seguridad funcional en instalaciones de proceso sistemas instrum

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO

Sistemas Instrumentados de Seguridad y Análisis SIL

Coordinadora:Inmaculada Fernández de la Calle

Autores: ��

��!�"�#��$��%��&�'��(�)��*��#��

��'��('��+��

© Inmaculada Fernández de la Calle et al , 2012 (Libro en papel) © Inmaculada Fernández de la Calle, 2013 (Libro electrónico) Reservados todos los derechos. “No está permitida la reproducción total o parcial de este libro, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos sin el permiso previo y por escrito de los titulares del Copyright” Ediciones Díaz de Santos, S.A. Albasanz, 2 28037 MADRID [email protected] www.editdiazdesantos.com ISBN: 978-84-9969-658-4 (Libro electrónico) ISBN: 978-84-9969-210-4 (Libro en papel)

AACERCA DE LOS AUTORES

COORDINADORA

Inmaculada Fernández de la Calle

�'��'��'��'��M��'��N�'��'��$��'��+��'�'��M��'��$�'��+O��$��6�#��'��'��$'P��'��':#��$��K�6+L�

��'�)��'��O��'��'��$��$�'��)��6�#��'��'��/��$��:��$��$�&Q��R4��'��(��'��/�6��'�'��/��$��'��R�&Q��'��6�#��'��'��)�S��:��/�$�$��$��$��#��'��*��$��'��J��$��'��$��$�'��

(��'��&��$��$�$��6��+��J/�'��$'��&��S��6�#��'��)�*'��'$'��'�'��+��'��&��6��+��J�)��$'�'��$'��$��'��$4��'��

+��'��$��&��)� ��'$��$��9�K��#'��'�$��'��$��$��#��'��L/�10�K*��'P��'��#��'��:6(6L/�11 K*'��J��$��6�6��'��L�)�12�K*'��J��$��6�6L�

AUTORES

Alfonso Camacho López

��#��'��R4��'��'�)��'��O��'��'��$��$�'��/��$��$'��'��)��$��G��M��'��/�6'�$��$��*'�$�'&�'��)�6'�$��$��$��6�#��'��(�P��G�$��/�G��$��G�$��3��'��)��$��-��

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...VIII

%��'��$�&Q��$��'�'��$��'��$��$:�'��/��'��J��'��$��$�'��)��$��'��'�#��'��%��'��&��#�'��'��)��'�'��$Q�/��&��)��$�� T�$'��'��$��$��3��'��

G��$��$��$�'��)��$��G��6�8(��%��'$��$��8�K+��$��'�$��'��$��$��#��'��L�


�'��'��'��'��M��'��N�'��'��$��'��'�'��M��'��$�'��+O��$��6�#��'��'��$'P��'��'#��$��K�6+L�

��'�)��'��O��'��'��$��$�'��)��6�#��'��'��/��$��:��$��$�&Q��R4��'��(��'��/�6��/��'�'��/��$��'��R�&Q��'��6�#��'��'��)�S��:��/�$�$��$��$��#��'��*��$��'��J��$��'��$��$�'��

(��'��&��$��$�$��6��+��J/�'��$'��&��S��6�#��'��)�*'��'$'��'�'��+��'��&��6��+��J�)��$'�'��$'��$��'��$4��'��

+��'��$��&��)� ��'$��$��9�K��#'��'�$��'��$��$��#��'��L/�10�K*��'P��'��#��'��:6(6L/�11 K*'��J��$��6�6��'��L�)�12�K*'��J��$��6�6L�

Carlos Javier Gasco Lallave

�'��'��'��'��'��N-+*��'�'��'��$�'��)�+O��$��N�'��'$�'��(�#��'��)��$��G��$�'��N�'��'��G��'$4�:�'��'��

%�� '�� $��$��3��'��/�� $��6�#��'��G��/��O��$��6'�$��$��$��6�#��'��)��$�O/�)��#'��$'�'��'��'��'$�'��)��J��/��'��$'�'��$��$��UM��'��$�'V/��N�':��'��(��'��)�S'�#'�'��R��#��)��&��'��)��$��J��6�:+��J�

Acerca de los autores IX

+��'�� $'�'��)��$��'�$��'��#��'��$��$�'��'$��$�'�/��#��R4��'��(��'��)� ��'��$��$'��'��$�'��$��'�$��*�9� ��'��&4�'��K+��J�)�G��$�#�L��6�6�Coach.

��$��$��&��#��'��6�#��'��'��#��)��$��

%��'$��$��2�K��#'��'��/��$��)��$'��L/�3 K��$��'��'��$��'��L/�14�K��$��'�'��$��)��O��$�'��6�6L�)�15�K��'P��'��6�6L�

Ana María Macías Juárez

+W��Q��$'�#��#��'��$�'��$'$�$��R��#'��<��(��/��'�'�$��6�#��'��'��'��$�'��$�� '��:&��3�'��J��O��'��'��'�'��('��#��G��/�*�$��'��'��'��#��'��)��'#��'��6��&Q�$'��%��&�'��$��#��'��)��$'��$�� :�6�8�4O'��%�'��$'��T�$'��$��:#4$'��)� ��'��)��$��#��'��$��'��$'#�'��)�$��#��4O'��

%��'$��$��5�K*'��J��$��L�)�17�K��$'��L�

��

��#��'��R4��'��$�'�/��'�'�$�6��'��6'�$��$��)��6�#��'��/��O:��$��6�#��'��'��$'P��K�6+L/�$�&Q��BEEX��$��$��$��$��$�'��*'��'��#��'��:*'��'��R4��'��(��

%�$�&Q��+��'��#��'�#��'��$��'�'��$��4�$�'��$��D=?=� �$�D==B��+��R4��'��(��'��6��D==X��BEEX/��$��$��6'�$��A�$��$'��'��Grocesos I��$�'��)��$��$��$��$�'��)��$��

%��'$��$��13�K��R/�'��$��'��/��'�'��)��'��'��6�6L�

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...X

Gabriela Reyes Delgado

��"��6�#��'��G��*'�'�'��6�#��'��$�'��/�6��#��'��$�'��+��'�'��M��'��)�R4��'��6��'��G��'��('��:#��&��/��'�'��6�#��'��/�%'#'��)�+�#��

%�$�&Q��J��BEEE�)��$��'�$��O��'��'��':��'��$��#��%��KHazard and Operability StudyL�)��'�'��6��-��$'��-6�8�6�:6?@�ED:D==A��+�ADHE?8ADHDD��&��6�#��'��'��/��'��'��$��$��#��'��$'P��'��'��#��/��)��:$��'��$��'��O'�$��$��'��'��$��P��/��$��3��'��)��#�/�)��#��$��'��$�'�/�$�$��'��'��'�$��'��

*'��O��'��'��$��$��'��&��'�'��('��#��$�':��/� &'��'��$'��'��&��+�$��'��%��)��'�'��6��/��&�'��'��$��&��$��'��'�$'�$��'�$��'�'��

%��'$��$��6�K��'�'��('��#��G��L/�7�K��$��#��:$��'��'��'��6��L�)�16�K��'��#��'��'��L�)��&��Z��'��$��'&��

Julio Rivas Escudero

��G��)��$��(�P��6��$��G�$��#��'��4�$�'��%�� '�� G�$��$��'��$��

��'��$��$�'��)�+��$�'�'��$��'�'��$��)��$��$�'��#��'��+��J��=E��'��)��$��(�'��$��$�'��)�*'#'$�'��'��P��)� ��$��'��)��$��$��*�:��$��$��$��)�6'�$��G��'��(�P��6��$��G�$��$��3�'��J��KD==B:BEE>L��'��&��6��+��J/��$��'��'$4��Q��$'��$��'��J��/��3��$��G��'��$��

G��)��$��U��$��$�'��)��$��G��6�8(��V��$��6�#��'��$�'��

%��'$��$��1�K��$��'��'�$��'��$��$��#��'��L�)�4�K��$��'��'��'��'�$��'��$��$��#��'��L��4��$'��'��'&��)��Q��'�'�'��

AGRADECIMIENTOS

M�'�'4��#��'��#��6��+��J��:Q�/��'��'��)��)��3�� '��3��$��'&��/� ��'��#��'��3�� '��Q��$��)�Q��$�� #��P��

M��$��3��)��6��+��J�� :��'��$��$��'��*��/��)��)��'��'�� '��#�'��

-��Q��&��$��'�'�/�� 3�� '��$�&'4��$��$��'&��

N��'��'��<��/�3��'�� :$�� /��'��$��)��$��$��'�'&��'��

��$��

PPRESENTACIÓN

�� $��$��'&��&��6'�$��$��$��6�#��'��/�3��'��'��'&��$4��'��J��&�'��6��'��+��J��6��

�6�/��$��$'��6��'�$)��$��$'��/��#�'��'��'�$��'��'��'��/��'��&'$��'��$��$�'��/��:$��)��$��$��$'��'��

��6��'��+��J��6��D==?�)/��J��/�� $'��$��'��)��T��$'�'��3��'�/��$��3��$��'��$4��'��/��'��)��$'#'��$��$��$�'��)��$��G��$��'&��/�'��#��$'�'��3��'��'��$'��$�7��'�'��'&��$4��'��

G��&��'��$��'&�� '��#��P��#��'�:��#��O��'��'��6�#��'��'�� :$��'�'��$��)��O��'��'/��3��&��$��$��'�'��$��'��)��$'��

%��$��'��'&��T$'��$��'�$��6�#��'��/�$�$��$��'�$��'��)��'�� '�'�� $��6�7��$��)��'��#��'�'��$��$4��'��$��$'��'��)��'��$��&��$4��'��/��Q�:��'�'��$��)��'��'��#��)��#��'��

�'��$�/�3�'�� #�� $�� 3�� $�'&�'��3��$�� '&�� )��'��*��'��/��P��&��'��'��#��&�/��$��#��3��$��'&��$��#��$'��'��/��$'��T�'��)�� '/� ��$�� '��'��$��$��)��'��'�$'�$��$��/��/��&�� $'��'��[��'��*��:��)��<�:��$�&Q��)��Q��#��3��/�P��$�/��$��'&�� )��'��'��)��$��&��$��)��$��

+�� &��'��$��&Q�$'��

��'��'��$'��)�G��'��$��6��'��+��J��6�

XIII

PPRÓLOGO

“Cuando conocemos, pues, que algo sucede, siempre estamos presuponiendo que algo antecede y que a ese algo sigue lo que sucede conforme a una regla”

Critica de la Razón Pura- ��\�$.

+�$��'&��#��$��'��'��$��$��$��J��$��$��)�$��'�$�#��$��G��6'�$��$��$��6�#��'��

��#��$��'��'&'��$��'&��/��'��$��3��:$�&�� '��/�� O��'��'��$��/��$��O��'��'/��'P��$��3��#��$��J�� '��$��/�)��#��$��3��$��#��$��/��$�� $��'��P��/��$��'�'��

+��'&��$��'��)��$�3��$��$��'��'��#��'��/�&��$��+:ADHE?��+:ADHDD�)��$'��'��6�:?@�EE�ED�

��$'��'�&��/��3��&�'#��:��'�'��$��)��3��'��$'�'��$��

G��$��'��$��'��/��3��G�/��4�'$��:�'��K��$��L/��'��$�&'4��$'��

+�$��'��#��&��'��'��#��'��/��'��J��:$��/��$��3��'#'��$��)��$�/�3�4�'��'��'��/�)��$'�'��'��'��

+�$��'��'��$��4$��'�'��'��#��/��'#:��'��6��

��'��'��$��$�'��)��#'��$��#��'��'��/��$'��'��$��$��/��'��$��'��/�)��$��'�'��$��

*�� $��DE� ��speci�cación de seguridad� K6(6L/� '��:)��$��/�'��)��3�4�'��'��&��#��3�'��'P��'��#��'��

+��$��DD�'��'��$��Función instrumentada de seguri-dad�K6��L/��'P��6��/�3�4��$�� )�3��'��'P�:�'��/��'�$'�$��3�'$��$��)��'�]��'��$��probabilidad de fallo en demanda KG�*L/�disponibilidad�K�L�)��abilidad K(L�

XV

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...XVI

G��$��6�6/�3�4��'��'�� )�3��$��'��:J�7��&'��/��'��'��&'��$��/��'�'�'��'��T��

+��$��DX��'��$��'��/��'�'��)��'��'��6�6/�)��4��'��'��'��'�$�� 3��$��3�� )�3��&��

+��$��D@�)�DH��$��'��$�$��&��'�:��)��Q��'�'��$��$��'�'��$��)��'��)��#��$'��&'��6�6�

��'��$�&'4��$��&��#��'��'��/�'��$'P��$'�':��#��$'��'��#��3��&Q�$'��#�:�'��'��

+��$��D>� ��Q��$'��'��'��#��'��'��6��$��&��'��'��

��P��$�� J�'��$��'��$�$��7�

^� W-6+�W6�G("R�W6^� G�(��-W�W�S�*�(

*��3�� '��PQ�� '�'��$��3�� )�3�� 3��'��$��'$'��

G��P��'��/��'��)��O��7

^� ��'��$4��'��)��'��^� (��'��&'&�'�#��P��

+��$�$��'&��#��&��&��6�#��'��'��&��$��:��'�$��'��)��$��'��O��'��'�

Inmaculada Fernández de la CalleK��'��&�L

IÍNDICE

Acerca de los autores ......................................................................................VIIDedicatoria ....................................................................................................... XIPresentación /�� ............................................ XIIIPrólogo / Inmaculada Fernández de la Calle ..........................................................XV

1. Introducción a los sistemas instrumentados de seguridad (SIS) / Julio Rivas Escudero ..................................................... 11.1. Introducción .................................................................................................... 1 �� elecci�n de la �ecnolo��a a u�lizar ....................................................... 1 1.1.2. Selección de redundancia ...................................................................... 2 1.1.3. Elementos de campo ............................................................................. 21.2. Necesidad y ámbito de aplicación de un SIS ................................................... 2 1.2.1. ��SI � IS� .............................................................................................. 4 1.2.2. IEC.......................................................................................................... 51.�. Terminolo��a y de�niciones más importantes................................................. 6 1.3.1. ¿Qué es un Sistema Instrumentado de Seguridad (SIS) ......................... 6 1.3.2. ¿Qué es un �ivel Integrado de Seguridad (SI�)� .................................... 8 1.3.3. ¿Qué es la !ro"a"ilidad de Fallo en #emanda $edia (!F#avg)� ......... 8 1.3. 4. ¿Qué es una Función Instrumentada de Seguridad (SIF)� .................... 9 1.3.5. ¿Qué es Tiempo Medio entre Fallos (MTBF)� ..................................... 10 1.3.6. ¿Qué es Fallo Seguro � Fallo !eligroso�............................................... 11 1.3.%. &tras de'niciones ................................................................................ 11Para no olvidar ...................................................................................................... 13Conse*os prác�cos ................................................................................................. 14

�� !��/ Carlos Javier +asco �allave ........... 152.1. Introducción .................................................................................................. 152.2. Análisis de riesgos de los procesos................................................................ 16

2.2.1. R.#. 1254�1999 de 16 de *ulio � posteriores modi'caciones. .............. 162.2.2. &S,� CFR 1910.119 ............................................................................ 192.2.3. �e� 31�1995- de 8 de noviem"re de Prevención de Riesgos �a"orales .......................................................................... 20

2.3. Seguridad Funcional ...................................................................................... 212.3.1. �orma ��SI......................................................................................... 212.3.2. �ormas IEC .......................................................................................... 24

XVII

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...XVIII

2.3.3. �ormas /�E ........................................................................................ 282.3.4. &tras �ormas ...................................................................................... 30

Para no olvidar ...................................................................................................... 34Conse*os prác�cos ................................................................................................. 34Listado de Normas� Direc��as y Gu�as................................................................... 35TablasLegislación y norma��a para la a�aluación de riesgos ............................... 41

3. Capas de protección en instalaciones de proceso / Carlos Javier +asco �allave ........................................................................................... 453.1. Introducción. Una primera aproximación al concepto de riesgo .................. 453.2. Ejemplo de estrategia de seguridad funcional .............................................. 483.3. ¿Podemos minimizar el número de escenarios peligrosos asociados a un proceso? .....................................................................................................49 3.3.1. Seguridad inherente al diseño ............................................................. 49 3.3.2. Operación de la instalación ................................................................. 503.4. ¿Qué puede iniciar un escenario peligroso? ......................................................51 3.4.1.Elemento iniciador................................................................................ 51

3.4.2. Salvaguardias ...................................................................................... 523.5. Caracter�s�cas de las capas de protección independientes IPL� .................. 533.6. Tipos de IPL ................................................................................................... 543.�. Capas picas con funciones protec��as ........................................................ 57

3.%.1. Sistemas de control de procesos (BPCS�#CS) ...................................... 573.7.2. Sistemas de alarmas ........................................................................... 583.7.3. Sistemas instrumentados de seguridad (SIS) ....................................... 603.7.4. SIS vs BPCPS ........................................................................................ 61

3.8. Capas picas con función de mi�gación ....................................................... 613.8.1. #isposi�vos mecánicos de alivio de presión ........................................ 613.8.2. Sistemas de contención�dispersión ..................................................... 653.8.3. Sistemas de :uego � gas ...................................................................... 663.8.4. Planes de emergencia ......................................................................... 68

Para no olvidar ...................................................................................................... 69Conse*os prác�cos ................................................................................................. 70

4. Introducción al ciclo de vida de los sistemas instrumentados de seguridad / Julio Rivas Escudero ........................................................... 714.1. Introducción. ................................................................................................. 714.2. Diseño conceptual. ........................................................................................ 724.3. Análisis y e�aluación de riesgos de proceso. ................................................. 724.4. Asignación del SIL de cada función de seguridad. ......................................... 76

4.4.1. Metodolog�as cualita�vas ................................................................... 774.4.2. Metodolog�as semicuan�ta�vas � cuan�ta�vas ................................. 77

4.5. Desarrollo de la especi�cación de seguridad. ............................................... 77

Índice XIX

4.5.1. Re;uisitos comunes <sicos .................................................................. 784.5.2. Requisitos comunes funcionales.......................................................... 784.5.3. Requerimientos par�culares ............................................................... 79

4.6. Diseño conceptual del SIS y �eri�cación del SIL de cada función. ................. 794.7. Diseño de detalle del SIS. .............................................................................. 804.8. Instalación, pruebas y comisionado del SIS. .................................................. 804.9. Mantenimiento y explotación de los SIS. ...................................................... 814.10. Modi�caciones. ..................................................................................................................82Para no olvidar ...................................................................................................... 83Conse*os prác�cos ................................................................................................. 83

5. Diseño conceptual / �na Mar�a Mac�as Juárez .......................................... 855.1. Introducción. ................................................................................................. 855.2. Diseño conceptual ......................................................................................... 85

5.2.1. Descripción del proceso o bases de diseño.......................................... 875.2.2. Diagrama de =u*o del proceso (PFD) ................................................... 875.2.3. Balance de materia � energ�a (,MB) .................................................. 895.2.4. Diagrama de tubería e instrumentación (P&ID) .................................. 895.2.5. �istado o índice de instrumentos ......................................................... 905.2.6. �ista de alarmas � disparos ................................................................. 905.2.7. Descripción general del sistema de enclavamientos ........................... 915.2.8. Matriz causa � efecto .......................................................................... 915.2.9. Plano general de localización de eqipos .............................................. 92

5.3. Diseño de detalle ............................................................................................ 92Para no olvidar ...................................................................................................... 93Conse*os prác�cos ................................................................................................. 94

6. Análisis de riesgos de procesos / +abriela Re�es Delgado ......................... 956.1. Introducción al Análisis de Riesgos. Criterios de aceptabilidad del riesgo .... 956.2. Tipos de metodologías de análisis de riesgos ............................................... 976.3. Metodologías cualita��as ............................................................................. 99

6.3.1. Bases de datos o análisis histórico de accidentes ............................... 996.3.2. �nálisis ,�?ID o análisis preliminar de riesgos ................................. 1016.3.3. �nálisis @hat if�. .............................................................................. 1026.3.4. �nálisis mediante listas de chequeo o checA list ............................... 1046.3.5. �nálisis de modo de fallo � efectos (FME�). ...................................... 1066.3.6. �nálisis mediante árbol de fallos (FT�). ............................................ 1086.3.7. �nálisis mediante árbol de sucesos. .................................................. 1116.3.8. Estudios de riesgo � operabilidad (,�?OP). ...................................... 113

6.4. Metodologías semicuan�ta��as. ................................................................ 1186.4.1. �nálisis del riesgo con evaluación del riesgo intrínseco. ................... 1196.4.2. �nálisis de modo de fallo- efectos � consecuencias (FMCE�) ............ 120

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...XX

6.4.3. Índices de riesgo. ............................................................................... 1216.5. Metodologías cuan�ta��as. ........................................................................ 122

6.5.1. �nálisis cuan�ta�vo mediante árbol de fallos. ................................. 1246.5.2. �nálisis cuan�ta�vo mediante árbol de sucesos. .............................. 1256.5.3. �nálisis cuan�ta�vo de riesgos en el entorno ................................... 125

6.6. Criterios de selección de los métodos de iden��cación de riesgos. ........... 1256.7. Ejercicio prác�co de aplicación. Estudio de riesgos y operabilidad �A�OP� ................................................................................. .129Para no olvidar .................................................................................................... 143Conse*os Prác�cos ............................................................................................... 143

7. Metodologías para la determinación del índice SIL / +abriela Re�es Delgado ........................................................ 1457.1. Introducción ................................................................................................ 1457.2. Metodologías cualita��as ........................................................................... 146

7.2.1. +rá'co de riesgo ............................................................................... 1467.2.2. Matrices de riesgo ............................................................................. 147

7.3. Metodologías semicuan�ta��as ................................................................. 1507.3.1. +rá'co de riesgo calibrado. .............................................................. 150

7.4. Metodologías semicuan�ta��as. ................................................................ 1557.4.1. �nálisis �OP� o análisis de las capas de protección. ......................... 155

7.5. Criterios de selección de la metodología para cálculo del índice SIL. ......... 1597.6. Ejercicios Prác�cos de Aplicación. ............................................................... 1607.7. Cálculo del índice SIL mediante matriz de riesgo ........................................ 162Para no olvidar .................................................................................................... 165Conse*os prác�cos ............................................................................................... 165

8. Elementos de campo del sistema instrumentado de seguridad / �lfonso Camacho �ópez ................................................... 1678.1. Introducción. ............................................................................................... 167

8.1.1. Exigencias de diseño para los sensores de campo. ........................... 1688.1.2. Tecnologías. ...................................................................................... 169

8.2. Medida de caudal. ....................................................................................... 1748.2.1. Medida de caudal con elemento sensor insertado en la tubería. ..... 1748.2.2. Reparación � calibración de instrumentos medidores de caudal con sensor insertado en la tubería. ................................... 1868.2.3. Medida de caudal con elemento generador de presión diferencial insertado en la tubería .................................................... 1878.2.4. Ventajas e inconvenientes en la medida de caudal. .......................... 1888.2.5. Medida de caudal por presión diferencial. ........................................ 1908.2.6. Recomendaciones para medida de caudal por presión diferencial. .. 196

Índice XXI

8.2.7. Conexión de varios instrumentos de presión diferencial. .................. 2048.3. Medida de presión. ..................................................................................... 208

8.3.1. Conexiones con montaje remoto. ...................................................... 2098.4. Medida de la temperatura. ......................................................................... 215

8.4.1. Conexiones de temperatura al proceso. ............................................ 2168.4.2. Termómetros de sistemas térmicos llenos (bulbo � capilar). ............. 2208.4.3. Termorresistencias. ........................................................................... 2268.4.4. Termopares. ...................................................................................... 229

8.5. Medida de ni�el. .......................................................................................... 2348.5.1. Conexión al proceso de instrumentos de nivel. ................................. 2368.5.2. Conexión de mGl�ples instrumentos a recipientes. ........................... 238

8.6. Elementos �nales de control. ...................................................................... 2548.6.1. Elementos 'nales aplicados a funciones de seguridad. .................... 2608.6.2. Exigencias de 'abilidad para actuación ante demanda. ................... 2648.6.3. Pruebas de carrera total a los elementos 'nales de control. ............ 2698.6.4. Prueba de carrera parcial (Par�al StroAe Test- PST). ......................... 278

8.7. Cableados para instrumentos de seguridad. ............................................... 2828.7.1. Criterios generales. ........................................................................... 2838.7.2. Recomendaciones para circuitos de seguridad. ................................ 286

8.8. Inspección y pruebas generales de la instalación. ...................................... 2888.8.1. Inspección � pruebas mecánicas. ...................................................... 2898.8.2. Inspección � pruebas eléctricasH.. .................................................... 292

Para no olvidar .................................................................................................... 294Consejos prác�cos ............................................................................................... 294

9. Lógica del sistema instrumentado de seguridad / Inmaculada Fernández de la Calle ......................................... 2959.1. Introducción. ............................................................................................... 2959.2. Selección de la tecnología. .......................................................................... 295

9.2.1. Tecnología eléctrica. .......................................................................... 2969.2.2. Tecnología electrónica. ..................................................................... 2979.2.3. Tecnología PES. ................................................................................. 298

9.3. Consideraciones del diseño del so��are. ................................................... 2999.3.1. SoKLare integrado. .......................................................................... 2999.3.2. SoKLare de u�lidad. ......................................................................... 2999.3.3. SoKLare de aplicación. ..................................................................... 300

9.4. Tamaño del sistema. .................................................................................... 3009.5. Complejidad del sistema. ............................................................................ 3019.6. Comunicaciones con otros sistemas. .......................................................... 3019.7. Conclusiones. .............................................................................................. 302Para no olvidar .................................................................................................... 303Consejos prác�cos ............................................................................................... 303

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...XXII

"#�� $��%��&�� seguridad (SRS) / Inmaculada Fernández de la Calle ............................... 30510.1. Introducción. .............................................................................................. 30510.2. Re�uerimientos o especi�caciones generales............................................ 30610.3. Especi�cación funcional. ............................................................................ 30810.4. Especi�cación de integridad. ...................................................................... 31210.5. Integración de la información y documentación. ....................................... 31410.6. Ejemplo del formato recomendado de SRS para una SIF ........................... 315Para no olvidar. .................................................................................................... 320Consejos Prác�cos. .............................................................................................. 320Ejemplo del formato recomendado de SRS para una SIF. .................................... 313

11. Diseño conceptual del SIS de cada función / Inmaculada Fernández de la Calle .............................................. 32111.1. Introducción. .............................................................................................. 32111.2. De�nición y conceptos básicos. ................................................................. 32111.3. Modos de fallos y tasas de fallos. ............................................................... 32411.4. Ar�uitectura y lógica de �otación. .............................................................. 32611.5. Fallos de causa común. .............................................................................. 32911.6. Procedimiento para la �eri�cación y diseño del SIS. .................................. 33011.7. Métodos de cálculo de la probabilidad de fallo en demanda PFD�. .......... 331

11.7.1. Árboles de fallos. .............................................................................. 33711.7.2. Técnica RBD. ..................................................................................... 34911.7.3. Modelos de MarAov. ........................................................................ 353

11.8. Diagnós�cos. .............................................................................................. 35511.9. Fórmulas simpli�cadas. .............................................................................. 357Para no olvidar .................................................................................................... 358Consejos Prác�cos ............................................................................................... 359

12. Diseño de detalle del SIS / Inmaculada Fernández de la Calle ................. 36112.1. Introducción. .............................................................................................. 36112.2. Consideraciones generales del �ard�are. .................................................. 36112.3. Consideraciones generales de ges�ón� personal, comunicaciones y

documentación. ......................................................................................... 366Para no olvidar .................................................................................................... 367Consejos Prác�cos ............................................................................................... 367

13. FAT, instalación, comisionado y validación del SIS / MN Ángeles MarUn ,ernández.................................................. 36913.1. Introducción. .............................................................................................. 36913.2. Prueba de aceptación en fábrica. ............................................................... 372

Índice XXIII

13.3. Instalación y comisionado. ......................................................................... 37513.4. Validación de seguridad del SIS o pruebas de aceptación en campo pruebas SAT�.................................................................................. 376

13.4.1. �c�vidades generales ...................................................................... 37813.4.2. Inspecciones de la instalación .......................................................... 37813.4.3. Pruebas operacionales ..................................................................... 37913.4.4. Comprobación del rendimiento ........................................................ 38013.4.5. Informe de las pruebas .................................................................... 38013.4.6. Discrepancias ................................................................................... 38113.4.7. Pre-puesta en marcha ...................................................................... 38213.4.8. Pruebas de integración en planta .................................................... 382

13.5. E�aluación de la seguridad funcional ......................................................... 38313.6. Apéndices ................................................................................................... 384

�péndice �1 X Comprobación de la documentación. ................................ 386�péndice �2 X Comprobación de inventarios del hardLare �

soKLare del SIS. .................................................................................... 387�péndice �3 X Inspección mecánica. .......................................................... 387�péndice �4 X Inspección del cableado � el conexionado. ......................... 388�péndice �5 X Prueba de puesta en marcha � de funciones

generales del sistema ............................................................................ 389�péndice �6 X Prueba del sistema de alarma. ........................................... 389�péndice �7 X Comprobación de la redundancia � diagnós�cos

del hardLare. ........................................................................................ 390�péndice �8 X Visualización � operación. .................................................. 391�péndice �9 X Comprobación funcional. .................................................... 391�péndice �10 X Funciones complejas � modos de operación. .................... 392�péndice �11 X Integración de subsistemas. ............................................. 393�péndice B X �ista de comprobación S�T. ................................................... 394�péndice C X �ista de comprobación SIT .................................................... 395�péndice D X Cer�'cado F�T ...................................................................... 396�péndice E X Cer�'cado S�T ...................................................................... 397�péndice F X Cer�'cado SIT ....................................................................... 398�péndice + X Cer�'cado de aceptación del sistema .................................. 399�péndice , X �ista de Comprobación de la evaluación de la seguridad

funcional ............................................................................................... 400Para no olvidar .................................................................................................... 401Consejos prác�cos ............................................................................................... 402

14. Mantenimiento y explotación del SIS / Carlos Javier +asco �allave ........ 40314.1. Introducción. .............................................................................................. 40314.2. ¿Porqué son necesarias las pruebas a los sistemas?. ................................. 40414.3. Establecimiento del inter�alo de las pruebas a los sistemas. ..................... 409

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...XXIV

14.4. Responsabilidad de las pruebas y la operación de los sistemas. ................ 41114.5. Tipos de pruebas� oY-line y on-line. ........................................................... 413

14.5.1. Pruebas oY-line ................................................................................ 41314.5.2. Pruebas on-line ................................................................................ 41614.5.3. Consideraciones generales en cuanto a documentación � registrosZ ..420

14.6. Ejemplos de procedimientos de mantenimiento y operación del SIS. ....... 42114.6.1. Ejemplos de procedimientos de mantenimiento .............................. 42214.6.2. Ejemplos de procedimientos de operación ....................................... 431

Para no olvidar .................................................................................................... 441Consejos prác�cos ............................................................................................... 441

"'�� &��*+*�/ Carlos Javier +asco �allave ............................... 44315.1. Introducción. .............................................................................................. 44315.2. Necesidad de ges�onar los cambios. ......................................................... 44315.3. Procedimientos de ges�ón del cambio. ..................................................... 444Para no olvidar. .................................................................................................... 445Consejos prác�cos. .............................................................................................. 445

16. Gerencia de seguridad funcional / +abriela Re�es Delgado ..................... 44716.1. Introducción. .............................................................................................. 44716.2. Factores cla�es. .......................................................................................... 448

16.2.1. Plani'cación de la seguridad. .......................................................... 44816.2.2. Organismos � recursos. .................................................................... 44816.2.3. Veri'cación de seguridad funcional. ................................................ 44916.2.4. Documentación � cer�'cación de seguridad funcional. ................... 45016.2.5. Bene'cios de la +erencia de Seguridad Funcional. .......................... 452

16.3. Procedimientos para la ges�ón del ciclo de �ida de los sistemas instrumentados de seguridad. ................................................................... 452Para no olvidar. .................................................................................................... 453Consejos prác�cos. .............................................................................................. 454

"-�� /��%��/ �na María Macías Juárez ................................................ 45517.1. Introducción ................................................................................................ 45517.2. Analisis de riesgos mediante �A�OP ........................................................... 45517.3. Determinación del SIL obje��o para la función iden��cada ...................... 45917.4. Especi�caciones de los requisitos de seguridad de la SIF ........................... 46117.5. Diagrama causa efecto del SIS ..................................................................... 46417.6. Diseño conceptual ....................................................................................... 465

17.6.1. Diagrama a bloques de arquitectura propuesta � tecnologías ........ 46617.6.2. Cálculos de probabilidad de fallo en demanda promedio (PFDavg) ....466

Índice XXV

17.7. Diseño de detalle del SIS ............................................................................. 46917.8. Instalación, comisionado y pruebas del SIS ................................................. 47117.9. Procedimientos de operación y mantenimiento ......................................... 471

Glosario de términos y acrónimos ................................................................. 475

:�;��<�<��&�� .............................................................................. 479

=��>�� .............................................................................................. 483

1INTRODUCCIÓN A LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD (SIS)


SUMARIO: Introducción. Necesidad y ámbito de aplicación de un SIS. Terminología y ��&��%��

1.1. INTRODUCCIÓN

Cuando un accidente ocurre, es debido normalmente a una serie de causas o sus combinaciones que producen un evento peligroso.

En la industria están implementados los Sistemas de Parada de Emergencia (ESD) para la protección a los seres humanos, al medio ambiente y a los equipos. No es por lo tanto un concepto nuevo, lo que sí es novedoso, es la forma de tratarlo, es decir, los sistemas de parada de emergencia van a disponer de un ciclo de vida, que ��'��'��S'��6�#��'��/�3��$��P�'�'��y acabará en la desmantelamiento.

La variedad de nombres asignados a los Sistemas de Parada de Emergencia pare-ce algo ilimitado: Sistema de Enclavamientos (IS), Sistema Instrumentado de Segu-ridad (SIS), Sistema de Parada de Emergencia (ESD), etc.

*��$��$�'��G��/��&$��$'�T��&��'#�'P��uno de ellos. Incluso en el Comité ISA SP84 hubo discusiones continuas (y cambios ��$��L��&��$��'��#�/��P�'�'��)��'#�'P��$4�-minos.

-��&�$�$��'��'��$�'��'��'#�'P��/��$��'��'��J�/�'��$��'��/��$�� /��$��'�'��$�/��'P��'��/��$��de estos sistemas. Así, nos encontraremos con muchos ejemplos y preguntas que no son fáciles de responder o que la respuesta no es la misma, dependiendo de la norma, estándar o persona que la dé. A título de ejemplo se exponen algunas dudas típicas:

1.1.1. SELECCIÓN DE LA TECNOLOGÍA A UTILIZAR

¿Qué tecnología deberá ser usada: relés, estado sólido, microprocesador (PLC)? ¿Depende dicha selección de la aplicación?

Los relés son todavía usados en pequeñas aplicaciones pero ¿diseñaría un sistema de 500 entradas/salidas con relés? ¿Es económico diseñar un sistema con 20 entra-das/salidas con PLC redundantes?

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...2

��#��P��'�$��&��$9��'��'��#�-ridad. ¿Es una buena recomendación?

1.1.2. SELECCIÓN DE REDUNDANCIA

¿Cómo de redundante debería ser diseñado un sistema instrumentado de seguridad?¿Depende de la tecnología o del nivel de riesgo?Si la mayoría de los sistemas basados en relés son simples, ¿por qué son tan po-

pulares, actualmente, los sistemas programables de triple redundancia?

1.1.3. ELEMENTOS DE CAMPO

¿Deberían los elementos sensores iniciadores ser de tipo transmisor o interruptor (switch)? Si usamos transmisores, ¿analógicos o digitales?

¿Redundancia o no en los elementos de campo? ¿Pueden usarse los mismos ele-mentos de campo para enclavamientos y para control?

¿Frecuencia de prueba de dichos elementos?N��&Q�$'��$��'&��$�$��$��$��#��$��)��'P-

car la confusión general que sobre estos sistemas se está produciendo.

1.2. NECESIDAD Y ÁMBITO DE APLICACIÓN DE UN SIS

Los accidentes industriales raramente suceden por una sola causa. Lo normal es que sean consecuencia de una combinación de eventos poco comunes que se piensa son independientes y que no deberían suceder al mismo tiempo. Tomad, como ejemplo, el peor accidente químico ocurrido hasta la fecha que tuvo lugar en Bhopal (India) en una planta de pesticidas. Unas 3.000 personas murieron de inmediato y al menos 12.500 fallecieron en las semanas posteriores por inhalar gas y beber agua contami-nada. Desde entonces se estima que unas 25.000 personas han perdido la vida por las secuelas y unos 150.000 están afectados de alguna manera.

Ocurrió de esta manera:El material que fugó en dicha planta fue isocionato de metilo (MIC). Dicha

fuga (del orden de 40 toneladas) se produjo en un tanque de almacenamiento que contenía más cantidad de lo que establecían los procedimientos de seguridad de la compañía.

Los procedimientos de operación establecían asimismo usar un sistema de re-frigeración para mantener la temperatura en el producto de dicho tanque en 5 ºC disponiendo de una alarma cuando la temperatura subiese de 11 ºC.

El sistema de refrigeración estaba desconectado, el MIC se había almacenado a una temperatura cercana a los 20ºC y se había reajustado la alarma a 20 ºC.

N��$�&Q��'�'��#��$�&��)�P�$��3��encontraban obstruidos. El agua pasó al tanque de almacenamiento del MIC a través

Introducción a los sistemas instrumentados de seguridad (SIS) 3

de la fuga de una válvula produciéndose una reacción violenta con gran producción de gases.

Los medidores de presión y temperatura del tanque que indicaban la situación anormal no fueron tenidos en cuenta al pensar que eran imprecisos.

El separador/lavador de venteo de gases a antorcha que podía haber neutralizado la fuga estaba fuera de servicio por estar suspendida la producción de MIC y pensar que no era por tanto necesario.

Asimismo la propia antorcha que podría haber quemado parte de dichos gases estaba fuera de servicio por mantenimiento.

Finalmente hubo una serie de acontecimientos y errores en los planes de emer-gencia que completaron el fatal escenario de dicho accidente.

Por lo explicado anteriormente, queda claro que los accidentes suelen ser una combinación de raros eventos que se suelen asumir como independientes y de difícil coincidencia en el tiempo. Uno de los métodos de protegerse contra ellos es imple-mentando múltiples e independientes capas de protección que hagan más difícil que dichos eventos deriven a condiciones peligrosas.

Es por tanto fundamental que desde el inicio de un proyecto y en su etapa de ex-plotación y mantenimiento se dispongan de dichas capas de protección perfectamen-te estructuradas, sujetas a procedimientos y mantenidas con una idea muy simple:

“No poner todos los huevos en la misma cesta”.

En el Capítulo 3 de este libro se explicarán con detalle cada una de las capas de Protección tanto las de tipo preventivo como las de mitigación.

De manera general, las primeras son aquéllas diseñadas para prevenir y anticipar-se a que un determinado peligro pueda ser efectivo y llegue a darse. Son las que se aplican en primer lugar, y las más importantes son:

^� Diseño de planta.^� Sistemas de control.^� Sistemas de alarmas.^� Sistemas Instrumentados de Seguridad (SIS).

Las segundas son aquéllas que se diseñan para paliar o limitar las consecuencias de un suceso una vez que este realmente ha sucedido. Las más importantes son:

^� Sistemas de fuego y gas.^� Sistemas de contención.^� Planes de emergencia.

Como se puede constatar, los Sistemas Instrumentados de Seguridad constituyen la última capa de seguridad preventiva y ahí radica su gran importancia y necesidad dentro de la Seguridad Industrial de las Industrias de Proceso.


��'��/��&�$�$�/��'P��'��'��O'�$��$��$��3��&�'-gado cumplimiento por ley y lo que es una buena práctica de diseño y trabajo reco-#'��'P��'��/��$��)��R�&'4��'��3��3��obligatorio en un país (ejemplo: EE UU), puede no serlo en otros o viceversa. Esto se verá con detalle en el Capítulo 2, pero incluimos aquí algunas ligeras pinceladas.

En la Unión Europea y como es lógico en España, lo obligado por ley se recoge en Directivas y su transposición a reales decretos.

Un ejemplo (entre muchos) es la Directiva 96/82 CE (9/12/96) llamada Seveso II y su traslado al RD 1254/1999 (16 Julio 99) de “Prevención de accidentes graves en los que intervienen sustancias peligrosas”. También está en este caso la Directiva ATEX.

Referente a los sistemas instrumentados de seguridad (SIS) “no” hay ninguna directiva ni RD que obligue a su cumplimiento (pero sí que existen estándares eu-ropeos, como por ejemplo la EN-746-2 que obliga a un determinado SIL en algunos lazos de seguridad, estableciendo además el intervalo de pruebas y la arquitectura que debe ser implementada).

Existen estándares y normas cuyo cumplimiento se considera recomendable y ��'�'��$��&��$'��G��)��$��)��'P��'��)�3��/��$��/�P��$��'��$'��3��&�'#��cumplimiento.

Centrándonos en el tema de los SIS, como hemos anticipado, se cubrirán en el Capítulo 2, de forma detallada, todo lo relativo a legislación y normativas existentes. A modo de preámbulo, y para completar este apartado, se describe lo más relevante de los dos organismos internacionales que disponen de los estándares que son la base de todo lo relacionado con los SIS:

1.2.1. ANSI/ISA

En primer lugar está la ISA (Sociedad Internacional de Automatización). El estándar de ISA relacionado con los SIS es el ANSI/ISA 84.01, denominado “Aplicación de SIS para las Industrias de Proceso”.

El ISA SP84 (Comité de estándares y prácticas nº 84) ha trabajado muchos años en la elaboración y desarrollo de este estándar. Inicialmente, estaba dirigido direc-cionado solo a los sistemas que efectuaban las funciones lógicas y con posterioridad se incluyeron los elementos de campo. El documento ha sufrido muchos cambios a lo largo del tiempo y su futuro a largo plazo está condicionado al desarrollo del estándar IEC 61511.

El primer documento fue editado en 1996 (actualmente está el de 2004) y ya que dentro de la IEC está representando a EE UU el ANSI (Instituto Nacional de Estan-darización Americano), este Instituto soportará el estándar IEC 61511 y podrá reem-plazar al ANSI/ISA S84.01. En cualquier caso, al día de hoy el ISA 84.01/2004 es básicamente idéntico al IEC 61511 con la inclusión de una cláusula de salvaguarda (abuelo-grandfatherL�3��$��'P��'��'��$��'��O'�$��$��)�3��básicamente dice lo siguiente:


“Para los sistemas instrumentados de seguridad existentes (SIS), diseñados y construidos de acuerdo con los códigos, normas, prácticas con anterioridad a la emisión de esta norma (por ejemplo, ANSI/ISA 84.01-1996), el propietario / opera-dor de la planta debe determinar y documentar que el equipo está diseñado, mante-nido, inspeccionado, probado y funciona de una manera segura”.

1.2.2. IEC

IEC (International Electrotechnical Commission) tiene dos estándares relacionados con los sistemas instrumentados de seguridad:

^� IEC 61508 “Seguridad Funcional: sistemas relacionados con la seguridad” que afecta a todo tipo de industrias y que se usa básicamente por fabricantes y suministradores. IEC formó posteriormente un grupo de trabajo para de-��$��P��6�6��$��'��$�'��proceso y aplicable, no solo a fabricantes y suministradores, sino también a diseñadores, integradores y usuarios. El estándar se denominó IEC 61511 “Seguridad Funcional: SIS para el Sector de la Industria del Proceso” que debe ser usado como complemento del IEC 61508.

^� IEC 61511 es una norma técnica que establece las prácticas en la ingeniería de sistemas que garantizan la seguridad de un proceso industrial mediante el uso de la instrumentación. Estos sistemas se denominan sistemas instrumen-tados de seguridad. El título de la norma es “seguridad funcional - sistemas instrumentados de seguridad para el sector de la industria de procesos”.

El sector de la industria de procesos incluye muchos tipos de procesos de fabrica-�'��/�$��P��/��$��3��'��/�3��'��/��4�$'��$�)��/�energía, etc. El estándar del sector proceso no se aplica a las instalaciones de energía nuclear o reactores nucleares. IEC 61511 cubre el uso de equipos eléctricos, electró-nicos y electrónicos programables. Mientras IEC 61511 es aplicable a los equipos 3��$'�'��'�$�� '��'��$'��'��$��P��/��estándar no cubre el diseño e implementación de la lógica neumática o hidráulica.

+�$��P��3�'�'$��#��'��'��$&��'��IEC 61508 en el sector de las industrias de proceso. IEC 61511 centra la atención en un tipo de sistema instrumentado de seguridad utilizado en el sector de proceso, el denominado Sistema Instrumentado de Seguridad (SIS). La Norma no establece requisitos de otros sistemas de seguridad instrumentados, tales como sistemas contra incendios y de gas, sistemas de alarmas, etc.

El organismo europeo de normalización, CENELEC, ha adoptado la norma como ��+-�ADHDD��+�$��'#�'P��3��$��'��&��N�'��Europea, la norma se publica como una norma nacional. Por ejemplo, en Gran Bre-taña, que es publicado por el organismo nacional de normalización según la norma BS EN 61511. El contenido de estas publicaciones nacionales es idéntico a la de la


Norma IEC 61511. Debe tenerse en cuenta, sin embargo, que la IEC 61511 no está armonizada como directiva de la Comisión Europea hasta la fecha (año 2011).

+�� '�$��#��$'��6�6��&��P�'��'�$�'�8�� $'��'�$��'��/��'��J�/��'P��/�'��$��/��'��/��/��$��)��Q��continuamente sus SIS. Las funciones esenciales del personal asignado a la gestión ��6�6��&��$��$��)�&'��P�'��'�'��$��/��#T��-cesario, para apoyar la ejecución coherente de sus responsabilidades.

ISA 84.01/IEC 61511 utiliza un orden de magnitud métrica, el SIL, para esta-blecer el objetivo necesario. Un análisis de riesgos operativo es parte del ciclo de �'��'��$'P��'��#��'��'��)��'��'��#��respecto a determinados eventos peligrosos. Las funciones de seguridad asignadas al SIS son las funciones instrumentadas de seguridad (SIF), la reducción del riesgo, atribuido a cada una de ellas, se relaciona con el SIL. La base de diseño y operación se ha desarrollado para garantizar que el SIS cumple con el SIL requerido. Los datos de campo se recogen a través de actividades programadas para evaluar el rendimien-to real del SIS. Cuando los rendimientos no se cumplen, deben tomarse medidas para ��&�� /��#��'��'��$��#��)�P&��

1.3. TERMINOLOGÍA Y DEFINICIONES MÁS IMPORTANTES

S��#��$��'��#��)��P�'�'��7

1.3.1. ¿QUÉ ES UN SISTEMA INSTRUMENTADO DE SEGURIDAD (SIS)?

Un sistema instrumentado de seguridad (SIS) es un nuevo término usado en los estándares que normalmente también ha sido y es conocido por la mayoría como: sistema de parada de emergencia (ESD), sistema de parada de seguridad, sistema de enclavamientos, sistema de disparos de emergencia, sistemas de seguridad, etc.

R�&'4��P�'��T�$'��#��'��$'��3��'��'�$��$��)��$��'��'��P�'��$��)��-canzan niveles de variables predeterminados que no deben superarse bajo ningún concepto, debe disponerse de un sistema que de forma automática realice las ac-ciones oportunas (paradas parciales o totales de equipos y plantas) para así evitar el peligro.

Estos sistemas instrumentados de seguridad están normalmente separados e inde-pendizados de los sistemas de control, incluyendo la lógica, los sensores y válvulas de campo y a diferencia de los sistemas de control, que son activos y dinámicos, los SIS son básicamente pasivos y dormidos por lo que normalmente requieren un alto grado de seguridad y de diagnósticos de fallos, así como prevenir cambios inadver-tidos y manipulaciones y un buen mantenimiento.


H�*+K+*H�W[�#"��&��\��*+*��]

“�n sistema compuesto por sensores, lógica y elementos �nales con el propósito de llevar el proceso a un estado seguro cuando determinadas condiciones preestable-cidas son violadas”.

[� ��#��#��$7��M�4��$��#��P�'��7

“El estado que consigue un sistema cuando se alcanza la seguridad, es decir cuando el sistema está libre de un riesgo inaceptable”.

Por lo tanto el objetivo de un SIS es llevar a los sistemas a un estado de riesgo tolerable.

+�/^_"'""��&��\��*+*��]

“Un sistema instrumentado usado para implementar una o más funciones instru-mentadas de Seguridad (SIF) y se compone de una o más combinaciones de senso-res, lógica y elementos �nales”

+��'�$��'��$��$��#��'��K6�6L��P�'��$�$��combinación de una o más funciones instrumentadas de seguridad.

S��#��P��$��'#��D�D�

Figura 1.1. Sistema instrumentado de seguridad.


��6��$��'�'�'��/��#'��)��$��P��)�$��'#-nado un SIL

1.3.2. ¿QUÉ ES UN NIVEL INTEGRADO DE SEGURIDAD (SIL)?

La integridad de la seguridad indica la disponibilidad de un sistema de seguridad. Es decir “La probabilidad de que un sistema relacionado con la seguridad ejecute de forma satisfactoria las funciones de seguridad requeridas en todas las condiciones ��'P��'��$'��'P��V�

+��'P��'�$�#�'��#��'��'�$��P�'��3�4��3��&�� '�$��#��'��/��'��$�&'4��'P��&��dicho sistema debe llevar a cabo su función.

El SIL es el nivel de integridad de la seguridad asociado y exigible a un sistema de ��#��'��6��P�� $��$��'��'�$�#�'��#��'��/��'��4 posee el grado más elevado de integridad de la seguridad y el nivel 1 el más bajo.

SIL <Disponibilidad Segura <

1 90,00 – 99,00%

2 99,00 – 99,90%

3 99,90 –99,99%

4 > 99,99%

En la determinación de la integridad de seguridad se deben incluir todas las cau-�� 3��$�� '��#��7� �� 9�� K$�$�� $��'��'�$��$'��L/��'��'��$9��)��&'-dos a las perturbaciones eléctricas. Aunque algunos de estos tipos de fallos se pueden ��$'P��K�$'�'��'��$��&&'�'��funcionamiento a la demanda), la integridad de la seguridad depende también de �� $��3��$'P��'�'��/��'��3��considerar de forma cualitativa.

1.3.3. ¿QUÉ ES LA PROBABILIDAD DE FALLO EN DEMANDA MEDIA (PFDavg)?

Para calcular de una forma numérica el SIL uno de los parámetros más utilizados es la PFDavg. Este parámetro indica la probabilidad media de fallo al ejecutar, bajo demanda, la función para la cual ha sido diseñado.

Supongamos una función de seguridad: cierre de la válvula de vapor al calentador de fondo cuando se detecta alta presión en la cabeza de la torre. La PFDavg es la probabilidad de que cuando haya alta presión en la cabeza de la torre, el sistema no cierre efectivamente la válvula de vapor.

La relación de la PFDavg con los SIL es la siguiente:


SIL <Disponibilidad Segura < <PFDavg<

1 90,00 – 99,00 % 10-2 – 10-1

2 99,00 – 99,90 % 10-3 – 10-2

3 99,90 –99,99 % 10-4 – 10-3

4 > 99,99 % 10-5 – 10-4

Matemáticamente, el cálculo de la PFDavg es muy complejo si se intenta hacer sobre la función de seguridad en su conjunto.

G��'��'P��/��3�� '#�'��$�7

^� Descomponer dicha función de seguridad en sus elementos principales.^� Calcular la PFDavg de cada elemento.^� Realizar la suma de las PFDavg de todos los elementos.

Por ejemplo, para el caso citado se calcularían las PFDavg de la parte sensora, la parte del operador lógico y la parte actuadora. La suma de todas ellas sería la PFDa-vg de la función de seguridad (Figura 1.2).

Figura 1.2. Cálculo de la PFDavg de un Sistema.

1.3. 4. ¿QUÉ ES UNA FUNCIÓN INSTRUMENTADA DE SEGURIDAD (SIF)?

Una Función Instrumentada de Seguridad es aquella formada por sensores (inicia-��L/��#'��)��$��P��3��O'#��$��'��'��'�$�-gridad.

Los elementos que forman una SIF son, como hemos apuntado en el párrafo anterior, el sensor (compuesto a su vez por un conjunto de uno o más elementos de


��'�L/� �� '�$�� #'�� K��$�� '$�� G�L�)� �� $��P��(compuesto generalmente por una o más válvulas).

+��6�6��O'�$'��6��3��$��'�'�'��P��)��'��-pre compartirán la lógica.

Figura 1.3. Selección de las SIF de un SIS.

1.3.5. ¿QUÉ ES TIEMPO MEDIO ENTRE FALLOS (MTBF)?

El tiempo medio entre fallos (del inglés mean time between failure) es la suma del tiempo medio de fallo (MTTF) más el tiempo empleado en reponerlo (MTTR).

Normalmente el fabricante debería dar el MTTF (mean time to fail) aunque a veces se da el MTBF como si fuera el MTTF. Realmente, los tiempos de detección y reparación son despreciables con respecto al MTTF por lo que no existe demasiada diferencia entre el MTBF y el MTTF.

En esencia:

MTBF=MTTF+MTTR donde:

^� MTBF: Tiempo medio entre fallos (mean time between failure).^� MTTF: Tiempo medio de fallos (mean time to fail).^� MTTR: Tiempo medio de reposición (mean time to restore).


1.3.6. ¿QUÉ ES FALLO SEGURO Y FALLO PELIGROSO?

Conocer la diferencia entre estos dos tipos de fallos es esencial para el uso correcto de las fórmulas empleadas en los cálculos de la probabilidad de fallo en demanda.

Se dice que un fallo de un determinado instrumento es seguro cuando como re-sultado del mismo, el proceso va a una condición segura.

Si dicho fallo posibilita que, ante la necesidad o demanda de la correspondiente función de seguridad, el sistema no actúe correctamente y deja al proceso en condi-ciones de riesgo intolerable, dicho fallo se denomina peligroso.

6��P��$��#��&��K�L��3�'��'��$��$��'��MTTF, es decir:

MTTF1

��

��$��#��&��$'��'��'#��K��L�Kdangerous) y otra segura K��L�Ksafe).

Como se verá más adelante en el Capítulo 11, esta diferencia es básica a la hora de los cálculos de la probabilidad de fallo en demanda

1.3.7. OTRAS DEFINICIONES

�� Arquitectura��'�'��$�� 9��)8��$9��'�$��G��ejemplo:

– Composición de los subsistemas del sistema instrumentado de seguri-dad (SIS).

– Estructura interna de un subsistema SIS.�� '�'��#��$9��

�� Lo conforman todas aquellas actividades necesarias involucradas en la imple-mentación de las funciones instrumentadas de la seguridad que se producen durante un periodo de tiempo.

Se inicia en la fase conceptual del proyecto y concluye cuando todas las funciones instrumentadas de seguridad ya no están disponibles para su uso (desmanteladas).

�� ComponenteUna de las piezas de un sistema, subsistema o dispositivo que ejecuta una ��'��P��6��'�'�'��/��#'��)��$��P��6��

�� Parte de un sistema instrumentado de seguridad que implementa la acción física necesaria para lograr un estado seguro.


Los ejemplos comprenden válvulas, dispositivos de conmutación, motores con sus elementos auxiliares incluidos, por ejemplo, una válvula solenoide y un actuador si están involucrados en la función instrumentada de seguridad.

�� Acción que reduce la(s) consecuencia(s) de un evento peligroso.

�� MooNIndica la votación de un sistema que está formado por “N” canales indepen-dientes, que están conectados de tal manera que basta activar “M” canales para que se ejecute la función instrumentada de seguridad (M out of N).

�� Acción que reduce la frecuencia con que se produce un evento peligroso.

�� Función asignada al diseño del sistema con el objeto de evitar la pérdida de activos.

�� Pruebas realizadas con el objeto de revelar defectos no detectados en un sis-tema instrumentado de seguridad de manera que, si fuera necesario, se puede volver a ajustar el sistema a su funcionalidad de diseño.

�� +��$'P��'��'��#��3��$��3��O'#'��tolerable.

�� La parte del SIS que realiza una o más funciones lógicas.

�� Resolvedor lógico electrónico y programable, para usos generales, de grado '��$�'�/�3��$��P#��P��$��$'�'��'��'�-ciones de seguridad de acuerdo con la cláusula 11.5. de la Norma IEC61511-I. +�$��P�'�'��O��)��$�Q�$��$��)��'��)��'P��+Q��-plos son los relés electromecánicos y las unidades centrales de proceso (CPU) de los sistemas electrónicos programables (PLC en general).

�� El riesgo que surge de las condiciones del proceso causado por hechos anor-males (incluido el mal funcionamiento del BPCS).

�� La parte de la seguridad general relacionada con el proceso y el BPCS que depende del funcionamiento correcto de los SIS y otros sistemas protectores.


�� Dispositivo o combinación de dispositivos, que miden la condición del pro-ceso (por ejemplo: transmisores, transductores, interruptores de proceso, inte-rruptores de posición).

En el caso de las funciones instrumentadas de seguridad el concepto de sensor (también llamado elemento iniciador) incluye a las tarjetas de entrada y los relés de entrada al resolvedor lógico.

�� Sistema que responde a las señales de entrada del proceso y/o de un operador y genera señales de salida que hacen que el proceso opere en la forma deseada.+��'�$��$��'��)��'��'$'��$��)��$��P�-les y puede ser un BPCS o un SIS o una combinación de ambos.

�� ! �� "��#Un sistema que responde a las señales de entrada del proceso, de su equipo asociado, de otros sistemas programables y/o de un operador y genera señales de salida haciendo que el proceso y su equipo asociado operen de la manera deseada pero que no se utilizan para funciones instrumentadas de seguridad.

�� $��La actividad de demostrar que la función o las funciones instrumentadas de la seguridad y el sistema o los sistemas instrumentados de seguridad bajo consideración después de la instalación cumplen en todos los aspectos con ��'P��'��3�'�'$��#��'��G��$�$��'��6�6�

�� $��La actividad de demostrar respecto de cada fase del ciclo de vida pertinente, ��'�$��'�'��)8��&�/�3��$��)��'��P��-plen en todos los aspectos con los objetivos y requisitos establecidos para ��P��G�� $�$��'P�� '��'��seguridad.

PARA NO OLVIDAR

� Los sistemas instrumentados de seguridad (SIS) son la formalización de las llamadas �uenas Prác�cas.


CONSEJOS PRÁCTICOS

� Familiarizarse con los conceptos y de�niciones incluidos en los estánda-res.

� Conseguir una visión global del sistema de seguridad que queremos es-tudiar.

� Saber iden��car las SIF que forman parte del SIS.

2LEGISLACIÓN, ESTÁNDARES Y NORMATIVAS


SUMARIO: Introducción. Análisis de riesgos de los procesos. Seguridad funcional. Para no o��ar� on��o� �r��o��Listado ��!��j>��k�<��q��!��%��!�j��

2.1. INTRODUCCIÓN

��'�$��#��'��$��'��J��'�'��P��de cada instalación, buscando siempre la prevención o mitigación de sucesos peligrosos.

Las diferentes directivas/normativas describen los requisitos para un correcto diseño, operatividad y mantenimiento de dichos sistemas. Muchas veces estos ��3�'�'$��Q��&�'��)��$'��T�/��'��&�#�/��P�'��'��$��'P��'��/��'��$��#�/��'��'/��3�'$��$��componentes, intervalos de pruebas, etc., no es tarea tan obvia.

Estas directivas/normativas han sido redactadas para ayuda de aquellos que, en los diferentes procesos industriales, tienen responsabilidad directa en cualquier fase del ciclo de vida de un sistema de seguridad, desde el análisis conceptual del riesgo asociado a una instalación, hasta la operación y mantenimiento de la misma, inclu-yendo, por supuesto, el diseño de tales sistemas.

Seguir los requisitos de estos estándares es una condición mínima para quien pretende implementar instalaciones seguras, sin embargo, no existe la seguridad o certeza de que respetándolos se obtenga un proceso totalmente seguro. Lo que sí es seguro es que cuanto más respetemos estos requisitos más aseguraremos la calidad de nuestra seguridad.

Es importante conocer la diferencia entre Directiva y Normativa, daremos una breve descripción sin entrar en mucho detalle:

� Directiva: documento de obligado cumplimiento elaborado por instituciones legales representantes de las diferentes naciones que lo componen (en el caso de la Unión Europea es el Parlamento Europeo). La transposición de una directiva al régimen jurídico de un estado da como resultado las leyes y los reales decretos.

� Norma: documento elaborado por un comité compuesto de expertos con re-presentación generalmente de diferentes ámbitos y funciones, a saber, inge-


�'��/��&�'��$��/��'��P��K��'��L/��$��obligado cumplimiento en el diseño o fabricación de cualquier producto, pero facilitan sustancialmente estos procesos.

(Nota: una norma no es obligada, pero pasa a serlo para aquellas personas/ ��8'��$'$��'��3��&��$�&Q��'P��'��3�� #�referencia a tal norma… cosa que suele ser muy habitual.)

� Norma armonizada:��$��'P��'��$4��'��'��'��$'�/��$��#�'��P�'��'��'��. Mantiene su carácter de voluntariedad, aunque el cumplimiento de la misma proporciona la presunción de conformidad respecto a los requisitos esenciales de la direc-tiva aplicable relacionada. Por tanto, constituyen el mejor medio de prueba del cumplimiento de estos requisitos.

��$�� P��)��$��3��'��$'-vas, facilitando sustancialmente su seguimiento. Sin embargo hoy en día existen tal cantidad y variedad de normas, que se hace imposible conocerlas todas en detalle y difícil incluso buscar aquellas que nos puedan ser de ayuda, de forma especíP��

Intentaremos facilitar dicho ejercicio comentando las directivas y normativas más relevantes relacionadas con el análisis de riesgos y la seguridad funcional.

2.2. ANÁLISIS DE RIESGOS DE LOS PROCESOS

2.2.1. RD 1254/1999 DE 16 DE JULIO Y POSTERIORES MODIFICACIONES

Real Decreto por el que se traspuso al régimen jurídico español la conocida Directiva Seveso II (Directiva 96/82/CE del Consejo Europeo, de 9 de diciembre).

*�P��'��$��'��#��'� ��$��'��$��#��los que intervienen sustancias peligrosas.

G��$��'��$��'P��(��*��$��DD=8BEEH/��@��&��)��Real Decreto 948/2005, de 29 de Julio (basado en la Directiva 2003/105/CE conoci-��6��/�3��'P��)��Q��$��'��*'��$'��=A8?B8+L�

Evolución de esta legislación:

Seveso I

Como vimos en el Capítulo 1, el accidente de Seveso produjo un antes y un después en la concienciación general sobre la seguridad industrial, si bien, anteriormente a este suceso, en la localidad de Flixborough (Reino Unido, 1974), el escape de más de 40 Tm de ciclohexano en una planta industrial dedicada a la producción de ca-prolactama y la explosión posterior a causa de este escape ocasionó la muerte de 29 trabajadores y cientos de heridos.

17Legislación, estándares y norma�vas

La fuerte presión social provocada por los desastres químicos antes abordados, unido a los elevados costes económicos y ambientales que los mismos ocasionaron, motivó el inicio de una actuación legislativa en la Unión Europea para abordar la prevención y el control de los accidentes que se pudieran producir en aquellas acti-vidades con presencia de sustancias químicas peligrosas.

Los reglamentos para la prevención y control de estos accidentes existentes en los distintos países de la entonces llamada Comunidad Económica Europea se reco-gerán y sintetizarán en la primera norma que dará lugar a lo que hoy se conoce como normativa Seveso. La primera norma en este contexto, conocida como Directiva Seveso I, fue la Directiva 82/501/CEE.

El Real Decreto 886/1988, de 15 de julio, sobre prevención de accidentes mayores ��$��'��$'�'��'��$�'��/��'P��(��*��$��=HB8D==E/�de 29 de julio, incorporó al ordenamiento jurídico español la Directiva 82/501/CEE, del Consejo, de 24 de junio, relativa a los riesgos de accidentes graves en determina-��$'�'��'��$�'��/��'P��'��*'��$'��?>8BDA8CEE y 88/610/CEE, de 19 de marzo y de 24 de noviembre, respectivamente.

Seveso II y III

Tras más de diez años de experiencia en la aplicación de la Directiva 82/501/CEE, y tras el análisis de cerca de 130 accidentes que han tenido lugar durante ese periodo de tiempo en la Unión Europea, la Comisión Europea consideró conveniente rea-lizar una revisión fundamental de la Directiva, que contemplara la ampliación de su ámbito y la inclusión de algunos aspectos ausentes en la Directiva original, que mejoraran la gestión de los riesgos y de los accidentes. Ello condujo a la aprobación de la Directiva 96/82/CE (Directiva Seveso II), del Consejo, de 9 de diciembre, relativa al control de los riesgos inherentes a los accidentes graves en los que inter-vengan sustancias peligrosas, que tiene como objetivo la obtención de un alto nivel de protección para las personas, los bienes y el medio ambiente ante accidentes gra-ves, mediante medidas orientadas tanto a su prevención como a la limitación de sus consecuencias y que, entre otras novedades, plantea la necesidad de tener en cuenta ��&'��'��'��$��'��'P��'��&��$'��

La Directiva 96/82/CE del Consejo, de 9 de diciembre de 1996, relativa al con-trol de los riesgos inherentes a los accidentes graves en los que intervengan sus-tancias peligrosas, fue incorporada a nuestro ordenamiento jurídico mediante el Real Decreto 1254/1999, de 16 de julio, por el que se aprueban medidas de control de los riesgos inherentes a los accidentes graves en los que intervengan sustancias peligrosas.

Con posterioridad, la Comisión Europea inició un procedimiento de infracción contra las autoridades españolas por disconformidad con la citada transposición de la directiva de referencia, que dio lugar a la emisión de un dictamen motivado, como paso previo a interponer la correspondiente demanda ante el Tribunal de Justicia de las Comunidades Europeas.


Aunque una parte de las objeciones manifestadas por la Comisión Europea quedó ��$��*'��$�'��&��'��$��'��'�'��$��)��'P��'��ante el riesgo de accidentes graves en los que intervienen sustancias peligrosas, apro-bada por el Real Decreto 1196/2003, de 19 de septiembre, quedaron pendientes otras cuestiones que exigieron una reforma del Real Decreto 1254/1999, de 16 de julio, y este, precisamente, fue uno de los objetivos del Real Decreto 119/2005, de 4 de febrero.

El 31 de diciembre de 2003, se publicó en el Diario O�cial de la Unión Europea la Directiva 2003/105/CE del Parlamento Europeo y del Consejo, de 16 de diciembre ��BEEX��'��6��/��3��'P��*'��$'��=A8?B8+��Consejo, de 9 de diciembre de 1996, relativa al control de los riesgos inherentes a los ��'��$��#��3��'�$��#��$��'��'#��/��3��P��los siguientes aspectos:

^� En primer lugar, la ampliación del ámbito de aplicación, de acuerdo con las lecciones aprendidas de algunos accidentes industriales recientes y los es-tudios sobre carcinógenos y sustancias peligrosas para el medio ambiente efectuados por la Comisión a instancia del Consejo. Ejemplos de estos acci-dentes son:- El vertido de cianuro que contaminó el Danubio tras el accidente de Baia

��/� ��(��'/� ��BEEE/�3��'P��$��3��-gunas actividades de almacenamiento y tratamiento de la minería, en especial las instalaciones de evacuación de residuos, incluidos los diques o balsas de residuos, podían tener consecuencias medioambientales muy graves.

- El accidente pirotécnico de Enschede, en Holanda, ocurrido en mayo de BEEE/�3��'P��$��3��'��$��)��&�'��'��sustancias pirotécnicas y explosivas conlleva riesgos graves de acciden-$��G��'#�'��$�/��'��'P��)��'��'P��P�'�'��de estas sustancias en la Directiva 96/82/CE.

- La explosión que tuvo lugar en una fábrica de fertilizantes de Toulouse, ��'/��$'��&��BEED/�$�&'4��'P��$��'#��que supone el almacenamiento de nitrato de amonio y de abonos a base de nitrato de amonio, en particular de materiales desechados durante la fabricación o devueltos al fabricante (denominados materiales “fuera de ��'P��'��VL��G��'#�'��$�/��&��'��$��$�#�-rías de nitrato de amonio y de abonos a base de nitrato de amonio de la D'��$'��=A8?B8+��'��'��$��'��U��'P��'��V�

Asimismo, los estudios efectuados por la Comisión en estrecha coo-peración con los Estados miembros abogaron por ampliar la lista de car-�'��#��$'��&��)��&Q��'#�'P�$'��$��las cantidades umbral asignadas a las sustancias peligrosas para el medio ambiente en la Directiva 96/82/CE.


^� En segundo lugar,��'�$��'��'��$'P�-ciones y la elaboración de las políticas de prevención de accidentes graves, los informes de seguridad y los planes de emergencia, en el caso de los esta-blecimientos existentes que vayan a entrar con posterioridad en el ámbito de aplicación de la Directiva 96/82/CE.

^� En tercer lugar, la consideración de la experiencia y los conocimientos del personal especializado del establecimiento a la hora de elaborar los planes de emergencia. El reforzamiento de la obligación de que todas las personas del establecimiento, así como de las personas que puedan resultar afectadas, hayan de ser convenientemente informadas de las medidas e iniciativas en materia de seguridad.

^� En cuarto lugar, la matización de algunos extremos de la Directiva 96/82/CE, como los relativos al efecto dominó, al contenido del informe de seguri-dad y a la ordenación territorial.

� Finalmente, la aplicación de forma independiente de la regla sumatoria para ��'��#��#��'��$�O'�'��/��'�]�&'�'��y la ecotoxicidad, así como las aclaraciones y matizaciones de algunas notas del anexo I.

G��'#�'��$�/��'P��(��*��$��DBH@8D===/��DA��Q��'�/��-tarlo a la citada Directiva 2003/105/CE del Parlamento Europeo y del Consejo, de 16 de diciembre de 2003 (Seveso III) con el Real Decreto 948/2005.

2.2.2. OSHA CFR 1910.119

En 1970 el Congreso de los EE UU creó la Occupational Safety and Health Ad-ministration para garantizar condiciones de trabajo seguras y saludables para los hombres y mujeres mediante la creación y aplicación de normas y mediante la ca-pacitación, divulgación, educación y asistencia. Actualmente es un organismo con representación también en la UE.

En 1992 creó el estándar denominado 29 CFR - 1910, Cuyo apartado 119: Pro-cess safety management of highly hazardous chemicals, for General Industry tiene ��P��'��&�'#��'��$��'��$��3��'��'#��-tener procedimientos para garantizar la seguridad en sus operaciones.

El reglamento describe catorce elementos clave (Participación del empleado; Información de Seguridad del Proceso; Análisis del Peligro del Proceso; Proce-dimientos Operacionales; Entrenamiento; Contratistas; Revisión de Seguridad previa al Start-Up; Integridad Mecánica; Permisos de Trabajo; Manejo del Cam-bio; Investigación de Incidentes; Planes de Emergencia y Respuesta; Auditorías de Cumplimiento de la Seguridad y Con�dencialidad Comercial) para ayudar a las personas involucradas en sus esfuerzos para prevenir o mitigar emisiones de tales productos químicos que podrían conducir a una catástrofe. Además dispone los siguientes apéndices:


- App A - List of Highly Hazardous Chemicals, Toxics and Reactives (Manda-tory).

:� ��<�:�<��9�*'#��6'��'P��G��9�*'#��K-��-mandatory).

- App C - Compliance Guidelines and Recommendations for Process Safety Mngmt (Nonmandatory).

- App D - Sources of Further Information (Nonmandatory).

��'�� P�� &�� $�� $�� #�'�� #��puede encontrarse en:

$$�788999�� #��8��8�� 9�&8�9�� $)�� 6R�-*�(*6¡��$�� D¡��)�� D=DE

2.2.3. LEY 31/1995, DE 8 DE NOVIEMBRE, DE PREVENCIÓN DE RIESGOS LABORALES

El artículo 40.2 de la Constitución Española encomienda a los poderes públicos, como uno de los principios rectores de la política social y económica, velar por la seguridad e higiene en el trabajo.

Este mandato constitucional conlleva la necesidad de desarrollar una política de protección de la salud de los trabajadores mediante la prevención de los riesgos deri-vados de su trabajo y encuentra en la presente Ley su pilar fundamental.

+��'��P#��#��3�� &��distintas acciones preventivas, en coherencia con las decisiones de la Unión Europea que ha expresado su ambición de mejorar progresivamente las condiciones de traba-jo y de conseguir este objetivo de progreso con una armonización paulatina de esas condiciones en los diferentes países europeos.

La Ley 31/1995 tiene por objeto promover la seguridad y la salud de los trabaja-dores mediante la aplicación de medidas y el desarrollo de las actividades necesarias para la prevención de riesgos derivados del trabajo.

A tales efectos establece los principios generales relativos a la prevención de los riesgos profesionales para la protección de la seguridad y de la salud, la eli-minación o disminución de los riesgos derivados del trabajo, la información, la consulta, la participación equilibrada y la formación de los trabajadores en materia preventiva.

G��'�'��$��'� ��P��/��)��#��$��'��por las administraciones públicas, así como por los empresarios, los trabajadores y sus respectivas organizaciones representativas.

Las disposiciones de carácter laboral contenidas en esta Ley y en sus normas reglamentarias tienen en todo caso el carácter de derecho necesario mínimo indispo-nible, pudiendo ser mejoradas y desarrolladas en los convenios colectivos.


Evolución y adaptación

Efectuando un análisis histórico del Ordenamiento Jurídico español, se aprecia que el objetivo de mejora de la seguridad y la salud de los trabajadores en el trabajo, directa o indirectamente, ya se hallaba contemplado en nuestra legislación, entre otros, en la Ordenanza General de Seguridad e Higiene en el Trabajo (1971), en la Constitución Española (1978), en el Estatuto de los Trabajadores y en su texto refundido (1980/95), en el Convenio 155 de la OIT (1985) y en el Acta Única Europea (1986).

En 1997 tiene lugar la publicación del Real Decreto 39/1997, de 17 de enero, por el que se aprueba el “Reglamento de los Servicios de Prevención”, que constituye un complemento necesario e imprescindible a la Ley 31/1995 y dota al conjunto con una misión triple:

^� En primer lugar trasponer al Ordenamiento Jurídico interno las Directivas Comunitarias 89/391/CEE, 91/533/CEE, 92/85/CEE y 94/33/CE.

^� +��#��#��'P��)��$��'��$'��$��'�^� En tercer lugar dotar al Ordenamiento de una regulación mínima que permita

el posterior desarrollo reglamentario concreto y que sirva de base en la nego-ciación colectiva.

2.3. SEGURIDAD FUNCIONAL

2.3.1. NORMAS ANSI/ISA

El Instituto Nacional Estadounidense de Estándares (ANSI, por sus siglas en inglés: American National Standards Institute) es una organización sin ánimo de lucro que supervisa el desarrollo de estándares para productos, servicios, procesos y sistemas en los Estados Unidos. ANSI es miembro de la Organización Internacional para la Estandarización (International Organization for Standardization, ISO) y de la Comi-sión Electrotécnica Internacional (International Electrotechnical Commission, IEC). La organización también coordina estándares del país estadounidense con estándares internacionales, de tal modo que los productos de dicho país puedan usarse en todo el mundo.

Esta organización aprueba estándares que se obtienen como fruto del desarrollo de tentativas de estándares por parte de otras organizaciones, agencias gubernamen-tales, compañías y otras entidades. Estos estándares aseguran que las características y las prestaciones de los productos son consistentes, es decir, que la gente use dichos productos en los mismos términos y que esta categoría de productos se vea afectada por las mismas pruebas de validez y calidad.

�-6��'$��#�'��'��3�� '��$'P��'��$��3�'�'$��P�'��$��'�$��'��Los programas de acreditación ANSI se rigen de acuerdo a directrices internacio-��$��'P��'��#�&��$��)��'�'��'��'��


La ISA (The International Society of Automation) fue fundada en 1945 y es una organización internacional sin ánimo de lucro enfocada a ayudar a sus más de 30.000 miembros repartidos por todo el mundo y a todos los profesionales del sector a resol-ver sus problemas, a mejorar sus conocimientos, capacidad de liderazgo y favorecer en general su desarrollo profesional.

ISA se encarga también del desarrollo de estándares relacionados con el mundo de la instrumentación, el control y la automatización en general. Asimismo, pro-porciona formación y publica numerosos libros, revistas y artículos técnicos para divulgar el conocimiento en todo el mundo. También organiza ferias y conferencias internacionales, con el objetivo de destacar las últimas novedades tecnológicas, ten-dencias y soluciones reales a los problemas de más actualidad en materia de produc-ción, ingeniería o gestión.

Más información puede encontrarse en:

$$�788999��'��#8&��$��'8'�$��$'��8'�$��$'��O��'� D $$�788999�'�:��'��#8#��'� D $$�788999�'��#

En cuanto a Seguridad Funcional de Procesos podemos destacar el estándar ANSI/ISA S84.01-1996 “Aplication of Safety Instrumented Systems for the Process Indus-tries”, desarrollado conjuntamente con la ISA a principios de la década de los 90, en paralelo con el desarrollo del proyecto de 1995 de IEC 61508 (llamada entonces IEC 1508, y cuyo enfoque se dirigía al fabricante de estos sistemas), y en conformidad con los principios de la IEC (International Electrotechnical Commission). En efecto, una característica de la S84 es una cláusula que describe las principales diferencias con la IEC 1508 (cabe señalar que algunas de estas diferencias pueden no aplicar a la IEC 61508 ya que esta se publicó unos años después, como actualización de la 1508).

La similitud entre ambas normativas es evidente ya que ambas tienen la misma P��'��/��'��&�#��O'�$��/��#'��/��'��$��'��'��3��'��esquemáticamente en la Tabla 2.1:

Tabla 2.1. Compara�va IEC vs ANSI/ISA.

Standard IEC 61508 Standard ISA S 84.01

Número de pasos ciclo de vida

15

Número de pasos dentro del alcance del Standard

16 7

Máximo SIL 4 3Campo de aplicación Todas las industrias Solo procesos industrialesIntervención humana en SIS Sí No

W�'��$��'��P��K��J�8��'��$��'��L��$��$'��sistemas de seguridad tenemos actualmente en vigor la ANSI/ISA S84.00.01-2004,


“Functional Safety: Safety Instrumented Systems for the Process Industry Sector, Instrumentation, Systems, and Automation Society”, que referencia a la IEC 61511 diferenciándose de ella básicamente por una cláusula Grandfather que indica que para SIS existentes diseñados y construidos de acuerdo con códigos, estándares, o prácticas antes de la emisión de un estándar aplicable (por ejemplo ANSI/ISA-S84.01-1996), el dueño/operadora deberá demostrar que el equipo es diseñado, man-tenido, inspeccionado, probado y operado en una manera segura.

Una evaluación de la cláusula Grandfather requiere una revisión de la informa-ción existente de seguridad de proceso, registros de integridad mecánica, operacio-nales, del sistema de gerencia y medición. Si el resultado de la revisión es satisfac-torio, el dueño/operadora puede elegir mantener el equipo existente tal y como se ��$��P�'��'��J��)��'��'��$�'��&��corregidas a través de planes de acción para cerrar las desviaciones.

La ANSI/ISA S84.00.01-2004 se divide en tres partes:

^� G�$�D7��9��/�*�P�'$'��/�6)�$��/�%��9�� 6��$9��(�3�'��-ments.

^� Part 2: Guidelines for the Application of Part 1. ^� Part 3: Guidance for the Determination of the Required Safety Integrity Le-

vels.

Relacionados con estas normativas existen además multitud de Guías y Technical Reports de las que destacamos las siguientes confeccionadas por ISA:

^� ISA-TR84.00.02-2002, “Safety Instrumented Functions (SIF) - Safety Inte-grity Level (SIL) Evaluation Techniques”:- Part 1: Introduction.:� G�$�B7�*�$��'�'�#�$ ��6��6��'�6'��'P��+3�$'��- Part 3: Determining the SIL of a SIF via Fault Tree Analysis.- Part 4: Determining the SIL of a SIF via Markov Analysis.- Part 5: Determining the PFD of SIS Logic Solvers via Markov Analysis.

^� ISA-TR84.00.03-2002, “Guidance for Testing of Process Sector Safety Instru-mented Functions (SIF) Implemented as or Within Safety Instrumented Sys-tems (SIS)”. Una versión actualizada de esta guía verá la luz durante el 2011.

^� ISA TR84.00.04-2005, “Guidelines for the Implementation of ANSI/ISA S84.00.01-2004 (IEC 61511), Instrumentation, Systems, and Automation Society”:- Part 1: Guideline on the Implementation of ANSI/ISA 84.00.01 2004.- Part 2: Example Implementation of ANSI/ISA-84.00.01-2004.

En esta guía se indican los dos pasos esenciales para determinar la acep-tabilidad de los equipos existentes bajo la cláusula Grandfather:

:� ��P��3�� '�'�� '#��)� �'��#�� '�� '��determinar cualitativamente o cuantitativamente el nivel de reducción


del riesgo requerido para cada función instrumentada de seguridad en el sistema instrumentado de seguridad.

:� ��P��$��4��'��3��'��'��$��$��seguridad existente ha funcionado acorde al diseño y provee el nivel de reducción de riegos necesitado.

^� �-6�8�6�:=D�EE�ED:BEED/�U��$'P�$'��+��#��)�6 �$��9��6)�$��and controls that are Critical to Maintaining Safety in Process Industries”.

^� �6�:R(=D�EE�EB:BEEX/� U�'$'��'$)��'P�$'��'��'�� $��-tation”.

2.3.2. NORMAS IEC

La Comisión Electrotécnica Internacional (CEI o IEC por sus siglas en inglés, In-ternational Electrotechnical Commission) es una organización de normalización en los campos eléctrico, electrónico y tecnologías relacionadas. Numerosas normas se desarrollan conjuntamente con la ISO (normas ISO/IEC).

La CEI, fundada en 1904 durante el Congreso Eléctrico Internacional de San Luis (EE UU), y cuyo primer presidente fue Lord Kelvin, tenía su sede en Londres hasta que en 1948 se trasladó a Ginebra. Integrada por los organismos nacionales de normalización, en las áreas indicadas, de los países miembros, en 2003 pertenecían a la CEI más de 60 países.

La misión de la IEC es promover entre sus miembros la cooperación internacio-nal en todas las áreas de la normalización electrotécnica a través de objetivos como:

^� ��'��'��P�'��$��$��^� Promover el uso de sus normas y esquemas de aseguramiento de la confor-

midad a nivel mundial.^� Asegurar e implementar la calidad de producto y servicios mediante sus nor-

mas.^� Establecer las condiciones de durabilidad y resistencia temporal de sistemas

complejos.^� ��$��P�'��'��'��$�'��^� Contribuir a la implementación del concepto de salud y seguridad humana.^� Contribuir a la protección del ambiente.

La participación activa como miembro de la IEC, brinda a los países inscritos la ��'&'�'��'�]�'��'��'��'�$��'��/��$�-do los intereses de todos los sectores nacionales involucrados y conseguir que sean tomados en consideración. Asimismo, constituye una oportunidad para mantenerse actualizados en la tecnología punta en el ámbito mundial.

A la fecha la IEC cuenta con 57 miembros, cada uno de ellos representando a un país, y que en conjunto constituyen el 95% de la energía eléctrica del mundo. Este organismo normaliza la amplia esfera de la electrotécnica, desde el área de potencia


eléctrica hasta las áreas de electrónica, comunicaciones, conversión de la energía nuclear y la transformación de la energía solar en energía eléctrica.

A la CEI se le debe el desarrollo y difusión de los estándares para algunas uni-dades de medida, particularmente el gauss, hercio y weber; así como la primera propuesta de un sistema de unidades estándar, el sistema Giorgi, que con el tiempo se convertiría en el Sistema Internacional de unidades.

En 1938, el organismo publicó el primer diccionario internacional (International Electrotechnical VocabularyL��'$��'P��$��'��#��4�$�'�/�esfuerzo que se ha mantenido durante el transcurso del tiempo, siendo el Vocabulario Electrotécnico Internacional un importante referente para las empresas del sector.

Más información puede encontrarse en: $$�788999�'�� En cuanto a sus publicaciones referidas a seguridad funcional destacan princi-

palmente las Normativas mencionadas anteriormente: la IEC 61508 y IEC 61511.El estándar IEC 61508 “Seguridad Funcional de Equipos Eléctricos, Electrónicos

y Electrónicos Programables” es una normativa internacional desarrollada para be-��P�'��'��$�'��'�$��#��/�$��'��$��4$��'��$íP��:$4��'��'��'P��'��$��/��Q��'��J��'�$��'��/��)��'�'��P�'�'��'��#�/��-��'��$��#��'��/�P&'�'��)��$��)��)��'��'��'��)��P�'��'��'��)��$��'�'��$��

Actualmente existe una Norma Europea, la EN 61508, pero a día de hoy no hay directiva ni trasposición al régimen jurídico.

Las actividades relativas a esta normativa se iniciaron en los años 80, cuando el comité IEC ACOS (Advisory Committee of Safety) constituyó un grupo de estu-�'��'��&��$��'��'��$��'P��$��sistemas electrónicos programables, ya que por aquel entonces muchos órganos de estandarización no admitían este tipo de sistemas en aplicaciones críticas para la seguridad.

En los siguientes años, y denominándose todavía como IEC-1508, se fue desarro-llando conjuntamente con otras propuestas como la americana ANSI/ISA S84.01 o la alemana DIN (V) 19250, enfocándose hacia el fabricante de este tipo de sistemas electrónicos programables.

Unos años más tarde quedó constituida formalmente como IEC 61508, formada por siete partes:

^� Parte 1: Requisitos generales.^� Parte 2: Requisitos para los electrical / electronic / programmable electronic

safety-related systems.^� G�$��X7�(�3�'�'$��$9��^� G�$��@7�*�P�'�'��)�&��'$��^� Parte 5: Ejemplos de los métodos para la determinación de los Safety Inte-

grity Levels (SIL).


^� Parte 6: Líneas guía para la aplicación de las partes 2 y 3.^� Parte 7: Panorámica de las técnicas y medidas.

