelines for safe automation of chemical processes. NY. Out of control: Why control systems go wrong and how to prevent failure. Discussion document. N\%6+<ž/% $ ¡6 $)' . %6+<žD=== HSE. protecting people. Health and safety executive: Reducing risks. +#'/D==X HSE. BEEX + ADHDD:BEEE:E>+D $D:BSafety instrumented systems for the process industry sector. /$ $' +. $$. '.   ''BEE> + ADHE?:BEDE/+B $D:AFunctional safety of electrical/electro-nic/programmable electronic safety related systems /$ $' +. $$. '. Factory acceptance test (FAT). and site integration test (SIT). /$ $' +. site acceptance test (SAT).   ''BEDE + ABX?DAutomation systems in the process industry. $$. '.   ''BEDB +  ABX?B Electrical and instrumentation loop check.  / $ $'  +. $$. '. Guía técnica para la evaluación y prevención de los riesgos presentes en el lugar de trabajo relacionados con agentes químicos.   ''BEEA:DD INSHT.-[R 66.(*X>@8BEED/A  &'/<W+ÉDE@/D ) 6:6=DED:D==H. Identication of emergence shutdown systems and controls that are critical to maintaining safety in process industries. '$) 6:R(?@EEEB:BEEBG $BDetermining the SIL of a SIF via simplied equations.-[R 66. '$) 6:R(?@EEEB:BEEBG $X Determining the SIL of a SIF via fault tree analysis.-[R 66. '$) 6:R(?@EEEB:BEEBG $@Determining the SIL of a SIF via Markov analysis. -[R 66. -[R 66.'$) 6:R(?@EEEX:BEEBGuidance for testing of process sector safety instrumented functions (SIF) implemented as or within safety instrumented Systems (SIS). '$)  $(/Instrumentation and control in safety applications.N6& G$)G$'* $ 6 $>:@H/D==?JK. xito en la gestión de la salud y de la seguridad. '/-6%RD==@ .' dor traducción: Successful health & safety management). Desastres en plantas con procesos químicos Cómo evitarlos? 4O'..Referencias bibliográcas ^ ^  ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^  \$RQué falló?.. ..  $  '.  $'  $$'&$'BEE?:BEDD Layer of protection analysis: Simplied process risk assessment. 9%'BEED \ $R(Lessons in industrial instrumentation. G. 6 $)$  '. $'$$  '. +#'BEDD  .  G*Practical industrial safety. and shutdown systems.  $ +'BEE@ 'Instrumentation and control system documentation. - $' 'G$. risk assessment.6BEE@ -GA?/Guide for venting deagrations. $'. Instituto Nacional de Higiene y Seguridad en el TrabaQ ' (*DBH@8D===/DA'/3 &  ' .' $'/ D==@ -RGX=A7Deagraciones producidas por gases. vapores y polvos combustibles: sistemas de protección. $ '#' $  . . '$# 3'$# $ . '  '# )$' 'P. . ' ( 'A paper on what is necessary for using IEC 61508BEED 6 $  /< J G Análisis y reducción de riesgos en la Industria Química '+'$'  D==@ 6$.  . ' / . evaluación de riesgos y diseño '/+'.  $ Seguridad industrial en plantas químicas y energéticas. Fundamentos. ' * 6 $/BEE? 6 %'# '$#'$)$. $')$  . $'. 6':$.  Solutions. Chemical Processing/ . %$/6':R. /BEE@ 6 +/G  Aseguramiento de la calidad y sistemas instrumentados de seguridad. 6$' 6  / » . ) <» Improve facility SIS performance and reliability. %$6':R. 6$'/G&' %). &G. '#/BEEB R $ SA guide to the automation body of knowledge.+ $&$'$$'  '. Placas de oricio. ¾Hazard identication and risk assessment. Segunda Edición. 6BEEA N-+:+-6WHDA>:D/B/X)@Medida de caudal de uidos mediante dispositivos de presión diferencial. Toberas y Tubos venturi. instalados en conductos en carga de sección transversal circular. +#'D==A ¾ '$$*Successful instrumentation and control systems design.6BEE@ . ellow Book. Methods for the calculation of physical effects of releases of hazardous substances (liquid and gases). G(D@+/R-W/*$. ''$)6. '  '/D==D 481 . . 