Las partes 1, 3, 4 y 5 fueron aprobadas en 1998, las 2, 6 y 7 en febrero de 2000. En el 2002 hubo una revisión general y la última edición ha visto la luz en el 2010.

Se trata de un estándar de seguridad funcional bastante criticado por la exten-sa documentación requerida y por el uso intensivo de técnicas estadísticas, sin embargo, representa para muchas industrias un paso adelante importante hacia condiciones de trabajo más seguras para las personas y el medioambiente. Exige examinar los riesgos basados en el diseño de los sistemas de seguridad, determina ��'��P��$��'��)��'��3�'�'$��de la seguridad.

Este estándar es una publicación de amplio espectro que recoge aspectos basados no solo en la seguridad funcional de los sistemas, por ejemplo, afecta también a la directiva PED (Pressure Equipment Directive) y al método de protección “b” (con-trol de las fuentes de ignición) frente a ATEX (atmósferas explosivas) para equipos no eléctricos. En este punto interesa comentar la relación entre Atex y SIS, recogida en la Norma UNE-EN 50495:2010. En ella encontramos una descripción detallada sobre los aspectos de seguridad funcional de los dispositivos diseñados para la pre-��'��O��'��)�PQ��'��'�$�#�'��K6��L��$��'�$��protección en contexto ATEX.

�� $'�� J�� BEEB� �� '�$��Q�� P��7� �� +�61511 para las industrias de control de procesos y la IEC 62061 para la seguridad de las máquinas. Ambos estándares hacen referencia directa a la IEC 61508.

El estándar IEC 61511 se publicó formalmente en 2003, contando varias edi-ciones el mismo año, con el título “Seguridad Funcional: Sistemas Instrumentados para el sector de la Industria de Procesos” y fue elaborado por el mismo comité que redactó la IEC 61508 para complementar a esta. La edición más actualizada, para el 2012, es la 1.0 2003-01.

+��$��P��'��$�'��/��'�'#'��'��P��/�)��P��6�6�'��)��/��'��'$��#'��'�$��'��/��$��P��)��$��#��3��$�� '��&�'��aborda el ciclo de vida de los sistemas de seguridad y los niveles SIL, por lo que, a pesar de su similitud con la ISA-S84.01, es todavía más amplia.

Está compuesta por tres partes:

^� G�$��D7��$��$��/��P�'�'��/��'�$��/��3�'�'$�� 9��)��$9��^� Parte 2: líneas guía para la aplicación de la parte 1.^� Parte 3: ejemplos de métodos para la determinación de la integridad de la

seguridad en la aplicación del análisis del riesgo y del peligro.

En particular, esta norma:

^� G��'��3�'�'$��#��#��'��'��/��'P��quién es responsable de la aplicación de los requisitos (por ejemplo, diseña-ña-


dores, proveedores, propietario o empresa explotadora, contratista…), esta responsabilidad se asigna a las diferentes partes de acuerdo a la plan'P��'��de la seguridad y reglamentación estatal;

^� Aplica cuando el equipo que cumpla los requisitos de la Norma IEC 61508 (o del punto 11.5 de la norma IEC 61511-1) se integra en un sistema global que se va a utilizar para una aplicación de seguridad, pero no a los fabrican-tes que deseen reivindicar que sus dispositivos son adecuados para su uso en sistemas instrumentados de seguridad para el sector de proceso (véase IEC 61508-2 e IEC 61508-3).

^� *�P��'��$��+�ADHDD��+�ADHE?�^� ��'��$9��#��'��'�$��3��$'��'&'�'��

��#��PQ��/��&�'��$��/��'��J��/�'�$�#��)��'��3��$9�� '�$�#��K��$9��'�$��L��ull variability languages (véase IEC 61508-3 ).

^� Aplica a una amplia variedad de industrias en el sector de proceso, inclu-)��$��3��'��/��P��$��/��'��$��)�#�/�pulpa y papel, y generación de energía no nucleares.

Nota: en el sector de proceso de algunas aplicaciones (por ejemplo, off-shore), pueden tener requisitos adicionales que deben ser satisfechos.

^� Describe la relación entre las funciones de seguridad instrumentadas y otras funciones.

^� ��$'P��3�'�'$��'��#��'��)��'�$�#�'��K6��L��función de seguridad instrumentada (SIF), teniendo en cuenta la reducción del riesgo alcanzada por otros medios.

^� +��'P��3�'�'$��3�'$��$��'�$��)��P#��'�� 9��/��$9��'��'��'�$�#��'��'�$��

^� +��'P��3�'�'$��'��'��$9��'��integradores de sistemas instrumentados de seguridad (cláusula 12). En par-ticular::� +��$9��'��'��)��$'�'��'��$��

ciclo de vida del SIS. Estos requisitos incluyen la aplicación de medidas y $4��'��/�3��$'��&Q�$��'$��$9��)��$��

:� ��'��'��$'��'��'��$9��#��'��3��pasará a la organización durante la integración del SIS.

:� G��'��'��'��)��'�'��$��$'��$9��3��necesita el usuario para la operación y mantenimiento del SIS.

:� ��'�'��$��)��'P��'��3��&��'��#�'��'��&��'P��'��$9��#��'��¨

^� Aplica cuando la seguridad funcional se realiza con una o más funciones de seguridad instrumentadas para la protección del personal, la protección del público en general o del medio ambiente.


^� Puede aplicar en funciones de no seguridad, como protección de activos.^� N��'��'��#��'��)��P��'�$��$'�'��3��

necesarias para determinar los requisitos funcionales y los requisitos de in-tegridad.

^� (�3�'��'��'#��)��'��#��P�'��3�'�'$��seguridad funcional y los niveles de integridad de cada función de seguridad.

^� ��$'P��4�'��$�� &&'�'��'�� )� ��frecuencia de fallos peligrosos por hora para los niveles de integridad de seguridad.

^� +��'P��3�'�'$��'��$��'�� 9��^� +��'P��$4��'��)��'��'��'��'�-

$�#�'��'P��^� *�P��'��O'��'�$�#�'��K6��@L/�3��#��

función de seguridad instrumentada siguiendo este estándar.^� *�P��'��'��'�$�#�'��K6��DL��&Q��$��$��-

dar no aplica.^� Proporciona un marco para establecer los niveles de integridad de seguridad,

pero +�$��&��P�'��#T��'��'��P��)��'��de seguridad.

^� +��'P��3�'�'$��$��$��'�$��#��'��'��$��-��$��/�� $��$��P��

^� *�P��'��'��'��'��'��#��'��^� Requiere que el diseño de una función de seguridad instrumentada tenga en

cuenta factores humanos.^� No impone requisitos directos al operador individual o personal de manteni-

miento.

W$��+��$��+�ADHDX�U-��9��$�/�'��$��$$'��and control for systems important to safety. General requirements for systems”, que, como su nombre indica, está orientada al sector nuclear.

2.3.3. NORMAS UNE

Las normas UNE (Una Norma Española) son un conjunto de normas tecnológicas creadas por los Comités Técnicos de Normalización (CTN), de los que forman parte todas las entidades y agentes implicados e interesados en los trabajos del comité y cuyo ámbito de aplicación es el territorio nacional. Por regla general estos comités suelen estar formados por fabricantes, consumidores y usuarios, ad-�'�'�$��'��/��&��$��'��/��$��'��$'#�'��)��+-W(�K��$'��P�'��$'P��L�

La actividad de AENOR comenzó en el año 1986 cuando, mediante una orden ministerial que desarrollaba el Real Decreto 1614/1985, fue reconocida como la úni-��$'��&��$��'��'��)��$'P��'��nuestro país.


Posteriormente, el Real Decreto 2200/1995 de 28 de diciembre que aprobaba el Reglamento de la Infraestructura para la Calidad y la Seguridad Industrial en Espa-J/��$'P��&��'��$��+-W(��&��&��'��normas españolas (Normas UNE) y representante de los intereses españoles en los organismos de normalización europeos e internacionales.

Tras la creación de una norma española, tiene un periodo de seis meses de prueba ��3��'��T&�'��$�/��4��$��P�'$'��$��por la comisión, bajo las siglas UNE. Por supuesto, son actualizadas periódicamente.

��'#�'��'P��'��'��+��'#��3��'#-na una norma está estructurado de la siguiente manera:

En España existen unas 17.000 normas que permiten evaluar todas las áreas de actividad de las empresas, sus productos o servicios, su calidad y sus sistemas.

De las 17.000 normas UNE, unas 10.000 han sido directamente adaptadas de las propias normas europeas (EN).

Más información puede encontrarse en:

$$�788999��P'��8��$�'��)$8��'��'�� $$�788999��8��8��8��8��'��'��

Con respecto a la seguridad funcional y tal y como se indicó con anterioridad, la IEC 61508 fue aplicada al ámbito europeo mediante la creación de la Norma Euro-pea EN 61508. Del mismo modo, España hizo suya la misma a través de la UNE EN 61508, con exacto propósito que la IEC 61508. Igualmente se adaptó la IEC 61511 mediante la UNE EN 61511.

Otras normas de interés en cuanto a requisitos de seguridad (no funcional) en la industria son aquéllas relacionadas con ATEX y, por supuesto, la directiva vigente asociada:

Con carácter industrial:

^� Ley 21/1992 de Industria.^� RD 2135/1980 sobre Liberalización Industrial y Orden 19/12/1980 por el que

se desarrolla el Reglamento Electrotécnico de Baja Tensión (REBT).^� REBT - RD 842/02 y sus Instrucciones Técnicas, por ejemplo: BT-03 (Insta-

ladores Autorizados), BT-05 (Inspecciones), BT-21(Canalizaciones equipos móviles) o BT-29 (Prescripciones particulares para instalaciones eléctricas de locales con riesgo de incendio o explosión).

^� Normas UNE de obligado cumplimiento por referencia de la IT BT-29:- UNE-EN 60079-10 (reglas zonas Clase I)- CEI 61241-3 (reglas zonas Clase II)


- UNE-EN 60079-17 (criterios mantenimiento e inspección)- CEI 60079-19 (criterios reparación)- UNE-EN 6079-14 (emplazamientos Clase I)- EN 50281-1-2 (emplazamientos Clase II)- Sistemas cableado: UNE-EN 50039, UNE-EN 50086-1, UNE 21157,

UNE 21123, UNE 20432-3, UNE 21027, UNE 21150.^� RD 400/1996 (Atex100) (Aplicable a aparatos y sistemas de protección para

uso en Atex). Se complementa con el Reglamento CE 765/2008 que entró en vigor el 1 enero de 2010.

Con carácter preventivo:

^� ��)�XD8D==H/��G��'��('��#��&��^� (*�X=8D==>�(�#��$��6��'�'��G��'��

Nota: las anteriores reglamentaciones han sido comentadas en el punto 2.2.3 de este capítulo.

^� (*�A?D8BEEX�K�$�ODX>L que regula cómo realizar la Evaluación de Riesgos, PQ��*��$��G��$��'��$��+O��'��)��$&��'��'-ciones mínimas para mejorar la Seguridad.

2.3.4. OTRAS NORMAS

En este apartado y para dar una visión más completa en cuanto a Normativa asociada a Seguridad, daremos una breve descripción de algunas otras normas conocidas:

� HSE-PES “Programming Electronic Systems in Safety Related Applica-tions”, partes 1&2, 1987.

Este documento fue el primero en su clase publicado por la asociación gu-bernamental inglesa Health & Safety Executive. A pesar del hecho de que el ��$��$'��'��'��P��'��'�$��$��'��#��-bles, los conceptos analizados se pueden aplicar también a otras tecnologías. Trata métodos cuantitativos y cualitativos de evaluación junto a muchas tablas con check lists y se ha usado como referencia para confeccionar muchas norma-tivas vigentes relacionadas con el análisis de riesgos en ambientes industriales.

� DIN (V) 19250 “Aspectos fundamentales de la seguridad a considerar para equipos de medida y control”.

Se trata de una pre-norma alemana emitida en 1989 y cuya última edición se publicó en 1994. Se tomó muy en consideración en los ejemplos de Análi-sis de Riesgos de la IEC 61508 (Parte 5).

Cubre solo parcialmente el ciclo de vida de la seguridad puesto que su in-$��'��#��P�'��#��'�'��'��#��Describe por tanto un proceso de análisis cualitativo que ha desembocado en ��'��$'P��'��P��'��\��+�$��'�-


��$��3��'��'�$�#�'��K6��L��P�'��+�ADHE?�)�existe cierta correlación entre ellos.

� AIChE-CCPS “Guidelines for Safety Automation of Chemical Processes”, 1993.

El instituto americano de ingenieros químicos formó el Center for Chemi-cal Process Safety (CCPS), inmediatamente después del grave accidente de Bhopal, en India, y en el que murieron miles de personas. Desde entonces este centro ha elaborado numerosos documentos y libros de texto para la seguridad en la industria de procesos, que tratan el diseño de los DCS (Dis-tributed Control Systems) y de los SIS (Safety Instrumented Systems) desde ��$��'�$��'��P��

� API RTP 556 “Recommended Practice for Instrumentation and Control Sys-tems for Fired Heaters and Stream Generators”, 1997.

Desarrollado por el American Petroleum Institute, este documento tiene secciones que tratan los sistemas de bloqueo (shutdown) para calentadores, generadores de vapor, turbinas de gas, generadores de vapor de gases calen-$��/��'��$��3��*'�'#'��'��'��$��P��-rías, se podría aplicar también a plantas químicas o instalaciones industriales similares.

� API RP 14C “Recommended Practice for Design, Installation and Testing of Basic Surface Safety Systems for Offshore Production Platforms “, 2001.

La misma organización redacta este documento basado en proven practices, diri-gido tanto a personal de diseño como operativo.

� NFPA 85 “Boiler and Combustion Systems Hazard Code”, 1997.Normativa más reconocida a nivel mundial para la seguridad de los siste-

mas de combustión, redactada por la National Fire Protection Association. Revisada en 2004, es referenciada por muchas organizaciones para sus BMS (Burner Management Systems). El estándar comprende:

- Gestión de calderas de un solo quemador.- Calderas con múltiples quemadores.- Sistemas de pulverización de combustible.- Gestión de la alimentación de combustible.- Gestión de las calderas con �uidized-bed de presión atmosférica.- Sistemas de recuperación de calor en los generadores de vapor.

� EN 746-2 “Equipos de tratamiento térmico industrial”.Es la versión europea de la NFPA 85, que además exige un determina-

do SIL para determinados lazos. Consta de tres ediciones, siendo la última del 2011 (Resolución de 4 de octubre de 2011, de la Dirección General de Industria, que publica la relación de normas UNE aprobadas por AENOR – <W+:�:BEDD:DA?@AL/��P�'��G�$��B7�U(�3�'�'$��#��'��combustión y los sistemas de manejo de combustibles”.


Seguridad de máquinas e instalaciones

� EN 1050 “Seguridad de máquinas - Principios para la evaluación del riesgo”. El objetivo prioritario de este documento es la descripción de un procedi-

miento sistemático para la evaluación del riesgo que permita elegir medidas de protección adecuadas y coordinadas. La evaluación del riesgo es un com-ponente esencial del proceso iterativo de la reducción del riesgo que ha de continuarse hasta conseguir seguridad.

� EN 954 “Seguridad de las máquinas - Partes de los sistemas de mando rela-tivas a la seguridad”.

La norma describe requisitos técnicos de seguridad y advertencias refe-ridas a principios de diseño de partes de sistemas de mando relativas a la ��#��'��G��$��$��/��P��$�#��)��'&��'��funciones de seguridad. Esto incluye los sistemas programables para toda clase de máquinas y los dispositivos de protección pertinentes.

Vale para todas las partes de controles relacionados con la seguridad, in-dependientemente del tipo de energía utilizado, por ejemplo, eléctrica, hi-dráulica, neumática, mecánica, y se aplica a todas las máquinas del ámbito industrial y privado. Cuando proceda, puede aplicarse también a controles ��$��#��'��3��$'�'��$��P��'��$4��'��peligros similares.

� EN ISO 12100-1 “Seguridad de máquinas; conceptos básicos, principios ge-nerales para el diseño”:- Parte 1: Terminología básica, metodología. - Parte 2:�G�'��'�'��)��'P��'��$4��'�� Este documento formula principios técnicos para ayudar a los diseñado-

res y los fabricantes a integrar la seguridad en el diseño de las máquinas en instalaciones.También puede aplicarse a otros productos técnicos que entrañen peligros similares.

� EN ISO 13849 “Seguridad de las máquinas - Partes de los sistemas de man-do relativas a la seguridad”.

Con la revisión de la Norma EN 954-1 se pretende obtener una norma sim-��'P��/��&��/�3�� #�'��'��Q��$��$'��complejos.

Además de sistemas eléctricos, electrónicos y electrónicos programables, la futura Norma EN ISO 13849-1 seguirá contemplando, como hasta ahora, �$��$��#��$��/��Q��]��'��

+��&'$��$��'��+-��6W�DX?@=:D��'P��'&��'�'�-mo las posibilidades de aplicar esta norma a sistemas electrónicos programa-bles para funciones de seguridad.

En relación con el tema “validación” se publicó el actual proyecto de Nor-ma prEN 954-2 como norma armonizada EN ISO 13849-2 en diciembre de BEEX��G��'��'��$'��'P��'��/�'��'��'-


sis y las pruebas, de las funciones de seguridad y categorías de las partes de sistemas de mando relativas a la seguridad.

^� EN IEC 62061 “Seguridad de las máquinas - Seguridad funcional de los sistemas eléctricos, electrónicos y electrónicos programables relacionados con la seguridad”.

��+-��+�ABEAD��$��$��P��/��&��-dinada a la EN IEC 61508. En ella se describe la realización de sistemas de control eléctricos relacionados con la seguridad de las máquinas. Abarca el ciclo de vida completo, desde la fase de diseño hasta la retirada de servicio. La base la forman consideraciones cuantitativas y cualitativas de funciones �� #��'��+�$��'�'#'�� 'P��/� �'��J��)��'��sistemas de técnica de seguridad.

��+-8�+�ABEAD�P#��'�$��'��*'��$'��de máquinas CE, de forma que su aplicación genera el denominado efecto “efecto de presunción”.

*��j��\��|j��

� EN 60204 “Seguridad de las máquinas - Equipo eléctrico de las máquinas”. La Norma se aplica a la realización del equipo y de los sistemas eléctricos y

��$��'��3�'��PQ��'&��$��'��'��$�/�'��-yendo un grupo de máquinas que trabajan conjuntamente de forma coordinada.

� EN 60947-5 “Aparataje de baja tensión”. La Norma ofrece información detallada sobre la construcción eléctrica y

mecánica de dispositivos de parada de emergencia con función de enclava-�'��$��'��)��&��'P��'��'��S��'��'$'��de mando y elementos de conmutación utilizados para generar una orden de parada de emergencia. Tales aparatos pueden estar provistos con su propia envolvente, o estar montados según las instrucciones del fabricante.

� NFPA 79 “Electrical Standard for Industrial Machinery”. La NFPA (National Fire Protection Association) ha desarrollado la NFPA 79,

el equivalente de la EN 60204-1. La Norma NFPA 79 describe requisitos de los equipos electrónicos de máquinas y es reconocida por ANSI para su aplicación a máquinas en Norteamérica. Fue actualizada en 2007 para hacer referencia a las nuevas normas de seguridad ISO EN 13849 e IEC 62061 cuando se utilizan controladores y redes de seguridad programables.

Estamos seguros de que nuestro esfuerzo no será en vano.


PARA NO OLVIDAR

Como mencionamos al principio de este capítulo, una norma�va no es de carácter obligatorio si no se traspone al ordenamiento jurídico o se hace referencia a ella en una direc�va. Sin embargo son la mejor herramienta de consulta cuando una orga-nización, empresa, equipo de diseño o un simple operador de producción o mante-nimiento, desea tener la sensación de estar haciendo bien las cosas, y sobre todo, con seguridad.

Por supuesto la seguridad total no existe. Siempre habrá una cierta probabilidad de fallo en demanda de estos sistemas, inversamente proporcional a su integridad. Por ello, cuando nos disponemos a analizar un escenario de peligro, asumimos un cierto riesgo tolerable, basado en las consecuencias del evento peligroso y la fre-cuencia con la que se puede producir. Es este un ejercicio complicado, pues al �n y al cabo no solo estamos hablando de afectación económica o medioambiental, estamos hablando también de personas afectadas incluso con la pérdida de la vida.

Es pues responsabilidad del propietario de las instalaciones donde pueden exis�r estos escenarios de riesgo el hacer un ejercicio de compromiso entre Fiabilidad de la instalación (basada en las pérdidas económicas producidas por actuaciones inne-cesarias de los sistemas de seguridad que pueden llevar a paradas de procesos) y Seguridad de las mismas (aceptando un cierto Riesgo Tolerable).

Siguiendo las guías que hemos tratado en este capítulo, los diferentes técnicos cuali�cados en los que decae la responsabilidad del diseño, operación y manteni-miento, y en cuyo buen juicio han de con�ar los máximos responsables de las di-ferentes organizaciones industriales, encontrarán una ines�mable fuente de ayuda para su quehacer profesional.

Por supuesto, este libro pretende resumir y clari�car los conceptos disgregados en tan numerosa norma�va, ya mencionada, focalizando en los denominados Siste-mas Instrumentados de Seguridad (SIS).

Estamos seguros de que nuestro esfuerzo no será en vano.

CONSEJOS PRÁCTICOS

Existen in�nidad de norma�vas, documentación, guías, escritos y referencias re-ón, guías, escritos y referencias re- guías, escritos y referencias re-lacionadas con los Análisis de Riesgos y la Seguridad Funcional. Lo complicado es iden��car y encontrar aquella que podamos necesitar para una aplicación concre-ta. Para facilitar al lector esta tarea, presentaremos a con�nuación un listado con las norma�vas y direc�vas más relevantes mencionadas en este capítulo, y algu- más relevantes mencionadas en este capítulo, y algu- mencionadas en este capítulo, y algu-nas otras que las complementan, en relación a su aplicación, a modo de resumen.

Además añadiremos una tabla, confeccionada por el Ins�tuto Nacional de Se-guridad e Higiene en el Trabajo, que recoge una lista con aquella Legislación Espa-ñola de Seguridad y Salud que precisan e incluyen procedimientos de evaluación de riesgos y otra tabla con normas o guías aplicables.


LISTADO DE NORMAS, DIRECTIVAS Y GUÍAS

ANÁLISIS DE RIESGOS

Seveso I: Directiva 82/501/CEE, de la Com. Econ. Europea, de 24 de junio. � RD 886/1988, de 15 de julio, (prevención de accidentes mayores en deter-

�'��$'�'��'��$�'��L/��'P��RD 952/1990, de 29 de julio, incorpora esta directiva al oredenamiento jurídico español.

Seveso II: Directiva 96/82/CE del Consejo Europeo, de 9 de diciembre.� RD 1254/1999 de 16 de julio y RD 1196/2003, de 19 de septiembre (medi-

das de control de los riesgos inherentes a los accidentes graves en los que '�$��'��$��'��'#��L/��'P��RD 119/2005, de 4 de febrero, incorporan esta directiva al oredenamiento jurídico español.

Seveso III: Directiva 2003/105/CE del Consejo y Parlamento Europeo, de 16 de diciembre.

� RD 948/2005 de 29 de julio, incorporan esta directiva al ordenamiento jurí-dico español.

29 CFR - 1910, apartado 119: “Process safety management of highly hazardous chemicals, for General Industry” de OSHA.

^� Información en:� $$�788999�� #��8��8�� 9�&8�9��

$)�� 6R�-*�(*6¡��$�� D¡��)�� D=DE

Ley 31/1995, de 8 de noviembre, “Prevención de Riesgos Laborales”.

RD 39/1997, de 17 de enero, “Reglamento de los Servicios de Prevención”, se trasponen las Directivas Comunitarias 89/391/CEE, 91/533/CEE, 92/85/CEE y 94/33/CE al Ordenamiento Jurídico Español.

SEGURIDAD FUNCIONAL

ISA:

� ANSI/ISA S84.01-1996 “Aplication of Safety Instrumented Systems for the Process Industries”.

� ANSI/ISA S84.00.01-2004, “Functional Safety: Safety Instrumented Systems for the Process Industry Sector, Instrumentation, Systems, and Automation Society”.

� ISA-TR84.00.02-2002, “Safety Instrumented Functions (SIF) - Safety Inte-grity Level (SIL) Evaluation Techniques”.


� ISA-TR84.00.03-2002, “Guidance for Testing of Process Sector Safety Ins-trumented Functions (SIF) Implemented as or Within Safety Instrumented Systems (SIS)”.

� ISA TR84.00.04-2005, “Guidelines for the Implementation of ANSI/ISA S84.00.01-2004 (IEC 61511), Instrumentation, Systems, and Automation Society”.

� ANSI/ISA-91.00.01-2001,�U��$'P�$'��+��#��)�6 �$��9��6)�$��and controls that are Critical to Maintaining Safety in Process Industries”.

� ISA-TR91.00.02-2003,�U�'$'��'$)��'P�$'��'��'��$��$-tion”.

Información en:

$$�788999��'��#8&��$��'8'�$��$'��8'�$��$'��O��'� D $$�788999�'�:��'��#8#��'� D $$�788999�'��#

IEC:

� IEC 61508 “Seguridad Funcional de Equipos Eléctricos, Electrónicos y Electrónicos Programables”. Última edición 2010.

� IEC 61511 se publicó formalmente en 2003, contando varias ediciones el mismo año, con el título “Seguridad Funcional: Sistemas Instrumentados para el sector de la Industria de Procesos”. Última edición 2012.

UNE:

� UNE - EN - IEC 61508.� UNE - EN - IEC 61511.� UNE-EN 481.��$��#��$�&Q��*�P�'�'��'��

por el tamaño de las partículas para la medición de aerosoles. AENOR, Ma-drid, España, 1995.

� UNE-EN 482. Atmósferas en el lugar de trabajo. Requisitos generales rela-tivos al funcionamiento de los procedimientos para la medición de agentes químicos. AENOR, Madrid, España, 1995.

� UNE-EN 689. Atmósferas en el lugar de trabajo. Directrices para la evalua-ción de la exposición por inhalación de agentes químicos para la compara-ción con los valores límite y estrategia de la medición. AENOR, Madrid, España, 1996.

Normas UNE referenciadas en la IT BT-29:

� UNE-EN 60079-10 (reglas zonas Clase I).� CEI 61241-3 (reglas zonas Clase II).


� UNE-EN 60079-17 (Criterios mantenimiento e inspección).� CEI 60079-19 (Criterios reparación).� UNE-EN 6079-14 (emplazamientos Clase I).� EN 50281-1-2 (emplazamientos Clase II).^� Sistemas Cableado: UNE-EN 50039, UNE-EN 50086-1, UNE 21157, UNE

21123, UNE 20432-3, UNE 21027, UNE 21150.

OTRAS:

� HSE-PES “Programming Electronic Systems in Safety Related Applica-tions”, partes 1&2, 1987.

� DIN (V) 19250 “Aspectos fundamentales de la seguridad a considerar para equipos de medida y control”.

� AIChE-CCPS “Guidelines for Safety Automation of Chemical Processes”, 1993.

� API RTP 556 “Recommended Practice for Instrumentation and Control Sys-tems for Fired Heaters and Stream Generators”, 1997.

� API RP 14C “Recommended Practice for Design, Installation and Testing of Basic Surface Safety Systems for Offshore Production Platforms “, 2001.

� NFPA 85 “Boiler and Combustion Systems Hazard Code”, 1997.� EN 746-2 “Equipos de tratamiento térmico industrial”.� EN 1050 “Seguridad de máquinas - Principios para la evaluación del riesgo” � EN 954 “Seguridad de las máquinas - Partes de los sistemas de mando rela-

tivas a la seguridad”. � EN ISO 12100-1 “Seguridad de máquinas; conceptos básicos, principios ge-

nerales para el diseño”.� EN ISO 13849 “Seguridad de las máquinas - Partes de los sistemas de mando

relativas a la seguridad”.� EN IEC 62061 “Seguridad de las máquinas - Seguridad funcional de los sis-

temas eléctricos, electrónicos y electrónicos programables relacionados con la seguridad”.

� EN 60204 “Seguridad de las máquinas - Equipo eléctrico de las máquinas” � EN 60947-5 “Aparataje de baja tensión”. � NFPA 79 “Electrical Standard for Industrial Machinery”.

OTRA LEGISLACIÓN ESPAÑOLA COMPLEMENTARIA

� Orden de 31.10.1984 (Ministerio de Trabajo y Seguridad Social, BOE 7.11.1984). Reglamento sobre el trabajo con riesgo de amianto.

� (��$'P��7- Orden de 7.11.1984 (Ministerio de Trabajo y Seguridad Social, BOE

22.11.1984).


� ��'P��7- Orden de 26.7.1993 (Ministerio de Trabajo y Seguridad Social, BOE

5.8.1993). Completada por:

- Orden de 7.1.1987 (Ministerio de Trabajo y Seguridad Social, BOE 15.1.1987).

- Orden de 22.12.1987 (Ministerio de Trabajo y Seguridad Social, BOE 29.12.1987).

- Resolución de 20.2.1989 (Ministerio de Trabajo y Seguridad Social, BOE 3.3.1989)

� Real Decreto 665/1997 de 12.5. (Ministerio de la Presidencia, BOE 24.5.1997). Protección de los trabajadores contra los riesgos relacionados con la exposición a agentes cancerígenos durante el trabajo.

� ��'P��7- Real Decreto 1124/2000, de 16.6. (Ministerio de la Presidencia, BOE

17.6.2000).� Orden de 9.4.1986 (Ministerio de Trabajo y Seguridad Social, BOE 6.5.1986).

Reglamento para la prevención de riesgos y protección de la salud por la pre-sencia de cloruro de vinilo monómero en el ambiente de trabajo.

� Orden de 12.1.1963 (Ministerio de Trabajo, BOE 13.3.1963). Normas regla-��$�'��4�'��'�'��$��/��'#��$'��)��'P��'��enfermedades profesionales.

Completada por:- Orden de 15.12.1965 (Ministerio de Trabajo, BOE 17.1.1966).

� Real Decreto 1995/1978 de 12.5. (Ministerio Trabajo, Sanidad y Seguridad Social, BOE 25.8.1978). Cuadro de enfermedades profesionales.

� ��'P��7- Real Decreto 2821/1981 de 27.11. Ministerio Trabajo, Sanidad y Seguri-

dad Social, BOE 1.12.1981).� Real Decreto 863/1985 de 2.4. (Ministerio de Industria y Energía, BOE 12.6.

1985, rect. 18.12.1985). Aprueba el reglamento general de normas básicas de seguridad minera.

� ��'P��7- Real Decreto 150/1996 de 2.2. (Ministerio de Industria y Energía, BOE

8.3.1996).Completado por:- Disposiciones que incluyen las Instrucciones Técnicas Complementarias

ITC MIE, entre ellas:* ITC 04.08.01: Condiciones ambientales de lucha contra el polvo;

publicada en la Orden 13.9.1985 (Ministerio de Industria y Energía, BOE 18.9., rect. 23.11.1985).

* ITC 07.1.04: Condiciones ambientales; publicada en la Orden 16.10.1991 (Ministerio Industria y Comercio, BOE 30.10.1991).


� Real Decreto 1389/1997 de 5.9. (Ministerio de Industria y Energía, BOE 7.10.1997). Aprueba las disposiciones mínimas destinadas a proteger la se-guridad y salud de los trabajadores en las actividades mineras.

� Real Decreto 783/2001 de 6.7. (Ministerio de la Presidencia, BOE 26.7.2001). Aprueba el Reglamento sobre protección sanitaria contra radiaciones ioni-zantes.

� Real Decreto 363/1995 de 10.3. (Ministerio de la Presidencia, BOE 5.6.1995). (�#��$��&��$'P��'��$��'��)��'P��'��/��y etiquetado de sustancias peligrosas.

� ��'P��7- Orden de 13.9.1995 (Ministerio de la Presidencia, BOE 19.9.1995). - Anexo I.- Orden de 21.2.1997 (Ministerio de la Presidencia, BOE 10.3.1997). - Anexo I.- Real Decreto 700/1998 de 24.4. (Ministerio de la Presidencia, BOE

8.5.1998).- Orden de 30.6.1998 (Ministerio de la Presidencia, BOE 6.7.1998). - Anexos I,III, V y VI.- Orden de 11.9.1998 (Ministerio de la Presidencia, BOE 17.9.1998). Ane-

xos I y VI.- Orden de 8.1.1999 (Ministerio de la Presidencia, BOE 14.1.1999).- Orden de 16.7.1999 (Ministerio de la Presidencia, BOE 27.7.1999). Ane-

xos I y V.- Orden de 5.10.2000 (Ministerio de la Presidencia, BOE 10.10.2000).

Prólogo, Anexos I, III, IV y VI.- Orden de 5.4.2001 (Ministerio de la Presidencia, BOE 19.4.2001). Anexo

I, IV, V, VI y IX.- Real Decreto 507/2001 de 11.5. (Ministerio de la Presidencia, BOE

12.5.2001).� Real Decreto 1078/1993 de 2.7. (Ministerio de Relaciones con las Cortes,

<W+�=�=�/��$��D=�DD�D==XL��(�#��$��&��'P��'��/��)��$'-quetado de preparados peligrosos.

Actualizado por:- Orden de 20.2.1995 (Ministerio de la Presidencia, BOE 23.2, rect.

5.4.1995).��'P��7- Real Decreto 363/1995 de 10.3. (Ministerio de la Presidencia, BOE

5.6.1995).- Real Decreto 1425/1998 de 3.7. (Ministerio de la Presidencia, BOE

4.7.1998).� Real Decreto 485/1997 de 14.4. (Ministerio de Trabajo y Asuntos Sociales,

BOE 23.4.1997). Disposiciones mínimas en materia de señalización de segu-ridad y salud en el trabajo.


� Real Decreto 486/1997 de 14.4. (Ministerio de Trabajo y Asuntos Sociales, BOE 23.4.1997). Disposiciones mínimas de seguridad y salud en los lugares de trabajo.

� Real Decreto 773/1997 de 30.5. (Ministerio de la Presidencia, BOE 12.6., rect. 18.7.1997). Disposiciones mínimas de seguridad y salud relativas a la utilización por los trabajadores de equipos de protección individual.

� Real Decreto 1254/1999 de 16.7. (Ministerio de la Presidencia, BOE 20.7 rect. 4.11.1999). Se aprueban medidas de control de los riesgos inherentes a los accidentes graves en los que intervengan sustancias peligrosas.

� Real Decreto 379/2001 de 6.4. (Ministerio de Ciencia y Tecnología, BOE 10.5., rect. 19.10.2001). Aprueba el Reglamento de almacenamiento de pro-ductos químicos y sus instrucciones técnicas complementarias MIE-APQ-1, MIE-APQ-2, MIE-APQ-3, MIE-APQ-4, MIE-APQ-5, MIE-APQ-6 y MIE-APQ-7.

� Real Decreto 1435/1992 de 27.11. (Ministerio de Relaciones con las Cortes, BOE 11.12.1992). Dicta las disposiciones de aplicación de la Directiva del Consejo 89/392/CEE, relativa a la aproximación de las legislaciones de los Estados miembros sobre máquinas.

� Real Decreto 1215/1997 de 18.7. (Ministerio de la Presidencia, BOE 7.8.1997). Se establecen las disposiciones mínimas de seguridad y salud para la utiliza-ción por los trabajadores de los equipos de trabajo.

� Decreto 2413/1973 de 20.9. (Ministerio de Industria, BOE 9.10.1973). Re-glamento electrotécnico de baja tensión.

� ��'P��7:� W��DX�D�D=??��3��'P��R��<R�EBA�

� Real Decreto 1942/1993 de 5.11. (Ministerio de Industria y Energía, BOE, 14.12.1993, rect. 7.5.1994). Reglamento de instalaciones de protección con-tra incendios.

� ��'P��7- Orden de 16.4.1998 (Ministerio de Industria y Energía, BOE 28.4.1998).

Desarrollado por:- Orden de 21.12.1999 (Ministerio de Industria, BOE 25.1.2000).

� Real Decreto 400/1996 de 1.3. (Ministerio de Industria y Energía, BOE 8.4.1996). Dicta las disposiciones de aplicación de la Directiva del Parla-mento Europeo y del Consejo 94/9/CE, relativa a los aparatos y sistemas de protección para uso en atmósferas potencialmente explosivas.

� Real Decreto 786/2001 de 6.7. (Ministerio de Industria y Energía, BOE 30.7.2001). Reglamento de seguridad contra incendios en los establecimien-tos industriales.

� Resolución de 30.1.1991 (Ministerio del Interior, BOE 6.2., rect. 8.3.1991). Publicación del Acuerdo del Consejo de Ministros por el que se aprueba la directriz básica para la elaboración y homologación de los planes especiales del sector químico.


TABLASLegislación y Normativa para Evaluación de Riesgos

LISTA DE LEGISLACIÓN DE SEGURIDAD Y SALUD EN LA QUE SE DEFINEN PROCEDIMIENTOS DE EVALUACIÓN

TÍTULO DIRECTIVA TRASPOSICIÓN Lugares de Trabajo 89/654/CEE RD 486/1997 Señalización 92/58/CEE RD 485/1997 Construcción 92/57/CEE RD 1627/1997 Canteras y minas 92/104/CEE RD 1389/1997 Sondeos 92/91/CEE RD 150/1996 Pesca 93/103/CEE RD 1216/1997 Equipos de trabajo 89/655/CEE RD 1215/1997 PVD 90/270/CEE RD 488/1997 Agentes químicos 98/24/CE Pendiente trasposición. Valores límite 91/322/CEE

96/94/CE No exigible su trasposición. Pendien-te de trasposición. Documento sobre límites de exposición profesional para agentes químicos.

Plomo 82/605/CEE OM 9.4.1986 Benceno Convenio OIT 97/42/CE Resolución M.T. BOE 11/3/77. Pen-

diente trasposición. Agentes cancerígenos 90/394/CEE RD 665/1997 Prohibición agentes especí�cos. Amianto

88/364/CEE RD 88/1990

83/477/CEE 91/382/CEE

OM31.10.84 O.M.7.11.84OM 26.7.93

Cloruro de vinilo 78/610/CEE OM 9.4.86 Ruido 86/188/CEE RD 1316/1989 Radiaciones ionizantes 8 0 / 8 3 6 / E U R AT O M

8 4 / 4 6 7 / E U R AT O M 9 0 / 6 4 1 / E U R AT O M 96/29/EURATOM

RD 53/1992

�� RD 413/1997Redmill (2001). A pa-per on what is necessary for using IEC 61508.

��HSE (1999). Health and Safety Ex-ecu�veZ Reducing RisAs- Protec�ng People. Discussion Document- HSE BooAs.


TÍTULO DIRECTIVA TRASPOSICIÓN �� Summers Angela and Zachary Bryan

^Improve Facility SIS Perfomance and Reliability_ Sis-Tech. Solu�ons- Houston. Published Hydrocarbon Processing- October 2002.

�� Summers Angela. Ph D. ^High In-tegrity Protec�ve Systems for Reac-�ve Processes_ Sis-Tech Solu�ons. Published in Chemical Processing- March 2004.

�� C.E. Directrices para la evaluación de riesgos en el lugar de trabajo (1996). �uxemburgoZ O'cina de Pu-blicaciones de las Comunidades Eu-ropeas .

�� ópez Muñoz- +. (coord.) `y otros» (1994). kxito en la gestión de la salud y de la seguridad. I.�.S.H.7Z.1994.

��+uía Técnica para la Evaluación y Prevención de los Riesgos presen-tes en el lugar de trabajo relacio-nados con Agentes Químicos. R.D. 374�2001- de 6 de abril- BOE n{ 104- de 1 de mayo. I�SHT. ISB�.Z 84 - 7425 - 560- 0.

Pendiente trasposición Agentes biológicos 90/679/CEE 93/88/CEE

95/30/CE97/59/CE97/65/CE

RD 664/1997OM de 25 de marzo 1988

U�lización EPI 89/656/CEE RD 773/1997 Reglamento de ac�vidades molestas, insalubres, nocivas y peligrosas

D 2414/61BOE 30/11/61BOE 7/3/62

Manipulación manual de cargas

90/269/CEE RD 487/1997


LISTA DE ALGUNAS NORMAS O GUÍAS APLICABLES A LA EVALUACIÓN DE DISTINTOS TIPOS DE RIESGOS

MATERIA TÍTULO NORMA O GUÍA Estrés térmico Ambientes calurosos. Es�mación del estrés

térmico del hombre en el trabajo basado en el índice WBGT (temperatura húmeda y temperatura de globo).

UNE-EN 27243

Ambientes térmicos. Instrumentos y méto-dos de medida de los parámetros �sicos.

UNE-EN 27726

Estrés térmico por frío

Evaluación de ambientes fríos. Determina-ción del aislamiento de la ves�menta reque-rido (IREQ).

UNE-EN ISO 11079

Confort térmico Ambientes térmicos moderados. Determi-nación de los índices PMV y PPD y especi�-caciones de las condiciones para el bienes-tar térmico.

UNE-EN ISO 7730

Vibraciones mano brazo

Vibraciones mecánicas. Directrices para la medida y evaluación de la exposición hu-mana a las vibraciones transmi�das por la mano.

UNE-ENV 25349

Respuesta humana a las vibraciones. Instru-mentos de medida.

UNE-ENV 28041

Vibraciones cuer-po completo

Evaluación de la exposición del cuerpo hu-mano a las vibraciones. Requisitos genera-les.

ISO 2631-1

Respuesta humana a las vibraciones. Instru-mentos de medida.

UNE-ENV 28041

Campos electro-magné�cos

Exposición humana a campos electromag-né�cos de baja frecuencia (0 Hz a 10 �Hz) y alta frecuencia (10 �Hz a 300 GHz).

UNE-ENV 50166-1UNE-ENV 50166-2

Radiación óp�ca (UV,visible,IR)

TLV ACGIH ICNIRP Guidelines para visible-IR, 1997 INIRC/IRPA Guidelines para UV 1991, con�rmadas por ICNIRP en 1996

Radiación óp�ca láser

UNE-EN 60825-1/A11 ICNIRP Guidelines 1996

Ultrasonidos TVL ACGIH


MATERIA TÍTULO NORMA O GUÍA Recomendación para la valoración de la exposición a contaminantes químicos

Atmósferas en el lugar de trabajo. Directri-ces para la evaluación de la exposición por inhalación de agentes químicos para la com-paración con los valores límites y estrategia de la medición.

UNE-EN 689

Requisitos gene-rales rela�vos al funcionamiento de los procedi-mientos para la medición de agen-tes químicos

Atmósferas en el lugar de trabajo. Requisi-tos generales rela�vos al funcionamiento de los procedimientos para medición de agen-tes químicos.

UNE-EN 482

}��~�<��<�]

� http://www.cepis.org.pe/eswww/toxicolo/basesfac.html En esta página se encuentran enlaces a varias bases de datos para la bús-

queda de información de sustancias químicas. Entre ellas: ATSDR (Agency for Toxic Substance and Disease Registry), CCOHS (Canadian Centre for Occupational Health and Safety), EXTOXNET (The Extension Toxicology -�$9��L/�+G��K�#��'��G��$��'��&'��$��+�$��N�'��L/�IARC (International Agency for Research on Cancer), ICSCs (Fichas inter-��'��#��'��3��'�L�RW«-+R�KR�O'��#)�*$�-�$9��L�

^� http://www.insht.es/portal/site/Insht/menuitem.a82abc159115c8090128ca10060961ca/?vgnextoid=db2c46a815c83110VgnVCM100000dc0ca8c0RCRD

En esta página se encuentran todas las NTP citadas en las publicaciones del INSHT.

^� http://www.msc.es/ciudadanos/saludAmbLaboral/prodQuimicos/home.htm Información sobre productos químicos del Ministerio de Sanidad, Servicios

Sociales e Igualdad.

3CAPAS DE PROTECCIÓN EN INSTALACIONES DE PROCESO


SUMARIO: Introducción. Una primera aproximación al concepto de riesgo. Ejemplo de estrategia de seguridad funcional. ¿Podemos minimizar el número de escenarios peligrosos asociados a un proceso?� ��j\� %j�� j�� %�� /��>�� %��%�� %�� +}��k�%�� +}��/�%�� %�� ;j��%��!��/�%��ípicas con función de mitigación. Para no o��ar� on��o� �r��o�.

3.1. INTRODUCCIÓN. UNA PRIMERA APROXIMACIÓN AL CONCEPTO DE RIESGO

¿Dónde está el riesgo?

Figura 3.1. Riesgo en todo lo que nos atrae.

^� Nos gusta surfear entre las olas, aun sabiendo que en ciertas zonas podemos encontrar tiburones que pueden darnos un mordisco o incluso comernos; aun así, aceptamos el riesgo pues la diversión nos compensa.

^� Conducir una moto a gran velocidad nos proporciona una sensación que mu-chos encuentran apasionante, sin embargo la probabilidad de caer, lesionarse, e incluso morir es muy considerable.


^� Divertido también es jugar un partido de fútbol, tenis o cualquier deporte, más o menos extremo, aunque muchas veces volvemos a casa con alguna que otra magulladura…

Así podríamos seguir con innumerables ejemplos, pero seguro que a estas alturas se entiende ya el concepto. Pongamos uno más:

^� En la fabricación de productos químicos se corre el riesgo de sufrir un in-cendio, explosión o escape tóxico. Pero todo avance tecnológico requiere de procesos químicos y por tanto de unidades de proceso.

Reduciendo el riesgo

Figura 3.2. Riesgo donde uno menos se lo espera.

Dos frases interesantes:

� “El riesgo no siempre está donde se espera que esté…” y� “Las buenas cosas ocurren siempre de forma planeada, sin embargo las ma-

las ocurren por sí mismas…”

Viajar en avión es mucho más seguro que ir en coche, sin embargo no lo creería-mos de no ser por las estadísticas, ya que tenemos muy presente las consecuencias de un posible accidente. Por ello, al embarcar, solemos acordarnos de ellas…

*��'��/�)��P��'��$�$��'�basada en datos, debemos ��P�$'�� '��$��'��)8��'��'&��-tros procesos químicos, a menudo de gran complejidad.

47Capas de protección en instalaciones de proceso

En el mundo empresarial, para mantenerse en un mercado de continua compe-tencia, las empresas deben comprometer y balancear sus tres pilares fundamentales:

1. Crecimiento de Negocio.2. ��$��<��P�'��3. Gestión del Riesgo.

En cuanto al tercero, que es el que nos atañe, la empresa debe comprender sus riesgos, y el esfuerzo necesario para desarrollar esta comprensión dependerá de:

^� la cantidad de información que posee la organización sobre potenciales inci-dentes y

^� �� '��$��'�� P�� 3�� P�� '�� #�'��'��para una mejor información sobre sus riesgos.

En cualquier caso, los responsables en esta disciplina primero deben utilizar su experiencia e intuición para comprender el riesgo al que sus organizaciones se en-frentan en la operación de una instalación:

ENTENDER EL RIESGO��

¿�j\�%��<�<�� j\�%j�� ¿Cuáles son las consecuencias?

Dependerá de la propia organización, de su experiencia, competencia, conoci-miento y rigurosidad en la aplicación de los procesos de trabajo y operación, que esta búsqueda de entender el riesgo requiera de herramientas sencillas de evaluación y gestión del riesgo o de técnicas analíticas más complejas, a menudo basadas en evaluación de la predicción del riesgo e importancia de las consecuencias.

Nota: de estas técnicas hablaremos en profundidad en el Capítulo 6.

Entendido el concepto de riesgo, pasemos a buscar soluciones.Lo primero que tenemos que hacer es entender de qué recursos disponemos y

cómo aplicar la tecnología para proteger nuestras instalaciones y, por supuesto, nues-tra gente…

– Instrumentación:� Control básico� Sistemas de seguridad

– Procedimientos:� Crí�co� Emergencia

– Disposi�vos mecánicos:� Disposi�vos de alivio� Sistemas de protección contra explosiones� ...� ...

FUNCIONESPROTECTIVAS


… y el momento adecuado para ejecutar estas funciones.

Decidir cómo interactúan estas funciones se denomina “Estrategia de Seguridad Funcional”.

Veamos un ejemplo en el siguiente punto.

3.2. EJEMPLO DE ESTRATEGIA DE SEGURIDAD FUNCIONAL

Idealmente un proceso es controlado mediante un sistema básico de control (BPCS, DCS…) que lo mantiene dentro de un intervalo de operación segura.

Si existe una causa que desestabilice el sistema y la variable de proceso se des-controla superando los Set Points (o puntos de consigna) se disparará una Alarma. El Operador actuará en consecuencia y devolverá el sistema a su estado de equilibrio y operación normal.

Por diferentes motivos (tiempo de respuesta, mala ejecución…) puede que el Operador no sea capaz de llevar el sistema a su posición segura, por lo que entra en acción una función protectiva del Sistema de Control. El lazo actúa de la siguiente manera: los sensores detectan la condición insegura en el proceso y envían la señal a través del transmisor de forma electrónica (analógica o digital) al sistema de control, quien realiza una serie de operaciones programadas en concordancia con la función protectiva diseñada (comparando el valor medido con el set point establecido) y en-��8��$�8��P��8��K��$��/��$��bombas, compresores, etc.) para su actuación.

Sin embargo esta función protectiva también puede fallar, por lo que actúa ahora el sistema instrumentado de seguridad (SIS). Del mismo modo que el BPCS del paso anterior, su función protectiva se ejecutará a través de un lazo instrumentado.

6'��$��'��4O'$�/�P��$��$��dispositivo de alivio de presión, en caso que estemos considerando un escenario de sobrepresión, previniendo el peli-gro, pero produciendo una pérdida de contención primaria (loss of primary contain-ment) traduciéndose en un derrame de producto, emisión de producto a atmósfera, retorno a proceso, o envío a antorcha…

Otras medidas para minimizar las consecuencias del escenario pueden ser planes de emergencia adecuados que protejan las personas, las instalaciones y el medio ambiente.

En la Figura 3.3 podemos ilustrar este ejemplo de la siguiente manera:


Figura 3.3. Ejemplo estrategia funcional, actuación de protecciones.

Estamos introduciendo conceptos que empiezan a sonarnos: alarmas, operador BPCS o DCS, SIS… Pero profundicemos un poco más.

3.3. ¿PODEMOS MINIMIZAR EL NÚMERO DE ESCENARIOS PELIGROSOS ASOCIADOS A UN PROCESO?

Antes de pasar a pensar en cómo protegernos frente a un escenario de peligro con-siderando una Estrategia de Seguridad Funcional, Salvaguardias, IPL,… tal y como veremos a continuación en este capítulo, tengamos en cuenta que lo primero es mi-nimizar al máximo la generación de posibles escenarios de riesgo. ¿Cómo?

3.3.1. SEGURIDAD INHERENTE AL DISEÑO

El requisito principal de un proceso industrial es que el mismo sea seguro. Para ello se ha de contar con estándares de diseño y procedimientos de trabajo exigentes bus-cando siempre la simplicidad sin comprometer la calidad. Muchas veces la opción más segura es la más sencilla, lo que conlleva también una reducción de costes.

En un diseño enfocado hacia la seguridad se suelen tener en consideración los siguientes aspectos sobre la instalación:

^� ��'P��'��)��'�$�'&��'��^� Instalaciones de almacenaje.^� Instalaciones de producción.^� Depósitos de sustancias peligrosas.


^� Fluidos calientes/fríos.^� Instalaciones eléctricas.^� Fluidos auxiliares.^� ��'P��'��áreas peligrosas (Atex).^� Estructura organizativa y futuro uso de la instalación.

Lógicamente los responsables principales en esta capa son los diferentes ingenie-ros pertenecientes a las distintas disciplinas, Tuberías, Instrumentación, Electricidad, Equipos Mecánicos y Rotativos, Civil, Procesos…, y por supuesto los responsables de coordinar las mismas y la gestión del capital, a saber, ingenieros de proyecto y directores.

Los sectores de aplicación competen a diferentes ámbitos de la industria: quí-micos, petroquímicos, farmacéuticos, alimentarios, cementeros, ciclos combinados, etc.

Organizaciones de renombre disponen de herramientas que ayudan en el diseño de una instalación, suelen funcionar a base de procesos de trabajo establecidos y guías de diseño, estándares propios (basados siempre en reglamentación y norma-tiva exterior, de ellas hemos hablado en el capítulo anterior) y a veces cuentan con metodologías externas que ayudan a eliminar o minimizar los errores o defectos en tales procesos, a base de reducir la variabilidad. Tal es el caso de la metodología “Six Sigma”.

3.3.2. OPERACIÓN DE LA INSTALACIÓN

En la rutina de la operación de una planta encontramos variedad de actuaciones no automatizadas que requieren de una gestión importante de recursos, tiempo y, por supuesto, seguridad. Una ejecución manual siguiendo un protocolo a través de un procedimiento que cumple una serie de características, como su confección por un equipo de expertos en el proceso, revisión periódica y contemplación de alternativas de seguridad, margen temporal, ayuda instrumentada etc., puede incrementar consi-derablemente la seguridad del proceso.

Algunos ejemplos de actuaciones de este tipo pueden ser las siguientes:

^� Una disciplina operativa que asegure una disponibilidad mínima de espacio en un tanque de almacenaje antes de la descarga de producto al mismo.

^� Un mantenimiento y limpieza exhaustivos que prevenga la creación de pol-vos explosivos residuales.

^� Una entrega a operaciones (RTO, del inglés Return to Operations) de una instalación que ha pasado por tareas de mantenimiento basadas en procedi-mientos y listas de chequeo que prevengan posibles fugas y derrames.

^� Una política de restricción de acceso a áreas con posibles peligros, etc.


3.4. ¿QUÉ PUEDE INICIAR UN ESCENARIO PELIGROSO?

Es importante conocer los escenarios peligrosos asociados a un proceso, para ello debemos hacer un estudio en profundidad de las consecuencias de que se produzca y las causas que lo pueden generar, puesto que para un mismo escenario pueden existir diferentes causas o elementos iniciadores. Entendamos qué son:

3.4.1. ELEMENTO INICIADOR

Cuando hacemos un estudio (por ejemplo usando LOPA) de un determinado esce-nario peligroso debemos seleccionar la/s causa/s que lo producen y su frecuencia, normalmente expresada en número de eventos por año.

��$��'/�)��'��'P��$��$'��/��'#��un factor equivalente mediante una trasposición logarítmica. De tal forma, encon-tramos referencias como la de la Tabla 3.1, en la que se asignan diferentes factores a diferentes tipos de posibles elementos iniciadores.

Tabla 3.1. Frecuencia de los elementos iniciadores.

ELEMENTO INICIADOR FRECUENCIA DEL E.I.(AÑOS) FACTOR

Fallo de lazo de control BPCS 1.E-01 1

Fallo de sensor BPCS 1.E-01 1

Fallo de logic solver BPCS 1.E-02 2

Fallo de válvula de control 1.E-01 1

Fallo de regulador de aire 1.E-01 1

Fallo en la acción del operador (>1 vez cada 3 meses) 1.E-01 1

Fallo en la acción del operador (=<1vez cada 3 meses) 1.E-02 2

Pérdida de caudal por ruptura de bomba 1.E-01 1

Ruptura de sello mecánico de bomba (único) 1.E-01 1

Ruptura de sello mecánico de bomba (doble y con alarma de fallo) 1.E-02 2

Fallo de agua de refrigeración 1.E-01 1

Fallo eléctrico, pérdida de suministro 1.E-01 1

Fallo de servicios generales 1.E-01 1

Rayo eléctrico como EI 1.E-03 3


ELEMENTO INICIADOR FRECUENCIA DEL E.I.(AÑOS) FACTOR

Fallo en manguera en operación de carga o descarga 1.E-01 1

Fuga en tubería - <100 m 1.E-03 3

Fuga en tubería - >100 m 1.E-02 2

Fallo en juntas de expansión 1.E-02 2

Fuga en intercambiador <100 tubes 1.E-02 2

Fuga en intercambiador >100 tubes 1.E-01 1

Un elemento iniciador es por tanto cualquier fallo de equipo, control de proceso, o intervención humana que inicia la secuencia de eventos que lleva a generar el es-cenario de peligro.

En un estudio LOPA deben considerarse de forma independiente, uno a uno. Múl-tiples EI simultáneos o secuenciales deben ser tratados con alguna otra herramienta de evaluación de riesgos (por ejemplo FTA).

��#��$��'�'�'��'P��$��'�'$��-res o de exposición (por ejemplo, la consideración de atmósferas pobres en O2 en escenarios de explosión, o que ese escenario pueda generarse únicamente en deter-minadas condiciones de operación, pueden hacer que la frecuencia de ocurrencia del E.I. para ese escenario se decremente).

��P��/��$��$��'��'#��'��$��'��K�WG�L��&��-plirse que el factor del E.I. sumado a los créditos IPL más los factores facilitadores de exposición deben igualar o superar el factor de seguridad (process safety target level) asociado al escenario peligroso y sus consecuencias:

}*k��+��K��%��/�\��+}��

3.4.2. SALVAGUARDIAS

��j\��j��*�!��j��\�Safeguard)

N��#��'��Q��$��'��$��'��$��4�� 9��/��$9��$��'�� K��'�$��'�'��$��$'��#��$'��L�

+�$��'��$��'��&��P��/��'�/��'��probabilidad de que se produzca el escenario de riesgo o sus consecuencias.

Cuando nos planteamos una Estrategia de Seguridad Funcional, entendida como se ha explicado anteriormente, hemos de pensar en las Salvaguardias para afrontar los diferentes escenarios de peligro. Veamos qué deben cumplir Estas para poder


denominarse “capa de protección independiente” (del inglés IPL, independent pro-tection layer):

3.5 CARACTERÍSTICAS DE LAS CAPAS DE PROTECCIÓN INDEPENDIENTES (IPL)

De�nición por IEC-61511: “Un mecanismo independiente que reduce el riesgo a través del control, prevención o mitigación”

“Nota: Podría ser un mecanismo de ingeniería de procesos (como el tamaño de los reci-pientes que contienen productos químicos peligrosos), un mecanismo de ingeniería mecánica (como una válvula de alivio), un sistema instrumentado de seguridad o un procedimiento administrativo (como un plan de emergencia). Estas respuestas pueden ser automatizadas o iniciadas por la acción humana”).

Formalmente fue el CCPS/AIChE en 1993 quien introdujo, como buena práctica de ingeniería, y a través de su Guidelines for Safe Automation of Chemical Proces-ses, el concepto de capa de protección y su uso para evitar la ocurrencia/reducir la ��&&'�'��$��'��#��'��$'P��

Para que una salvaguardia pueda denominarse capa de protección independiente deberá cumplir las siguientes características:

� Especi�cidad: una IPL se diseña exclusivamente para prevenir o atenuar las consecuencias de un escenario potencialmente peligroso (por ejemplo, una reacción de embalamiento, escape de producto tóxico, una pérdida de con-tención, o un incendio). Sin embargo varias causas (elementos iniciadores) pueden conducir al mismo escenario peligroso, y por tanto, cada una de ellas debe considerarse al diseñar una IPL.

^� Independencia: una IPL debe ser física y funcionalmente independiente de las otras IPLs consideradas para el mismo escenario (y misma causa/elemen-to iniciador). La actuación de una de ellas, o su fallo, no debe comprometer al funcionamiento de las otras. Algebraicamente: dados dos eventos A y B, serán independientes si::� ��&&'�'��'P��'��<�)��'��

[P(A|B) = P(A) y P(B|A) = P(B)].- La probabilidad de que ocurran los dos al mismo tiempo es igual al pro-

��$��&&'�'��'��'��$��7�GK�°<L� �GK�L±GK<L�� Seguridad de funcionamiento/e�cacia: se puede contar con ella para que

haga lo que está diseñada para hacer. En el diseño se han considerado tanto fallos aleatorios como sistemáticos.:� 6�P�'��$��$��U'�$��'#��$�V�K��'�#�4��Smart) ��capaz de detectar la

condición insegura.


:� 6�P�'��$��$��&��$��capaz de parar la secuencia de eventos que nos llevan al escenario peligroso.

:� 6�P�'��$��$��(��'�� capaz de parar la secuencia de eventos antes de que se llegue al escenario peligroso.

� Aptitud para ser auditada: está diseñada para facilitar la validación de las funciones protectoras sin perder su capacidad de protección mediante:- Pruebas periódicas, inspecciones, mantenimiento preventivo…- Documentación de registros guardada de forma segura pero fácil de lo-

calizar.- Demostrar funcionalidad en cualquier momento.

Además, es importante considerar también durante el diseño de las IPL un Ba-lance entre:

� Seguridad (capacidad de llevar el proceso a su estado seguro cuando se le demande).

� Fiabilidad (capacidad de ejecutar la función protectiva cuando es necesario). � Coste (capacidad de ahorrar en capital/mantenimiento/pruebas).� Minimizar la complejidad (un sistema sencillo por lo general mejora los pun-

tos anteriores).� Maximizar la diversidad (reduciendo las causas comunes que hacen fallar

múltiples funciones protectivas).

3.6 TIPOS DE IPL

Hemos visto anteriormente que la primera línea de defensa es minimizar la proba-bilidad de que se produzca un escenario peligroso a través de un diseño riguroso y una operación estricta que deben cumplir una serie de requisitos. En ambos casos la misión es minimizar la frecuencia (o anularla) de la causa (elemento iniciador) que genera el escenario.

Sin embargo, una vez iniciada la causa que genera el escenario de peligro, tendre-��3�� G��'��P��7

1. Protectivas: estas IPL en juego una vez se ha producido el elemento iniciador del escenario peligroso (por ejemplo un fallo en una válvula de control de nivel) y las condiciones de proceso se han vuelto anormales o están fuera de control, pero actúan antes de que la cadena de eventos termine en el escenario peligroso, y por tanto evitándolo (el tanque se presuriza por sobrellenado y ��$�L��+��$��'�]�)��'��'��elemento iniciador, pero sí en la probabilidad de que se termine generando el escenario de peligro.

2. Mitigantes: su misión es reducir la gravedad de las consecuencias una vez producido el escenario peligroso, teniendo en cuenta la seguridad de las per-sonas, las pérdidas económicas y afectación del medio ambiente.


¿Dónde actúan?

Figura 3.4. Actuación de las capas de protección.

��/�<��j��

��P��$�� '��$�� G�� $�� P#�� “Cebolla”. La misma tiene diferentes interpretaciones, pero básicamente la idea es la que se expone en la Figura 3.5.

Figura 3.5. La “Cebolla de la seguridad”.

Existen diferentes herramientas para determinar la necesidad de implementar IPL para un escenario peligroso dado. Aunque el análisis de las IPL se detallará en el Capítulo 7, “Metodologías para la determinación del SIL”, daremos aquí unas breves indicaciones en cuanto a:

� Asignación de funciones de seguridad a las IPL

Cuando se estudia un escenario peligroso hay que tener en cuenta las posibles IPL de las que dispondremos, su factor de reducción de riesgo (asociado a la probabilidad


de fallo en demanda o también a su integridad) y cuál es la reducción de riesgo total que queremos conseguir. Ello determinará el SIL de la IPL SIS en caso de ser nece-saria (normalmente la IPL SIS es la última protección que consideraremos debido a su gran cantidad de requerimientos).

� Reducción del factor de riesgo (RRF)

Para cada escenario de peligro se debe contemplar un cierto riesgo tolerable (¡ojo, el riesgo cero no existe!) teniendo en cuenta la frecuencia de las causas que lo producen y también las consecuencias de que se genere. A este riesgo que aceptamos se le asig-na un factor de seguridad (process safety target level), y según vayamos añadiendo protecciones, con sus factores de reducción de riesgo, iremos acercándonos a este ��$��#��'�� $��'��#��$��&��'P��'��de peligro en concreto.

Entre los factores importantes en la evaluación del riesgo tolerable están la per-cepción y opiniones de los que pueden verse expuestos al escenario peligroso, y en cualquier caso se deberán tener en cuenta factores como:

- Directrices de las autoridades reguladoras pertinentes.- Los debates y acuerdos con las distintas partes involucradas en la aplica-

ción.- Estándares de la industria y directrices.:� +O��'��'��'��$�'/��Q��O��$��)��'��$�P��- Requisitos legales y reglamentarios.

� Algunos valores referenciados en ISA-84.00.01 de factores de reducción de riesgo (y probabilidad de fallo en demanda – PFD equivalente) asociados a IPL con Funciones protectivas y de mitigación (Tabla 3.2)

Tabla 3.2. Algunos RRF de IPL (ANSI/ISA-84.00.01-2004 Part (IEC 61511-3) Mod)-Annex F).

IPL PFD RRFLazo de control 0.1 Hasta 10Rendimiento humano(entrenado, sin estrés)

de 0.01 a 0.0001 De 100 a 10.000

Rendimiento humano (bajo estrés)

de 0.5 a 1 Hasta 5

Respuesta del operador a alarma

0.1 Hasta 10

Tanque dimensionado para presión y vacío

0.0001o mejor si se man�ene la integridad del tanque (por ejemplo análisis de corrosión, inspección y reparación)

10.000 o más


3.7. CAPAS TÍPICAS CON FUNCIONES PROTECTIVAS

3.7.1. SISTEMAS DE CONTROL DE PROCESOS (BPCS/DCS)

Típica capa protectiva. Controla la instalación para una optimización del uso de los ��&��$'&��/�� '��)��'��$��P��+��<G6� K�� '�#�4��basic process control system) mantiene dentro de los márgenes de seguridad las va-riables de proceso como presión, temperatura, nivel o caudal. Entiéndase que serán aquellas funciones protectivas de este sistema las que protegerán al proceso en una situación de peligro, de ahí que se denomine a la porción de estos sistemas dedicados a proteger como BPCPS (basic process control protective system).

Podemos distinguir dos situaciones diferentes de control de estos BPCS, cada una con su propio propósito y características:

1. Controlador continuo (por ejemplo, el controlador de proceso que regula un caudal, una temperatura o presión a un valor de consigna (set-point) introdu-cida por el operador que genera un feedback continuo del comportamiento del proceso.

2. Controlador de estado (por ejemplo, el controlador de proceso que toma medi-das del mismo y ejecuta cambios on-off a indicaciones de alarma y válvulas de proceso) que monitoriza las condiciones del proceso y solamente toma acción de control cuando valores de disparo preasignados se alcanzan. Un fallo en este tipo de controlador puede no ser detectado hasta que se realice un proof test.

El BPCS es por tanto el sistema de control que monitoriza y controla en continuo el proceso en el día a día de la operación de planta y podemos considerar tres funcio-nes de seguridad diferentes asociadas a él que pueden considerarse IPL:

1. Acción de control continua que mantiene el proceso dentro de las condicio-nes normales de operación, establecidas por los diferentes set-points, de esta manera actúa contra la progresión de una situación anormal del proceso que genere un iniciador de escenario peligroso.

2. Acción de control de estado�3��'��$'P��)��de información al operador (por ejemplo una situación de alto nivel en un tanque) para que este tome acción usando un procedimiento y teniendo en cuenta los requerimientos necesarios para tomar crédito de seguridad (tiempo de respuesta, fatiga y estrés en la operación…)

Nota: en este ejemplo, si esta actuación del operador se debe a la respuesta de una alarma, entenderíamos esta capa de protección como la explicada en el punto 3.7.2.

3. Acción de control de estado que ante una anomalía del proceso toma acción automática con la intención de llevarlo a sus condiciones normales de opera-ción. Esta acción normalmente resulta en una parada de proceso, llevándolo a su estado seguro.


El BPCPS es una IPL relativamente débil ya que normalmente:

^� Tiene poca redundancia en sus componentes.^� Su instalación y conexionado a proceso suele diseñarse con poco rigor.^� En su diseño no suelen contemplarse opciones de testeo.^� Tiene limitada seguridad contra cambios no autorizados en la lógica de pro-

gramación interna.^� Tiene alta probabilidad de afectación ante error humano.

Según la IEC 61511 (sección 9.4.2) se permite un crédito IPL (equivalente a un factor de reducción de riesgo (FRR) de hasta 10, o una PFD de 0.1, por escenario (y causa que lo genera) aunque se acepta un máximo de dos créditos IPL (BPCPS Acción de Control + BPCPS Alarma y respuesta Operador) si se usan diferentes logic solvers (controladores).

��$��P��/��&��#�'��'��$��conocer bien los mismos y la estructura organizativa del sistema de control y sus res-ponsables. También ayudará conocer y distinguir los sistemas de gestión de activos ��$/��'�$��'P��'��/�'�#��'��)��'$��'��'��

3.7.2. SISTEMAS DE ALARMAS

��'�$��&��$��P#��$��3��$��$��'-�'��'��#��P�'��$��$'��#��$'��3��acciones correctoras antes de que se alcancen las condiciones de peligro.

Como hemos mencionado al hablar de las características de las IPL, se acentúa en esta la necesidad de simplicidad. Es común encontrar salas de control abarrotadas de alarmas sonando a la vez, a las cuales no se les presta atención pues han pasado a ser “cotidianas” o han perdido veracidad y se les resta importancia. Esto ha generado ��'$��'��$'��P��'��$��

Por tanto es fundamental una buena política de gestión de alarmas en planta, la cual deben conocer todos los operadores y debe ser desarrollada junto con su input. Debe recoger además, la manera en que el sistema se mantendrá, controlará y cali-brará.

A pesar de todo, estudios recientes demuestran que, durante una situación de emergencia en la que hay que tomar decisiones en un tiempo muy breve, recurrir a las personas es lo último que se debe hacer independientemente de la formación recibida.

El ser humano introduce un factor de error elevado aún hoy, en el cálculo de la probabilidad de fallo en demanda de un sistema de seguridad en el que participa.

Nota: los datos que indicamos a continuación no han de tomarse como generalida-des sino como referencias que entidades de renombre en el ámbito químico–indus-trial aplican en sus análisis LOPA.


Para poder dar un crédito IPL a esta protección (RRF hasta 10, o PFD de 0.1) es necesario tener en cuenta una serie de requisitos:

^� El operador debe tomar acción siguiendo un procedimiento escrito, que debe estar fácilmente accesible y debe contener toda la información relevante para ��$��#��P�'��$��)��'��'��'��otros peligros.

^� El operador debe estar entrenado en el reconocimiento de este tipo de alar-mas, que, a su vez, deben diferir (en señal acústica o luminosa) a las normales generadas por otras circunstancias no asociadas a escenarios de riesgo.

^� +��&��$��P�'��$��$'��$��/��)��#'��el problema antes de que se llegue a una situación peligrosa. Está establecido que un ser humano tarda una media de 15 minutos para que su decisión alcan-��=Eµ��P&'�'��/��$��&��$��$��'��$��

^� El tiempo de respuesta total, desde que se genera la condición de alarma, hasta que el operador consigue llevar al proceso a su estado seguro, debe estar siempre dentro de los márgenes de seguridad respecto del tiempo de seguridad de proceso (process safety time) siendo este el tiempo desde que se produce la condición insegura en el proceso hasta que la sucesión de eventos que llevan al escenario de peligro no puede pararse.

En algunos casos podemos dar dos créditos IPL (RRF hasta 100 y PFD de 0.01) si se cumplen requisitos como:

^� El process safety time del escenario permite disponer de al menos 24 horas para que el operador lleve al proceso a su estado seguro desde que se genera la condición de alarma, y al menos dos personas están involucradas en resol-ver el problema.

^� ��G�*��3��#��P�'��$��$��&Q��para asegurar su correcto funcionamiento. Para ello las consideraciones del diseño y la instalación de los mismos deben asemejarse a los de un SIS, o tener redundancia física en las alarmas (dos sensores diferentes generan dos alarmas iguales).

^� �� $�� &�� P�'��$��$�� '#��)�P&��como para alcanzar una integridad similar a un SIL2 (por ejemplo usando dos válvulas independientes que sean capaces de parar el proceso por si mismas).

^� ��P&'�'��'�'��DH��'��$��$&��'��tiempo mínimo de respuesta alcanza, por métodos analizados con rigor, el 99%.

Otra consideración importante a tener en cuenta es que cuando un operador toma más de una acción, se debe asegurar la independencia entre estas acciones, lo cual implica separación temporal, espacial, etc. Puede llegar a ser necesario el uso de he-rramientas de cálculo más complejas (FTA por ejemplo) para documentar la validez de dichas acciones para un mismo operador.


3.7.3. SISTEMAS INSTRUMENTADOS DE SEGURIDAD (SIS)

Un SIS (del inglés safety instrumented system) es un sistema instrumentado formado por sensores, logic solver�)��$��P��/��$��$��'�'��'��-gura en un proceso y llevarlo, de forma completamente automática, a su posición de seguridad, previniendo el escenario de peligro para el cual fue diseñado como una de las capas de protección.

Históricamente se ha conocido como sistema de parada de emergencia (ESD), sistema de enclavamientos, sistema de disparos de emergencia, etc. Sin embargo, ��'��$��$'��'��$��'�$�� 'P��$4��'��“SIS” requiriendo de él que cumpla con las exigencias actuales de seguridad fun-cional.

El SIS constituye la última capa de seguridad protectiva. Su correcto diseño, ins-talación, operación, pruebas y mantenimiento; actividades que componen su ciclo de vida y competen además su integridad, son la garantía de su adecuado funciona-miento cuando, bajo demanda, se le requiere actuar.

El SIS es un sistema crítico, por tanto es fundamental que las empresas de pro-��3�'��'��P��'�'��$��$'��'#��$��relacionadas con los mismos (descritas en el capítulo anterior).

Debe ser diseñado para cumplir con los requerimientos funcionales (SIF) y los ��3��'�'��$��'�$�#�'��K6��L��P�'��$�$�#'��#��'��'��Esto afecta directamente a decisiones de diseño (que trataremos en profundidad a lo largo de este libro) como:

^� ��P#��'��K�'��/��&��$�'��¶L�^� La lógica de selección de señal que se utilizará (1oo1, 1oo2, 2oo2, 2oo3…).^� El tipo de logic solver (plataforma PLC o BPCS con controladores de alta

integridad…)^� ��P#��'��$��P��K�'��$�L�^� Las frecuencia de testeo de sus componentes.^� La capacidad de autodiagnóstico de los componentes.^� Los requerimientos de tolerancia a fallo de componente (HFT).^� La diversidad en la tecnología para evitar modos de fallo común, etc.

La relación entre Factor de Reducción de Riesgo, Crédito IPL, PFD y SIL para esta IPL SIS se muestra en la Tabla 3.3.

Tabla 3.3. Relación PDF/RRF/SIL para SIS.

SIL /�\��+}� PFD FRR1 1 de 0.1 a 0.01 de 102 2 De 0.01 a 0.001 de 100 a 1.0003 3 De 0.001 a 0.0001 de 1.000 a 10.000


3.7.4. SIS VS BPCPS

Las diferencias fundamentales son:

^� SIS no permite actuación humana y BPCPS sí.

^� Cualquier persona que pueda estar en contacto con un SIS, en cualquier fase de su ciclo de vida (diseño, instalación, operación, mantenimiento, demo-�'�'��L��&��$��&'��$��$��)��'P��

Nota: N�� $�� $� ��'P��'�� $��4�� $'-P��'��/��'�$��$'��'��'��$��'$��/��3��J�� '&��'�� 'P��técnicos, para que sean competentes en la materia.

^� SIS requiere de una documentación (diseño, operación y mantenimiento) �� O$�� K+��'P��'��6�#��'��/�(�#'�$��S��'P�-ción, Comisionado y Validación de los lazos, Procedimientos Operacionales y de Mantenimiento…) y complicada que BPCPS.

^� N��6�6� ��)�P&��/��&��$��)��$�$��exige un esfuerzo extra en mantenimiento.

En una instalación industrial encontraremos, por lo mencionado anteriormente mayor número de instrumentos dedicados a BPCPS que a SIS.

3.8. CAPAS TÍPICAS CON FUNCIÓN DE MITIGACIÓN

3.8.1. DISPOSITIVOS MECÁNICOS DE ALIVIO DE PRESIÓN

Los dispositivos de alivio de presión son elementos de seguridad utilizados en cual-quier recipiente (tanques, depósitos, intercambiadores de calor, bombas, compreso-res, etc.) que contenga gases o líquidos a presiones mayores a la atmosférica, que evitan que el recipiente sufra roturas, con el consiguiente peligro que esto puede implicar, ante elevaciones excesivas de presión, generalmente debido a una falla en el proceso.

��$T��'&��]�'��K��3�'��#�L�3��'��3�'��protegido, ya sea a la atmósfera o a un recipiente colector especialmente diseñado para tal función.

��#��#��'��'$'��&��$��/��/��'$'��'��]�'-do del recipiente, a una presión inferior a la de falla del recipiente. También deben ��'$'��Q��]�'��$��3��#��'��'$��la presión en el recipiente en cualquier condición de funcionamiento del sistema de que se trate.


Los dispositivos más empleados en la industria para el alivio de presión son las válvulas de seguridad (PSV del inglés pressure safety valve) y los discos de rup-tura (PRD del inglés pressure rupture disk), que son los que suelen tomar crédito como capa de protección, y están sujetos a reglamentación, aunque además existen '�P�'��'��'$'��'��'�'��'��'��$��-cenamiento a baja presión, protección de explosiones o subidas bruscas de presión hidráulica en tuberías de gran longitud. Estos pueden ser: venteos atmosféricos, vál-vulas de respiración para presión y vacío, venteos de emergencia (caso de incendio), cubiertas débiles como techo para tanques, sellado con líquido para recipientes a baja presión, puertas o paneles de explosión, husillos de ruptura, o dispositivos de alivio de vacío (Figuras 3.6 a 3.8).

Para que un dispositivo de alivio de presión pueda tomar crédito como IPL debe estar debidamente diseñado y tarado a aquella presión capaz de prevenir el escenario de peligro, además de mantenido adecuadamente e inspeccionado periódicamente. También debe cumplir con la reglamentación vigente a efectos de integridad mecá-nica.

1. Boca de salida lateral.2. Caperuza.3. Sombrerete o bonete.4. Tornillo de ajuste.5. R��PQ�'��Q��$��6. Palanca de apertura manual.7. Resorte.8. Husillo o vástago.9. Cuerpo.10. Placa del extremo del resorte.11. Disco de cierre de la válvula.12. R��'��PQ�'��'��

ajuste.13. Anillo de ajuste del escape.14. Elemento de guiado en parte inferior.15. Asiento.16. Conexión roscada al recipiente.

Figura 3.6. Válvula de seguridad de acción o presión directa.


Figura 3.7. Disco de ruptura abovedado convencional.

Figura 3.8. Combinaciones picas de válvulas de seguridad y discos de ruptura.

Si un dispositivo de este tipo descarga a atmósfera creando un peligro secunda-rio (ya sea a personas, a equipos o al medio ambiente), este nuevo peligro debe ser considerado un escenario aparte y analizado debidamente. En este caso no pode-mos dar crédito a esta protección a menos que exista un sistema de tratamiento de �]��$��

��$'��'��#��Q��P#��'��$��'��'$'��para que puedan ser IPL sefectivas:


$�%��!��

^� Dos dispositivos de alivio de presión en serie sin detección de presión entre ��$'��P�'��$��'�$�#�'��4�'$��G��

^� Dos dispositivos de alivio de presión en serie con detección de presión y generación de alarma, puede alcanzar dos créditos IPL (FRR de hasta 100 y PFD de 0.01) si es debidamente mantenido e inspeccionado periódicamente.

^� Dos dispositivos de alivio de presión en serie con una PSV pequeña entre ellos, puede alcanzar dos créditos IPL siempre y cuando no se vea afectado el medio ambiente por su disparo y se mantenga e inspeccione debidamente.

^� *��'��'$'��'�'��'��'��$��'��'��P-ciente (no alcanza la integridad de un elemento BPCPS, FRR de 10) puede alcanzar, como máximo, un crédito IPL (FRR de hasta 10, PFD de 0.1).

��&�j��

^� Sistema único compuesto por un único dispositivo: puede alcanzar dos crédi-tos IPL en un servicio limpio y debidamente mantenido.

^� Dos sistemas de dispositivos con líneas diferentes, capaces por sí mismos de prevenir el escenario de peligro. Si en el diseño de los sistemas se han tenido en cuenta los posibles fallos por causa común, a saber: errores en la instalación, condiciones ambientales, errores de calibración/tarado/pruebas, defectos de fabricante y del propio diseño (el cálculo de los dispositivos debe hacerse por dos expertos independientemente), para minimizarlos al máxi-mo, y como en todos los casos, mantenemos la instalación y la inspeccio-namos adecuadamente, podemos conseguir hasta 4 créditos IPL teniendo en cuenta que han de repartirse de dos en dos, es decir, una IPL sería un sistema y otra IPL el otro sistema. Por tanto, ambas deben cumplir los requisitos de '��'/��P��'/��'$&'�'��)��'P�'��

^� Un único sistema compuesto por múltiples dispositivos pero en líneas se-paradas: sistemas que requieren más de un dispositivo para aliviar el ratio total de caudal que requiere el escenario de peligro necesitan un estudio más profundo, tipo FTA, ya que en este caso, si un dispositivo falla puede que no seamos capaces de prevenir el escenario.

Normalmente, en el diseño de estos sistemas deben participar expertos que cono-cen las características del proceso y del equipo a proteger. Se deben tener en cuenta aspectos como la localización de la descarga (antorcha, depuradora u otras unidades ��$�$�'��$��$4��'��/��$��L�)��'��)��P��'/�$'��$��#��K$�O'��/�'�]�&��/��'��'�&��¶L�)��'��'��'��/��$��

Cuando hablamos de discos de ruptura tenemos que tener en cuenta los proble-mas que generan servicios sucios o polimerizantes, así como los inherentes a la ma-nipulación de estos dispositivos en su instalación y traslado, debido a la fragilidad de la construcción de los mismos. La corrosión y pequeñas fugas a través de pequeños


��'P�'��&��&Q�$'��'��'��)��$'��T��$'$�'��cierta frecuencia los discos antes de que fallen o entren en acción.

3.8.2. SISTEMAS DE CONTENCIÓN/DISPERSIÓN

Contención

Quizá sea la IPL de mitigación que actúa en primer lugar en caso de producirse el escenario peligroso. Está concebida para ejecutar las primeras acciones importantes de mitigación de los efectos dañinos derivados de situaciones circunscritas a la ins-talación fuera de control.

Ejemplos de esta capa pueden ser:

^� �� $'�� $�� 3�'�� '�]�&�� &Q�� '�'��$�� 3�� contienen con la intención de minimizar el área de exposición a atmósfera del producto en caso de rotura del recipiente, reduciendo de esta forma la ��'��#��'�]�&��)��$�$��&&'�'��'#�'�'��

Esta protección no suele tomar crédito IPL, pues está diseñada para reducir las consecuencias del escenario peligroso una vez producido ( y normalmente en este caso se tiene ya en cuenta a la hora de asignarle el factor de seguridad de proceso (riesgo tolerable) basado en esto mismo, las consecuencias y la frecuencia de las causas que lo generan). En caso de considerar un escenario de negocio en vez de seguridad, que pueda tener afectación medioambiental, entonces sí podemos dar un crédito IPL pues un foso puede reducir la fre-cuencia del daño medioambiental.

^� +�'P�'��$��'��/��$�� '#��estructura de acero que actúan como envolvente a zonas de proceso poten-cialmente peligrosas, como puede ser un reactor nuclear o un reactor que trabaje a muy alta presión. En caso de explosión, esta sería contenida en el interior, o derivada de tal forma que no afectase a las personas que permane-cieran en un posible radio de afectación.

Depende de cuál sea el escenario de peligro considerado podemos estar en la misma situación que en la de los fosos. Cuando la consecuencia del escenario ��'$'#��'P�'��$��'��$��$��hora de analizar el propio escenario y no daríamos crédito a esta IPL. Si en la evaluación del escenario no se ha tenido en cuenta entonces podemos dar un crédito IPL.

Dispersión

Se trata de sistemas controlados, como puedan ser antorchas o borboteadores de lavado, que neutralizan mediante quemado o por mediación de agentes químicos derivas de producto producidos por algún problema del proceso.

Si es un proceso complejo ha de efectuarse un cálculo más detallado para obtener su PFD y por tanto su RRF y Crédito IPL.


3.8.3. SISTEMAS DE FUEGO Y GAS

Los sistemas F&G (del inglés �re and gas) son sistemas de neutralización for-�� /� ��#'�� $�� )� ��$�� P�� $��$�� combustión de sustancias gaseosas, presencia de tóxicos, incendios y, en consecuen-cia, generar una alarma, conducir al proceso a un estado de seguridad o emprender acciones destinadas a mitigar las consecuencias del suceso peligroso.

Los sensores suelen ser detectores de gas, humo o llamas, y suelen acompañar-se por estaciones de comunicación manuales. Los sistemas lógicos pueden ser PLC, *6/�G��#��'��$��$':��P��'�$��¡��$��P��'��'��'�$��'$��$��/��'��/�$��4��/��'�$��de apagado antiincendio, deluge (tipo diluvio), supresión y/o bloqueos para el proceso.

Una particularidad de los sistemas F&G es que, a diferencia de otros sistemas de seguridad (por ejemplo emergency shutdown, ESD o de parada de planta por emer-gencia) en los que el estado seguro del sistema se logra con la desenergización de las salidas, los sistemas F&G deben energizar salidas para cumplir con el objetivo de iniciar las medidas de contención, extinción o aviso. Por este motivo, es crucial que el equipo utilizado como controlador del sistema sea capaz de energizar sus salidas ��K)��$4��$'P��$�$'��'��'��L�

Para asegurar una protección contra F&G adecuada se deben tener en cuenta los siguientes aspectos:

^� Estructuras de contención.^� Instrumentación de seguridad F&G.^� Análisis de seguridad de contención.^� Sistemas de cableado para F&G.^� Sistemas de cómputo y comunicación para F&G.^� Gestión de intervención.^� Gestión de diagnósticos.^� Vigilancia y estructura organizativa.

Estos sistemas pueden llegar a ser muy complejos y pueden diseñarse con un criterio generalista, como protección de una determinada instalación, pero también con una función especíP��#��'��

Es en estos casos cuando podemos asignar un (o más) créditos IPL, dependiendo de la integridad que lleguemos a alcanzar en el diseño, o del tipo de sistemas que �$'�'�� )��$'P�� $�6��X/��'��J�/��'�'��/�uso y mantenimiento que alcancemos dicha integridad o no.

+O'�$�� '�$�� '�� P��/� �� Q�� ellos hablaremos un poco sobre los sistemas de Supresión de de�agración:

^� 6��$�$��4$��'��3��'$��O��'��#��y por tanto impide que se lancen al exterior productos no quemados y de combustión, los cuales pueden ser dañinos para las personas y/o el medio ambiente.


^� +�� '��&'��'��3��'�'�'��&��$'��$'�-mente lento, acelerándose con el tiempo (milisegundos), y es este estado inicial el que ha permitido desarrollar este tipo de sistemas de forma satisfactoria.

^� N�� '�$�� '�� O��'�� $'�� $á diseñado para actuar, tras la detección de una combustión incipiente, descargando instantáneamen-te agentes extintores que apagan la reacción de combustión, evitando así el incremento de la presión por encima de un valor predeterminado.

^� <��'��$��'��'��$��$��$��7

1. Detección, que se consigue mediante componentes activados por la pre-sión o luz, siendo las condiciones del proceso las que determinan el sis-tema más apropiado.

2. Iniciación, como resultado de la detección se envía una señal al sistema de control electrónico indicando que se ha detectado un proceso de com-bustión. Dicho sistema procesa la señal recibida e inicia la secuencia de apertura del recipiente que contiene el agente extintor.

3. Supresión, mediante descarga del agente extintor.

Figura 3.9. Esquema de supresión de de�agraciones.


Para conseguir una respuesta rápida, los recipientes que contienen el agente ex-tintor están presurizados con nitrógeno y cerrados con un disco de ruptura, el cual rompe bajo la acción de un iniciador pirotécnico que genera una descarga de presión primaria.

En la Figura 3.10 se indica un esquema del sistema así como la secuencia de actuación.

Figura. 3.10. Secuencia de actuación de un sistema de supresión de de�agraciones.

Este tipo de sistema puede alcanzar dos créditos IPL, y además puede usarse en combinación con otros elementos BPCS, como una válvula en línea que cierre por alta temperatura (en este caso habría de asegurar que dichos elementos alcanzan la misma integridad).

3.8.4. PLANES DE EMERGENCIA

Los planes de evacuación de emergencia no están representados por mitigaciones ��'��/��'��'��'�'��$��P��/�3��&��&'��-cidos por todas aquellas personas a las que se requiere proteger. En ausencia de un ��$��P��O'�$��$��$��'��#��$�$��G��3��requiere de revisión y simulación continua.

En este aspecto podemos diferenciar dos subcapas según nos centremos en las personas que trabajan de puertas adentro de una instalación dada, o si además cubri-mos a la población circundante que pueda verse afectada por un escenario de riesgo de dicha instalación.

Para el primer caso, se debe contar con una estructura organizativa interna que, ��'4��'��O��$��)��'��'��P��/�'�$��#�con urgencia, comunicando al resto del personal mediante señalización propia de


evacuación (visual y acústica) y organización efectiva del transporte de evacuación, impidiendo, en todo caso, la propagación de los efectos fuera de valla.

En caso de los planes de emergencia comunitarios, las diferentes administraciones deben contar con los mismos conociendo los posibles riesgos inherentes a las diferen-tes instalaciones. Por ello es de vital importancia que los responsables de las mismas mantengan una comunicación directa con las autoridades, manteniendo la coordina-ción entre las mismas.

En cualquier caso se debe tener en cuenta:

^� La valoración del impacto interior y exterior de los diferentes escenarios de riesgo.

^� Planos layout de áreas de afectación interna y externa.^� Estructura organizativa y diferentes niveles de intervención.^� Dotaciones internas y apoyo externo.^� Plan de emergencia interno y externo con detalles de evacuación.^� Simulacros que cubran las diferentes situaciones de emergencia.^� Revisiones y auditorías.

PARA NO OLVIDAR

Ante una evaluación de protecciones para un peligro determinado, es importante entender dicho peligro, las causas que lo provocan y las posibles consecuencias. Hemos de abordarlo siguiendo una estrategia de seguridad funcional, involu-crando a aquellos expertos que puedan ayudarnos y teniendo claro los requisitos fundamentales sobre lo que debe cumplir una salvaguardia para poder usarla como capa de protección independiente, a efectos de especi�cidad, independen-cia, e�cacia y auditabilidad.

Según la cri�cidad del escenario considerado, teniendo en cuenta la frecuen-cia de las causas que lo inician y las consecuencias de que se produzca, se asig-nará un factor de seguridad, asumiendo siempre un cierto riesgo tolerable. En función de este factor tendremos que considerar más o menos IPL, siendo la IPL SIS la que por lo general �ene un mayor número de requerimientos debido a su capacidad de alta integridad (o alto factor de reducción de riesgo) y por tanto suele dejarse como úl�ma capa de seguridad a considerar.


CONSEJOS PRÁCTICOS

Algo importante que debemos tener en cuenta cuando describimos un escenario de peligro es aportar la mayor can�dad de información posible, describiendo analí�camente qué puede ocurrir y cómo. Ello ayudará a posteriori a iden��car las IPL más adecuadas. Para ello existen diversas herramientas de simulación en el mercado que pueden ser de gran ayuda.

En dicha descripción se ha de tener en cuenta factores como su process safey �me (PST), las can�dades máximas de fuga a través de una válvula cuando el es-cenario requiere que esta cierre (esto condicionará la clase de la misma a efectos de estanqueidad) y por tanto los requerimientos de las pruebas de fuga que se le tendrá que hacer durante el proof test (pruebas manuales) para mantener su integridad, indicar claramente los instrumentos involucrados tanto en los ele-mentos iniciadores (causas que generan el escenario) como en las propias IPL a efectos de iden��car problemas de independencia �sica entre las mismas, los �empos de respuesta especí�cos máximos para cada IPL, etc.

4INTRODUCCIÓN AL CICLO DE VIDA DE LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD


SUMARIO: Introducción. Diseño conceptual. Análisis y evaluación de riesgos de proceso. H��*+��;j��j��$��%��&��j��-��$��%�j��*+*��!��&��*+��;j��$��SIS. Instalación, pruebas y comisionado del SIS. Mantenimiento y explotación de los SIS. ��&��Para no olidar� onse�os �rác�cos�

4.1. INTRODUCCIÓN

+��$��$��@��'�$��$��'��#��Q��$��3��P-guran el llamado “Ciclo de vida de un SIS” con el objetivo de introducir al lector en este concepto de una manera sencilla y progresiva.

G��$��'��$�/��$��P��/��$�$��$��$��estos pasos.

El ciclo de vida de un SIS es uno de los conceptos básicos tanto de la IEC-61508 como de la IEC-61511. Según se cita en ellas, el ciclo de vida de seguridad com-prende aquellas:

Actividades necesarias implicadas en la instalación de sistemas relaciona-dos con la seguridad que se presentan durante un periodo de tiempo. Comien-za en la fase de diseño conceptual de un proyecto y termina cuando todos los sistemas relacionados con la seguridad ya no se encuentran disponibles para su utilización, es decir se han desmantelado.

Incluye, por tanto, todas las actividades relacionadas con un SIS desde la concep-ción del proceso o del propio SIS hasta su desinstalación.

Como un sistema de seguridad no es un componente simple, requiere la partici-pación de un equipo multidisciplinar y de una sistemática precisa para minimizar los fallos. Lo que la IEC intenta es que el objetivo de la seguridad guíe todas las fases del diseño, la construcción, la operación y el mantenimiento de un proceso. Los da-tos demuestran que aunque esta sistemática aumenta los costes iniciales, a la larga produce un sistema más seguro y por lo tanto un aumento en la producción.

Según ANSI/ISA S84.01 (IEC-61511), el ciclo de vida contempla, de forma resu-mida, las fases indicadas en la Figura 4.1, que son las que analizaremos, de manera general, a continuación.


Figura 4.1. Fases que contempla el ciclo de vida.

4.2. DISEÑO CONCEPTUAL

El objetivo de esta fase es diseñar una planta que sea inherentemente segura. Para ��'��/��3�'��)��$��P�'��$��-didad. En general, esta fase suele quedar fuera del alcance del especialista en control y depende fundamentalmente del especialista en procesos. Este paso es tratado en el Capítulo 5.

4.3. ANÁLISIS Y EVALUACIÓN DE RIESGOS DE PROCESO

El primer objetivo de esta fase es entender todos los riesgos asociados al proceso, ya tengan impacto sobre el personal, la producción, los equipos el medio ambiente o la imagen de la compañía.

+��#��&Q�$'��$��'��#��'��$'P��'�'��anterior para establecer un ranking. La evaluación de los riesgos puede ser:

^� Cualitativa.^� Semicuantitativa y^� Cuantitativa.

Existen varias técnicas de análisis de riesgos de un proceso (PHA) tales como: What-if, LOPA, HAZOP, etc., siendo la denominada HAZOP (Hazard and Operabi-lity) la más utilizada en las industrias de proceso. En castellano se suele traducir por análisis funcional de operatibilidad (AFO).

73Introducción al ciclo de vida de los sistemas instrumentados de seguridad

Aunque este paso se tratará de forma detallada en el Capítulo 6 se adelantan en esta introducción algunos aspectos relevantes relativos al método HAZOP.

Los estudios HAZOP son un método probado y bien estructurado, basado en el $�&Q��3�'��/��'��$'P��'#��O'�$��$��'��J��'P��'��3��$��'��+��'�$��'��O��'��)��'P��'��'��'��$��'��-��)��O'�$��$��/��P��'#��$��'��'��-miento al margen de las intenciones de su diseño o de averías de partes concretas de los equipos y los efectos que Estas pudieran tener sobre el conjunto de las ins-talaciones.

Los estudios HAZOP son dirigidos por un coordinador con experiencia. Para los proyectos en el sector de los hidrocarburos, en el equipo siempre participa personal de Procesos, Instrumentos, Maquinaria, Ingeniería de Proyectos y Operaciones, pu-diendo ser necesaria la participación de técnicos de procesos, especialistas en medio ambiente y de los responsables de la empresa de seguridad e higiene y medio am-biente (HSE).

El método surgió en 1963 en la compañía Imperial Chemical Industries, ICI, que utilizaba técnicas de análisis crítico en otras áreas. Posteriormente, se generalizó y formalizó, y actualmente es una de las herramientas más utilizadas internacional-��$��'��$'P��'��'��#��'��$��'��'��$�'��

La realización de un análisis HAZOP consta de las etapas que se describen a continuación:

1. De�nición del área de estudio

Consiste en acotar las áreas a las cuales se aplica la técnica. En una determinada instalación de proceso, considerada como el área

�&Q�$��$��'�/��P�'��)��'��)��'��'P��'��/��serie de subsistemas o líneas de proceso que corresponden a entidades fun-cionales propias, como por ejemplo: línea de carga a un depósito, separación de disolventes, reactores, etc.

2. De�nición de los nodos

+��$��&�'�$��&��'��$'P��'��nodos o puntos claramente localizados en el proceso. Por ejemplo, tubería de alimentación de una materia prima a un reactor, impulsión de una bomba, depósito de almacenamiento, etc.

��&��'��$'P��)��$'��$��$��cada subsistema y en el sentido del proceso para mejor comprensión y como-didad. La técnica HAZOP se aplica a cada uno de estos puntos. Cada nodo vendrá caracterizado por variables de proceso: presión, temperatura, caudal, nivel, composición, viscosidad, etc.


��'�'��$'�'��'��$� $4��'�� 3�'�� ]�Q��3��'��'P��'#��]�Q��$��&�'�$��'��)��posición exacta.

El documento que actúa como soporte principal del método es el diagrama ��]�Q��/��$�&��'��$��$��/�G¡�*�

3. Aplicación de las palabras guía

Las “palabras guía” se utilizan para indicar el concepto que representan a ��P�'��$��'��$��3��$��-mento determinado. Se aplican tanto a acciones (reacciones, transferencias, �$��L��$��P��K��'��/��/�$��$��/��$��L��

La Tabla 4.1 (en la página siguiente) presenta algunas palabras guía y ��'#�'P��/��'��$��Q��3��$��Capítulo 6.

4. De�nición de las desviaciones a estudiar

Para cada nodo se plantea de forma sistemática todas las desviaciones que implican la aplicación de cada palabra guía a una determinada variable o ac-tividad. Para realizar un análisis exhaustivo, se deben aplicar todas las com-binaciones posibles entre palabra guía y variable de proceso, descartándose durante la sesión las desviaciones que no tengan sentido para un nodo deter-minado.

Paralelamente a las desviaciones se deben indicar las causas posibles de estas desviaciones y posteriormente las consecuencias de estas desviaciones.

En la Tabla 4.1 se presentan algunos ejemplos de aplicación de palabras guía, las desviaciones que originan y sus causas posibles.

5. Sesiones HAZOP

Las sesiones HAZOP tienen como objetivo la realización sistemática del proceso descrito anteriormente, analizando las desviaciones en todas las lí-neas o nodos seleccionados a partir de las palabras guía aplicadas a determi-nadas variables o procesos. Se determinan las posibles causas, las posibles consecuencias, las respuestas que se proponen, así como las acciones a to-mar.

Toda esta información se presenta en forma de tabla que sistematiza la entrada de datos y el análisis posterior.

Los formatos de presentación de los resultados del HAZOP se desarrollan en el Capítulo 6.


Tabla 4.1. Palabras guía.

PALABRA GUÍA SIGNIFICADO EJEMPLO DE

DESVIACIÓNEJEMPLO DE CAUSAS

ORIGINADORAS

NO Ausencia de la varia-ble a la cual se aplica

No hay �ujo en una línea

Bloqueo; fallo de bombeo; válvula cerrada o atascada; fuga; válvula abierta; fallo de control.

MÁS Aumento cuan�ta�vo de una variable

Más �ujo (más caudal)

Presión de descarga reducida; succión presurizada; contro-lador saturado; fuga; lectura errónea de instrumentos.

Más temperatura

Fuegos exteriores; bloqueo; puntos calientes; explosión en reactor; reacción descontrola-da.

MENOS Disminución cuan�ta-�va de una variable

Menos caudal

Fallo de bombeo; fuga; blo-queo parcial; sedimentos en línea; falta de carga; bloqueo de válvulas.

Menos temperaturaPérdidas de calor; vaporiza-ción; venteo bloqueado; fallo de sellado.

INVERSO

Analiza la inversión en el sen�do de la variable. Se ob�ene el efecto contrario al que se pretende

Flujo inverso

Fallo de bomba; sifón hacia atrás; inversión de bombeo; válvula an�rretorno que falla o está insertada en la tubería de forma incorrecta.

ADEMÁS DE

Aumento cualita�vo. Se ob�ene algo más que las intenciones del diseño

Impurezas o una fase extraordinaria

Entrada de contaminantes del exterior como aire, agua o aceites; productos de corro-sión; fallo de aislamiento; pre-sencia de materiales por fugas interiores; fallos de la puesta en marcha.

PARTE DE

Disminución cualita-�va. Parte de lo que debería ocurrir suce-de según lo previsto

Disminución de la composición en una mezcla

Concentración demasiado baja en la mezcla; reacciones adi-cionales; cambio en la alimen-tación.

DIFERENTE DE

Ac�vidades dis�ntas respecto a la opera-ción no-mal

Cualquier ac�vidad

Puesta en marcha y para-da; pruebas e inspecciones; muestreo; mantenimiento; ac-�vación del catalizador; elimi-nación de tapones; corrosión; fallo de energía; emisiones in-deseadas, etc.


��!��\��

El método, principalmente cubre los objetivos para los que se ha diseñado, y además:

^� Es una buena ocasión para contrastar distintos puntos de vista de una insta-lación.

^� Es una técnica sistemática que puede crear, desde el punto de vista de la se-guridad, hábitos metodológicos útiles.

^� No requiere prácticamente recursos adicionales, con excepción del tiempo de dedicación.

Los principales inconvenientes, pueden ser:

^� Al ser una técnica cualitativa, aunque sistemática, no hay una valoración real de la frecuencia de las causas que producen una determinada consecuencia, �'�$��$'P��'��'��

^� �� 'P��'�� 3�� )� 3�� '�� $��'�� '��$��'��como consecuencia de un HAZOP, deben analizarse con mayor detalle ade-más de otros criterios, como los económicos.

^� Los resultados que se obtienen dependen en gran medida de la calidad y ca-pacidad de los miembros del equipo de trabajo.

^� Depende mucho de la información disponible, hasta tal punto que puede omi-tirse un riesgo si los datos de partida son erróneos o incompletos.

4.4. ASIGNACIÓN DEL SIL DE CADA FUNCIÓN DE SEGURIDAD

+��&Q�$'��$��P�'��6��3��'��6��#�'��adecuada reducción del riesgo hasta un nivel aceptable y será tratado pormenoriza-damente en el Capítulo 7.

El cálculo del SIL requerido no es por tanto una medida directa del riesgo del proceso, sino una medida de la reducción del riesgo que hay que aplicar a un sistema ��'��#��$��&��/��'��'��#��3�� PQ��$&��Es seguramente una de las fases más complejas de realizar.

Los métodos típicos de asignación del SIL requerido son:

^� métodos cualitativos, o ^� métodos semicuantitativos.

Esta fase típicamente se realiza inmediatamente después de la anterior (análisis de riesgos) por lo que están implicados los integrantes del mismo equipo interdisci-plinar.


4.4.1. METODOLOGÍAS CUALITATIVAS

Se tratan de técnicas de análisis crítico que no recurren al análisis numérico. Su ob-Q�$'��'��'��'��$'P��7

^� Riesgos.^� Efectos: incidentes y accidentes cuando se materializan los riesgos.^� Causas: orígenes o fuentes de los riesgos.

Dado que los análisis cualitativos sirven, muchas veces, como base para otros semicuantitativos o incluso cuantitativos, es importante la calidad de los primeros.

4.4.2. METODOLOGÍAS SEMICUANTITATIVAS Y CUANTITATIVAS

Se trata de técnicas de análisis críticos que emplean índices globales del potencial de riesgo estimados a partir de las estadísticas. Estas pueden ser de disposición general o procedente de la experiencia de las compañías en el diseño y la operación de plan-tas semejantes a las que se trata de enjuiciar.

Son técnicas de análisis críticos que incluyen estructuras y cálculos para esta-blecer la probabilidad de sucesos complejos (siniestros) a partir de los valores in-dividuales de la probabilidad de fallo que corresponde a los elementos (equipo y humanos) implicados en los procesos (industriales en nuestro caso), analizando las capas de protección que vimos en el Capítulo 3.

*��$��$��#��'��6��]�Q��$��y normativas IEC 61508/61511 y ANSI-ISA-S84, el análisis de la capas de protec-ción se presenta como la técnica más exhaustiva.

Dicha técnica constituye un análisis objetivo de las distintas capas de protección de que dispone un proceso, evaluando el riesgo del mismo y comparándolo con el ��'$��'�� '��#�� $��&��P�'�� '��/��'�'�� '� ��protección son adecuadas o, por el contrario, si es necesario mejorar las existentes o introducir capas adicionales. Por todo ello, el análisis LOPA se presenta como una técnica que permite una comparación directa de la contribución de las distintas capas de protección del proceso a la reducción del nivel global de riesgo.

4.5. DESARROLLO DE LA ESPECIFICACIÓN DE SEGURIDAD

Una vez completada la determinación del nivel integrado de seguridad ( SIL ) de cada una de las funciones instrumentadas de seguridad (SIF) se debe realizar el di-seño conceptual del SIS correspondiente.

Previamente, el diseñador (generalmente la ingeniería de detalle) deberá disponer ��'P��'��3��'�'��$��#��'��K6(6L�3��'&'�'$��realizar dicho diseño conceptual y posteriormente el diseño de detalle.


El detalle de todos los puntos que debe comprender una SRS se darán en el Capí-tulo 10. Aquí se adelantan algunos aspectos de tipo general.

Dicha SRS deberá como mínimo, contemplar aspectos de tipo general al conjunto ��6�6�K��$��6��L�)��P��'�'��'��-tos y/o SIFs.

Sin carácter excluyente se exponen a continuación los requisitos generales más comunes que como mínimo debería incluir la SRS dividiéndolo en dos apartados uno relativo a los aspectos físicos (no funcionales) y otro a los puramente funcionales:

4.5.1. REQUISITOS COMUNES FÍSICOS

6��P��3�'�'$��'��)��'��3��'��/��#'��)��$��P��'�$�#��$��'��6�6��6��$��$��otros aspectos tales como:

^� Pruebas.^� Repuestos.^� Estándares y reglamentos de aplicación.^� %��9��)��$9��6�67��'��$��/�$'��#'��KG�/��4�/�

etc.), fuentes de alimentación, entradas y salidas, cableados, redundancias, respuestas a fallos, etc.

^� ��$��'�$��$��/��/�#��P��/��/��$��^� Condiciones medioambientales de los instrumentos del exterior y de los

PLC.^� Preferencia en la selección de los elementos iniciadores. Ejemplos: sensores

de contacto versus transmisores, transmisores inteligentes con capacidad de autodiagnóstico, etc.

^� Tipo de lógica: reles, PLC, etc.^� N��'��$��$��'��$��P��'��$��

de fallos; por ejemplo, partial stroke test en válvulas.^� (�3��'�'��$��&�'��$��8��'�'�$��$'P��6��

4.5.2. REQUISITOS COMUNES FUNCIONALES

Como requisitos comunes funcionales a todas la SIF se detallarán, entre otros:

^� Exigir que el diseño no solo contemple la cumplimentación del SIL sino tam-&'4��&��'P��3��P#��'��#'��$'��3�� P�� '�� '�$��$'�� K��'�L� �� 3�� &�� PQ�� cada SIF.

^� El modo de protección por disparo no deseado debe ser fail safe (fallo seguro)


estando los contactos normalmente cerrados y los reles/bobinas energizadas.^� Si se requieren pulsadores para realizar parada manual, estos serán cableados

físicamente al ESD.^� ��'��&'��$��'�'��$��)��P#��'��7��'��

aplicará al grupo completo de votación, si debe tener alarma de activación en el SDC, etc.

^� Detallar la política de rearmes: manuales, automáticos, en válvulas solenoi-des, etc.

^� +��#��)��$��P��'��'��$��de los de control y la lógica se realizará con PLC redundante que cumpli-mente SIL 3.

^� Fijar una guía de partida para el diseño del SIS.

4.5.3. REQUERIMIENTOS PARTICULARES

Asimismo, la SRS debe contemplar los requisitos particulares para cada familia de enclavamientos y/o SIF de manera particular, muchos de los cuales se obtienen du-rante las sesiones de análisis de riesgo/asignación de SIL.

4.6. DISEÑO CONCEPTUAL DEL SIS Y VERIFICACIÓN DEL SIL DE CADA FUNCIÓN

El objetivo de esta fase, que será tratado en el Capítulo 11, es desarrollar un diseño inicial del SIS que cumpla con los requisitos de seguridad y alcance el SIL requeri-do o establecido como objetivo. Asimismo, dicho diseño deberá cumplimentar los requerimientos del tiempo prescrito de disparo intempestivo (espurio) no deseado. G��$��P#��'��'��$��$��6��$��$�$��datos contemplados en la SRS.

Durante esta fase, por tanto, se seleccionará la tecnología, la arquitectura, los in-tervalos de prueba, etc., teniendo en cuenta factores tales como el presupuesto, el ta-maño de la aplicación, la complejidad, la velocidad de respuesta, la política de puen-teos (baipases), los requisitos de comunicaciones, la interfaz con el operador, etc.

Esta fase entra de lleno en la responsabilidad del especialista de instrumentación de la Ingeniería de detalle.

��'�'��&��'��$��'��'��6�6��'P��'��3��'��J��$��'��6��'P��6��[��&��3��'� ��'��J��$��$'��P�'��de disparo intempestivo (espurio). Para ello existen fórmulas adecuadas de cálculo de probabilidad de fallo en demanda para comprobación del cumplimiento del SIL y otras de tiempo medio entre fallos (MTTF y MTBF) para el disparo intempesti-��*��'��$'��'��$��$��'��)��P#��'��


elegida se utilizará la fórmula que corresponda para el cálculo existiendo programas ��'�'��)��$'P��#�'��'��'��$��)��'��

4.7. DISEÑO DE DETALLE DEL SIS

Durante el mismo se deben realizar una serie de tareas, por parte de la Ingeniería de ��$��/�3��P��$��'��$��'��'-zar el montaje e instalación.

En principio se deberán revisar las listas de instrumentos para asegurarse que ��$�� '��'�� $�� '�� P#��'��6�6��6�� '�� P&Ids para actualizarlos y se realizarán las requisiciones y órdenes de compra de todos los instrumentos y materiales necesarios de acuerdo a la SRS y al resto de ��'P��'��'�&��

El diseño, asimismo, debe incluir al menos la siguiente información:

^� *��$��P#��'��3�'��^� Documentos de prueba de los equipos (FAT Y SAT).^� Documentos de cableado e instalación de los equipos.^� Documentos de operación/mantenimiento de los equipos.^� *��$��'P��'��3�'��

Esta fase es responsabilidad del especialista de instrumentación de la ingeniería de detalle.

4.8. INSTALACIÓN, PRUEBAS Y COMISIONADO DEL SIS

El primer objetivo de esta fase es asegurar que el sistema se comporta conforme a ��3�'�'$��'P��'��#��'��G��/��&��'��'-guientes pruebas:

Pruebas FAT (factory acceptance test). Típicamente serán pruebas del operador lógico y de la interfase del operador con independencia del tipo de tecnología que se esté utilizando. Incluso si la lógica del sistema se hace con relés o consiste en un PLC de cientos de entradas/salidas dicho sistema debería ser probado en la fábrica del suministrador antes de ser enviado a planta. El FAT se considera parte de la fase de instalación ya que las personas involucradas en el montaje y pruebas son las que deberían realizar dicho FAT.

Normalmente las pruebas se realizan como mínimo:

^� R�� 9��#'��'�$��/�'��)��8W/�$��-minales de entrada/salida, cableado interno, módulos de comunicación, inter-fase de operador, etc.


^� Redundancia.^� 6��$9��$�$��'��'��'��

La instalación cubre el montaje en planta de todos los equipos asociados con el SIS y la realiza el contratista de montaje de instrumentos/electricidad. Se incluye los ��/��$��P��/��&��/��Q��'��)��'��'��/��&'-��/�G�/�'�$��/��/�)��3�'��$�� 9��'��6�6�

Durante la fase de Ingeniería de detalle se habrán generado los documentos y ��/��'P��'��3��'�&��)��6(6/�3��'��al contratista para realizar adecuadamente su trabajo.

Terminada la instalación propiamente dicha y antes del SAT deben realizarse una serie de chequeos de dicho montaje. Estos chequeos nos asegurarán que el SIS se ha '��$��PQ��#��'��$��)��$��el SAT.

Esta parte la puede completar el contratista o un grupo de trabajo independiente.Una vez completados los chequeos anteriores se debe realizar el SAT (site accep-

tance test).Típicamente serán pruebas del sistema completo (sensores, operadores lógicos,

actuadores, servicios, etc.) en la propia planta.IEC-62381 describen el SAT, como un test que posibilita una completa prueba de

la total funcionalidad del SIS de acuerdo a la SRS.Para la realización del SAT se requieren una serie de documentos que dependerá

de la complejidad de dicho SIS. Es esencial disponer de un procedimiento detallado para la realización de dicho SAT.

La ejecución de esta fase compromete a recursos del suministrador del sistema ��'�'��$Q��)��'��'��$��P��)��tratada con detalle en el Capítulo 13.

4.9. MANTENIMIENTO Y EXPLOTACIÓN DE LOS SIS

Para lograr un funcionamiento correcto, cada sistema instrumentado de seguridad requiere un mantenimiento periódico mediante inspecciones, pruebas y chequeos que deben estar procedimentados y documentados.

Como se describe en los Capítulos 8 y 14, la mayor prioridad es la realización de las pruebas funcionales on line del conjunto de todos los elementos de cada función instrumentada del SIS. Este tipo de test es la actividad más crítica de un buen man-tenimiento preventivo.

��'��'� ��&��'��6�6��PQ��$��'��J��'��'��'��)��'��P��P#��'��'��'��$��$��#��'��)��'��6��'P��

Como se ha visto con anterioridad, un SIS constituye la última capa de preven-ción de Seguridad. Si esta capa no responde a los requerimientos de su diseño se


produce el evento indeseado de fuga, incendio, explosión, etc., con los riesgos que esto puede conllevar en la seguridad personal, medio ambiente y daños industriales (mantenimiento y producción).

Al igual que en el resto del mantenimiento de equipos de planta, se debe garanti-zar una disponibilidad funcional del conjunto de los elementos que conforman cada una de las funciones instrumentadas de seguridad (SIF) en estricto acuerdo con el �'��'�$�#��#��'��K6��L��'P��$��determinación del SIL (segundo paso del ciclo de vida de un SIS).

Cuando se diseña un SIS, no existe una única solución que satisfaga el SIL de cada función. Normalmente se trata de encontrar una solución que equilibre adecua-damente el coste de la inversión inicial con la exigencia de realización frecuente de pruebas funcionales en operación normal (on line) lo que conllevaría a un esfuerzo y costos elevados de mantenimiento.

La prueba funcional periódica de cada función instrumentada de un SIS es una actividad esencial para garantizar la integridad de un SIS, ya que constituye el único camino para asegurar que el nivel SIL de cada SIF se mantiene en el tiempo. El test $'��3��'��'��$�$�'��'�$��3��'#�'P��&��/��#'�/��$��P��/��&��)��'�� &'$��3��$�prueba se realice simultáneamente a todos los elementos, aunque no es estrictamente necesario, pudiendo hacerlo por partes en tiempos diferentes que deben ser tenidos en cuenta en las fórmulas correspondientes. Asimismo dichas pruebas funcionales deberán basarse en procedimientos escritos con objetivos y responsabilidades per-��$��$��)��P�'��

N��&��P�'��'�� '��'��$��&�� '��-mento del conocimiento de cada SIS por parte del personal de Mantenimiento y Operación.

De la misma manera, la necesidad de estas pruebas funcionales on line para com-probar la correcta operación del SIS, es cumplimentar los requerimientos de organis-mos competentes en el tema tal como ISA, IEC y OSHA.

Este paso será tratado en el Capítulo 14.

4.10. MODIFICACIONES

El objetivo de esta fase es asegurar que todo cambio en el SIS se realiza siguiendo el mismo procedimiento que en la primera implementación. La gestión del cambio implicará que ante cada cambio, se deberá volver a la fase adecuada en el ciclo de vida del SIS.

Todo cambio será debidamente documentado. Por ello es fundamental tener un estricto control de toda la documentación.

��3�'��'P��'��)8�� '�� '��6�6�� '-zación de la correspondiente prueba funcional. Este paso se verá con detalle en el Capítulo 15.


PARA NO OLVIDAR

� Los sistemas de seguridad son mul�componentes, por lo que en todas las etapas de su ciclo, se requiere la par�cipación de equipos mul�disci-plinares.

� Se requiere de una sistemá�ca precisa para minimizar los fallos.� El obje�vo de los estándares de seguridad es guiar las fases del sistema:

diseño, construcción, operación y el mantenimiento de un proceso.

CONSEJOS PRÁCTICOS

� Los datos demuestran que aunque la sistemá�ca del ciclo de vida de se-guridad aumenta los costes iniciales, a la larga produce un sistema más seguro y por lo tanto un aumento en la producción.

5DISEÑO CONCEPTUAL DEL PROCESO


SUMARIO: Introducción. Diseño conceptual. Diseño de detalle. Para no olvidar. Consejos �rác�cos.

5.1. INTRODUCCIÓN

En este capítulo se intenta dar una idea general de la importancia de la etapa de dise-ño en el éxito de un nuevo proyecto de seguridad funcional dentro de una instalación industrial. Ya que los documentos generados en esta etapa serán los documentos de entrada a la primera tarea del ciclo de vida de la seguridad funcional correspondiente a la evaluación del riesgo y determinación de posibles funciones instrumentadas de seguridad.

G��'�'�'��'��J��)��$��'P��#��O'�$��$�/��)�'��$�$��$��&'��P�'��)��3��'�'��$��seguridad y producción del proceso, los cuales serán solicitados al departamento ��'�#��'��$��$��K#��'��L��'��P��/�&�'�� '��$�� '�'$�� Q��$'P�� '��'�� '$�� +�$�� administrador deberá investigar y asegurarse de que la inversión será rentable y los peligros inherentes a los procesos aceptables.

Una vez que se tiene conceptualizada la idea del proyecto el diseño de una planta comienza con la generación de documentos preliminares (ingeniería conceptual) en donde un grupo de especialistas desarrollan las bases de la ingeniería apoyándose en documentos máster y posteriormente se realizan los documentos de detalle.

5.2. DISEÑO CONCEPTUAL

El objetivo de esta fase es diseñar una planta que sea inherentemente segura y renta-&��G��'��/��3�'��)��$��P�'��-te profundidad cumpliendo con estándares internacionales y nacionales. Esta etapa depende fundamentalmente de un grupo multidisciplinario de especialistas entre los que se encuentran las siguientes disciplinas: procesos, instrumentos, eléctricos, me-cánicos electrónico, por citar algunos. El especialista que toma el papel de líder en este grupo es fundamentalmente el ingeniero de procesos.


Figu

ra 5

.1. F

lujo

de

proy

ecto

indu

stria

l pi

co.

87Diseño conceptual del proceso

Estadísticamente en el ciclo de vida de un proyecto de sistemas de control y sis-temas de seguridad, se tiene típicamente que el 15% de los fallos y errores se generan ��$��'��J��$��/��@Hµ��$��'P��'��'�-nalidad e integridad (normalmente generadas desde la omisión de conceptos dentro del diseño), el 20% en la etapa de cambios después del comisionamiento, 5% en la instalación y comisionamiento y 15% en operación y mantenimiento, dando como resultados desviaciones y accidentes en la industria de procesos (véase Figura 5.2).

��j��'��]�Grá�ca de desviaciones y accidentes causados en las fases del ciclo de vida de un proyecto.

Dentro del ciclo de vida de la seguridad funcional una de las capas primordiales es el diseño inherentemente seguro de un proceso, de tal forma que los documentos generados en esta etapa son fundamentales para el éxito de proyectos de sistemas de instrumentación y control relacionados con la producción y la seguridad de una planta de procesos. Dichos documentos se incluyen y desarrollan en la etapa con-ceptual de ingeniería y serán los datos de entrada en el ciclo de vida de la seguridad funcional para dar inicio a la evaluación de riesgos descrito en el Capítulo 6 de este libro.

^� Descripción del proceso.^� *'#��]�Q��KG�*L�^� Balance de materia y energía (HMB).^� Diagramas de tubería e Instrumentación (P&ID).^� Listado de instrumentos.^� Sumario de alarmas y disparos.^� Matrices causa y efecto.^� Descripción de sistemas de enclavamientos.^� Plano general de localización de equipos. ^� Listados de sustancias peligrosas involucradas.


Es fácil comprender que aquí se encuentra el núcleo ingenieril del desarrollo de un proyecto y que las consideraciones y decisiones relativas a la seguridad que se hagan en esta etapa van a trascender a las etapas siguientes del propio proyecto.

Todos los documentos desarrollados en esta etapa deberán ser debidamente lle-vados a cabo bajo un sistema de gestión de la calidad, en el cual se contemple la trazabilidad del control de las revisiones. En el caso de las funciones instrumentadas de seguridad los documentos generados deberán estar perfectamente documentados en el plan de seguridad.

5.2.1. DESCRIPCIÓN DEL PROCESO O BASES DE DISEÑO

En este documento los ingenieros involucrados describirán a detalle la intención del diseño cumpliendo con normas y códigos relacionados con el proceso y la seguridad, ��Q��/�-�G�/��G�/��-6�/��6�+/��'$��#��/��P�'��'��/��$��'��'��/��'P��'��$��'��de construcción por secciones de la planta, condiciones de operación, medidas de protección requeridas para el potencial de riesgos de incendio y explosión o nubes tóxicas y relación con el entorno ambiental.

5.2.2. DIAGRAMA DE FLUJO DE PROCESO (PFD)

+�$� �� $�'�� 3��$'�� P#��'�� '�� '�$��También permiten describir la secuencia de los distintos pasos o etapas del proceso y su interacción mostrando qué y qué tanto de cada sustancia o producto trabajara el sistema, cantidades y tipos de materias primas que son necesarias para lograr los productos, las condiciones críticas del proceso (presiones, temperaturas, etc.), líneas principales y los equipos del proceso (véase Figura 5.3).

��'#��]�Q��3�'��'��J��)��-$�¨��$��'��$'&'�'��)��P�'�'��'��'��-sarrollo de la ingeniería de detalle y están estrechamente relacionados con los balan-��$��'�)��#��+�$��$��'�'��'� )��P�'��$��materia prima y equipamiento para que un proyecto proceda. Es importante dejar en claro que no existe ningún estándar o norma que regule el desarrollo y contenido del PFD. Consecuentemente algunos PFD muestran un mínimo de detalle mientras otros ��'��'��$��'#�'P�$'��7

� PFD con opción de detalles mínimos:��3��'#��]�Q��-ceso sea efectivo el proceso es mostrado en un pequeño espacio tan práctico como sea posible, mostrando las corrientes principales y secundarias del mis-mo, sin considerar el balance de materia y energía.

� PFD con opción de detalles adicionales:��$��'#��]�Q��muestra detalles como la instrumentación y control en una fase inicial del proyecto. También se suelen incluir detalles como puntos de medición prin-


cipales, métodos de control, válvulas de control y analizadores de proceso y normalmente los balances de materia y energía del sistema. Los PFD son usados como una guía en el desarrollo de los diagramas de tubería e instru-mentación (P&ID).

Figura 5.3. Diagrama pico de �ujo del proceso.

5.2.3. BALANCE DE MATERIA Y ENERGÍA (HMB)

+�$��$��'�'��'#��]�Q��O��$��3��%�<��-tiene información adicional concerniente a la física del proceso. El dibujo comienza con un diagrama de �ujo del proceso mostrando los equipos mayores y sus tuberías, �� #�� /� $�� ]�Q�� )� ��#�� 3��'�� )� ��$��$��+�$��$��$'��'��'��$��'P��P��'��)��3��$��#��P��'�#��'��diseño detallado del proyecto.


5.2.4. DIAGRAMA DE TUBERÍA E INSTRUMENTACIÓN (P&ID)

Este documento, como ya se menciono en párrafos anteriores, es desarrollado a par-$'��'#��]�Q��+��$��$'�'��'��'��'��3��$��'�-mente la responsabilidad primaria del departamento de procesos pero es compartido con los departamentos mecánicos, instrumentación y eléctricos. Este contiene al me-nos lo siguiente.

^� Equipos y válvulas.^� Diámetros de tuberías.^� +��'P��'��$��'��$�&��^� Accesorios de tuberías.^� Información de instrumentación y lazos de control.

Estos documentos son realizados de acuerdo a normas como ISA 5.1 y prácticas recomendadas por Proccess Industry Practices (PIP).

+�� '�#��'��'��J��$�� &�� '��$'P�� $�� '&��funciones de seguridad y otras capas de protección que llevarán al proyecto a lograr un proceso inherentemente seguro.

Figura 5.4. Diagrama de tubería e instrumentación (P&ID).


5.2.5. LISTADO O ÍNDICE DE INSTRUMENTOS

El listado de instrumentos es un documento en donde se enumeran todos los instru-mentos que están plasmados en el P&ID, en este listado cada instrumento deberá ve-�'��$��'��$'P��T��$#��$��3�'��3��$��o línea de proceso, ubicación en sección del proceso (nodo), los rangos de operación y para qué tipo de servicio están dedicados. Debemos recordar que estamos en la etapa de ingeniería conceptual y que estos datos son fundamentales en esta fase, no debemos confundir este listado de instrumentos (índice de instrumentos) con la base de datos de instrumentos ya que el primero pertenecerá al segundo en la etapa de ingeniería de detalle y se estará actualizando continuamente. ISA no cuenta con un ��'#��3��P��$��'��'�$��'��$��$��

5.2.6. LISTA DE ALARMAS Y DISPAROS

En este listado se suele enumerar todas la alarmas y disparos que están plasmados en el P&ID, este debe incluir las secciones de proceso en las que están ubicadas, los puntos de ajuste, el lazo de control a la que pertenecen y regularmente se encuentra un vínculo con documentos que serán desarrollados posteriormente como la matriz causa y efecto de una función.

5.2.7. DESCRIPCIÓN GENERAL DEL SISTEMA DE ENCLAVAMIENTOS

Este documento describe de forma detallada los enclavamientos de proceso (inter-locks), es decir, aquellas circunstancias del proceso, que si suceden, provocan accio-nes sobre otra parte del mismo. El documento puede presentarse como:

^� Una descripción de cada uno de los sistemas de enclavamiento en los que se indican señales o instrumentos que desencadenan la acción y los elementos e instrumentos que ejecutan la misma.

^� Mediante diagramas de causa-efecto. Son tablas de doble entrada en las que ��P��'��)��$��3��'��$��)��-lumnas los elementos que realizan la acción de ese enclavamiento.

^� Son realizados por I&C a partir de la descripción de enclavamientos propor-cionada por proceso.

^� Mediante diagramas lógicos. En el caso de enclavamientos con cierta com-plejidad, pueden representarse los mismos mediante diagramas lógicos, en ��3��O��#��P��$��'��#'��$��-mentos que causan los enclavamientos y los efectos o consecuencia de los mismos.

5.2.8. MATRIZ CAUSA Y EFECTO

+��$��$'��$��$��#��P��'��3��#�'��una función del control del proceso o bien de una función instrumentada de segu-


ridad (SIF). Esta matriz explicará la interrelación de entradas y salidas de forma lógica y funcional de cada lazo de control (véase Figura 5.5).

Figura 5.5: Matriz causa y efecto.

5.2.9. PLANO GENERAL DE LOCALIZACIÓN DE EQUIPOS

Estos son planos de construcción producidos por los departamentos de ingeniería mecánica y tuberías. El grupo de ingenieros mecánicos comienza colocando los equipos principales en una vista en planta manteniendo en mente las rutas de acceso, los códigos de construcción, consideraciones de peso de los equipos, etc.

Estos dibujos llegarán a ser las bases de arreglos detallados de tubería e isomé-tricos, así como la implantación de instrumentos y la implementación de solucio-nes de ingeniería relacionadas a las capas de protección externas al proceso. En la elaboración de este plano se requiere tomar en consideración normas y códigos de espaciamiento internacionales y regionales de acuerdo a cada nación, factores del entorno ambiental y riesgos potenciales de incendio o explosión, ya que el no con-siderar estos puntos fundamentales pudiera ocasionar una mala distribución de los equipos de proceso dentro de una planta y con ello resultar en accidentes industriales '��$'P�&��$��$'&'�'��$4��'��)��'��)��$��

5.3. DISEÑO DE DETALLE

Antes de ser liberados o aceptados los documentos de ingeniería conceptual y pasar a la siguiente etapa de ingeniería es fundamental que los documentos generados por el grupo multidisciplinario sean evaluados analizando los posibles riesgos y desvia-ciones a la intención original del diseño, esto mediante el uso de técnicas de análisis de riesgos descritas en el Capítulo 6 de este libro.


Una vez que se ha realizado el análisis de riesgo y se han documentado las ob-servaciones al diseño conceptual y capas de protección interna y externa al proceso, se inicia la etapa de ingenierías de detalle. En esta etapa se generan múltiples docu-��$��'P��'��$��)��3�'��/��$��$��para el caso de ingenierías de instrumentación y control de procesos los siguientes documentos, sin ser limitativo este listado:

^� +��'P��'�� '�$�� $�� K�3�'$��$��/� $��#��/� #��P��/�etc.).

^� G��'P��'��4�$�'��^� +��'P��'�� '�$�� #��'�� K�3�'$��$��/� $��#��/�

#��P��L��^� Hojas de datos de los equipos.^� Hojas de datos de válvulas de control.^� Plano de localización de instrumentos de control.^� Hojas de datos de válvulas de seguridad.^� Hoja de datos de los instrumentos. ^� Típicos de instalación y montaje.^� Plano de trayectoria eléctrica.^� Memoria de cálculo de conductores.^� Índice de entradas y salidas (I/O) del sistema de control.

PARA NO OLVIDAR

� Los documentos generados en el diseño conceptual del proceso deben estar documentados en un plan de calidad y estos deben estar perfecta-mente elaborados y validados ya que serán los documentos de entrada en la etapa de evaluación de riesgos e iden��cación de funciones de se-guridad, y también serán entradas en las especi�caciones de seguridad (SRS).

� Para el caso par�cular de ingeniería y diseño de funciones instrumenta-das de seguridad la etapa de ingeniería conceptual y de detalle se des-cribirá dentro del libro SIS en los capítulos posteriores a este y en ellos se describirán los documentos propios de ingeniería de la seguridad fun-cional.


CONSEJOS PRÁCTICOS

� En el desarrollo de cada documento de ingeniería de diseño conceptual del proceso es muy importante que exista la revisión cruzada entre los integrantes del grupo mul�disciplinario, y esta revisión se debe validar con �rma de cada par�cipante y fecha de la revisión, lo que facilitará mu-cho la trazabilidad de los documentos que se entregan al departamento de seguridad funcional para dar inicio a la ingeniería propia del sistema instrumentado de seguridad.

6ANÁLISIS DE RIESGOS DE PROCESOS


SUMARIO: Introducción al análisis de riesgos. Criterios de aceptabilidad del riesgo. Tipos �� >�� >�� j��!�� >�� -�j��!��>��j��!��/��%��\��&��%��%��j��%��<��(HAZOP). Para no olvidar. Consejos �rác�cos.

6.1. INTRODUCCIÓN AL ANÁLISIS DE RIESGOS. CRITERIOS DE ACEPTABILIDAD DEL RIESGO

Las instalaciones industriales que almacenan, procesan y generan sustancias peli-grosas, tienen asociado un determinado nivel de riesgo, dado que existe la posibili-dad de inducir consecuencias adversas sobre elementos vulnerables (hombre, bie-nes materiales y medio ambiente), como resultado de los efectos dañinos (térmicos, físicos y/o químicos) originados por sucesos incontrolados en sus instalaciones o actividades.

En este sentido, se entiende por accidente grave cualquier suceso (emisión en forma de fuga o vertido, incendio o explosión importantes) que sea consecuencia de un proceso no controlado durante el funcionamiento de cualquier establecimiento que suponga una situación de grave riesgo inmediato o diferido, para las personas, los bienes y el medio ambiente, bien sea en el interior o en el exterior del estableci-miento.

Las instalaciones industriales que tienen asociado un determinado nivel de riesgo deben adoptar estrictos criterios tanto en el diseño de las instalaciones y equipos, como en la adopción de medidas de seguridad. Dichas medidas de seguridad se tra-ducen en múltiples capas de protección de las instalaciones. Cada capa de protección está compuesta de equipos y/o procedimientos de control que actúan conjuntamente con otras capas de protección para controlar y/o mitigar los riesgos de los procesos, tal y como se analizó en el Capítulo 3 del presente libro.

En el presente capítulo, se realiza una descripción de las principales metodologías �� '��$'P��'�� '��#�� '��$��'�� '��$�'��&Q�$��P�'�� capas de protección más adecuadas a implementar en las instalaciones de proceso. No obstante, será necesario conocer de forma previa el concepto de riesgo y la forma de establecer los criterios de aceptabilidad del mismo, antes de avanzar de forma detallada en las distintas metodologías.


+��$��$'��/��'��#��P��'��&&'�'��3��materialicen las pérdidas económicas, daños a seres humanos o medioambientales en términos de frecuencia y magnitud de las pérdidas o daños. Se suele expresar como el producto de magnitud y probabilidad de las consecuencias de escenario. En la Figura 6.1 se esquematiza la descripción del riesgo con ejemplos de las distintas unidades que puede adoptar en función evidentemente de las unidades utilizadas para la probabilidad y para la severidad.

Figura 6.1. De�nición de riesgo y ejemplos de unidades de riesgo.

Adicionalmente, para la aplicación de algunas de la metodologías que se anali-zarán en el presente capítulo, será necesario que las distintas corporaciones de las ��P��'$��'��$&'�'��'��#��'��$��'��/��$'-�'��#��P��'��'��'#��A�B/��P�'�� el riesgo es aceptable, inaceptable (y por tanto será necesario adoptar medidas de seguridad adicionales a las existentes) y ALARP (as low as reasonably practicable, riesgo susceptible de ser reducido hasta donde razonablemente sea posible), para los �'�$'�$��'��'��$'P��

Figura 6.2. Grá�ca de criterios de aceptabilidad del riesgo.

97Análisis de riesgos de procesos

6.2. TIPOS DE METODOLOGÍAS DE ANÁLISIS DE RIESGOS

��'�'��$��'��$'P��'��)��'�'��'��#��'��-rante todas las fases del proyecto, es decir, durante el diseño, la construcción, la operación, así como para otro tipo de requerimientos en instalaciones industriales.

��$�'��$'P��'��)��'�'��'��#��'$'��$��P��]�-jo de los aspectos de seguridad propios de la instalación, sino que además permitirá ��'�'��3��$��]'�$'��'�$��'$��$'��Q��y evaluación posterior de la instalación, hasta obtener un nivel aceptable de riesgo de acuerdo a los criterios de aceptabilidad establecidos internamente por la propia corporación. En la Figura 6.3 se facilita un esquema general en el que se señala la ��'��'��$'P��'��)��'�'��'��#��'��$�'��

Figura 6.3. Evaluación predic�va del riesgo.


Dada la gran variedad de técnicas que se presentan, no cabe hablar de una técnica predominante frente a las demás. La técnica seleccionada dependerá de los propó-�'$��#�'��'��$'P��'��)��'��'��#��/��#��'-miento que se tenga de la unidad, así como de los datos y recursos disponibles.

+��3�'��/��#��#�'��'��$'P��'��-narios sin el juicio de expertos en Seguridad Industrial y el apoyo de técnicos fami-liarizados con las operaciones y plantas involucradas.

Los objetivos de la �$'�'��'��$��4$��'��$'P��'��'��#��-den ser:

^� Reconocer las situaciones peligrosas en actividades en las que se manejan materiales que implican riesgos con objeto de revisar el diseño y establecer medidas correctoras o preventivas.

^� ��$'P��'��'&��'��$��/��P��)��$'P��'�'��'��#��

��'�$'�$��$4��'��'��$'P��'��'��#��#��$��#��-pos fundamentalmente:

a) Métodos cualitativos:�$'��&Q�$'��$&��'��$'P��'��'��#��'#��/��$��$��)8��'��3��'P��-tan cuando se convierten en accidente. Se verá más adelante que realizan un escrutinio (más o menos conducido, estructurado y/o secuencial) del proceso y del equipo, incluidos en la planta o unidad objeto de consideración. En ocasiones son preliminares y sirven de soporte estructural para los estudios cuantitativos.

b) Métodos semicuantitativos: pretenden mediante la combinación de unos fac-$��#��&�� K��'��&��'P��L�� '��#��$&��'��$-mente el riesgo (R) o la severidad (S). Casi siempre conducen a resultados globales y relativos que sirven para comparar riesgos procedentes de plantas industriales diversas pero concretas. Los factores de riesgos y las escalas para enjuiciarlos proceden de la experiencia en casos similares al que se estudie.

c) Métodos cuantitativos: tienen como objetivo recorrer completo el tracto de la evolución probable del accidente desde el origen (fallos en equipos y/a operaciones) hasta establecer la variación del riesgo (R) con la distancia, así como la particularización de dicha variación estableciendo los valores con-cretos de riesgo para los elementos vulnerables situados en localizaciones a distancias concretas.

A continuación, se describen los principales métodos cualitativos, semicuantita-tivos y cuantitativos.


6.3. METODOLOGÍAS CUALITATIVAS

Se trata de técnicas de análisis crítico que no recurren al análisis numérico. Su obje-$'��'��'��'��$'P��7

a) Riesgos.b) Efectos: incidentes y accidentes cuando se materializan los riesgos.c) Causas: orígenes o fuentes de los riesgos.

Emplean diferentes herramientas lógicas y auxiliares.Algunos de ellos establecen estructuras lógicas secuenciales, causas/riesgos/ efec-

$��3��/��'��$'P��/��'��$��'�'��'��$'$$'��cuantitativos posteriores.

En otros casos el barrido sistemático de causas/riesgos/efectos conduce a detectar parte de los sistemas (de proceso, de instrumentación de equipo, etc.) que, por ser complejas y/o delicadas, requieren el análisis mediante métodos más penetrantes o más cuantitativos.

Dado que los análisis cualitativos sirven, muchas veces, como base para otros semicuantitativos o cuantitativos, es importante la calidad de los primeros.

A continuación describiremos algunos de los métodos cualitativos más frecuen-temente utilizados:

6.3.1. BASES DE DATOS O ANÁLISIS HISTÓRICO DE ACCIDENTES

Descripción

N��$4��'��'��$'P��'��'��$��$��$'�'��las bases de datos de accidentes. Mediante esta técnica se podrá tener acceso a los accidentes más frecuentemente ocurridos en relación con un proceso determinado o una sustancia peligrosa involucrada, conociendo sus causas y sus consecuencias y basándose en ellos extraer conclusiones y recomendaciones.

��$��$�$��$'P��&&'�'��-cidentes, como para conocer los equipos a los que suelen asociarse fallos, así como los desarrollos de accidentes más usuales y de esta forma tomar medidas preventivas sobre las posibles causas iniciadoras, así como medidas mitigantes de los efectos.

Principales bases de datos

Existen multitud de bases de datos que aportan información, bien acerca de los ra-tios de fallos en equipos, bien en relación a los accidentes ocurridos en el mundo, indicando sus causas y consecuencias, así como en relación a sustancias peligrosas. Entre ellas, destacan las siguientes:


^� Bases de datos de accidentes: FACTS (TNO), MARS (CEE), MHIDAS (UK), etc.

^� Bases de datos de accidentes: NCSR (UK), IEEE (USA).^� Bases de datos sobre sustancias: UMPLIS (G), CHEMDATA (UK), ECDIN

(CEE), R.D. 363/95, RTEC.

El empleo de bases de datos debe plantearse como una técnica de apoyo, de forma que una vez conocido el historial de accidentes característico de un tipo de instala-�'��/��PQ��$��'��+��$��$'��/��#��$'�'��contar con datos de accidentes obtenidos de la propia instalación, en aquellos casos en los que sea posible.

Procedimiento de aplicación

1. Obtener información y datos de las bases de datos: informes sobre los acci-dentes.

2. Discernir qué informes son asimilables a la instalación que esté siendo objeto de consideración: selección de informes aplicables.

3. Elaboración estadística (suele ser corta: medias, frecuencias) que permitan los informes.

4. Estudio técnico de cada accidente (y de sus orígenes, frecuencias y conse-cuencias) para revisar los puntos críticos (de instalación y operación) que ��'P��$��

5. Adopción de medidas técnicas que neutralicen los riesgos originados en di-chos puntos críticos. ¿Se sabe qué medidas se adoptaron en los accidentes estudiados para evitar su repetición?

Ventajas de aplicación de la metodología

1. Basado en casos reales.2. Simple y barato.3. Directo a causas importantes.

Aspectos a considerar en la aplicación de la metodología

1. Solo casos reales más importantes.2. La documentación de los casos incluidos puede ser incompleta.3. Puede haber causas críticas que no se han manifestado en los accidentes es-

tudiados o que no se han detectado.4. La aplicación a instalaciones similares, pero diferentes, puede no ser acerta-

da.5. ��$'P��'��'��)��G��'��$��$��'$$'��6. Es frecuente que no estén claras las causas inmediatas de los accidentes rese-

ñados en los bancos de datos.


Idoneidad

1. Evaluación rápida, directa y económica de riesgos y causas más importantes en instalaciones existentes y en proyecto.

2. ��'��$'P��'��'��$��

:��j��%��

1. Acceso a los bancos de datos (SONATA, TNO, etc.).2. Equipo profesional experto en diseño, instalación, operación normalmente

sin recurrir a expertos ajenos a la organización de la compañía que diseña y/u opera la instalación.

6.3.2. ANÁLISIS HAZID O ANÁLISIS PRELIMINAR DE RIESGOS

Introducción

+��4$��'��$'P��'��'��#'��++�NN/�)��'��-��$��$��#��/�3��$�$��'��'��$'P��'��'�de riesgos en la primera fase de diseño, evitando de este modo el costo que supondría ��'��J��'P��'��$��$��'��

La aplicación del análisis del riesgo preliminar (preliminary hazard analysis, PHA) o análisis HAZID (hazard identi�cation) será de especial utilidad en aquellos casos en los que no se tenga información detallada sobre el historial de fallos, inci-dencias o problemas potenciales relativos a seguridad industrial en plantas de proce-so, tal como puede suceder con plantas nuevas que empleen procesos industriales no aplicados hasta la fecha.


1. Obtener información y datos sobre materiales, operaciones previstas.2. Discernir si se puede aprovechar la semejanza con otros procesos u opera-

ciones experimentados anteriormente. Explorar y explotar tales semejanzas.3. Exploración de las operaciones y equipo de las que cabe prever criticidad:

riesgos implicados (toxicidad, corrosividad, carga energética contenida, etc.).4. Estudio técnico de los aspectos críticos que se hayan detectado en 3).5. Adopción de medidas técnicas que disminuyan el riesgo previsto para los

aspectos críticos.


1. Simple y barato.2. Directo a causas importantes.



1. No es sistemático: puede no considerar algunas causas importantes pero poco aparentes.

2. Depende mucho de los conocimientos y experiencia de los ejecutantes.3. Absolutamente cualitativo y desestructurado.

Idoneidad

Se usa para instalaciones y procesos en etapas de desarrollo y proyecto: cuando no hay otro remedio y hay urgencia.

:��j��%��

Ejecutantes que puedan suplir, con sus conocimientos y experiencia, la falta de in-formación real y concreta (sobre riesgos y sus consecuencias) procedente de expe-riencias concretas anteriores.

Resultados

Se dan en forma de lista o tabla, en la que se incluye:

^� ('��#��'��$'P��'��'#��^� Causa.^� Consecuencias.^� Medidas o acciones correctivas.

6.3.3. ANÁLISIS WHAT IF?

Introducción

El análisis What if?/��4$��'��$'P��'��'��#��)��práctica habitual de las industrias químicas. Trata de llegar a determinar por medio de preguntas, qué posibles consecuencias se darían ante un determinado fallo.

Descripción

La cuestión del ¿Qué ocurriría sí...? se puede aplicar a los distintos aspectos rela-cionados con la seguridad industrial, es decir, equipos, instalaciones, sistemas eléc-tricos, materias primas, productos, almacenamientos, procedimiento de operación, procedimientos de emergencia, etc. Sin embargo, la utilidad del método dependerá en gran medida del grado de conocimiento sobre los procesos desarrollados y la ha-bilidad para encontrar los puntos críticos, de forma que si la experiencia del personal es escasa, el método generará unos resultados necesariamente incompletos.


Las preguntas comenzarán, por lo general, contemplando un suceso iniciador, a lo que seguirá un análisis de las consecuencias previsibles, que requerirá conocer el comportamiento del sistema, dando como resultado recomendaciones en forma de medidas correctoras. Comparte elementos con el Hazop, si bien el análisis What if? es menos sistemático y estructurado.

Ejemplos:

^� ¿Qué ocurriría si se introduce una sustancia equivocada en el reactor?^� ¿Qué ocurriría si el operario cierra mal la válvula?^� ¿Qué ocurriría si la tubería se obstruye?^� ¿Qué ocurriría si la temperatura ambiental supera los 30 �C?^� ¿Qué ocurriría si se produce fuego exterior involucrando al tanque?


1. Se elige un enfoque o alcance para cada parte del estudio (seguridad del pro-pio proceso, seguridad de las personas, seguridad eléctrica, DCI o Defensa Contra Incendios, etc.) o se decide llevar el estudio de manera global con la sola referencia a la secuencia del proceso.

2. Se explica el funcionamiento del proceso.3. Empezando por el principio del proceso, avanzando a lo largo de las etapas

��'�� $��P��/��$��)��$��$��#��$��What if? que se les ocurra a los participantes. No contestarlas durante esta etapa. Pue-de ser conveniente, después de lo anterior, revisar estudios What if? anterio-res, si hay, para comprobar si hay preguntas What if? adicionales.

4. Contestación a las preguntas What if?, una por una. Por todo el equipo. Al-gunas requerirán estudio aparte o la participación de especialistas (control, materiales, mantenimiento, etc.).

5. Consideración, para cada pregunta What if?, de qué medidas existen y cuá-les cabe tomar para prevenir el riesgo, anulándolo o disminuyéndolo, en su origen.

6. Efectuar todo lo anterior para cada una de las partes decididas en 1, o, si se ha hecho el estudio único sin partes, reagrupar preguntas, contestaciones y remedios según los enfoques que se consideraron allí.

7. Redactar informe recogiendo: a) Breve descripción y esquema del proceso; b) Preguntas What if?; c) Su análisis y contestación; d) Descripción razonada ��Q��K�$��$'��'P��'��L��$��$��'��reducir riesgos.


1. Creativo, espontáneo e intuitivo.2. Variado: considera riesgos de orígenes varios.


3. +��'��$'��)��'��7��'P��$��)��'��'-recta las consecuencias causas/consecuencia/remedio más importantes.

4. ��)�T$'��$��$4��'��'��$'P��'��'��#��5. +P��'�'��'$$'��'�'�'�7��'��'�$��$'��-

$��3��&��&Q�$��$��'��'�$��4$��P�$'��


1. Al ser desestructurado pueden pasar desapercibidos riesgos ocultos.2. Depende mucho de la experiencia de los intervinientes y del conocimiento de

su seguridad y operación, no solo de su unidad, sino de otras similares.3. Como método único de estudio solo sirve para instalaciones y procesos muy

sencillos.

Idoneidad

Muy útil en revamping y duplicación de plantas ya existentes, ya que se dispone de personal con experiencia.

:��j��%��

Grupo profesional poco numeroso (3 o 4), pero con buenos conocimientos del pro-ceso, del equipo y de las operaciones.

6.3.4. ANÁLISIS MEDIANTE LISTAS DE CHEQUEO O CHECK LIST

Introducción

��'�$�� 3��'�$��$4��'��'��$'P��'��'�-ble para la evaluación de equipos, materiales o procedimientos y utilizable durante cualquiera de las etapas de desarrollo de un proyecto.

Deben ser preparadas por personal que esté familiarizado con el funcionamiento general de la planta y los procedimientos estándares de la compañía. Una vez que está preparada, su aplicación puede corresponder a personal menos experimentado, siempre que cuente con la supervisión de algún experto.

Las listas de chequeo se ajustan generalmente a unas normas mínimas, de forma que sean susceptibles de evaluaciones posteriores. Dichas evaluaciones deben ser realizadas por personal ajeno al que prepare las listas de chequeo y resultarán en �$��'��'��/��'�'��'P��'��'��

Descripción

El método de las listas de chequeo, tal como se ha descrito, consiste en la elaboración de una lista de aspectos a comprobar en relación con la seguridad de una instalación


industrial y elaborada en función de la etapa del proyecto: diseño, construcción, arranque, operación y parada.

Dicha metodología se utiliza igualmente para comprobar el cumplimiento de determinados reglamentos y normas, en sus aspectos técnicos y de seguridad más relevantes.

Es, por tanto, un método de estructura lineal con lista de cuestiones concretas, re-lativas a los aspectos de proceso y de riesgo, que cabe plantear para todas las etapas de un proyecto, de la operación de la planta, de las paradas, etc.

Las listas deben cubrir todos los elementos de equipo (aparatos, tuberías, válvu-las, instrumentos, controles, alarmas, etc.). Es típico el empleo de este método en las auditorías de seguridad que se efectúan a procesos y plantas.


1. Analizar la normativa y estándares de aplicación o referencia a utilizar.2. Realizar las listas de chequeo basándose en el punto 1.3. Realizar los controles y evaluación de la lista sobre la instalación objeto de

estudio.


1. Fácil, directo y controlado.2. Bueno para adiestramiento de evaluadores de riesgos.3. Proporcionan una demostración clara del cumplimiento de las regulaciones

de referencia.


1. Calidad muy dependiente de la de las listas de comprobación empleadas; pueden pasarse por alto riesgos no incluidos.

2. El alcance está muy limitado a las regulaciones de referencia empleadas para preparar las listas.

Idoneidad

Dentro de sus características, comentadas antes, las listas de chequeo pueden servir ��)��$��$��'�'��O'�$��$��'P��'��R�-bién sirven como base para enjuiciar, mediante auditoría, el cumplimiento o no de regulaciones de instalaciones existentes. Los casos de no cumplimiento deben origi-��'��'P��$��$��'��$��'��

:��j��%��

Si bien realizar las listas de chequeo es un trabajo riguroso y lento, realizar la com-probación es un método directo, rápido y barato.


6.3.5. ANÁLISIS DE LOS MODOS DE FALLO Y EFECTOS (FMEA)

El análisis de los modos de fallo y efectos (failure modes and effects analysis) tiene como objetivos los siguientes:

1. Establecer los fallos posibles en todos y cada uno de los elementos de equipo (de proceso y de control) en una planta.

2. Analizar las consecuencias de los fallos establecidos en el paso anterior para detectar aquéllas que puedan ser origen de accidentes.

3. +�$&��'��$��'��3��'$��3��'#�'P�$'��

Descripción

En general, se parte de un listado de los equipos y componentes de la instalación ��$'&��/�)/��/��&��'��$'P��modos de fallo.

Algunos ejemplos de las desviaciones que se consideran modos de fallo, se pue-den ver en la Tabla 6.1.

Tabla 6.1 Desviaciones como fallos FMEA.

DEBE FALLOEstar cerrado Estar abiertoEstar abierto Estar cerrado Flujo No �uirEn marcha ParadoEstanco Fuga Señal de indicación o mando Falta de señalAccionamiento Sin accionamientoRefrigeración Sin refrigeraciónAbrir No abrirCerrar No cerrarSin fuga FugaEtc. No etc.

El desarrollo del FMEA se facilitará utilizando una tabla del tipo como la que se muestra en la Tabla 6.2.


1. Dividir la instalación en secciones de estudio.2. ��$'P��)��'�$��$��$��3�'��K��)��$��L�

dentro de una sección del proceso en la planta.


3. *�P�'��'��'��$��$��3�'��4. *�P�'��'&��5. *�P�'��'��P�'��6. +�$&��'��P�'��)��'��P�'��$��$��

��$��3�'��$��3��$4��'��+��P��$'��debe trasladarse la parte del análisis correspondiente al elemento receptor de ��'�]��'��$��'��'��&��'��

7. Discernir y recomendar medidas preventivas viables que eviten los fallos ��P�'��/�3��'#�'P�$'��$��#��'��

8. Registro escrito (informe) del análisis.

Tabla 6.2. Tabla para análisis FMEA.


1. Es económico: va directamente a los fallos importantes procedentes de la experiencia y del funcionamiento de los aparatos. Requiere pocos analistas (1-2).

2. Puede servir como base para detectar sistemas, elementos y fallos que deban ser objeto de análisis más profundos.

3. Documentación básica sencilla.4. G��$'P��&&'�'��'��/� -

ciendo que el análisis sea semicuantitativo, como veremos más adelante.


1. No es sistemático, pueden pasarse por alto fallos y consecuencias. 2. No considera combinaciones de fallos coincidentes o en secuencia.


Idoneidad

1. Aplicable a distintas etapas de proyecto y a la operación de plantas existentes.2. Muy aplicable para el análisis de sistemas de control de procesos.

:��j��%��

El equipo deben formarlo de 1 a 3 personas, y es un proceso más lento que los ana-lizados anteriormente.

6.3.6. ANÁLISIS MEDIANTE ÁRBOL DE FALLOS (FTA)

Introducción

El análisis mediante árboles de fallos (fault tree analysis, FTA) es una herramienta muy utilizada en los análisis sobre la seguridad de sistemas o elementos en plan-tas químicas. Una de las principales ventajas del método es su sistematización, que permite determinar los diversos factores que contribuyen a los accidentes, si bien requiere un cierto grado de conocimiento tanto de la planta y del proceso, como del método en sí.

+��#��'��$'��'$��'��'P��'��&��tareas a realizar.

Descripción

+��4$��R��'��'��$'P��'��'��$��$'��$��K��P��top event), se llegan a determinar mediante un proceso inductivo los sucesos básicos o iniciadores, así como las diferentes formas secuenciales que ��'$��/��$��4��'��$��'&'�'��/�3��$��'�'��$��P��$��#�lugar.

La interrelación entre los diferentes sucesos y sus causas se establece de forma #��P��'�$��'�&��#��&��&��#'��/�3��'�'$��'�'��

+��4$��'$��$��'��&&'�'��3��$��'�'��$��P��-��/��'��&&'�'��'��&��'��'��$'P�-dos.

En la Tabla 6.3 se recogen los símbolos lógicos más empleados en el análisis FTA.


Tabla 6.3. Símbolos lógicos más usuales en FTA.


D�� '�$��P��K6�L7��Q��/��'��/�pero los más fáciles de intuir y de obtener de la experiencia o de un banco de datos. Ejemplos: explosión de un recipiente a presión (depósito, reactor, etc.), explosión e incendio en un horno, fallo de un gran compresor, etc. Con-viene listarlos todos antes de pasar a sucesos intermedios y básicos. Cada


SF será la cabecera de un árbol de fallos independiente. Posteriormente cabe la posibilidad de agrupar los árboles de fallos tomando como nuevos SF los accidentes fundamentales (emisión, incendio, explosión, etc.) para componer la probabilidad (cuando se haga análisis cuantitativo según veremos) de cada uno de dichos accidentes fundamentales.

2. Establecer y listar los sucesos intermedios (SI) y básicos (SB) mediante el camino inductivo y las preguntas:— ¿Por qué ocurre el SF?: sucesos intermedios y básicos; relaciones efecto-

causa.— ¿Son alternativos?: puertas OR.— ¿Son concurrentes?: puertas AND.

Conviene actuar en pasos cortos para no saltar sucesos intermedios y puertas, lo que afectaría negativamente a la calidad del árbol y de su análisis.

3. Dibujar el árbol de fallos. Utilizando los símbolos de la tabla 6.3. A efectos ��'��$��K��'�$��'��P��L��letras y los sucesos básicos con números. No conviene ahorrar el empleo de actividades intermedias: intercalarlas siempre entre puertas. Será interesante ��P�'��$4��'��'��'��'��)8��3�'��7��$'��'-co.

4. Se determinan los conjuntos mínimos de fallos (cmf), mediante el álgebra de boole o mediante el método matricial y el empleo de ordenadores que facilita la aplicación y cálculo del árbol.


1. Permite y prepara un análisis cuantitativo detallado posterior.2. La preparación y análisis de árboles de fallos hace que los analistas obtengan

un conocimiento muy profundo del proceso, así como de sus puntos fuertes y débiles en lo relativo a la seguridad.

3. Genera recomendaciones de mejora muy concretas. Facilita el establecimien-to de prioridades para proponer y ejecutar mejoras, permitiendo comparar alternativas.

4. Muy útil para el análisis complejo de un accidente posible, detectado nor-��$��$��4��$��$4��'��'��'��$'P��'��'��#��


1. Requiere mucho tiempo: esto puede aliviarse mediante el empleo de progra-mas de ordenador.

2. Pueden no detectarse fallos (SI o SB) que quedarían sin considerar.3. Pueden darse errores en la lógica del árbol: no considerar fallos intermedios,

relaciones-causa-efecto y/o puertas incorrectas, etc.4. Siendo una técnica binaria (considera posibilidades sí/no) no tiene en cuenta


la velocidad a que puedan producirse los acontecimientos, siendo tal veloci-dad determinante en que un evento sea peligroso o no.

Idoneidad

Al ser un sistema tan complejo y que analiza con tanto rigor el fallo, es especialmen-te útil para el análisis detallado de accidentes posibles.

:��j��%��

1. Necesidad del paquete completo de ingeniería básica y de detalle del sistema.2. Equipo analista multidisciplinar, incluido un especialista en la metodología

de análisis.3. Se hace de importancia capital el uso de herramientas informáticas.4. El tiempo dedicado por Suceso Final es importante, de forma que analizar to-

dos los posibles accidentes mediante esta técnica sería muy costoso en tiem-po y medios.

6.3.7. ANÁLISIS MEDIANTE ÁRBOL DE SUCESOS

Introducción

Los árboles de suceso (event tree, ET) evalúan las posibles consecuencias asociadas al fallo en un equipo o alteración en el proceso. Así como los árboles de fallo utiliza-&��$��'��K��$'��'��$��P��/��'��$'#��'&��L/�los árboles de suceso utilizan un análisis que va hacia adelante (a partir de un suceso básico iniciador (SB), determinan sus posibles consecuencias).

Los árboles de sucesos establecen los posibles desarrollos de accidente que segui-��PQ��/��3��#��$'�'�� '��$'P��'&��consecuencias que resultan tras un fallo. Asimismo, su utilización permitirá conocer 3�4��'��$�� '��/��)��$�$��P��/��#��$'��T�'��'�'�'��/��3��'3��'��'��$'P��'��escenarios.


1. ��$'P��'��&��'��'�'�'��K6<L��+�$��'��$��los elementos del equipo (de proceso y de control) se contesta a las preguntas ¿Qué puede fallar de este elemento y de cada una de sus partes? (Ejemplos: en un compresor: válvula de seguridad, lubricación, sellos, accionamiento, rodete, etc.). Cada suceso básico iniciador relevante será la cabeza o suceso capital de un árbol de sucesos separado.

2. Aplicación de la disyuntiva (sí/no o fracaso/éxito) al suceso básico capital del árbol.


3. Deducción del suceso intermedio, sobre cada una de las alternativas de la disyuntiva, cuando haya lugar (ejemplos: ignición, rotura de eje, etc.).

4. ��'��'��$��'�'��$��K�L�3��'�]�'��&��$��-nativa de las disyuntivas establecidas en 2 (ejemplos: alarma, intervención humana o automática derivada de aquélla, alivio mediante dispositivo de se-guridad, parada de emergencia, etc.).

5. Aplicación de la disyuntiva (sí/no o fracaso/éxito) a cada suceso intermedio y/o factor condicionante dispuesto en secuencia lógica de ocurrencia. [Ejem-plo: ignición (sí/no)-detección (sí/no)-alarma (sí/no)-actuación DCI (sí/no)-extinción (sí/no).]

6. (��$�'��#��P��7��&��'��K6<L/��'�$��'��K6�L/��-tores condicionantes (FC) formando el árbol de sucesos.

7. +O��'��$'��$��'�)��$'��P�'��'� )��6��y más FC que deban tenerse en cuenta en el análisis. Si aparecen: aplicar 3, 4, 5 y 6 como sea oportuno. Si no aparecen: las disyuntivas últimas determinan ��'��P��'�'��

8. Establecimiento y análisis de las consecuencias. Una consecuencia puede ser: “sin consecuencia”.

9. Determinación y registro escrito de las recomendaciones derivadas del aná-lisis. Las mejoras se traducirán en nuevos FC, o en la eliminación de FC an-teriores, con los que conviene repetir el análisis para observar la sensibilidad (resultado, sobre las consecuencias) del árbol a las medidas recomendadas.


1. Permite y prepara un análisis cuantitativo ulterior.2. Los analistas ganan conocimiento detallado del equipo y del proceso.3. Genera recomendaciones de mejora muy concretas (y de alcance medido si

se hace el análisis cuantitativo).4. El árbol es más sencillo de establecer y analizar que los de fallos.5. Muy útil para determinar las diferentes hipótesis de consecuencias a las que

puede dar lugar un accidente determinado.


1. Requiere mucho tiempo: esto puede aliviarse mediante el empleo de progra-mas de ordenador (sobre todo cuando el análisis sea cuantitativo).

2. Puede no detectar fallos (SB, SI, FC) que quedarían sin considerarse.3. Puede haber errores en la lógica del árbol.

Idoneidad

Sistemas complejos de procesos incluyendo muchos aparatos, instrumentos, equipo para control y alarma, operadores humanos, etc.


:��j��%��

Al igual que para el caso de los análisis mediante árboles de fallos, tanto los medios materiales como humanos necesarios son abundantes, lo que hace que sean técnicas aplicadas a sucesos concretos.

6.3.8. ESTUDIOS DE RIESGOS Y OPERABILIDAD (HAZOP)

Introducción

Los estudios de riesgo y operabilidad (HAZard and operability studies, HAZOP) ��$'$�)��$4��'��$��$��'��$'P��'#��-�'��$��R�$��'��$'P��'&��'�'��$��las condiciones de diseño que pueden darse en una planta química.

��3��#'��$4��'�� '��$'P��'��'��#��desconocidos, en los que el diseño o la tecnología empleada era nueva, su uso se ha extendido a la mayoría de las fases de desarrollo de una instalación.

El claro desarrollo de su metodología y su versatilidad a la hora de aplicarse a cualquier tipo de instalación industrial, fundamentalmente en el campo de la indus-tria química y petroquímica, ha hecho que en los últimos tiempos sea, sin duda, la técnica de análisis de riesgos en procesos más utilizada.

El método HAZOP (HAZard and operability study), fue presentado por primera vez por ingenieros de la ICI Chemicals en el Reino Unido a mediados de los años 70 y comprende la investigación de posibles desviaciones frente a las condiciones de di-seño para las líneas y elementos pertenecientes a una determinada unidad de proceso.

Descripción

El equipo sigue, dentro de un proceso de brainstorming, una estructura analítica por medio de un conjunto de palabras guía para examinar desviaciones de las condicio-nes normales de proceso en varios puntos clave (en adelante NODOS) a lo largo del proceso. Estas palabras clave son aplicadas a los parámetros más relevantes del proceso (por ejemplo, caudal, temperatura, presión, composición) con el objeto de '��$'P��)��'��'�'��$��$��$��'�$��'��$�/��'��$'P��'��'��deseadas (o inaceptables) dan como resultado recomendaciones para mejoras del ��+�$��'��'��'P��'��'��J�/��'�'��'�'��$��/��'P��'��$�'��'$/��$��'��'�'��/��$��

Las sesiones HAZOP se recogen en tablas HAZOP, en las que se anotan los dis-tintos NODOS analizados. A continuación se indican los términos más usados en la metodología del análisis HAZOP:

�� $��P��K$��3�'��L��que se evalúan posibles desviaciones del proceso.


�� : descripción de cómo se espera que se comporte el proceso en un determinado nodo. Suele describirse cualitativamente como una actividad (por ejemplo alimentación, reacción, sedimentación) y/o cuantitativamente por medio de parámetros del proceso, como temperatura, caudal, presión, composición, etc.

�� forma en que las condiciones del proceso se alejan de su inten-ción.

�� el parámetro relevante para la(s) condición(es) del proceso; por ejemplo, presión, temperatura, composición, etc.

�� palabra que representa la desviación de la intención. Las más usuales son: no, más alta, más baja, diferente, parte de, e inverso.

Además, palabras clave como demasiado pronto, demasiado tarde, en lugar de, etc., también se usan; las últimas principalmente para procesos de tipo discontinuo.

Las palabras guía se aplican de manera independiente a los distintos paráme-$��/��&Q�$��'��$'P��'�'��'��/��'&��/��-pecto de la intención.

�� la(s) razón(es) por las que podría ocurrir una desviación. Pueden '��$'P��'��'��'�'��

�� los resultados de la desviación en caso de que ocurra. Las consecuencias pueden abarcar tanto riesgos asociados al proceso, como pro-blemas de operatividad, tal como parada de la planta o pérdida de calidad del producto. Pueden asociarse varias consecuencias para una misma causa y, a su vez, una sola consecuencia puede ser originada por varias causas.

�� instrumentos o protecciones del sistema que pueden ayudar a reducir la frecuencia de ocurrencia de la desviación o mitigar sus consecuen-cias. Es posible distinguir, en principio, cinco tipos de protecciones:

1. Medios destinados a detectar la desviación. Incluyen, entre otros, la instru-mentación de alarma y detección o la supervisión por parte de operadores.

2. Instalaciones que compensan la desviación; por ejemplo, sistemas auto-máticos de control que reducen la alimentación a un depósito en caso de sobrellenado (aumento de nivel). Normalmente son una parte integrada dentro del control del proceso.

3. Instalaciones que previenen que ocurra una desviación. Un ejemplo para ello es el establecimiento de un blanketing de gas inerte para el almace-��'��$��$��'��'�]�&��

4. Instalaciones que previenen un agravamiento de la situación como con-secuencia de la desviación, tal como el disparo de una actividad. Estas instalaciones están a menudo enclavadas con varias unidades del proce-so, y controladas por computadores lógicos.

5. Instalaciones que alivian al proceso de la desviación peligrosa. Com-prenden, por ejemplo: válvulas de seguridad (PSV) y sistemas de venteo.


�� $'�'��'��$'P��$��'�'��%�»WG��#�'�'��$�� )��$��'P��'��Q�� $4��'��3��afecten a los sistemas de control, de señalización o de emergencia, a las condi-ciones de diseño de líneas y equipos, o a los procedimientos y documentación ��'$/��'��'��'��$��'��P��$��

�� cualquier aclaración a hacer a las recomendaciones o a aspec-tos surgidos durante las sesiones HAZOP.


El procedimiento consiste en un estudio sistemático y estructurado llevado a cabo por un equipo multidisciplinar de profesionales liderados por un coordinador, de ��'��$��'��3�'��3�'��)��/��'�/��$��P��proceso o NODOS, donde se van a evaluar las correspondientes desviaciones.

Esto se lleva a cabo mediante la aplicación de una lista de palabras-guía, cuyo �'#�'P��R&��A�@/��Q��$��$��analizar, entre los que pueden encontrarse �ujo, presión, temperatura, nivel, concen-tración, ratio de reacción, viscosidad, pH, agitación, fase o tiempo de residencia.

Tabla 6.4. Signi�cado de las palabras guía.

PALABRAS GUÍA SIGNIFICADO

NO NEGACIÓN O AUSENCIA DE LAS ESPECIFICACIONES DE DISEÑO

MÁSMENOS

AUMENTO O DISMINUCIÓN CUANTITATIVASe re�ere a variables de proceso como caudal, presión, temperatu-ra, o a ac�vidades (calentar, reaccionar, etc.).

MÁS DEoASÍ COMO

AUMENTO CUALITATIVOSi bien se realiza la función deseada, junto a ella �ene lugar una ac�vidad adicional.

PARTE DE DISMINUCIÓN CUALITATIVASe realiza solamente una parte de la función deseada.

INVERSOOPOSICIÓN A LA FUNCION DESEADAU�lizable preferentemente para ac�vidades (�ujo de retroceso, inversión de reacción química, etc.).

DE OTRA FORMA SUSTITUCIÓN COMPLETA DE LA FUNCIÓN DESEADA

De la combinación de las palabras guía con cada uno de los parámetros se ob-tienen las desviaciones frente al comportamiento normal que el método pretende evidenciar.


Es necesario precisar que el estudio debe comprender, tal y como se indicó ante-riormente, todos los estados o modos de funcionamiento de la Unidad, como opera-ción normal, arranque y parada, por lo que los NODOS deben elegirse de forma que con ellos queden englobados todos los modos de operación o intención.

Establecidas las desviaciones objeto de consideración, se investigan mediante un proceso inductivo las causas que pueden provocar esa desviación en el NODO en ese modo de operación o intención.

Para esa causa, se investigan deductivamente las consecuencias posibles de la desviación, así como las salvaguardias que el proceso dispone para evitar la causa o mitigar las consecuencias. En ese caso, llegaremos a una de las tres posibilidades siguientes:

^� Las consecuencias no entrañan riesgo: descartar la consideración de esta des-viación en concreto.

^� Las consecuencias entrañan riesgos menores o medianos: consideración de esta desviación en la etapa siguiente.

^� Las consecuencias entrañan riesgos mayores: consideración de esta desvia-ción en la etapa siguiente.

En el caso de que la consecuencia no entrañe ningún riesgo, se obviará más pér-dida de tiempo, o bien se anotará que no tiene consecuencias.

Ahora bien, para aquellas consecuencias, que aun disponiendo de salvaguardias impliquen un riesgo, será necesario adoptar acciones correctoras o recomendaciones que de alguna forma palien la consecuencia o la causa.

Las recomendaciones deben ser consensuadas entre el grupo de trabajo, y le será asignada por el coordinador de estudio a un miembro del equipo de trabajo, que que-dará encargado de contestarla e implantarla.

Finalmente, desviaciones, causas, consecuencias, salvaguardias y recomenda-ciones deben quedar por escrito en un formato como el ilustrado en la Figura 6.4.


Figura 6.4. Modelo de tabla HAZOP.

Esta secuencia operativa deberá repetirse con todas las palabras guía, parámetros y desviaciones, para cada NODO/�)�P��$��$��NODOS de la Unidad a analizar.


Una secuencia lógica de trabajo puede verse en la Figura 6.5.

Figura 6.5. Secuencia opera�va de un Estudio Hazop.

6.4. METODOLOGÍAS SEMICUANTITATIVAS

Se trata de técnicas de análisis críticos que emplean índices globales del potencial de riesgo estimados a partir de las estadísticas. Estas pueden ser de disposición gene-ral, o procedentes de la experiencia de las compañías en el diseño y la operación de plantas semejantes a las que se trata de enjuiciar.

En algún caso (método FMECA) se mezclan la estimación completamente cuan-titativa de la probabilidad con la semicuantitativa (índices globales) de la severidad.


Estos métodos suelen conducir a conclusiones comparativas:

^� Entre distintas plantas existentes.^� +�$��'$��'��/��'��$/��$��)��4��'P��'��

ampliaciones.^� +�$��'��$��'�'#'��'��P��^� Entre alternativas de diseño dentro de un mismo proceso.^� Entre cualquiera de los anteriores y unos valores, también procedentes de la

experiencia, que se consideran aceptables.

6.4.1. ANÁLISIS DE RIESGOS CON EVALUACIÓN DEL RIESGO INTRÍNSECO

Introducción

El objetivo fundamental de esta técnica es facilitar una auditoría sistemática y semi-cuantitativa de instalaciones químicas existentes, solicitando, si fuese preciso, análi-sis parciales más profundos de algunas secciones o determinar qué secciones pueden ser objeto de mejoras.

Descripción

Existen varios métodos de esta naturaleza. Participan del análisis preliminar de ries-#��)�� '�'��'�$�� '�$�� 3�� '��P�'��$��para la elaboración semicuantitativa de un índice de riesgo intrínseco que permite hacer comparaciones relativas entre diferentes plantas o entre diferentes unidades de una planta.