16 mediante HAZOP. 125 análisis. 97 HAZID. 349 2oo2D. 388 Calibración en planta. 324 diagrama a bloques de. 99 de diseño. 89 Bases. 350 de votación. 57 . 108 cálculo de probabilidad. tipos.ÍNDICE ANALÍTICO Abuelo-grandfather. 186 Cambios. 345. I análisis cuantitativo. 354 1oo2. 61 Ámbito de aplicación. 111 Arquitectura. 95 de los procesos. 53. 469 Cableado. 324 Balance de materia y energía. de protección. 232 Actividades generales. 443 Campo. 124 de sucesos. 282 inspección del.348 1oo2D. 106 de riesgos. elementos de. 45 análisis de las. 4 Accidentes industriales. 2 Capas. 2 Acondicionadores de señal. dispositivos mecánicos. 155 mediante listas de chequeo. 354 2oo3. con función de mitigación. 278 Alivio de presión. cuantitativo mediante árbol de fallos. mediante. 125 de las capas de protección. de fallos. 348 1oo1D. 339. 102 ANSI/ISA. 4. 104 preliminar de riesgos. 99 LOPA. 2 Análisis. 124 mediante árbol de sucesos. 354 2oo2. 337. de datos. 101 what if?. gestión de. mediante. 54 típicas. 455 metodologías. 466 y HFT. 1oo1. 155 de los modos de fallo y efectos. 21 Árboles. 61 con funciones protectivas. 337 análisis cuantitativo. 124 análisis. 101 histórico de accidentes. 164 cuantificación. 155 independientes. 343. 259 neumáticos de diafragma. mediante. 259 Aislamiento entre zonas. mediante. 378 Actuadores. para instrumentos. 400 Diagrama. 11 función instrumentada de seguridad. supresión de. 65 Dispositivos en serie. 85. de inventarios del hardware y software. 196. 381 Diseño. 175 Definiciones. 280 Coriolis. 288 Comisionado. 6. 229 Contención. 148 Explotación del SIS. 361. medidor de efecto. de aceptación del sistema. 403 Fallo(s). 104 Ciclo de vida. 220 instrumentos a recipientes. 355 del hardware. 269 Escenarios peligrosos. 450 Electroválvula. 6 tiempo medio entre fallos (MTBF). 90 flujo de proceso. 464 de tubería e instrumentación. 265 Elementos. 156 CENELEC. 305 funcional. 77. 203 por presión diferencial. 9 nivel integrado de seguridad. de causa común. probabilidad de. medida de. a bloques de arquitectura. 72. 217. 308 generales. Caudal. 216 de campo. 55. 375 del SIS.484 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. 386 de seguridad funcional. 63 Discrepancias. 8 . 405 Circuitos de seguridad. 450 Certificado. 15 Estrategia. 35 Discos de ruptura. 452 de seguridad. sistemas de. 329 distribución de.. 249 Diagnósticos. 65 Control de posición. 49 conceptual. 262 Documentación. 369 Complejidad del sistema. 51 elemento iniciador. 299 Disparo espurio. 5 Certificación de seguridad funcional. 66 Detector por flotador externo. 397 SIT. 422 Cebolla de la seguridad. de integridad. 398 Check list. la. bridada. 386 de rendimiento. desarrollo de la. 254 prueba de carrera total. 391 Comunicaciones con otros sistemas.. 465 de detalle. bimetálicos. 2. 49. 420 comprobación de la. 383 Eventos peligrosos. 466 causa-efecto del SIS. 469 de software. 93. 380 funcional. de vapor. 80. 51 Especificación(es). 238 de temperatura al proceso. 386 para medida de caudal. 167 finales de control. probabilidad de. 216 en la vena contracta. 8 sistema integrado de seguridad. 