Hay un método, originado por Gretener, que se emplea para evaluar el riesgo de '��'��'P�'��/��'�'��$'$�$��-�'��6�#��'��%'#'��Trabajo ha desarrollado y publicado una metodología de este tipo denominada Índi-ces de procesos químicos: guía de autoevaluación.

Dicha guía incluye un cuestionario para información o comprobación de nume-rosos aspectos relacionados con la seguridad de las instalaciones, como peligrosidad de las sustancias químicas, peligrosidad del proceso, y otros muchos.

Posteriormente, se realiza una valoración semicuantitativa basada en una puntua-ción o índice individual de riesgo, y combinando todos ellos tal y como indica la guía se llega a obtener los índices globales de riesgo (IGR) para cada capítulo analizado.


1. Cumplimentar los cuestionarios para evaluación (Anexo I de la Guía): mar-car cuadrados.

2. Asignación de los índices individuales (IIR) dados (Anexo II) para los cua-drados marcados.

3. Evaluación de los índices globales (IGR), utilizando las ecuaciones dadas (Anexo II) para cada capítulo.


4. Enjuiciamiento por capítulos según criterio establecido.5. Revisión de los capítulos con IGR altos para detectar las contribuciones más

�'#�'P�$'��6. *�P�'�'��Q��


1. Simple, barato y controlado.2. Directo a causas importantes.3. Buen adiestramiento de responsables de seguridad e higiene en las plantas.4. Proporcionan demostración del cumplimiento de las regulaciones de refe-

rencia.


1. No entra en las entrañas de los procesos.2. Alcance limitado a lo incluido en las comprobaciones.

Idoneidad

Principalmente para el enjuiciamiento, auditoría y mejora en plantas existentes.

6.4.2. ANÁLISIS DE LOS MODOS DE FALLO, EFECTOS Y CONSECUENCIAS (FMCEA)

Los análisis de modos de fallo, efectos y criticidad (failure mode, effects and criticity analysis) se harán en los mismos principios que el análisis ya visto FMEA, desarro-llándose de forma similar.

La diferencia fundamental entre ambos métodos es el tratamiento semicuantita-tivo que se realiza en el FMECA, ya que a cada modo de fallo se le asigna un nivel de criticidad.

Los niveles de criticidad se pueden establecer mediante criterios subjetivos del equipo de trabajo, como el establecido en la Tabla 6.5.

Tabla 6.5. Niveles de cri�cidad subje�vos.

EFECTO NIVEL DE CRITICIDAD

- Ninguno 1

- Leves perturbaciones 2

- Importantes perturbaciones 3

- Peligro inminente 4


Otra posibilidad es establecer el índice de criticidad en función de la severidad y la probabilidad de ocurrencia del fallo, mediante la aplicación de una matriz como la mostrada en la Tabla 6.6:

Tabla 6.6. Índice de cri�cidad.

Severidad

Probabilidad

1 2 3 4 5

1 1 2 3 4 5

2 2 4 6 7 8

3 3 6 7 8 9

4 4 7 8 9 10

5 5 8 9 10 10Donde:

^� 6��'��7D�� $�$��P��K��'��$��#��L�2. Alta (daño nuevo).3. Media (daño moderado).4. Bajo (daño ligero).5. Sin daño.

^� G��&&'�'��71. Alta.2. Moderada.3. Media.4. Baja.5. Muy baja.

Evidentemente, la aplicación de estos modos de evaluación del índice de critici-dad pueden combinarse con datos probabilísticos de fallos de dichos componentes, de acuerdo con la bibliografía y los datos existentes, así como el daño causado, ex-presado este, por ejemplo, en pérdidas monetarias.

Los puntos fuertes, débiles y la idoneidad del FMECA es similar a la de los FMEA.

6.4.3. ÍNDICES DE RIESGO

*��$�� $4��'�� '��$'P��'�� '��#��/� ��$�� #�� '��$��'�aquéllas basadas en los denominados índices de riesgo. Estos, mediante la utiliza-�'��$��'��P�'��$��/��'��$��$��$'��'-grosidad de las sustancias involucradas, las condiciones de operación y las medidas de seguridad instaladas, determinan qué equipos o unidades presentan unos mayores niveles de riesgo.


Las técnicas más representativas se corresponden con las siguientes:

^� Z��'��*�9��'��'��)��O��'��^� Índice Mond.^� Método del grado de peligrosidad, o método Fine.^� Método de subselección.

El propósito es establecer un ranking relativo del riesgo sobre los equipos de una instalación industrial, con objeto de centrar en ellos las medidas de protección.

6��$'�'��'�� '��J�� '��$'P�� &��+��operación, dan información sobre qué equipos dan lugar a mayores niveles de riesgo.

��'��*�9�)��$�� )��$��

6.5. METODOLOGÍAS CUANTITATIVAS

Son técnicas de análisis críticos que incluyen estructuras y cálculos para establecer la probabilidad de sucesos complejos (siniestros) a partir de los valores individuales de la probabilidad de fallo que corresponde a los elementos (equipo y humanos) implicados en los procesos (industriales en nuestro caso).

Las herramientas fundamentales de estos métodos son:

^� La lógica matemática: estructuras lógicas y relaciones entre sus elementos.^� +�$��$'��'��'��)�P&'�'��3�'��^� Cálculos de probabilidades de interacciones entre sucesos.

$��%��\��j��!�

La gran potencia de los métodos cuantitativos, así como su utilidad para conectar el origen y destino del accidente, se ve ensombrecida cuando hay que alimentar los modelos con datos relativos a las probabilidades de fallos. Por una parte hay diver-sidad de elementos y equipos con características variadas. Por otra parte hay una gran diversidad en los tipos de averías. Tales diversidades complican el tratamiento probabilístico de los datos.

W$��'P��$��$�'&/��$��'��$�'�3��'�/��3�� )�mucha cantidad de datos y en que la calidad de los mismos puede verse afectada por diversidad de criterios a la hora de recogerlos e interpretarlos. No obstante, hay datos procedentes de otros sectores (nuclear, electrónico, plataformas marinas, etc.) que cabe aprovechar en nuestro campo de interés.

En la interpretación de los datos probabilísticos, siempre surgen las mismas pre-guntas:

^� �+��'��3�'��'#��P&��3��&&'��$'��^� ��Q��P&'�'��$��$��'�'��$��


^� �+�$��'�'��$��P&'�'��$��$��no desarrollados?

Evidentemente, todo ello no hace más que ahondar en un mismo hecho: Proba-blemente los datos estadísticos existentes no sean totalmente aplicables al caso suyo, ��)�P&��3��'��

k��>��%��<�<�>��;��

La teoría probabilística trata de manera diferente a aquellos elementos que funcionan de una manera continua frente a los que lo hacen de forma esporádica.

A) Elementos o sistemas que funcionan de manera continuada

Para ellos, puede considerarse que todo componente, tras un período de tiempo ��$��'��/��/��P�'4��$��'#�'��$��$��7

^� Función probabilidad de fallo, P(t): probabilidad de que un componente que funciona satisfactoriamente en t=0 falle en el intervalo de tiempo de 0 a t.

^� ��'��P&'�'��/�(K$L7��$�'��GK$L/��'�/��&&'�'-dad de que el sistema no falle en el intervalo de tiempo de 0 a t.

^�R(t) = 1 - P(t)

^� Función densidad de fallos: f(t)

^� Ratio de fallo, �(t): probabilidad de que un elemento falle en el instante t, dado que ha funcionado sin fallos hasta ese momento (también llamada tasa media de fallo en un determinado período). La distribución de �(t) frente al tiempo tiene una forma típica (Bath-tub curve), de forma que tanto para componentes electrónicos mecánicos como informáticos tienen rangos im-portantes de � = cte.

Así, en la zona de �(t) = cte = �, se tiene:- Fiabilidad R(t) = e-�t (Distribución de Poisson).- Probabilidad de fallo: P(t) = 1 - e-�t.

Densidad de fallo: f(t) = �e-�t. Además, si �t < 0,001, entonces:

^� GK$L�� t.^� G½&K$L� �GK$L�½�G&K$L�


B) Elementos o sistemas que funcionan de manera esporádica

6��P��'�$��$��&��&��/��#��'��/��-clavamientos, etc. El concepto básico consiste en la probabilidad de fallo por deman-da, Qd: probabilidad de que falle en el momento en el que se solicita la actuación del elemento.

/j��&��<��;��

�� '��$'P��'��&��/� &��3��'��'�Estos se componen únicamente de sucesos básicos, o si por el contrario disponen de sucesos intermedios, a los que se asocian los modos de fallo característicos del árbol:

A) Árboles que no contienen sucesos intermedios. Para ellos, se aplican los siguien-tes criterios:

- Asociaciones en serie (tipo OR)

P = 1 - (1 - P1) (1 - P2) R = R1 � R2 (<R1, R2)

- Asociaciones en paralelo (tipo AND)

P = P1 � P2 (<P1, P2) R = 1 - (1 - R1) (1 - R2)

B) Árboles de fallos para los que se hayan de�nido sucesos intermedios. Para Estos, la probabilidad de fallo del suceso �nal se determina en función de las probabilida-des asociadas a los modos de fallo de�nidos, considerando para dichos modos de fallo las reglas anteriores sobre cuanti�cación de árboles de fallo.

Una vez enunciadas las herramientas, avancemos qué resultados pueden obtener-se. Cualitativamente podremos: esquematizar cómo se desarrolla un suceso; iden-$'P�� $�� 4&'�� '�$��¨� ��$�� '�'�� '��J�/� �$�� '�$�� '��'P��'��/��/��$��'��'��$��'��/�� '��$'��/��$��$'P��'��/��$��$�/��'$��determinar la probabilidad de fallo global, el número de veces que puede esperarse que ocurra el suceso en un determinado período, etc.

6.5.1. ANÁLISIS CUANTITATIVO MEDIANTE ÁRBOL DE FALLOS

Se trata evidentemente de una metodología similar en cuanto a su desarrollo a FTA, ya analizada con los métodos cualitativos.

Mediante la aplicación cuantitativa de los árboles de fallo, y una vez localiza-das las probabilidades de ocurrencia de los sucesos básicos iniciadores, se consigue ��$'P��$4��'��&&'��$'��'��'��suceso �nal.


De la misma forma, el método permite el análisis probabilístico de los conjuntos mínimos de fallos (CMF), y basándose en ello determinar cuáles son críticos para la instalación.

6.5.2. ANÁLISIS CUANTITATIVO MEDIANTE ÁRBOL DE SUCESOS

También en este caso se trata de la misma metodología ya analizada en los métodos cualitativos, pero a la que se incorpora el tratamiento probabilístico a través de la aplicación de las probabilidades de ocurrencia de la disyuntiva de los sucesos bási-cos iniciadores, los sucesos intermedios y los factores condicionantes.

6.5.3. ANÁLISIS CUANTITATIVO DE RIESGOS EN EL ENTORNO

Es evidente que no es lo mismo situar una planta química con riesgos en el centro de una ciudad que en un lugar aislado del campo, ni es lo mismo que el núcleo poblado más cercano a la industria esté a 100 m o a 500 m.

+��4$��'��$'P��'��)��'��'��#��3�� '�$��se ha desarrollado una visión que va desde el núcleo del proceso y del equipo hacia fuera. Ahora es conveniente contemplar los riesgos desde fuera de la interfase planta/entorno.

El análisis cuantitativo de riesgos en el entorno se realiza conjugando, para cada suceso o accidente posible, la probabilidad de ocurrencia del mismo obtenida a tra-vés de sucesos cuantitativos, con la letalidad de la consecuencia del accidente.

Con todo ello se elaboran las líneas de isorriesgo, expresadas en probabilidades de muertes/año.

El resultado de tales cálculos determinará:

a) La aceptabilidad o inaceptabilidad de los proyectos para instalaciones nue-��/��'P��)8��'��

b) Las medidas de autoprotección, protección e intervención a prever en los planes de emergencia exterior (PEE).

6.6. CRITERIOS PARA LA SELECCIÓN DE LOS MÉTODOS DE IDENTIFICACIÓN DE LOS RIESGOS

Los principales criterios de selección son los siguientes:

1. Fase de desarrollo de la planta o procesoAunque la fase de diseño es esencial en la evaluación de riesgos, también

merecen atención las fases de arranque, operación y parada. En muchos ca-��/� ��'��$�� '��$'P�� '��#�� '��$�$�� $��$��'&��/��'$��$��'��J��)��'P��'��'� ��-


luación previa, le seguirá un análisis detallado de la instalación tan pronto como se conozcan las condiciones principales y el diseño de las líneas del proceso.

2. Niveles potenciales de consecuenciasLa evaluación de la situación más desfavorable, dará lugar a los niveles

��'��#�/�3��Q��$'P��'��$��'��mayor o menor profundidad.

3. Complejidad de la planta o procesoEl grado de complejidad de la planta o proceso podrá condicionar la elec-

ción de la técnica seleccionada. Las plantas que desarrollen un proceso de alta complejidad, y precisen, por tanto, de un complicado sistema de seguri-dad, requerirán estudios en profundidad. Dichos estudios, en cualquier caso, serán rentables considerando el costo asociado a dichas medidas de seguri-dad, al centrarlas en los puntos con mayor nivel de riesgo.

4. Experiencia del personal: grado de conocimiento de las técnicasLa experiencia del personal en el uso de una determinada técnica, resultará

esencial para un buen estudio. En general, será más apropiado emplear un método sencillo bien conocido, que tratar de utilizar un método más comple-jo del que no se tenga experiencia.

5. Información y datos requeridos o disponiblesAlgunas de las técnicas requieren un mayor volumen de datos, los cuales

no siempre estarán disponibles. Si un sistema está escasamente documenta-do, o solo está diseñado en su fase preliminar, resultará poco efectivo, y de difícil realización, el intentar aplicar una detallada evaluación del riesgo.

6. Requerimientos de tiempo y costoAunque el tiempo y el costo no deben ser los factores más determinantes

��'��'��$'P��'��'��#��/��&��$��#T��'��$��'P��'��'�$��'��la planta para reducir el riesgo.

A este respecto, la mayoría de los estudios resultarán rentables si se reali-zan o coordinan por analistas con experiencia.

��$'��'��$��R&��A�>/��'��$��$4��'��'��$'P��'��)�evaluación, así como los atributos en base a los que se deben seleccionar.

Los atributos de selección serán:

^� ��$��6��'�$'�#�'��$��7- D: Diseño- C: Construcción- A: Arranque- O: Operación- P: Parada


:� �7��'P��'��^� G��'$��'$��7

- T: Fallos técnicos- O: Fallos en operación- H: Fallos humanos- C: Grado de consecuencias

^� R'��)��$��$��7- Ql: Cualitativos- Qn: Cuantitativos- Rr: Herramienta para reducir riesgos

^� ��Q'��'�$��7- B: Baja- M: Mediana- A: Alta

^� (�3��'�'��$��7- P: Especialistas de planta- S: Especialistas en seguridad

^� (�3��'�'��$��$��7- G: Globales- I: Intermedios- D: Detallados

^� (�3��'�'��$��$'��)��$�7- B: Bajos- M: Moderados- A: Altos


Tabl

a 6.

7. S

elec

ción

de

las t

écni

cas d

e id

en��

caci

ón d

e rie

sgos

.


6.7. EJERCICIO PRÁCTICO DE APLICACIÓN. ESTUDIO DE RIESGOS Y OPERABILIDAD (HAZOP)

Figura 6.6. Caso prác�co Estudio HAZOP de un botellón de proceso.


PARA NO OLVIDAR

� Existe un gran número de metodologías para la iden��cación y evaluación de riesgos en instalaciones de proceso. La técnica seleccionada depende-rá de los propósitos perseguidos con el análisis, el grado de conocimiento que se tenga de las instalaciones, así como de los datos y recursos dispo-nibles.

� Para obtener una adecuada iden��cación de peligros y evaluación de riesgos mediante cualquiera de las metodologías presentadas en el pre-sente capítulo, es fundamental el juicio de expertos en Seguridad Indus-trial y el apoyo de técnicos familiarizados con las operaciones y plantas involucradas.

� La metodología HAZOP es a día de hoy la más comúnmente aceptada y está recomendada por las norma�vas sobre seguridad funcional. Se pre-senta como una de las técnicas más rigurosas y estructurada para la iden-��cación de los peligros asociados a una planta de proceso. La aplicación principal de esta técnica se encuentra en la iden��cación de riesgos en las primeras etapas del diseño, al ser el mejor momento para introducir cambios o modi�caciones, dado que los resultados son recomendaciones de mejora que modi�carán el diseño �nal de los equipos o sistemas.

CONSEJOS PRÁCTICOS

A la hora de aplicar una metodología para la iden��cación y evaluación de riesgos en instalaciones de proceso, es muy importante considerar los tres aspec-tos básicos que se indican a con�nuación:

� Seleccionar la metodología más adecuada a aplicar según las caracterís-�cas de nuestras instalaciones y los obje�vos que se persigan con el es-tudio.

� Disponer de una documentación de proyecto (diagramas de tuberías e Instrumentos o P&ID, matriz causa&efecto o descripción de enclavamien-tos, hojas de datos de equipos, etc.) actualizada y acorde a la realidad de las instalaciones.

� Disponer de un equipo de trabajo mul�disciplinar con alta experiencia en plantas similares, en materia de seguridad, procesos e ingeniería.

7METODOLOGÍA PARA LA DETERMINACIÓN DEL ÍNDICE SIL


SUMARIO: +��j��>��/j��!��>��*��j��!��-��>��*��j��!��}��H%��/��*��la Metodología para Cálculo del Índice SIL. Para no olvidar. Consejos �rác�cos.

7.1. INTRODUCCIÓN

De acuerdo a lo indicado en el Capítulo 4 del presente libro, una de las etapas a cubrir en el ciclo de vida de un sistema instrumentado de seguridad consiste en el cálculo del índice SIL (safety integrity level) para todas las funciones instrumentadas de seguridad (SIF) que integran el SIS de la instalación.

De esta forma, se debe calcular este índice de seguridad, no solo para las SIF de-P�'��'�#��'��&��'��)��$��/��'��$�&'4��3��'�$��nuevas como consecuencia del análisis de riesgos (típicamente un estudio HAZOP) desarrollado para el proyecto en cuestión. El desarrollo de un estudio HAZOP se debe elaborar, dentro del ciclo de vida del SIS, de forma previa al cálculo del índice SIL.

El cálculo del índice SIL se realiza aplicando una metodología de análisis de riesgos basado en los resultados del estudio HAZOP y siempre de acuerdo a las me-todologías que se recogen en la normativa sobre seguridad funcional.

En el presente capítulo se describirán las principales metodologías existentes para el desarrollo de análisis SIL, las cuales se pueden dividir en:

^� ��$��#��'$$'��K��P��'��#�/��#T��+:ADHDD�G�$��X��-xo E y Matriz de riesgo, según Norma ANSI-ISA-S84 e IEC-61511 Parte 3 Anexo C).

^� ��$��#�� '��'$$'�� K��P�� '��#�� '&��/� ��#T�� +:61511 Parte 3 Anexo D).

^� Metodologías semicuantitativas (Análisis de las capas de protección, según IEC-61511 Parte 3 Anexo F).

Aunque las normativas sobre seguridad funcional recogen varios tipos de meto-dologías para el cálculo del índice SIL, son las propias normativas las que indican


que debe ser a nivel de cada compañía donde se determine la metodología a aplicar así como los criterios para la selección de los distintos parámetros.

7.2. METODOLOGÍAS CUALITATIVAS

Se tratan de técnicas de análisis crítico que no recurren al análisis numérico. Su ob-Q�$'��'��'��'��$'P��7

^� Riesgos.^� Efectos: incidentes y accidentes cuando se materializan los riesgos.^� Causas: orígenes o fuentes de los riesgos.

Dado que los análisis cualitativos sirven, muchas veces, como base para otros semicuantitativos/semicualitativos o cuantitativos, es importante la calidad de los primeros.

A continuación describiremos dos de los métodos cualitativos más frecuentemen-te utilizados:

7.2.1. GRÁFICO DE RIESGO

��'��'��$��$��#��#��P��3��#��-��-��+:ADHDD�G�$��X��O��+�)�3��$��'#��>�D��+��'� �P#��O��Z��'��6��$'��K3��'P��\D�a AK8).

Figura 7.1. Índice SIL. Grá�co de riesgo calibrado según IEC 61511, Parte 3 Anexo E.

147Metodologías para la determinación del Índice SIL

Asimismo, en la Tabla 7.1 se detalla la relación existente entre el Índice SIL de acuerdo a dicha normativa, y el correspondiente según las normativas IEC-61508/61511 que consideran el índice de 1 a 4.

Tabla 7.1. Relación índice SIL norma�va alemana y estándares IEC-61508/61511.

SIL NORMAS IEC-61508/61511 SIL NORMATIVA ALEMANAAK1

SIL 1 AK2/AK3SIL 2 AK4SIL 3 AK5/AK6SIL 4 AK7

AK8

+��'��6��$��'��$'��'� ��#��P��/��'$-tiva los siguientes cuatro parámetros:

- Consecuencias (C)^� D7�*J��'��^� B7�*J��'��8��$��^� X7��$��'��^� @7��$��

- Frecuencia o tiempo de exposición (F)^� �D7�(��O��$��'��#��^� �B7��$��$��'��#��

- Posibilidad de evitar el evento (P)^� GD7�G��'&��$��'��'��$��'��^� GB7��'�'��'&��

- Probabilidad de ocurrencia del evento (W)^� ¾D7�G��&&��^� ¾B7�G��&&��^� ¾X7��)��&&��

7.2.2. MATRICES DE RIESGO

La aplicación de esta metodología consiste en la valoración cualitativa de la proba-bilidad de ocurrencia de un accidente y de la severidad de sus consecuencias, para obtener mediante el uso de una matriz de riesgo el índice SIL asociado.

Para el uso de esta metodología, podemos emplear las matrices de riesgo que se recogen en la Norma ANSI-ISA-S84, véase Figura 7.2, o en el estándar IEC-61511 Parte 3 Anexo C, véase Figura 7.3. Para ambos casos, la matriz de riesgos se trata de una matriz tridimensional que adicionalmente a la valoración de la probabilidad de ocurrencia y la severidad de las consecuencias, como tercer eje, considera:


^� La efectividad de los sistemas de protección. Norma ANSI-ISA-S84.^� -T�� $��'�� '��)��6�6�3�� 'P��

estándar IEC-61511.El estándar IEC-61511 Parte 3 recoge unos criterios para la estimación

cualitativa de la probabilidad de ocurrencia y severidad de las consecuencias que se detallan a continuación:

Tabla 7.2. Frecuencia de la probabilidad de eventos peligrosos (sin considerar las PL).

PROBABILIDADTIPO DE EVENTOSCLASIFICACIÓN

CUALITATIVAVALOR

NUMÉRICO

BAJA F < 10-4 /año

Un fallo o serie de fallos con una probabilidad muy baja de que se produzcan dentro del �empo de vida esperado de la planta.

EjemplosZ 1. Tres o más fallos simultáneos de instrumentos

o humanos.2. Fallo espontáneo de depósitos o recipientes

de proceso.

MEDIA 10-4 < F < 10-2 /año

Un fallo o serie de fallos con una probabilidad baja de que se produzcan dentro del �empo de vida es-perado de la planta.

EjemplosZ1. Dos o más fallos simultáneos de instrumentos

o humanos.2. Combinación de fallos de instrumentos y erro-

res de operadores.3. Fallos únicos de pequeñas líneas o accesorios

de proceso.

ALTA 10-2/año < F

Un fallo que cabe razonablemente esperar que se produzca dentro del �empo de vida esperado de la planta.

EjemplosZ 1. Fugas de proceso.2. Fallos únicos de instrumentos o de válvulas.3. Errores humanos que pueden dar lugar a esca-

pes de productos.


Tabla 7.3. Criterios para clasi�car la gravedad del impacto de los eventos peligrosos.

CLASIFICACIÓN DE LA GRAVEDAD IMPACTO

Muy grave Daños de equipos a gran escala. Parada de un proceso du-rante largo �empo. Consecuencia catastró�ca para el perso-nal y el ambiente.

Grave Daños de equipos. Parada corta de un proceso. Daños gra-ves para el personal y el ambiente.

Menor Daños de equipos. Sin parada del proceso. Daños tempora-les para el personal y el ambiente.

Figura 7.2. Índice SIL. Matriz de riesgo según ANSI-ISA-S84.


Figura 7.3. Índice SIL. Matriz de Riesgo según IEC-61511 Parte 3 Anexo C.

7.3. METODOLOGÍAS SEMICUALITATIVAS

Se tratan de técnicas de análisis críticos que emplean índices globales del potencial de riesgo estimados a partir de las estadísticas. Estas pueden ser de disposición ge-neral o procedentes de la experiencia de las compañías en el diseño y la operación de plantas semejantes a las que se trata de enjuiciar.

7.3.1. GRÁFICO DE RIESGO CALIBRADO

La aplicación de la presente metodología consiste en calibrar o dar valores, de forma semicuantitativa o mediante índices globales, a los cuatro parámetros C, F, P y W del #��P��'��#��K�4��$��>�B�D��$��$��L��G��$��'��'��de estos parámetros se considera que la función instrumentada de seguridad que ��'P��O'�$��$��'��'��$��

Esta metodología consiste en la selección de categorías para los parámetros de ��#��P��'��#��+��$��&$��'��#��P��reducción de riesgo (RR) necesaria para cumplir con el criterio de aceptabilidad de riesgo. Es decir, nos indica cuántos órdenes de magnitud se está por encima de lo aceptable. Este riesgo inicial se podrá reducir bien mediante las capas de protección independientes (IPL) ya existentes o bien (el resto) mediante la función instrumentada (SIF) en estudio. +��'��6��'#��6��'��'��$��$��#��P��


(riesgo inicial) y la reducción de riesgo proporcionada por las IPL (seguridad ya existente).

Los parámetros utilizados en la metodología de grá�cos de riesgo calibrados son de dos tipos: tres parámetros de consecuencias y un parámetro de probabilidad de ��'��$��'#��$��P��'��#��'�7�('��#��= Probabilidad x Consecuencias.

+��'#��>�@��$��#��P��'��#��'&��#��'��que se recoge en la Norma IEC-61511 Parte 3 Anexo D.

��'&��'��#��P��/��/�G�)�¾��&��'�'��3��se establezca en un procedimiento en la de dirección de la empresa o compañía, teniendo en cuenta los criterios de aceptabilidad del riesgo establecidos por dicha Dirección.

No obstante, en la Norma IEC-61511 Parte 3 Anexo D se recogen unas referen-cias para la valoración de dichos parámetros, que se resumen a continuación:

Consecuencias (C)

Se puede calcular como el número de muertes en las instalaciones, mediante la de-terminación del número de personas presentes en la zona cuando el área expuesta al riesgo está ocupada multiplicándolo por la vulnerabilidad del suceso accidental.

Figura 7.4. Reducción de riesgo. Grá�co de riesgo seguridad personal IEC 61511 Parte 3, Anexo D.


La vulnerabilidad (V) puede calcularse en función de la naturaleza del riesgo teniendo en cuenta los siguientes criterios:

^� S E�ED7��3��J��#��$��'�$�O'��'�]�&��^� S E�D7��#��#��'��'��$��'�$�O'��'�]�&��^� S E�H7��#��#��'��'��$��'�'�]�&��$��&-

bilidad de ocasionarse un incendio o fuga de grandes dimensiones de sustan-cia altamente tóxica.

^� V=1: ruptura o explosión.

�'��$�/��'��'P��7

^� CA: daños menores.^� CB: de 0.01 a 0.1.^� CC: de 0.1 a 1.0.^� CD: mayor de 1.0.

��j��%��%��

Se puede calcular determinando el tiempo proporcional que el área expuesta al ries-go está ocupada por personas durante un día normal de trabajo.

^� FA: raro o poco expuesto en la zona de riesgo. Ocupación menor de 0.1.^� FB: frecuente a permanente en la zona de riesgo. Ocupación mayor de 0.1.

Posibilidad de evitar el evento (P)

^� GA: se adopta este valor si todas las condiciones que se citan a continuación son verdaderas.

^� GB: se adopta este valor si no todas las condiciones que se citan a continua-ción son verdaderas.

^� ��'�'��'#�'��$��7- El sistema alerta al operador sobre un fallo en el SIS.- Existen sistemas independientes que permiten activar el shutdown de las

instalaciones para evitar el riesgo o para conseguir que el personal pre-sente puede alcanzar un área segura.

- El tiempo que transcurre desde que el operador es alertado de la situación de riesgo hasta que el suceso indeseado ocurre, excede de una hora o se ��'��$'��P�'��$��'��$��'��'��

Probabilidad de ocurrencia del evento (W)

Se puede calcular como el número de veces al año que una situación de riesgo puede ��'��'��6�6�3��$��'��'P��


^� W1: tasa de demanda menor que 0.1*D al año.^� W2: tasa de demanda entre 0.1*D y D al año.^� W3: tasa de demanda entre D y 10*D al año.

siendo D un factor de calibración cuyo valor debe ser establecido en función del criterio de riesgo establecido corporativamente o a nivel de dirección de la Com-pañía. La frecuencia de fallo se puede calcular mediante el empleo de un árbol de fallos.

G��$��/��'#��>�H��$��P��('��#��'&��3��-lúa las consecuencias sobre el medio ambiente que se recoge en la Norma IEC-61511 Parte 3 Anexo D.

Figura 7.5. Reducción de riesgo. Grá�co de riesgo medioambiental IEC 61511 Parte 3 Anexo D.

��'&��'��P��/�G�)�¾��&��'�'��3��establezca en un procedimiento en la dirección de la empresa o compañía, teniendo en cuenta los criterios de aceptabilidad del riesgo establecidos por dicha dirección.

No obstante, en la Norma IEC-61511 Parte 3 Anexo D se recogen unas referen-cias para la valoración de dichos parámetros, que se resumen a continuación:


Consecuencias (C)

Puede adoptar los siguientes valores:

^� CA7��J��3��)�#��P�'��$��-te grande para informar a la dirección de la planta.

^� CB7��$��'$��J��'#�'P�$'��^� CC: escape fuera de los límites con daños importantes que se pueden remediar

��'��'��'��'#�'P�$'��^� CD: escape fuera de los límites con daños importantes que no se pueden reme-

diar con rapidez o con consecuencias duraderas.

G�� '��'��$��#��P��'��'��&'��$��)� �� -lección de los parámetros W y P, se tendrán en consideración los estimados para el #��P��#��'��'��'��'��#��

��'#��3��#��P��'��#��#��'��3��T��-�'��&��)��'��&'��$�/��&��P�'��'��$'��/��$�� #��P�� '��#�� 3�� T�� '�� &�� $'�� bienes materiales de la compañía (considerándose no solo los daños materiales de las instalaciones sino que además habrá de tenerse en consideración la pérdida de &��P�'��$��'��$��'��L��+:ADHDD��'��)��#��P��'��#��$��'��$'��/��&'��'P��'��'��de compañía.

*��$��#��P��'��#��#'��3�4��&��$��él se consigue el punto de partida para determinar la reducción de riesgo necesaria y poder alcanzar el nivel de riesgo tolerable por la instalación. La siguiente fase de dicha etapa sería determinar las capas de protección independientes (IPL) asociadas a cada escenario. Con esto se consigue determinar la reducción de riesgo que pro-porcionan las otras seguridades existentes en el proceso que no son la SIF en estudio.

��'#��>�A��$��'� ��'��'��'��#�/��3��6��P��$��'��$��&��$��#��P��'��#��/��-nos la suma de los créditos asociados a cada IPL. Para calcular estos créditos, a cada �G��'��'��4�'$��'�'��&$��'��#��P��'��#��Recordemos las propiedades o requisitos que deben cumplir las salvaguardias para poder considerarlas IPL, tal como vimos en el Capítulo 3:

1. Especi�cidad: una IPL se diseña exclusivamente para prevenir o atenuar las consecuencias de un evento potencialmente peligroso (por ejemplo, una reac-ción de embalamiento, escape de producto tóxico, una pérdida de contención, o un incendio). Varias causas pueden conducir al mismo evento peligroso, y por tanto, varios escenarios de evento pueden iniciar la acción de una IPL.

2. Independencia: una capa de protección se considera IPL si es independiente $�$��$��$��'��'��'#��'��$'P��como de la SIF en estudio.


3. Seguridad de funcionamiento: se puede contar con ella para que haga lo que está diseñada para hacer. En el diseño se han considerado tanto fallos aleato-rios como sistemáticos.

4. Aptitud para ser auditada: está diseñada para facilitar la validación regular de las funciones protectoras. Es necesario realizar ensayos periódicos y un mantenimiento del sistema de seguridad.

Figura 7.6. Criterios de aceptabilidad del riesgo y reducción del riesgo por IPL.

7.4. METODOLOGÍAS SEMICUANTITATIVAS

Son técnicas de análisis críticos que incluyen estructuras y cálculos para establecer la probabilidad de sucesos complejos (siniestros) a partir de los valores individuales de la probabilidad de fallo que corresponde a los elementos (equipo y humanos) implicados en los procesos (industriales en nuestro caso).

7.4.1. ANÁLISIS LOPA O ANÁLISIS DE LAS CAPAS DE PROTECCIÓN

Recordemos lo analizado en el Capítulo 3, las capas de protección en una instala-�'��)��P#��&��#��'��(��3��dividir en:

^� Aquéllas destinadas a prevenir el accidente, como pueden ser el sistema de control, las alarmas críticas, las actuaciones por parte del operador y los sis-temas instrumentados de seguridad (SIS).

^� Aquéllas destinadas a introducir medidas de mitigación, como pueden ser los sistemas fuego&gas, los sistemas de alivio, de protección física, la respuesta de la planta ante emergencia o la respuesta de la población ante emergencia.


Figura7.7. La “Cebolla” de la Seguridad.

*��$��$��#��Z��'��6��]�Q��$��y normativas IEC 61511 Parte 3 Anexo F y ANSI-ISA-S84, el Análisis LOPA (layer of protection analysis) o análisis de la capas de protección se presenta como la téc-nica más exhaustiva por su carácter semicuantitativo.

Dicha técnica constituye un análisis objetivo de las distintas capas de protección de que dispone un proceso, evaluando el riesgo del mismo y comparándolo con el ��'$��'�� '��#�� $��&��P�'�� '��/��'�'�� '� ��protección son adecuadas o, por el contrario, si es necesario mejorar las existentes o introducir capas adicionales. Por todo ello, el análisis LOPA se presenta como una técnica que permite una comparación directa de la contribución de las distintas capas de protección del proceso a la reducción del nivel global de riesgo.

La metodología general para el desarrollo del análisis LOPA se detalla a conti-nuación, dándose una breve descripción de las seis etapas de las que se compone.

ETAPA 1. Iden��cación de consecuencias � es��ación de su severidad

Esta primera etapa tiene dos objetivos fundamentales:

^� ��$'P��'��$��'&��:��'��-��$��este objetivo se desarrolla a través de un estudio HAZOP.

^� Categorización de las consecuencias de cada par causa-consecuencia para la posterior selección de escenarios LOPA (Etapa 3) y evaluación del riesgo del


mismo (Etapa 6). La categorización de las consecuencias se realiza según los ��$��'��P�'��'�'��$��3��&��P-nirse a nivel corporativo. Dicha categorización será la que determine a partir del criterio de aceptabilidad de riesgo de la compañía (véase Etapa 6) el valor del riesgo aceptable para los escenarios estudiados, que también deben ser ��P�'��'��J��

ETAPA 2. Seleccionar el escenario objeto de estudio

-��$��Q��:��'�'��$'P��$��'��%�»WG��&-jeto del análisis LOPA dada la complejidad de este último. Generalmente, será el análisis SIL el que determine qué par causa-consecuencia será escenario LOPA, en función del riesgo asociado a la misma. A nivel corporativo debe adoptarse el criterio de seleccionar como escenarios LOPA aquellos en los que se requiera una Función Instrumentada de Seguridad (SIF).

ETAPA 3. Iden��car el suceso iniciador del escenario � deter�inar su frecuencia (en año-1)

La frecuencia del evento iniciador se calcula en eventos por año (año-1), para lo cual se dispondrá de bases de datos que recojan las tasas de fallo de los componentes del proceso. A veces, en las bases de datos no se encuentra la frecuencia del evento iniciador en cuestión. En tales casos, se acude a un árbol de fallos para calcular la frecuencia del evento iniciador combinando mediante puertas lógicas varios sucesos de los cuales sí se tengan datos de frecuencias de fallos disponibles.

En esta etapa, además de la frecuencia del evento iniciador, habrá que determinar, en el caso de que existieran, la frecuencia/probabilidad de los sucesos condicionan-$��)��'P��'�'��/�3��$'$�)��$��$��3��intervenir en el escenario. En concreto:

^� Los eventos permisivos o condiciones. Consisten en operaciones o condicio-nes que no causan directamente el escenario, pero que deben estar presentes o activas para que el escenario pueda desarrollarse hasta sus consecuencias P��-��4�'��$��$��'��'�/��'4��en todos los casos en los que intervienen.

^� ��'P��'�'��G��'$��Q��$��'��-rio a través de la probabilidad de que se den unas u otras consecuencias. Ejemplos de Estos son la probabilidad de ignición, la probabilidad de pre-sencia de personal en área afectada, la probabilidad de lesiones fatales, etc.

ETAPA 4. Iden��car las IPL �ue intervienen en el escenario objeto de estudio � deter�inar la �robabilidad de fallo en de�anda (P�D) de las �is�as

Una capa de protección independiente o IPL es un mecanismo, sistema o acción que es capaz de prevenir o evitar el desarrollo de un escenario hasta llegar a la con-


secuencia indeseable (véase Capítulo 3 del presente libro para profundizar en los tipos de capas de protección). Toda IPL debe reunir los requisitos establecidos en el Apartado 3.1 del presente capítulo.

N�� '��$'P��$��'��O'�$��$��-rio, se debe determinar su probabilidad de fallo (típicamente, probabilidad de fallo en demanda, PFD). Por ejemplo, una función instrumentada de seguridad con un índice SIL 3 tendrá una PFD como máximo de 10-3. Es importante recordar que, en LOPA solo las salvaguardias que sean consideradas IPL contribuirán a la reducción de riesgo del escenario.

En la Figura 7.8 se observa la relación entre capa de protección y reducción del nivel de riesgo.

Figura 7.8. Capas de protección y reducción del riesgo.

ETAPA 5. Es��ar la frecuencia del escenario con los datos de suceso iniciador� consecuencia e IPL

N�� P�'��$��$��/��'��-cuencia mediante la fórmula:

�

�n

iicmeeies PFDppff

1

··

Donde:


fs.- frecuencia del escenariofie.- frecuencia del suceso iniciadorpee.- probabilidad de los eventos permisivos o condicionesPFDi.- probabilidad de fallo en demanda de la IPL ipcm�:��&&'�'��'P��'�'��

ETAPA 6. Evaluar si el riesgo obtenido en la etapa anterior es tolerable según los criterios adoptados

+��'��#��P��'��&$'��&'��'��'��-secuencias mitigadas (calculada en la etapa anterior) y la severidad de dichas con-secuencias.

En el presente estudio, la evaluación del riesgo consistirá en la comparación de ��'��'��'$'#��'�P��'�/��-lada en el punto anterior con el criterio de aceptabilidad de riesgo de la corporación teniendo en cuenta las consecuencias consideradas para los escenarios objeto de es-tudio. En este sentido, el SIL resultante para la SIF en cuestión será aquél cuya PFD permite cumplir con el criterio de aceptabilidad del riesgo de la corporación.

Si después de analizar las capas de protección se concluye que los niveles de ries-go considerados admisibles son vulnerados, se debe decidir qué capa de protección adicional se debe implementar para eliminar esa diferencia. Aunque los análisis SIL y LOPA están relacionados con las funciones instrumentadas de seguridad, es pre-ferible no recurrir a ellas en primer lugar, sino a soluciones no instrumentadas, tales como: doble contención, diques, discos de ruptura, válvulas de seguridad, etc., y en último lugar, funciones instrumentadas. El motivo es que Estas son más complejas y ��3�'��'P��'��)��$��'�'��$��'��

7.5. CRITERIOS DE SELECCIÓN DE LA METODOLOGÍA PARA CÁLCULO DEL ÍNDICE SIL

Tal y como hemos expuesto en el presente capítulo, existen diversas metodologías para el cálculo del índice SIL. La metodología a seleccionar dependerá de muchos factores, que incluyen:

^� La complejidad de la aplicación y de las instalaciones.^� Las directrices de las autoridades competentes, si existe algo al respecto re-

gulado.^� La naturaleza del riesgo y la reducción del riesgo requerida.^� La experiencia y habilidades en materia de análisis de riesgos, operaciones,

seguridad, etc., de las personas disponibles para acometer el estudio.^� La información disponible sobre los parámetros correspondientes al riesgo.


En algunas aplicaciones se puede usar más de un método. Normalmente, se re-comienda usar un método cualitativo/semicualitativo como un primer paso para cal-cular el SIL de todas las SIFs y para aquellas que se les asigne un SIL 3 o 4 en esta primera etapa, se debería considerar con mayor detalle usando un método semicuan-titativo para obtener un entendimiento más riguroso de su integridad de seguridad requerida.

7.6. EJERCICIOS PRÁCTICOS DE APLICACIÓN

En el presente apartado se recoge el cálculo del índice SIL para una función ins-trumentada de seguridad del caso práctico del Capítulo 6 del presente libro, en el que se realiza el estudio HAZOP de un botellón de proceso V1. En concreto, en la Recomendación 12 del estudio HAZOP se recoge la siguiente acción de mejora (REC. 12:”Instalar un transmisor de nivel independiente en el botellón de carga V1, con�gurando enclavamiento de parada de las bombas P-1 A/B ante muy bajo nivel en el mismo”).

A continuación, se procede al cálculo del índice SIL de dicha función instrumen-tada de seguridad aplicando las siguientes metodologías:

CÁLCULO DEL ÍNDICE SIL MEDIANTE GRÁFICO DE RIESGO CALIBRADO

DATOS GENERALES DE LA SIF

SIF 1 Muy bajo nivel en el botellón de carga V1.

Enclavamiento I-01

Referencia Análisis de Riesgo

Estudio HAZOP del botellón de carga a la Unidad V1 (ejercicio prác�co Capítulo 6, Apartado 7, del presente libro).

Nodo 1

P&ID Nº XXX Rev. 1

SIF iniciada por LSLL-XX Muy bajo nivel en el botellón de carga V1.

Intención del diseño

Evitar giro en vacío de las bombas P-1 A/B, con riesgo de daños a las mismas y fuga de hidrocarburo al exterior.

��&��|j��para llevar el proceso a estado seguro - Parada de las bombas P-1 A/B

Otras acciones del enclavamiento no incluidas en el SIF - No aplicable.


FALLO PELIGROSO EN DEMANDA

Causa 1. Fallo del lazo de control de nivel LIC-02.

/��j��ausencia de salvaguardias) del fallo de la SIF en demanda

1. Descenso de nivel en el botellón de carga V1, con riesgo de giro en vacío de las bombas P-1 A/B y posibles daños a las mismas.

2. Posible fuga de hidrocarburo al exterior con generación de charco in�amable, nube in�amable y daños a personas, instalaciones y medio ambiente.

REDUCCIÓN DE RIESGO (RR) REQUERIDO SEGÚN LAS GRÁFICAS DE RIESGO (IEC-61511 PARTE 3 ANEXO D)

RR DE SEGURIDAD PERSONAL

Jus��cación de la elección de los pará-metros para seguridad personal: �] ver árbol de fallos (Figura 7.9). Se

ha adoptado el factor de calibración D igual a 10-2. De esta forma, W=W2 por estar comprendida entre 10-3 y 10-2.

/]� se ha valorado la vulnerabilidad como V = 0,1 y se ha supuesto que pue-den exis�r 2 operadores presentes en la zona de riesgo. De esta forma, C es igual a 0,2 y por tanto igual a CC.

�]�se ha es�mado la presencia de ope-radores en la zona de riesgo durante un �empo es�mado de 30 min. por turno, siendo por tanto un total de 1,5 horas al día (3 turnos/día). F = FA por ser el factor de exposición menor de 0,1.

}]�PB pues no se dan todas las condicio-nes indicadas en el Apartado 3.1.

Jus��cación de la elección de los pará-metros para medioambiente:

/]�CA, pues las bombas P-1 A/B se en-cuentran en un cubeto y se ha es�ma-do que la fuga o escape quedará den-tro de los límites y con daños menores.

W W2 C CC F FA P PB RR 2

RR DE PROTECCIÓN DEL MEDIOAMBIENTE

W W2 C CA P PB RR 1

RR DE PROTECCIÓN ACTIVOS (1)

W - C - P - RR -

Salvaguardias o Capas de Protección Inde-pendientes

No iden��cadas. (Véase recomenda-ción de este caso prác�co). Crédito de otras IPL = 0.

*+��:��:+$��+}��] SIL = 2-0= SIL 2KDL�-�� #��P��'��#��4��'��$'��/��-��+:ADHDD�G�$��X�

��O��*��#��'�#T��#��P��$��$'��/��&'��J��3��P��'� ��#��P��+��3��J��$��#��P�'��/��'��'��3��#��P��#��'��personal y de daños al medio ambiente, debiéndose adoptar el valor de SIL más alto obtenido.


RECOMENDACIONES

Es posible disminuir el índice SIL obtenido a un valor de 1, me-diante la instalación de un transmisor de nivel independiente (al LT-02 y al correspondiente a esta función instrumentada de seguridad) en el botellón V1, con señal y alarma de baja en sala de control, siempre que el operador tenga �empo su�ciente (20 min. o mayor) de respuesta desde que se ac�va la alarma hasta que se da el giro en vacío de la bomba P-1 A/B con daños a la misma. Adicional a esta condición, para poder considerar esta alarma como IPL en este escenario, y por tanto poder darle cré-dito, es necesario que se cumplan los requisitos para IPL indica-dos en el Apartado 4.1 de este capítulo. SIL = 2 – 1 =1.

COMENTARIOS

La instalación de esta función instrumentada de seguridad se re-comendó en el estudio HAZOP (REC. 12Z_Instalar un transmisor de nivel independiente en el botellón de carga V1- con'gurando enclavamiento de parada de las bombas P-1 A�B ante muy bajo nivel en el mismo”).

7.7. CÁLCULO DEL ÍNDICE SIL MEDIANTE MATRIZ DE RIESGO

DATOS GENERALES DE LA SIFSIF 1 Muy bajo nivel en el botellón de carga V1.

Enclavamiento I-01

Referencia Análisis de RiesgoEstudio HAZOP del botellón de carga a la Unidad V1 (ejercicio prác�co Capítulo 6, Apartado 7, del pre-sente libro)

Nodo 1

P&ID Nº XXX Rev. 1

SIF iniciada por LSLL-XX Muy bajo nivel en el botellón de carga V1.

Intención del diseñoEvitar giro en vacío de las bombas P-1 A/B, con ries-go de daños a las mismas y fuga de hidrocarburo al exterior.

��&��-queridas para llevar el proceso a estado seguro

- Parada de las bombas P-1 A/B

Otras acciones del enclavamiento no incluidas en el SIF - No aplicable.


FALLO PELIGROSO EN DEMANDA

Causa 1. Fallo del lazo de control de nivel LIC-02.

/��j��(en ausencia de salvaguar-dias) del fallo de la SIF en demanda

1. Descenso de nivel en el botellón de carga V1, con ries-go de giro en vacío de las bombas P-1 A/B y posibles daños a las mismas.

2. Posible fuga de hidrocarburo al exterior con genera-ción de charco in�amable, nube in�amable y daños a personas, instalaciones y medio ambiente.

Índice SIL requerido según la Matriz de Riesgo (IEC-61511 Parte 3 Anexo C)

W Me-dia C Gra-

veNº PL 1 SIL 2

Jus��cación de la elección de los parámetros para la Matriz Riesgo: �] Media. Véase árbol de fallos (Figura 7.9),

por estar comprendida entre 10-4 y 10-2. /]�Grave. Se ha es�mado daños a equipos,

parada corta del proceso y daños graves para el personal y medio ambiente.

Nº PL (incluyendo la SIF a clasi�car)]�1.

Salvaguardias o Capas de Pro-tección Independientes

No iden��cadas. (Véase recomendación de este caso prác�co).

SIL REQUERIDO SIL 2

RECOMENDACIONES

Es posible disminuir el índice SIL obtenido a un valor de 1, me-diante la instalación de un transmisor de nivel independiente (al LT-02 y al correspondiente a esta función instrumentada de se-guridad) en el botellón V1, con señal y alarma de baja en sala de control, siempre que el operador tenga �empo su�ciente (20 min. o mayor) de respuesta desde que se ac�va la alarma hasta que se da el giro en vacío de la bomba P-1 A/B con daños a la misma. Adicional a esta condición, para poder considerar esta alarma como IPL en este escenario, y por tanto poder darle crédi-to, es necesario que se cumplan los requisitos para IPL indicados en el Apartado 4.1 de este capítulo. De esta forma, Nº PL pasaría a ser 2 y para probabilidad media y gravedad media, el SIL sería igual a 1.

COMENTARIOS

La instalación de esta función instrumentada de seguridad se re-comendó en el Estudio HAZOP (REC. 12Z”Instalar un transmisor de nivel independiente en el botellón de carga V1- con'gurando enclavamiento de parada de las bombas P-1 A�B ante muy bajo nivel en el mismo”).


Figura 7.9. Árbol de fallos para cálculo de la probabilidad.

��$��&'&�'�#��P��7(1) Guidelines for Process Equipment Reliability Data, CCPS.(2) Manual de Seguridad Industrial Plantas Químicas y Petroleras.(3) TNO.


PARA NO OLVIDAR

� Existe un gran número de metodologías para el cálculo del índice SIL. La técnica seleccionada dependerá de los propósitos perseguidos con el aná-lisis, el grado de conocimiento que se tenga de las instalaciones, así como de los datos y recursos disponibles.

� Para obtener una adecuada determinación del índice SIL mediante cual-quiera de las metodologías presentadas en el presente capítulo, es funda-mental el juicio de expertos en seguridad industrial y el apoyo de técnicos familiarizados con las operaciones y plantas involucradas, así como un adecuado estudio HAZOP de los procesos donde se encuentren iden�-�cados todos los escenarios de riesgo a valorar en relación a la SIF a cla-si�car.

� Normalmente, se recomienda usar un método cualita�vo/semicuan�ta�-vo como un primer paso para calcular el SIL de todas las SIF y para aque-llas que se les asigne un SIL 3 o 4 en esta primera etapa, se debería con-siderar con mayor detalle usando un método cuan�ta�vo para obtener un entendimiento más riguroso de su integridad de seguridad requerida.

CONSEJOS PRÁCTICOS

A la hora de aplicar una metodología para el cálculo del índice SIL en instala-ciones de proceso, es muy importante considerar los tres aspectos básicos que se indican a con�nuación:

� Seleccionar la metodología más adecuada a aplicar según las caracterís-�cas de nuestras instalaciones y los obje�vos que se persigan con el es-tudio.

� Disponer de una documentación de proyecto (diagramas de tuberías e instrumentos o p&ids, matriz causa&efecto o descripción de enclava-mientos, hojas de datos de equipos, etc.) actualizada y acorde a la reali-dad de las instalaciones, así como veri�car la idoneidad del estudio HA�ZOP de las instalaciones.

� Disponer de un equipo de trabajo mul�disciplinar con alta experiencia en plantas similares, en materia de seguridad, procesos e ingeniería.

8ELEMENTOS DE CAMPO DEL SISTEMA INSTRUMENTADO DE SEGURIDAD

8.1. INTRODUCCIÓN

Los objetivos de este capítulo están dirigidos a facilitar conocimientos y técnicas de instalación de los instrumentos de campo, pertenecientes a sistemas instrumentados ��#��'��6��#��'P��)��#��3��$��$��sistema de seguridad están correctamente instalados, de acuerdo a lo indicado en la +��'P��'��)�(�3��'�'��$��6�#��'��KSafety Requirement Speci�cations SRS) y, a los planos correspondientes.

Se muestran las técnicas de medida más utilizadas con cada una de las variables de proceso, y se indican ventajas e inconvenientes de diferentes tipos de instrumen-tos que se pueden utilizar, para medir cada variable. Se comentan diversos tipos de conexionado y montaje de instrumentos, para que sirvan de guía a los técnicos que intervienen en el diseño, ingeniería, suministro, montaje y pruebas de los instrumen-tos pertenecientes al sistema de seguridad.

De acuerdo con la industria en la que se van a utilizar, la selección de tipos de instrumentos puede ser distinta en función de los productos a medir, de las caracte-rísticas de la instalación y de la aplicación concreta. Los instrumentos e instalaciones ��$'�'��$��$��$��3��Q��]�'��$'�-mente limpios en estado líquido o gaseoso.

Se analizan diversos instrumentos utilizados en los sistemas de seguridad. Los que van insertados en los procesos y los instrumentos que son externos al mismo. Se evalúan ventajas e inconvenientes desde los puntos de vista de la seguridad y del funcionamiento continuo del proceso.

Aunque en los cálculos de probabilidad de fallo a demanda y en las fórmulas utilizadas para la evaluación de los sistemas de seguridad, no se contemplan valores ��$'P��&'��$'��'��$��'��/��$��'$��$��'��$�-ciones físicas de los instrumentos y las conexiones mecánicas más convenientes para cada caso. Con las recomendaciones que se exponen, se puede deducir cuáles son las instalaciones que responden a los mejores criterios de seguridad y funcionamiento.

SUMARIO: Introducción. Medida de caudal. Medida de presión. Medida de temperatura. ��!��&��/�<��%�� j��j��-dad. Inspección y pruebas generales de la instalación. Para no olvidar. Consejos prác�cos.

Alfonso Camacho López


Los montajes de sistemas instrumentados de seguridad, especialmente los que se realizan para instalaciones químicas y petroquímicas, debido a la alta densidad de instrumentos utilizados para la automatización, a las condiciones ambientales de la '��$��'��/��'#��'��]�'��3��'��)��Q'��$4�-nica de los instrumentos y sistemas que se manejan, hacen necesario que la ejecución del montaje sea realizada por empresas muy especializadas. Se les debe exigir expe-riencia demostrada en la ejecución de montajes de instrumentación, y concretamente en plantas de características similares.

8.1.1. EXIGENCIAS DE DISEÑO PARA LOS SENSORES DE CAMPO

Los instrumentos sensores de campo dedicados a los sistemas instrumentados de seguridad, deben ser dedicados únicamente al sistema de seguridad y completamente independientes de otros instrumentos de campo que estén asociados a los sistemas básicos de control de procesos, así como a otros sistemas que no sean de seguridad, como pueden ser controles batch, o controles secuenciales también denominados automatismos.

Se debe evitar compartir sensores con sistemas de control, para no crear proble-mas entre la seguridad de la planta, por un lado, y el mantenimiento y operación normal por el otro.

Durante la operación de las plantas son necesarios y relativamente frecuentes los cambios de rango de los transmisores utilizados en control, para adaptarlos a las condiciones reales del proceso. Si los instrumentos fueran compartidos con los 6�6/��&'��#��#��/��'P��'��'-rectamente los valores de los puntos de disparo que fueron ajustados en el PLC de seguridad.

Es necesario controlar los rangos de los instrumentos pertenecientes a los SIS y ��3��'P��'��$��'�$��#'�/��3��valores de actuación en unidades reales de ingeniería continúen siendo los que se han ��'�$��'��J��'#��3�'��'P��'��$��'��&��Q��$'P��)��$��

Las pruebas de los sistemas de seguridad serán realizadas con personal y procedi-�'��$��P��/�)��'�PQ��'�'��$��'��$��-tos de los sistemas de control se prueban cuando sus fallos afectan a la producción, )��'P��'��)��'�'��$��'�$'�$��

Para conseguir la independencia de los componentes del sistema de seguridad, de los componentes del sistema de control, se deben separar los siguientes elementos de campo:

^� Los sensores, las válvulas de raíz, las líneas de impulso y las conexiones mecánicas y eléctricas.

^� ��$��P��$��'��)��para actuación de seguridad o disparo.

169Elementos de campo del Sistema Instrumentado de Seguridad

^� Los cables y multicables, las cajas de conexión, las líneas de aire, los borneros de conexión y los elementos de seguridad intrínseca, tales como separadores galvánicos asociados a las entradas-salidas y dedicados exclusivamente a los sistemas de seguridad.

^� Las fuentes de alimentación eléctrica y sus alimentaciones de potencia.^� Las señales del sistema de seguridad que tuvieran que ser enviadas al sistema

de control, tendrán que ser aisladas con separadores galvánicos, u ópticos.

Los sistemas de seguridad y los instrumentos de campo se deben diseñar con el concepto fallo seguro (fail safeL��+�$��'#�'P��3��$��&��$��'��-tados eléctricamente y los contactos de los interruptores de caudal, presión, nivel o temperatura de campo, están cerrados durante la operación normal del proceso. En estas condiciones, un fallo en la alimentación eléctrica, en cualquiera de los compo-nentes, una apertura en el interruptor, en las conexiones eléctricas, o una rotura en los cables, será detectado porque producirá una actuación igual a la de un fallo del proceso, aunque este esté normal.

No utilizar sensores de nuevos diseños o técnicas sin referencias. Los aparatos instalados en campo deben ser de tecnologías muy probadas, para las aplicaciones de ��3��$'�'��6��&��'��$'P��&��'��por organismos reconocidos, con resultados aceptables en cuanto a MTBF tiempo medio entre fallos (mean time between failure), fallos seguros y no seguros, para poder calcular la probabilidad de fallo a demanda.

Los instrumentos de campo deben ser instalados de acuerdo con los reglamentos y códigos aplicables localmente y con la legislación vigente.

Los elementos sensores se deben conectar directos y únicamente al sistema lógi-co de seguridad. No se deben conectar a ningún otro sistema que no forme parte del sistema de seguridad.

Cuando se utilizan dos transmisores en redundancia para cumplir las exigencias necesarias para tener un valor de SIL aceptable, se requieren conexiones separadas para así eliminar fallos peligrosos comunes. Por ejemplo, taponamiento de líneas o el cierre accidental de la válvula de un instrumento.

Cuando se utilizan sensores de campo redundantes, se debe proveer una alarma de discrepancia para indicar el fallo de cualquiera de los dos transmisores. Una ma-nera sencilla de detectar la discrepancia es, por ejemplo, producir una alarma cuando la diferencia entre la medida de uno y otro transmisor es superior a un dos por ciento.

6��&��'��'��$'P��'��'��$��$��'��'�$�-mas de seguridad, para diferenciarlos del resto de instrumentos. Por ejemplo, pintán-dolos de otro color especial, o poniéndoles etiquetas distintas.

8.1.2. TECNOLOGÍAS

Aunque hay una tendencia natural a asumir sin demasiadas dudas, que las innova-�'�� $4��'�� Q�� 3�� O'�$��$�/� �� &�� #�� ]�O'��cuando se trata de los sistemas de seguridad de las plantas industriales. Se requiere


un esfuerzo adicional de análisis, para cuestionar si todo lo nuevo es lo mejor, o no lo es. Es necesario analizar la enredada maraña técnica de los instrumentos, equipos y �'�$��P#��#��'��'�$��'#��$�/��)��'��posible lo que puede ser mejor para la seguridad de la instalación.

Desde el comienzo de la automatización y del control de los procesos químicos, y hasta muy recientemente los sistemas de seguridades, enclavamientos, disparos o paradas de emergencia de la plantas industriales, se han venido haciendo con instru-mentos que miden las variables de proceso y accionan un contacto libre de tensión. El contacto está cerrado en condiciones normales del proceso y se abre cuando se so-brepasa un valor límite preestablecido. Esto permite que con relés electromecánicos se haga una lógica cableada, para que ante ciertos sucesos en el proceso se produzcan unas actuaciones concretas. Si había un fallo en el instrumento, en el cableado o en alguno de los relés, generalmente se producía un disparo espurio, y solo se veía afec-tada la parte concreta de la planta que se gestionaba con esa lógica.

Posteriormente, con la llegada de los PLC, la lógica de actuación se programa en la unidad central de procesado, las entradas y salidas se concentran en tarjetas elec-trónicas de diferentes tipos. Se siguen utilizando contactos libres de tensión como entradas-salidas, y además se comienzan a utilizar señales analógicas. Con la opción del PLC, hay mayor facilidad para el manejo de muchas señales de entradas-salidas y para realizar lógicas más complejas.

��$'�'��'��$��P#��'��G�/��#��'�$�#�-dos por unidades operativas que pueden funcionar de forma independiente, presenta problemas debido a que los disparos espurios por fallos de tarjetas o CPU, pueden ��$��'��'��G�� &��)��'P��'��los enclavamientos de las unidades de proceso que están paradas, y para mejorar la disponibilidad de las instalaciones, se exigen redundancias y se segregan los PLC por unidades de proceso, para hacerlas independientes.

En pequeñas unidades de proceso que tienen pocos enclavamientos, se ha se-guido utilizando lógica cableada con relés y con entradas procedentes de contactos desde presostatos, o interruptores de nivel.

Los nuevos PLC de seguridad son redundantes, con dobles o triples procesadores, vías de comunicación internas y tarjetas de entradas o salidas. Hay tarjetas de entra-das-salidas para una gran variedad de señales, con diseños de los canales de entrada-salida a fallo seguro (fail safe) y con reconocimiento de la calidad de las señales exter-nas. Las tarjetas de entradas analógicas contienen lógica inteligente para comprobar el rango de la señal, y son capaces de detectar cuándo están fuera del rango de medida. Con esta señal, se puede producir una alarma o una actuación de seguridad.

Instrumentos mecánicos con interruptores

En el origen, la medida de las variables se hacía en campo con instrumentos mecá-nicos. Directamente generaban la actuación de un interruptor eléctrico que abría o cerraba un contacto, en función de que la variable estuviera por arriba o por debajo


de un valor preajustado. Los interruptores se conectan en el modo a fallo seguro –contacto cerrado con el proceso en condiciones normales de operación– en estas condiciones facilitan solo un tipo de información, y es que el circuito esta permanen-temente cerrado. Pero no proporciona ningún otro tipo de información o diagnóstico.

Por ejemplo, un presostato tiene un contacto de disparo que está cerrado en la operación normal del proceso, y se ha diseñado para que por baja presión se abra. Si baja la presión y no puede abrir porque se queda pegado, falla y no tiene forma de indicar el fallo cuando hace falta su actuación. Esto mismo puede ocurrir con in-terruptores de nivel, termostatos e interruptores de caudal. La única forma de saber que estos instrumentos están trabajando correctamente es probándolos con cierta frecuencia.

Este tipo de instrumentos se están utilizando a lo largo de decenas de años y las $4��'��&�'��'�� '��/� �$��#�'��3��P&'�'��-cánica y eléctrica de los instrumentos con interruptor sea muy grande. Actualmente, ��)��$'�'��$$��)��'�$��$��'��$'��]�$��/��líquidos. Se utilizan menos los termostatos porque el uso de termopar o termorre-�'�$��'�)��$'��:$��'��'��P&��)��'��3��3��puede obtener con un termostato mecánico. Los interruptores mecánicos de caudal ��$'�'��/��&'��'��'��)�P&��3��'#��instrumentos electrónicos, y las diversas técnicas que se verán más adelante.

Los contactos de los interruptores eléctricos deben ser fabricados con materiales de gran calidad, la intensidad del circuito se debe limitar a pocos miliamperios, el interruptor debe ser herméticamente sellado para aislarlo del medio ambiente y con-��#�'��O'��P&'�'��'��'��$��

��#��'�$��$��'��)��$$��$'P��'�$��$��*G*R/�que son conmutadores de doble circuito, conectados como en la Figura 8.1. Con esta disposición, se disminuye la posibilidad de fallo debido a que los contactos se que-den pegados. Suponiendo un interruptor con actuación por bajo nivel, cuando el ni-vel está correcto, el contacto normalmente abierto (NA) está cerrado. Si se conectan en serie los dos contactos (NA) de los dos circuitos del DPDT, cuando baja el nivel, los contactos se deben abrir y se producirá la actuación de seguridad o disparo. La posibilidad de fallo por quedarse pegados los contactos en los dos circuitos al mismo tiempo es muy remota, y con solo uno que abra, actuará la función de seguridad. Más adelante, en el apartado de Medida de nivel, se indican datos relativos a la seguridad de instrumentos, con este arreglo.

G��'��P&'�'��$��$'��'��$��$�/��'�'$��los datos obtenidos de una planta real, en la que se ha tomado una muestra de 23 presostatos, que llevan funcionando una media de 25 años en distintas unidades de procesos continuos.

Están instalados en intemperie y con clima lluvioso. El 43% de los presosta-tos están conectados a la salida de 3-15 PSI de transmisores neumáticos, para dar disparo por bajo caudal. El 57% de los presostatos están conectados directamente ��/��]�'��#��3�'��/��$'��$��'��'��6�� '��


las incidencias de mantenimiento de los últimos cinco años y se ha comprobado lo siguiente:

^� Un cambio de microrruptor en un presostato FSLL. Había producido un dis-paro espurio.

^� N��O'��]�Q��&��$��#'��4��6��presostato. Había producido un disparo espurio.

^� Una obstrucción de una línea de impulso de un FT neumático cuya salida va a un presostato FSLL. Había producido un disparo espurio.

Figura 8.1. Conmutadores de doble circuito.

De los tres fallos encontrados, aunque todos dan como resultado un disparo, el único que es producido por el presostato es el del microrruptor. Los otros disparos, son producidos por otros elementos de los circuitos que se deben tener en cuenta en el cálculo de PFDavg de la SIF, pero que no pertenecen a los presostatos.

El MTTF (tiempo medio de fallo de un presostato) es de 23 x 5 = 115 años.��$�� D�8��RR�� D8�DDHO�?>AE� �=/=B�O�DE-7

Si asumimos que en este tipo de instrumentos más del 60% de fallos son seguros, )�3�� &��J�/��G�*�#��'��'P��$$��7

^� R��'#��D = (9,92 x 10-7) 0,4 = 3,97 x 10-7

^� Intervalo de pruebas TI = 1 año (8760 horas). ^� G�*�#� ��D x TI/2 = (3,97 x 10-7) (8760/2) = 1,73 x 10-3

Los instrumentos mecánicos con interruptores eléctricos para medir caudal, pre-sión, temperatura o nivel, son aparatos o subsistemas tipo A.


De acuerdo con IEC 61508, un aparato o subsistema se puede considerar de tipo ��'��$��3��$'��$��&'��P�'��/��-portamiento en las condiciones de fallos están totalmente determinadas, y existen ��P�'��$��$��&��O��'��'��$�� $��peligrosos detectados y no detectados.

Transmisores inteligentes

Se utilizan cada vez con más frecuencia en el control de los procesos y en sistemas ��#��'��/��&'��P&'�'��)��'��$��'#��$'��6�&��'#-nósticos es necesario hacer algunas consideraciones:

^� Actualmente, los sistemas instrumentados de seguridad (PLC de seguridad) que manejan la lógica, no admiten entradas o salidas múltiples mediante vías de datos con protocolos digitales de comunicación. Admiten, una entrada por cada instrumento. La señal puede proceder de un contacto libre de tensión, o una entrada analógica (generalmente de 4-20mA). Las tarjetas que reciben la ��'&��#'��$'��'��'P��'��J�/��ejemplo, si está dentro del rango de medida adecuado.

^� La mayoría de los transmisores inteligentes utilizados en aplicaciones de seguridad son de señal analógica de 4-20mA y protocolo HART. Mediante protocolo HART, se pueden comunicar sistemas de diagnósticos complejos de los transmisores. Se puede saber si una medida de variable es sospechosa ��$��PQ��$�� $'��/��/��&'�� velocidad excesiva. Permite conocer anticipadmente averías que se pueden producir en el transmisor.

^� El gran potencial que la tecnología de transmisores inteligentes permite, se está desarrollando y utilizando en el área de mantenimiento con aplicaciones ��$9��Q��+��'��$��$�3�� '��$��que están a disposición de mantenimiento para ajustar, ver características, e interpretar la “salud” de los instrumentos, también permite manejarlos e inte-ractuar sobre los mismos, para cambiar rangos, modos de estado, bloqueo de señal, o para abrir y cerrar válvulas. Desde el punto de vista de la seguridad de las instalaciones, no se debe permitir el acceso incontrolado a los instru-mentos sobre los que se basa la seguridad de la planta. Por esta razón, los instrumentos dedicados a sistemas de seguridad no se les permiten conexión externa a vías de comunicación con protocolo HART, o cualquier otro, que ��$4��$��$'P�� #�'��G��#��'��sistema de lógica del SIS.

^� Hay tendencia a que los propios sistemas de lógica de seguridad incorporen ��$9��/�3��'�$��$��)��$'�'��$��3��)��)��P&'-�'��'��$��$��+�$��'#�'P��)��)��Q��en la lógica y en las tarjetas de entradas o salidas del sistema de seguridad.


Probablemente, en un futuro cercano, se consiga que los accesos permitidos al sistema de seguridad queden adecuadamente documentados y que se puedan inhabilitar (quedando documentado de forma automática) las funciones que pueden afectar a la seguridad. Por ejemplo, la calibración de instrumentos de seguridad, el modo de funcionamiento del transmisor y de las tarjetas de entra-��'�/��&��3��'&��/��$��$9��P�'��$��$��#��/��$��$'�'��'�$��-guridad todo el potencial de los diagnósticos de los instrumentos inteligentes, tanto en transmisores como en posicionadores de válvulas.

Los instrumentos transmisores electrónicos para cualquier variable de proceso, sean con salida de 4 a 20mA, sean con salida de 4 a 20mA más protocolo Hart, o con salida única con protocolo digital, son aparatos o subsistemas tipo B.

De acuerdo con IEC 61508, un aparato o subsistema se puede considerar de tipo <��'��$��3��$'��&'��P�'��/��comportamiento del subsistema en condiciones de fallo no puede ser completamente ��$��'��/�� )��P�'��$��$��&��O��'��'��-contrar tasas de fallos peligrosos detectados y no detectados.

8.2. MEDIDA DE CAUDAL

Hay muchos y variados principios físicos que permiten detectar y conocer el caudal de líquido o gas que pasa por el interior de una tubería de un proceso industrial. En casi todos ellos el elemento sensor está insertado en el interior de la tubería, o es un carrete de la misma, del cual forman parte el elemento sensor y el transmisor.

Los instrumentos que están insertados al proceso se diseñan y someten a los mis-mos códigos y normas que las tuberías y recipientes. Debido a que están en con-$�$��$��)�]�'��'��$��/�$'��3��'��J��$��'-les adecuados para soportar las condiciones de presión y temperatura del proceso, igualmente tienen que ser inmunes a los ataques químicos o erosivos, que pueden ��'��]�'��$��$�$��-��$�/��'��$��$��que se insertan en los procesos son diseñados para las condiciones más severas. Los materiales utilizados suelen ser de características superiores a los que serían exigi-bles para las tuberías o recipientes en que se instalan.

Los medidores de caudal en tuberías a presión se pueden dividir en dos grandes grupos: los que tienen el elemento sensor y el transmisor montados en la propia tu-bería y los que tienen un elemento generador de presión diferencial insertado en la tubería y un transmisor externo.

8.2.1. MEDIDA DE CAUDAL CON ELEMENTO SENSOR INSERTADO EN LA TUBERÍA

En este grupo, los instrumentos más utilizados son: el medidor de efecto Coriolis, el medidor magnético, el rotámetro y el medidor de caudal Vortex.


Los elementos detectores de estos medidores van introducidos en la tubería del proceso o son la propia tubería, pero no se pueden desmontar sin parar el proceso. En general, son medidores que suelen tener una precisión superior a la del grupo de medida por presión diferencial. Son elementos sometidos a la vibración de la tube-ría. La medida se basa en principios físicos, cuya comprobación en campo presenta �� 'P��$��)��/��'&��

G��'P��)��&��'&��'��$��$'��'��$��$��/��-rio desmontarlos y sacarlos del proceso, llevarlos a laboratorios o bancos de prueba especiales provistos de circuitos de tuberías, bombas y recipientes calibrados para contrastar la medida del transmisor. Esto implica que en caso de avería o necesidad ��'P��'��'�/��$'��3��'�$��'��)�� '��una parada no deseada. Por otra parte, aunque las averías de la electrónica de estos instrumentos se produzcan con frecuencias similares a las averías de los transmisores electrónicos de presión diferencial, la comprobación y reparación sin interrumpir el proceso es mucho más compleja. En la mayoría de los casos, obliga a la sustitución de todo el instrumento prescindiendo del mismo durante un periodo largo de tiempo, por ello, o se ha previsto una línea de baipás con las correspondientes válvulas para aislar el instrumento y poder desmontarlo, o se debe parar el proceso.

Los elementos detectores de algunos de estos instrumentos pueden tener partes móviles, están sometidas a vibración, o se pueden obstruir y tienen más posibilida-des de avería que los generadores mecánicos de presión diferencial.

��$��'��$��$��3��$��#��)��$'P��6��son datos tomados de aplicaciones concretas y reales, sino datos teóricos de labo-ratorio. La mayoría de los problemas de funcionamiento de los instrumentos son ��'��'�'��]�'��)��'�'��presión, temperatura, viscosidad, composición, etc., que se dan en el mismo. Por ello, es muy importante hacer la medida con la técnica y el instrumento idóneo para cada aplicación.

Los instrumentos que se describen en los siguientes párrafos son instrumentos utilizados con frecuencia en diversas instalaciones industriales para medida de cau-dal. Teniendo en cuenta los productos que se manejan en cada aplicación particular, se debe analizar la idoneidad del medidor seleccionado con el producto concreto.

Para las funciones de seguridad, se recomienda utilizar solo instrumentos con ��'��'P�� '��'�� '�'��-��$'�'�� '��$��$�� O��'-mentales o no probados.

Medidor de efecto Coriolis

El medidor de efecto Coriolis, mide el caudal en unidades de masa directamente. El ]�'��$��4��$�&��3��'&��'��$��)��que es descrita por Coriolis.

El teorema de Coriolis dice que un objeto que se desplaza con una velocidad �'��$�$�/��$��4��P�'��#'�$��'�3��$��'��#��


constante, experimenta una velocidad tangencial tanto mayor, cuanto mayor es su alejamiento del centro. Este cambio de velocidad implica una aceleración y, por tanto, una fuerza aplicada.

La Figura 8.2 muestra el principio de funcionamiento de un medidor de este tipo. Está formado por un cuerpo distribuidor acabado en bridas y por uno o dos tubos en forma de U que se encuentran alojados dentro de una caja de protección. El tubo vibra a su frecuencia natural o frecuencia de resonancia, movido por una bobina o sistema electromagnético que se encuentra situado en el centro de la curva del tubo, como indica en el detalle A. La vibración es similar a la que produce un diapasón.

Figura 8.2. Funcionamiento de un medidor efecto Coriolis.

��$��]�'��'��$��#�'��$��vibración vertical del tubo. Cuando el tubo se está moviendo hacia arriba debido al ��'�'��'&��'��/��]�'��3��$��$��'��'�'#'��hacia arriba, empujando al tubo en dirección descendente, como se ve en el detalle B. Al tener el tubo su máximo recorrido ascendente en el centro de la curva, a partir ��$��$��$�&��/��3��'��]�'��'��empujará al tubo en dirección ascendente. Estos dos empujes hacen que el tubo sufra un giro, o deformación temporal, como el que muestra el detalle C.

Cuando el tubo se mueve hacia abajo debido a la segunda mitad del ciclo de vi-bración, se produce el giro en sentido contrario. Estos giros o retorcimientos carac-$��$'��'��$��'��'��*��#��)��-�9$��/��$'��#'��$�&��'��$��$��'��]�'��3��a través del medidor.


Los detectores situados a cada lado del tubo miden la velocidad de la vibración. La masa se determina midiendo la diferencia de tiempo mostrada por los sensores de velocidad. Cuando el caudal es cero no existe ángulo de giro en el tubo, dando como resultado la no existencia de diferencia de tiempo entre los dos sensores de velocidad. Cuando pasa caudal se produce un giro del tubo, el cual hace que exista una diferencia de tiempo entre los sensores. La diferencia de tiempo es proporcional al caudal en masa.

El producto pasa directamente a través del medidor, el cual forma parte de la ��$�&��N��6��$��PQ��'�$�'&�'��concentrador del producto en las zonas de entrada y salida, respectivamente, y libre para poder vibrar en la parte redondeada de la U.

El medidor de Coriolis se utiliza fundamentalmente con líquidos, y la pérdida de carga es más alta que en otros tipos de medidores de caudal. Tienen gran precisión comparado con otros medidores de caudal. El error de medida es del 0,2% del caudal medido y pueden medir caudales con relaciones de máximo a mínimo muy altas, manteniendo el error indicado. La buena precisión hace que se utilicen para medidas en mezclas, en ventas, en transferencias y en balances másicos de productos.

%� ��

El espacio requerido para su montaje es bastante mayor que el de otros medidores. La instalación se debe hacer siguiendo las instrucciones del fabricante.

Se deben soportar adecuadamente las tuberías del proceso a las que se conecta el instrumento, para evitar que se transmitan vibraciones a los tubos del medidor. El soportado del equipo, si se requiere, debe hacerse independiente del soportado de las tuberías a las que está conectado.

No se requieren tramos rectos de tubería antes o después del medidor porque no ��$��P��'��]�'��$�&��

Hay limitaciones en el tamaño de estos medidores. Seleccionando entre diferen-tes fabricantes, los mayores tamaños de medidores encontrados son para conectar a tuberías de diez pulgadas.

Se debe poner especial cuidado en el diseño de las tuberías para evitar que en los $�&��'��3��$��#��'��'��]�'��3�'��3��$��#��#��3��#�'P��/��&�� $Q��'��$��$��$��&Q��)��$Q��$�&��$'��]�'��'��hacia arriba (véase la parte superior de la Figura 8.2). El montaje sería dando un giro de 90º en sentido contrario a las agujas del reloj, con la conexión de entrada en la parte inferior y la de salida en la parte superior de las conexiones a la tubería.

��]�'�� 3�'��3��$��#�� '��'��/��]�'��de proceso gas que puedan contener líquidos, se montarán en tubería vertical con ]�'��$�/��$�&�� '��$��$�&��'��horizontal y bien nivelados para evitar puntos bajos que permitan acumulación de líquidos en gases o sólidos en líquidos.


El instrumento es la propia tubería del proceso y en caso de avería se hace nece-sario parar el proceso, o disponer de baipás del instrumento en la línea de proceso, lo cual es caro, difícil de diseñar y ocupa bastante espacio. No se puede calibrar en línea con la planta en funcionamiento.

��

Es un aparato del tipo B, con una fracción de fallos seguros SFF superior al 93%. Tomando datos de los catálogos de algunos medidores utilizados en el mercado, se �&$'�� $�� '#��$��$��DU = 2,31 x 10-7 fallos por hora.

Para una aplicación que se actúa con un solo transmisor (1001) y en la que se efectúa una prueba del instrumento cada año, se obtiene la probabilidad media de fallo a demanda:

G�*�#� ��DU * TI/2 = 2,31 x 10-7 x 8760 / 2 = 1,01 x 10-3.

La tasa de fallos se garantiza durante el periodo de vida del instrumento. La vida útil recomendada por los fabricantes para estos instrumentos en aplicaciones de se-guridad es superior a diez años.

��\��

El medidor de caudal magnético mide el caudal volumétrico de líquidos, para lo cual los líquidos necesariamente han de tener un cierto nivel de conductividad eléctrica. La mayoría de los derivados del petróleo no pueden ser medidos con medidores magnéticos por la baja conductividad de los hidrocarburos, por lo que el empleo de este tipo de medidor no está muy extendido en las petroquímicas. Sin embargo, tienen gran aplicación en plantas de tratamiento de aguas residuales y en cualquier planta que tengan líquidos con una conductividad eléctrica del orden de 10 Âs/cm o superior (Âs = micro Siemens).

El medidor consta de dos partes:

^� El elemento primario que va instalado en la línea de proceso, el cual contiene el tubo, el medidor magnético y los electrodos.

^� El elemento secundario corresponde al receptor electrónico.

+��$��'��'��#��J��'��]�Q��'��-te. La señal se transmite a un receptor electrónico que puede estar montado cercano al emisor.

El medidor electromagnético opera con el mismo principio que un generador eléctrico. Se basa en las leyes de Faraday de inducción electromagnética. En las leyes de Faraday se establece que cuando un conductor interrumpe transversalmente ��]�Q��#�4$'��/��'��$��$��'��3��'��$��$��'��'��3��]�Q��'�$��+� ��'��de (V, B y D).


Donde:

E = Tensión generada en el conductor S� �S��'��]�'��B = Fuerza del campo magnéticoD = Diámetro de la tubería

El conjunto del medidor electromagnético y el trozo de tubería que forma parte del medidor debe estar aislado eléctricamente de la tubería principal por ambos ex-tremos.

Se genera un campo electromagnético constante a través de la sección del tubo y ��]�'��3��$��'��#�4$'�� $��3��$��'�$��-��]�Q��+��$��3��$��'��$��$��oposición, en la sección del tubo, se genera una tensión que es proporcional a la ve-��'��]�'��K�4��'#��?�XL��$��'��'��$��$��'P��y acondiciona por el receptor y proporciona una señal normalizada.

Figura 8.3. Principio del funcionamiento del medidor electromagné�co.

��'��#�4$'��$'�'��'��'��]�'��$��'��'��$��/�$�&'4��$'�'��]�'��'��)�3��T�'��$��$��'��$�$��]�'��$��


Figura 8.4. Componentes del medidor electromagné�co.

La pérdida de carga es nula, por lo que son adecuados para su instalación en grandes tuberías de suministro de agua, donde es esencial que la pérdida de carga sea pequeña. El error de los medidores magnéticos es del orden de 0,5% del valor de medida, con caudales máximos y mínimos que pueden tener una relación de 10:1.

El medidor magnético responde exclusivamente a la velocidad del caudal, por ello, es independiente de la viscosidad, de la densidad, de la presión y de la tempe-�$��+��#��'��]�'��'��$��E/H�)�DE��8��#�/��velocidad mas adecuada para líquidos está entre 2 y 3 m/seg. No se puede calibrar en línea con la planta en funcionamiento.

%� ��

Para que pueda efectuarse la medida correctamente, el diseño de tuberías ha de reali-zarse para asegurar que el medidor está siempre lleno de líquido. El medidor es una pieza de tubería, pero el montaje tiene que hacerse con muchos más cuidados que una tubería ya que es un elemento eléctrico. Se deben seguir las instrucciones del fabricante para su montaje y conexionado.

Puede ser montado en horizontal, en vertical o en ángulo, pero la tubería deberá ��$��6'��$��$'��$��]�Q��&Q�� '��'&��#�-rarse el llenado. Cuando se monta en horizontal, el eje de los electrodos no estará en el plano vertical para evitar que una pequeña cantidad de gas impida el contacto del ��$��3�'��6'��$��$'��)��]�'��&��'��/��'��disponer un tramo recto de tubería antes y después para evitar la erosión del reves-$'�'��$��'��/�3��'��'��]�Q��$��'��$��&�'��'��'$-


mente antes o después del medidor. Desde el punto de vista de la precisión en la me-dida, las perturbaciones aguas arriba del medidor no afectan de manera importante.

Con tamaños de hasta doce pulgadas, el medidor no necesitará soportado. La tubería a ambos lados llevará los correspondientes soportes para que aguanten el me-�'��+��'��$��$��/��'��$��PQ��tener deslizamientos debidos a la dilatación de la tubería. Las tuberías se diseñarán ��P�'��$��]�O'&'�'��3��$��'$��O��'��de las bridas del medidor.

Los medidores llevan dos tipos de señales eléctricas bien diferenciadas, la ali-mentación eléctrica y la señal de medida. Ambas señales deben estar perfectamente separadas internamente, y a lo largo de sus rutados. Es muy importante conseguir una buena puesta a tierra y tener un único punto equipotencial, tanto para el líquido 3��]�)�/��$�&��)��'��#�4$'��

Siempre debe haber una conexión de tierra entre el líquido, el medidor y la tube-ría, aún cuando el tubo del medidor o la tubería adyacente no sean metálicos. Si el medidor no es metálico, para dar la tierra al líquido, se suele disponer de un anillo metálico insertado en el medidor y en contacto con el líquido y con las bridas de la tubería. Se deben seguir las instrucciones del fabricante para cumplimentar las exi-gencias del conexionado eléctrico.

��

Es un aparato del tipo B, con una fracción de fallos seguros SFF del 73%. Tomando datos de los catálogos de algunos medidores utilizados en el mercado, se obtienen ��$��'#��$��$��DU = 3,29 x 10-7 fallos por hora.


G�*�#� ��DU * TI/2 = 3,29 x 10-7 x 8760 / 2 = 1,44 x 10-3

La tasa de fallos se garantiza durante el periodo de vida del instrumento. La vida útil recomendada por los fabricantes para estos instrumentos en aplicaciones de se-guridad es superior a diez años.

Medidor de área variable. Rotámetro

El rotámetro es el medidor de área variable más utilizado para la medida de caudal. +��'��$��$�&��$'��)��]�$��3��$'��$��el interior del tubo. Los medidores de área variable funcionan sobre la base de que ��$'��'��'��'��$�$�/��'$'��$��P��donde pasa el caudal, en función del aumento del mismo.


+��]�$��$��'��$��$�&��)�$��'�'��'�$��'��'�-��/�3�� '�� 3�� '�� $�� ]�$��)� �� $�&��+��]�$��'��$'��'��'��]�'��'��+��'��$��4��3��'��'��$��&$��]�$��)��tubo, en el punto en que el obturador está en equilibrio.

�'��$��3��]�$��PQ/��'�$��$�&��constante desde su parte inferior a la superior, como se puede ver en la Figura 8.5. +��)��$��'&��3�'�'&��]�$��'�'��3�'�'&�'��]�$��'��'��'��/�3��con un área variable que es función del caudal. Con una presión diferencial constante �3��3�'��$��]�$��/��'��$��$��'��al área de paso.

Figura 8.5. Principio de funcionamiento del rotámetro.

Pueden medir caudales con relación de máximo a mínimo de 10:1 y con error probable del 2% del caudal medido a lo largo de toda la escala. Existen rotámetros indicadores, transmisores y controladores. Los tamaños pueden ser muy variados y van desde tamaños tan pequeños como 1/8 de pulgada hasta 8 ó 10 pulgadas. Cuan-do se emplean en servicios de altas presiones, altas temperaturas, o combinación de ambas al mismo tiempo, se requieren materiales especiales para la construcción del cuerpo. Los diseños para que soporten las duras condiciones de operación repercuten en un encarecimiento excesivo de este tipo de medidor.

6��$'�'��'��]�'��'��'��)�$�&'4��3�'��$��'��'-dades que requieren calentamiento para evitar su congelación, como por ejemplo, en


el procesado de los aceites minerales que se utilizan para lubricación. No se pueden calibrar en línea con el proceso en funcionamiento.

%� ��

��$��$��$��'��$'��)��]�Q��$��$��'�-ferior. La salida puede ser por la parte superior o por un lateral, si es de tipo acodado. 6��&��$��#��$�$��$��O��$��'&��'��)��P�'��$��$��'&��'�/��$��]�$��'�$��'��'��*�&��ser instalado en zona accesible y visible desde suelo o plataforma, para reparación y mantenimiento. Si se quiere reparar sin tener que parar la planta, se necesita baipás y válvulas de bloqueo para poderlo desmontar. En líneas de gran tamaño, para evitar vibraciones, se debe tener un cuidado especial con el diseño y soportado adecuado de las tuberías, válvulas y elemento de medida. Se debe tener en cuenta que en las ��$��)��'��/�� '��$��/��&'��]�Q��=E�#�-��/��'��'��'��3�� '��&��PQ�'��/��'$��daños en las líneas (Figura 8.6).

Figura 8.6. Rotámetro con válvulas de bloqueo y baipás.

Para tener una buena precisión con este tipo de medidor, no se requieren tramos rectos aguas arriba de tanta longitud, como en los elementos de presión diferencial.


Con cinco diámetros de tramo recto antes del rotámetro, se garantiza que la pertur-&�'��]�'��$��'�'��'��

Por ser elementos insertados que forman parte de la propia tubería, en los tama-ños grandes, se requiere un cuidadoso diseño para dotarlos de baipás, válvulas de aislamiento y elementos de despresurización y purga para el mantenimiento.

��

Los datos corresponden a un rotámetro provisto de dos interruptores de posición conectados en modo de fallo seguro (fail safe). Es un aparato de tipo A, con una fracción de fallo seguro SFF del 68%. Existen rotámetros con salida de 4-20mA y ��J��%�$��$'P��6��/��'P��$��$'��<��

Tomando datos del catálogo de un medidor utilizado en el mercado, se obtienen ��$��'#��$��$��DU = 0,77 x 10-7 fallos por hora.

Para una aplicación que se actúa con un solo instrumento (1oo1) y en la que se efectúa una prueba del instrumento cada año, se obtiene la probabilidad media de fallo a demanda:

G�*�#� ��DU * TI/2 = 0,77 x 10-7 x 8760 / 2 = 3,37 x 10-4

La tasa de fallos se garantiza durante el periodo de vida del instrumento. En la documentación manejada no consta la vida útil recomendada por el fabricante para este instrumento.

Medidor Vortex

El medidor se basa en el principio de que si se introduce un cuerpo de geometría ��$��'��'��$��/��]�Q��$��-ticas oscilantes determinadas. El cuerpo no tiene que ser aerodinámico, pero debe ��#��$'��]�'��$��'��#��'�'��número de Reynolds. En la parte izquierda de la Figura 8.7 se aprecia lo indicado. Cuando se introduce la obstrucción en la corriente de caudal, se producen los vórti-ces a partir de la misma y aguas abajo.

Figura 8.7. Principio de funcionamiento del medidor Vortex.

Para detectar los vórtices existen varias técnicas, como son: por ultrasonidos, por disco oscilante, por capacitancia, por variación de resistencia debido a la diferencia de presión, por bola oscilante y por variación térmica.


El detector térmico, cuyo detalle se puede ver en la parte derecha de la Figura 8.7 funciona de la siguiente manera: En la pieza generadora de vórtices, tal como ve en el detalle de la derecha, hay un paso transversal a través del cuerpo, colocado detrás de la cara frontal del generador de vórtices. En este paso, se sitúa un termistor que se calienta y mantiene a una temperatura constante cuando no hay caudal. El termistor detectará los vórtices, como consecuencia del efecto de enfriamiento debido al paso ��]�'��)��$��$'��$��$'��$�/�)�3��'��las variaciones de presión generadas por los propios vórtices, en cada lado del paso transversal. Las variaciones de temperatura son convertidas en señal eléctrica, ge-neralmente pulsos, proporcional al número de vórtices que a su vez es directamente proporcional al caudal.

%� ��

Con este tipo de medidor, es muy importante no tener perturbaciones en el tramo anterior al detector. Para ello, si hubiera un codo a 90º aguas arriba del transmisor, debe haber un tramo recto de al menos 20 diámetros después del codo de 90º y hasta el transmisor, para evitar que las perturbaciones aguas arriba produzcan la formación de remolinos en el caudal, que puedan enmascarar los vórtices. Si llegan perturbacio-nes causadas por codos, válvulas, cambios de plano de la tubería, o por la junta de la brida anterior del instrumento que esté mal colocada, se puede producir un error de medida considerable. El caudal a la entrada debe ser muy estable, y no estar someti-do a ningún tipo de vibración.

Figura 8.8. Medidor Vortex.

No se pueden calibrar en línea con el proceso en funcionamiento.


��

Tomando los datos de los catálogos de algunos medidores utilizados en el mercado, ��&$'��$��'#��$��$��DU = 3 x 10-7 fallos por hora. Son instrumentos del tipo B, con fracción de fallo seguro SFF mayor del 72%.

Para una aplicación que se actúa con un solo transmisor (1001) y en la que se efectúa una prueba del instrumento cada año, se obtiene:

G�*�#� ��DU * TI/2 = 3 x 10-7 x 8760 / 2 = 1,31 x 10-3

La vida útil recomendada por los fabricantes para este tipo de instrumentos no se '��'��$'P��*��+�ADHE?:B��$��>�@�>�@/��&��asumir un tiempo de vida útil basado en la experiencia. Los transmisores electróni-cos suelen tener una vida útil de entre ocho y doce años.

8.2.2. REPARACIÓN Y CALIBRACIÓN DE INSTRUMENTOS MEDIDORES DE CAUDAL CON SENSOR INSERTADO EN LA TUBERÍA

En los tipos de instrumentos que se han visto, la mayoría de las averías electrónicas pueden ser reparadas reemplazando la electrónica directamente en campo, sin tener que desmontar todo el instrumento y hacer necesaria la parada del proceso.

La comprobación del buen funcionamiento de los instrumentos, y la calibración ��'��'P��'�'��'�/��'��'��'$��con el proceso en funcionamiento. En la mayoría de los casos, estos instrumentos han de ser enviados a laboratorios de las casas centrales de los suministradores, don-de pueden disponer de los instrumentos y medios necesarios para la comprobación de su calibración.

Es necesario resaltar lo que implica el envío de instrumentos fuera de la planta, en cuanto a tiempos de indisponibilidad del instrumento y costes de desmontaje, limpieza, envío, seguimiento de la reparación o calibración, recepción y montaje.

H��!��<��%��

Debido a los problemas que se plantean al enviar el instrumento fuera de la instala-ción, se opta por la alternativa de calibrarlo o ajustarlo en la planta.

��$�/� �� $T� ��'P�� $�� P#�� '�$��electrónicos del detector-transmisor. Dependiendo de los tipos de instrumentos, pue-de ser necesario hacer circular caudal por el instrumento, medirlo con otros medios y reajustar los parámetros del instrumento, para que su medida se aproxime lo máximo posible a la realidad.

En este tipo de pruebas y ajustes, es necesario disponer de: básculas o platafor-mas de pesaje de cierta precisión, de depósitos o tanques calibrados para almacena-�'��$��]�'��'��)��'P��'��/�3��3�� sido medido por el instrumento a comprobar y ajustar. Es necesario utilizar líneas


y circuitos del proceso, para direccionar y almacenar el caudal del medidor que se 3�'��'P��¨��'��'��'�$��&��&��)��$��

También es necesario utilizar recursos humanos especializados para efectuar la comprobación de la calibración, que generalmente se hace en conjunto con el técnico de la casa suministradora del instrumento. Se necesitan más recursos humanos para controlar los caudales, los almacenamientos, el pesaje y toda la operativa necesaria.

Durante el tiempo necesario para la calibración en campo, que puede ser de bas-tantes horas por instrumento, la parte del proceso donde está el medidor no puede ser operativa, aunque el medidor no forme parte del control automático del circuito. Por ello, puede ocurrir que la planta o la unidad de proceso afectada tengan que estar en funcionamiento para generar y mover el producto a medir, pero con productos fuera ��'P��'��/�3��'��$��'��$��

Teniendo en cuenta lo anteriormente expuesto, se deben analizar los tipos de ��'��O'�$��$��/��$��$'��]�'��)��condiciones operativas de la aplicación para la cual los necesitamos, y así, podemos decidir cual es el más indicado para nuestro proceso.

8.2.3. MEDIDA DE CAUDAL CON ELEMENTO GENERADOR DE PRESIÓN DIFERENCIAL INSERTADO EN LA TUBERÍA

Los elementos generadores de presión diferencial más utilizados para la medida de ��'��'��'��7��'P�'�/��$�&��S��$��'/��$�&��-bar, la tobera de caudal y el medidor tipo Wedge.

Cada uno de estos elementos tiene características singulares para su utilización ��'��$��]�'��#��$��'#��'��&Q��4��'��#/��$��$'�'��&��$��$'��]�'��$��'��/��$��$'�'��]�'��$��'��'��)��$��]�'��'��con partículas sólidas en suspensión.

Todos estos elementos generadores de presión diferencial permiten conocer el caudal mediante la medida de la presión diferencial que generan al pasar el caudal a través de ellos mismos. Las fórmulas matemáticas, y los principios físicos utilizados para establecer la relación entre el caudal y la presión diferencial de estos generado-res de presión diferencial, son muy conocidos, muy contrastados y fáciles de com-probar. La diferencia de presión generada por el elemento se mide con un transmisor de presión diferencial conectado al proceso, mediante dos líneas de conexión de presión.

El elemento generador de presión diferencial es mecánico, no tiene partes en movimiento, es robusto y bien conocido su comportamiento frente a desgastes por rozamiento, o a taponamientos por ensuciamiento. Cuando se selecciona el material adecuado es prácticamente inalterable, y por ello, exento de averías. Los elementos #��'��'��'��'P�'�/�S��$��'/�$�&��)�¾��#��$'-�'��]�'��$'��$��'��'��/��$��BE��J��'��-miento continuo, sin necesidad de ningún tipo de mantenimiento.


Cuando se sospecha que la medida tiene un error superior a lo previsto, se puede esperar a la próxima parada del proceso para inspeccionar y cambiarlo, si es nece-sario. Se puede esperar hasta la próxima parada, porque este tipo de elemento puede dar un error que irá aumentando lentamente durante un largo periodo de tiempo. La tendencia de la presión diferencial generada siempre sigue los aumentos y disminu-ciones del caudal, y permitirá efectuar el control del mismo, aunque pierda precisión en la medida.

Con la excepción de un taponamiento en las líneas externas, cuando pasa caudal, no hay nada que bruscamente pueda impedir que se genere presión diferencial en el ��'P�'��/��$�&��/��S��$��'��¾��#��G�� '�'��)��&��'��$��$��&'��/��'��'��'��'��)��'P-cación de sus dimensiones internas, comparándolas con las originales, para controlar los desgastes por rozamientos.

��)��'P��$��3��#��$��$'��'��se producen en las líneas de conexión de alta y baja presión al transmisor. Los pro-blemas vienen dados por las columnas de líquido que se forman y por los tapona-mientos o fugas que se pueden producir en las líneas de conexión. Más adelante se indican técnicas de montaje, para eliminar o minimizar los problemas de las líneas de conexión.

El tubo Annubar es otro elemento que se utiliza para medida de caudal por pre-sión diferencial. Proporciona una medida de caudal menos precisa que la del resto de los generadores de presión diferencial. Son susceptibles de mal funcionamiento ��$��'��$��#�Q��/�'��]�'��$'��$��'��'��-��recomendables para su utilización en funciones instrumentadas de seguridad.

8.2.4. VENTAJAS E INCONVENIENTES EN LA MEDIDA DE CAUDAL

Comparando las medidas de caudal de los instrumentos insertados en el proceso y la variedad de técnicas utilizadas, con la medida basada en la presión diferencial, se puede apreciar que dependiendo del tipo de medidor adoptado en cada proceso, se ��'�'$��'P��$��'&'�'��$��'�'��$��)��&-ción o sustitución del instrumento de medida, en caso de avería.

En los medidores por presión diferencial, la mayoría de los problemas se produ-cen en las conexiones al proceso y en menor número en el transmisor. Ambos son externos y pueden ser reparados o reemplazados, mientras que el proceso sigue en funcionamiento.

En los detectores insertados en las tuberías, cuyos instrumentos no se pueden des-montar de las mismas sin parar el proceso, la mayor parte de las averías del sistema detector transmisor necesitan equipos complejos, y requieren su desmontaje para poderlos comprobar. Esto obliga a parar el proceso o a disponer de línea de baipás y válvulas de aislamiento, para poderlos desmontar.

En las funciones relacionadas con el control y los sistemas de seguridad, sería preferible utilizar los elementos y sistemas de medida más fáciles de comprobar, más


P&��$�&Q��)��'��$��+��&Q�$'��3��paradas imprevistas de la instalación y, sobre todo, que los instrumentos estén dispo-nibles cuando la seguridad lo requiera.

6��$'�'�� '��$��$��Q��'�'��)��)��'P��$��prueba, para funciones tales como: medidas para comprobar rendimientos, balances, ajustes de la operación y en general donde la precisión de la medida es importante, pero no absolutamente necesaria para el funcionamiento, la producción o la seguri-dad de la planta. Si durante el ciclo de trabajo entre paradas estos instrumentos tienen alguna avería que no pueda ser reparada en funcionamiento, quedarán fuera de servi-cio durante un largo periodo de tiempo, pero se mantiene la producción y el nivel de seguridad, si no se utilizan para estas funciones de manera directa.

También se pueden utilizar más ampliamente los instrumentos que van insertados en plantas de trabajo discontinuo, donde las paradas por cambio de tipo de producto son muy frecuentes, o en plantas de producción que tienen partes del proceso con sistemas de trabajo intermitentes. En caso de avería y parada de producción parcial, podrán ser reparados o reemplazados y su repercusión sobre la producción será re-ducida, si los procesos son independientes unos de otros.

Para los sistemas de seguridad de la planta, la disponibilidad de los instrumentos 3��$��'��'��&��'��'$�'/��/��P��$'�'��instrumentos que se puedan comprobar fácilmente y que se puedan reemplazar por otros, en periodos de tiempo muy cortos, sin que sea necesario parar los procesos.

��%��j��j��%�� j�

Observemos una planta de procesos, diseñada con exigentes criterios de seguridad. El periodo de funcionamiento continuo entre paradas programadas es de tres años.

En un horno de proceso, se calienta un producto derivado del petróleo, que va controlado en caudal. Para garantizar la seguridad de los tubos, y para que no se sometan a temperaturas excesivas cuando baja el caudal de un valor determinado, se debe producir una alarma de aviso. El operador del proceso tomará alguna acción de las varias previstas, para solucionar el problema. Por diversas razones, si el caudal sigue bajando y se llega a un valor inferior al de seguridad predeterminado, auto-máticamente se debe producir una acción de seguridad que proteja los tubos de la alta temperatura que se alcanzará en los mismos, como consecuencia de que el bajo ��'#��P�'��$��$��'��#��'��/��'�$��$��sobre el sistema de combustión para poner los quemadores al mínimo, e incluso, bloquear y apagar los que sean necesarios para que baje la temperatura.

En esta aplicación, el caudal de entrada al horno se debe controlar utilizando un transmisor para el lazo de control.

Para producir una función de alarma previa, se debe detectar el caudal mediante un transmisor con conexiones independientes del de control.

Para la función automática de seguridad, se debe detectar el caudal mediante un transmisor con conexiones independientes del de control y del de alarma previa.


En la aplicación, son necesarios tres transmisores para las funciones de control, de alarma y de seguridad. Cualquiera de estas funciones –la función de alarma re-quiere además la intervención del operador es capaz de mantener el proceso en condiciones aceptables de trabajo. El fallo de las tres funciones podría llevar el pro-ceso a una situación de peligro rotura de los tubos por sobrepasar la temperatura de funcionamiento seguro.

Considerando las funciones indicadas en esta aplicación u otras similares, se ha de analizar la posibilidad y facilidad de comprobación de los instrumentos ante un fallo de los mismos, o ante un plan de pruebas preventivas para asegurar el funcio-namiento correcto. Se debe analizar si se pueden probar cuando están instalados en el proceso, o si es necesario tener que desmontarlos.

También se debe analizar la posibilidad de reemplazar o sustituir piezas, o el ins-trumento completo, ¿se debe parar el proceso?, o puede seguir funcionando durante la prueba o reparación. Considerar los costes para las válvulas y líneas de baipás necesarias para los instrumentos insertados.

Considerar el tiempo necesario para reparar externamente a la compañía cada instrumento y los costes de envío y devolución. ¿Se puede tener un instrumento de reserva como respaldo de muchos?, o cada instrumento es particular y se requiere una reserva por cada uno. Cuando se eligen los instrumentos para funciones instru-mentadas de seguridad, se deben considerar y analizar todas estas preguntas.

De acuerdo a lo indicado en otros capítulos, sabemos que puede haber funciones de seguridad que por el nivel de riesgo asignado en el análisis, requieren no solo uno, sino dos o tres transmisores independientes, para satisfacer las exigencias de diseño, bien por arquitectura, por probabilidad de fallo ante demanda, o por ambas exigencias al mismo tiempo.

En centenares de aplicaciones similares al ejemplo mostrado, se utiliza la medida del caudal mediante la técnica de presión diferencial y transmisores independientes para cada una de las funciones de control, alarma y seguridad.

8.2.5. MEDIDA DE CAUDAL POR PRESIÓN DIFERENCIAL

La medida de caudal por presión diferencial se produce cuando en la tubería se in-troduce un elemento que produce un estrechamiento, y cuando pasa el caudal través del mismo se genera una presión diferencial entre la entrada y la salida del elemento. El caudal que circula por la tubería es proporcional a la raíz cuadrada de la presión diferencial que se genera.

Se mide la presión diferencial con un instrumento conectado al proceso mediante dos líneas de impulso de alta y baja presión. El transmisor genera una señal de salida electrónica, que es proporcional a la presión diferencial medida por sus cámaras de alta y baja presión. El instrumento es externo y se puede independizar fácilmente del proceso, mediante válvulas de cierre en las líneas de impulso. En estos casos, los instrumentos y las líneas de impulso se pueden aislar del proceso sin que se tenga que interrumpir el mismo.


Los elementos más utilizados para conocer el caudal mediante la medida de la presión diferencial que generan, son los que se indican en los siguientes párrafos.

}��&��

Dependiendo de los tipos de productos a medir, fundamentalmente de la viscosidad y del grado de impurezas o sólidos en suspensión que pueda contener, existen las �'#�'��$��'�$��'P�'�7�G��'P�'��4�$�'��/��'P�'��#��$�/��'P�'��O�4�$�'��/��&��$��/�cónica, o con otras formas especiales para distintas aplicaciones.

Figura 8.9. Placa de ori�cio concéntrico.

��'P�'��4�$�'��)��'�$��'��$��$��$��ampliamente utilizado en la mayoría de las plantas industriales, para la medida de gases, vapores y líquidos relativamente exentos de sólidos y con baja viscosidad. Las principales razones para ello son: su bajo coste, su robustez, su adaptabilidad a todo $'��]�'��#��3�'��/��'��'&'�'��P�'��$��'-sión obtenidos a través de multitud de pruebas realizadas en laboratorio, y la dispo-�'&'�'��$��)��&'��P�'��/��'��J��'��$��'��

��$��$'��]�Q��'�$��'��)��'��&'�� ]��+��'��'��]�Q��$��$'��$��&��-$'��/��$��'P�'��$��)��&��$��&'��


+O'�$��'��/��'��J��'��$��'��'P-cio. Una de las más utilizadas es la Norma ISO 5167-2.

��$��'��$Q��'P�'�/�'��'��$��$��$'��que sea, se debe inspeccionar cuidadosamente para que el montaje sea correcto y ��#�'��)��#��'�'��'��6'��'P�'��ha sido bien calculada, el material para su construcción ha sido bien seleccionado ��]�'��'�/�)��'��'��)��$Q�� $��$�/��-manecer en su lugar de instalación durante veinte años midiendo adecuadamente, sin causar ningún problema.

G��'��'��'��'��'P�'�/��O'�$��varias formas de situar las conexiones de presión respecto a la placa, las más utili-zadas son:

��&�� '�� #

Es el tipo de conexión más utilizado en tuberías de dos pulgadas de diámetro o mayores K�'#��?�DEL��'$��$'�'��'��'#�'��$��7��Ã�DB/H��/�HE�Ä�*�Ä�D�EEE��/�E/D�Ä�Å�Ä�E/>H/��T��(�)��(eD�Ã�H�EEE�)�(eD�Ã�D>EÅ2 D. (D en mm).

Figura 8.10. Conexiones en bridas.

Los ejes de cada una de las dos conexiones de alta y baja presión están situados a una pulgada antes y después de la cara anterior A y posterior B de la placa. Se deben considerar los espesores de las juntas colocadas entre las bridas y las caras A y B de la placa. Es importante la observación de las distancias de las tomas para no


'�]�'��P�'��$��)��$�$��'�'��'��6��siguientes tolerancias: 25,4mm � 0,5mm cuando simultáneamente se da que �>0,6 y 58 mm<D<150 mm, en el resto de casos se da 25,4 mm � 1mm.

��&�� #

Las conexiones en la vena contracta, están localizadas a un diámetro de tubería aguas arriba de la placa y al punto de mínima presión aguas abajo de la placa. Se utilizan frecuentemente en la medida de vapor de agua y se obtiene mejor precisión que con las tomas en bridas. Con relaciones �� 8*�ÄE/>B��O'��'-nan radius taps�)��$T��$��PQ��D��'��$��#��'&�)�Ç��'��$��#��&Q��'P�'�/��4��'#��?�DD��'�'��'��prácticamente igual a la obtenida con las tomas en vena contracta.

G��'P��$��3��O'�$��P�'��#��&Q��'�$��'�de la vena contracta, este tipo de conexión no se utiliza.

Figura 8.11. Conexiones radius taps.

��&�� #�

De acuerdo a los tamaños de líneas indicados en la Norma ISO 5167, este tipo de conexiones se utilizan con las toberas ISA 1932, y en la conexión aguas arriba de las toberas Venturi.

Las conexiones pueden ser realizadas de forma individual, o realizadas en un �'��$��'��O��$��$��P��*�&'��Q'��Q��-ción de estas conexiones, se recomienda ver la norma con la que se ha efectuado la ��$��'��/�� '��'��)��'P��'��$��'��'��antes de su instalación.


Toberas de caudal

6��$'�'��$��$��3��'P�'��)��'��$��$�&��/��$��&�'��/��'P�'��$Q��'��'��/��$��'P�'�/��3��$'��'��'��'��'��G��4��'��'��)��'��$��'P�'��$��'��/��'�� $��AHµ��3��'P�'��6��$'�'��'��]�'��$�velocidad. Cuando se utilizan con bajo número de Reynolds, la precisión de la me-dida disminuye considerablemente.

Hay varios tipos de toberas, pero las dos más utilizadas son: la tobera ISA 1932 ��)��P��$��È��/�)��$�&��6�+��)��P��$��È��'��$��$��$'��)��&��tipos de tobera se pueden ver en el Estándar ISO-5167. En la Figura 8.12 se pueden ver los dos tipos de toberas indicados.

Figura 8.12. Toberas de caudal.

Tubo Venturi

El tubo Venturi se utiliza en aplicaciones donde es muy importante reducir la pérdida de carga permanente. La pérdida de carga permanente de los tubos Venturi, es la más baja de los elementos generadores de presión diferencial para medida de caudal. Puede ser del 10 al 14% de la presión diferencial producida para la medida del caudal.

En la Norma ISO.5167, se describen diseños con dimensiones, cálculos y co-nexiones del Venturi clásico.

En la Figura 8.13 se puede ver un tubo Venturi clásico. Se hace notar que las conexiones de alta y baja presión, que corresponden a la entrada y a la zona de es-


trechamiento del Venturi, se efectúan con varias tomas, al menos cuatro, hechas en forma radial y unidas a una cámara anular que promedia el valor de la presión me-dida en cada una de las cuatro tomas. Las cámaras anulares pueden ser construidas ��$��S��$��'/��P#��$��/��tubos que rodean circularmente el Venturi por las zonas de entrada y cuello respec-tivamente y están conectados, cada uno de ellos, a las cuatro tomas radiales de sus zonas correspondientes. Las conexiones de presión para el instrumento de presión diferencial son dos y se efectúan en las cámaras anulares o en los tubos circulares.

Figura 8.13. Tubo Venturi.

��j��%��

El elemento medidor consiste en un tubo con una restricción en forma de cuña como se puede ver en la Figura 8.14. La restricción crea una presión diferencial entre la en-trada y la salida del caudal a través del estrechamiento, que es proporcional al caudal volumétrico al cuadrado que pasa por el tubo de medida. La presión diferencial pro-ducida está en función de la relación entre la abertura segmentada H y el diámetro D.

Figura 8.14. Medidor de caudal �po Wedge.

Puede medir líquidos, gases, vapores de hidrocarburos y vapor de agua. La res-$�'��'��J��$'��&��P��/��'��'��'��#�$��-ticos que puedan afectar de forma apreciable la precisión de la medida a lo largo del tiempo. Los medidores se pueden suministrar con precisión de 0,5% del caudal ��'��$��#��'&��'��/��&��'P��)��'��'-brados desde fábrica.


Se resalta que este tipo de medidor tiene ventajas con respecto a otros más con-��'��'P�'�/��'��$��'��/��'��)��$�� '��3�� $�� '��]�'��$�� -diciones de trabajo son muy difíciles de medir y además obstruyen fácilmente las tomas de presión, por ello, se pueden hacer dos tipos de conexión para unir el instru-mento de presión diferencial, que son:

� Conexiones de ½” o de ¾”, (véase la Figura 8.14). Se aplican este tipo de conexiones, cuando se quiere utilizar Flushing como sello dinámico, entre el ]�'��)��'��$��$��'��'��'��

� Bridadas, como se puede ver en la Figura 8.15. Se emplea frecuentemente ��$��$'��O'��/��&'��&��3��$��]�'��interno de la tubería, se utilizan diafragmas de sello y capilar para aislar las ��$��'��'��'��'��]�'��$�&��

Para medida de líquidos se recomienda la instalación con las conexiones giradas 90º con respecto a la línea central de la tubería, como se puede ver en la Figura 8.15. En esta disposición, la cuña de obstrucción (parte obscura) queda perpendicular en la sección de la tubería y las tomas en horizontal. Con esta forma de montaje, se permite el paso libre a los sólidos en suspensión y se evita que puedan quedar atrapados gases en las conexiones, que podrían falsear la medida de la presión diferencial correspon-diente al caudal. Cuando las conexiones bridadas se hacen hacia arriba, es posible que queden atrapados gases que puedan causar errores. Cuando se utiliza Flushing, las conexiones hacia arriba se pueden ventear a través de las líneas del Flushing y no causan problemas en la precisión de la medida.

Figura 8.15. Conexión con bridas.

8.2.6. RECOMENDACIONES PARA MEDIDA DE CAUDAL POR PRESIÓN DIFERENCIAL

Para efectuar la medida con la máxima precisión, se debe utilizar el Estándar ISO 5167 para el cálculo del elemento, para la disposición, tamaño y distancia de las


tomas de presión diferencial, para la rugosidad y tolerancia de las tuberías, así como para la exigencia del cumplimiento de los tramos rectos antes y después del elemento de medida.

k��%j\��%��

G��'$��$��&�'��]�Q�/�)�� '��'-�'��'�'��'��O��'��$��$��&$��P�'��$��'��en el cálculo, todos los elementos generadores de presión diferencial como placas ��'P�'�/�$�&��)�$�&��S��$��'/��3�'��$�'��$��'��longitudes de tramos rectos antes y después de los elementos. Los tramos rectos se dan en longitud equivalente al número de diámetros de la tubería que deberán ser rectos y libres de perturbaciones, antes y después del elemento de medida.

Los tramos rectos necesarios, están basados en la relación de diámetros de la ��'P�'��$��'��$��'�$��'��*��$�&��/��$��3��cuanto menor es la relación, menor es la exigencia de la longitud de tramo recto. Se recomienda, siempre que sea posible, utilizar la longitud de tramo recto como si la relación fuera de 0,7. Si debido a nuevas condiciones en el proceso, en el futuro fuera ��'��&'��'P�'�/��'��'�/��'��Q��hubiéramos dispuesto tramos rectos para una relación d/D = 0,4 y posteriormente, por el cambio de la placa, la relación fuera de 0,72.

Situación de las conexiones en la tubería o bridas

Para que la presión diferencial pueda ser medida, se necesita conectar el transmisor mediante dos líneas denominadas líneas de impulso o tomas de presión diferencial a las conexiones dejadas por tuberías. Deben estar de acuerdo con el elemento prima-rio y con el tipo de conexiones utilizado en el cálculo. En la mayoría de los casos, se �$'�'��'P�'��$��&�'��

+��$��&�'��'P�'�/��'��U��-vulas de raíz”, las cuales permiten aislar de la línea principal de proceso las líneas de impulso y el transmisor. Para evitar problemas en la medida de la presión diferencial, las conexiones se deben efectuar con las siguientes orientaciones:

� Fluido líquido o vapor de agua, se deben hacer en horizontal, como se indica a la derecha de la Figura 8.16. Cuando no es posible y solo como alternativa, se hacen a 45º hacia abajo para medir líquidos.

� Fluido gas seco, gas húmedo (vapores de hidrocarburos) o vapor de agua, ��&�� '��'��$��'�3�'��'��P#��conexiones para medir vapor de agua pueden estar situadas en horizontal, en 45º hacia arriba y en vertical hacia arriba. Con las conexiones de salida representadas, se obtienen los mejores resultados en las medidas. Están de acuerdo con las recomendaciones de ASME, API y la propia experiencia en instalaciones de plantas industriales.


Figura 8.16. Conexiones para medida de caudal.

Se deben evitar las conexiones verticales en la parte inferior de la tubería. Aun-3��]�'��Q��'��'��/��'�� &��$��$��'-��3��'$��$�&��$��'P�'��O'��de alta presión se obstruirá al cabo de un tiempo en función de la deposición de sólidos.

Las conexiones a 45º hacia abajo que se dan como alternativa en líquidos, tam-bién se deben evitar por la misma razón. En tuberías de 3” e inferiores, las co-nexiones a 45º hacia abajo están a pocos milímetros del fondo de la tubería y son susceptibles de obstrucción por los arrastres de sólidos depositados antes de la placa ��'P�'��

En la Figura 8.17 se muestran dos tuberías de 2” y 4” con sus correspondientes &�'��'P�'��)��O'��@HÉ��'��$�� '�&Q��6��'��3��en líneas de tamaño pequeño, el agujero de la conexión de presión queda a una altura de 4 mm del fondo de la tubería. Si hubiera partículas sólidas arrastradas, o ��'��3�'��'�/�3��$��'��'P�'�/�y entrarían en la conexión hasta obstruirla. En las líneas de 4” y mayores, las co-nexiones de presión quedan a más altura del fondo de la tubería. En la brida de 4”, ��'��'��=��$��6'��]�'��$'��$��'��'�/��&�$��'��tardar mucho tiempo en producirse, pero aunque más tarde, siempre se producirá. Por las razones dadas anteriormente, si las conexiones se hacen en horizontal, cual-3�'��$��'��3��$��4��'P�'��/��$��largo de la tubería, no se depositará en las tomas, y no se producirá obstrucción en las mismas.


Figura 8.17. Conexiones en bridas de ori�cio con tuberías de 2” y 4”.

Longitud de líneas de conexión al proceso

+��#��/��]�'��'��$��$�&��&��-diante las líneas de conexión de instrumentos a salas de control, salas de interconexiones, paneles locales o cualquier local que pueda estar cerrado aunque solo sea parcialmente.

Los instrumentos deben ser montados lo más cerca posible de las tomas de im-pulso y en zonas con gran ventilación. Cuanto más cortas sean las longitudes de las líneas hay menos posibilidad de fugas, de taponamientos y mayor velocidad en la respuesta del transmisor a las variaciones en la presión diferencial. Las posibilidades de error disminuyen con líneas cortas.

Las líneas largas requieren mayor soportado, ocupan mayor espacio, requieren más materiales y tienen mayor riesgo de fugas. Sin embargo, la buena ubicación y accesibilidad de los instrumentos en suelo o plataformas accesibles es uno de los factores fundamentales para la ejecución de un buen mantenimiento. El ahorro en escaleras, andamios, horas de ejecución de los trabajos y el aumento de la seguridad, compensan en poco tiempo el extra coste inicial de este tipo de montaje.

La unión de los instrumentos a las conexiones de los elementos de caudal se hace con líneas de impulso de longitudes comprendidas entre tres y doce metros. La ��$��'��$��'�'��'��'��'��&��/��]�'��limpios y de viscosidad similar a la del agua.

��()��

Los medidores se instalarán siempre por debajo de la línea de proceso. Habrá una pendiente ascendente desde las cámaras del transmisor hacia la tubería, para que


cualquier gas que quede atrapado, incluso en la puesta en marcha inicial, pueda escapar hacia arriba. De esta forma, las tomas de presión estarán siempre llenas de líquido y equilibradas, así el instrumento medirá solo la presión diferencial corres-pondiente al caudal.

En la Figura 8.18 se muestran dos tipos de montajes remotos que permiten situar el instrumento en zona accesible y exenta de vibraciones. Las líneas deben tener siempre una pendiente hacia arriba superior al 10%, para facilitar el venteo de cual-quier gas que pueda haber en las cámaras del transmisor o en las líneas. Las conexio-nes alternativas de 45º hacia abajo se evitarán siempre que sea posible, para impedir taponamientos a lo largo del tiempo.

Figura 8.18. Medida de caudal de líquidos.

��

La Figura 8.19 muestra la disposición típica de los transmisores para la medida de gas seco, o gas que pueda tener condensables. El montaje de los transmisores por encima de la línea de proceso y con pendiente en caída desde el transmisor hasta la ��'P�'�/�#��$'��3��$��/�)�3��$��-nan por su propia pendiente.


Cuando por diferentes razones el instrumento no se puede montar por encima de ��'P�'�/�)��/��#��$��&��$��-quido, se efectuará un montaje como el de la Figura 8.20. Las conexiones de la placa �� '��'&/��'��'��$��'��'��P#��6��'��$��potes de recogida de condensado en ambas líneas. El instrumento se situará más alto que la conexión a las líneas de impulso verticales, y se dará pendiente a las conexio-nes para que cualquier líquido se drene hacia los potes. Las válvulas sobre los potes estarán abiertas en servicio normal. Cualquier líquido que entre o se condense en las líneas de impulso, se drenará hacia los potes. Este montaje impedirá que se formen columnas de líquido en las líneas de impulso y el instrumento medirá correctamente durante largos periodos de tiempo. Se deben revisar y drenar los potes cada cierto tiempo, en función del líquido que se acumule.

Figura 8.19. Medida de caudal de gases.


Figura 8.20. Medida de caudal de gases con potes de drenaje.

��

En la medida de vapor de agua, los instrumentos se deben instalar por debajo del ��$��'��'��'��)��'�$��'��P�'��$��'$'��-sación y el enfriamiento del vapor. Debido a la alta temperatura del vapor, que puede causar daños en las cámaras, o en la electrónica del instrumento, se debe facilitar que se interpongan columnas de condensado entre las cámaras del instrumento y el vapor que va por la tubería.

En la Figura 8.21 se muestran dos montajes típicos de transmisores remotos para ��'��O'��'P�'�� con salida en horizontal, o en vertical hacia arriba, o en 45º hacia arriba. En todos los casos, las dos conexiones de alta y baja presión deben salir al mismo nivel, para que las columnas de líquido en ambas cámaras del transmisor tengan la misma altura, y se puedan anular una con la otra. De esta forma, la presión diferencial que medirá el transmisor corresponderá a la generada por la placa, y consecuentemente al caudal de vapor.


Figura 8.21. Medida de caudal de vapor.

Los potes de condensado se utilizan fundamentalmente con los instrumentos que al variar la presión en las cámaras, Estas se contraen o expanden, como ocurría en los instrumentos antiguos del tipo célula Barton. Al aumentar o disminuir el volumen de las cámaras por el efecto de la variación de presión, el líquido condensado que contienen es necesario reponerlo rápidamente, para que las columnas de líquido en las líneas de alta y baja presión estén siempre equilibradas y solo mida la presión diferencial producida por el elemento generador de presión diferencial.

Con los instrumentos de las últimas generaciones, cuyo desplazamiento volumé-trico suele ser menor de 0,08 cm3, no es necesario utilizar los potes de condensado. W&�4��3��'��$�&'�#��'��O'�&��ÇV�W*��'��$��interior de 10 mm, con el máximo desplazamiento volumétrico indicado, la varia-ción de altura de columna es inferior a 1 mm.

Esta variación mínima, es el objetivo que se trata de conseguir cuando se instalan ��$�� 6��P��3�� '��$��$��&Q��-��'��$��4$�'��/� �� P�'��$��3�� $��$��&'��$�� condensación en las dos líneas, y que las salidas de las líneas de conexión hacia el instrumento estén al mismo nivel.


8.2.7. CONEXIÓN DE VARIOS INSTRUMENTOS DE PRESIÓN DIFERENCIAL

En las plantas de proceso muy instrumentadas y con criterios estrictos de seguridad, ��'��'P�'��$'�'��'��'��diferentes, por ejemplo: función de control del caudal, función de alarma por alto o bajo caudal y función de seguridad para producir actuaciones sobre el bloqueo, disparo, o arranque de equipos.

+��P#��$��'�� $��$Q��'��$��$��caudal. Cuando se requiere más de una función, Estas se pueden conseguir de dife-��$��'��#��P&'�'��3��'#��

La función con máximo nivel de seguridad se asigna a un instrumento que tie-ne conexiones eléctricas y mecánicas independientes de otros instrumentos, aunque tengan asignadas funciones de control, de alarma o de seguridad. De esta forma, un fallo solo afectará a una función.

+��'��/��&'��&��P&'�'��$��'��&��'��'��'�/��'P�'�/�S��$��'�/�$�&��)�¾��#��/��acepta que con una sola placa se puedan conectar hasta tres transmisores. Se recuer-da que la posición de las conexiones del elemento generador de presión diferencial se debe realizar como se indicó en los párrafos precedentes, para obtener la máxima P&'�'��)��'��'&'�'��'��'��$��

En la Figura 8.22 se muestra una disposición de montaje con tres funciones. La función de seguridad se consigue con un instrumento cuyas conexiones mecánicas son totalmente independientes. Las funciones de control y de alarma previa de cau-dal se consiguen con instrumentos y conexionados independientes entre sí, pero en este caso, las conexiones mecánicas de alta y baja presión tienen como punto común la válvula de raíz y el niple de conexión a la brida, en cada línea respectivamente.

Con esta disposición y un solo fallo, por ejemplo la obstrucción de una de las conexiones a la placa, se podría inutilizar el transmisor del sistema de seguridad. En este caso, el transmisor de control y el de alarma previa nos permiten mantener el proceso en control seguro.

La obstrucción en una de las conexiones del otro lado podría inutilizar las fun-ciones de control y alarma, como consecuencia de ello se desestabilizaría el proceso, pero la función de seguridad actuada por el otro transmisor, que es totalmente inde-pendiente, actuaría el disparo llevando el proceso a posición segura. Cualquier otro fallo que pudiera darse en un instrumento, o en un conexionado eléctrico, afectaría a una sola función.

Cuando la función necesita un alto nivel de seguridad por probabilidad de fallo ante demanda, por exigencias de arquitectura del sistema, o cuando es necesario por ambas situaciones a la vez, se requieren tres instrumentos transmisores para la fun-ción de seguridad con la disposición dos de tres (se produce la acción de seguridad cuando dos de los tres instrumentos alcanzan el valor deseado).


Figura 8.22. Conexión de tres instrumentos a una placa de ori�cio.

��$'�'�� $�� '��$��$�� $��'�� P#��'��tres para producir un disparo, se puede prescindir de un instrumento independiente para producir la función de alarma previa con valor anterior al de disparo. De las ��J��$'��$��$��'��'��/��P#��'��$9��del sistema de seguridad se puede obtener un valor para que se produzca una alarma a un valor previo al de disparo, para que alerte al operador.

En este caso, tenemos un transmisor para el lazo de control y tres transmisores para las funciones de alarma previa y de seguridad. Veamos las posibilidades que se pueden dar para hacer la conexión de los transmisores al proceso:

^� N$'�'��'��'#��?�BB��$��$��'��+��$��'��y las conexiones de impulso para funciones de alarma previa no existen por las razones dadas anteriormente. El transmisor del lazo de control va por conexio-nes de impulso, conexionado eléctrico y sistema de control independiente. Los tres transmisores del sistema de seguridad se conectan en paralelo a las líneas ��'��3��P#��'��'��R:X��#��'��'��$��-��$��'��'��'��'��$��)��&��$��P#��-ción, se pueden independizar los instrumentos, las conexiones eléctricas y los componentes electrónicos que componen el circuito de cada instrumento de seguridad. Los transmisores de seguridad tienen en común las líneas de impul-��/��)��O'��&�'��'P�'��

De acuerdo a lo que se indicó anteriormente, conociendo el tipo de produc-to a medir, su limpieza y la forma en que se efectúan las conexiones podemos


��$'��#��P&'�'��)��'&'�'��$��'��$��de impulso o las conexiones. Con líquidos limpios y conexiones en horizon-tal, o con gases secos y conexiones hacia arriba, el taponamiento de las co-nexiones es desechable. Con productos sucios o viscosos, o con conexiones en 45º hacia abajo en líquidos, las posibilidades de taponamiento deben ser tenidas en cuenta y hacer que se desestime este tipo de conexionado mecáni-co. Cuando se utiliza una composición dos de tres para el disparo, es porque se requiere un alto grado de seguridad y una buena disponibilidad de funcio-namiento de la instalación.

Figura 8.23. Conexión de tres instrumentos con máxima separación.

^� ��'��'��'#��?�BB��'��&��O'��-&��'��/��'�'��'��$��)��P#��actual. Conectar dos transmisores de seguridad en un lado y el transmisor de control y un transmisor de seguridad en el otro lado.

+�� '�$�� #��'�� P#�� $9�� desviación de cualquiera de los tres transmisores de seguridad.

Con este tipo de montaje, dos de los tres transmisores de seguridad com-parten las conexiones desde las válvulas de raíz hasta las bridas. Si se obstru-yen las conexiones correspondientes a los dos transmisores de seguridad y se bloquean en un valor que no es el de disparo, el sistema sigue funcionando mediante el lazo de control. Cuando se produzcan variaciones apreciables en el caudal, la señal del transmisor de seguridad en el lado del control tendrá un valor diferente al de los otros dos transmisores de seguridad que se han blo-


queado y se producirá la alarma de desviación, antes de llegar a la condición de disparo. Esta alarma obliga a hacer una revisión de los tres transmisores y del sistema de seguridad y se podrá detectar el bloqueo de las señales.

Si se obstruyen las conexiones correspondientes al lazo de control y al transmisor de seguridad, el sistema se desestabilizará por mal control y se llegará a la condición de alarma previa, dependiendo del sistema y de las per-turbaciones detectadas, puede que el operador logre estabilizar el proceso. En el caso de que las perturbaciones sean incontrolables, lo máximo que puede ocurrir es que se produzca el disparo. Se producirá mediante los dos transmi-sores de seguridad que están conectados en el lado opuesto y que funcionarán correctamente. En este caso, la seguridad del sistema estará garantizada.

^� ��&$��'��O'��'��O'��'��$��$��consigue con una instalación como la que se muestra en la Figura 8.23. Exige '��$��'P�'��'��'��/�� /� ��duplica la pérdida de carga permanente del sistema debido a las dos placas.

Para que las medidas de las placas sean correctas, es necesario cumplir con los requerimientos de tramos rectos entre las placas u otros elementos que puedan estar entre las mismas. Las dos placas deben tener el mismo diámetro y tienen que ser calculadas con las mismas condiciones operativas, para el mismo caudal y presión diferencial. Se tendrán en cuenta los errores de medida.

��$��'��$��P#��'��/��'��$��'��'��-��$�� '�� 6�� '#�� '�� )� �� '� �� P#��'��$��'��P�'��$��

Seguridad

Como se indicó anteriormente, la mayoría de los fallos en la medida de caudal por presión diferencial se producen en las líneas de conexión del instrumento al proce-so, por ello y para minimizarlos, se han dado las recomendaciones generales que se deben cumplir. Los datos que se dan a continuación afectan solo a los transmisores y se hace notar que están obtenidos en pruebas de laboratorio con condiciones ideales, muy alejadas de las condiciones reales de los procesos industriales. Los transmisores electrónicos son aparatos del tipo B.

Tomando datos de catálogos de diferentes transmisores de presión diferencial utilizados en el mercado, se obtienen valores de las tasas de fallos peligrosos no detectados que van de 0,75 a 3,00 x 10-7 fallos por hora. Tomando un valor medio de �DU = 1,9 x 10-7 fallos por hora.


G�*�#� ��DU x TI/2 = 1,9 x 10-7 x 8760 / 2 = 8,32 x 10-4


La tasa de fallos se garantiza durante el periodo de vida del instrumento. La vida útil recomendada para estos instrumentos en aplicaciones de seguridad, es la que corresponde a los elementos que lo componen. En los sistemas electrónicos, los componentes limitativos son los condensadores electrolíticos, los cuales, trabajando a 40 ºC tienen una vida útil mayor de 50 años. Los datos reales disponibles de los transmisores en campo indican una vida útil bastante inferior. Si no se dispone de da-$��$'P��/��&��'��$�� )��J��'��T$'��

8.3. MEDIDA DE PRESIÓN

Para conocer la presión en los procesos industriales, es necesario conectar al proceso el instrumento transmisor utilizado para funciones de indicación, control o seguri-dad. La medida de esta variable es relativamente sencilla. En este apartado veremos las formas de conexionado al proceso y las posiciones más convenientes para instalar el instrumento, respecto a la toma.

Las recomendaciones para el diseño de líneas que se indican a continuación son similares a las que se dieron para el montaje de instrumentos de presión diferencial.

��$��3��Q��3�'��'��$�'�3��'��'�]�-bles, tóxicos y su manipulación puede resultar peligrosa, por ello, se detecta la presión lo más cercana posible al proceso y se transmite la señal a un sistema de control, o a un sistema de seguridad, situado remotamente en una sala de control centralizada. Como ya se comentó para los instrumentos de presión diferencial, se deben evitar las líneas largas. Las líneas para conexión al proceso deben ser lo más cortas posibles, para evitar derrames, y los riesgos derivados de los productos que contienen.

La primera válvula de bloqueo en la conexión del proceso, denominada válvula �� /� �� $�&�� 'P��'�� '��$�� servicio del que se trata. La conexión al proceso se hace normalmente de ¾” y la pri-mera válvula y el niple son también de ¾”. La conexión hacia el instrumento puede ser roscada, aunque con altas presiones o con ciertos productos pueden ser soldadas.

En la Figura 8.24 se ven detalles típicos de conexión de presión, para líneas de DÇV�)��/�)��BV�)��)��$��O'��$��'��)��ËV/��P#��'�3�'��3��'��'��válvula con el cuerpo extendido que hace de niple para soldar en la T, y en la derecha un válvolet forjado con la válvula incorporada, preparado para soldar directamente a la tubería. Estas variantes proporcionan gran robustez a la conexión y ahorran la sol-dadura del niple a la válvula. La tubería para el conexionado de los instrumentos de ��'��&��'��$��'P��'��$�&��principales de proceso, para el servicio que se requiere.

En gran parte de los servicios se utiliza tubería de acero al carbono de ¾” y Schedule 80 o superior, o el tubing��'��O'�&��6��XE@��XDA/��ÇV��diámetro exterior (OD).


Figura 8.24. Conexiones de presión.

8.3.1. CONEXIONES CON MONTAJE REMOTO

Los instrumentos de presión para funciones de seguridad se efectuarán siempre con montaje remoto, con el instrumento adecuadamente soportado y exento de vibracio-nes. Cuando el nivel de seguridad requiere la utilización de dos o tres instrumentos para una función, se efectuarán tanto las tomas al proceso como las líneas de co-nexión, independientes para cada instrumento.

Además de disponer de la válvula de raíz para poder aislar del proceso la línea de conexión y el instrumento, es una buena opción la utilización de un manifold de una vía y dos válvulas, para aislar y purgar el instrumento en las labores rutinarias de pruebas y mantenimiento.

Para medir la presión en líquidos, es necesario tener en cuenta la posición relativa del instrumento con respecto al punto donde está la toma del proceso, en la cual se quiere medir la presión. Cuando se utilizan varios instrumentos para la misma fun-ción de seguridad, las tomas del proceso estarán a la misma elevación y los instru-mentos se situarán al mismo nivel. Con el objetivo de que tengan la misma medida, las posibles columnas de líquido entre los transmisores y las tomas de proceso deben tener la misma altura.

Si el instrumento se monta más bajo que la toma, además de la presión del proce-so el instrumento medirá también la presión correspondiente a la altura de la colum-na de líquido que hay entre el transmisor y la conexión al proceso. El instrumento medirá con error por exceso.


Si el instrumento se monta más alto que la toma, la presión de la columna de líquido formada entre el transmisor y la toma se opondrá a la presión del proceso. El instrumento medirá con error por defecto.

Cuando se miden presiones bajas, por ejemplo 1 kg/cm2, la posición del instru-mento respecto a la toma es muy importante, para evitar error. El instrumento debe estar en el mismo nivel. Suponemos que el instrumento está montado tres metros más bajo que la toma de presión y que la línea está llena de agua. El instrumento indicaría una presión de 1,3 kg/cm2 (1 kg/cm2 + 0,3 kg/cm2 de la columna de 3.000 mmca) y tendrá un error del 30% que no es aceptable.

En el ejemplo anterior, si la presión a medir fuera de 20 kg/cm2, el instrumento indicaría una presión de 20,3 kg/cm2, el error por exceso sería del 1,5%. En la medi-da de presiones altas, o en la medida con gases, el error por la diferencia de posición puede ser aceptable, dependiendo de la precisión requerida.

De lo anterior se deduce que con gases secos el transmisor puede montarse indis-tintamente donde sea más accesible, por arriba o por debajo de la conexión al pro-ceso. Con líquidos o gases condensables, si el transmisor se monta por arriba o por abajo, se introduce el error correspondiente a la columna de líquido que se acumule entre el transmisor y la conexión al proceso (véase la Figura 8.25).

Figura 8.25. Medidas de presión.

Medida de diferencia de presión

La diferencia de presión entre dos puntos de un proceso, se puede medir de varias formas distintas.


��

Se puede medir la presión en cada punto con un transmisor de presión relativa, y en el sistema de control se hace el cálculo de la resta entre las presiones medidas por cada transmisor. Cuando la diferencia de presión entre los dos puntos es pequeña y la presión a medir en cada uno de los puntos es alta, la medida puede resultar difícil de efectuar. En este caso, es necesario tener en cuenta el error debido a la imprecisión de cada uno de los transmisores utilizados. El error del instrumento debe ser muy '��'��'��'��'��3��3�'��'�/��3��$��P&��G��que la medida sea lo más correcta posible, se debe tener en cuenta que el modelo y el rango de medida de los dos transmisores debe ser exactamente el mismo en ambos. El error va relacionado con el rango de medida y los dos transmisores deben tener un error similar y bastante menor que la presión diferencial que queremos medir.

Si la presión diferencial a medir es pequeña, cada transmisor debe estar instalado a la altura de la conexión correspondiente, para evitar columnas de líquido. Si por �'P��$��$Q��&'��'�� '��$��$�� &'�� 3�'��/��tendrán en cuenta las presiones de las columnas, para corregirlas con el correspon-diente ajuste de cero del transmisor.

��

La medida de la diferencia de presión entre dos puntos del proceso con un solo transmisor de presión diferencial, puede ser más precisa que la efectuada con dos transmisores, siempre que la presión diferencial a medir esté dentro del rango de medida del transmisor.

Se deben tener en cuenta las columnas de líquido que se formarán en las líneas de conexión de alta y baja presión, y la posición del transmisor respecto a las tomas de alta y baja presión.

��

6'��]�'��#�/��'��$��$��'$��'��$��y se tendrán en cuenta las mismas consideraciones que se tienen para la medida de ��#��6'��]�'��3�'��/��'��$��$��'$��&Q��tomas y se tendrán en cuenta las mismas consideraciones que en la medida de caudal de líquidos. Las dos líneas deben tener sus columnas de líquido equilibradas, y así el transmisor nos dará la diferencia de las presiones medidas en sus cámaras de alta y baja presión, que será equivalente a la del proceso.

��

Por ejemplo, al medir la diferencia de presión entre los lechos de un reactor, o entre bandejas de platos de una columna de destilación. La diferencia en la altura de los


puntos a medir puede tener varios metros. En este caso, si el transmisor se monta en la parte inferior y el producto interior es líquido, o se condensa a temperatura am-biente, las líneas de conexión de alta y baja presión estarán llenas de líquido. Si la diferencia de altura de las líneas de alta y baja presión es de varios metros, la colum-na de líquido formada por esta diferencia de altura introduce un error que puede ser muy importante. Se debe tener en cuenta la presión ejercida por esta columna, para corregirla en el ajuste del instrumento.

6'��]�'��'��#��/��#��3��J��$��&��temperatura ambiente y el instrumento se instala por encima de la conexión superior con pendiente en las líneas de alta y baja presión para que cualquier condensado que se forme en las líneas se drene hacia las conexiones del proceso, no se formarán co-lumnas de líquido en las líneas del transmisor y la medida será correcta (véase parte superior de la Figura 8.26). Si la cantidad de gas-vapor condensado fuera apreciable y el drenaje pudiera crear taponamientos en las conexiones, se debería considerar el calentamiento de las líneas mediante acompañamiento de vapor, para impedir la condensación.

Figura 8.26. Medida de presión diferencial.

6'��]�'��'��)��&��$��$��&'��$��3�'��/�nos debemos asegurar de que el montaje del instrumento está a la altura, o debajo de la toma inferior, y que las líneas de alta y baja presión estén siempre llenas de líquido. De esta manera, se tendrán en cuenta las columnas de líquido que se forman


en las cámaras y líneas del instrumento. Se debe corregir la presión correspondiente a la altura de columna entre las tomas de alta y baja, con el ajuste de cero del instru-mento, para que la medida sea correcta.

Supongamos que se va a medir la pérdida de carga en una columna de destilación a lo largo de varios platos de separación, o en los lechos de un reactor. El instrumento ��$��&Q��$��'��'��(�P�'4��$��'��'��'#��8.26, la cámara de alta presión del transmisor se conecta a la zona de alta presión del proceso y la cámara de baja presión del instrumento se conecta a la zona de baja presión del proceso. En estas condiciones, las dos líneas de conexión estarán llenas de líquido.

Supongamos que la diferencia de altura entre las tomas de alta y baja presión es de 10 m y la densidad relativa del producto que entra en las líneas es de 0,7. En la cámara de baja presión se detecta la presión dinámica del proceso en la parte alta de la columna de destilación, más la presión correspondiente a los 10 m de columna de líquido. Las columnas de líquido de las líneas de conexión desde las cámaras del transmisor hasta la altura de la toma inferior producen la misma presión en una y otra cámara y no se tienen en cuenta porque se anulan. Se debe ajustar el cero del transmi-sor con la presión correspondiente a la columna de 10 m (10.000 mm x 0,7 = 7.000 mmca) aplicada a la cámara de baja. De esta forma, con el instrumento instalado y las columnas de las cámaras de alta y baja presión llenas de líquido, la señal de salida dada por el transmisor corresponderá exclusivamente a la diferencia de presión del proceso entre los puntos de las tomas de alta y baja presión.

Cuando en las líneas de conexión hay líquido, no se recomienda montar el ins-trumento en la parte superior. La línea de alta presión, que va desde la toma inferior hasta el instrumento instalado arriba, no se puede garantizar que esté llena de líquido y no se sabría qué cantidad de columna de líquido habría que compensar en el ajuste de cero del transmisor. Siempre habría gas en cantidad desconocida en la parte alta de la línea, lo que haría imposible una medida correcta de la presión diferencial.

Seguridad

Se recomienda que las aplicaciones de diferencia de presión para funciones de segu-ridad sean realizadas con transmisores de presión diferencial.

Desde el punto de vista de seguridad, los transmisores de presión y diferencia de presión, tienen características similares. Los valores de seguridad son parecidos a los que se dieron en el apartado anterior para los transmisores de caudal por presión diferencial.

��

Los montajes de presostatos se deben hacer remotos. Se deben soportar de manera in-dependiente de las tuberías de proceso y de las líneas de conexión, para evitar vibracio-nes. Debido a que el presostato no tiene indicación local, se instalan con un manómetro


indicador, utilizando una sola conexión a proceso para los dos instrumentos. Tendrán válvulas de aislamiento y purga independientes para el manómetro y para el presostato.

El montaje puede ser con tubería rígida como en el detalle de la izquierda de la Figura 8.27, o con tubing y accesorios rígidos como en el detalle de la derecha de ��'��P#��

Cuando se requiere un sistema con alto nivel SIL y con gran disponibilidad de planta en funcionamiento, se utilizan tres presostatos con disposición de actuación dos de tres. En estos casos, cada instrumento actuador transmisor o presostato, se conectará al proceso con conexiones y líneas independientes, para eliminar fallos por causas comunes.

Figura 8.27. Conexiones de presostatos.

Seguridad

��$$��&�'�$��&'��P�'��)��+�ADHE?��'P��$��$'��+��'��'��#��'��tiene cero tolerancia al fallo. Según distintos modelos y fabricantes, las fracciones de fallo seguro SFF varían desde 61 a 84%.

R��$'P��'��&�'��$��)��'��$��-$$��/��&��3��$��'#��$��$��DU varía desde 0,2 a 2,12 x 10-7�� +��#'��'�$��'��DU = 1,16 x 10-7 fallos por hora. Para una aplicación que actúa con un solo transmisor (1001) y en la que se efectúa una prueba del instrumento cada año, se obtiene la probabilidad media de fallo a demanda:

G�*�#� ��DU x TI/2 = 1,16 x 10-7 x 8760 / 2 = 5,08 x 10-4 .


El valor es mejor que el que se obtuvo en el apartado 8.1.2 Tecnologías - Instru-mentos mecánicos con interruptores. Aquellos instrumentos son de diferentes mode-los y fabricantes, y están en funcionamiento desde hace más de 25 años. Los cálculos ��&�� $��$'P��$'�'��'��'��

8.4. MEDIDA DE TEMPERATURA

��'��$��$��]�'��'��$��3��'��'��-$�'��'&��3��$��T�$'��'P��$��'�'$�'��aplicación concreta vienen determinadas por las condiciones de presión y tempera-tura de trabajo, por la precisión con la que se quiere medir, por la inercia térmica o velocidad de detección en las variaciones de la temperatura, y por la manera en que se debe indicar, transmitir o controlar la temperatura.

%)�� )�3��'��)��$��$��$��]�'��valores tan bajos como -10 ºC y por ejemplo 3 kg/cm2 de presión, o tan altos como 870 ºC y 60 kg/cm2 de presión. En ambos casos y en combinaciones de valores in-termedios, la temperatura se ha de medir con la precisión y velocidad de captación que exija el proceso. Siempre se ha de poder medir de forma que no sea necesario interrumpir el proceso cuando exista una avería, o cuando se tenga que hacer una ��'P��'��$��$��$��'��$��$��industriales se basan en alguno de los siguientes fenómenos físicos.

Variaciones en el volumen o en el cambio de estado de los cuerpos (gas o líquido). Elementos de Bulbo

A este tipo pertenecen los termómetros de vidrio encapsulados en contenedores me-tálicos (muy poco utilizados en procesos industriales por su fácil rotura). También utilizan este tipo de elemento detector los termómetros de bulbo y capilar que utili-zan los termostatos. El termómetro de bulbo consta de un bulbo metálico, unido me-�'�$��$�&��'��'��/��$��'��$��]�O'&��Cuando la temperatura del bulbo cambia, el gas o el líquido en el bulbo se expanden, y se transmite la expansión a la espiral que tiende a desenrollarse, moviendo una aguja en una escala graduada para indicar la temperatura existente en el bulbo.

Variaciones de resistencia de un conductor. Termorresistencia

+��$��'�$��$��'��$�� '��P��$��utilizado. El hilo está bobinado sobre capas de material aislante y protegido con un revestimiento de vidrio o cerámica. El material utilizado para la termorresistencia ��&��$'��$��'��/�)��&��$��P�'��$��'�$��'�&'��-P�'��/�3��O��$��$��'P��'�'��'�$��'��ohmios del conductor por cada grado centígrado que cambia la temperatura.


$�;��&��Elementos bimetálicos

Están constituidos por dos metales, tales como latón, monel o acero y una aleación de ferro níquel denominada invar (contiene 35% de níquel) que están laminados con-juntamente. Las láminas bimetálicas pueden ser rectas o curvas, formando espirales o hélices. Este tipo de sensor se utiliza en termostatos para el control de temperatura de sistemas económicos que no requieren gran precisión. No se utilizan en sistemas de seguridad para la industria en general.

�uer�a electro�otri� creada en la unión de dos �etales dis�ntos. Ter�opar

Estudiando los efectos descubiertos en su momento por Seebeck, Peltier y Thomson, se comprende el fenómeno físico por el cual se puede conocer la temperatura de una fuente de calor que se aplica a un termopar, midiendo la fuerza electromotriz que se genera entre los extremos del lado frío de los conductores del termopar.

Seebeck, descubrió en 1821 que cuando hay un circuito cerrado formado por dos metales distintos, cuyas uniones están a diferente temperatura, se establece una corriente eléctrica en el mismo. Las dos causas que contribuyen a la generación de la fuerza electromotriz Fem que produce la corriente son las siguientes:

Peltier, observó que dos metales distintos puestos en contacto producían una Fem, y que la magnitud de la Fem dependía tanto de la temperatura como de los metales utilizados.

Thomson, observo que si un hilo de metal simple o aleado se calentaba en un extremo, entre los extremos caliente y frío del hilo se generaba una Fem (conocida como Fem de efecto Thomson), la magnitud de la Fem depende tanto del tipo del metal del hilo como de la diferencia de temperatura de los extremos.

Teniendo en cuenta lo anterior, la Fem total que se produce en un circuito eléctri-co formado por dos metales distintos, es la suma de los efectos Peltier (Fem en cada unión del circuito) y Thomson (Fem sobre cada hilo). Por supuesto que se deben tener en cuenta los signos algebraicos de las cuatro Fem (dos uniones más dos hilos).

La Fem total de este tipo de circuito depende de la temperatura de las dos unio-��6'��$��$��'��PQ��'��/��Q��/��temperatura de fusión del hielo que es de 0 ºC, la temperatura de la otra unión (unión caliente) puede ser determinada por la medida de la Fem desarrollada en el circuito. En este principio se fundamenta la medida de temperatura mediante los pares ter-moeléctricos o termopares.

8.4.1. CONEXIONES DE TEMPERATURA AL PROCESO

Las conexiones para medir la temperatura en los procesos son muy importantes, ��3��'��$��Q��'��/��'�]�'��3��'��la temperatura sea o no correcta. Excepto los casos en los que se mide la tempera-


$��P�'��O$��$�&�� $�'��$�/��-��$��$��$��#��P�'��skin points, en todos los demás casos, para la medida de la temperatura, se hace necesario efec-tuar agujeros en las tuberías, en los recipientes o en los equipos, para poder instalar los termopozos roscados o bridados, con los elementos sensores en su interior, para ��$��$��$��$��]�'��$��O�$��3�'��'��+��la Figura 8.28 se muestran varias, de las posibles conexiones de temperatura que se pueden realizar en tuberías de procesos químicos. Para poder introducir los termo-pozos o vainas, el tamaño mínimo de línea debe ser: 3” cuando se inserta en codos, y 4”, cuando se inserta en tramos rectos de tubería. Los tipos 4 y 5 se utilizan para servicios en los que la vaina irá roscada. La posición del accesorio elbolet��PQ��'��'��'��]�'��+��$'��=��&��$/�$�&��)�&�'��$'�'��para servicios en los que la vaina debe ser bridada. Si las conexiones se disponen en codos y el tamaño de la línea fuera inferior, se deberá aumentar a 3”. Para las conexiones en tramo recto de tubería, el tamaño mínimo de la misma deberá ser de diámetro 4” o se aumentará el tamaño de la línea hasta este valor. Los tipos 1, 2 y 3 en tubería recta, horizontal o vertical, son para servicios que permiten vainas o $��/��'��'��]�'��'��'��$��$'��A/�>�)�?��para vainas bridadas.

��#'$��/�<�)��$'��3��PQ��$�J��$�&��)��-midas como estándar por tuberías e instrumentación; de esta forma, Instrumentación ��P�'��#'$��'�� 'P��'��6��indican las distancias mínimas entre los diversos accesorios para conexión Sockolet, ��#�'$�/�+�&��$/��$��/� �$��$�&��]�-� ��Q��'��'��'��'��3��'��]�'��'�$��)��'�'��3��&��O'��+��#��/��]�'��circular indistintamente en dos sentidos, en otros casos como en los codos, la posi-ción de la toma y el sentido del caudal deben ser únicos.

Las conexiones roscadas en las líneas de proceso solo se utilizan donde la pre-sión-temperatura es muy baja, y además, los productos que se manejan son comple-tamente inocuos.


Figura 8.28. Conexiones de temperatura.

Longitud de inmersión

Representa la distancia entre el extremo libre del termopozo y la parte roscada o ��$��'��'��&�'��PQ�'��3�� '��&��$�&��3�'��Es la longitud A mostrada en la Figura 8.29 y la longitud B en la Figura 8.30. Para la mejor ejecución de la medida de temperatura, la longitud de inserción debe ser ��P�'��$��$��#��'$'��3��$��'&��$��$��$��$4�totalmente sumergido en el medio en el que se quiere medir. La instalación adecuada es la que permite que el elemento detector esté sumergido en toda su longitud más ��#��]�'��'��#�/��'��'��&��$��#'$��del elemento sensor, más tres pulgadas.

Los termopares y los termistores tienen una longitud sensible muy corta. Los termómetros bimetálicos, las termorresistencias y los bulbos termométricos llenos de líquido o gas tienen elementos sensibles largos o muy largos, cuya longitud puede


variar entre 1” y 6”. Para tener una buena medida de la temperatura, toda la longitud ��$��'&��&��$��#'��]�'��)�$��$��3�'��medir.

Como los bulbos de sistema lleno de líquido o gas tienen longitudes y diámetros grandes, se hace necesario tener cuidado especial con la longitud de inserción de es-tos elementos. Es muy conveniente que el suministrador del instrumento con bulbo suministre también el termopozo correspondiente.

Longitud de inmersión

Es la distancia desde el extremo libre del termopozo donde se sitúa el elemento ��$�� '��'��]�'��)� $��$��3��'��G��obtener la máxima sensibilidad y el mejor tiempo de respuesta en la medida de la temperatura, la longitud óptima de inmersión depende de factores tales como: tipo de elemento sensor, termopar, termorresistencia o bulbo, espacio disponible, diseño de la conexión mecánica y grosor de las paredes del termopozo. También depende ��'��'��]�'��/��P�'��$��$��'��/��'��]�'��)��'��'��$��$��$��$��'��)��la brida o rosca superior del termopozo.

Figura 8.29. Conexiones roscadas.


Figura 8.30. Conexión bridada.

N��'��'��'��P�'��$��'��3��'��$��'��$��$��P��'��'��N��#'$��'��'��O-��'�/�Q��$��$��'��]�'��/��$��$��

En las Figuras 8.29 y 8.30 se observan las posiciones relativas de las vainas res-pecto a la línea central de las tuberías. Las dimensiones de las cotas “A” y “B” se-gún sean vainas roscadas o soldadas, es la parte de la vaina que está insertada en el líquido de proceso. La parte de la vaina cercana al centro de la tubería es la que está inmersa en el líquido al cual se quiere medir la temperatura. Se considera posición idónea la que sitúa el elemento sensor cercano al centro de la línea de proceso.

8.4.2. TERMÓMETROS DE SISTEMAS TÉRMICOS LLENOS (BULBO Y CAPILAR)

Los sistemas de medida de temperatura basados en sistemas encapsulados llenos ��3�'��/�#��&��/��'��6��K6�'��$'P��Apparatus Manufacturer of America).

En la Tabla 8.1 se pueden ver los tipos de sistemas, los rangos de temperatura de aplicación para cada gama de instrumentos, los tamaños mínimos y máximos de los bulbos en longitud y diámetro, dependiendo de los rangos de aplicación, y la longi-tud máxima recomendada para los capilares.


Tabla 8.1. Conexión bridada.

TIPO DE SISTEMA (CLASE SEGÚN SAMA)

TEMPERATURA RANGO oC

TAMAÑO BULBO

(PULGADAS)

CAPILAR LONGITUD(METROS)

Presión de vapor (II-A, B, C, D)

-40 a 315 2 x 3/8 a6 x 9/16

45

Presión de gas(III-A,B)

-215 a 815 3,5 x 5/8 a10 x 7/8

30

Expansión de mercurio( V-A, V-B)

-40 a 650 3x ½ a6 x 5/8

V-A = 30V-B = 15

Expansión de líquido(I-A, I-B)

-185 a 315 2,5x 9/16 a4 x 11/16

I-A = 30I-B = 6

�� &��

En la industria química, se han utilizado los de dilatación de mercurio SAMA-VA con compensación de las variaciones de temperatura ambiente, tanto en la caja como en toda la longitud del capilar. La longitud del capilar debe ser lo más corta posible, teniendo en cuenta la longitud requerida en cada caso.

Dependiendo de la posición del bulbo respecto al elemento indicador (Bourdon), los instrumentos de clases I y V de expansión de líquido, pueden tener error en la medi-da. Se produce error apreciable cuando el bulbo está por arriba o por abajo más de ocho metros. En esta circunstancia, es necesario indicarlo al suministrador, para que desde origen el instrumento venga con la corrección correspondiente al error producido por la variación de la altura de la columna que no es neutralizada por la capilaridad.

��&'��$��$��&'��$��$��$�&��'��)��]�'��'�$��/�por ello, también afectan a la medida de la temperatura. Con longitudes de capilar inferiores a ocho metros, los efectos de la temperatura ambiente sobre el capilar no afectan de forma considerable y no necesitan compensación. Para longitudes supe-�'��/��'�$��'��'��#��'��'��]�'��y montado sobre el principal, el capilar de compensación actúa sobre un mecanismo que se opone y anula el error introducido por las variaciones de la temperatura am-biente sobre el capilar principal de medida. En estos sistemas compensados, la tem-��$��$��'�$�'��]�'��&��&��3��$��/�y por lo tanto, solo mide la temperatura del producto en el que está sumergido, que es la que interesa medir.

Las nuevas normativas están restringiendo la utilización del mercurio en usos industriales. Es necesario estudiar cuidadosamente la aplicación donde se quiere utilizar este tipo de detector para, si es posible, sustituirlo por otro.


�� &�� ()��

Además del mercurio, existen otros líquidos mucho más baratos que también se pueden utilizar en los sistemas del tipo de expansión. Estos otros líquidos permiten la utilización de materiales distintos del acero inoxidable para el bulbo y el capilar.

Los líquidos más utilizados son el xileno para rangos de temperaturas de -40 ºC a +400 ºC, y el alcohol para rangos de -46 ºC a +150 ºC.

��

El principio de funcionamiento de este tipo de instrumentos es el siguiente: el vo-lumen que ocupa una determinada masa de gas a una presión determinada es una función de su peso molecular y de la temperatura.

El comportamiento de los gases se representa por la ecuación pv = RT.Como v (volumen) y R son constantes, la presión p es función de la temperatura T.Cuando hay un cierto volumen de gas encerrado en un bulbo con capilar unido a

un tubo Bourdon, la presión indicada por el tubo Bourdon puede ser calibrada en tér-minos de la temperatura detectada por el propio bulbo. Esta es la base de la medida de temperatura con los sistemas llenos de gas.

+�� P�'��$��O��'��#�� )��3�� 3�'��o sólidos, por ejemplo: el aire tiene 0,0037; el mercurio tiene 0,00018; y el acero inoxidable tiene 0,00003. Si se tiene un bulbo con un volumen mucho mayor que el volumen formado por el del tubo capilar y el del tubo Bourdon, los cambios de tem-peratura ambiente que afectan al capilar y al tubo Bourdon pueden ser despreciados a efectos de error en la medida. El error introducido es muy pequeño, debido a la gran relación del volumen del bulbo respecto al muy pequeño volumen del conjunto tubo capilar y tubo Bourdon.

Con este tipo de sistema de medida de Clase III no es necesario tener en cuenta la posición del bulbo respecto al instrumento de medida, ya que pueden estar varios me-$��'&��&Q��'��'�$'�$��$�/��'��'�]�'��'��$��$��

��

Es un sistema similar al del gas, pero en el bulbo se contienen las fases de líquido y gas. En el rango de temperatura a medir, el líquido y el vapor están en equilibrio en el interior del bulbo, un aumento de la temperatura produce una ebullición de parte del líquido, aumenta el vapor, e intenta aumentar el volumen del vapor que ��$��'��PQ��)��'��3��$��'��/�3��es equivalente a decir que aumenta la temperatura que marcaría el indicador actuado por el tubo Bourdon.

La indicación de temperatura es completamente independiente del volumen del bulbo, del volumen del tubo capilar, del volumen del tubo Bourdon y por tanto, tam-


bién es independiente de la expansión o contracción del capilar y del tubo Bourdon debido a las variaciones de la temperatura ambiente.

La presión de saturación del vapor no es lineal con la temperatura, y por ello, la escala de estos instrumentos tiene las divisiones más separadas a medida que va aumentando la temperatura.

La ejecución de un instrumento con sistema lleno de vapor es prácticamente igual al instrumento con sistema lleno de gas. En el sistema de vapor, el bulbo está lleno parcialmente con líquido y el resto con el vapor del líquido. En el de gas, el bulbo y todo el sistema está lleno del gas.

� Clase IIA

Los instrumentos de esta clase se diseñan para medir temperaturas de operación que siempre estarán por encima de la temperatura ambiente. El resto de los elemen-tos del sistema térmico, como son el capilar y el tubo Bourdon, estarán a la tempera-tura ambiente (véase la parte derecha de la Figura 8.31). Dentro del rango de medida de temperatura, el sistema siempre está lleno de líquido.

Figura 8.31. Sistema térmico de presión de vapor.

Cuando se instala el instrumento aproximadamente a 7 m por arriba o por abajo del Bourdon, puede haber error debido a la columna de líquido formada en el interior del capilar. Se le debe indicar la posición del bulbo respecto al instrumento, al sumi-nistrador del sistema, para que utilice un líquido con la presión de vapor lo más alta ��'&��/��/��'�]��'��'�'��$��)�$��'��en cuenta la fuerza del rozamiento por capilaridad, será la menor posible. Se puede calibrar el sistema para anular la diferencia entre la presión de la columna en el capilar y la fuerza del rozamiento del líquido por capilaridad, y por tanto, eliminar el error.


� Clase IIB

Los instrumentos de esta clase se diseñan para medir temperaturas de operación que están por debajo de la temperatura ambiente.

Véase la parte izquierda de la Figura 8.32. Dentro del rango de medida de tem-peratura, el sistema siempre está lleno de vapor. No se produce error, cualquiera que sea la posición de montaje del instrumento respecto al bulbo.

Figura 8.32. Sistema térmico de presión de vapor.

� Clase IIC

Los instrumentos de esta clase se diseñan para medir temperaturas de operación que pueden estar por arriba o por abajo de la temperatura ambiente. Este sistema requiere un bulbo bastante mayor que los tipos IIA y IIB.

El sistema está lleno de líquido cuando la temperatura a medir está por encima de la temperatura ambiente, mientras que está lleno de vapor cuando la temperatura a medir está por debajo de la temperatura ambiente. Está lleno de líquido solamente en una parte del rango de medida y por ello, no se recomienda su utilización cuando el bulbo y el instrumento están a alturas apreciablemente diferentes, dado que en este caso, el instrumento medirá incorrectamente. Véase la parte de la izquierda de la Figura 8.31.

� Clase IID

Los instrumentos de esta clase se diseñan para medir temperaturas de operación que están por arriba, por abajo o al mismo valor de la temperatura ambiente. En este $'��/��3�'��$'��P��$��'$'��&��&�/�)��#��3�'��no volátil se utiliza para transmitir la presión del vapor al elemento expandible de medida (tubo Bourdon). Véase la parte derecha de la Figura 8.32. Dentro del rango de medida de temperatura, el sistema siempre está lleno del líquido no volátil.


Cuando se instala el instrumento más de 7 m por arriba o por abajo del Bourdon, se le debe indicar al suministrador del sistema para que este, ponga un líquido con la ��'��$��'&��/��/��'�]��'��'�'��-tura de columna menos la fuerza del rozamiento por capilaridad será menor, además se puede calibrar para anular esa diferencia y por tanto eliminar el error.

Termostatos

La mayoría de los termostatos utilizados en las industrias químicas, están provistos de un elemento sensor basado en uno de los sistemas anteriormente descritos. En vez de utilizar tubos Bourdon para actuar el mecanismo de apertura o cierre del interruptor eléctrico, pueden utilizar un cilindro con una parte metálica elástica, o una membrana metálica, que produce un pequeño desplazamiento por el efecto de ��O��'��]�'��+��'��$��'��$��'�'��$��'��que mediante un sistema de palancas se utiliza para actuar el interruptor eléctrico. El diseño mecánico, distinto en cada fabricante, permite ajustar el punto de actuación a la temperatura que se requiere. El punto de actuación deberá estar dentro del rango que permite el instrumento seleccionado previamente. En la Figura 8.33 se indican los componentes de un termostato del tipo sistema lleno con bulbo y capilar.

Figura 8.33. Componentes de un termostato.

Los termostatos se requieren preferiblemente con compensación de temperatura en la caja y en toda la longitud del capilar. La longitud del capilar debe ser lo más ��$��'&��'��$��$��$4��'P��'��#��O��-


sión, el compartimento eléctrico tendrá una protección que será adecuada para la zona en que está ubicado.

Los termostatos se utilizaban frecuentemente para funciones de alarma y de segu-ridad en sistemas con lógica realizada mediante relés electromagnéticos. En sistemas con lógica mediante PLC que disponen de tarjetas de entrada para señales analógi-��/��P��$'�'��$��$��'�$��'��$'��:$��'��@:BE��/�3��$'��)��'�'��'��)�#��P&'�'��

Seguridad

��$��$$��&�'�$��&'��P�'��)��+�ADHE?��'P��$��$'��+��'��'��#��'��tienen cero tolerancia al fallo. Según distintos modelos y fabricantes, las fracciones de fallo seguro SFF varían desde 36 a 80%.

W&��$'P��'��&�'��$��)��'��$��$��-$$��/��&��3��$��'#��$��$��DU varía desde 0,29 a 2,33 x 10-7�� +��#'��'�$��'��DU = 1,31 x 10-7 fallos por hora. Para una aplicación que actúa con un solo transmisor (1001) y en la que se efectúa una prueba del instrumento cada año, se obtiene la probabilidad media de fallo a demanda:

G�*�#� ��DU x TI/2 = 1,31 x 10-7 x 8760 / 2 = 5,74 x 10-4 .

8.4.3. TERMORRESISTENCIAS

La medida de temperatura con termorresistencias está muy extendida. La forma típica de construcción de estos sensores consiste en un hilo de platino bobinado sobre un cilindro cerámico encapsulado en un tubo de vidrio sellado mediante cemento cerá-�'��'��'�/��'#��?�X@��+��P�'��$��'�$�'��materiales que intervienen en la ejecución deben ser similares para evitar roturas por la desigualdad en las dilataciones. Con temperaturas superiores a 400 ºC, los soportes cerámicos sobre los que se enrolla el hilo de platino plantean problemas de robustez mecánica. Las termorresistencias tienen un retardo térmico superior al de los termopa-res. La corriente de excitación que circulará por la termorresistencia debe ser lo más baja posible, para evitar error de recalentamiento por la propia intensidad circulante por el circuito. La intensidad de utilización suele estar comprendida entre 1 y 5 mA.

Las termorresistencias pueden medir la temperatura con buena precisión, pero el rango de temperaturas que pueden medir es bastante inferior al de los termopares. Con termorresistencias especiales se pueden medir temperaturas en aplicaciones in-dustriales, que van desde -200 ºC hasta + 600 ºC.

El estándar más utilizado para la medida de temperatura con termorresistencia es la denominación PT 100 DIN. Corresponde a la termorresistencia que a 0 ºC tiene una resistencia de 100 ohmios.


Figura 8.34. Termorresistencia.

Conexión de las termorresistencias

Las termorresistencias para uso industrial se deben introducir en termopozos. En los ambientes industriales, las termorresistencias son más frágiles que los termopares. Las termorresistencias se introducen en los termopozos situados en el punto del pro-ceso en el que se quiere medir la temperatura. En campo y a una cierta distancia de la termorresistencia, se sitúa un convertidor transmisor, que transforma la variación de resistencia en una señal normalizada de 4-20 mA. Los cables de conexión de la termorresistencia introducen un error en la medida debido a la resistencia de los mismos. La resistencia de los cables es distinta en función de la longitud y sección ��'��R�&'4��'P��'�$��'��'�'��$��$��ambiente a lo largo del recorrido de los cables de conexión.

Los cambios de resistencia de las termorresistencias se miden con aparatos que utilizan circuitos basados en el puente de Wheatstone. Para la conexión de la ter-morresistencia se suelen emplear cables de tres o cuatro conductores, con lo cual se anula el error producido por la resistencia de los conductores y por las variaciones de temperatura sobre los mismos.

En plantas industriales, para medidas con buena precisión, se utilizan cables de tres conductores. Los cables se conectan como se indica en la Figura 8.35 y los conductores deben tener igual longitud. Se puede observar que la resistencia del conductor L3 está en serie con la R4 de medida, la resistencia del otro conductor L1 está en serie con la resistencia R3 y el tercer conductor L2 se utiliza para llevar la alimentación al puente. Las resistencias de la línea, L1 y L3 se anulan por estar acopladas a las ramas contiguas del puente.


Figura 8.35. Conexión con tres o cuatro hilos.

De igual forma, se anulan las variaciones de resistencia en los hilos de la línea producidas por la temperatura ambiente, debido a que afecta de igual forma a los conductores y se compensa de manera automática en ambas ramas del puente, elimi-nando así el posible error.

+��O'��$�� '��/��$��'��'��'$��P#��/�dos hilos L3 y L4 y la R4 de medida se conectan a una rama del puente, los otros dos hilos L1 y L2 se conectan a la rama contigua, con lo cual se anulan las resistencias de la línea y se mide solamente la resistencia de la sonda termométrica.

De acuerdo con la Norma IEC 751, los colores de los tres hilos de conexión son: Rojos los dos conductores que están conectados al mismo punto y blanco el tercer hilo.

Cuando se utilizan para sistemas instrumentados de seguridad, se conectan con tres o cuatro hilos a un convertidor-transmisor en campo y este envía la señal equi-valente de 4 a 20 mA al sistema de lógica.

Seguridad

S4��P��'#�'��$��$��?�@�@��$��+��Q��de seguridad de los termopares, también se desarrolla el supuesto con valores para termorresistencias.


8.4.4. TERMOPARES

Los termopares son los elementos sensores más utilizados para la medida de tem-peratura en la industria. Cubren la medida de un amplio rango de temperaturas, con una precisión aceptable.

Los termopares se construyen de acuerdo a normas y las más utilizadas son la ANSI MC-96.1 y la IEC 584.2. En las normas se regulan las curvas de la (Fem) fuerza electromotriz que se genera en cada tipo de termopar por la variación de un grado en la temperatura a medir, la composición de las aleaciones que componen los ��$��$��/��#��$'�'��'��$'��$��)��P�'-ción y tolerancia de los termopares.

Los termopares se forman con la unión de dos metales. Los metales más idóneos para formar los termopares de uso industrial son aleaciones que se pueden dividir en dos categorías principales:

� Aleaciones de metales preciosos, como son el platino y el platino-rodio. Son termopares muy estables y cubren un rango de temperaturas muy amplio, desde 0 ºC hasta los 1.600 ºC en trabajo continuo. Puntualmente o en cortos periodos de tiempo pueden medir hasta 2.300 ºC. Son muy caros y su uso en la industria esta restringido a casos muy concretos.

� Aleaciones de metales comunes, como el cromo-níquel/aluminio-níquel, o el hierro/níquel-cobre. El rango de aplicación esta restringido a 1.100 ºC para trabajar de forma continuada. Dentro de este grupo, el más utilizado es el tipo K.

Los termopares pueden presentar derivas a largo plazo cuando están sometidos a altas temperaturas, principalmente debido a los cambios de composición causados por la oxidación, o por el bombardeo de neutrones en las aplicaciones nucleares. Por encima de los 800 ºC, los efectos de la oxidación en termopares de tipo K al aire, pueden causar cambios en la homogeneidad del conductor. Cuando se encuentra enfundado dentro de una vaina de protección sin aislamiento mineral, el poco vo-lumen de aire también produce un fenómeno llamado corrosión verde, debido a la mayor oxidación del cromo que forma parte de la aleación de uno de los conducto-res. Utilizando termopares enfundados en vainas de protección y rellenas de aisla-miento mineral se anulan algunos de estos efectos. Pueden surgir otros problemas de inestabilidades debidos a los efectos magnéticos, en ciertos rangos de temperatura, derivados del uso del aislamiento mineral y de la composición de los materiales del termopar. Ciertos componentes del Alumel, como el manganeso o el aluminio, se pueden evaporar y desplazar a través del aislamiento mineral (generalmente de oxido de magnesio) y contaminar el Cromel. El resultado será un cambio en la com-��'�'��$��)�P��$��'��

� Termopar tipo T. Se llama comúnmente termopar de Cobre Constantán. Se utiliza frecuentemente en laboratorios para rangos de medida de temperatura


comprendidos entre -250 y 400 ºC. También es muy utilizado en aplica-ciones criogénicas de baja temperatura y en aplicaciones con alta humedad ambiental.