48 Estudios de riesgos y operabilidad. 321. 193 inspección del. sistemas de. 10 Deflagración. 219 termopares. comprobación de los. 406 demanda. 306 Estándares. 64 Diverter. 312 de seguridad. 88 Directiva. 301 Comprobación. 113 Evaluación de la seguridad funcional. 396 SAT. 193 roscadas. 79. 301 Conexiones. media. 198 radius taps. 399 FAT. 272 Dispersión. 71 de los SIS. 387 de la documentación. 1ŶĚŝĐĞĂŶĂůşƟĐŽ promedio. 415. 466 peligroso. 388 eléctricas. factores claves. 395 Listado. comprobación de. 43 HAZOP. establecimiento. 91 de instrumentos. de la instalación. 66 Gas. 314 de subsistemas. 387 y pruebas mecánicas. 36 Legislación española. 366 Glosario de términos y acrónimos. 91 de riesgo. 76 instrumentada de seguridad (SIF). cálculo del. 160 metodología. 292 instalaciones. 388 del conexionado. 452 Gestión. 24. 456 HFT (tolerancia a fallo de hardware). 291 de nivel. 11 probabilidad de. 47 Fuego. 249 Intervalo de las pruebas a los sistemas. 170 medidores de caudal. 447. 378 del cableado. 288 mecánica. 393 Interruptores de nivel. 448. de 8 de noviembre. 373 del SIS. 7 Índices. 324 Identificación de riesgos. 113. 80 Instrumentos. 290 mecánicos con interruptores. 326 del SIS. 186 Integración. comunicaciones. de instrumentos. 91 Logic solver. exigencias. 20 Limitación mecánica. beneficios. 146 calibrado. 162 ejercicios de aplicación. procedimientos de. 5 Normas. 376 Fiabilidad. 86 Fórmulas simplificadas. 392 de seguridad. 15 Ley 31/1995. conectados al proceso. 369 pruebas y comisionado. 295 485 . 380 Inspección. documentación. 159. 66 Gerencia de seguridad funcional. 475 Gráfico de riesgo. 260 asignación. 406 seguro. de votación. sistemas de. 289 Instalación. 128 IEC (International Electrotechnical Commission). 387 ISA. 9 protectivas. 145 Informe de pruebas. 41 Legislación. 418 Lógica. 35. normas. 444 personal. 11 tipos. 407 Fases de ciclo de vida. 443. 372. 73. complejas. 36 61511. 369. de cambios. de la evaluación de la seguridad funcional. sistemas de. 204 insertados en el proceso. 37. 91 de disparos. de la información y documentación. 371 FAT (pruebas de aceptación en fábrica). 264 Flujo de proyectos industrial. 150 Guías. 366. 409 Inventarios de hardware y software. 234 de presión diferencial. 121 SIL. de alarmas. 400 de comprobación SIT. 357 Funciones. 279 Lista de comprobación. cálculos de probabilidad de. 129 análisis de riesgos. 298 Protección. 202 de gases. 403 y explotación. 115 Normas. 43 Normativas. 448 OSHA CFR 1910. 107. 201 de líquidos. 444 de mantenimiento y operación. de caudal. con elemento generador de presión. 175 electromagnético. con potes de drenaje. 369. 252 Operación. 187. instalaciones. 191 Planes de emergencia. 150. 19 Palabras guía. 443 Modos de fallos. 77. 146 cuantitativas. 150 semicuantitativas. 376 de carrera parcial. 77. 411 Organismos y recursos. 120 Necesidad de aplicación. 162 Matriz causa y efecto. 190 recomendaciones. 353 Matrices de riesgo. 145 cualitativas. 181 de efecto Coriolis. del SIS. 234 con desplazador. Mantenimiento. 212 de temperatura. 15 Onda guiada. 435 Programmable electronic system (PES). 75 Partial stroke test. ventajas e inconvenientes. 274 de reactor. 421 de validación. 125 Modelos de Markov. 215 de vapor de agua.486 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. 92 Pre-puesta en marcha. 372. 37. 32 seguridad eléctrica. 