� Termopar tipo J. Se le llama comúnmente termopar de Hierro Constantán. Es uno de los pocos termopares que se pueden utilizar de forma segura en at-mósferas reductoras. En ambientes oxidantes y por encima de 550 ºC, se pro-duce una rápida degradación del termopar, por lo que no se debe utilizar para aplicaciones con este ambiente. La máxima temperatura de funcionamiento en continuo es de 800 ºC. La temperatura mínima es de –210 ºC, pero se debe tener cuidado con la condensación a temperaturas inferiores a la de ambiente, ya que el conductor de hierro puede sufrir oxidación. El termopar sin funda de protección se utiliza en la industria del plástico y se tiene en cuenta que el hierro se oxida tanto con temperaturas altas como con temperaturas bajas.

� Termopar tipo K. Se le llama habitualmente termopar de Cromel-Alumel. Es el termopar más utilizado en aplicaciones industriales. Está indicado espe-cialmente para ambientes oxidantes y cuando se utiliza en ambientes distin-tos se debe proteger el sensor. La temperatura máxima de funcionamiento en continuo es de 1.100 ºC, aunque por encima de los 800 ºC la oxidación puede causar deriva apreciable en la medida a lo largo del tiempo. También se puede utilizar este termopar en aplicaciones criogénicas con temperaturas de hasta -230 ºC. Se emplea ampliamente en aplicaciones nucleares.

� Termopar tipo E. Se le llama termopar de Cromo-Constantán. Es el termopar que da la mayor señal de salida en milivoltios para una temperatura medida. El rango de temperatura de utilización continua es de 0 a 800 ºC en atmós-feras oxidantes o inertes. El rango de aplicación es más estrecho que el del tipo K, pero dentro de este rango es más estable, por lo que la precisión en la medida a lo largo del tiempo puede ser ligeramente mejor.

� Termopares tipo R y tipo S. Son termopares especiales de características muy similares, se utilizan en entornos oxidantes o inertes de forma continua. La máxima temperatura de empleo es de 1.600 ºC. Estos termopares se utilizan para medir temperaturas superiores a los 1.000 ºC. Para estas aplicaciones, se utilizan aislantes y fundas de alúmina recristalizada de alta pureza y no porosa, para evitar que pequeñas cantidades de vapores metálicos puedan causar deterioro y falsear la Fem generada por estos termopares. El termopar tipo R produce una Fem ligeramente superior y una estabilidad a lo largo del tiempo mayor que el tipo S, por lo cual es más utilizado aunque todas sus características son muy similares.

Conexión de termopares

En la Figura 8.36 se puede ver el diagrama básico de conexión de un termopar. El termopar lo forman los hilos conductores a y b y los a1 y b1 que son los hilos conductores de extensión o de compensación. Los cables de extensión o de compen-


sación, se utilizan para prolongar la señal generada por el termopar hasta el instru-mento que efectúa la indicación o la transmisión de la medida y en el cual, se hace la compensación correspondiente a la corrección de la unión de referencia. A partir del punto donde se hace la compensación de la junta de referencia, la señal transmitida se puede llevar por cables de cobre, como ocurre en los multiplexores instalados en campo. Los cables de extensión y de compensación pueden introducir desviaciones en la medida de temperatura por el simple hecho de su inserción en el circuito, por ello, existen normas que regulan las tolerancias máximas de los distintos tipos de cables para asegurar la intercambiabilidad de los mismos.

Las N��-6��=A�D�)��+�H?@�X�'��$'P��)��$��-cias para cada tipo de cable de extensión o compensación.

� Los cables de extensión de los termopares están fabricados con materiales iguales a los del termopar correspondiente, y por ello tienen las mismas ca-racterísticas de milivoltios-temperatura que el termopar al que están conec-tados. Se hace así para trasladar la junta fría de referencia a un lugar alejado de la cabeza del termopar, donde la temperatura sea razonablemente estable y donde los efectos de la temperatura puedan ser compensados.

Figura 8.36. Diagrama de conexión de un termopar.

La composición de las aleaciones de los conductores de los cables de extensión, es exactamente la misma que la de los hilos que forman el termopar.

� Los cables de compensación son cables que están formados por materiales distintos de los cables de los termopares para los cuales se emplean. Se pue-den utilizar distintas aleaciones para el mismo tipo de cable de compensación y se distinguen con letras adicionales. Son más baratos y se utilizan como


sustitutivos de los cables de extensión dentro de los límites de temperatura ��P�'��'$��

Acondicionadores de señal

La señal procedente de los termopares es de muy bajo nivel y puede ser alterada por numerosas interferencias. Los acondicionadores de señal o convertidores-transmiso-res tienen la función de aislar, rechazar interferencias, escalar, convertir y transmitir la señal en forma de 4 a 20 mA.

Los convertidores-transmisores reciben la señal de un elemento sensor, puede ser un termopar o una termorresistencia, y producen la señal de salida estandarizada de 4 a 20 mA que puede ser aceptada por sistemas de control distribuido o sistemas de seguridad. Este tipo de señal de salida puede ser enviado a más larga distancia y con menos problemas de interferencias que las señales de los termopares o de las termorresistencias. Los acondicionadores de señal son elementos electrónicos con microprocesadores, que pueden caracterizar la señal de entrada de los termopares o termorresistencias de acuerdo con las ecuaciones de conversión de resistencia o mi-livoltios a su temperatura correspondiente. La impedancia de entrada de los acondi-cionadores tiene que ser muy alta para que la medida esté libre de error. El termopar genera tensión en función de la temperatura, pero si circula intensidad en el circuito de medida se produce caída de tensión y la temperatura equivalente obtenida resulta errónea.

El alto precio de los cables y multicables de extensión o compensación, y los múltiples problemas que presenta la manipulación de las señales de milivoltios, ha-cen que en las aplicaciones de control y de seguridad se utilicen convertidores o transmisores de milivoltios intensidad en campo para convertir la señal del termopar.

Para aplicaciones con alto nivel de seguridad y disponibilidad de planta, cuando son necesarias tres medidas de temperatura en disposición dos de tres, el diseño preferente para la función de seguridad, se hace utilizando tres termopares con sus respectivos termopozos.

Cada termopar se conecta con cable de extensión a su correspondiente transmisor convertidor de milivoltios intensidad. Desde cada uno de los tres transmisores, por rutados, cajas de conexión y multicables separados, se llevan las señales al sistema de lógica de seguridad. En este sistema se conectará cada señal a una tarjeta de en-tradas analógicas distinta, o a tarjetas redundantes, dependiendo del diseño con el �� $'P��'�$��#��'��+��&Q�$'��'��'P��J��para asegurar al máximo la disponibilidad de la actuación de seguridad y disminuir los fallos comunes.

��

A efectos de seguridad, es necesario tener en cuenta tanto el elemento sensor de tem-peratura (termopar o termorresistencia), como el convertidor-transmisor. El conver-


tidor transmisor será instalado a temperatura ambiente, lejos de la cabeza del termo ��$��'$��'�]��'��$��$��

Termopar

La tasa de fallos por hora de un termopar instalado en ambiente poco agresivo es de 50 x 10-7. La distribución de fallos de un termopar se acepta que es: 95% circuito abierto por quemado del termopar, 4% error de deriva por degradación, 1% error de cortocircuito de señal por humedad o perdida de aislamiento.

El circuito abierto en el termopar puede ser detectado por el convertidor-transmi-��)��P#��J��'��'��/��/��'��$��en fallo peligroso detectado. El resto de los fallos 4+1% pueden ser peligrosos y no ��$��$��$��'#��$��$��DU = 50 x 10-7 x 0.05 = 2,5 x 10-7 fallos por hora.

Termorresistencia

La tasa de fallos por hora de una termorresistencia instalada en ambiente poco agre-sivo es de 20 x 10-7. La distribución de fallos de una termorresistencia se acepta que es: 70% circuito abierto, 29% por cortocircuito, 1% error de medida por degradación de la termorresistencia. El circuito abierto y el cortocircuito en la termorresistencia ��$��$��$'��:$��'��/�)��'�$��P#��'��-sición de puentes se puede hacer que su señal de salida vaya a mínimo valor, lo que permite convertir estos fallos en peligrosos detectados. El 1% de fallos por error en la medida pueden ser peligrosos y no son detectados. La tasa de fallos peligrosos no ��$��$��DU = 20 x 10-7 x 0.01 = 0,2 x 10-7 fallos por hora.

Convertidor-transmisor

Tomando datos de los catálogos de algunos convertidores-transmisores utilizados en el mercado, se obtienen valores de las tasas de fallos peligrosos no detectados del ��DU = 0,7 x 10-7 fallos por hora.

Teniendo en cuenta los fallos peligrosos no detectados del termopar o de la ter-morresistencia y los del convertidor-transmisor, para el conjunto sería:

�DU = 0,7 x 10-7 + 2,5 x 10-7 = 3,2 x 10-7 fallos por hora con termopar.�DU = 0,7 x 10-7 + 0,2 x 10-7 = 0,9 x 10-7 fallos por hora con termorresistencia.

Para una aplicación que se actúa con un solo transmisor (1001) y en el que se efectúa una prueba del instrumento cada año, se obtiene la probabilidad media de fallo a demanda:

G�*�#� ��DU x TI/2 = 3,2 x 10-7 x 8760 / 2 = 1,40 x 10-3 con termopar.G�*�#� ��DU x TI/2 = 0,9 x 10-7 x 8760 / 2 = 3,94 x 10-4 con termorresistencia.


La tasa de fallos se garantiza durante el periodo de vida del instrumento. La vida útil recomendada por algunos fabricantes de convertidor-transmisor en aplicaciones de seguridad, es mayor de 50 años. La vida útil de termorresistencias y termopares depende en gran medida de la aplicación, pero es inferior a la de los transmisores.

En aplicaciones de seguridad y de acuerdo con la IEC 61508-2 apartado 7.4.7.4, se debe asumir un tiempo de vida útil basado en la experiencia. Los transmisores electró-nicos suelen tener una vida útil de entre ocho y doce años. Los componentes que tra-&Q��'$��'P��'��'��T��'��T$'��

8.5. MEDIDA DE NIVEL

En los procesos industriales, los productos líquidos y sólidos se almacenan en di-ferentes tipos de recipientes. Los recipientes se diseñan de acuerdo a la función de almacenaje que se requiera en el proceso productivo y teniendo en cuenta las condi-ciones operativas del mismo. Se citan a continuación algunos ejemplos de recipien-tes contenedores de líquidos.

Grandes tanques atmosféricos para almacenamiento de petróleos y derivados con capacidad de hasta 100.000 m3.

Recipientes sometidos a presión con distintas funciones en plantas de proceso, tales como: reactores químicos, platos de extracción en columnas de destilación, calderines de generación de vapor de agua, depósitos acumuladores entre columnas de destilación, depósitos separadores de productos con diferentes densidades, etc.

También existe la necesidad de medir o controlar el nivel de llenado en recipien-tes contenedores de sólidos. Generalmente los almacenamientos de sólidos suelen ser recipientes abiertos a la presión atmosférica, con temperaturas moderadas cerca-nas a la ambiente, con velocidades relativamente lentas de llenado o vaciado y en la mayoría de los casos en procesos discontinuos. La seguridad del control de nivel de estos procesos se considera menos crítica.

La metodología de los sistemas instrumentados de seguridad se está aplicando ampliamente en los procesos químicos y petroquímicos, por ello daremos algunos ejemplos de conexión de diferentes instrumentos de nivel a recipientes que contie-nen líquidos con condiciones de trabajo de presión y temperatura superiores a la atmosférica.

� Necesidad de medir el nivel de líquidos. La razón más común para medir nivel de un recipiente, es conocer su porcentaje de llenado, y como consecuencia conocer la cantidad del producto que contiene. En los almacenamientos de productos de alimentación a unidades de procesos, y en el almacenamiento de productos intermedios y acabados se requiere este tipo de medida. Puede ser lenta, porque debido al gran volumen del almacenamiento, las variaciones de nivel no son rápidas. Se requiere buena exactitud en la medida, dado que se utiliza para hacer inventario de materias.


Otra razón para medir nivel es la necesidad de controlar la cantidad de pro-ducto ue entra o sale, actuando automáticamente mediante un lazo de control sobre algún equipo o elemento del proceso, sea válvula de control o bomba de impulsión. En este caso la velocidad de respuesta y disponibilidad de la medida es más importante que la exactitud, ya que el control del proceso lo requiere.

Una tercera razón para medir nivel en un recipiente sería establecer niveles de protección para evitar que el líquido de un depósito o tanque se derrame, o se quede vacío y se pierda un sello hidráulico con otro recipiente y también para protección de las bombas en el vaciado. En estos casos las medidas para las funciones de seguridad pueden ser puntuales, no es necesaria una medida ��#��'�'��/��#��P&'�'��)��'��'&'�'��$��'��

� Selección de instrumentos de nivel. Existen gran variedad de métodos para medir nivel que se fundamentan en diferentes principios físicos. La selección del instrumento de medida adecuado depende de los factores que se muestran a continuación.

^� Medida continua de nivel. Se requiere cuando es necesario conocer en cada instante el valor de la medida. Se requiere la medida continua en todas las aplicaciones de control cuando el nivel es una variable regulada y es necesa-rio enviar la señal al controlador mediante un transmisor de nivel. También se comienzan a utilizar en los sistemas de seguridad con entradas analógicas, como detector puntual para seguridad.

� Detección puntual de nivel. Se utiliza para detectar el nivel cuando llega a un punto concreto, con instrumentos interruptores de nivel. La detección se efectúa en el propio proceso en campo y se comunica al sistema de control o al sistema de seguridad mediante la apertura o cierre de un contacto. Cuando el nivel está por arriba o por abajo del punto de actuación no se conoce exac-tamente donde está. Esta funcionalidad se utiliza casi exclusivamente para producir alarmas, para actuar automatismos, o para funciones de seguridad.

� Condiciones de operación. Se deben valorar cuidadosamente las condiciones del proceso en cuanto a temperaturas y presiones de operación. También las propiedades físicas y químicas del producto a medir, como: densidad, vis-cosidad, constante dieléctrica, conductividad, composición y contenido de humedad. Igualmente se tendrán en cuenta determinadas características del proceso como: la tendencia al ensuciamiento, a formar vapores o espumas o la erosión que pueda causar daños al instrumento.

� Características del recipiente y tipo de conexiones. Se debe considerar la función del recipiente, reactor, almacenamiento, plato de extracción, decan-tador. También la forma y sus dimensiones, el material con el que está cons-truido, el tamaño del mismo y la presencia de internos. Se tendrá en cuenta si se puede introducir el sensor en el tanque o debe ser completamente externo.

En recipientes presurizados se montaran instrumentos externos con objeto de poder hacer el mantenimiento del instrumento sin tener que parar el proceso.


� Tipo de medida. Hay aplicaciones donde se requiere mucha precisión en las medidas de nivel, como es el caso de los tanques de almacenamiento de pro-ductos comprados o para venta.

Existen otras aplicaciones, como son todas las que requieren control, don-de se considera crítica la velocidad de respuesta y la medida de nivel debe ser P&��)��$��'��'&��

��'��'��#��'��6��P��O'#��'��-das por el licenciatario del proceso, o de acuerdo con las exigencias esta-blecidas en el análisis de riesgos operativos que se efectúa al proceso y sus �3�'��G��$��'��'��3�'��'��$��$��#��P&'�'��de actuación y de disponibilidad permanente.

8.5.1. CONEXIÓN AL PROCESO DE INSTRUMENTOS DE NIVEL

Se exponen las prácticas mas recomendadas para conexión de instrumentos de nivel externos, en recipientes de procesos a presión. Con este tipo de montaje, los instru-mentos pueden ser aislados de los recipientes mediante válvulas y se conectan a los mismos con líneas y tubos tranquilizadores stand pipe.

Aunque existen una gran variedad de principios físicos para la medida del nivel de líquidos, nos referiremos solo a los tipos que se adaptan a muchos procesos, como son los siguientes instrumentos:

^� Transmisores de nivel por presión diferencial, transmisores de nivel con des-plazador, transmisores de nivel por microonda guiada.

^� ��$��$��$��'��$'��]�$��O$��

��$��#��P��3��P�'�'��/��'��J�/��'P�-ción y la compra de un instrumento que se utilizará para aplicaciones de seguridad de nivel en un equipo o recipiente cualquiera, tienen que intervenir varios departamentos de una ingeniería, porque son varias especialidades técnicas las que están involucradas.

� Especialidad de procesos.�*�P��3�'��3��3�'��-macenar y controlar y marcan los siguientes niveles de más alto a más bajo.

100% HLL High Liquid Level Nivel máximo del líquido

95 % HHLL High High Liquid Level Muy alto nivel de líquido

80% HLL High Liquid Level Alto nivel del líquido

50% NLL Normal Liquid Level Nivel normal del líquido

20% LLL Low Liquid Level Bajo nivel del líquido

5% LLLL Low Low Liquid Level Muy bajo nivel del líquido

% LLL Low Liquid Level Nivel mínimo del líquido


Los niveles LLL y HLL en los extremos, delimitan el volumen máximo de almacenamiento en el recipiente.

Los niveles LLLL y HHLL pueden ser niveles de máxima seguridad por ejemplo, si se llega al LLLL puede cavitar una bomba o perderse un sello hi-dráulico entre dos recipientes. En este punto se debe tomar una acción, como puede ser parar una bomba de extracción o cerrar una válvula de bloqueo. En el nivel HHLL puede ocurrir un rebose o meter líquido en un lugar que implica un riesgo, por ejemplo en los cilindros de un compresor alternativo. Aquí también se debe tomar una acción, como es parar el compresor. Ambos puntos de muy bajo o muy alto nivel están implicados en la seguridad de la planta o de los equipos que la forman. Para no llegar a estos límites se asig-nan otros valores intermedios denominados “alarma de bajo nivel LLL”, que debe actuar a un valor más alto que el LLLL y avisará antes de llegar a una situación de riesgo, y la alarma de alto nivel HLL que avisará antes de llegar a la otra situación de riesgo por muy alto nivel.

�'��$�/��PQ��-��/�3��'��3�'��/��del cual se controlará. El nivel para control y el indicador local de tipo visor de vidrio o del tipo magnético deben abarcar todo el rango para poder ver entre el cero y el 100% de nivel.

El nivel se controlará alrededor del 50% con oscilaciones admitidas entre el 20 y el 80%. Al sobrepasar estos valores se producirán las alarmas de bajo o alto nivel, para indicar que se está fuera de los límites normales de control.

Las actuaciones de seguridad se efectuarán en el 5% y en el 95%.� Especialidad de recipientes. Tiene la responsabilidad de diseño y compra del

equipo. Las posiciones del nivel tienen que ser traducidas a elevaciones en el equipo por el departamento de Recipientes, que es el que debe marcar las alturas de las conexiones, y el número y el tamaño de las mismas.

� Especialidad de tuberías. El departamento de tuberías tiene que diseñar los tubos stand pipe, las líneas de conexión, los venteos y los drenajes a partir de las toberas de conexión al equipo. Se deben tener en cuenta los rangos reales de los instrumentos de desplazador, las distancias entre tomas, las alturas de los interruptores de nivel respecto a sus conexiones y las longitudes de visión de los niveles de vidrio o de tipo magnético.

� Especialidad de instrumentación. El departamento de Instrumentación espe-�'P�/��'��J/�)��'��$��$��*�&��'�'$��$�&��3��similares a la Figura 8.37 con las cotas de las elevaciones y los tamaños de las conexiones de cada uno de los instrumentos. También debe facilitar las dimensiones físicas a tuberías para que este departamento pueda realizar las '��4$�'��'��$��)�PQ��'�'��'��'��$��-mentos en los tubos stand pipe, para que sean visibles, accesibles y estén en el nivel adecuado para realizar su función de seguridad.


Figura 8.37. Esquema de conexiones de instrumentos de nivel.

8.5.2. CONEXIÓN DE MÚLTIPLES INSTRUMENTOS A RECIPIENTES

Para decidir cómo hacer las conexiones en la medida de nivel de los recipientes, se tienen en cuenta las siguientes consideraciones que se oponen entre sí:

^� Mínimo número de agujeros en el recipiente.^� Máxima seguridad de que la medida del nivel es correcta.

Por ejemplo, en la medida del nivel de un depósito de carga a una unidad de pro-��P��$��$'�'��'#�'��$��'��$��$��7��transmisor de nivel de desplazador externo, un indicador visual de vidrio armado, ��'�$��$��]�$��&Q��'��)��'�$��$��]�$��alarma de alto nivel. Cada uno de estos instrumentos, por su forma física, por su peso y por la responsabilidad que se le asigna, tiene un tamaño de conexión distinto de los ��+��$��'��$'��O'��DÇV/��'��'��'��armado tiene dos conexiones de ¾” y los interruptores de nivel tienen, cada uno, dos conexiones de 1”. En el caso que nos ocupa, se tienen ocho conexiones de tres tamaños distintos.

Conectando directamente cada instrumento al recipiente se tiene la máxima se-guridad. La obstrucción de una línea solo afectará un instrumento y el resto siguen funcionando��+�$��'��'�'��$'��)��$�/��)��'P��$��P�'��


las alturas de cada toma en el recipiente, y para dar accesibilidad a todos los instru-mentos con objeto de facilitar el mantenimiento. El montaje directo puede hacerse para procesos muy críticos y que además tengan que medir líquidos sucios con los que no se quiere asumir riesgo de obstrucción.

Normalmente y en oposición a lo indicado en el párrafo anterior, se hacen solo dos conexiones de 2” en el recipiente y se sitúan a una distancia que cubre sobradamente todo el rango de medida. Las conexiones con sus válvulas de aislamiento se unen a un tubo vertical de 2” y de este tubo se sacan las conexiones para cada uno de los instru-mentos. Este conjunto se denomina stand pipe y se puede ver en las Figuras 8.38 y 8.39.

En este caso, las facilidades para dar accesibilidad al conjunto son mayores. La coor-dinación de las alturas relativas de alarmas, rango de control y actuaciones de seguridad ��'�/��3��'P��$��'��4��$��'��recipiente. Para evitar la obstrucción se diseñan las conexiones con líneas y válvulas ��BV/�3��$�J��'��P�'��$��$��#��'$��$-��'��$��6'��]�'��$'��'��'��/��'�)��$��]�'��purga en forma continua o intermitente para mantener limpias las líneas del stand pipe.

Figura 8.38. Posición de instrumentos de nivel en un stand pipe.


Figura 8.39. Esquema con posiciones de instrumentos de nivel en stand pipe 2”.

Para sistemas con muy alto nivel de seguridad, se montan dos stand pipe hacién-dose cuatro agujeros en el recipiente. Los instrumentos para alarma, control y segu-ridad se montan distribuyéndolos entre los dos stand pipe, con lo cual, se disminuye la posibilidad de perder todas las señales al mismo tiempo.

Los instrumentos que se montan con stand pipe, llevan sus propias válvulas de aislamiento y drenaje para poder hacer el mantenimiento individualizado de cada '��$��$�/��'��3��$��+��P#��$��'��$��'-tadas se muestran algunos detalles de tamaños de líneas y válvulas de stand pipe e instrumentos.

Observar que se han de mantener distancias mínimas entre las soldaduras de los distintos accesorios utilizados en el stand pipe para conectar los distintos tipos de instrumentos. Esto obliga a hacer un estudio con las dimensiones de los instrumen-tos, las distancias entre conexiones de cada uno, los rangos de los transmisores y los puntos de actuación de los interruptores de nivel para situar correctamente las conexiones en el stand pipe. Como consecuencia del estudio, se compran los trans-misores de desplazador y los interruptores de nivel con las conexiones previamente


��P�'��7��$��:�$��/��$��:'��'��/��$��:��'��'��:'��'��)��distancias entre las tomas según convenga, para poder realizar las conexiones en el stand pipe. De esta manera, se puede hacer que los rangos y puntos de actuación en el nivel del recipiente, se produzcan en las elevaciones donde está previsto.

Para la comprobación de los instrumentos se debe prever en cada uno de ellos una ��Q��'��]�'��$�O'��/��'#��o simplemente manchan lo que está debajo, se debe diseñar un sistema de recogida de drenajes mediante embudos y tuberías, o, tuberías conectadas directamente al drenaje para canalizar los derrames (véase el detalle A de la anterior Figura 8.38).

Decidir cuál es el tipo de instrumento más adecuado en cada aplicación concreta, es una tarea compleja. De las tecnologías disponibles, se indican los principios bá-sicos de las más utilizadas en industrias químicas y petroquímicas.

Medida de nivel por presión diferencial

El método está basado en la medida de la presión hidrostática correspondiente a la columna de líquido de una altura determinada, la cual corresponde al nivel que se quiere medir.

Los transmisores de presión diferencial para medida de nivel tienen gran versati-lidad para poder ajustar rangos bajos y altos con elevación o supresión.

El principio de medida está basado en la presión que ejerce sobre la cámara de alta de un transmisor de presión diferencial, la columna de líquido que se quiere medir. La presión ejercida está en función de la altura de la columna y de la densidad del líquido.

��)� ��

En las Figuras 8.40 y 8.41 se ven transmisores de presión diferencial, para medir nivel en depósitos o tanques abiertos a la atmósfera.

Para llevar a cabo la medida de nivel en un recipiente abierto se hace una toma de presión en la parte inferior del depósito que se conecta con la cámara de alta del transmisor de presión diferencial. La toma de baja presión del transmisor se deja abierta a la atmósfera.

El transmisor detecta los cambios de nivel como cambios de presión con respecto a una presión de referencia que es la atmosférica.

%�� %�Ì�Î�Hp = Presión debida a la columna de líquido.H = altura del líquido en el recipiente.Î�� '��3�'��

En la Figura 8.41 se representa un recipiente a presión atmosférica, en el cual se quiere medir la altura del nivel H = 3.000 mm, con un transmisor de presión diferen-cial. La toma de alta presión H está conectada al recipiente, y la de baja presión L a la atmósfera.


Figura 8.40. Conexión instrumento de nivel a recipiente con presión atmosférica.

Figura 8.41. Esquema, medida de nivel en recipiente con presión atmosférica.


El transmisor se puede instalar al mismo nivel o más abajo que la toma de proce-so. En este caso, la columna de líquido h = 2.500 mm entre la cámara de alta presión H del transmisor y la conexión que corresponde al nivel cero que se quiere medir, ejerce presión sobre la cámara del transmisor. La presión correspondiente a esta co-lumna, hace que el transmisor de una señal de salida superior a 4 mA o 0% de nivel, que es necesario suprimir ajustando el cero del transmisor.

El rango de medida se ajusta aplicando a la cámara de alta una presión Hp corres-pondiente a las columnas h+H para tener una salida de 20 mA o 100% del nivel. Se repiten los ajustes de cero y SPAN con las presiones correspondientes a las columnas h y h+H respectivamente, hasta obtener la calibración correcta.

G��3��'��$/�� &��PQ��)�$��'��$�en el ajuste del instrumento y debe estar permanentemente llena con el líquido cuya densidad se ha utilizado en la calibración.

��)� ��

Para realizar la medida del nivel mediante transmisor de presión diferencial en de-pósitos cerrados y presurizados se hace una toma en la parte inferior del recipiente donde se situará el 0%, y otra toma en la parte superior del mismo, donde se situará el 100% del nivel a medir. La presión del recipiente está aplicada a las cámaras de alta y baja presión del transmisor, y por ello se anula su efecto. Se conectan la toma inferior a la cámara de alta, y la toma superior a la cámara de baja presión del transmisor de presión diferencial. El transmisor detecta los cambios de nivel, por el cambio de presión en la cámara de alta presión debido a la variación de la altura de columna de líquido en el recipiente.

En la Figura 8.42 se representa un recipiente sometido a presión en el cual se quiere medir el nivel de un producto que puede tener vapores en equilibrio. Los vapores pueden condensar en el interior de la línea conectada a la cámara de baja presión L, en función de la temperatura ambiente. Para evitar que la línea esté llena o vacía de condensado de forma incontrolada y se produzcan errores tan grandes que impidan la medición, se llena con un líquido que no sea miscible con el producto del recipiente. En este caso, la presión LP ejercida en la rama de baja presión del trans-misor por la columna del líquido de sello es diferente a la que soporta la rama de alta presión. El líquido de sello de la línea de baja presión tiene densidad superior a la del líquido que está en el recipiente. Para medir correctamente el nivel es necesario neutralizar la presión de esta columna.


Figura 8.42. Esquema, medida de nivel en recipiente presurizado.

*��'��3�'��'��'��Î� �E/>B��#8��3. Densidad del líquido de ��ÎÏ� �D��#8��3.

El rango de nivel a medir es la diferencia de alturas de las tomas H = 1.800 mm. El transmisor está situado por debajo del cero del nivel, a una distancia h = 1.500 mm.

Las presiones en las cámaras de alta Hp y de baja Lp, son las siguientes:

��'�� %�� Ì�Î� � D�HEE�O�E/>B� �D�E?E�� %Ï�Ì�ÎÏ� � X�XEE�O�D�� X�XEE��'��DEEµ� %�� K%�½� L�Ì�Î�� KD�?EE½D�HEELÌE/>B B�X>A�� %Ï�Ì�ÎÏ� � X�XEE�O�D�� X�XEE��

Después de ajustar el transmisor de nivel con las presiones indicadas se debe observar que al instalarlo hay que llenar las columnas de las cámaras de alta y baja presión con los líquidos de igual densidad a los previstos en la calibración.

Si la columna permanente de la cámara de baja se llena con un líquido que con las variaciones de presión y temperatura se va mezclando con los gases o vapores existentes en el recipiente, a lo largo del tiempo se tendrá un producto de diferente densidad del original y habrá error en la medida.

Con estos transmisores, la mayoría de los problemas en la medida de nivel se de-rivan de la columna de líquido en la línea de la cámara de baja presión. Si el líquido en el interior del recipiente está a temperatura diferente del líquido existente en la cá-


mara de baja (que está a la temperatura ambiente) tendrá diferente densidad y por ello habrá un error en la medida proporcional a la diferencia de densidades. Si el líquido existente en la cámara de baja puede evaporarse en función de la presión interior y de la variación de la temperatura ambiente, el error puede ser muy grande. Si la columna de la cámara de baja, que debe ser permanente, se evapora y se condensa en función de las variaciones de presión o de temperatura en el recipiente, o en función de las variaciones de la temperatura ambiente, la medida del nivel se hace imposible.

G��Q��/��P��$��)��$��3��'��O'�$�� los que los productos están en equilibrio líquido gas a la presión y temperatura interna de trabajo, por ello se debe tener cuidado en la elección de este tipo de medidor, de-pendiendo del producto a medir (Figura 8.43). Las líneas de conexión están sometidas a las variaciones de la temperatura ambiente y puede que el producto que está en el interior de las líneas en equilibrio se condense o evapore. Si se pierde la columna de líquido en la línea de baja presión, el error será tan grande que se pierde la medida.

Figura 8.43. Conexiones para medida de nivel en recipiente presurizado.

*��

Cuando el producto que está en el recipiente tiene características que impiden utili-��$��$'��'�7�]�'��$��'��'��$'�� $'��3��evitar la contaminación del mismo, se utiliza la opción de medir el nivel del reci-piente con transmisores de presión diferencial con las cámaras conectadas a sellos 3��'��$��$��4��'��3��$'��]�'��$'��silicona o aceite vegetal. La medida de nivel de un recipiente, mediante transmisor de presión diferencial con sellos y capilares se puede ver en la Figura 8.44.


Figura 8.44. Medida de nivel. Instrumento con diafragmas separadores.

Con este montaje se debe tener en cuenta que en procesos continuos se tienen que poner válvulas de aislamiento entre los recipientes y las bridas de conexión de los sellos y capilares a los instrumentos para que se puedan desmontar, probar, reparar y mantener los instrumentos, sin afectar al proceso y sin tener que hacer paradas imprevistas por averías en los instrumentos o en las líneas de conexión.

��

Los instrumentos de presión diferencial utilizados para la medida de nivel tienen las mismas características y valores que los utilizados para la medida de caudal, lo indicado allí en el párrafo de seguridad aplica igualmente para estos transmisores.

Recordar que los problemas en la medida de nivel por presión diferencial se dan por las columnas de líquido en ambas cámaras. Si el líquido de las columnas es muy estable ante las diferentes condiciones del proceso y ambientales, la medida puede ��$��P&��$��'��

Medida de nivel con desplazador

Los instrumentos de desplazador fundamentan su principio de medida en que detec-tan la diferencia de peso del desplazador, cuando está sumergido en uno o en dos lí-3�'��$�$'P��'��$��'��/��3��$'��no hay ningún líquido que efectúe empuje sobre el mismo.


El empuje depende del volumen desplazado por la parte sumergida del desplaza-dor, de la densidad relativa y del nivel del líquido.

La diferencia de fuerza ejercida sobre el desplazador se transmite por medio de un sistema de barras de torsión o un muelle que se comprime y a un transductor que permite variar un campo inductivo, el cual, acoplado a un circuito electrónico genera una señal de salida proporcional a la altura del nivel.

En la Figura 8.45 se puede ver el principio de funcionamiento de tres transmi-sores de nivel electrónicos del tipo desplazador. En la parte izquierda se muestra ��$'��$��'��'��3��P��Q��$��'��/��detector inductivo en el alojamiento de la cabeza electrónica. En el centro, otro me-didor con una vista seccionada del cuerpo del desplazador y del brazo de torsión. El eje de torsión puede llevar acoplado un sistema inductivo con circuito electrónico, o un sistema lengüeta tobera y un transmisor neumático. En la derecha se aprecia una sección esquemática de otro tipo de transmisor electrónico en el que el sistema de brazo de torsión es sustituido por un muelle de rango. El desplazador lleva en la parte superior un núcleo móvil que se desplaza en el interior de un transformador diferencial lineal variable (LVDT) acoplado a un circuito electrónico, el cual pro-duce una salida de 4 a 20 mA en función del pequeño movimiento del desplazador y como consecuencia de la variación de la altura del nivel de líquido.

En la parte superior hay un tubo, generalmente de acero inoxidable, que está uni-do a la brida superior del cuerpo y que hace de aislamiento de cierre entre el producto y la electrónica del transmisor. Por el interior se desplaza el núcleo y por el exterior están enrolladas las bobinas del transformador.

Figura 8.45. Medidores de nivel de desplazador.


De acuerdo a lo indicado anteriormente, al aumentar el nivel, el líquido ejerce una fuerza de empuje que contrarresta el peso del desplazador y el esfuerzo en el tubo de torsión será bajo. Por contra, al bajar el nivel la parte sumergida disminuye, el empuje disminuye y el esfuerzo en el tubo de torsión aumenta.

La longitud y diámetro de los desplazadores depende del rango de medición. Se ��'��'��'��]�'��$'��$��'��'��)��'��6��$'�'��con muy buen resultado para medir de nivel interfase. Este tipo de nivel se adapta bien a una gran variedad de los diferentes productos que se manejan en plantas pe-troquímicas, y por ello se utiliza ampliamente en estos procesos.

Se debe tener en cuenta que por su principio de funcionamiento, la exactitud de ��'�'��$��&'��'��]�'��G��'��control o de seguridad, la imprecisión de la medida por la variación en la densidad del líquido no se considera muy importante. Sin embargo, sí se aprecian la disponi-&'�'��/��P&'�'��)��&Q��$��'�'��$��

��J��'��$'��#��P&'�'��)��$'�'��$��/��alarma o para actuaciones de seguridad. Debido al mayor coste inicial de estos ins-trumentos y a la mayor envergadura de montaje, en muchas funciones de alarma o ��#��'��/��&��$��'��'��'P��#��'��$��'��$��/��$'$�)��'��$��$��'�$��$��'��$'��&�)��]�$��

Los niveles tipo desplazador se pueden instalar directamente al recipiente me-diante una brida, pero es preferible montarlos separados del recipiente con un stand pipe o en un tubo de derivación y con válvulas de aislamiento, para poderlos calibrar y ajustar sin tener que parar el proceso. En la Figura 8.39 se representó el esquema de un stand pipe, con la agrupación de los posibles instrumentos de nivel de un reci-piente como son: nivel de vidrio armado LG, transmisor de nivel del tipo desplaza-dor LT, interruptor de bajo nivel LSL e interruptor de alto nivel LSH.

��

��$��'��$��'��'��'��$��$��'P��tipo B, con fracciones de fallo seguro SFF del 92% del total de fallos.

Se asume que el sistema de lógica del SIS detecta si la señal del transmisor está fuera de rango. Se comprueban datos de catálogos de transmisores de nivel utiliza-dos en el mercado y se obtienen valores de tasas de fallos peligrosos no detectados ��DU = 0,6 x 10-7 fallos por hora.

Para una aplicación que se actúa con un solo transmisor de nivel (1001) y en la que se efectúa una prueba del instrumento cada año, se obtiene la probabilidad media de fallo a demanda:

G�*�#� ��DU x TI/2 = 0,6 x 10-7 x 8760 / 2 = 2,62 x 10-4

La tasa de fallos se garantiza durante el periodo de vida del instrumento. Basán-dose en datos generales de fallos en campo, se estima un periodo de vida útil para estos instrumentos, de aproximadamente 15 años.


$��%j��j��!��%��

Los tipos de interruptores de nivel más utilizados en petroquímicas son los de boya ��]�$��$��]�$��3��$��'��Q��)��extremo tiene una parte magnética, esta parte, al pasar frente a una zona determi-nada, atrae un imán unido a un sistema basculante que actúa un microrruptor con contactos sellados y aislados del medio ambiente. En la Figura 8.46 y solamente con objeto de mejor visualización, se representa una ampolla con una gota de mer-curio que abre o cierra un circuito. La apertura del interruptor puede actuar en un circuito para activar una alarma, o sobre una función de seguridad para actuar la protección de un equipo.

Figura 8.46. Interruptores de nivel de �otador.

La conexión en modo de fallo seguro tiene en cuenta el fallo mecánico y el fallo eléctrico. Desde el punto de vista mecánico, en la función de actuación por bajo �'��/��]�$��$��&Q��'��'��'��'�$��$��$��#�� $��#�4$'��O$��'��]�$��/�)��mantiene el mecanismo del interruptor en la posición mostrada en la derecha de la P#��O'��4�$�'��'�$��$��/��$��T��KL�)��$��abierto (NA) está abierta.


Cuando el nivel está en su posición correcta, por arriba de su punto de actuación, el imán y la parte magnética se atraen y vencen la fuerza del muelle, el interruptor ��&'�)�$��'�3�'��P#��O'��4�$�'��'�-terruptor entre el común (C) y el normalmente abierto (NA) está cerrada. En esta forma, no hay alarma o actuación de seguridad, el circuito eléctrico está vigilado por estar cerrado, y cualquier anomalía en la apertura de los cables, en el fallo de la alimentación, en el fallo de un relé energizado, o con cualquier otra anomalía sería detectada inmediatamente al producirse una apertura del circuito. El sistema actuaría ante el fallo, llevando al proceso a la condición de seguridad prevista.

Por el contrario, si utilizamos el contacto abierto en condiciones normales de ��'��/�3��'��$��$��K��P#��$��'��'��-malmente cerrado NC, dado que se representan en su estado de reposo, sin nivel, sin presión, sin caudal y a temperatura ambiente). Cuando el nivel baja, que es la condi-ción peligrosa ante la que se debe actuar, puede que el imán y la parte magnética no tengan fuerza para tensar el muelle, o los cables del circuito eléctrico no estén conec-tados, o no exista alimentación en el circuito. Puede haber sucedido cualquier cosa que impida el funcionamiento correcto de la función de seguridad, no hay vigilancia del sistema, y no hay garantía de actuación cuando más falta hace.

El diseño a fallo seguro (fail safe) de cualquier circuito, es el que tiene la menor posibilidad de fallo ante una demanda de actuación.

El instrumento tiene una caja donde se sitúan el microrruptor y los bornes de co-nexiones eléctricas. La envolvente, debe tener el grado de protección adecuado a la ��'P��'��$4�'��$��

+��$��'��$��'��]�$��'��O'�&��6��XDA��6��$'�'��o titanio, cuando el producto a medir o las altas presiones y temperaturas lo requieren.

��O'��)��$Q��P#��'��stand pipe mostradas anteriormente y en la Figura 8.47. Normalmente se referencia el pun-$��$��'��]�$��$��Q��$��'��

Cuando el instrumento se utiliza para actuar una función de seguridad, con objeto de minimizar el riesgo de taponamiento, se utilizan dos stand pipe y se reparten los instrumentos entre ambos. En uno se conecta el interruptor de disparo y un nivel vi-sual de vidrio y en el otro se conecta un nivel de vidrio, el transmisor de desplazador y un interruptor de nivel con la función de alarma previa. Cuando se requiere alta P&'�'��)��'��'&'�'��'��#��'��)��$'�'��$��'��$��$��en disposición dos de tres para la actuación, los instrumentos se distribuyen en dos stand pipes.

Con estos instrumentos en la disposición dos de tres se debe generar mediante ��$9��'��'��6��$��$��'��'��$��$'��cualquiera de los interruptores está en posición distinta de los otros dos.

Siempre que exista una actuación de seguridad, a un nivel previo al disparo, se debe poner un interruptor con función de alarma previa. Esta solución, en la mayoría de los casos, permite tomar acciones que evitan llegar a la situación de riesgo del nivel de seguridad o disparo.


Figura 8.47. Montaje de interruptores de nivel.

��

��'�$��$��'��&�)��]�$�'��/��'��'��$��'��)��'��-��$��$'��6G*R��*G*R/��'��$��$��'P��$'��)�$'��fracciones de fallo seguro comprendidas entre el 60 y el 90% del total de fallos.

Comprobando datos de catálogos de diferentes interruptores de nivel utilizados en el mercado, se obtienen valores de tasas de fallos peligrosos no detectados de 0,11 x 10-7 fallos por hora con micro ruptor SPDT y de 0,08 x 10-7 fallos por hora con micro ruptor DPDT. El DPDT se utiliza poniendo en serie los dos contactos NA (normalmente abiertos) del doble microrruptor, cuando la función tiene que actuar por bajo nivel.

R��'��$��6G*R/��DU = 0,11 x 10-7 fallos por hora.

Para una aplicación que se actúa con un solo interruptor de nivel (1001) y en la que se efectúa una prueba del instrumento cada año, se obtiene la probabilidad media de fallo a demanda:

G�*�#� ��DU x TI/2 = 0,11 x 10-7 x 8760 / 2 = 4,82 x 10-5

La tasa de fallos se garantiza durante el periodo de vida del instrumento. La vida útil recomendada por los fabricantes para estos instrumentos en aplicaciones de seguridad, está condicionada por el tipo de microrruptor utilizado. Se debe pedir ��$'P��'��$��$��$��)��'��'��&'��suministrador.


Medida de nivel por onda guiada

El sistema de medición de radar por onda guiada (TDR time domain re�ectometry) consiste en enviar la onda de radar a través de un cable o varilla metálica introducido ��3�'��/��3��3�'��'��'��]�Q��&'��&��$�$��'��4�$�'��]�'��3��$��#'��el cable. Véase la Figura 8.48 para ilustrar la medida de nivel por onda guiada. Puede ser instalado en un recipiente grande en un tubo de derivación para hacerlo indepen-�'��$��'�'��$�/��$�&��'�'��'��'��P#��)��stand pipe como si fuera el cuerpo de un transmisor de desplazador.

Figura 8.48. Medida de nivel por onda guiada.

+��$��'��P#��3�� )��'�'�'��'-�/��&��)��#��3�'��]�Q��$�/�vuelven al elemento emisor receptor y son detectadas. Conociendo el tiempo trans-currido desde que se emitió hasta que se ha recibido, el procesador del instrumento calcula la altura del nivel. La señal de salida del transmisor puede ser de 4 a 20 mA correspondiente a 0-100% de nivel.

Los instrumentos de medición de onda guiada se pueden utilizar con gran va-riedad de líquidos y con algunos sólidos. No son afectados por la humedad, por la presión, por la temperatura ni por la presencia de polvos o vapores.

Se pueden utilizar para efectuar medidas de interfase entre dos líquidos. Los pul-��#�'��$��4��'��]�O'��$��$��-P�'��3�'��$��'��$�$��'��4�$�'��'��$��'$�� ]�O'��G�$�� #�� $'�T��'Q�� $��4��]�'��)� �$��'��'$'��]�O'��'��'��'��'�$��


Figura 8.49. Medida de nivel interfase por onda guiada.

En la Figura 8.49 se puede ver el principio de medida de nivel interfase por onda guiada. Para las aplicaciones de interfase se tienen que cumplir los siguientes requisitos:

^� El producto superior debe tener una constante dieléctrica más baja que el producto inferior. La diferencia entre las constantes de los dos líquidos debe ��)��$'��PQ��&�'��$��'��

^� Dependiendo de la sensibilidad del nivel, la capa de producto superior debe tener un espesor mayor a una cantidad dada por el fabricante.

^� La medida de interfase con elemento externo o acoplado a un stand pipe, puede realizarse solamente si el líquido de menor densidad está siempre por ��'��$��'��'��O$��S'��P#��&��3��3�'��'��]��$��$��$��)��$��el depósito por debajo de la conexión superior, en el tubo de la derecha no habrá correspondencia con los niveles. En estos casos, el transmisor tiene que ser montado directamente en el recipiente.

^� Se deben estudiar detalladamente las aplicaciones donde se utilizarán estos sis-temas de medida. Los tipos de productos, los rangos entre los que pueden variar la viscosidad, la presión, la temperatura de operación y la constante dieléctrica, limitan las aplicaciones en que se pueden utilizar este tipo de medidores.

��

�� $��'�� '�� #�'�� '��$��$�� 'P�� $'��<�)�con fracciones de fallo seguro comprendidas entre el 80 y el 92% del total de fallos. Tienen señal de salida de 4-20 mA y protocolo Hart.


Se asume que el sistema de lógica del SIS detecta cuando la señal del transmisor está fuera de rango. Se comprueban datos de catálogos de transmisores de nivel utili-zados en el mercado y se obtienen valores de tasas de fallos peligrosos no detectados de 1,06 x 10-7 y de 1,83 x 10-7 fallos por hora.

6'�$��/��DU = 1,83 x 10-7 fallos por hora.Para una aplicación que se actúa con un solo interruptor de nivel (1001) y en la

que se efectúa una prueba del instrumento cada año, se obtiene la probabilidad media de fallo a demanda:

G�*�#� ��DU x Ti/2 = 1,83 x 10-7 x 8760 / 2 = 8,01 x 10-4

La tasa de fallos se garantiza durante el periodo de vida del instrumento. Los componentes limitadores en estos instrumentos son los condensadores de los circui-tos electrónicos que tienen un periodo estimado de 50 años. Cuando los fabricantes no concretan un periodo de vida, se aplica el siguiente párrafo:

En aplicaciones de seguridad y de acuerdo con la IEC 61508-2 apartado 7.4.7.4, se debe asumir un tiempo de vida útil basado en la experiencia. Los transmisores electrónicos suelen tener una vida útil de entre ocho y doce años. Los componentes que trabajan cerca de los límites de sus especi�caciones pueden reducir aún más su vida útil. Esta observación es aplicable a todos los transmisores electrónicos.

8.6. ELEMENTOS FINALES DE CONTROL

�� $�� P�� $�� $�� $��'��$��'��6��&Q�$'��$��&��3��]�'��'��$��por el conducto o tubería. Desde el punto de vista de las funciones de seguridad son los elementos que cortan el paso de caudal en los conductos, y permiten aislar �'�$'�$�� '�$�� $�� '$��'��P�'��+�� $��P��$'�'��en las plantas químicas es la denominada válvula de control, aplicada en función modulante para controlar el proceso, o en funciones de seguridad para actuación, todo o nada.

La válvula está formada por un cuerpo y un actuador, en la Figura 8.50 se pue-den ver prácticamente todos los componentes que forman una válvula de globo. El ��3��$��'��)��$'��]�'��'�$��'��Esta parte de la válvula debe cumplir todos los requerimientos exigibles a la tubería para que pueda soportar las mismas condiciones de presión, temperatura y corrosión ��]�'��

El actuador es el elemento que mueve la válvula como respuesta a la señal de ac-tuación procedente de un aparato de control. El actuador debe ser diseñado para ser ��Q��'��]�'��&��&$��)��-locar el obturador en la posición adecuada en los cambios de demanda del proceso.


Figura 8.50. Válvula de globo.

Cuerpo de la válvula de control

Existen tantas variantes en los tamaños, formas, materiales y tipos de conexionado de los cuerpos de las válvulas de control y de actuación todo nada, que es necesario ��P�'��#��$��$'��/��P��#�'��'��$��'��'��7

� Tamaño. Será el adecuado para el caudal que tenga que manejar, pero el ta-maño mínimo por razones de robustez mecánica suele ser de 1”.

� Conexiones. Las uniones de las válvulas con las tuberías pueden ser roscadas o bridadas. Para facilitar el montaje y desmontaje, los cuerpos de las válvulas deberían ser acabados con bridas.

� Materiales y resistencia mecánica. Todos los cuerpos serán fabricados en ��&��'��K�� 'P��'�� $�&�� '��'-3��$�� '��]�'�� '�'�� '��/� ��&��'-��L��%�$��$�J��$��'��/�X��@V��'��$��'P��rating �XEEÐ��'��/��'P��'��$�&��3�'��características superiores, estas últimas deben prevalecer. Para los tamaños


��'��@V/��'��$'�#��O'#'��'P��'��tuberías aunque sea inferior a 300#.

� Dimensión entre caras de bridas. Para poder diseñar las isométricas de tube-rías, las distancias entre las caras de las bridas de los cuerpos de las válvulas de globo o mariposa se deben fabricar de acuerdo con las normas adoptadas en el proyecto.

� Internos de las válvulas. Las partes internas son como mínimo de acero '��O'�&��]�'��Q��'��/��líquido con sólidos en suspensión, o cuando se producen caídas de presión superiores a 10 kg/cm2, los asientos y obturadores, las guías y los casquillos deben ser estellitados.

� Prensaestopas y empaquetaduras. Las válvulas llevan prensaestopas y su co-rrespondiente empaquetadura, para evitar fugas al exterior. La empaquetadu-ra debe ser fácilmente accesible para facilitar la reposición y el mantenimien-$��*��$��$��]�'��'�$��/��3��$��$'�'�� $�BBE�É��$�]��)��$��$��'��BBE�É��#�P$��

� Fugas en los asientos de las válvulas. Las fugas de la válvula a través del conjunto obturador asiento, dan lugar a interpretaciones erróneas cuando se �$'�'��$��&'#��U��#��V/��U��$��V/��P-nición muy extendida en inglés tight shutoff. De diferentes maneras se quiere ��'��3��#��/��P��$��#��'��3��&��'P��

+O'�$��'��3��P��'�'��&��)��'��de estanquidad que se deben exigir a las válvulas, una de las más ampliamente uti-lizadas por los fabricantes de válvulas de control es la FCI-70-2 del Fluid Controls Institute, la cual ha sido asumida por ANSI.

Las clases de fugas en las válvulas de control de la Norma ANSI/FCI 70-2 son ��'��)��P��'#�'��$�7�

:� ��#��$��'��'P��)��3�'��$��se acuerda previamente entre el usuario y el fabricante.

- Clase II. La prueba se hace con aire o agua a una presión de 3,5 bar, aplicado a la válvula con el obturador cerrado por el actuador, y con este alimentado a su presión requerida. La fuga puede ser el 0,5% del caudal de la válvula a apertura total.

- Clase III. Las pruebas se hacen en las mismas condiciones que la clase II y la fuga puede ser el 0,1% del caudal de la válvula a apertura total.

- Clase IV. Las pruebas se hacen en las mismas condiciones que la clase II y la fuga puede ser el 0,01% del caudal de la válvula a apertura total. Son las fugas admitidas en las válvulas para usos normales, en funciones de control.


- Clase V. La prueba se hace con agua entre 10 y 50 ºC, y a la presión diferencial real de trabajo. La fuga puede ser 0,0005 ml agua/minuto por pulgada de diámetro del asiento por PSI de presión diferencial. Es la clase de fuga que se pide a válvulas que tienen que asegurar un buen cierre en los circuitos con funciones de seguridad, para el aislamiento de ciertas partes del proceso.

- Clase VI. Las pruebas se hacen con aire o nitrógeno a la presión diferen-cial de trabajo, o a 3,5 bar (la que sea menor). El caudal de fuga en ml/minuto, o en burbujas/minuto, se da en función del tamaño de la válvula. Para el detalle exacto de los procedimientos de las pruebas y las fugas, se recomienda la observación de la norma citada. La clase VI se exige en casos excepcionales, con productos muy peligrosos y en los que las con-diciones del proceso permiten la utilización de asientos con materiales blandos. Con asientos metálicos duros es difícil conseguir este grado de estanquidad, y una vez conseguido con mecanizados y lapeados costo-sos, se pierde fácilmente, tras realizar varias actuaciones de aperturas y cierres con el conjunto obturador asiento.

� Niveles de ruido permitidos. El ruido, se genera por el efecto dinámico del ]�'��'�$��/�)��&��$��/��$��&$��y el asiento cuando se produce algo de vaporización. En lugares donde nor-malmente hay personal, el nivel continuo de ruido a un metro de la válvula, debe ser inferior a 85 db.

Actuadores

El tipo de actuador más utilizado en las válvulas de control, con gran diferencia sobre los demás, es el que está accionado por aire a presión. Existen actuadores con motor eléctrico, accionando directamente sobre el obturador. También hay actuado-res electrohidráulicos, en los que una motobomba proporciona la presión del sistema óleo hidráulico que se almacena en un acumulador. El aceite a presión hace las mis-mas funciones que el aire a presión en los actuadores neumáticos.

Los actuadores eléctricos y los electrohidráulicos se aplican en casos especiales, principalmente cuando no hay disponible red de aire para el sistema de instrumen-tación y control. Los actuadores electrohidráulicos se utilizan cuando se requieren grandes fuerzas impulsoras y actuaciones muy rápidas.

En función del medio utilizado para su actuación, las válvulas se denominan como: neumáticas, eléctricas o electrohidráulicas.

+��

Los actuadores de diafragma y muelle se denominan de simple acción. El aire a presión, mueve el vástago de la válvula a la posición de apertura o cierre deseada. Cuando no hay aire, el muelle o muelles, ya que se pueden utilizar varios para con-


seguir la fuerza necesaria, hace que la válvula se coloque en la posición contraria.En la Figura 8.51 se puede ver un actuador neumático de diafragma. En este

modelo, el aire entra por la parte inferior de la cabeza, empuja el diafragma hacia arriba y con él el vástago que está solidariamente unido al mismo. El movimiento ��'��/��$��#��P�'��$��3��$��'��actuación se expanda y lleva el vástago y el obturador a la posición contraria.

Figura 8.51. Actuador neumá�co.

+�� !��

Se utilizan con válvulas de control que requieren un gran recorrido, o la aplicación de una gran fuerza en el vástago. Pueden ser:

� De simple efecto. El aire se aplica a un lado del pistón que al moverse compri-me un muelle en el lado opuesto. Al fallar el aire de control, el muelle coloca la válvula en la posición contraria a la que la sitúa el aire. Esta posición es la que se desea a fallo de aire (Figura 8.52).


Figura 8.52. Actuador de cilindro y pistón de simple efecto.

� De doble efecto con muelles. Se utilizan para trabajar con altas presiones diferenciales en el proceso. Reciben aire de control para su posicionamiento por ambas caras del pistón. También existen los de doble efecto sin muelles, como el representado en la Figura 8.53; estos actuadores, cuando falla el aire, se quedan en la posición en que estaban antes del fallo. Si se quieren llevar a una posición determinada, se debe facilitar un depósito de almacenamiento de aire, con una serie de dispositivos que, ante el fallo del aire de actuación normal, pondrán el aire de reserva en el lado adecuado, para llevar el vástago a la posición prevista de seguridad

Figura 8.53. Actuador de cilindro y pistón de doble efecto.


8.6.1. ELEMENTOS FINALES APLICADOS A FUNCIONES DE SEGURIDAD

Cuando las válvulas se utilizan en circuitos de proceso, con actuación desde sistemas de seguridad, además de las características indicadas anteriormente para las válvulas ��$��/��O'#'��$��P��$��$'��

� Protección �re safe. En la industria petroquímica y en las que se manejan ]�'�� '�]�&��/� )��#��'�$��$�� '��#��-tencial, que requieren la utilización de válvulas de actuación con protección ante el fuego �re safe��+�$��'#�'P��3��/��$��#��$��'��$��)��$��$'��&'��P�'��/��$��cerrarla y deberá mantener la estanquidad entre obturador-asiento, y evitar las fugas al exterior por empaquetaduras y por las juntas de las bridas, si las hubiera.

Los tipos de válvulas que pueden cumplir este requisito son: las válvulas de compuerta, las válvulas de bola y las válvulas de mariposa.

� Tiempo de cierre. En algunas aplicaciones de seguridad, la velocidad de cie-rre es muy importante para asegurar la actuación en un tiempo determinado. *�&��'P��$'��O'��'$'��'��apertura. En válvulas de tamaños grandes que requieren gran velocidad de actuación, puede ser necesario utilizar dispositivos especiales, para la carga o descarga rápida de la presión de actuación.

� Sistemas de cierre obturador-asiento. Los sistemas de cierre obturador-asiento, de las válvulas más utilizadas para las aplicaciones de seguridad, son las siguientes: asiento, bola, compuerta y mariposa (Figura 8.54).

Figura 8.54. Tipos de válvulas u�lizadas en SIS.

Las válvulas de compuerta se utilizan en oleoductos, límites de batería y grandes tamaños. Generalmente son operadas por actuadores eléctricos.


Las válvulas de asiento se utilizan para aplicaciones todo nada de seguridad con altas presiones y altas temperaturas. El sistema de cierre metal-metal permite conse-guir estanquidad clase V, y en algunas aplicaciones con metales blandos la clase VI. Las válvulas de asiento no pueden cumplir la exigencia �re safe”.

Las válvulas de mariposa son muy utilizadas para grandes líneas y baja presión de trabajo, en accionamientos todo nada y aplicaciones de bajo nivel de seguridad. Hay una gran variedad de diseños y en procesos con bajas temperaturas se pueden disponer discos con juntas elásticas y cierres metálico-elásticos para conseguir es-tanquidades con clase de fuga IV.

Las válvulas de Bola son las mas utilizadas en aplicaciones todo nada de seguri-dad. El conjunto obturador-bola suele ser del tipo bola maciza perforada en tamaños pequeños, y bola hueca en tamaños grandes. El paso interno puede ser de paso inte-#��'P�'��'��$��'��&��]�$�$��K�oating ball) o de bola de entrada superior (top entry).

��&��]�$�$��Q��'��)��&��$��#�'��por los propios asientos. El cuerpo está formado por dos o tres piezas. El cuerpo representado en la Figura 8.54 es de dos piezas, y el acceso a la bola y los asientos requiere el desmontaje de la válvula.

Las válvulas de bola entrada superior (véase la Figura 8.55) se fabrican con el cuerpo de una pieza, y la bola y los asientos se insertan por la parte superior. El mantenimiento se puede hacer sin tener que desmontar la válvula de la línea. Los �'��$��/�3��'��&��&��/��$��'��/�GR�+/�#�P$��$��$��'��P��'��J��top entry pueden ir equipadas con asientos especiales para que con altas temperaturas y asientos metálicos se mantenga una buena estanquidad.

Figura 8.55. Válvula de bola.


��&��%��

En los diversos procesos industriales hay algunas aplicaciones que pueden conside-��'��)�3��3�'��$��P��'��J��'��'-cación concreta.

+��'#��?�HA��$�/��)��3��$'�/��'��'P�-dora (diverter) de las que se utilizan en plantas de cogeneración, para direccionar los gases procedentes del escape de un turbogenerador hacia un sistema de generación de vapor, o hacia la chimenea de salida de gases. El conducto puede tener forma circular o rectangular, con dimensiones tan grandes como 2,5 x 2 m de sección. Los gases de salida pueden estar a una presión ligeramente superior a la atmosférica y a una temperatura tan alta como 400 ºC. En condiciones normales de funcionamiento, la salida está cerrada a la chimenea y los gases se pasan a través de la caldera con objeto de aprovechar su calor residual para producir vapor. Cuando se produzca una de las condiciones previstas en la caldera que afecten a su seguridad, o cuando en el turbogenerador se produzca algún disparo que por seguridad del equipo requiera el desalojo de los gases a la chimenea, la compuerta basculante debe cerrar el conducto hacia la caldera de generación de vapor.

Figura 8.56. Diverter.

El peso de la compuerta, la velocidad de cierre y las condiciones de presión y de temperatura en los gases, hacen que el sistema mecánico y su accionamiento sean bastante complejos. Generalmente, el accionamiento se hace con cilindros actuados por aceite con alta presión, procedente de un sistema hidráulico. El sistema hidráu-lico puede tener dos o tres bombas para mantenimiento automático de la presión del ��'$�/��'$��'�'��$��$��)�$��'$�/�P�$��/��distribuidoras, válvulas de seguridad, lazo controlador de presión con transmisor controlador y válvula de control, acumuladores de presión, presostatos para arranque y parada de bombas, válvulas solenoides para disparo o actuación de la compuerta y por si falla lo anterior, el sistema suele estar provisto de una bomba manual de pis-tón, que permite elevar la presión manualmente y llevar la compuerta a su posición ��#��'��P�'��


Teniendo en cuenta la alta temperatura de los gases de salida, para conseguir una estanquidad adecuada con este tipo de cierres, en la cara posterior del cierre de la compuerta se tiene que hacer un sellado inyectando continuamente aire a una presión ligeramente superior a la del gas caliente. Para ello, se requiere un sistema con má-quina soplante y los instrumentos necesarios para su automatización.

En grandes conductos, circulares o de forma rectangular, donde se manejan los gases de combustión de hornos hacia precalentadores o chimeneas, o se opera con grandes volúmenes de aire para la combustión, se utilizan otros tipos de válvulas especiales –Damper como el mostrado en la Figura 8.57. Con cilindros y posi-cionadores adecuados, pueden hacer un control regulado del caudal. Sin embargo, su aplicación mayoritaria se hace como actuación todo o nada de apertura o cierre, en aplicaciones de seguridad, movidos por cilindros neumáticos de doble efecto y articulaciones mecánicas con palancas y puntos giratorios.

Figura 8.57. Actuador para grandes conductos de aire o gases.

Cuando por necesidades de seguridad, las compuertas que estrangulan el paso, se tienen que llevar a una posición determinada de apertura o cierre, en los equipos que se actúan con cilindros de doble efecto se tiene que suministrar un sistema de aire a presión con alimentación de emergencia, véase la Figura 8.58. Puede haber variantes con mayor o menor complejidad, pero un sistema sencillo consiste en un depósito de ��'��$��'��'��/��P�'��$��3��$��'��$'�'��'��'��$��$��P��'$��'��$��'��/��'�$��'�'��#��'��PQ��$�/��$��$'��de recipiente requiere pruebas y tratamiento administrativo similar al de otro reci-piente a presión, incluyendo válvula de seguridad calibrada a la presión de diseño del equipo. También se requieren presostatos para detectar el fallo de la presión del '��/��T��$��'��3��'$��$��P��/��el cual se actúa sobre el SIS, para producir disparo y llevar la válvula a su posición de seguridad prevista. Se requiere válvula antirretorno para evitar la fuga del aire y válvula solenoide para la actuación eléctrica del disparo.


Figura 8.58. Sistema neumá�co con depósito pulmón.

8.6.2. EXIGENCIAS DE FIABILIDAD PARA ACTUACIÓN ANTE DEMANDA

��$��P��$'�'��'��'�$��#��'��/� ��'��'��'��P&'�'��$��'��/��3��O'#��válvulas aplicadas a sistemas de control.

Parámetros relacionados con la seguridad

G��#��P&'�'�� )�� '��'��'�� sistemas de seguridad, a los fabricantes de las mismas se les exige que faciliten datos de los siguientes parámetros:

� MTBF (mean time between failure). Tiempo medio entre fallos.� MTTF (mean time to failure). Tiempo medio esperado para que la válvula

tenga un fallo que pueda afectar a su actuación. Se obtiene de valores expe-rimentales, dividiendo el número de fallos entre el número de unidades en servicio. Se dan por el fabricante, para cada tipo de válvula.

� MTTR (mean time to restore). Tiempo medio para hacer una reparación. El ��$��$'��'�]��'��G�*��+��&��establecer el usuario en función de su propia disponibilidad.

� Ti Intervalo de tiempo entre pruebas��+�$��$��$'��#��'�]��'��el cálculo del PFDavg.- �D (dangerous failures rates). Tasa de fallos peligrosos por hora.!� �DD Tasa de fallos peligrosos detectados.!� �DU Tasa de fallos peligrosos no detectados.

� PFDavg = ½ �DU x Ti.� �� '��'P�� &&'�'��media de fallo ante demanda.


Las válvulas con actuación neumática o hidráulica necesitan un elemento inter-medio, generalmente una electroválvula, que recibe la señal procedente de la lógica del sistema instrumentado de seguridad, quitando tensión a la válvula solenoide y ��'��$��'��'��$��$��P��P&'�'��$��'��&��$��/��'��)��$��P��o válvula todo nada de proceso. Esta composición es la más sencilla y la más utiliza-da en las aplicaciones para sistemas de seguridad.

Si la válvula utiliza posicionador, relé neumático, limitador de señal o cualquier �$��$��'��$��'��#��'��/��P&'�'��$��'��dependerá de la de cada uno de los elementos y la de todo el conjunto será menor. En las aplicaciones de seguridad se deben evitar todos los elementos que no sean &��$��$��'��#�'��$��'��$��P��

Electroválvula

La electroválvula, genéricamente denominada válvula solenoide, es un elemento crí-$'��$��P��$��/��&��$'�'��)��&��para uso industrial y particularmente las que se utilizan en ambientes exteriores.

Las válvulas solenoide a las cuales nos referimos aquí, son las que se utilizan para interrumpir el aire de accionamiento a los actuadores neumáticos, o el aceite en los circuitos hidráulicos. Son de pequeño tamaño, generalmente las vías suelen ser ��ÈV��

No nos referimos a las válvulas solenoide que van directamente insertadas en las $�&��)��$�$��]�'��+�$��'��$'-lizan en algunos procesos automáticos, pero no se utilizan en sistemas de seguridad debido al número de fallos que tienen.

Las válvulas solenoide utilizadas en aplicaciones de seguridad deben ser capaces de trabajar con temperaturas ambientales elevadas por recibir la radiación directa del sol, por recibir el calor de entornos tales como paredes de hornos, reactores o generadores de vapor, y por el propio calor generado por el estado energizado de la bobina, en condiciones normales de operación.

Se requiere que estén energizadas durante el funcionamiento normal del proceso, lo cual debe ser siempre, y se le quita tensión para la actuación de seguridad diseño a fallo seguro. Las solenoides alimentadas con tensión de 24 vcc o 120 vca son las 3��$'��)��P&'�'��/��3��$��'/��'��$��y tienen mayor duración. Las válvulas solenoide pueden ser:

� Actuación directa. La bobina solenoide energizada atrae un vástago que cie-rra o abre la válvula. Cuando se desenergiza, la válvula se abre o cierra al contrario de antes. Estas válvulas se piden: normalmente Cerrada (NC) o normalmente Abierta (NA).

� Válvula solenoide pilotada.�R'��3��J��'P�'��'�$��3��&��o cierra por el movimiento del vástago, que permite que la presión del aire


se utilice en la actuación de la válvula solenoide. Cuando la solenoide está ��#'��/��'P�'��'��$��'��)��'��'��'��para cerrar con fuerza extra el paso del aire. Cuando la solenoide está ener-#'��/��&��'P�'��'��$�/�� O$��)��&��paso de aire hacia el actuador de la válvula de proceso.

Las válvulas solenoide pilotadas pueden ser de tres o cuatro vías, y se utilizan para dar presión o para ventear el actuador de la válvula de proceso y producir su apertura o cierre. Las válvulas solenoide pilotadas tienen estado o posición a fallo seguro. La posición a fallo seguro se da, cuando la solenoide está desenergizada y su muelle de retorno mantiene el piloto en la posición de cerrado. Si la válvula solenoide es normalmente cerrada (NC), cuando está energizada y las conexiones neumáticas están correctamente hechas, se da alimentación al actuador de la válvula de proceso, y cuando se desenergiza se coloca en su estado seguro, es decir, se corta la alimentación y el actuador de la válvula de proceso se ventea y despresuriza por la tercera vía de la válvula solenoide pilotada.

Dependiendo de las aplicaciones para las que se utilizan, se pueden necesitar con rearme. El rearme permite que cuando se produce un disparo, aunque el mismo desaparezca, para volver a la situación normal se requiere que un operador actúe sobre el pulsador o palanca de cada electroválvula con rearme, lo cual obliga a ��'P�� $� ��'�'�� $�� P�� '�� '�'�'�� proceso.

El rearme descrito puede ser peligroso en algunas aplicaciones. En algunos tipos de electroválvulas, con la solenoide desenergizada por un disparo, si se actúa ma-nualmente el rearme, “y mientras se mantiene actuado”, se permite el paso de aire al actuador de la válvula de proceso y esta se moverá a posición no segura.

Cuando el actuador de la válvula todo nada de proceso es de simple efecto y el retorno por muelle, se utiliza electroválvula de tres vías. Con la electroválvula ener-#'��$��'��/��'��K]�'��$��L�� '��$��válvula todo nada y la tercera vía está a la atmósfera.

Cuando se quita tensión, se cierra y bloquea el aire en la vía de entrada, se comu-nica el actuador con la tercera vía y se ventea el aire a la atmosfera. El servoactuador queda sin presión y el muelle del actuador llevará la válvula todo nada a su posición de seguridad (véase la parte superior de la Figura 8.59).

Los actuadores de doble efecto necesitan electroválvula de cuatro vías: dos vías para entrada de aire y direccionado a un extremo del cilindro, y dos vías para direc-cionar el aire de la otra parte del cilindro al venteo. Esto permite al pistón y vástago ��$��P��'�'��

Al quitar tensión a la electroválvula, se direcciona la entrada de aire al extremo opuesto del cilindro al que estaba antes, y la parte del cilindro que anteriormente estaba con presión se direcciona al venteo. De esta forma, el aire mueve el pistón-��$#��)��$��P��$��'�'��#��'��W&�4��3��tener la posición de seguridad es imprescindible disponer del aire motor.


Figura 8.59. Válvula solenoide de tres y cuatro vías.

Las causas de fallo en las electroválvulas son:

^� Corte o quemado de la bobina solenoide. Cuando se utilizan en aplicaciones con diseño a fallo seguro –energizada en condiciones normales de opera-ción, se producirá un disparo espurio.

^� Bloqueo del eje o vástago que mueve el direccionamiento de las vías de aire. Se puede producir por excesiva fuerza de rozamiento debido a ambientes con atmósferas hostiles y, más generalmente, como consecuencia de que el aire ��'�'��$��'��$4��P�'��$��$��'��'��

En las aplicaciones donde se quiere evitar disparo espurio por el quemado de la bobina, se pueden utilizar solenoides con doble bobina, o una disposición con dos electroválvulas conectadas como se indica en la Figura 8.60. Con esta disposición, para que la válvula de proceso cierre, es necesario quitar tensión a dos solenoides para poder despresurizar el actuador de la válvula de proceso. Pero si falla el interno de alguna electroválvula, puede ocurrir que falle la actuación de seguridad. Con este montaje, se contraponen la mayor disponibilidad y la menor seguridad de la planta.

Figura 8.60. Conexión de dos solenoides para evitar disparo espurio.


El máximo intervalo de prueba recomendado para válvulas solenoide es de cinco años. En aplicaciones de seguridad, los fabricantes recomiendan inspeccionar entre uno y dos años. Los mismos fabricantes estiman un tiempo de vida de entre cinco y �'��J��/��$��#��$'��P&'�'��'��/��'��$T��plan de mantenimiento, inspecciones y la instalación que recomiendan. En las apli-caciones de seguridad, las válvulas solenoide se deben reemplazar antes de cumplir su tiempo de vida.

Para una válvula solenoide pilotada, que normalmente está energizada y que pro-duce el disparo al quitar tensión, haciendo pruebas cada año, se da en catálogo un PFDavg = 4,77 x 10-4.

+O'�$��&�'��$��3��'�'�$��Q��$��'��P#��'��redundante, y con PFDavg de valor similar al indicado anteriormente para una sola válvula solenoide.

G��'��$�'��P&'�'��)��'��'&'�'��$��/�se muestran los resultados de un estudio realizado sobre una muestra de 66 válvulas solenoide, que llevan funcionando una media de 25 años, en distintas unidades de procesos continuos. Están instaladas en intemperie, en atmósfera explosiva (todas ��$��'��$'��]#��$��#��'��$�L�)��'��&�$�$��'�-so. El 20 % tienen rearme manual. Se han analizado las incidencias de mantenimien-to de los últimos cinco años y se ha observado lo siguiente:

^� Fuga de aire por el venteo (junta interna deteriorada). ^� Rearme de palanca agarrotado.^� Fuga por conexión de racor en válvula de proceso.^� Cable roto en caja de conexión.

De los cuatro fallos encontrados, uno ha producido la actuación de la solenoide por falta de tensión. Los dos fallos primeros se han producido en la válvula solenoi-de. Los otros dos fallos son producidos por otros elementos que se deben tener en cuenta en el cálculo de PFDavg de la SIF, pero no pertenecen a la válvula solenoide.

El MTTF (tiempo esperado de fallo de la solenoide) es de 66 x 5 / 2 = 165 años.��$�� D�8��RR�� D8�KDAH�O�?�>AEL� �A/=B�O�DE-7.Asumiendo que en este tipo de instrumento el 80% de fallos son seguros y que se

��&��J�/��G�*�#��'��'P��'��7

R��'#��D = (6,92 x 10-7) 0,2 = 1,38 x 10-7.Intervalo de pruebas TI = 1 año (8.760 horas). G�*�#� ��D x TI/2 = (1,38 x 10-7) (8.760/2) = 6,04 x 10-4 que es un valor similar al de 4,77 x 10-4 tomado de catálogo.

Válvula de proceso para actuación de seguridad todo nada

Tradicionalmente, las válvulas para los sistemas de seguridad se han utilizado en su ��P#��'��'�� O��'��'�� -vamientos de seguridad de plantas petroquímicas, se ha podido comprobar que los


distintos accesorios que pueden ser utilizados (posicionador, limitadores de señal �$��&Q/��4��&��3��/�P��/�'��'��'�'��/��$��L/��causantes de la mayor parte de las averías que impiden el funcionamiento correcto de apertura o cierre de la válvula.

Por lo anterior, en los sistemas de seguridad se recomienda, siempre que sea posible, la válvula de bola con actuador mediante cilindro y pistón de simple efecto y muelles de recuperación. Con un giro, se abre o cierra la bola al asiento. En esta válvula, solo intervienen elementos mecánicos y el aire motor.

El mayor problema de las válvulas con actuación todo nada, aplicadas en funcio-nes de seguridad, es que permanecen en una posición abierta o cerrada, según sea la aplicación, durante mucho tiempo pueden ser varios años, y solo se actúan cuando existe una demanda por emergencia.

Las causas de fallo en válvulas todo nada pueden ser:

^� En el cuerpo. Aumento de fricción, e incluso bloqueo por agarrotamiento, por corrosión entre materiales, o prensaestopas mal elegidos. Depósitos de sóli-dos y obstrucciones con cuerpos extraños entre obturador y asiento (menos probable en válvulas de bola por su geometría y paso pleno).

^� En el actuador. Fugas de aire en el circuito de mando. Resortes mal dimensio-nados, con poca fuerza, o rotura de los mismos.

Se ha realizado un estudio sobre una muestra de 46 válvulas de proceso utilizadas en sistemas de seguridad, con actuación todo nada, mediante actuador de cilindro y resorte para llevar a la posición segura. A fallo de aire, las válvulas cierran. El cuerpo es de bola. Llevan funcionando una media de 25 años, en distintas unidades de proceso continuo. Están instaladas en intemperie y clima bastante lluvioso. Se han analizado las incidencias de mantenimiento de los últimos cinco años y se ha observado lo siguiente:

^� Cambio de actuador por rotura del prensaestopas. ^� Fuga en las bridas.^� ��]�Q��&�'��&��3��$��'��^� Tubing de aire roto.

El MTTF (tiempo esperado de fallo de la válvula) es de 46 x 5 / 4 = 58 años.��$�� D�8��RR�� D8�KH?�O�?>AEL� �D/=>�O�DE-6.Asumiendo que en este tipo de válvula, solo el 25% de fallos son seguros y que

�� &��J�/��G�*�#��'��'P��7

R��'#��DU = (1,97 x 10-6) 0,75 = 1,47 x 10-6.Intervalo de pruebas Ti = 1 año (8760 horas). G�*�#� ��DU x Ti/2 = (1,47 x 10-6) (8760/2) = 6,43 x 10-3.

8.6.3. PRUEBA DE CARRERA TOTAL A LOS ELEMENTOS FINALES DE CONTROL

G��&��'��'��$��$��P��$��$��'��/�conlleva riesgos de parada, o al menos, de causar perturbaciones en el funcionamien-


to normal de la misma. Una válvula que está abierta y que solo debe cerrar ante una situación de emergencia, o que está siempre cerrada y deba abrir para desalojar una presión o para aportar un producto que corte una reacción, solo se debe actuar para evitar un mal mayor. Hacer pruebas en estas válvulas, cuando el proceso está bien, no es aconsejable.

G�� $��&�� $��P�� $��/� �� $��&��estar parada. Esto es lo que se hacía hasta muy recientemente con los sistemas de seguridad de las plantas industriales, cuando se paraba por una emergencia, o por ��'P��$��'�'��$�/�� &�)�� &��'�$��'��$��/��'P��$��'��+��T�'��$��que se podían abrir o cerrar las válvulas del proceso sin causar problemas al mismo, por estar parado.

��'��'P�� '�� '��#��/�)��-��/��$��'��$4��'��/��'$��$'P��)��P&'�'��3��3��$��$��'�$��#��'��6&��3��la probabilidad de fallo para actuación ante demanda PFDavg disminuye a medida que aumentamos la frecuencia de las pruebas. Si la planta tiene que estar en funcio-��'��$��)�� $'��3�� &�� $��P��$��/�� '��J��'��$��'�� '��$��)��'��P��/��3��se puedan hacer las pruebas sin perturbar notablemente el proceso, y para que se mantenga la seguridad.

La prueba de carrera total en línea es crítica para mantener la disponibilidad de la seguridad del SIS. Aumentar la frecuencia de la prueba, es directamente proporcio-nal a la bajada de la probabilidad de fallo a demanda PFDavg, y por ello, al aumento del nivel de seguridad SIL.

Analicemos cómo se pueden hacer pruebas a válvulas de proceso dedicadas a aplicaciones de seguridad, en tres ejemplos de procesos continuos.

Ejemplo 1. Protección de un reactor por alta temperatura o alta presión

� Proceso

El reactor debe operar a una presión y temperatura constantes para que una parte del producto reaccione y se transforme en otro de más valor añadido. La reacción es exotérmica y se mantiene estable dentro de unos límites de temperatura y presión. Se controla la temperatura de la entrada al reactor por la parte inferior, mediante un lazo de control y un intercambiador de calor. En operación normal la temperatura de salida puede variar entre ciertos valores sin causar ningún problema.

� Situación de riesgo

Por grandes variaciones en la calidad del producto tratado, por tener en la entrada una temperatura muy elevada debido a un mal control, por mala distribución del ca-


talizador en el interior del reactor, o por una combinación de los diferentes factores, a partir de un cierto valor de temperatura más alto que el de operación normal, la reacción se multiplica y es necesario pararla, para evitar que la alta temperatura que se genera cause daños al reactor, y a otros equipos del proceso.

� Actuación de seguridad

Para cortar la reacción, lo más efectivo es despresurizar el reactor mediante la descarga del producto a un sistema de antorcha.

El riesgo por alta temperatura es grande y para evitar el fallo de una sola línea de descarga, se diseñan dos líneas de igual capacidad. Cualquiera de las dos desaloja el ��P�'��$��&Q��'��'��$��)��$��'��K�4��'#��8.61).

Por alta presión o temperatura, la lógica del sistema de seguridad quita tensión a las válvulas solenoides UY las cuales, cortan el aire de instrumentos a las válvulas de proceso UV y ventean la presión de las mismas para abrirlas. La posición de se-#��'��K��WL��&��G��'��#�/��P�'��$��3��&��'��'�'��D��B��P&'�'��$��'��$/��$�&'4��alta la posibilidad de fallo no deseado.

Figura 8.61. Protección contra alta presión con doble circuito de salida.

Para aumentar la disponibilidad de la planta y disminuir los fallos espurios no deseados, en cada una de las dos líneas de despresurización a antorcha se instala un sistema como el de la Figura 8.62. En este sistema, la disposición de dos válvulas ��'��N[��$��'��'��P#��/��'$��'��'��el fallo de una solenoide.

Para que exista actuación de disparo y se pueda abrir la válvula UV, es necesario que las dos solenoides estén sin tensión. En esta situación, el actuador de la válvula


se despresuriza por el venteo de la solenoide superior derecha. Por otra parte, con la capacidad de almacenamiento TK y la válvula antirretorno, se evita el disparo espu-rio por el fallo del aire de instrumentación AI.

Con la doble línea de despresurización tendremos seguridad de disparo, y con los elementos del sistema que se instalan en cada válvula, se evitan los disparos espurios.

Figura 8.62. Protección contra disparo espurio.

� �Cómo se puede probar este sistema con la planta en funcionamiento?

Cuando se diseña una planta y se aplican sistemas instrumentados de seguridad con todo su rigor, se han de prever los medios para hacer pruebas completas a todos los elementos que conforman un SIF, con la frecuencia prevista en los cálculos.

Para este caso, en la Figura 8.61 antes y después de cada válvula de seguridad UV se dispone de dos válvulas de actuación manual marcadas (LO, lock open) bloquea-das abiertas. Estas válvulas se evitaban en diseños antiguos, porque el bloqueo por error de una de las mismas invalidaba el sistema de protección. Ahora, las válvulas se deben bloquear abiertas mediante llave mecánica. El desbloqueo para poderlas cerrar obliga a la utilización de un procedimiento administrativo que será utilizado para las pruebas de carrera de las válvulas.

En el Capítulo 14 del libro se describe con detalle la forma en que se han de efectuar las pruebas de los SIF. Se dispondrá de un procedimiento muy detallado, indicando permisos, quiénes realizaran la prueba y sus responsabilidades, los planos que se deben manejar, descripción de las señales involucradas, lógica, tarjetas, re-gleteros, cables, cajas de conexión, válvulas a probar, con las indicaciones, alarmas y la secuencia de válvulas manuales que se han de abrir y cerrar, antes, durante y después de efectuar la prueba, observaciones, fecha de ejecución, etc.


+��$��$��)��)��'��'P��7

- Se comienza la prueba de la actuación de una válvula de disparo cerran-do las dos válvulas manuales (L.O) situadas antes y después de la válvula UV, con lo cual se bloquea la salida de producto en una línea mientras que la otra línea sigue en servicio.

- Se abre el circuito y se quita tensión a las dos solenoides UY de la línea que se esta probando, la válvula UV abrirá. Se comprueba la correcta actuación de las válvulas.

- Se cierra el circuito y se repone tensión a las solenoides, con lo que la válvula UV se volverá a cerrar.

- Se abren las válvulas manuales (L.O) y se les pone un bloqueo mecánico para impedir que por error se puedan cerrar, lo que invalidaría el sistema de seguridad.

Posteriormente, se prueba la otra válvula siguiendo el mismo procedimiento. Dependiendo de si la prueba se hace por partes, sensores por un lado, lógica por

�$��)��$��P��$��/�� Q��$/��'�'��$��pruebas puede ser más o menos complejo.

Si se hace de forma conjunta, es posible que en la programación del sistema de seguridad se tengan que contemplar algunos condicionantes para las pruebas. Por ejemplo en este caso, en la posición de prueba 1, quitar tensión solo a la salida 1, y en la posición de prueba 2, quitar tensión solo a la salida 2.

Si se decide hacer la prueba a todo el conjunto al mismo tiempo sin cambiar el programa, sería necesario bloquear al mismo tiempo las cuatro válvulas manuales. En esta situación, si en el proceso se produjera un disparo real durante la ejecución de la prueba, este no produciría efecto por tener las válvulas manuales cerradas, con la consiguiente situación de riesgo.

��%��/��<j�<��|j��j��

� Proceso

El combustible gas alimenta a los quemadores de un horno de calentamiento de producto en una planta petroquímica. El objetivo es calentar el producto a una tem-peratura determinada, manteniendo la relación aire/combustible necesaria, para que la combustión sea adecuada y segura. Hay lazos de control para mantener la relación aire/combustible y para mantener la temperatura del producto al valor requerido.


Por múltiples razones, como pueden ser, fallo en los lazos de control de combus-tible y aire, fallo en los quemadores o en el suministro del combustible se pueden dar situaciones de riesgo en el horno por acumulación de gases no quemados, o por


apagado de la llama. También se puede producir temperatura muy alta en el producto que se está calentando, o en los mismos tubos por donde circula el producto.


Para eliminar cualquiera de las situaciones de riesgo, la actuación de seguridad más efectiva consiste en cortar el combustible, con lo que se anula el fuego y la aportación de calor.

Una de las disposiciones más seguras que se pueden utilizar es la que se puede ver en la Figura 8.63, sin considerar la parte encerrada en la nube. Se ponen dos válvulas ��$��NS��'�/��P#��'��D��B�)��'�'��#��'��cierra (fail close), las cuales actúan al mismo tiempo cerrando. Entre las dos válvulas existe una línea en derivación, que lleva una tercera válvula UV cuya posición de seguridad es FO fallo abre (fail open). En situación normal de funcionamiento las tres solenoides UY están energizadas, las dos válvulas en serie UV están abiertas y la válvula UV está cerrada.

Figura 8.63. Protecciones en gas combus�ble a quemadores de hornos.

Cuando por una situación de riesgo se produce un disparo, se cierran las dos vál-vulas en serie cortando el combustible al quemador y se abre la válvula de la línea intermedia. Esta válvula ventea a lugar seguro, cualquier fuga que pudiera producir-se en la válvula que aguanta la presión del colector de gas combustible, con ello se impide la presurización del carrete de tubería entre ambas válvulas y que la presión pueda introducir gas al quemador y a la cámara de combustión del horno, para crear una situación de riesgo en un encendido posterior.


��$��P#��'��/� ��$��'�� $��'��&��$��-fectamente coordinadas, por ello se recomienda la utilización de un solo canal de salida del sistema de lógica de seguridad y de un solo cable para alimentar las tres solenoides. De esta forma, se eliminan fallos de tarjetas de salida y de cables indi-viduales, que de producirse, podrían crear situaciones de riesgo que invalidarían la buena seguridad del diseño.

� �Cómo se puede probar este sistema con la planta en funcionamiento?

No se puede probar porque el corte de combustible implica parada del horno, y generalmente, parada de la unidad de proceso.

Cuando por razones de nivel de seguridad, el periodo de prueba de carrera total de las válvulas de corte es menor que el periodo de parada programada de la unidad de proceso, si se requiere probar este conjunto de válvulas con la planta en marcha, se debe prever un diseño que permita hacer la prueba.

Un diseño podría ser duplicar el conjunto de las tres válvulas y ponerlo en paralelo con el existente. En la lógica de seguridad, el segundo conjunto tendría las válvulas NSÏ��)��N[Ï�&'��$��'�'��$�&Q��/�)��'�'��-traria, cuando a las válvulas de corte que funcionan normalmente se les hace la prueba de cierre. Durante el tiempo de prueba de las válvulas, cualquier disparo de seguridad actuaría sobre los dos conjuntos de válvulas, cortando el combustible al horno.

+��$��&'��$��/��'�'��$��&'��P�'��)�sin estar en contradicción con la normativa aplicable, se podría diseñar una alterna-tiva similar a la indicada en la nube de la Figura 8.63, con línea de baipás y válvula manual ZSO. Se deben prever válvulas manuales, abiertas y bloqueadas (L.O) du-rante la operación normal, antes y después de las válvulas UV, y una línea de baipás con su correspondiente válvula manual. La válvula de baipás irá provista de indica-ción de cierre o alarma de apertura, en el sistema de seguridad.

Los lazos de control de presión y/o de caudal del colector de combustible están �'$��$��$��3��P#��

Como ya se indicó, se dispondrá de un procedimiento detallado para la ejecución de la prueba.

G��$��$'��&'��/�)��'��'P��/��'�'��$��podría ser:

- Se procede a abrir completamente la válvula de la línea de baipás. En la interfase del sistema de seguridad se conoce la alarma ZAO “válvula de baipás abierta”. No debe causar perturbación apreciable en el proceso, dado que el control de presión y caudal se efectúan antes y absorben la pequeñísima diferencia de pérdida de carga que se introduce al poner dos líneas en paralelo.

- Se cierran las dos válvulas manuales (L.O) situadas antes y después de las válvulas de corte del sistema de seguridad. Se observa que el proceso sigue estabilizado.


- Se quita alimentación a las solenoides abriendo el circuito. Las tres sole-noides actúan cerrando las dos válvulas UV que están en serie, y abrien-��NS�3��$��#��#��6��'P��3��$T��adecuadamente.

- Se cierra el circuito y se da alimentación a las tres solenoides. Si las válvulas solenoide tienen rearme manual individual, las tres válvulas de corte UV continuarán en la misma posición. Primero rearmar la sole-noide UY de venteo a lugar seguro, y la válvula UV se cerrará. Después rearmar las solenoides que están en serie y las válvulas UV se abrirán.

- Abrir las válvulas manuales (L.O) y ponerles el bloqueo mecánico en esta posición.

- Cerrar la válvula manual del baipás. Debe desaparecer la alarma “válvula de baipás abierta” y aparecer la indicación de cerrada. El proceso debe ��$��$&'�'��&� �P��'��$'��$��'��$��)�� informe correspondiente.

� Observación

Durante el tiempo que la válvula manual del baipás está abierta no tendría efec-to, si se produce, un disparo de seguridad. En el procedimiento de actuación para la prueba, se puede indicar se preste especial atención para detectar si se produce un disparo, y se puede disponer que el operador que está controlando el cierre de las válvulas de corte, actúe, cerrando la válvula de baipás en caso de detectarse un disparo.

Ejemplo 3. Aislamiento entre zonas de alta y baja presión

�� Proceso

En un proceso hay una zona de operación de alta presión y otra zona de baja presión.

Los diseños de los equipos y las tuberías están calculados y dimensionados para soportar sus máximas condiciones de trabajo reales. Desde la zona de alta presión, el producto líquido pasa a la zona de baja presión mediante un control de nivel. La pér-dida de carga se produce casi totalmente en la válvula LV. Para que la presión no se traslade a la zona de baja, se debe mantener un sello hidráulico en la columna de alta presión y por ello, el nivel de la columna no debe bajar de un nivel mínimo LSLL.


Si por fallo en el lazo de control de nivel se pierde el sello hidráulico, la válvula LV sería incapaz de producir la pérdida de carga para aislar las dos zonas, aunque es-tuviera cerrada, y la presión en la zona de baja podría aumentar de manera peligrosa para los equipos y tuberías existentes.



Para evitar la situación de riesgo se provee un instrumento independiente de me-dida o detección de nivel, que tome la acción de bloquear la salida cuando todavía )��'��P�'��$��#��$'�� '��'��%)��'��las que se utiliza un enclavamiento formado por la misma válvula LV del sistema de control con una solenoide, un interruptor de nivel y la correspondiente lógica. El sistema ha funcionado razonablemente bien durante años.

En las nuevas unidades con este tipo de proceso, al hacer análisis de seguridad y asignar nivel SIL, se opta por una válvula UV independiente y aplicada solo para se-guridad, con su correspondiente solenoide UY. La válvula se pide con un cierre más exigente que el de la válvula de control. Si fuera necesario aumentar la seguridad, además de la válvula UV y conjuntamente con la misma, también se podría utilizar la válvula de control LV con una solenoide, para actuar con la lógica del muy bajo nivel y con prioridad sobre la señal del lazo de control.

��

Asumiendo el esquema de la Figura 8.64, en la fase de diseño se ha comprobado el rango del nivel de control, el volumen de líquido que se almacena en el fondo de la columna de la zona de alta presión y el caudal medio de salida durante la opera-ción normal de la planta. También se sabe cómo afectan las variaciones de caudal a la zona de baja presión, incluso a caudal cero durante un corto periodo de tiempo.

Figura 8.64. Protecciones para separar zonas de alta y baja presión.

En el ejemplo que nos ocupa, asumimos que se puede cortar el caudal durante un minuto, sin causar problema serio en la zona de baja presión, por ello se puede hacer la prueba del SIF completo, sin necesidad de equipamiento adicional.

Como se indicó anteriormente, se dispondrá de un procedimiento detallado para la ejecución de la prueba.


+��$��/�)��'��'P��7

- Cerrar las válvulas manuales de conexión al proceso del interruptor de nivel LSLL. Después abrir la purga del mismo. Se vacía el LSLL y actúa su interruptor que abre el circuito, produciendo lo siguiente: actuación de la lógica del SIS, da alarma de muy bajo nivel, quita tensión a la solenoide UY que a su vez quita aire y ventea la válvula UV, la cual se cierra.

:� S��'P�� $�� $��'��/� �� '�� #� �� '�$��$�� '��LSLL, se abren las válvulas manuales de conexión al proceso. Se recu-pera el nivel, se actúa el interruptor del LSLL, se apaga la alarma de muy bajo nivel, se energiza la solenoide UY que cierra el venteo, da presión de aire al actuador de la UV y la válvula se abre. La prueba completa puede durar dos o tres minutos y la válvula de proceso UV puede estar cerrada entre 15 y 30 segundos.

8.6.4. PRUEBA DE CARRERA PARCIAL (PARTIAL STROKE TEST -PST-)

Como ya se indicó anteriormente, las válvulas de actuación todo nada aplicadas en sistemas de seguridad, no se mueven durante la operación normal, es decir, perma-necen durante meses o años en una misma posición, cerrada o abierta, dependiendo de la necesidad del proceso. A lo largo del tiempo se han desarrollado diferentes métodos que permiten probar una parte de la carrera de la válvula, con lo cual se garantiza una parte del funcionamiento total.

��&��'��KG6RL��'��P��'�'��-��$��/�3��$��$��'�'��P��G��-de evitar, en algunos casos, la inmovilización por agarrotamiento del vástago del obturador, y asimismo disminuir la probabilidad de fallo a demanda PFDavg. En algunos casos, haciendo pruebas parciales con frecuencia, se pueden alargar los pla-zos de comprobación de la carrera total de la válvula.

La prueba se puede hacer con una electroválvula para la actuación de emergencia, )��'��$�/��P��'��'��$�sobre la posición de la válvula. Hay desarrollada una alternativa que consiste en montar en la válvula un posicionador inteligente, el cual incorpora todo lo necesario para hacer una prueba de carrera parcial. El posicionador se puede montar conjunta-mente con la solenoide, o en sustitución de la misma.

Las aplicaciones que se han desarrollado a lo largo del tiempo para hacer la prue-ba de carrera parcial han sido las siguientes: mediante limitadores mecánicos, con válvulas solenoide y mediante control de la posición. Cada una de las variantes tiene �� #�� '��#�� )� �'P��$�� Q��'��R�&'4�� '�� utilizar equipamientos más o menos complejos, que se deben tener en cuenta en los diseños originales de los SIF.


Limitación mecánica

Es el método más sencillo, e implica la instalación de un aparato mecánico que limita la carrera de la válvula. Durante el tiempo que se están utilizando los medios mecánicos, la válvula no está disponible para efectuar una actuación de seguridad. Los elementos mecánicos utilizados suelen ser abrazaderas o argollas, topes mecáni-cos con volantes roscados, o mecanismos más complejos actuados con llave.

Las abrazaderas o argollas se suelen utilizar alrededor de los vástagos que tienen movimientos ascendentes y descendentes para la apertura o cierre de las válvulas. Las piezas que forman la abrazadera tienen el tamaño previsto para hacer de tope y limitar el movimiento del vástago a la longitud de la carrera que se quiera. Es fácil construir en cualquier taller mecánico.

Los topes mecánicos con volante y eje roscado limitan el movimiento del ac-tuador y se ajustan girando el volante para roscar más o menos el eje que limita la carrera deseada. Se piden al suministrador de la válvula durante la fase de compra. Se pueden aplicar a válvulas ascendentes/descendentes y también a las rotatorias.

El sistema de mecanismo complejo para válvulas rotatorias se integra en el di-seño de la válvula y debe ser pedido en la orden de compra. Se actúa mediante una llave externa que pone en la posición adecuada una forma de varilla ranurada, que limita el giro de rotación del eje de la válvula.

Considerando solo el equipamiento, los métodos mecánicos son baratos. Tienen que ser iniciados manualmente y requieren varias personas para su ejecución. Se ��$'�'��P��P��'��$��'�'��$��de la válvula.

El comienzo, la ejecución y el retorno a la normalidad de la prueba tiene que ser llevada a cabo de forma manual y con procedimiento detallado de todos los pasos a seguir. Los errores que se pueden producir en las pruebas con los métodos mecáni-��/��#��P�'�'��'�'��$��)��'��técnicos que efectúan las pruebas.

Con válvulas solenoide

Con una válvula solenoide que está normalmente energizada, se puede hacer una prueba de carrera parcial, quitando tensión durante un pulso de tiempo predeter-minado. El tiempo que está sin tensión se debe ajustar en cada conjunto solenoide/válvula de proceso, para conseguir el movimiento de carrera parcial deseado. La ��P��'��'�'��'P��'�$��'�$��$��de posición, o mediante un transmisor de posición.

Con los medios citados, se puede automatizar la realización de la prueba mediante un programa lógico, ejecutado en el propio SIS, bien por demanda del operador, o en función de una frecuencia establecida. El interruptor de posición o el posicionador se pueden utilizar en la lógica del programa, para asegurar que la carrera de la válvula es la preestablecida, anulando el pulso si fuera necesario, por durar más de lo previsto.


Como la válvula solenoide con la que se efectúa la prueba es la misma del sistema de seguridad, al quitar y dar tensión se prueba completamente. Al hacer la prueba se pueden producir fallos espurios por la solenoide. Para evitar o reducir los mismos, se pueden utilizar solenoides redundantes.

Con el diseño adecuado de la lógica de actuación se puede hacer que durante la prueba de carrera parcial, si se produce un disparo del proceso, este prevalezca sobre la prueba y actúe sobre la solenoide, para que lleve la válvula a su posición de seguridad.

Control de posición

El método del control de posición utiliza un posicionador para situar la válvula en el porcentaje de carrera de apertura o cierre deseado. Se puede emplear para válvulas con vástago ascendente, o de movimiento rotatorio. Se requiere la instalación de un posicionador inteligente que puede montarse solo, o además de la solenoide.

Los últimos modelos de posicionadores tratan de sustituir la solenoide, actuando todo o nada, o al tanto por ciento de carrera que se quiera actuar. Se hace en función de la señal de salida programada en la lógica de actuación. Generalmente se utiliza una tarjeta de señal analógica de salida del SIS y se pueden actuar con señales de 4-20 mA, o con señal de 0-24 vcc. Con un valor de señal intermedio, por ejemplo, 16 mA, el posicionador interpreta que la válvula debe situarse en el porcentaje de carrera parcial, a la que previamente fue ajustada para ese valor.

Hasta que los PLC de seguridad tengan lógica, procesadores y electrónica de tarjetas de entradas o salidas, capacitados para interpretar y manejar los parámetros )��'��$��%�$�Ò��$��'��#��'��)��$'P��'��el nivel SIL exigido—, cuando se quieren utilizar las informaciones que facilita el ��$��%�$/��$'��3��$��'�$��O$��/�3��$�$'��PQ��y necesita cableado. Mientras que el sistema externo está conectado, es necesario ��&'��$��P��$��[��$��$��'��$��3��uso del protocolo Hart puede afectar a la seguridad del sistema.

Los posicionadores pueden dar señales de salida para indicar la posición continua de la válvula, o contactos abierto/cerrado para indicar posiciones parciales ajusta-bles, que pueden ser utilizados en la lógica del SIS.

Hay posicionadores inteligentes para PST, que se suministran como aparato cer-$'P��$�#��$'��3��$��$��$��&'��P�'��)�� '�'��$��$'P��$��de categoría tipo B, porque el comportamiento ante fallo de los subsistemas no está bien determinado. Los aparatos y subsistemas tipo A tienen mayor tolerancia a fallo y menor restricción de arquitectura para un nivel SIL determinado, que los aparatos tipo B.

La velocidad de los actuadores depende del posicionador y del tamaño del ac-tuador. Se debe comprobar si cumplen la velocidad de actuación exigida para la aplicación. La capacidad de venteo de una válvula solenoide es mayor que la de los


posicionadores, y por ello la velocidad de actuación de la válvula de corte puede ser mayor con la solenoide. Si se utilizara posicionador y solenoide, esta debe ser insta-lada entre el posicionador y el actuador. En este caso, la función de seguridad no se pierde, aunque se esté haciendo la prueba de carrera parcial.

+��*

La prueba PST puede ser una ventaja para conseguir que la prueba de carrera total se haga con un periodo mas largo, y en algunos casos conseguir que una planta que tiene una frecuencia de parada de por ejemplo dos años, se aproveche para hacer las pruebas totales en la parada, y no se necesite poner líneas de baipás y válvulas ma-nuales a las válvulas de actuación de seguridad.

La frecuencia de prueba de la carrera total se tiene que demostrar y validar, cal-culando la PFDavg de la SIF con la frecuencia de pruebas de carrera parcial y total previstas para alcanzar el SIL deseado.

Antes de que se decida utilizar la prueba parcial PST y de hacer los diseños con los medios necesarios, se debe analizar la forma en que se pueden realizar las prue-&��$��P��/��'��'&'�'��&�PST. Veamos los tres ejemplos de procesos mostrados anteriormente.

� Ejemplo 1: la válvula está siempre cerrada y tiene que abrir para despresu-rizar el sistema. En este caso, no se puede aplicar la PST porque requiere mover el obturador una parte de la carrera, y ello implica abrir la válvula. La apertura conllevaría mandar producto a la antorcha y desestabilizar el proce-so.

� Ejemplo 2: las válvulas UV en serie, que cortan el combustible al quemador, están abiertas y cierran ante la actuación de seguridad. Si se le dotara a cada válvula de posicionador PST, se podría hacer la prueba PST a cada una de las dos válvulas en serie, pero no se podría probar la válvula de venteo a lugar seguro.

En el diseño mostrado no tiene aplicación la prueba PST. Se debe tener en cuenta que en esta aplicación, lo importante es el buen cierre de la válvula para evitar que llegue combustible a la cámara de combustión del horno. Esto no se puede probar con una prueba PST, porque no se pueden cerrar las vál-vulas sin parar el proceso.

En proyectos recientes, como consecuencia de aplicar la metodología de análisis y asignación de nivel SIL, hay aplicaciones en las que el intervalo de prueba asignado es menor que el periodo de parada de la planta. En estos casos, el diseño se puede hacer con alguna de las alternativas indicadas ante-riormente, para hacer la prueba de carrera total con la frecuencia requerida.

� Ejemplo 3: la válvula UV está totalmente abierta durante el funcionamiento normal. Si en el análisis realizado sobre esta aplicación, se hubiera llegado a la conclusión de que la válvula no puede estar cerrada el tiempo previsto, por-


que causaría problemas en el proceso aguas abajo, entonces sería conveniente utilizar la prueba PST.

La ejecución de esta prueba, con cierta frecuencia, no causaría perturba-ción en el proceso y permitiría alargar el periodo de prueba total, hasta que se hiciera la parada de planta programada. Si no se alcanzara el tiempo ne-cesario por ser muy largo el periodo hasta la parada, se tendría que disponer en la válvula UV de una línea de baipás, con sus correspondientes válvulas manuales. Sería similar a lo que se ha dispuesto para las válvulas de combus-tible del ejemplo anterior.

�� *

Es necesario analizar particularmente cada aplicación. Se puede utilizar en algunos casos y no se debe utilizar en otros.

+��&��P�'��'��$�$��&��'��G6R��/�3��)��para alargar el periodo con que se debe hacer la prueba de carrera total, para conse-guir el nivel SIL asignado. En algunos casos, puede evitar la necesidad de proveer línea de baipás para la válvula.

Se debe sopesar la implicación de utilizar más equipo inteligente programable, para la automatización de la prueba PST. Es muy probable que se introduzcan más fallos peligrosos no detectados.

Hay que ser conscientes de que la ejecución frecuente de la prueba PST aumenta la posibilidad de disparos espurios.

Sea cual sea el método seleccionado para efectuar la prueba PST, se debe utilizar un procedimiento escrito para evitar producir disparo intempestivo de la válvula de corte, y para que la prueba se lleve a cabo de forma ordenada y completa. La docu-mentación necesaria y los requerimientos para hacer la PST serán los mismos que los utilizados para efectuar la prueba de carrera total.

8.7. CABLEADO PARA INSTRUMENTOS DE SEGURIDAD

El cableado de aparatos de campo se debe diseñar y realizar cumpliendo con las directivas y normas existentes en el país donde se ubica la instalación. Además de los reglamentos generales, se aplicarán los particulares para el tipo de industria concreta.

Por ejemplo, si se trata de una instalación que va a manejar sustancias que puedan dar lugar a atmósferas explosivas, en Europa, se tiene que aplicar la directiva ATEX. Al tener en cuenta esta directiva, se ve que hay varios métodos de protección para los componentes eléctricos. Si se elige el sistema de seguridad intrínseca como método de protección, se diseñará todo el sistema de instrumentación –cableados, instrumen-tos, alimentaciones, tierras, etc.– teniendo en cuenta y cumpliendo lo que se indica en todas las normas relacionadas con la seguridad intrínseca.


6��3�'��'#�'P��3��#��$��#��)��$'��&��cumplir siempre. Las recomendaciones generales y particulares que se dan a conti-nuación para los cableados de sistemas de seguridad no están en contra de ninguna norma. Son el resultado de la lectura e interpretación de mucha normativa y de las experiencias observadas después de la ejecución y puesta en marcha de múltiples proyectos. La aplicación de las recomendaciones generales y particulares ayudará a eliminar problemas en el manejo de las señales de baja tensión e intensidad y facili-tarán el mantenimiento posterior de la instalación.

8.7.1. CRITERIOS GENERALES

En las plantas industriales muy automatizadas existe gran variedad de señales eléc-tricas procedentes de diferentes instrumentos, que son utilizados en la automatiza-ción, el control del proceso, el cálculo de rendimientos y la gestión de los equipos y las instalaciones. Son miles de señales que están distribuidas en distintos lugares de ��$�)�$��]�)��racks o de control.

Para evitar o minimizar a límites tolerables los problemas que se plantean con las señales eléctricas de instrumentación, sobre todo, las de muy bajo nivel de tensión, se deben seguir las recomendaciones que se dan más adelante.

Los problemas se pueden presentar por campos eléctricos generados por tensio-nes o intensidades variables en circuitos separados, pero en cables que están cerca-nos y con recorridos en paralelo. Por campos eléctricos generados por transforma-dores o motores de baja, media o alta tensión. También son fuente de problemas las ondas electromagnéticas de radiofrecuencias, procedentes de las emisoras portátiles y utilizadas para comunicaciones entre plantas y salas de control.

Para evitar las interferencias eléctricas que se puedan producir entre diferentes niveles de tensión o de intensidad, para facilitar la organización del cableado interno, la distribución y posición de los borneros en los armarios de los PLC de seguridad, y para evitar posibles errores por confundir la conexión de cables contiguos que perte-��'��'$��'��$��/��'��$��'P��)�#��J��criterios que se exponen a continuación.

Separación de señales

La separación de señales quiere decir que los cables, los multicables, las cajas de ��O'��/��&��)��'��$'P��'��$'��J��/��&��ser distintos y separados físicamente, de otros tipos de señales:

1. Separación entre señales corriente continua CC y corriente alterna CA.2. Separación entre señales de CC por niveles de voltaje:

^� Bajo nivel señal entre 0 y <100 mV.^� Medio nivel señal entre 100 mv y <5 VCC.^� Alto nivel señal entre 5 VCC y 75 VCC.


3. Separación entre señales de CC por intensidad.^� Señales entre 0 mA y < 50 mA.^� Señales de 50 mA o mayores.

4. Separación entre señales de corriente continua por su forma de actuación. Las señales de relés, bobinas, solenoides (alimentadas a 24 VCC) y todo

tipo de elementos de CC que tengan frecuentes conexiones y cortes de ten-sión, no deben ser llevadas en el mismo multicable con las señales de mA que se utilizan para la medida analógica de variables de proceso.

5. Separación de señales o de alimentaciones de corriente alterna entre circuitos de 120 y 230 VCA.

Habrá separación con otras tensiones superiores que aquí no se consideran, porque no son utilizadas por instrumentación.

6. Separación entre señales de corriente alterna de 120 VCA. Las señales de alimentación a válvulas solenoides, utilizadas en sistemas

de seguridad o automatismos, deben ser agrupadas entre ellas, y separadas de las señales de 120 VCA que se utilizan para alimentar instrumentos o equipos de sistemas de control distribuido, o de sistemas de seguridad. Ambos tipos de alimentaciones proceden de sistemas de alimentación segura.

7. Separación de señales de seguridad intrínseca. Las señales de seguridad intrínseca que estén incluidas en los tipos 2) 3) y 4)

serán separadas de las que no lo son.

Teniendo en cuenta lo indicado en los puntos anteriores, en cualquier instalación se pueden formar los agrupamientos de señales por cables/multicables, que se indi-can a continuación:

Agrupamientos posibles:

a) Señales de 4-20 mA de CC seguridad intrínseca. Grupo utilizado para indicación, alarma, registro, o control.

b) Señales de 4-20 mA de CC seguridad intrínseca.Grupo de señales relacionadas con los automatismos o enclavamientos de

seguridad de la planta.c) Señales digitales de 12 a 24 VCC de seguridad intrínseca.

Grupo de señales procedentes de contactos de interruptores, o de detec-tores de proximidad, cuya función es producir alarmas, o indicaciones de posición de apertura o cierre de las válvulas, o de marcha/paro de motores.

d) Señales digitales de 12 o 24 VCC seguridad intrínseca.Grupo de señales relacionadas con los automatismos o enclavamientos

de seguridad de la planta.e) Señales de termopares.

Es necesario hacer agrupaciones por cada tipo de cable de compensación o extensión distinto que se pudiera utilizar. En general, todos los termopares se


utilizan con circuitos de seguridad intrínseca y por eso no es necesario hacer una segregación. Si hubiera circuitos de no seguridad intrínseca, tendría que hacerse una separación entre uno y otro tipo.

Los termopares que se utilizan en funciones instrumentadas de seguridad, ��&��$��'��$'P��$��'��$��6�6�

f) Señales de termorresistencias.Generalmente se utilizan tres o cuatro hilos por cada elemento y son seña-

les que van separadas de otras, sean de seguridad intrínseca o no. Las termo-rresistencias que se utilizan en funciones instrumentadas de seguriad, debe-rán separarse del resto, e identi�carse como pertenecientes a un SIS.

La normativa aplicable obliga a que exista separación de las señales de seguridad intrínseca de las que no son de seguridad intrínseca, aunque sean señales del mismo tipo.

Las señales indicadas en los puntos a) al f) son grupos que se separan por tener en cuenta conceptos tales como: organización, funcionalidad, evitar la posibilidad de interacción entre las señales de distintos niveles de potencia eléctrica, y por mejorar el mantenimiento y la seguridad de la planta.

Se debe conseguir una buena organización y homogeneidad en las señales de las cajas de conexiones instaladas en campo y sus correspondientes multicables. Esto repercutirá en la organización de los borneros en los armarios de los sistemas de control distribuido, y en los armarios de los PLC de seguridad. La mezcla de señales no homogéneas, causa problemas en la organización de las canaletas de distribución, borneros y en el conexionado de tierras y de pantallas de protección de los cables que hay en los armarios de sala de control.

La mezcla de señales con distinto grado de responsabilidad, como son las señales utilizadas para indicar o controlar, con señales utilizadas en sistemas de seguridad para protección de equipos o para la seguridad de personas, pueden tener graves consecuencias.

Veamos el siguiente ejemplo: mantenimiento quiere revisar el mal funcionamien-to de una válvula de control que erráticamente produce movimientos bruscos cuando la señal procedente del sistema de control se mantiene constante. Para localizar el error, la válvula de control se bloquea con sus válvulas manuales y el proceso conti-núa trabajando de forma manual por la línea del baipás. Se revisan las conexiones del circuito y se desconecta un hilo en la caja de derivación de campo para comprobar la '�$��'��3��#��'�'��G��$��'��$'P��/�� -no, se desconecta el hilo contiguo, el cual corresponde a un transmisor que produce el disparo de la planta por bajo caudal de carga al horno. Esta parada por error se puede evitar, si se separan las señales por funciones de similar responsabilidad, aun-que ambas sean del mismo tipo de 4-20 mA.

Se facilita el trabajo del mantenimiento y se eliminan muchos errores, si las seña-les se agrupan y separan tal como se indicó anteriormente.


g) Señales de corriente alterna de 120 VCA. Grupo de señales para la activa-ción de válvulas solenoide, relacionadas con sistemas de seguridad, pueden agruparse en multicables.

h) Alimentaciones de 120 VCA.Se utilizan para dar alimentaciones de tensión segura a equipos o paneles

locales.i) Alimentación de 230 VCA.

Alimentaciones a equipos o sistemas que no requieren alimentación segura.

Las alimentaciones de 120 VCA o 230 VCA de los puntos h) e i) son para ele-��$��3�'��)��$��/��#��$��'��)��P�'��R'��3��ser conductores de secciones adecuadas a cada caso, por ello son individuales y no se agrupan en multicables.

Los cables de los puntos g), h), e i) se llevan por caminos eléctricos, totalmente separados de los cables de instrumentación contemplados en los puntos a) al f). Se pueden causar graves perturbaciones en las señales de los cables de instrumentación, si se hacen recorridos cercanos y con largos tramos en paralelo.

8.7.2. RECOMENDACIONES PARA CIRCUITOS DE SEGURIDAD

Después de aplicar los criterios generales, se indican algunas recomendaciones parti-culares para el cableado de los elementos que componen cada función instrumentada de seguridad SIF.

Supongamos una planta industrial grande, formada por la unión de varias unida-des de proceso. Los procesos de las unidades tienen relación entre ellos, pero pueden funcionar con cierta independencia. Las paradas de las unidades para el manteni-miento pueden efectuarse en distintos periodos de tiempo.

Se debe conseguir la independencia de cada unidad desde el punto de vista de los �'�$��#��'��/��&��'��J��'��$'P��'��$��seguridad, los multicables, las cajas de conexión, los borneros, las alimentaciones eléctricas, los armarios y el PLC de seguridad por cada unidad. No se deben mezclar enclavamientos de distintas unidades en multicables, armarios o PLC de seguridad. *��$��/�� &��'P��'��'�$��#��'-dad, sin interferir con otras unidades que estén en funcionamiento.

Una unidad grande, con muchos enclavamientos, puede necesitar dos o más PLC de seguridad.

Con objeto de controlar adecuadamente los instrumentos y sistemas de seguridad, se puede proceder de la siguiente manera:

^� Numerar los SIF correlativamente para cada unidad de proceso (SIF-1, SIF-n). ^� Numerar los PLC de seguridad de cada unidad de proceso (UP1-PLC-1..n).

El sistema del PLC es un conjunto compuesto de uno o varios armarios con-teniendo procesadores, tarjetas de entradas/salidas, alimentaciones, borneros para conexión de cables de campo, separadores de seguridad intrínseca, etc.


^� Un sistema instrumentado de seguridad SIS lo forman un PLC de seguridad junto con los SIF que se controlan y ejecutan en el mismo. Es conveniente numerar los SIS por unidades de proceso (UPn-SIS-1). En plantas o unidades de proceso, en los que hay uno o varios SIS, los cables, cajas de conexión y &��&��'��$'P��6�6��3��$��/�)��&��$��segregados en base a cada SIS. Como todos los cables y multicables de un SIS se llevan físicamente a varios borneros (uno por cada tipo de señal) de uno o varios armarios de un PLC, la segregación desde campo facilita la iden-$'P��'��/��#�'��'��O'��)��'�$�'&��'��'��de los cables y multicables.

^� Los multicables, cables individuales, hilos y cajas de conexión asociadas con los sistemas instrumentados de seguridad serán separados de todos los demás cableados dedicados a control o a otras funciones de automatización. Los cables, multicables, cajas de conexión y borneros de sistemas de seguridad, ��'��$'P��$��'��'��3��$��'�$��seguridad.

^� Cada entrada y salida a campo del PLC de seguridad debe tener su propio cableado individual y dedicado. Se conectará cada señal analógica de entrada a un canal de entrada analógico y cada contacto de un interruptor de campo se conectará individualmente a un canal de entrada digital. Actualmente no se aceptan y no se recomiendan las redes de comunicación de campo (Fieldbus, G��P&��/��$��L��$'�'��'�$��#��'��

^� La salida a cada válvula solenoide de seguridad, se protegerá mediante un borne con fusible. Cuando una función de seguridad actúa sobre varias vál-vulas solenoide, es conveniente que se utilice un canal de salida por cada válvula solenoide a actuar. En general, tanto en las tarjetas de entradas como en las de salidas, cada canal tiene su propio sistema de vigilancia y alarma de línea. El cableado desde el sistema de lógica se hace con cables individuales o pares separados de un mismo multicable, para facilitar la distribución en campo ya que las válvulas pueden estar ubicadas en posiciones distantes.

^� Cuando es necesario que la actuación de las válvulas solenoide esté abso-lutamente coordinada, porque en caso contrario podría ser peligroso, se re-comienda utilizar un solo canal lógico y un solo par de hilos para actuar sobre varias válvulas solenoides a la vez. Por ejemplo, las líneas de gas a quemadores y pilotos de hornos, o de calderas de generación de vapor, utilizan tres válvulas para el corte del gas. Véase el ejemplo 2 del apartado 8.6.3. Dos válvulas en serie, una a continuación de la otra, ante un disparo cierran para cortar el gas al quemador. Entre ambas válvulas hay una línea que lleva otra válvula de seguridad. Ante el mismo disparo esta válvula abre, para ventear cualquier fuga que pueda tener la primera válvula, e impedir que la línea se pueda presurizar y que por fugas de la segunda válvula pueda entrar gas a la cámara de combustión. La mejor operación se realiza cuando las tres válvulas actúan al mismo tiempo, dos cerrando y una abriendo para


ventear. Considerando un fallo en un canal lógico de salida, en el fusible del circuito de salida, en una falsa conexión o en la rotura de un hilo, las tres válvulas actuarán como una, si hay un circuito único. Si hay tres circuitos de salida, podrían darse situaciones potencialmente peligrosas, incluso en funcionamiento normal.

^� En sistemas de seguridad con solenoides, y sobre todo con lógica de relés, se debe tener en cuenta la longitud total de los cables, especialmente en los circuitos de activación de las bobinas de los relés. Con distancias superiores a 300 metros, se debe pensar que puede haber problemas de inducciones de tensión en los cables, bien por campos eléctricos, o por efecto de capacitancia entre los propios hilos. Se hace notar que la tensión necesaria para mantener energizada la solenoide o la bobina de un relé es notablemente inferior a la que se necesita para su activación cuando se energiza.

8.8. INSPECCIÓN Y PRUEBAS GENERALES DE LA INSTALACIÓN

Las inspecciones y pruebas que se indican a continuación se aplican al montaje de instrumentos en instalaciones industriales. Afectan a todo tipo de instrumentos con independencia de la función que tengan, control, indicación, alarmas o seguridad de la instalación.

Antes de efectuar la instalación de los instrumentos, durante la ejecución de la mis-ma, después de realizado el montaje y antes de que se efectúe la puesta en marcha de la instalación, se han de llevar a cabo diversos trabajos de inspección, de calibración y de comprobación de funcionamiento, para asegurar que lo realizado se corresponde ��3�� '��'P��)��$��$�/��'��'��3�'��'&��'��)��'P��'��/��$��)��'�'�$��realización de todos los trabajos de calibración y pruebas, se incluyen en el contrato del montaje de instrumentación.

El personal propietario de la planta debe participar en todas las labores de ins-pección y pruebas de la instrumentación, para que se realice una buena inspección, y para que además le permita obtener formación y conocimiento de la instalación.

Los trabajos realizados por el montador deberán pasar pruebas técnicas y una inspección técnico-administrativa. Existen múltiples puntos de inspección que se deben hacer durante el montaje y conexionado al proceso de instrumentos. Se hace notar que es imprescindible disponer de un procedimiento de inspección y pruebas, aceptado por la propiedad y por el montador. Los medios para la ejecución del pro-cedimiento deben estar incluidos en el contrato de montaje de instrumentación. Debe ��$'��$��$Q��)��P��'��'��'��/��facilitar la aceptación de la instalación antes de la puesta en marcha.

Antes de poner en servicio los instrumentos, el montador llevará a cabo las prue-bas necesarias hasta que, en opinión del responsable de puesta en marcha del propie-tario, los instrumentos, los lazos de control y los sistemas instrumentados de seguri-


dad hayan sido correctamente instalados, estén en condiciones de operación y sean adecuados para el servicio que se les destina.

Se comprobarán todas las placas de características de los instrumentos contra �� T�$'�� '�'�� 'P��'�� $��'�� K��3�'�'�'��L� �� $�� modelo, opciones, accesorios, etc. Asimismo, se realizará la inspección visual para asegurarse de que no hay piezas defectuosas o incorrectas.

Se cuidará de conectar adecuadamente las fuentes de alimentación y guardar la polaridad correspondiente, siendo responsabilidad del montador los daños ocasiona-dos al instrumento por no tomar las precauciones necesarias.

En general, se comprobarán los rangos y ajustarán para todos los instrumentos el cero, el SPAN y los valores de salida de tres puntos como mínimo. La actuación de los instrumentos será comprobada para su aplicación concreta.

6��&��#��'P��/��'��'��$��'��y el receptor, la acción de operación del controlador y de la válvula de control, así como la operación satisfactoria de los diferentes circuitos auxiliares, eliminando to-dos los seguros de transporte de los distintos instrumentos y probando con distintas señales enviadas desde campo.

En los circuitos de sistemas de seguridad y alarma, comprobar y ajustar todos los instrumentos de seguridad a sus valores de actuación. La comprobación compren-derá los interruptores, válvulas solenoides, líneas de transmisión, relés, unidades de alarma y se hará simulando las distintas condiciones posibles.

El montador realizará el preajuste, calibración y prueba de los instrumentos para que toda la instrumentación quede en situación operacional, de modo que solo se requieran posteriormente los ajustes de las condiciones de proceso. Los reglajes y pruebas serán efectuados de acuerdo con las normas e instrucciones de los fabrican-tes de los instrumentos respectivos.

Comprobación de la localización de los instrumentos. Estos deberán estar de ��'&�Q��)��'P��'��'��$��/��'��$��$��-nera que permitan su fácil lectura y accesibilidad. Se realizará una comprobación de orientaciones con iluminación nocturna.

Inspección de las válvulas de drenaje y bloqueo y de todas las conexiones a proceso.Comprobación de todas las juntas y empaquetaduras de las válvulas para asegurar

la estanqueidad.Comprobación del tendido aéreo y subterráneo de cables conexionados y perfecto

estado de prensaestopas, etc.

8.8.1. INSPECCIÓN Y PRUEBAS MECÁNICAS

Antes de la puesta en operación, la instrumentación de campo y las líneas de co-nexión asociadas a la misma, deben someterse a una inspección tan extensa como sea necesaria, para asegurar que se cumplen los diseños de montaje realizados por la ingeniería, y se utilizan los materiales y los procesos de construcción adecuados y previstos.


El objetivo es detectar que el instrumento ha sido instalado correctamente, de acuerdo a lo que se ha indicado para cada una de las variables en los apartados an-teriores, y corregir posibles defectos en materiales, en soldaduras o en el roscado de accesorios. Todo ello ha de efectuarse antes de introducir en las líneas productos del proceso en la puesta en servicio.

Los instrumentos están montados en lugar accesible y pueden ser desmontados para su reparación o calibración, sin necesidad de desmontar otros equipos o líneas ��3��'�$��P��

Las líneas de conexión al proceso están soportadas adecuadamente, e indepen-dientemente del instrumento. Las conexiones al proceso están hechas en el lugar de la tubería o equipo que se han previsto.

6�� $��'��$��$'��]�Q�� '��$��'�� $��/��'P�'�/��O'��$�)�&Q��'��$��-misores de caudal y en los de medida de diferencia de presión.

��'��$'P��'��'��$��$��)��'��$'P��'��O'��$��)��'��'��$��'P��

Las purgas manuales o automáticas (purgadores de vapor) cercanas al instru-mento no inciden en el mismo. Las purgas de las cámaras del propio instrumento tampoco inciden sobre equipos adyacentes, etc.

Pruebas a los instrumentos insertados en el proceso

Los instrumentos que están insertados en las líneas o equipos de proceso, forman parte de los mismos y deben soportar las mismas condiciones. Generalmente, estos instrumentos se prueban montados y conjuntamente con las líneas. Esto ocurre con los termopozos, los rotámetros, los interruptores de nivel de boya, niveles de des-plazador, niveles de vidrio, medidores de caudal insertados en línea tipo efecto de coriolis, magnéticos y válvulas de control, o todo nada.

Todos los instrumentos que están insertados en el proceso se deben comprobar para que sean capaces de soportar las presiones de prueba de las líneas de proceso. También debe probarse a la presión que son capaces de soportar los elementos inter-nos de los propios instrumentos.

Por ejemplo, un interruptor de nivel de boya debe soportar la presión de prueba como recipiente contenedor pero la boya interna soportará la presión que hemos ��'P�� Q��$��$��'P��'��O'��del proceso, y si es así, es bastante probable que no soporte la presión de prueba, que suele ser 1,25 o 1,5 veces la presión de diseño del recipiente contenedor. En estos ca-sos, se debe exigir que la prueba se efectúe sobre el cuerpo externo del instrumento, sin tener los internos montados. En el caso de instrumentos de boya o desplazador, es normal que se efectúe una prueba en campo con los instrumentos montados en el stand pipe, y haciendo que la prueba se haga con la presión máxima de operación o la de diseño. De esta forma, se puede detectar si existen fugas en las bridas o en las válvulas de corte y no se causa daño a los internos.


Pruebas a los instrumentos conectados externamente al proceso

Para las líneas de conexión que se conectan al proceso y se pueden aislar con válvu-las en la raíz de la conexión, en general no se contemplan exigencias en los códigos y normas de tuberías que obliguen a efectuar pruebas tan exhaustivas como las que se aplican a las propias tuberías, o a recipientes de proceso.

Se tiene en cuenta que las secciones de las líneas son generalmente pequeñas, las longitudes son cortas, y siempre hay una válvula de raíz que, al cerrarla, aísla o separa el proceso de la línea del instrumento. En estas condiciones, los riesgos por fuga o rotura son controlados. Este es el caso de los instrumentos de medida de pre-sión, de medida de caudal por presión diferencial y de medida de nivel por presión diferencial.

En la medida de nivel con instrumentos de desplazador o de boya, se utilizan �� $�DÇV��(�3�'��$�$�'��$��'��'��)��&��'�'��las tuberías de ese tamaño, como se indicó más arriba.

Dependiendo del tamaño de las líneas, se exigen pruebas de ultrasonidos, radio-#�P��/��3�'��$��$��)��&��'��'��'��)��&��'��P�'��$�&��'��'��)�$��$��$�&Q��)��$'��]�'��Q��

En tamaños de líneas inferiores a 2”, que es el caso de todas las conexiones re-motas de instrumentos, los códigos y normas solo contemplan pruebas de presión hidrostática.

Aunque no sean exigibles por normas de obligado cumplimiento, las líneas de conexión remota de instrumentos deben someterse a pruebas de presión en la fase P��$Q��)��'��$�� '��$��'��/��'$��'��#��de fugas en accesorios mal apretados, mal roscados o con soldaduras defectuosas.

En las líneas que lleven acompañamiento de vapor o aislamiento térmico, las pruebas se deben efectuar antes del recubrimiento, para que de esta forma la inspec-ción de las fugas se pueda realizar correctamente.

}�j�<��

6��&��'��&�'��'�/��'P��3��O'��de instrumentos y los propios instrumentos se pueden probar hidrostáticamente, de ��3�'�'$��'P��/��#��$'��3��'�$��'��'�$�#�'-��'��$4��3��'��'P��'��

El propósito de la prueba, los medios utilizados, el alcance de la misma, la pre-sión límite de prueba, la duración de la inspección y los criterios de aceptación, deben ser establecidos de forma clara y deben ser documentados.

��'$��'��'��PQ��'�'��$��&�/��'��'�'$$'��/�serán los siguientes:

^� El establecimiento de presiones, temperatura y composición del agua utiliza-da así como los ciclos de pruebas hidrostáticas. La presión de prueba utiliza-


da para las líneas de conexión de instrumentos será la misma que la utilizada por tuberías para la prueba de presión de la tubería o recipiente al que están conectadas. El valor suele ser 1,25 veces la presión de diseño.

^� *�Q��'P�� $'��P�'��$��$��'�'��$�� '��prueba y los criterios para poder determinar la aceptación. El tiempo mínimo establecido para poder examinar las posibles fugas en bridas, soldaduras, em-paquetaduras de válvulas, etc., suele ser de diez minutos.

^� Se deben proteger los elementos exteriores a los límites de la prueba para no dañarlos, y proveer, si fuera necesario, dispositivos limitadores o de alivio, para no sobrepasar las presiones accidentalmente.

}�j�<��j��

Las pruebas neumáticas de presión, no se utilizan como sustitutivas de las pruebas hidrostáticas en tuberías, salvo en casos excepcionales en los que no pueda haber tra-��#��/��'��$'&'�'��]�'��'��

El gas comprimido a la presión de prueba, que suele ser 1,25 veces la presión de diseño, puede ser peligroso y se deben adoptar medidas especiales de protección para las personas que efectúan las pruebas. Para probar las líneas de conexión de instrumentos al proceso, raramente se utilizan gases comprimidos.

Pruebas neumáticas se efectúan solamente en los colectores de distribución de aire de alimentación a instrumentos y en las líneas neumáticas de transmisión de señales. En estos casos, la prueba que se efectúa se denomina prueba de fugas. La presión máxima utilizada en la prueba es la presión de trabajo del colector general de aire de instrumentación, la cual, siempre es menor de 8 kg/cm2. La detección de fugas se hace con el colector presurizado y aplicando una solución de agua jabonosa a cada una de las uniones roscadas, soldadas o realizadas mediante bridas.

En los circuitos de señales neumáticas también se hace prueba de fugas. Se efec-túan ajustando el aire a la presión máxima de trabajo de cada circuito (suele estar comprendida entre 20 y 60 PSIG) y aplicando la solución de agua jabonosa en cada uno de los accesorios de compresión y en las uniones roscadas.

8.8.2. INSPECCIÓN Y PRUEBAS ELÉCTRICAS

� Cajas de derivación: se comprobará que las cajas instaladas quedan accesi-bles para el mantenimiento, que están cableadas según la documentación del proyecto, que las armaduras de los cables quedan sujetas con los prensaesto-pas, y que la caja está puesta a la red de tierra.

� Bandejas de cables: se comprobará que están correctamente tendidas y so-portadas. Se comprobará que en su recorrido no interrumpen los pasos peato-��'�� /��'��'��'P��$��$�&Q��$��'�'��$��de equipos vecinos, y guardan las distancias con los caminos de fuerza elec-$��$�'��'P��


� Cables y multicables: todos los cables instalados deben ser timbrados y se debe comprobar: continuidad de cada conductor; aislamiento entre conduc-tores; aislamiento de conductores respecto a la armadura; y aislamiento de conductores respecto a la pantalla. Comprobar el conexionado y cableado tanto en campo como en sala de control, incluyendo la continuidad, resisten-cia de aislamiento, inductancia y capacitancia, en líneas donde sea requerido y la polaridad en todos los cableados eléctricos.

Se cuidará que las pantallas de cables y multicables de señales tengan con-tinuidad, y estén conectadas a tierra solamente en sala de control.

Comprobación de todas las uniones de termopares para asegurarse de que son efectivas, así como polaridad y continuidad hasta el instrumento recep-tor.

� Pruebas eléctricas �nales:��'P��)��#��3��'��$��$�'��está preparada para la puesta en marcha de la instalación, antes de la misma, se realizarán por el montador y serán supervisadas por el propietario las si-#�'��$��&��P��7��&��$��'��'��-to de cada conductor con respecto a tierra en todos los multicables enterra-dos. La prueba se realizará desconectando los conductores a comprobar tanto de la sala de control como de la caja de derivación.

Se comprobará desde la caja de derivación el aislamiento de cada con-ductor con respecto a tierra de todos los pares cuyo recorrido sea aéreo. Esta prueba se realizará desconectando los conductores a comprobar tanto de la caja de derivación como del instrumento de campo.

Se comprobará continuidad de todos los conductores, desconectando am-bos extremos, para comprobar que los hilos están conectados a sus corres-pondientes bornes y no se ha cometido error cambiando un hilo por otro.

Desde sala de control se comprobará el aislamiento de las pantallas con respecto a la tierra. Deberá soltarse la pantalla en la sala de control, porque es el único lugar donde estarán puestas a tierra.

Se generará en el instrumento transmisor de campo la señal correspondien-te al 0% y 100% de su rango. Se comprobará en la sala de control la correcta recepción de la señal.

Desde la sala de control se dará tensión al lazo y se enviarán señales co-rrespondientes al 0, 50 y 100% del rango, y se comprobará que todos los ��$��'�$��'��'��/��3��$��P��)�a las posiciones deseadas. Se debe disponer del aire motor o del sistema hi-dráulico correspondiente para poder hacer que el actuador se mueva a la po-sición deseada. En las válvulas de corte que llevan solenoides, Estas deben estar energizadas.

Contactos de instrumentos interruptores. Se simularán en el instrumento de campo las condiciones que provoca el fallo, ejemplo: a un presostato se le aplicará la presión de calibración que hace el cambio de estado, y se observa-


rá en el aparato receptor, alarma o enclavamiento de seguridad que el referido cambio se realiza, y que el sentido de accionamiento, subiendo o bajando, es el correcto.

Salidas de tensión a solenoides. Se provocará la falta de tensión en la sala de control o en el lugar desde donde se alimente este elemento, y se compro-bará en campo el correcto funcionamiento de la válvula solenoide y de los elementos afectados por ella, ejemplo: válvulas de control todo nada, pisto-nes, accionamientos hidráulicos, etc.

Los circuitos correspondientes a sistemas de seguridad deberán satisfacer las inspecciones y pruebas descritas anteriormente y además se realizarán las pruebas que se indiquen en el procedimiento particular y detallado de cada uno de los SIF.

PARA NO OLVIDAR

� La selección de los instrumentos más adecuados y una buena instalación de los mismos evitará mal funcionamiento y paradas imprevistas.

� Para controlar un proceso con�nuo con seguridad, se requieren instru-mentos con medida disponible y �able durante el periodo de �empo en-tre paradas.

CONSEJOS PRÁCTICOS

� Los instrumentos o sus accesorios se averiarán alguna vez. Siempre que sea posible, elegir los que tengan fallo a modo seguro, aunque produzcan parada.

� U�lizar instrumentos que se puedan comprobar, reparar y calibrar con los medios disponibles en planta. Si se depende del exterior, se pierde el control sobre los instrumentos y el �empo de parada puede ser indeter-minado.

9LÓGICA DEL SISTEMA INSTRUMENTADO DE SEGURIDAD


SUMARIO: Introducción. Selección de la tecnología. /��-ware. Tamaño del sistema. Complejidad del sistema. Comunicaciones con otros sistemas. Conclusiones. Para no olvidar. Consejos prác�cos.

9.1. INTRODUCCIÓN

S��$��$�� '��$�'��)��'P�� 3��'-�'��$��P��#'��'�$��'��$��$��#��'��

Es la parte 3 de la IEC-61508 la que establece todos los requerimientos de soft-9��$��$/��'�&'��'��$��)��$��D�)�B�del citado estándar.

+��$4��'��#��$9��$'�'��6�6��'��safety rela-ted�)��$��'��$��$'��3��'��'��$9��$'�'-zado para funciones de control.

��P��$��$��'#�'��$��#��$��que nos surgen la primera vez que nos enfrentamos con el diseño del sistema.

^� ¿Cualquier tecnología es válida para utilizarla en un SIS?^� ¿Qué tecnología tengo que utilizar?^� �M�4�$��#��3��$��$��'��J��$9��$4��'��$��-

table?^� ¿Puedo comunicarme con otros sistemas que no sean de seguridad? ^� ¿Tengo que tener en cuenta algún requisito especial para la comunicación con

otros sistemas?^� ¿Si utilizo un PLC puede ser de propósito general?

9.2. SELECCIÓN DE LA TECNOLOGÍA

La primera de las etapas consiste en la selección de la tecnología que podemos apli-car, las que aquí se recogen son las habituales, si bien veremos que una de ellas se impone siempre y cuando el SIS que queramos implantar sea nuevo y no ampliación de uno existente con otra tecnología.

Es cierto que durante muchos años se han llevado a cabo funciones de seguridad en sistemas eléctricos y electrónicos para la mayoría de las aplicaciones.


Sistemas basados en los PLC se han utilizado tanto para llevar a cabo funciones de no seguridad como de seguridad.

Para la mayoría de los casos, el objetivo de seguridad se puede alcanzar median-te varias tecnologías. Cualquier función de seguridad debe considerar no solo los ��$��'�'�'��)��$��P��'��$�&'4��'�$��3�� 3��$��$��P��$��$'��$��'�'�'��

Quizás conviene adelantarnos en este capítulo lo que veremos en detalle en el ��$��DD/��3��P��'P��'��$��3��una función instrumentada de seguridad de acuerdo a la IEC-61508-2, para decidir cuándo se puede utilizar una tecnología u otra.

� Elemento tipo A: es aquel elemento simple, cuyos modos de fallos están bien '��$'P��6��#��$��$��$��#��/��'�$��$��)��(sin partial stroke test)

� Elemento tipo B: el resto de elementos.

Normalmente los elementos tipo A no tienen diagnósticos, por lo que todos sus fallos son no detectados.

Y la arquitectura de los sistemas indicada en la IEC-61508-2 cuando disponemos de un solo elemento:

^� Arquitectura permitida para 1 elemento tipo A: SIL1.^� Arquitectura permitida para 1 elemento tipo B: SIL 2. Con redundancia se

alcanzaría SIL3, dependiendo de la fracción de fallos seguros (SFF).

Además debe quedar claro que no existe un sistema mejor que otro sino que hay que elegir el sistema que se adapte mejor a nuestras necesidades

9.2.1. TECNOLOGÍA ELÉCTRICA

R��#��4�$�'��P��'��#'��3��'��$��'�$��técnicas electromecánicas, siendo la más habitual la lógica de relés.

Los relés electromecánicos son dispositivos todo-nada, de manera que el meca-nismo de actuación es parte de un circuito que se activa mediante una bobina a través de la cual circula la corriente.

Este tipo de relé tiene uno o varios contactos eléctricos acoplados con un elemen-to móvil del circuito magnético de un electroimán.

El electroimán es controlado suministrando tensión a su bobina, la cual direccio-na el movimiento del elemento móvil y hace que el contacto del relé abra o cierre.

Su uso tiene ventajas:

^� Es la solución para sistemas pequeños, en torno a 100 entradas/salidas.^� Dependiendo de los relés que se utilicen, la seguridad es muy alta, son muy

P&��^� El coste del equipo es relativamente bajo comparado con otras tecnologías.

297Lógica del Sistema Instrumentado de Seguridad

^� El tiempo de respuesta es rápido, porque no hay scan del sistema.

Y también inconvenientes:

^� Puesto que se utiliza sin redundancia, el fallo de un relé puede dar lugar a un fallo del sistema, aunque sea un fallo seguro. Por lo tanto la disponibilidad no es alta.

^� Solo se puede utilizar cuando el sistema es pequeño, que maneje a lo sumo, menos de cien entradas /salidas, porque si no, el sistema se hace extremada-mente complejo.

^� Cualquier cambio en una acción del proceso, origina cambios de cableado.^� No se puede establecer comunicación con otros sistemas.^� Como estándar no tiene baipases de mantenimiento, se les puede añadir pero

hace que el sistema sea mucho más complejo.^� Solo maneja señales discretas (no analógicas).

La tecnología eléctrica ��'P��$��Tipo A y al no disponer de redundancia, se podrá implementar solo en funciones de seguridad con nivel SIL1.

9.2.2. TECNOLOGÍA ELECTRÓNICA

R��#��$��'��P��'��#'��3��'��$��'�-te lógica de estado sólido o relés de estado sólido.

El funcionamiento del relé de estado sólido es como un elemento controlador todo-nada, en el cual la corriente se conduce mediante uno o varios semiconductores.

Como todos los relés, el relé de estado sólido requiere relativamente baja energía para cambiar el estado de la salida de desactivada a activada (de off a on) y también al contrario.

��'&'�'��4��$��'��'#�'P�$'��$��$�3��de un relé eléctrico para una misma señal de salida. Este tipo de relés no tiene partes móviles.


^� Los equipos son más pequeños que en el caso de relés de tecnología eléctrica.^� Se puede incluir baipases de mantenimiento sin que ello obligue a un aumen-

to demasiado grande en la complejidad del sistema.^� El tiempo de respuesta es rápido, porque no hay scan del sistema.

Y también inconvenientes: que coinciden con los inconvenientes citados para el �'�$��4�$�'��3��P��)��&��$�� &��'�$��4��

La tecnología electrónica��'P��$��Tipo A y al no disponer de redundancia, se podrá implementar solo en funciones de seguridad con nivel SIL1.


9.2.3. TECNOLOGÍA PES

PES son las siglas de programmable electronic system/�)��P��#'��3��implementa en los PLC.

6��P��'�$��$��/��$��'��'$��'��'��&��o varios elementos programables electrónicos. Se incluye todos los elementos que lo componen, incluso las fuentes de alimentación y las comunicaciones.

Los PLC que se utilizan para llevar a cabo funciones de seguridad son los PLC denominados “de seguridad”. El resto de PLC utilizados para llevar a cabo control o enclavamiento no asociados a la seguridad se denominan “de propósito general”.

Hay tres diferencias fundamentales entre un PLC de seguridad y un PLC de pro-pósito general:

1. El PLC de seguridad siempre tiene controladores redundantes y continua-mente se está monitorizando.

2. El PLC de seguridad tiene diagnosis por comparación en las señales de en-trada y

3. El PLC de seguridad tiene diagnosis por comparación en las señales de en-trada.

[��$��$��P#��'��$��$'P��#�'��'��-pendiente como PLC de seguridad de acuerdo a IEC-61508


^� Los equipos tienen un coste razonable cuando hablamos de varios cientos de entradas/salidas.

^� El manejo de cambios es fácil.^� Dispone de puertos para comunicación serial con otros sistemas.^� 6��'��)��#��P��'��^� Puesto que tienen diagnósticos, existe la posibilidad de detección de un fallo

peligroso en un componente, por lo que aumenta la seguridad del equipo.^� Al ser redundantes se aumenta la disponibilidad, es decir, un solo fallo no va

a producir un disparo en falso.

Y también inconvenientes:

^� 6��3�'��Q��3��$9��Q��#��$�/��esta manera debería utilizarse solo para las funciones que son exclusivamente de seguridad.

��$��#��G+6��'P��$��$'��<��G��#��'��$�'��KR(�L��KM�(L��$�/��$��'#�'P��3��se pueden implementar en funciones de seguridad con nivel SIL3.


PES son las siglas de programmable electronic system�)��P��#'��3��se implementa en los PLCs.

9.3. CONSIDERACIONES DEL DISEÑO DEL SOFTWARE

+��'��J��$9��&��$��$��'#�'��$�7

^� Las funciones de seguridad y su nivel de integridad.^� ��P#��'��3�'$��$��'�$��^� Los requerimientos de integridad del sistema completo, incluyendo sensores

)��$��P��^� ��3��'�'��$��$�'��$9��$'�'��^� El tiempo de respuesta.^� La interfaz con el operador.

��$��$'��$9��3��$'��'��$��P�'��+:ADHDD��'��'P��3��'�'��$��#��'��'��6��

Y además hay tres tipos de lenguaje:

1. FPL: �xed program languages: en este tipo de lenguaje, el usuario se limita a ajustar unos pocos parámetros, como por ejemplo rangos de transmisores, niveles de alarma….

2. LVL: limited variability languages: en este tipo de lenguaje proporciona la capacidad desarrollar las acciones de seguridad, son por ejemplo, los diagra-mas lógicos, los bloques funcionales. Este tipo de lenguaje lo usan los PLC

3. FVL: full variability languages: este tipo de lenguaje es el que utilizan los programadores de ordenadores y es el que directamente está relacionado con ��$9��'�$�#��

��+:ADHDD��'�'$��'��'��$9��/��$'�'��G��S��-'�#��$9��3��$'��'��3�'��-

�'��6�6��'��/��'P��'��)��$�'��

9.3.1. SOFTWARE INTEGRADO

+�$��$9��3��'�'�$��$��'�$��)��'��&��cumplir con la IEC-61511-1 apartado 11.5, donde se detallan los requerimientos de ��$��6��/�)�3��$��$9��$��#'��El lenguaje que se utiliza el FVL.

9.3.2. SOFTWARE DE UTILIDAD

+�$��$9��)��'P��'��'��#��)��&��cumplir con los requerimientos de la IEC-61511-1 apartado 12.4.4 conjuntamente


con el manual de seguridad del equipo que proporciona el fabricante, en el que se explica cómo puede ser operado el sistema de manera segura.

9.3.3. SOFTWARE DE APLICACIÓN

+��$9��P��'��'��3��3�'��'��P��)��-#��G+6��'��3��'�'��$��'P��'��#��'��Contiene, generalmente, secuencias lógicas, permisivos, limites, expresiones, cálcu-los para producir una salida adecuada cuando se activa un elemento iniciador y está descargado en los controladores y deberá cumplir con los requerimientos estableci-dos en la IEC-61511-1 apartado 12.1.

��'P��'��$��$9��'��'��7

^� Las funciones que tienen que ser activadas para alcanzar y mantener el pro-ceso en estado seguro.

^� Las señales de detección y alarma tanto del proceso como del sistema.^� Las funciones relacionadas con las pruebas periódicas on-line y off-line de

las SIF.^� Las funciones que permitan realizar cambios en el SIS de manera segura.De esta manera:

^� Se minimizarán los riesgos por introducción de fallos,^� Se eliminan los fallos existentes^� Se asegura que los fallos que permanecen no ocasionarán resultados inacep-

tables^� 6��'��$��'�'��$��$9��#��$'��'��

SIS.^� 6��$��3��$9��$'��'��3��3��'��

��'��&��'��3��$9��#�� $��'��/��'��3��$��$��$��'P��$��/�� la importancia de reducir los fallos sistemáticos.

9.4. TAMAÑO DEL SISTEMA

Una vez que se haya seleccionado la tecnología a utilizar, habrá que determinar cuál es el tamaño del sistema que pueda ser fácilmente manejable, para ello además hay que tener en cuenta el posible aumento de la complejidad porque hay que considerar ��'P��'��3��'�'��$��#��'��)��'� )�3��'��$��#�-no de los siguientes puntos:

^� 6��$9��$��'$��'��^� ��'$��'��'�� 9��'�$��/�'��)��)��$��

P��


^� Pruebas periódicas de las funciones de seguridad mientras el sistema de se-guridad está en operación.

^� Posibilidad de probar las funciones cuando el sistema de control está opera-tivo.

^� ��'��$9��3��Q��$��&��'��)�$��-bas de diagnóstico para que se cumpla la integridad del sistema.

Si se tienen en cuenta todas estas consideraciones, puede ocurrir que la arquitec-tura del sistema deba ser revisada o incluso la tecnología que en principio hubiéra-mos podido considerar aceptable.

9.5. COMPLEJIDAD DEL SISTEMA

En términos de seguridad, todos los que trabajamos en sistemas de seguridad esta-mos de acuerdo en que:

“Lo más simple es lo mejor”

6'#�'��$�P��/��$��'��'�$��nuestras necesidades, no por tener un sistema con muchas opciones, posibilidad de �'#��$'��'��'��P�/�$��Q��'�$��3��aumenta la complejidad del sistema aumenta la posibilidad de fallos sistemáticos en ��P#��'��3��'��'��$��$��

Así pues, tenemos que hacer el ejercicio de seleccionar el más simple de los equi-pos que cubra todas las necesidades de mi proceso.

9.6. COMUNICACIONES CON OTROS SISTEMAS

Como hemos visto en apartados anteriores, hay tecnologías que permiten comunica-ciones con otros equipos, y de hecho es lo habitual pero hay que tener cuidado en la ��P�'�'��$��'��'��

G��'��'P��/� ��6�6��'�$��'��$��/�� tecnología aplicable.

El SIS se comunica con el DCS de la planta, esto es un hecho ¿para qué?, pues para visualizar las variables y las acciones que se generan en el SIS, pero no se �� $&�� &'�� *6� 3�� $�� P#��'�� 6�6��Además un fallo en las comunicaciones o en el DCS no puede ocasionar un fallo en el SIS.

Aunque esté comunicado, el SIS debe ser independienteLos protocolos de comunicación manejan direcciones, no variables, esto hace que

la velocidad de respuesta de la acción de una señal comunicada sea menor que para


��J��&��P#��'��J��más errores sobre todos cuando se producen revisiones o cambios en estos mapas.

Partiendo de esta base la selección del protocolo de comunicaciones desde el ��$��'�$��#��'��$��'��$�$��P#��'��-mentación y uso.

Como última mención, merece la pena apuntar la existencia de los llamados “bu-ses de campo seguros”��$'P�� $�6��X/��$��'��$��'#��-ticos de la comunicación, detectando los posibles fallos: retardo, repetición o falsi-P��'��$��/��'��'��'��'��$��'��$�/��$��acuerdo al estándar aplicable IEC-61511 que establece que cada elemento de campo deberá tener su propio y dedicado cableado al sistema de entradas /salidas. Pero es un campo que se está abriendo aunque tengamos que cambiar nuestro concepto de una señal un cable.

9.7. CONCLUSIONES

Como conclusión terminaremos comprobando si hemos respondido a todas las pre-guntas que se plantearon al comienzo del capítulo:

Pregunta: ¿Cualquier tecnología es válida para utilizarla en un SIS?(��$7� -�/��'��)��'P��'��

de requerimientos de seguridad.

Pregunta: �Qué tecnología tengo que utilizar?Respuesta: La que sea más simple y cubra todas mis necesidades.

Pregunta: �Qué tengo que tener en cuenta para diseñar un software técnica-mente aceptable?

Respuesta: Que sea capaz de producir la acción deseada cuando se activa un iniciador.

Pregunta: �Puedo comunicarme con otros sistemas que no sean de seguridad?Respuesta: Si, pero la comunicación no puede ser la misma en los dos sentidos,

un fallo en los otros sistemas no puede generar un fallo en el sistema de enclava-mientos.

Pregunta: �Tengo que tener en cuenta algún requisito especial para la comu-nicación con otros sistemas?

(��$7� +��'�$��'��$��P&��)�$'��)��'��'&'-lidad que el sistema de control y tiene que seguir siendo así a pesar de estar comuni-cado.


Pregunta: �Si utilizo un PLC puede ser de propósito general?Respuesta: No, para las funciones de seguridad debe utilizarse un PLC de segu-

ridad.

PARA NO OLVIDAR

� No hay tecnologías malas o buenas.� La tecnología se �ene que adaptar a nuestros requerimientos no al revés.

CONSEJOS PRÁCTICOS

� El sistema más simple es el mejor.

10DESARROLLO DE LAS ESPECIFICACIONES DE SEGURIDAD


SUMARIO:� +��j�� :�|j�� %��&�� %��&��;j��%��&��+��;��j��Ejemplo del formato recomendado de SRS para una SIF. Ejemplo del formato recomenda-do de SRS para una SIF. Para no olvidar. Consejos prác�cos.

10.1. INTRODUCCIÓN

��6(6��+��'P��'��(�3��'�'��$��6�#��'��(Safety Requirements Speci�cation) y su desarrollo corresponde a la etapa 3 del ciclo de vida de seguridad tal y como está establecido en la IEC-61511- parte I, cláusula 10.

Cuando el especialista en diseñar el SIS se enfrenta por primera vez a la creación ��6(6/��$��&��$'��P�'�'��)��#��'��cuestiones que son las que iremos resolviendo a lo largo del capítulo:

^� �G��3�4��'$��'P��'��#��'��^� �-��P�'��$��'P��'��)��$��'P��'��

de la propiedad?^� �M�4�$��#��)��3��'��'��'P��'��3��'�'��$��#�-

ridad?^� �M�4��'��)��'��3��$�)��'P��^� �+��'P��'��#��'��$��'��

Tengamos en cuenta que según se relata en bibliografía especializada, en torno a ��'$��'��$��3��&��'P��'��G��$�$��)�'��$�$��P�'��$��$��6(6�3��'�'�'��

Recordemos visualmente en la Figura 10.1 que ya vimos en el Capítulo 5, para la aportación en los aspectos típicos en la vida de los equipos:

+��'P��3�'��$��'$��#��'��'-dentes, sin perder de vista que los cambios incontrolados después del comisionado, #��BEµ��'��$��/��$�$��'�'��'��'P��'��seguridad alguna llamada de atención al control de cambios, evitaremos de esta ma-nera el 65% de los accidentes.


Figura 10.1. Grá�ca de desviaciones y accidentes causados en las fases del ciclo de vida de un proyecto.

Iremos, de esta manera paso por paso descubriendo el cómo y el por qué de la ge-��'��$��'P��'��#��'��/�3��$��$��y concreto que nos permita desarrollar el SIS.

A lo largo de este capítulo estableceremos los requisitos mínimos para que el 6'�$��3��'P��$��+�$��&Q�$'��

10.2. REQUERIMIENTOS O ESPECIFICACIONES GENERALES

��'P��'��#��'��K��$'�� 6(6L��'�$'�$��$��-��'P��'��/��$��3��$&��mínimos requisitos que tienen que estar satisfechos en el desarrollo del proyecto. No debe considerarse, por lo tanto, como un documento vivo, sino como un documento de mínimos. En algunos casos la 6(6��'��3�� )��#��'��$��'P��'��/��no es ese el objetivo, esta etapa no es necesaria, no debería existir retroalimentación ��$��'P��'��)��'P��'��#��'��

��'P��'��&��'P��'��&��'$��'��P�'��'$��'��'��#�� '&��$��3��'�$'�$��'$��'��'�'�$��'P��'��

No deberíamos incluir en la SRS, por lo tanto, objetivos que a priori sabemos que ��'��'��'��&'��'P��'��3�� )�3��$��de los objetivos establecidos no se pueda cumplir.

307Desarrollo de las especi�caciones de seguridad

La base de la SRS es, no necesariamente en este orden:

^� ��'P��'��'��^� Los requerimientos de la ingeniería básica.^� La normativa aplicable en el país de localización de la planta.^� Criterios de diseño del responsable de la SRS, basados en su experiencia y en

el conocimiento de las características de la instrumentación disponible en el mercado válida para realizar las acciones de seguridad.

��6(6�$'��3��'��'P��'��#��'��#��&�/�recogiendo los aspectos de diseño que nos llevarán a disponer de una planta donde los errores resulten minimizados y sean fundamentalmente aleatorios, no sistemáticos.

De una SRS se espera que sea un documento único, con mucha información pero ordenada, fácil de manejar, con demostrada traceabilidad que también minimice la cantidad de documentación a manejar ¿por qué?, porque se basa en información sobre:

^� +��$��'�'�'��7�$��'��/�'�$��$��/�P��/��$��^� ��#'�7�+6*�)�$��'P��'��'��^� +��$��P��7��)��$��

Y no de manera independiente sino que también hay que incluir sus interrelaciones. +��Q��$��'��$�'�$��'��P�'�'��

transmisores, parece, a primera vista, no ser demasiado importante, pero hay que considerar los siguientes aspectos:

^� Conocer los distintos fabricantes que vamos a considerar como posibles su-ministradores de los equipos. Se debería tener una lista de vendedores cerra-da.

^� Hay que conocer los distintos modos de fallos de los transmisores, no solo cualitativamente, sino cuantitativamente.

^� Hay que estar seguros de que el ESD es capaz de leer y entender los valores de fallo.

^� Hay que conocer cuál es la acción del ESD ante la lectura de la señal de fallo y si hay más de una posible acción, hay que acordar cuál de ellas es la que queremos que se realice, estudiando cuáles son los efectos de elegir una acción u otra.

Por lo tanto en solo un aspecto, muy particular, como es el caso de un transmisor, nos ha llevado a que tenemos que tener conocimientos de:

^� Transmisores.^� Bloques funcionales del ESD.^� Acciones sobre el proceso.


Esto demuestra, la interrelación de los elementos.��3��'�'��$��#��&��$��'P��'��#��-

les de proyecto, desarrolladas por la propiedad y son:

^� Orden de preferencia de la tecnología a utilizar, tanto de elementos iniciado-res como del sistema de enclavamientos.

^� Lista de vendedores de todos los equipos asociados al ESD.^� Cualquier no aceptación a alguna clausula de la IEC-61511.^� El orden de preferencia de las recomendaciones que se dan en la IEC-61511

para el diseño del detalle de la SIF.

10.3. ESPECIFICACIÓN FUNCIONAL

*��#��/��'P��'��'��'&��&��'��un equipo, de esta manera en la SRS también debe quedar descrita que funcionali-��$'��6��3��$��'P��/��'��3�� )��actuación.

Los métodos habituales establecidos para desarrollar la funcionalidad de un en-clavamiento, son el diagrama causa-efecto y/o el diagrama lógico, de manera que cada entrada en el sistema de enclavamientos tiene una determinada salida o acción ��&��$��P��

Para cada SIF, en la SRS, debe quedar establecida:

� La intención de diseño de la SIF, es decir, ¿qué situación queremos evitar implementando una función de seguridad?

� Sus iniciadores con los valores de actuación, En este punto no es tan impor-tante indicar si estamos hablando de un interruptor o de un transmisor, sino cual es la variable de proceso que va a desencadenar la acción de seguridad.

� La acción sobre los elementos �nales, identi�cándolos, es decir, ¿qué acción y sobre qué se va a producir cuando se desencadene la acción de seguridad?

Entonces, ¿por qué no adjuntar el diagrama lógico en la SRS sin indicar nada más?; la razón puede no ser tan obvia pero recordemos lo siguiente:

^� Una SIF no tiene por qué ser un enclavamiento completo.^� En un enclavamiento puede haber funciones de seguridad (SIF) y otras accio-

nes de no seguridad. Son las SIF las únicas que nos interesan.^� La información que necesitemos para el desarrollo del ciclo de vida de se-

guridad debe ser solo la correspondiente a las acciones de seguridad, otra información puede ser incluida pero no es necesaria.

^� Veamos mediante un ejemplo cuáles son los datos funcionales y cómo se extraen de la documentación existente en el proyecto:

^� Supongamos que, esquemáticamente, tenemos las siguientes protecciones en un equipo, al que denominaremos genéricamente D-1:


Supongamos que disponemos del diagrama causa-efecto en el que se establece que en este caso, las acciones del enclavamiento IS-1 son dos:

EFECTOCAUSA XV-1 P-1PT-1(PAHH) 3,5 kg/cm2g Cierra Ac�va la marcha

Y que durante las sesiones de asignación de SIL se seleccionó la siguiente SIF:Por muy alta presión en el depósito D-1 mediante el PT-1 (PAHH) se cierra la

válvula de alimentación UV-1.Además se establecen, en las mismas sesiones las siguientes salvaguardias:

^� Válvula de seguridad PSV-1 es una IPL, a la que además se le asigna 2 cré-ditos.

^� Alarma PAH-2, que no se considera IPL.

Recordemos que la asignación de los créditos a las IPL está directamente rela-cionada con la capacidad de la reducción de riesgo de las capas de protección.

Recordemos que todas las IPL son salvaguardias pero no todas las salvaguardias son IPL.


Ambos conceptos los vimos en detalle en el Capítulo 3De esta manera, tenemos acciones de seguridad y de no seguridad en el mismo

enclavamiento:

^� ��'��#��'��7- Por muy alta presión en el depósito D-1 mediante el PT-1 (PAHH), se

cierra la válvula de alimentación UV-1.^� ��'��#��'��7

- Por muy alta presión en el depósito D-1 mediante el PT-1 (PAHH), se pone en marcha la bomba P-1.

R��$�'��'�� )�3��'��'��6(6/�'��$'P-cando:

^� El número de enclavamiento.^� Las acciones que son de seguridad.^� Las acciones de no seguridad.^� Las IPL con sus créditos asociados.

Que es mucha más información que la que a primera vista se obtiene del diagra-ma causa-efecto completo o del diagrama lógico, y que a su vez está ordenada.

*��$��3��P�'��$��#��6(6��Supongamos que como resultado de la asignación de SIL, hemos obtenido que es 2. Así, quedaría:

[��$��)��'��'�'��P�'��$��$'��'��$'��de la SIF; para ello tenemos que concretar cuál es el valor al que se va a producir el


disparo y por lo tanto se va a alcanzar el estado seguro��/�$��3��P�'��cuál es este estado.

*�P�'��$�&'4��modo de demanda de la SIF, esto está relaciona-do con el número de veces que se espera que la SIF entre en funcionamiento para llevar al sistema a estado seguro, en la industria petroquímica se considera que los ��'��$�� $T�� &Q� ��/� �� 3�� '#�'P�� 3�� $'�� 3�4�funcionar más de una vez al año, esta premisa está aceptada en toda la bibliografía )��$��$��$'��K�$��$��P�'��el Capítulo 11).

*�P�'��$�&'4��'��'�$��'��$��normalmente energizado o normalmente desenergizado.

+�� &'$��'��/��$��3�'��'��3��P�'��6��3��$��P��$4��$��#'��)��$��enclavamiento, se manda energizar, esto ocurre casi siempre en las despresuriza-ciones de emergencia en las que el fallo de aire de instrumentos no coincide con la acción de seguridad y se hace así para evitar que un fallo espurio en la válvula ocasione la despresurización de la unidad.

Tendremos que conocer si existen paradas manuales de emergencia, si vamos a incluir baipases de mantenimiento, Si ante fallo de un instrumento vamos a producir disparo o alarma y dejamos la responsabilidad de la actuación al Operador. Si ade-más sobre el sistema existen otros estándares aplicables que impliquen limitaciones ��'��$��$�'��3��$��'P��

Por último, qué vida media vamos a considerar para la SIF este valor será el de �'��'��$��#T��$'��3��P��$'-P��+:ADHE?�

��$��#��'P��'��'��6��/��'��sus características generales y las particulares:

-��3��P�'��O'��$��'��'��3��$��'�-puestos a aceptar.


+��$�$��'��P��3��$&��$��tiempo está dispuesto a asumir la parada de la unidad o de la planta por un fallo se-guro en el sistema.

+��$��&�'��)��'�/��'��P��3��'$��disparo en un tiempo igual al intervalo de pruebas, hasta los que aceptan un disparo ��'��$��6��/��&��$��P�'��

Del valor de la tasa de fallos espurios, del valor del intervalo de pruebas y del SIL ��3��'��/��$��$��3�'$��$��P��6��

10.4. ESPECIFICACIÓN DE INTEGRIDAD

��'P��'�� '�$�#�'��&��$&�� $��3�� )�que incluir para conseguir el SIL requerido de una función de seguridad SIF y en qué ��P#��'��&��$�/��$&��'��$�$��3�'$��$��'��

N��P�'��'P��'��'��/�3�� '�$��$��-terior, y con el resultado obtenido en las sesiones de asignación de SIL, tendremos que unos determinados iniciadores provocan una acción de seguridad sobre uno o ��'��$��P��/��$��$��P�'��'�$�#�'��esta función.

Supongamos el mismo ejemplo anterior.

Integridad de los elementos iniciadores

��'��3�� )�3��P�'��$'��$��#��$'�'��/��$��$��'�'$��'P��'��)��$�/��'��'��+��$�� $��por hacer los disparos utilizando transmisores electrónicos y que además es requeri-miento del proyecto minimizar los disparos en falso o espurios, seleccionando arqui-tecturas que muestren disponibilidad y �abilidad a partes iguales, que además suele ser el caso generalizado.

*�P�'��$�&'4��intervalo de pruebas que estamos dispuestos a aceptar, que normalmente coincidirá con las paradas programadas de la unidad.

Los criterios que se hay que considerar para establecer los intervalos de prueba manual se detallan en el Capítulo 14 “Mantenimiento y explotación del SIS”.

Cuál es nuestra estimación del tiempo medio de reposición cuando se produce el ��$��'��)��P�'��T�$'��otros requerimientos que hayan sido ��'��'P��'��#��'�$��$��)��'��$��

*��$��$��P�'��&��'��$��iniciadores de la SIF que estamos analizando.


�6'#�'P��$��3��'P��6��$��'��GR:D��-$�'��D��D�/��O�$��$��3��'#�'P��P�'��$��'��transmisor, que es con el que hemos comenzado el estudio, si no que ya, de partida tenemos que incluir un 2oo3 para cumplir con los requerimientos de mínima tasa de disparos espurios.

Veremos en el Capítulo 11 el diseño conceptual de cada función y cómo hay arquitecturas que son más adecuadas para evitar los disparos espurios y otras arqui-$��$��3��U��#��V/��$�� 3��P#��'��B��X��que mejor relación seguridad/disparos espurios tiene, por ello es la que hemos selec-cionado con la premisa establecida de que estos disparos sean mínimos.

+��&��

Del mismo modo que en el caso de los elementos iniciadores debemos proseguir con ��$��P��/��$&��'��$��'��$��'#��'��'�/��3��'��3�'$��$��P��/�)�3��$��P�� P&'�'��$�� '��'&'�'��/��3�� )�que conseguir una SIF que funcione o lo que es lo mismo que estén minimizados los fallos en demanda.

��$��'��'#��J�'��$��P��/��3��'�uno falla, tenga otro disponible.

+��$��=��$��'P��'��$��/��3��las válvulas de corte son elementos tipo A y que es aquel elemento simple cuyos ��$��&'��'��$'P��

Y la arquitectura de los sistemas se indica en la IEC-61511-1 cuando disponemos de un solo elemento:

Arquitectura permitida para un elemento tipo A: SIL 1

Si bien, en la IEC-61508-2 se detallan las arquitecturas permitidas teniendo en cuenta otros factores, no solo el tipo de elemento. Esto lo vemos en detalle en el Capítulo 11.


Teniendo en cuenta nuestro ejemplo, tenemos una SIF con SIL 2, y ya que como ��$��P��$��$��$'��/�)�3��3�'$��$��'$'��$��D/�$��3��'��P#��'��

En el caso que nos ocupa, quedaría:

10.5. INTEGRACIÓN DE LA INFORMACIÓN Y DOCUMENTACIÓN

N��'P��$��$��'��6��/��3��'�$�#��toda la información que hemos desarrollado y adjuntar una serie de documentos del proyecto que aclaren y sirvan de referencia en la SRS; estos documentos se pueden adjuntar o se pueden referenciar, depende de los requerimientos de la propiedad y de ��Q&��3��3��3��$��'P��'��#��'��

Estos documentos son:

^� Informe de HAZOP^� Informe de asignación de SIL.^� P&ID.^� Diagramas causa-efecto.^� Diagramas lógicos.^� Bloques funcionales requeridos del ESD.

Como conclusión terminaremos comprobando si hemos respondido a todas las preguntas que se plantearon al comienzo del capítulo:

Pregunta: �Por qué necesito desarrollar unas especi�caciones de seguridad?Respuesta: Porque así se establece en la etapa 3 del ciclo de vida de seguridad de

acuerdo a la IEC61511-partI, clausula 10.

Pregunta: �No son su�cientes las especi�caciones del proyecto o las especi�ca-ciones de la propiedad?


Respuesta:�6��&��$'��6(6��'P��'��#��&��#��'��/��'$��$��3��3��'P��'��propiedad.

Pregunta: �Qué tengo yo que incluir en una especi�cación de requerimientos de seguridad?

Respuesta: Este capítulo y el ejemplo que en el apartado siguiente se muestra, recoge todos los datos necesarios para proceder a hacer una SRS.

Pregunta: �Qué ocurre si no soy capaz de cumplir con lo que estoy especi�cando?Respuesta:�N��6(6��'P��'��'��/�� )�3��'��

detalle los requerimientos que se exigen, siempre debemos cumplirla.

Pregunta: �Es la especi�cación de seguridad un documento vivo?Respuesta:��'P��'��#��'�� $��'��3�'��$��-

��'P��'��/� ��3�� &'�� &�� /��&�� '��$��)��'P��'��'��/��$��$��)��$��&��'P��G��$�$�/��&��'��un documento vivo.

10.6. EJEMPLO DEL FORMATO RECOMENDADO DE SRS PARA UNA SIF

Como resumen de todo lo indicado en el capítulo, se muestra aquí a modo de ejem-plo lo que podría ser una SRS para una SIF, sencilla, clara, concreta y completa. Una ��#'��&��P�'��$��'P��$��3��'�'��$��#�-�'��'��/��$��'��'��'��Q��$�� P��

En cada casilla se encuentra el número explicativo para poder proceder a rellenar los campos adecuadamente.

Es importante recordar que en una SRS debería incluirse todas las SIF considera-das en el informe de asignación de SIL, sea cual sea su SIL, de manera que aunque ��'P3��6��D/�B�)�X/��O'�$'��$��&'�'��'��'��


"#$� Indicar el tag de la SIF, que viene dado en el informe de asignación del SIL"%$� Indicar el equipo asociado a proteger, este dato viene dado en el Informe de

asignación del SIL."&$��Indicar el número del enclavamiento o los enclavamientos asociados a la SIF.

Este dato viene dado en el diagrama causa-efecto."'$� Indicar el o los números del P&ID y su edición que se utilizaron para las sesio-

nes de asignación de SIL."($� Indicar la fecha de las sesiones de asignación de SIL.")$� Indicar el número del documento del informe de HAZOP."*$� Indicar el número de documentos del informe de asignación de SIL."-$� Indicar qué se quiere evitar al incluir esta SIF, por ejemplo:

^� Daños mecánicos en el reactor R-001, con peligro de fugas al exterior con posibles daños a las personas.

Esta información viene dada en el informe de HAZOP y en el de asignación del SIL.

"/$� Indicar de manera genérica los elementos iniciadores de la SIF, por ejemplo: ^� Muy alta temperatura en el reactor R-001.^� Muy alta presión en la alimentación de fuel gas a quemadores en el horno

F-001.Esta información viene dada en el informe de HAZOP y en el de asiganción del SIL.

"#;$��Indicar las acciones que hay que llevar a cabo para llevar el proceso a su estado seguro. Por ejemplo:^� Cortar la alimentación de fuel gas a quemadores.^� Proceder a la despresurización de la unidad.Estas acciones se han establecido en el informe de asignación de SIL y deben de coincidir con acciones establecidas en el diagrama causa-efecto.

"##$� Indicar las otras acciones que se recogen en el causa-efecto y que no fueron consideradas de seguridad durante las sesiones de asignación de SIL. Si en un enclavamiento las acciones de seguridad son muy numerosas, entorno a más de 5, no tiene sentido incluirlas en este documento, es mejor incluir en este aparta-do la referencia al causa-efecto correspondiente.

"#%$� Incluir todas las salvaguardas consideradas en el informe de HAZOP, que tam-bién deben estar en el informe de asignación se SIL. Se puede incluir entre paréntesis los créditos asociados estas salvaguardas, de manera que sea más fácil visualaizar que elementos se están considerando IPL y que créditos les han sido asignados.

"#&$� Indicar cuál es el SIL que le ha sido asignado a esta SIF. Este dato procede del informe de asignación de SIL.

"#'$� Incluir si se han realizado, estudios cuantitativos adicionales, por ejemplo si se ha realizado un LOPA y la referencia del estudio.