252 por presión diferencial.119. 118. de gestión de cambios. 202 Medidor. 382 de puesta en marcha. 33 Markov. 281 de funciones generales del sistema. 122 semicualitativas. responsabilidad. 243 por onda guiada. análisis de los. 241 de presión. 196 tipo Wedge 195. 389 de validación. 35. modelos de. 331 Procedimientos. 241 en tanques cerrados. 149.. 50 de los sistemas. 438 del sistema de alarma. 82. 324 y efectos. 389 eléctricas. de combustible quemadores horno. 298 Placa de orificio. 210 de nivel.. 200 de vapor. 389 de integración en planta. 208 diferencial. 30. 246 en tanques abiertos. 147. 292 . 353 Modificaciones del SIS. de aceptación en fábrica (FAT). 99. 92 Medida. 382 Prevención de riesgos laborales. 32 máquinas. criterios de selección. seguridad. 184 Metodologías. 20 Probabilidad de fallo en demanda. 178 Vortex. 188 de diferencia de presión. índice SIL. 68 Planificación de la seguridad. de instalación. 81 Máquinas. 174. 278 PES (programmable electronic system). 2 NODOS. 179 magnético. 203 por presión diferencial. 155 Métodos de identificación de riesgos. 270 Prueba. 278 aplicación de la. 448 Plano de localización de equipos. de área variable. 36 Validación. 20 Rotámetro. 153. 413 on-line. 17 Símbolos lógicos. 369 procedimiento de. 169 eléctrica. 438 Válvulas. 411 Riesgo. 300 de utilidad. 438 pruebas de. 461 Responsabilidad. 119 laborales. 173 Tuberías con bridas de orificios y conexiones. 370 Validación. 238 Supresión de deflagración. 220 Termopares. 394 Sección de redundancia. 216 Terminología. 416 operacionales. 376 del SIS. 16 Reability block diagram (RBD). 324 Técnica RBD. 349 Reducción del riesgo. 16 de procesos. 299 Stand pipe. 298 Temperatura al proceso. 291 off-line. 194 UNE. comunes. 1 Sensores.1ŶĚŝĐĞĂŶĂůşƟĐŽ hidrostáticas. 289 neumáticas. Normas. 296 electrónica. 199 Tubo Venturi. 379 RBD (reability block diagram). 58. 79 Requisitos. de control. 6 Termómetros de sistemas térmicos. inspección y. 66 Tamaño del sistema. de los procesos. 28. 2 Registros. 168 Separación de señales. de seguridad. 151. 306 particulares. 46. 78 de seguridad de la SIF. 349 RD 1254/1999. 60 térmicos de presión de vapor. 91 de fuego. 109 Sistemas. 418 de campo. comprobación de. 161 Redundancia. de alarmas. de aplicación. 57 de dispersión. 299 integrado. físicos. 226 Termostatos. 16. análisis. 182 Salvaguardias. 255 487 . 52 SAT. 225 Tiempo medio entre fallos (MTBF) 10 Toberas de caudal. 66 instrumentados de seguridad. 411 de las pruebas de los sistemas. 244 inteligentes. evaluación. 78 funcionales. 297 PES. conexiones. prevención. lista de comprobación. 420 Rendimiento. 291 mecánicas. 229 Termorresistencias. 2 Seguridad funcional. 300 Tasas de fallo. 194 Tolerancia a fallo de hardware (HFT). cuerpo de la. 21 Selección de tecnología. 65 de control de procesos. 66 de gas. 223 Software. selección de. 283 Seveso. generales. 349 Tecnología. 65 de enclavamientos. 72 intrínseco. de las operaciones de los sistemas. con sellos. evaluación del. 322 Transmisores. 389 de contención. 380 Requerimientos. procedimiento para la. de seguridad.488 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO. 62 de proceso. 391 .. 330 Visualización y operación. medida de. 279 Vapor de agua. 268 solenoide.. 370 de seguridad funcional. 449 y diseño del SIS. 202 Verificación. 267.
Copyright © 2024 DOKUMEN.SITE Inc.