"#($� Indicar cuál es la máxima tasa de disparos espurios que permite la propiedad, siendo los más habituales:


^� Una vez en la vida de la planta.^� Una vez entre paradas programadas de la unidad.G�� $��'��3��P�'��&�� $'��/��magnitud que estamos manejando. Véase punto (27).

"#)$� Indicar el estado seguro del equipo o proceso que estamos estudiando, por ejemplo:^� Válvulas de alimentación cerradas.^� Válvulas de despresurización abiertas.^� Bomba de carga parada.

"#*$� Indicar en unidades de ingeniería el valor de disparo al que se produce la acción de seguridad.

"#-$� Indicar el modo de demanda aplicable, normalmente será baja demanda que es ��3�� &'$��$��$&��P��

"#/$� Indicar si es:^� Desenergizada para disparar.^� Energizada para disparar.Este dato se recoge en la descripción de enclavamientos y se puede obtener es-$��'��'��&��$��P��3��$��G¡�*�

"%;$� Indicar si existe pulsador de parada de emergencia. Este dato se indica en el P&ID.

"%#$� Indicar el tag del pulsador de emergencia. Este dato se indica en el P&ID."%%$� Indicar si se han considerado baipases de mantenimiento. Este dato se indica en

��G¡�*��'P��'��'��'��J��+6*��)��$��"%&$� Indicar el tag del baipás de mantenimiento. Este dato se indica en el P&ID."%'$� Indicar si se ha establecido un reset del enclavamiento, una vez que se ha solu-

�'��'#��'��+�$��$��'��'��'P��'��'��de diseño del ESD para el proyecto.

"%($� Indicar la acción que se lleva a cabo, cuando se produce fallo de la SIF, normal-mente la acción es producir el disparo.

"%)$��'��'� )��'#��$'��$��'�'�'��)8��P��+�$��$��&$'��$��'��3�4��$��'�'�'��)�P��$��'��/�por ejemplo:^� Transmisores: si tienen diagnósticos.^� Interruptores: no tienen diagnósticos.

"%*$� Indicar el tiempo de vida de la SIF, es un dato que se establece en las bases de proyecto y oscila entre 20 y 30 años.

"%-$� Indicar si la SIF necesita cumplir algún otro requerimiento, por ejemplo:^� Que las válvulas sean TSO.^� Que las válvulas tengan un tiempo de cierre o de apertura determinado.^� Que se cumplan además otros estándares internacionales, etc.Este dato se obtiene del P&ID, de las bases de proyecto y del conocimiento intrínseco de la unidad y de los estándares aplicables.

"%/$� Indicar el tipo de grupo de sensores, por ejemplo:


^� Transmisores de temperatura.^� Finales de carrera.^� Interruptores de nivel, etc.+�$��$��$&��&��)��$��)��]�Q��G¡�*�

"&;$� Indicar el tag de todos los sensores que actúan como iniciadores de la SIF. Este dato se incluye en el informe de asignación de SIL y en el diagrama Causa-Efecto.

"&#$� Indicar la votación de los elementos iniciadores, por ejemplo:^� 1oo1, 1oo2, 2oo3, 2oo2, etc.Este dato se obtiene del diagrama causa-efecto.

"&%$� Indicar la situación que produce el enclavamiento, por ejemplo:^� Muy bajo caudal.^� Muy alto nivel.^� Muy alta presión, etc.^� Válvula todo-nada cerrada y no abierta.Este dato se obtiene del diagrama causa-efecto.

"&&$� Indicar el tiempo medio de reposición de un instrumento que de fallo. Este dato normalmente se establece en las bases del proyecto y si no se tiene, se considera un turno para la reposición (8 h).

"&'$� Indicar el intervalo de pruebas manuales. Este valor debe de coincidir con las paradas programadas de la unidad, para que las labores de mantenimiento no '�$��P��$��'�'��$��

"&($� Indicar las causas que pueden ocasionar un fallo común, por ejemplo:^� Mismo modelo de transmisor.^� Mismo recorrido de los multicables, etc.

"&)$� Indicar cómo degradan los grupos cuando se produce un fallo de un elemento iniciador y como se degradan los grupos ante el mantenimiento de un elemento iniciador.

+�$��$'��3��$��'P��'��'��'��J��ESD, en los bloques funcionales se detalla en comportamiento de los grupos y su degradación.

"&*$� Indicar otros requerimientos no indicados hasta ahora, como por ejemplo:^� La dirección del fallo de los transmisores.^� Existencia de alarma de discrepancia y por lo tanto de comparación externa.En este caso habrá que estudiar de manera conjunta los posibles fallos de los transmisores, el valor en mA que al ESD le llega, la posibilidad de lectura de este valor en el ESD y la actuación del ESD ante esta lectura de fallo.

"&-$��'��$'��#��/�R�(��M�(�)��$'P��'��6��"&/$� Véase (33)."';$� Véase (34)."'#$� Indicar el fabricante y modelo del ESD. Si lo desconocemos por no ser un equi-

��P�'��$��'��$�6(6/��'��'��'��$��dato.


"'%$��'��$'��#��$��P��/��Q��7^� Válvulas todo-nada.^� Bombas.^� Compresores, etc.+�$��$��$��'#��:��$��)��]�Q��G¡�*�

"'&$��'��$#��$��$��P��6��+�$��$��'��)��el informe de asignación de SIL y en el diagrama causa-efecto.

"''$��'��$�'��3��$��'�$'�$��$��P��/��ejemplo:^� 1oo1, 1oo2, 2oo2, 3oo3, 4oo4, etc.+�$��&$'��$��'��'��3��&��$��P��

"'($�� '�� $�� 3�� )� 3�� $�� P��/� ��ejemplo:^� Válvula cerrada.^� Compresor parado y aislado, etc.

"')$� Véase (33)."'*$� Véase (34)."'-$� Véase (35)."'/$� Incluir los requerimientos adicionales que no se hayan incluido hasta ahora,

como por ejemplo:^� No es técnicamente aceptable incluir baipás manual en las válvulas todo-

nada.^� Incluir baipás panel para prueba de válvulas solenoide, etc.

PARA NO OLVIDAR

� La SRS es una especi�cación de mínimos requerimientos.� La SRS es una especi�cación integral, desde los elementos iniciadores has-

ta los elementos �nales y su comportamiento frente a los fallos.

CONSEJOS PRÁCTICOS

� La SRS debe ser un documento claro, conciso y prác�co, minimizando la información super�ua, se minimizan los errores.

11DISEÑO CONCEPTUAL DEL SIS DE CADA FUNCIÓN


SUMARIO: +��j�� $�&�� %�� <�� ;�� ;��H�|j��j�� !��j��}��%�� !��&��*+*��\��j��%��<�<��;��}�$��$��j��%�&�� Para no olvidar. Consejos prác�cos.

11.1. INTRODUCCIÓN

En este capítulo desarrollaremos, partiendo del SIL asignado para cada Función Ins-$��$��6�#��'��K6��L�)��+��'P��'��6�#��'��K6(6L/��3�'-tectura adecuada.

��$'�� 3�'$��$��'��/��$�� )�� &&'�'��/��3��#�'��)��$�$��'P��'��'�$�#�'��'��'��$��$��#��'��

11.2. DEFINICIÓN Y CONCEPTOS BÁSICOS

+��'��Q��$��'��$��)��'��3��/��$��$&��$��$��3��)��&$��'��/�)�3��más importante�'�$��$��$��'��3��4-rico de las mismas.

��/�3��P�'��'#�'��$��$��7

� Probabilidad de fallo en demanda (PFD) �+�$&��&&'�'��3��6��3�'��'�$��$'��

+�$��$��/��'��P&'�'��K(L�3��$'��'��/��'�/��3��6��$T��&��'�$��$'��)��$�$��'��4O'$��'�$��

N��6��$�$��P&��$��&&��/��3��7

��<��*�*�K(L� �D:G�*

G��$�$��&&'�'��/��G�*��T��'��'��)�$�$��&&'�'��P&'�'��'��'��'�$��de tiempo.

322 SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

� Probabilidad de fallo en demanda media (PFDavg)� �+��'��&&'�'��

(��$��'�$�#��'��$'��&&'�'��en demanda.

� Estado seguro� �(�$��P�'�'��$��D��+��$��#��7

- El estado que consigue un sistema cuando se alcanza la seguridad, es decir, cuando el sistema está libre de un riesgo inaceptable”.

� Intervalo de pruebas (TI) �+�$&��$'��O'��$��&��$'��'��'��6��

��3��'$��'��'��'�$��&��$��'$��$��D@/��$��3��'$��'��#��7�

-��$��'�$��$�3��'��'��#��'��'��$'��7

- No entorpecer la rutina de los operadores.:� G��'�'��$��&��'��3��$��$��:� G��&��$��$��$��

��3�� &�� 3�� $�� $� �� '�� &�'��$�� #��'��+��3�� &��'��'��#��'��/� )�3��'��'��'��$��'��$��'�� $��&��$��-�'��$��$��$��?�)�D@�

� Tiempo de reparación (RT) = Es el tiempo empleado para la reparación de un '��$��$�/�� $��$��3��$��

� Tiempo de vida (LT)� �+�$&��$'��3��'��'��

la SIF. -�� )��'$��'��#��$&��'��$��'��

adecuado, depende de si consideramos las pruebas periódicas completas o si consideramos desgaste de los instrumentos. Como primer criterio, podemos ��'��+:ADHE?:B/��$��>�@�=��3��'��'��3��$��$��$��J��

� MTTF=�R'��'��'��$��$��Kmean time to fail). Nos

'��'��$��$'��4O'$�� MTTR= Tiempo medio para reposición (mean time to restore). Cuando un

'��$��$��/��$'$�)��)��$�$��$��$'��/��6��$��'��'&��

323Diseño conceptual del SIS de cada función

+�$�� $'�� '�'�� '��)�� $'��$��'�� )� ��$'��'��K(RL�

��&��$&��$��P�'�'��$��sistemas re-parables/�3�� $� �� &��'��)�3��$��$��$��$'��3��$��$��

Ó� R��'�'��/��P��'��RR(��+�$&��'��'�'��

MTTR1

��

� �R��/��P��'��RR��+�$&��-rados por unidad de tiempo.

MTTF1

��

� MTBF= ��'��$'��'��$�$��$��Kmean time between failu-resL/��3��'��3��$��$��$��$&��7

�R<�� RR��½��RR(

� MTTFs �R'��'��$��#��+�$&��/��$��$'��'��'�$��$'��6��/�)��$��3��'��'��3�'$��$��3��'�&��

+��$��'#�'��$��$��$��P�'��$��$��#��)��'#��

� Disponibilidad (A): 6��P��&&'�'��4O'$��6'�$��'��$�$��$'��/��$�$��$��K��'��RR�L�)��$��'�'��K��'��RR(L��G��$�$��&&'�'��'��'��

MTTRMTTFMTTFAIDADDISPONIBIL�

�)(

� -�$��$��'7 Los conceptos de DISPONIBILIDAD y FIABILIDAD a ve-ces se confunden, por lo que es conveniente aclarar que, la Fiabilidad de-pende siempre de tasas de fallos y del intervalo de tiempo de operación, sin embargo la Disponibilidad es un valor instantáneo que depende de las tasas de fallos y de reposición.

^� Tolerancia a fallo de hardware (HFT):�*�� +:ADHE?:B/��

$��'��U�V��'#�'P��3��U�½DV��4��'��'��#��'��


��Q��3�'$��$��$'�'��$��'�'�'��7

k�<��""�"� Arquitectura y HFT.

ARQUITECTURA HFT (TOLERANCIA A FALLO DE HARDWARE)

EXPLICACIÓN

1oo1 0 1 solo fallo origina la pérdida de la SIF.

1oo2 1

Al tener dos elementos, si uno falla podemos tener disponible la SIF, si dos elementos entran en fallo, se origina la pérdida de la SIF.

1oo3 2

Al tener tres elementos siendo uno de ellos únicamente el que inicia la SIF, podemos tener incluso dos fallos antes de perder la funcionalidad de la SIF.

2oo3 1

Al tener tres elementos y ser necesarios dos de ellos para iniciar la SIF, podemos aceptar un solo fallo antes de perder la funcionalidad de la SIF.

2oo4 2

Al tener cuatro elementos y ser necesarios dos de ellos para iniciar la SIF, podemos aceptar el fallo de dos antes de perder la funcionalidad de la SIF.

��'��'��$��P��/��3��$��3�'$��$��3��'��$��#��'�$'�$��$&��#��#��7

+��$�'��'�$��-/��$&��3��7

%�R� �-�:��

""��$�*�$��H��*��kH*H*�$��H��

�� &�� )�3��$��'��$��$��3��$�� 6��)��+��$��A��'�� $��'��/��$��'��$��+��'��'��/��3��'&��3��$&��/��Q��/��'�$��$��'��3��'��$'�'��$��'��'#��$'��/��&'��'��$'�'��$��'��$��$��'#��$'��$��$'��'��$��$�'��/�� $��?�U+��$��6'�$��$��$��6�#��'��V�

+��'��$�$��'��3�4�$'��'��$��$��'��$��)��'��$��3�� )�3��'��$��'�'��$��$4��'��'��$��-tación de campo.


*�P�'�� $'��'��#��'��)��'��7

� Fallo seguro �+��3��/��'�$��$��#��$��$��$��'��fallos seguros detectados y cuando la detección no es posible se denominan fallos seguros no detectados. ��#��'��'��'�$��$'��K��-�'��L��'��$��'��

� Fallo peligroso �+��3��3��'�$��)��+�$��6�#��'#��3��#��/��'��$��$��-�'��fallos peligrosos detectados y si la detección no es posible, pasan a denominarse fallos peligrosos no detectados.

��$'$$'��$��$&��$��/��$��8 ��7

�� 7�R��$�$�� D7�R��'#�� S7�R��#�� DU7�R��'#��$��$�� DD7�R��'#��$��$�� SU7�R��#��$��$�� SD7�R��#��$��$��

[� �� '�� $�� P�'�'��/� ��$&�� '�� $��$'��'��$��)��$��7

MTTF1

��

� Fracción de fallo seguro (SFF) ��$�$�� +��'��$��$��#��½��'#��$��$��$��

totales.

+�$��'��$&��'��'$��'��P�'��3�'$��$��implementar para la SIF.

+O'�$��$��$��'��$��$��'��'��$��-tados y no detectados, es el porcentaje de fallos seguros:

DS

SSeguros��

��

�%


S��#��P��$��$��$��)��'��7

Tasa de fallos �

� Cobertura de diagnóstico �M��P��'��$�$��3��$��$��'#��$'��)��'��$�$��seguros (CSL��'#��KDL7

� Cobertura de pruebas manuales(CPT):�+�$&��$'�'��&��'��'��)��$�$��$Q��3��$��$��en estas pruebas periódicas.

11.4. ARQUITECTURA Y LÓGICA DE VOTACIÓN

R�$��+�ADHE?��+�ADHDD��$&��'��$��'�� 9��K%�RL/��3��'��'��'/��$'��$'��'��$��-$��3��$��'��$��'��/��P�'��'��3�'$��$��/� $�$�� $�� '�'�'��/� �� #'��/� �� $��P��


��'��O'��'��'��$'�'��+:ADHDD/��3��-��'��3�'$��$��#��&��$'��'��

*��+:ADHDD:D/�$��7

En el caso de procesadores lógicos:

k�<��""��HFT para procesadores lógicos.

SILHFT (Tolerancia a fallo de hardware)

SFF <60% SFF 60 % to 90% SFF >90%1 1 0 02 2 1 03 3 2 14 APLICA LA IEC-61508

Para elementos sensores y elementos �nales:

k�<��""��HFT para sensores y elementos �nales.

SILHFT (Tolerancia a fallo de hardware)

1 02 13 24 APLICA LA IEC-61508

+��+:ADHE?��'�$��$��$��$'��)��$��$'��<��S��P�'��'��$��'P��'��7

Elemento tipo A� �� 3�� $�� '��/� ��)�� $�� &'��'��$'P��6��#��$��#��/��'�$��$��)��K�'��partial stroke test). El procedimiento de pruebas partial stroke test (o prueba de carrera parcial) se �O��'��$��?�

Elemento tipo B��$�7�R��'��/�G�/��partial stroke test, etc.

Normalmente, los elementos tipo A��$'��'#��$'��/��3��son no detectados.

[� ��+:ADHE?:B7


Arquitectura de elementos tipo A

k�<��""�[� SFF y HFT para elementos �po A.

SFF (Fracción de fallos seguros)

HFT (Tolerancia a fallo de hardware)0 1 2

< 60% SIL1 SIL2 SIL360% - < 90% SIL2 SIL3 SIL490% - < 99% SIL3 SIL4 SIL4> 99% SIL3 SIL4 SIL4

Arquitectura de elementos tipo B

k�<��""�'� SFF y HFT para elementos �po B.

SFF (Fracción de fallos seguros)

HFT (Tolerancia a fallo de hardware)0 1 2

< 60% No permi�da SIL1 SIL260% - < 90% SIL1 SIL2 SIL390% - < 99% SIL2 SIL3 SIL4> 99% SIL3 SIL4 SIL4

G��$&��$��'��/��'��Q��7�3��$��'#�'��$��6��)��'P��/��$'��$��7

^� ��'�'�� GR�K+��$��$'��<��3��$��'��'�$��'#��$�L�^� G��#'�� G��K+��$��$'��<��3��#'��L�^� +��$��'�� S��$'��$��:��K��$��$'��3��

��'��3��$��#�partial stroke test).^� ��'��$��Q��3��$��'��6��B�6�� B�

+�3��$'��$�/�$��'�'�'��$�7


G��6��B�)��$&��$��$'��</��'��-��Ô=Eµ�K�� &'$��$��$'P��L/��'$��%�R��D�

+�$��'#�'P��$�'��D��B��B��X��G��[��$��'��%�R��'�'�'��/�$�&'4��#'��$��

�'��3�'$��$��G��$�$��'$��G��$��)��$��'��

��$�'��D��B�+��$��$��P��/��6��B�)��'��'��/��

��3�'��%�R/� ��3�� '#�'P��3�� $&��/��3�'$��$��D��D��$��P��

��/�$��'��$��$�'��'��3�'$��$��/��3��'�'�'�/��7

��'��3��$�'��'��%�R��$��'��/��$�/��'�$��$'��K��#��L�3��$��'�-puestos a asumir.

(��3�'$��$�� &'$��$��'��$��$��'��7k�<��""�_� Arquitecturas y HFT simpli�cada.

TOLERANCIA (HFT) ARQUITECTURAS POSIBLES0 1oo11 1oo2 ó 2oo32 1oo3 ó 2oo4

""�'��H��*�$��/H�*H�/��

6'��&'��$�'��'��3�'$��$��$��3��'��3��$-�'��'�$'�$��D��D/� )�3��'��3��6��'��&'��T�/��$��/��$'�'��7

^� �'��$��^� �'��$��#��


^� �'��P#��'��$��'��^� �'��$'�&��^� �'��'��&��^� �'��$��^� �'��$�Q�$��$��8��'��+6*�^� Etc.

*��$�/� )��#��3��'�'�'��'��'�'�/��Q��/��&��'$��'��'�#��'��3��$��$�'��'�$'�$��D��D7

^� -��$��$'�&��)��$�$��$��Q��O'��^� -��$��$�Q�$��$��8��'��+6*�

+��$��$'�'��$��#��'�$'�$��&�'��$�8��'�$'�$��$��$�'��'�$'�$��D��D/��$'��O$��'��)�3��'��$��&��/��'��#��'��'��$��'-�'��$��3�'��)��$��4��

��$'$$'��$��G�*��'�$��&��)��$��T��$'P��$��Å/�3��$��T��)� )�3��$��$��'��)��3�'$��$��D��D�)��-$��'#��Å��$��3��$��'��O'��$'�'��'�$�3��#��+:ADHE?:A��3��'��$��E�B�)�E�EH/��-�'��3��'��3��T��$��'�$��)�3��$��T��'�$��

""�_��}:�/�$+�+��k��}H:H��H��:+�+/H/+ ��$+*�¡��$��*+*

%�$� �� $��'��7

a) El SIL de la SIF.&L� ��3�'$��$��$��'�'�'��/�KG��#'��L�)��$��

P��$��'��$��%�R�

(��$��alta demanda, baja demanda y demanda continua7

��$��/��k+��] Cuando la función de seguridad es parte del modo normal de operación.

��$��H�kH�$��H�$H]Cuando la función de seguridad se lleva a cabo solo bajo de-manda para llevar al sistema a estado seguro y la frecuencia de esta demanda es mayor de una vez al año.

��$��¢H£H�$��H�$H]Cuando la función de seguridad se lleva a cabo solo bajo de-manda para llevar al sistema a estado seguro y la frecuencia de esta demanda es menor de una vez al año.


-��'$�� $��'�� '� ��6��3�� $&��'��6��3��'��/��$��probabilidad de fallo en demanda media KG�*�#L/��$��3��$��3��$&��'��'�$�-#�'��6'�$��3��baja demanda/�3�� &'$��'��$�'��

k�<��""�-��Índice SIL para sistemas en modo de baja demanda.

SIL ¤�}�$�!��> < RRF <1 0.1-0.01 10-100

2 0.01-0.001 100-1000

3 0.001-0.0001 1000-10000

4 0.0001-0.00001 10000-100000

+��$'��$��/��'$��'��'P-cación del SIL lo establece la probabilidad de fallo por hora�KG�%L/��$��7

k�<��""�W��Índice SIL para sistemas en modo de alta demanda o demanda con�nua.

SIL }��;��%��

1 > 10–6 to < 10–5

2 > 10–7 to < 10–6

3 > 10–8 to < 10–7

4 > 10–9 to < 10–8

G��$�$��'P��'��/��$&��'��3�'$��$��6��/��&��$��&&'�'��/�3��T��6��estar disponible y por lo tanto el sistema desprotegido.

G��$��$��'��'��O'�$��'��4$��/�3��3��$'��'��/��'��O$��'��&��

""�-��¦k�$�*�$��/��/��$��H�}:�¢H¢+�+$H$�$��H��$��H�$H��}�$�

��$��$��'��$��'�$'�$��3�'$��$��6��/��$��'��$��$'��$��)��#��&&'�'��KG�*L�)��&&'�'��'�KG�*�#L/�


�� '�� '��'P�� )� $��'�� $� �� $'�'�� &��periódicas parciales.

L� 6��P��&&'�'��KG�L��

[��O'��'��7

M��$'�'��'��3��3��&$��#��ÔE�D/�3��normalmente es nuestro caso.

�� &��&&'�'��KG�*L/��#��-&&'�'��KG�L/��$��3��'��peligrosa,��3��#��'��$��'��'��$��)��$�$��generan una no disponibilidad de la SIF.

*��$��7�tDePFD �� 1

[��'��O'��'��$��'��7

tPFD D ��

EJEMPLO 1: Un transmisor de temperatura �ene una tasa de fallos �=0.01 fallos por año ¿Cuál es su �abilidad en un periodo de �empo de dos años?:Planteamiento y solución:Calculamos la PFD:

tDePFD �� 1PFD= 1-e 0.01x2x8760 = 1-0.9802=0.0198Teniendo en cuenta que la �abilidad R=1-PFD. Resulta::§#�¨W#�Si u�lizamos la fórmula simpli�cada para el cálculo de la probabilidad de fallo en demanda:

tPFD D �� Sus�tuyendo los valores:PFD= 0.01x2= 0.02� la �abilidad resulta:R= 1-0.02= #�¨WResultando valores muy parecidos.


EJEMPLO 2: Un transmisor de temperatura �ene una tasa de fallos �=0.01 fallos por año, detectándose todos los fallos inmediatamente. El �empo de reparación es de ocho horas ¿Cuál es su disponibilidad?:Planteamiento y solución:Recordemos que la disponibilidad es

MTTRMTTFMTTFAIDADDISPONIBIL�

�)(

Los datos que tenemos son:MTTR= 8 horasMTTF= 1/ 0.01 = 100 años =100x8760 = 876000 horasSus�tuyendo:

9999908.08876000

876000)( ��

�AIDADDISPONIBIL

[��'��3��$��$��/��$��)��'��$'��(R�KR'��(��'��L/�)�3��'#��$��$��&��6��/��'�/��$��$��$��&��-��KR�L/�3��7�

&L� 6��P��&&'�'��'�KG��#L��'�$�#��$'��-��G�/��3��7

[��&&'�'��'��7

[��(R�K��$�� L��'&��$��R��K��$��J��L/�3��T�$'��'��'P��'��7

M��'��'��'P��6��3�'$��$��D��D/��&��'��'��$��)��'��$��$��$'��'��'��#�$��+��$�$��T$'��O'��'��'�#�� '��$��-


�'P��'��6��$��3��&$'��$��O'��'��)��$'�'�$��

S��Q��PQ��$�� $� ��7

EJEMPLO 3: Supongamos que tenemos un transmisor de presión como elemento iniciador de una SIF y con los siguientes datos:

�kk� '##��Porcentaje de fallos seguros (%Seguros) 80%Cobertura de diagnós�cos (CD ) 60%Tiempo de reparación (RT) 8 hIntervalo de pruebas (TI) 1 año

Determinar la probabilidad media de fallo en demanda del transmisor de pre-sión.

Planteamiento y solución:Teniendo en cuenta la fórmula que hemos desarrollado:

Por lo que necesitamos daterminar las tasas de fallo. Estudiemos los datos de par�da:

a) MTTF es 500 años, como sabemos que la tasa de fallo es el inverso, resul-ta:

Es habitual dar todos los resultados en horas y se considerará 1 año = 8760 horas.

b) Ahora deberíamos determinar cuál es la fracción de fallos seguros y cuál la peligrosa. En el enunciado nos dicen que el porcentaje de fallos seguros es del 80%, por lo que si tenemos en cuanta la fórmula:

DS

SSeguros��

��

�%

� sus�tuimos los valores que tenemos:


Resulta:

Y ahora determinamos el valor de D�

DS �� por lo que : SD �� y sus�tuyendo:

c) Ahora que ya conocemos las tasas de fallos, debemos determinar cáales son fallos detectados y cuales no detectados. En el enunciado nos indica que la CD es del 60%, esto signi�ca que el 60% de los fallos que se producen, ya sean seguros o peligrosos, voy a ser capaz de detectarlos, de esta forma:

Y restando del total, obtenemos la

d) Y ahora que tenemos todos los datos podemos sus�tuir:

Por lo que resulta que la Probabilidad de Fallo en Demanda del Transmisor de Presión objeto del ejercicio es:

8,0219e-05�PFDavg

6'�$��$�3��&��'��'��$�/��&$��'#�'��$��'��7

+��3�� '��3��$�'��'#��$��$��es despreciable.

��#��'��P��)��&��'#��'��'��'P��S�� Q��'��)��&��$��&��

��$�'��3��$'��G�*�#�


EJEMPLO 4: Considerando el mismo transmisor de presión del �£��}��"�:

�kk� '##��Porcentaje de fallos seguros (%seguros) 80%Cobertura de diagnós�cos (cd ) 60%Tiempo de reparación (rt) 8 hIntervalo de pruebas (�) 1 año

Con los siguientes datos adicionales:

Tiempo de vida de la SIF (LT) 20 años

Cobertura de las pruebas manuales ( ) 90%

Determinemos la PFDavg.

Planteamiento y solución:Consideramos ahora la fórmula

En la que se considera despreciable la aportación de los fallos detectados pe-ligrosos. De esta forma:

Resultando que la Probabilidad de Fallo media en demanda es:

Algo menor que el resultado que habíamos obtenido considerando pruebas manuales completas.

Esto signi�ca que las simpli�caciones nos hacen los cálculos más sencillos pero menos precisos.

� ��&�� &��#'��#��$7��$��P&'�'��'��7

+��$��A/��$��'��+*�/��$��$��'��/��&$'��P&'�'��/��$��+*�/��'��$��-$��&��/��&$��$'P��6��/��3��$�-&'4��'��)��$��P&'�'��/��O'��$'��$��&��)��'�'��&'��$��3��$&��


+��3�'�� $��'��$��'��'��&��$�/��'�$��&��KR�L��3��'�-]�)��G�*/�)�3��'��$��$��'��/��$��'�$��&�/��$��G�*�

��$'�� $��'��&-&'�'��$��'��$��$'�'��

""�-�"��:¢��*�$��H��*

+��$��$��/��$��'��'��&&'�'��$�W(�)��$��-*/��4��'��3�'$��$��6�� &'$��)��&$��&&'�'��4O'$��6��%��$��'��$��'�-��'��'��/��'��#��

��&��3��$'�'��7

L� "�&��$��-*


G��3��4��$��P��K6L/��$'��3��$��'�'�'��K��)�<L/��3��&&'�'��'�K3��L��$��P��$��&&'�'��'�K��3��L��$��'�'�'��/��3��7

&L� "�&��$�W(�

+��$��$��P��K6L��4��3�'��$��'�'�'��K��<L/��3��&&'�'��'�K3��L��$��P��$&��7

)( BABAS PPPPP ��

+�$��'��'��3��$��'�'�'��$��$��O��)��-$��/��'�/�3��/��<�)��)�<��'��$��-$�/��3��$��'��

� ��&'��/��&��/��'��&&'�'��6��/�$�&'4�� '��'P��'��

[�3��&&'�'��3��$��$'�'��)�&Q��/��-��'��3��7

^� G��$�W(��&&'�'��'��$��suma de probabilidades de los iniciadores )�3��$��&&'�'��'�� 3��J��3��&&'�'��ocurrencia de cada uno independientemente

^� G��$�AND, resulta el producto de las probabilidades de los inicia-dores.

G�� &��3�'$��$�� &'$��'��'��'#�'��$��'��$�$�7


+��&��'��&&'�'�� )�3�� $�� $�3��Q��'��)�� &�� -��$��$�� )�3��$'�'��&��$��)��&$��'��&&'�'��/� ��'�$�#��&$��'�/�)�3��'�$�#��producto no es el producto de de integrales.

""�-�"�"��H�|j��j�� 1oo1

+��$��$'��3�'$��$��'�$��/��'#��)��$��'#��$��$��-$��$��'#��+��3��&��7

��&&'�'��3��'#��)��$��$��7

��&&'�'��3��'#��)��$��$��7

G��3��$�W(/��$��&&'�'��7

[��'�'�$�#��7

��3��P��3��&$'��7


6'��3��3��$��'��&&'�'��3��-�'��K��#��L/� &��3��$��$�3��'�$��#��&'��#��$��$��#��$��$��/��3�� )�3��&��$��&$��$��#��'��7

[��'�$��$�3��$'��'��$��'��'��$��/��$7

STRMTTFs 1

�

M��'��$��$'��'��-��'��$��

EJEMPLO 5: Considerando el mismo transmisor de presión del Ejemplo 1 deter-minar la tasa de fallos espurios y el �empo medio entre los mismos.

Planteamiento y solución:Recordemos los resultados que habíamos obtenido el valor de �s:

Por lo que la Tasa de fallos espurios total (detectados y no detectados) es:

Y el �empo medio entre fallos espurios

Esto signi�ca que para un el instrumento del ejemplo se espera un fallo seguro cada 625 años.

�� &��'��'��$��#��'��-cepto de tasa de fallos espurios en lugar de probabilidad de fallo seguro, por eso es ��'��$��$'��$�$��3�� $��

+��$��&&'�'��#��'#��$'��'��$'��'��:��3��3��'$��4��3�� '��'��

*��$��7


EJEMPLO 6: Y considerando un �empo de re-arranque de 24 horas determinar la probabilidad de fallos espurios.

Planteamiento y solución:Sus�tuyendo los valores en la fórmula que acabamos de desarrollar:

Que es un valor de probabilidad pero que no nos da idea del �empo entre fallos espurios por eso no se suele u�lizar.

""�-�"��H�|j��j��"��

+��$��$'��3�'$��$��6��'�$��/��'#��-$��'�'�'��+��3��&��$��7

[��$��$'��7


�[��$'P��$��G��$��3��'��'��T��Å��*��3��7

[��'��7�

G��3��'��$'��'��&&'�'��$��'��'��-$��/��&$��$��-*/��&$��7

[� �'� �� $��'�� $� �� /� �� $�W(7

[��'�'�$�#��$��$'��/��&$��&&'�'��'7

[��'��&��$��'�'�'��'#��/��$��7


[��'� ��$��$��'��'P��'��3��RT<<<<TI , entonces re-��$7

EJEMPLO 7: Determinar la PFDavg de un sistema formado por dos transmisores de presión idén�cos a los del Ejemplo 1 en votación 1oo2.

El valor de que habíamos obtenido era:

Y el intervalo de pruebas manuales era de dos años.Y si consideramos la fórmula simpli�cada para la votación 1oo2 con elementos idén�cos:

Mucho menor que el valor que habíamos obtenido en el caso de un esquema con votación 1oo1, ¿qué signi�ca? Que aumentando la tolerancia a fallo de los elementos, la probabilidad de que falle el sistema es menor.

[� �� $�� '�� &$'�� $��'�� $� �O��'��$�� #��&��'��N��'�$��$�'��D��B��#��3�'��$��#��/��$�$�7


*��7^� ��O��'��&'��$��^� <��'��&'��$��<�)�^� ��<�

SDCSUCSDBSUBSDASUASTR ��

[��'��'��&��$��'#��)�3�� )��T�/��$7

EJEMPLO 8: Determinar la tasa de fallos espurios y el �empo medio entre fallos espurios de un sistema formado por dos transmisores de presión idén�cos a los del Ejemplo 1 en votación 1oo2.

La tasa de fallos seguros que habíamos obtenido era:

Planteamiento y solución:El valor de la tasa de fallos seguros que habíamos obtenido para un solo transmi-sor, es decir un solo elemento en votación 1oo1, es:

Teniendo en cuenta la fórmula para la votación que estamos considerando, 1oo2, es:

Y conociendo la STR, directamente pasamos a calcular el valor el �empo entre fallos espurios:

Si lo comparamos con el valor obtenido en el caso del esquema en votación 1oo1, es exactamente la mitad.

�M�4��'#�'P��$��$��3�� &$��'��7��'��'��3�� $� �� /��'��3��7

^� ��$�� $��'��K��D��D��D��BL��'��'��)��&-&'�'��KG�*L/��3��$��'��


�'��#��K((�L�)��$�$��6��3��)��/��$��$��$�&'4��&&'�'��'��'��

""�-�"��H�|j��j��

+��$��$'��3�'$��$��6��'�$��/��'#��$��'�'�'��+��3��&��$��7

Nota: +��3��'#��3�'$��$��B��B��'�4�$'��'��3�'$��$��$�'��D��B�

*��3��&&'�'��7

+�'�$�#��&$��&&'�'��'7

[��'��'P��'�� &'$��)��&��$��'#��7



Planteamiento y solución:El valor de que habíamos obtenido para el caso de un solo transmisor en votación 1oo1 era:

El intervalo de pruebas manuales que hemos considerado es de dos años.Y si u�lizamos la fórmula simpli�cada para la votación 2oo2 con elementos idén-�cos:

Con este esquema de votación no disminuimos la PFDavg con respecto a la vota-ción 1oo1 y mucho menos si lo comparamos con la votación 1oo2. Esta arquitec-tura (2oo2) arroja valores de PFDavg menores que para votación 1oo1 y 1oo2 por lo que el SIL que se alcanza también es menor.

��'��$��'��&��'�4�$'��$��'-��'�� '#��3�'$��$��$�'��D��B��G��$��'#��/��&$'��7


Planteamiento y solución:La tasa de fallos seguros que habíamos obtenido era:

Teniendo en cuenta la fórmula para esta votación:

Y el �empo entre fallos espurios:


Con este esquema de votación hemos aumentado considerablemente el �empo medio entre fallos espurios, ya que para que se produzca un fallo seguro, ambos transmisores �enen que fallar seguro.

Por lo que la arquitectura 2oo2 (con respecto a la arquitectura 1oo1 y 1oo2) resulta ser la que mayor PFDavg alcanza, es decir la de menor Fiabilidad y la que menor tasa de disparos espurios arroja.

��'��3�'$��$��'��$��'��$�$��'��'��)��3�'�'&�'��$��G�*�#�)��RR��

""�-�"�[��H�|j��j��

+��$��$'��3�'$��$��'�$��'#�'��$��3��&��7

+��$��$'��7

CBACBCB

CACABABA

PFDPFDPFDPFDPFDPFDPFDPFDPFDPFDPFD

,,,

,,

)(

)()(

��

��


6'#�'��'��'�'��$��$�'��$��'��&$'��$��'#��7


Planteamiento y solución:El valor de que habíamos obtenido era:

Y el intervalo de pruebas manuales considerado es de dos años.Si consideramos la fórmula simpli�cada para la votación 2oo3 con elementos idén�cos:

+��&��'��'�4�$'��'#��)��$��$'��$��&$'��'��$��'��7


La tasa de fallos seguros que habíamos obtenido era:

Teniendo en cuenta la fórmula para esta votación:

Y el �empo entre fallos espurios:


Vamos a comparar los valores que hemos obtenido de PFDavg y de MTTFS en todos los ejemplos anteriores, así tendremos una idea global de los resultados:

PFDavg MTTFs (años)1oo1 8,0219e-05 6251oo2 3,41339e-08 312,52oo2 3,2e-04 981232oo3 1,024e-07 10937

Así:

� La menor de las PFDavg se ob�ene con la votación 1oo2, por lo que es la de mayor �abilidad y con la que mayor SIL se ob�ene.

� El mayor de los �empos entre fallos espurios lo da el esquema de vota-ción 2oo2, por lo que es la solución que menos disparos en falso produce ,aunque es la menos segura porque es la que mayor PFDavg arroja.

� La solución más equilibrada la da la arquitectura 2oo3.

-��'�$�3��$�� &$��'��$'�'��&��$��$��'��T�'��&Q�$��$��G�*�#�)��RR��/��#��'��3�'$��$��P&��)��3��Q��'��#��G��&��'��'�$��$��&$��'��

R��#��$��/�3��$��Q��'��$��6��$��$��$��D>�3��Capítulo Ejemplo.

""�-�� k¦/�+/H�:¢$

�� $4��'��(<*�� $4��'��Reability block diagram, no tiene traducción en ��J��/��3�� &��'��'#��&��3��/�3��$��'��3��$��'��O$��'��

6��&��3��$'��$��4O'$��$��/��$'�'��'#��&��3��3��$��$��-*�)��$��W(/��#��&��$��3��&$'��&&'�'��4O'$��#��&&'�'��

��'��'��$��4O'$��)��/��'��$��/��)�3��'P��6��6��'��&&'�'��/��P��$'�'��&��#��(<*�

Nota= Cuando un sistema falla signi�ca que no ha tenido éxito, por lo tanto R = 1-PFD.


*��$��$��/��(<*��3�'$��$�� &'$�-��)��4O'$��&&'�'��)�3�� 3��$��DD�>�D�"�&��

�$� <�>� ��#��#

+��'�$��$��4O'$��$��3��$��#��4O'$��*��$��7

EJEMPLO 13: Considerando un transmisor con una PFD de 1,2 e-03, determinar la �abilidad del sistema con arquitectura 1oo1.

La �abilidad de un elemento es la diferencia a la unidad de la PFD, de forma que:

Y por lo tanto, teniendo en cuenta que el sistema está formado por un solo ele-mento, resulta que:

0,94026�sistemaR

�$� <�>� ��#��%

+��$��'�$��$��4O'$��$��$��#�4O'$��)��$��'��$��$��

+�$��3�'$��$��/��$�$�/�$'��$��'��D��*��$��7


)( BABAsistema RRRRR ��

EJEMPLO 14: Considerando un transmisor con una PFD de 1,2 e-03, determinar la �abilidad del sistema con arquitectura 1oo2. Ambos elementos son idén�cos.

Calculamos entonces la �abilidad de cada elemento

RA = 1 – PFD = 1 – 1,2e-03 = 0,94026Y como ambos elementos son iguales:

0,94026�BR

Si ahora sus�tuimos en la fórmula para la votación 1oo2, resulta:

)( BABAsistema RRRRR ��

)0,940260,94026(0,940260,94026 ��sistemaR

99643,0�sistemaR

Hemos aumentado la �abilidad aumentando la tolerancia a fallo.

�$� <�>� ��%��%

+��$�� $'��3�'$��$��/�� '�$�� $��4O'$�� $��'��$��$��$��#��4O'$��)��'��+�$��3�'$��$��$'��$��'��E��

*��$��7

BAsistema RRR ��


EJEMPLO 15: Considerando un transmisor con una PFD de 1,2 e-03, determinar la �abilidad del sistema con arquitectura 2oo2. Ambos elementos son idén�cos.

Calculamos entonces la �abilidad de cada elemento

Y como ambos elementos son iguales:

0,94026�BRSi ahora sus�tuimos en la fórmula para la votación 1002, resulta:

BAsistema RRR ��

0,940260,94026��sistemaR

0,88408�sistemaRResultando una �abilidad menor que la de la arquitectura 1oo1, teniendo ambas la misma tolerancia a fallo de hardware (HFT).

�$� <�>� ��%��&

+��3�'$��$��B��X/��6��$��4O'$��$��-��$��'��$��$��$��#��4O'$��)��$��$��+��'�/��$��3�'$��$��$'��$��'��D��

*��$��7


))(())(())(( CBCBCACABABAsistema RRRRRRRRRRRRR ��

""�-��$��*�$��H:©��

��/��&��#��P��)��$��'��$��$��-tico de los estados.

+�$��'#��$��4O'$�/��)��$��'�'��$��&��$��N��&$��'��3��/��$�$��$�'��-

��'��$��3��$'��'��$��6��$'�'��&��$��$'��7

[��$��7

^� R��^� R��'��8��'�'��

N��'�$��$��W\��$��4�� )��$��$��W\��$��4�� G��$�$�/��'��$�$��P�'��&'��$��los elementos y cómo se interrelacionan.

+�$��'�� $��'��3�'$��$��D��D7N��'�$��$��$�'��$��$��$��7

D�� +�$��W\�KW\L�B�� +�$��#��K��'�$'�#��$��$��$��)��$��$��-

3��&��'�$��$��#��L��K��6L�X�� +�$��'#��$��$��K*NL�@�� +�$��'#��$��$��K**L�

[��$�'��7


[��$�'�'�7

�Cómo se obtiene esta matriz?

S��$��Q��3�'$��$��D��D/��#��'��3�'$��$��Q�/��P��)��&��'��P�'��&'��3��/��4��$�$��'��$�'�'��Q��

D�� $�'��$'��$�$��$��/��$��$��$��$��/��3��$��$��

B�� +��'��/��3��$��@O@�X�� +��P��$��$��)��/��

��$��S��$��7

�� KD/DL�+�$��W\��$�)��$��$��/��$��#��/��)��$��$'��$��(��$��'��/�)��-#��'#��/��'��$��$��'��/��$�)��4O'$��$�)��/��7�

&�� KD/BL��#��$��B��$��D�/��'4��#��/��$�$�/��$�$��'�'��3��$��#��3��'��/��nuestro caso .


�� KD/XL��#��$��X��$��D�/��'4��'#��$��$��/��3��/�� .

�� KD/@L��#��$��@��$��D�/��'4��-��'#��$��$��/��3��'#�� .

[�$��$��'��P�/�)��$��'��P��'�� $��'��'��$��D��S��$��&$��#��P��-��$��3�� #��$��'�'��'��P�7

�� KB/DL�� #��$��D��$��B�/��'��'��3��/��$� .

�� KB/XL��#��$��B��$��X�/�� )�$��'�'��$��$��$��/��3��E�

#�� KB/@L�� #�� $�� @� �� $�� B�/� �� $�� )��'/��3��E�

�� KB/BL��'#��$��B�/� '�$��'��$�� Q4��P��/��$�)��$��B��$��D/��'�� .

� 6'#�'��'��/��#��$��$�'��

@�� N��$��$'��$�'��3��P��D��-��&��'&��P�'�'��

[��3��$��$�'�7��3�4��&$��/��$��'��$�'�'��/��'��/��#��&$��RR��

""�W��$+Hª� *k+/�*

%�$�3��$��$��$'�� '��3��'#��-$'��$&��/��'�/�3�� '��$��'��'#��'�$��&�¨�� '��/��$�$�/�3��$��-��$��'��$��$��'#��)��'��'��$�/��'�/��$��'#��$'��/��$��$��#��)��'��'#��/��$��$��)��P&'�'��6��/��$��$��$��'��'��/��'��$��3��#��'��'��$��&��'P��G�*�#�)��6R(��'��$��3�'$��$��$'�'��'��'P��7

Nota:�(��3��6R(��$��#��)��G�*��&&'�'��.


H�|j��j��"��"$]

��&��'��'��/��$��3�� )��$��'#��$'��/��$��$��'#�� )�3��'��&&'�'��)�3��'��'��'��/��3��7

[��$��'��'��'��$��$��$��'#��7

H�|j��j��"��$]

��'��3��$��$��'�$'�$��)��'��'�/��'#��$��$��'�$��'��&&'�'��*��$��7

+�'#��3��$��'��/��$��$��'#��'�$��'��$��'��7

DDCDDBDDASDCSUCSDBSUBSDASUASTR ��

H�|j��j��$]

��'��'��'��$��'��7

[��$��'��7


*��#��)��'#��$��$��-#��$��$��$��)��T��&��$��7

DDCDDBDDASDCSUCSDBSUBSDASUA ��

""�¨�� :��H*�*+�}�+�+/H$H*

+��$��$��#��'��'P��$��$��)�3��)�T$'�� $��#�'$�� &&'�'��)��$'��'��$��'��3��&��$'�'��'P��'��/�)�3��&$'��#��'��$'�'�$�/��3��$&��'�$�-#�'��3��

G��&&'�'��'��$��'#�-��)��$��'�$'�$��7

H�|j��j�� }�$�!��}�$�!��

��%��j��

1oo1 NO APLICA

1oo2

2oo2

2oo3

[��'#�'��$��#��$��3��$'��$��$��T�/��'��'P��$�&'4�7

H�|j��j�� }�$�!��«��«��%��|j��j��

1oo1 NO APLICA


H�|j��j�� }�$�!��«��«��%��|j��j��

1oo2

2oo2

2oo3

[��$��'��7

H�|j��j�� k��;��%j��j��*k:�

1oo1

1oo2

2oo2

2oo3

PARA NO OLVIDAR

� El cálculo del SIL �ene dos componentes fundamentales: PFDavg y restric-ciones de arquitectura.

� Se produce el fallo de una SIF y por lo tanto una situación peligrosa cuan-do se dan fallos peligrosos.

� Un fallo seguro dará lugar a un disparo en falso y por lo tanto es una situa-ción segura aunque no deseable.


/��*�£�*�}:�/k+/�*

� Lo más importante es manejar con soltura los conceptos y sus relaciones, para ello las fórmulas simpli�cadas cumplen esta misión.

� Los cálculos matemá�cos exactos se deben realizar mediante un so�ware especializado.

12DISEÑO DE DETALLE DEL SIS


SUMARIO: +��j�� /�� ~�� /�� ]�%��j��j��Para no olvidar. Consejos prác�cos.

12.1. INTRODUCCIÓN

S��$��$��$��'��J��3��$��3��'��P�'�� 9��'�$��'��$��$��#��'��6'�&'��/��)��'�$��'��'��$��$��&&'�'��)��$�$��6��/��3��$��Q��$��'�$��'��$��$��/��'��$�$��&��$�&'4��$��$��

��)��$��3��/��&��'��'��6(6��'��C��$��DE�� '��$�� $��3�4� �'#�'P�� $'�� $��)��'��$��3��#'��

6��$��B��+:ADHE?�)��D��+:ADHDD��3��$&��$�� 3��'�'��$�� 9�� $��$/� �'�&'�� $��D��$&�� $��#��P�'�'��6�6�

12.2. CONSIDERACIONES GENERALES DE HARDWARE

G��$��3��&Q�$'��'��J��)��6�6/��'��'$��'��'�� 9��/��'��'�$�3��$�$��'��J��'�$��3��$��'#�'��$��&Q�$'��7

^� Sea manejable por el operador.^� 6��'��mantener.^� Facilite las pruebas manuales.

*��$��/��$��7

Sistemas normalmente energizados o normalmente desenergizados

^� ��)��'��$��/��'P��normalmente energizados��'�'��'��/�)�3��$��'��


��#��$��/��'�$��'��/��'�/��'�$��#��G��$��'$��'��/�)�3�� '��desde siempre.

^� �G�� $�� '�$��&�� $�� #'��/� � ��$��-#��$/��$��-W/��'�$��3��$��'��

^� %)� �� '�$�� $��'�� 3�� 'P�� $�� #'��/��3��$'��'��'��'��&��3��$'-��'��3��'��%&��'�$��fuego y gas y de los sistemas de despresurización. En estos casos y para no mermar la seguridad, ��'P��'�$��'$��'��'��3��'#'��$'��'�$��&'��'�$��/��'�/��'��$��'��$��3��

Minimización de fallos de causa común

^� ��T��3��3��$��'��'��/��'��$��6��

^� Es importante tener en cuenta la función instrumentada de seguridad (SIF) como un conjunto de elementos y las interacciones entre ellos, de esta mane-��'�'�'��T��$'P3�4��

^� %&�� '&�� T�� '��$�� $�/�$�$��'��'�'�'��#'��$��P��/��'�/��'��3��$��$��$��#��$�'��'�$'�$��D��D�$��-��'&��T��

Identi�quemos��:

L� ��'�'��)��$��P��7:� �'��&�'��$��)��:� �'��Q��O'��)��'��$'�&��:� �'��'��&�� $��&'��6�6�:� �'��$�Q�$��6�6�

&L� ��#'�7:� ��'��G��#��'��/��$�'��-

$��'�$��'�$��/��'��G��#��'��&��$�'��$��

Minimicemos los ��7

L� ��'�'��)��$��P��7- Mismo fabricante y modelo:��'��'��3�� )��-

�T��3��$��$'�'��'��&�'��$��)��/�)��$��$��/��'�4�$'��$�&'4��

363Diseño de detalle del SIS

�'��/��'��$'�'��'�$'�$��&�'��$��$��$�'��'�$'�$��D��D�

:� +�$��'��'��'&��/��$��'��'��J��6�6/��'&��3��$'��$��&��$��'�/�#��$'��4��$��/�3��siempre es recomendable.

:� W$��'��3��'��$'�'��'�$'�$��$��-��#��'��'�'�

- Misma caja de conexiones y mismo multicable: en este punto nuestra ��'��'��J��'��&��$��$-�'��'�$'�$��Q��O'��/��$��J��&��-��'�$'�$��$'�&��$�&'4��

- Mismo recorrido de cable hasta la cabina del SIS:��3�� J��$��$�'��'�$'�$��$'�&��/��)��'��'��3��+�$��&'��6�6��'�$'�$��'��/��'��J��6�6��&��$��-dación.

- Misma tarjeta de entrada (o de salida) en el SIS:��'�$��3��-��&��J��$�Q�$��'��$��/��'�'�'��$��

&L� ��#'�7- Considerando el caso de un PLC de seguridad, la votación de los ele-

mentos es intrínseca al sistema:��'&��'�'�'�� T��$��$'��'�$��/��3��'�� $'-P��$��$��P&'�'��

*�� 3��&��'��3�� '�'�'��'�� 7

^� +��#'��'�$'�$��&�'��$��$��'�'�'��K��P��L��'��-so distinta tecnología.

^� &��'�$'�$��Q��O'��^� Cablear a distintas tarjetas de entrada (o de salida).

[��$'P��T��+��+:ADHE?��$��A/��-$��'��'�$��'�$�� 3��$��'��Å/�� '�$��$��$��'��$��'$��'�$�� 3��/��$��'�'�'��P��Å��$��Dµ�)�DEµ��G��'�$��#'��'��$��E/Hµ�)�Hµ�

Dimensionamiento de las salas y ubicación de las cabinas

G��'��'�$�3��$��$��'��'�#��'��6�6/��/��'�$�3��6�6��Q��$��&��Q��/��3��7


^� ��&'��&��$��$�� #'��/�3��$'�� &'$��Q��6�6��)��'��$��

^� ��&'��$'��3��'&��'��'P��$��'��/�^� R'��3�� &��&��'��'��'��$�$��'�$��'��

cabinas.^� ��'��#��'��&��$��&'��'$��)��'��'��$'P-

cados.

��$��/��$&��'��'�'��&'��&��#��$�&'4��3��'�'��$��'��J��6�6�

Consideraciones medioambientales

+��)�'��$�$��$��$��'P��'��&�'��$��&'-��'��&'��6�6/�)�3��3��$�&Q��'�'��'��$��3��$��$��'��$&��$��$��/� ��/��-�'�'��$��#�4$'�/��3��'�'��'��&'��$��3��'#'��'�$��$'��6�6�3��'��'��$��$��)�T��'��'��'��

+��$'�� &'$��3��$��'P�'��&��$�'�-��4�$�'��/��'�&'��'��O$��'��3��'��$��$&��/�$��3��$��$��'��'��O$��'��J�/�$��'��$��'��'�'�'��$��'�'��-$��#�4$'��

�� 'P��'�� '�$��/� �� 3�� P�� '�'��'��&'��$��/��&��$�&'4��'��'��J��6�6��

��'��'��J��'��'��'�'��&'��$��7

^� Temperatura con alarmas de alta y de baja en los límites aceptables.^� %��'$��'��'��&�'��$��3�'-

pos.^� ��&�'��3�� )��$��'�'��$��#�4$'��3��-

��$��'��'��$��'�$��/��Q��$��'��&��4�$�'��)��'�� )�'��

Baipases

��&'��$��3��'$�� mantenimiento o bien operar ��$��'$��'��'��/��Q��$��$�� '��W6�Kmaintenance override switch) y los segundos GW6� Kprocess override switchL��&'�� $T�� '�� &�� $��iniciadores.


S��$��$'��)��$��'��J��6�67

?@�� los baipases de mantenimiento operan directamente sobre el SIS impi-�'��3��'��'�'��$��'�'�'��%)��'��'��$��&'��/��$'�'��7

^� G��'��$��&'��6�6�^� G��'��$��&'��6�6�^� G��$9��$��6�6��^� G��'��O'�'��3��'$��'��&��

��$9��$��6�6�

R��$��'��$'��'��$��#��'��3��'��-$��$'��'��

��'�� 3��'��'��'��$��'��'��J��6�6�)��$'�� &'$��'��P��

��3��T��$��3��3��&'��'��'��$��'4��'��/�� '�'�� '�$��)� ��O'�$��3��'��'��3��&'�� $'��*��$��$'��$'-��'��&'��'��$��$��'��'��$��

+��W6�� &'$��$&��$'��O'��$'��'��3��'��'��/��3�� '��'��$��$'��$'��3��&'��$��$'��/�)��$�$��3��$��$'��'��$��

POS7� �� &'�� '�� $T�� '��$��$�� &�� 6�6� '��'�'��3��'��$��$��'��$��'�'�'��$��$�� Q��'$��$��'��$��7�

^� Disparo por muy bajo caudal de carga a la unidad.^� *'��$��'��3��

��'&��P#��'��$��&'��7

^� G��$9��$��6�6��^� G��'��O'�'��3��'$��'��&��

��$9��$��6�6�

[��W6/��3��&'��'��'��$�� '4�� '�� '�'�� '�$�� )� ��O'�$��3��'��'��3��&'�� $'��*��$��$'��$'-��'��&'��'��$��$��'��'��$�


+�� GW6� �� 3�� $&�� $'�� $'��'��/� ��3��$��$'�/�$��'��$��$'��/��'��$��3��$'��

��O'�$��'��&'��'�$��P��P&'�'��6��3��Q��$'�'��)��$��'�'��$��$��'��$��3��-��#��'��$��3��#��/��$��3��4��'��'��

Interfaz del operador

*��#��$�$��&'��3�'��'��$��K��Q��$��'��L��$'��'��W6��GW6/��'��$�$��$-&��&��$'��'��/�)�3��'��$��-��'�$��'��'��$��$��#��'��$/��)�'��$�$��$&��'��$��'��$��J��

��'�'��$��'��)��$��'�'��$��'��-mentación de la seguridad en las plantas.

Pruebas funcionales

��&��'��$��$��?�)�D@/�3��&'�� '��$��'�3��$'��&��'��&��P&'�'��6�6/�)�3��'��&��'��$��3��6��/�+�$��$'��3��

� Accesibles y además��'��&��$�� 3��'�$��&��'��'��$'��$&��'��paradas programadas.

"��/��*+$�:H/+��*�ª��:H��*�$��ª�*k+ �]�}�:*��H��/��+/H/+��*��$�/��kH/+ �

��'#��3��P�'�� 9��$9��'��J��6�6/� )�3�� $��'��'��/��'��H��$��/��+ADHDD��$&��$��3��'�'��$��)�3��O��7

^� *�&��&Q�$'��T��'�$��#��^� 6��P�'��&'�'��$��$��

��'��'��'��'��#��'��^� ��$��$��'��&'�'��^� ��'��&��$��$��$�&Q��-

do.


^� ��$��'��'��'��'#�'��$��-��$��7:� +O��'��'��3��'��$��6�6�:� +O��'��'� �� $��#�� 3�� $'�'�� KG�� #��'��/�

$��'��'�$��'#��$��/��$��:��/��$�L�:� +O��'��'��#��'��K��'�'��'��#��/�%�»WG/��$��L�- Conocimiento de leyes y regulaciones.:� ��'��'��3�'��$�&Q��)��'��

��'��'��'��'��#��'��:� ��'��$��'&��'��$��:� ��'�'��$��'��'��'��3��$'��'#��'��6��

SIF.

R�&'4��'��$�$��3��'��J��6�6��$��$-�'��3��P��)��$��'$/��3��$��)��'P��'��3��$'�'��'��J��&�� &��'��'�'�'��G��-yecto.

PARA NO OLVIDAR

� El diseño del SIS es global.� El diseño del hardware implica elección de diversas tecnologías.

/��*�£�*�}:�/k+/�*

� El diseño del SIS es global, esto signi�ca que hay que tener en cuenta todos los elementos, incluso los que no intervienen en el cálculo de la �abilidad

.

13�Hk��+�*kH�H/+ ��/��+*+��H$��VALIDACIÓN DEL SIS

M� de los Ángeles Mar n Hernández

SUMARIO:�+��j��}�j�<��%��;�<��Hk�� +��-��j��*+*��%�j�<��%��%��*Hk��!�j��j��;j��H%\��Para no olvidar. Consejos prác�cos.

13.1. INTRODUCCIÓN

��&��R�K��&��$�'��&�'�L��'��'��$��'��J�¨��3�� &��R��'��4O'$��'$�3�� '��J�� )��'��$��$�/��$��Q�� )��'��'��J�� 9��)��$9��'�#��'��)��'��$�'��'�'�$��'�$��$�&Q��$��$��)��Q��3��'��$��'��

��3��-��+�ADHDD��$��DX��&��R/��$�$��'��$'�/��#��$��$��'��$��'��'��&��-&��R¨��3��$�&Q��'��$��$�'��)��$��/��'��$��'��'��$��$�'��/��6�6�)��$��T�$'��/� $'��3��$��$��'�'�/��3�'��/�$�&��'�/��'��'��3�'��/��$��$��-��'��$��$�'��/�)��)��/��)��$��)��&�� )��$��'��$��/�� P��&�/�de esta manera se elimina el margen de instrumentación y se acorta el tiempo pre-�'�$��'��$��'��)��&��'��$��$�'��)��$��¨��'��3�'��#�&'��&��)��'P��'$�� 3��&��&��/��'��#��'��$��'��$9��$��$'��&��)��#'��/��$��$�� '��$��'��3��'��3��&'��a la instrumentación y control. Las prisas nunca son buenas.

N��&��&��R��$��3�'�'��/��#��'��/��'��$��$�'��)��$��'��'��/��$�)�� &��/��-��'&'��3��&��R��'��&��$�&Q�/��'�$��&��'��/��'$��$��$�� &'��'�$��)��'�$�#��'��

��3��$��&�'�/��&��'P��3��'��'��'��'�4�$'��'��&��&��R/��'��3��'�'�-$��'��$��'��)��'��#��$��$�&Q��'��pruebas FAT.

��&��R�� '��'�� $��'��J��)� ��'��'��'��J��'��$��'��'��'��#��'��


��'��'��&��'#�'��$��$'��7

^� �+��'�$��&��'��$'P��$��'�'��'��-#��

^� �6�� '��$'��$��'��$��$��'��J��'��^� �+��'��J�� #�'��6��&Q�$'��'��'��$��-

��$��#��'��^� �+��'��J�� #�'��'��'��$��$��#��'��/�$�-

��'��'��'�'��$'P��6(6�^� �6�� '��$��'��'��$��$��#��'��K6��L��

��6(6�^� �6��)��$��'�'��$��'P��)�

��$��^� �6�� )��'P��'�'��$��$��'�'��$��^� �%)��'�'��$��&'��$�

��$��$��#��$��$'��3��P��$'��$��3��)��'��

��$��'��'��'��'��'��#��'��'��$�� '��$�$��3�� '�� $'�'�� $��-��'��'��#��3�� $��)�3�� $��$��¨��&�3�� 'P��'��'��$��$��#��'��)�3��6��3��'��/�)�� &��'��P��P��3��6�6��'��#T��3�'�'$��'��J��

+��+�ADHDD:D�� '#�'��$��'�$'��'��$��'��'��)��'P-��'��7

�� Validación��$'�'��$�� 3�� '�� '��$��$�� #��'��)� ��

sistema instrumentado de seguridad bajo consideración cumplen en todos �� $��/� �� '��$��/� �� 'P��'�� 3�'�'$�� 6�#��'��K6(6L�

^� S��'P��'��$'�'��$��'��'�$��'�'��)8��&��3��

�� '�� '�� #��'��/� �� $�� P��/� �� '�� $�� $�� '�$� �� &Q�$'�� )� ��3�'�'$�� $&��'��'� ��P��

G��$�$��'P��'��'��$��'��'��#�-�'��#��'�'��$��$'��3�'�'$��especi�cación de los requisitos de seguridad� K6(6L/��'��$��3��'��'��$'�'��T�'�/�3��$��3��'�$��'��$��$��#��'��K6�6L�)��-�'��'��$��$��#��'��K6��L��'��)�� 'P��'��3�'�'$��#��'��K6(6L/��$��3��3�'��'��#��$4��$��

371FAT, Instalación, comisionado y validación del SIS

��'P��'��$��'��'��'��#��'��/��'��-$��3��'��'��'��$'�'��3��#��'�'��$��6(6��W$��'��'��$��'P��'��)��'��'��3��'P��'��'��'��'�'��)��&�/��'��$��'��'��3�'��'��'��'-recta y pruebas.

��&Q�$'��&��R/�'��$��'��6�6/��'�'��)��'��'��7

^� Integrar y probar el SIS.^� S�'��3��6�6��$��$��'�$��3�'�'$��#��'-

��$4��'��'��'��$��$��#��'��3��'��/��'��'�$�#�'��#��'��3��'��/��'��'��#��'��3��'��K��'��3��$'��3��'��/�$'��'��'��#��'��/�etc.).

+��'#��DX�D/��$��'��'��#��'��

��j��"��"� Fases del ciclo de vida de seguridad.


13.2. PRUEBA DE ACEPTACIÓN EN FÁBRICA

+��&Q�$'��&��$�'��&�'��K��RL��&�� 9��)��$-9��G��Q��$��/��&�� 9��G��)��$9��'��$��'��$��'��$��'��'��$'P��)��#'��)��mínimo coste.

��3��'��'��&��R��O'#��'��-��K��-��DX��+:ADHDD:D��'��$'�L/��'� ��&��R��)��-�&��$��#'��/�� '��'��'�$��'��&��$��3��#'��3��'��$��'��'��$��$-das de seguridad cuya lógica de aplicación o las disposiciones de redundancia (por �Q��/�D��B/�D��B*/�B��X/��$��L��Q��

+��'��$�'��'��'��-��/��$��B��-��+�ADHDD/��'��'�7

6'��6�6�)��&��R/��$��$��$��'�-�'��¨��3�'��'��'��&��'��$��&��R��-#��3��$��$9��'��'��)��4O'$��)�3��'#'��todos los problemas encontrados durante el FAT.

G��'��'��$'��&��$9��'��'��$��&��6�R��+�$��'�&��7

^� +�$��'��$'�'��'��'��'P��'��'��'��^� 6�� 'P��3��$9��'��'��$'��3�'�'$��

��'P��'��3�'�'$��#��'��K6(6L��$��&��R/�)^� 6��'P��3��'��'��'��'�4�$'��'��&��

las pruebas FAT.^� 6'��&�#�/��)�'��$�$��#��3�� '��J��

$��$�/��'��$�/��'��'��/�3��$��)��-$��P��$��$��$��$��'��#'�/�3��'�-��'��$��$��#��'��'��$��$��)�3��'�$��'��'��'��'��6��'��$��$��3�'��$��&��'��'��P��'��'��'��'��6�6/��3��&��'��#'��)��$��'#��)��'��'��$��O$��$��

��'��$�$��'��&��&��R��$��$��&'��'$��)��$��$��3��P��$��3��$'��3�� #'��'��'��/�$'��3��$��&'��P�'��)��Q��3�4�&��4��$��N��$��'��'3��$��'��'��3��$'��3�� /��&�� )�3�4��&��

G��#�'��$��$��&��$�&Q��$��'��J��$��&Q�$'��/��#�'��$��)��$��'��'3��


��'�'��/��'��$�&'4��'�'��)��/��'��'��&'��'��3��/��'��&��$��$'��¨��'�$��'4��&'��$��$'��&��P�'��)��$'��)��)��$'��/��$��$��$'��3��$��P�'��'��3�'��&'��$��'�'��$��'�'�'��'��$��'��'��$��$��#��'��/��$��+�$��$��&��-��$��3��P��'�'��/��P��'�'��/��'��3��/��$��$��'��&��&��R/��'��3��'��'��J��'��'��$�� &��'��'-��&��'��J��'�� $��'��'��'��'��'��

��3��$��&��R��3�� 9��6�6� ��&��'�$��)��$��$��$��-��/��$9��6�6�)��#��P��'��'��$��'��$��)��'�'�$��'�� 3��'�$��$9��6�6��'��#��P��'��'�� 3��Q��$��K��$9��/�#��P��L��

G��'��$�&'��3��'�#��'��'��P��$��$��'��'-��/�� '��'��$��'��$�/��3��'�#��'�� #��#'��$'�'�� '��$��'��'��¨��'��O��$��'#��#'�� &��

6&'��$��&��'��'�$��$��'$��$��'$��'��'��'-cadas a modo de ejemplo.

+��'��$�)��$��'�'��$��'�$��-�'��$��3��'�$��&��R�)�3��$��$��'��$��'��&��'��6�6��/��$��'��&��#��'��Q��'�'��$��&/�&��O��'��'��'�$��'�'��/��'�'��$��'�'��P��$�)��#�'��'��'�$��'��$��/�3�� &'��'�$��$��'��J��

��&��'��'#�'��'�'��$��$��'�'�$��)��&��)��'��$��P��/�)��'�$'��7

^� ��'��$�'��^� (��$�� $��'�� )� �� &��/� �� '��'��

'��'�� /� �� '��'��$��'�$��&��mantenimiento, disposición de bornas, tarjetas, posibilidades de reparaciones (montaje, desmontaje), etc.

^� G��&�� 9��:� ��)�/��3��$�� '�'$��/� ��&�� $�� +86/�

$�Q�$�/��$��'��$�'��/��$��/��'��'��/��'�$��&��/�$��'�4�'��O'�$��$��/��&��'$��'��'��+86��'�$��$��R�&'4��&��-$��3�'��'��'��$�'��/��-dancia del mismo.


^� G��&��$9��:� ��&��$9�� $��#��$��7�

&��$��/��'$��/� ��$�� /��'#��$'��/��3��$��$'��4��#�/��/��/��#'�-tros, etc.

^� G��&��'��'��$��#��'��'��:� G��&��&��$��$��)��'��7�� 3��#�/��'��-

�'��+86/�Q��$��/�$�$�'��$��$��:� G��&��'��$��)��#��7��'��$��J��

�O$��'�� )� �� &�� 3�� #�� &�� '#��#'��'��'��

:� ��P��'��¨�� 3��'�$��)��Q��/��$��$��#��P��)��#�'��$��#��P��

��&��'��'��3�'��$��'��'��Q��$��'��$4��'��&��'�$��/��'��3��$��sea posible.

��'�$��6�6��$��'�$��$��/��&��'��&��Q��$��'��'��¨��$��3��6�6��&��-&��'�$��'��

��&��'��/��$��'��$�/��$��'�'�-$��/�3��&��$��3�'��)��'��&��$��$'�'��

��3��'��'��$��$��#T��$��$��'��/��'-��'��/��&�Q�/��$��/��$'$��'��'��3�'��

G��3�'��$��'��&�'��'��$��P��-��+��ABX?D��#��T$'��'��'��&��R/�6�R�

)�6�R��'�$��$��$'��'��'��$�'��'#�'��$��4��'��'�$�� 3��$��'��&��

�+�ABX?D/��$��'��'��'��$��'��7

^� ��4��'��D��&�'��$�'��^� ��4��'��B��&�'��'��$�'��^� ��4��'��X��'��'��^� ��4��'��@��'��&��)��O'��

+��4��'��'#�'��$��'��'�$�� 3��$��'��3��$'�'��$��&��'��7

^� ��4��'��H� �� G��&� �� G��$� �� )� �� '�� #�� sistema.

^� ��4��'��A��G��&��'�$��^� ��4��'��>��&�'��'�)��'#��$'�� -

9��^� ��4��'��?��S'��'��'��)��'��


^� ��4��'��=��&�'��'��^� ��4��'��DE��'��Q��)��'��^� ��4��'��DD��$�#��'��&�'�$��

"��+�*kH�H/+ ��/��+*+��H$�

+��&Q�$'��$��'��'��$��'�$��'��$��$��#��'��'P��'��)��¨�)��&Q�$'��'�'��'�'�-��'�$��'��$��$��#��'��3��$4��'��'��P��'�$��

��$��$��$'�'��/��&��/� ��'��)��&�� 'P��'��$��7

^� M�4��$'�'��'��$��'��)��'�'��&�:��)��O��'��

^� M�'4��&��$��$'�'��:��)��&'�'��^� ��'��:��#��'�$^� ��&�:��'�'��$��/��'��/�$4��'��)��-

cursos.^� ��$��)��'��'��$��

*��4��&��&�'�/��'�$��$��$��&��e instalado.

�� '��$��'�� &�� '��$��'�� 3�'��'�$��K��$'��$��'��$��$�'��'��#��'��L�)��'��3��$��$��&��$��$��-��$�$��#��3��$��3�'�'$��instalación, condiciones y procedimientos.

6��&��'��$��$��6�6��#T��'��J��'��$��'��R��'�'��$��'��J��'��3�'��)��$��P��#��3��$'��$��3�'�'$��'��J��

��$'�'��'�'��&��'��'��K�'��'�'$��L��P��'��'#�'��$�7

^� ��$'�� $��$��$��^� ��O'��4�$�'�� $��$��$��)��$��$'��^� ��$��$��$��)��$��'��&�� 3�'$��^� -�� )��$��'��'#��^� R��'��$��$�� '&��$��$��^� R��'��$��$��$��$'��^� ��'��$��P#��'��)��#��'��G�� #��^� +��G��)��$��8��'��$��$'��^� ��$��'�$��'��'��'��$��$'��


^� ��$��$��'�$��)��'�4�'��$��$'��^� R��&�� $��)��&��

+��'�'�$��#'��&��&��&��'�$��'�$��/� ��'��'��$��G�/� ��'��$�'�� '�$��/��'�$��$'��)��$��'��

G��#��'��'��¨��&��'P��3��'��$��-P#��'��)��#��'��G�� #��$�$��#'��'�$��)��'P��$��'��'��'-�'��/��'�'�$��'�$��#��'��#��'�$�#��'��3�'��$��/��'��O'�$��+��$��&��3�'��'�$��'��Q��$��'�'�$��G��)��'�'�$��3�'��'��

+��'�'�$��$��'��'��)��$'�'��'�$��6�R�)��'��'�� $�3�� )��'��$'��$��'-

mente la instalación y el comisionado y todos los registros de soporte de la inspec-�'��)��&�� )��$��/��'��)��&��$��$��

�+��ABX?B��#��T$'��&�'��4�$�'��)��$��-��$�'��$��'��$��'��)��'�'��

13.4. VALIDACIÓN DE SEGURIDAD DEL SIS O PRUEBAS DE ACEPTACIÓN ��/H�}��}:��¢H*�*Hk�

+��&Q�$'��'��'��6�6��'��$��4��'��'��)��&�/�3��$�$��'�$��'��$��$��#��'��'��$��)��'�'��/��-�'��'��$��$��#��'��'��/��3�'�'$��'��'��'P��'��3�'�'$��#��'��

��'��'��6�6��'��&��$�'��$�K6�RL�)��$�$��'��#�� $�� '��'�$'�$��$�� )� $�� 3�� '��$'P��3��$��P�'��'��

��&��6�R��'��4��'��$��'��)��'�'��'�$�-��K6�6L��$��/��$��'��'��'�$��-��4��'��$��'��)��'�'��

Esta funcionalidad debe demostrarse antes de que estén presentes los peligros identi�cados (por ejemplo antes del arranque de planta).

��$��6�R/��&�� &��'��$��#��)��$��$��'��$�-��$��$��$�� 9��)��$9��

Los siguientes ítems deben comprobarse durante la instalación del sistema y an-$��6�R�

^� R�� 9��$��'��$��$��$��^� R��3�'��4�$�'��)��&��$��'��$��$��$��^� R��3�'��$'��)��&��$��'��$��$��$��


^� R��3�'��'��'��)��&��$��'��$��-tamente.

^� R��$9��$��'��$��$��$��

+��6�R�� '��$'�'��&'��'�� '��'��)��)�� 'P��'�� 3�'�'$�� #��'�� #�� 3�� $'�� 3�'�'$��'��

��$��$��$'�'��/��&��/� ��'��)��&�� 'P��'��$��7

^� M�4��$'�'��&��$�'��&��&�7��)��O��'��

^� M�'4��&��&��$��$'�'��7��)��&'�'��^� ��&��$��$'�'��7��'P��'��'�$^� ��&��$��$'�'��7��'�'��$��/��'-

��/�$4��'��)��

��$��3�'��&�)8��'�'��$��&��'�'��$��'��J�/��'��'��$��)��'P��'��/��$��'��$��'��$��'��'�$��+�$��'�'��&�� $��6(6�

��&��&��&��'��$��'��&�'��$��3�'��'�$��/�)��'��3��$��$��&��$��-$��$�$��&�'��$��'�'�$��$��'��'��'��/��'��$��'��3��encontrarse.

En este punto del proyecto, es cuando se puede apreciar la importancia de tener ��6(6��)��'�$��$��3��)��'��'&��)��P�'��$��6�6�)��6��

��$��'��'��'��$��'��'��'��#��'��'��$��'��$�$��+��3��'��$��$'-�'��$��'��'��'��#��'��#��3�� '��$��$��)�3��$�'��$��$�

6��'��&��P��P��3��'��6�6��$�� 3�'�'$��'��J��$�$�� $4��'��'��K��'��'��L��$�'��$��K��'��$L�

6'�� '��&��R/��'� ��&��$��'��'��$��'��'��+��3�'��'��'��&��'��$��&��R��#��3��$��'��'��$9�� &��$'��$��'��$��)�3��$��&��$��$��&��R�� #'��

G��'��'��$'��&��$9��'��'��$��de las pruebas SAT, siempre y cuando se cumplan las condiciones indicadas ante-


�'��$��$��&��R¨��'��&�#��)��&�� '��'��6��$��'��'��'�$��4��'��$��'��)��'�'��)��$��3��$4��$��'#��'��$'P��K�$��3��$L

6'��'��4�'$��&��R/��#��'��'��6�6/��$��-��3��&�� 3�'��$��&��'��'��$�� '��'��$��$��#��'��K6��L��'�'�'��#'�� $��$��P��/��3��&��G��)��-$��P��'#��&��$��'��'�'��P��

13.4.1. ACTIVIDADES GENERALES

��&��$�'��$��'��P��3��¨

^� R��3�'�'$��6(6�� '��$��4O'$��^� R��3�'�� '��$��'��$��'��&�'��$��^� R��3�'�� '��$��#T��#��'��K��

��'3��L�^� ��6��)��'��3�'��6(6�^� R��$�'��'��'��'��#��'��

��$��$�

��'��'��&��'��$��$��'��)��3�'��'��/�'��)��7

^� G��'��'��)��'#��'��)�Q��$��#��^� ��3��/��$��$'��/��/��'�$��$'��/��'��^� (��/��'��/��$��'�'��$��)�&'��^� ��'�'��&��$��'�'&��/��Q��/��'�'�-

��'��$'P��'�'��'��#��

+��&��$'�'��'�$�� 3��#��3��$��'-#��$��$��'��'��)��&��6��¨��$��'�$�� 3��$��&��6(6/��3�� )�3��P��3��$��3�'�'$��6(6�� '��$��4O'$��

��$��&��6�R� )�3��$��$��$��3��#��3�� '��&��'�'��)�3��'� ��&��&��$��R#��*'� ��$��'&��$��'�$��$��8��'��6�6�

R�� $�� O'$��$�� &�� 6�R/� ��$�$�� $��'�� '��$��)��&��P��$'P��G��&��$�'��-&�'��K6�RL�K�4��4��'��+:��$'P��6�R�&��-��+ABX?DL

13.4.2. INSPECCIONES DE LA INSTALACIÓN

��$��&��3�'��&��'��/��3�'��'��'��'-��3�'��'��$��)��$�'��)��$��P��3��


��'�$��'��'��6(6/��3�'��)��'��$��'�-nes de instalación.

+��$'��/� �� &�� P�� 6�� 3�'�� '��$�� '��'�� $�'��)��$'P��$'P��3��3�'��'�'�$��-��'��'��3��'��)��'��'��'P��'��6��'��

��'�'��$��'��)��$��'�'��$��&��$��/��'-��/�'��)��$��'�'��$��&��'��'��'�$��pruebas.

+��'��$�$��P��3��$��$��'�$�� -$��#�� '�$�$�� )� �� '�� $��/� '��$��)� ��$�� $��$��[�3��3�� )��'��T��'#�'P�$'�� 3��3�'��$��/��T��3��3�'��$�/��J��'��$��$��'$��'$'��K��$��L�

13.4.3. PRUEBAS OPERACIONALES

��&��'��'��P��'��'��SIF tanto en operación normal como en condiciones anormales.

��'#�'��$��&��&��&��P��3��'��#��'��$��$��$��)��'��'��6(67

^� Comprobar la operación de los instrumentos de campo tales como entradas ��K'��)��$��$��L/�3��$��'�-��$��$��$��$��)�3��'��$��$��#��de medida adecuados.

^� ��&��#'�/��Q��3��'��$��$��)��'��$�)�3��Q��$��$��'��'��'-so.

^� S��'P��3��'��)��'��/�'��)��-��$��/��'��$��$��

^� ��P��3��6�6��$��'��'��$�$��#��P��en anunciadores.

^� ��&��3��'��$��^� ��&��3��&'��$��'�'��$��$��K'�-

��)��#��'��'��'��'��L�^� ��&��3��$��^� ��&��3��&'��3��$��^� ��&��3��$�$��6�6��$��'��'�'��-

$�� 3�'��$��4��'��'�'�� K��Q��/��$��'��4�$�'�/� '��/� ]�'�� '��'��/� �$��L� )� ��P�� 3�� '� �� -�'�'�� $�� /� �� '�� '��$��$�� #��'��$��


^� ��P��3��$��$��)�� '��$��'&��K��Q��/��#�L/��&��acciones correctas (incluyendo la degradación del modo de operación).

^� ��#��3��6�6��'��$��K��3�'��L��'�$��&��'��$��3�'��$��'�$��3��lo necesite

^� ��P��3��$��6'�$��<��'��$��G��3�'��$��'�$��$��$��&��adecuada operación del SIS.

^� ��P��'��'��$��#�4$'��K+�L��'��

+��#��/��3�'��&��'��#��3��$9��'� ��'#��3�'�'$��#��'��$��'�'��6�6��-��'��#��/��'��Q��$��'��'��$9��3��'��-$�� )��P�'��'P��'��K��3�4� ��)�3�4��&�� /��'��$�&'4��3�4�� )�3�4��&�� L�

"��[�[��/��}:�¢H/+ ��$��:��$+�+��k�

6��'$� ��&��'�'��$��P��3��6��-�'��$��$��'��3�� '$��'��'�'��$��P�'-��/�)��$4��'��'��$��$'��

6��&��&��'#�'��$��&��P��3��6��$�&Q��$��$��#T��P�'��6(67

^� ��P��$'��$��$��#��'-��K��$'��$�$��$��$��)��'��'��&��3��$'��3��$��'#��L�

^� ��&��3��3�� 6�6��$��^� S��'P��$'��$��'��6�6�^� *�� '�� O�$'$�� '��$�� '��'��/� ��-

$��'��$��$��$��'��&��'&��$��&��$��$��)��#��'��$'��&��'��'��'��6'�$��'&��'��$'&��/��&��$'�'��)��$��4$��$��$'��

"��[�'��+��:��$��H*�}:��¢H*

6��&��'#��$��$��$��)�P��&��P��)��&'�'��'��'�'��$'��#��'��$&��-��'��$�'��*'� ��#'�$��$��7

^� S��'��'��'��6�6��$'�'��^� ��'�� '��$��$�� #��'��&Q��&� K�� '�'�L/� ��J��


��'��P��3�'�'$��'��$'P��$��'-P��'��'��'��6�6�

^� %��'��$��)��3�'��$'�'��/�Q��$��$��'&��'��^� (��$��&�^� S��'��'P��'��&��$'�'��^� Criterio de aceptación de las pruebas de integración.^� S��'��$�$�� 9��)��$9��6�6�3�� &��^� Discrepancia entre los resultados esperados y los reales.^� +��3��#'��'��'�/��'�'��3�� '��

�'��$'��&��&��'�'$&��'��'��'P�-ción.

��&��'��$�� $�3�� )��$��$�#��)��4O'$��$��/�� )��$��$��$�'��)�� )��'��$��'�'��)��&�'��'��

"��[�_��$+*/:�}H�/+H*

��'��'��$��$��)��/��'-�'��$��'�'��&��'��$'�T��'��'��'�'$��'��'��'P��'��)��$��'��'��'�/��&��$��$��'��'��#��'��

+�$��'�'��&��$��$��$��'�)��-��'��$4��'��)��)��'�$��#��$'��&'��

G��'$��'��'��O'�$��'��'��'��&�K�'��L/��&��$��'$��'��8��$&��'��'�-ción y es importante documentar claramente las tolerancias en las medidas de proceso )�$'��$��G��Q��/��'��'��X�E�&�#/��'$��'��$&��$&��X�E�Õ�E�EH�&�#��Q��3��$��X�E�&�#�

��$��'P��'��/��3�'��$�&Q��'��$��'��'��detectadas durante la SAT debe ser registrado en una lista. Cada ítem debe categori-��'#��7

^� +�'�'��$�/��$'��6�R��4��$'P��'��^� (��$'P��$��6�R�^� Debe repetirse SAT.^� *�&��'P��4��6�R/��$��3��'�$��'�$�#��

��#��'�'��^� R�� $�$�� $�&Q��3��&�� $'P�� K�� Q��'P��'��

controlada durante la operación)

��6�R�� '�� $� �� )��&��$'��$�-�'��$�� $�� '�� '�� '�'��$�� )� ��-��'P��'��'�6�R/��O��'��3��3��$��'�$��$��'��$��


"��[�-��}:�^}��*kH��H:/�H

��$��6�6��'�'��&��&��'#�'��$��$'�'��7

^� R��$'�'��'��$��'��/��'�'��)�6�R�� '��^� R��'��&'�� $��'�'��^� R��'��'��$��)��&'��

��'�'��3��'��$�� ^� R��3�'��)��$��'��&�� 3�'$��^� R��K��$��/��'��)��J��$��-

$��P��/�)��'�$�� 9��$9��L��&��'�'��)/��'��'�/�$��'��J��$�&'4��&��'�'��

+�$��&�'��'��&��&��Q��$��&�'��'�'��$��)��$�'��$��'�� #��'�� '�� K�6�L�� #��3�� '�$�� )��'��3�'��

"��[�W��}:��¢H*�$��+�k�ª:H/+ ��}�H�kH

6'��6�6��3�'��'�$��$��'�$��K$��'��$��<G6L/��$��-&��'��&��'�$�#��'��$�K6�RL�

��&��6�R��'��&��&'��'��'�$��'��'��$��3��&��&'��&$��'��'��P��$��)��$��+�$��#��3��&��'�$��'��Q��$��$��PQ��P��$��

��&��6�R�&��'��$��'�$��&��'��'��'�$��'��$��'�$��#��'��)��&�'�$��#��3��'��-tamente juntos.

��$��$��$'�'��/��&��/� ��'��)��&�� 'P��'��$��7

^� M�4��$'�'��&��'�$�#��'��&��&�:��)��O��'��

^� M�'4��&��&��$��$'�'��7��)��&'�'��^� ��&��$��$'�'��7��'P��'��'�$^� ��&��$��$'�'��7��'�'��$��/��'-

��/�$4��'��)��^� ��$��)�$��$��

��'�$�#��'��&��&��'��'��$��'��&�'��$��3�'��'�$��K��$'��$�'��'�� 6�#��'��L� )� �� '�� 3�� $�� $� �� $4�� $�� -��$�$��&�'��$��'�$��'�$�#��'�'�$��$��


�&$��'��'��/��'��'��$��'��3��$��

+��4��'��:��'�$��&��6�R�)��4��'��:��$'P��6�R��$��$��$'��$��$��'��listas de chequeo y de certi�cados de pruebas/�&��+ABX?D�

"��'��H��H/+ ��$��H�*�ª�:+$H$��/+��H�

�+�ADHDD:D��3�'��3��&��'��#��'��'��K�6�L��$��3��$��'#��'��$'P��'��4��'��$��'��/��'��)��'��'��

N�� '�� #��'�� '�� K�6�L� �� '��$'#�'��/� &��'��'�/��Q��#��#��'��'��protección.

+��'��#��'��'��$��$��-��$��3��'�$��'��$��$��#��'��3�'�'$��$'��'��'��$��$��#��'��)��'��'�$�#�'��#��'��(SIL).

��'��&��&��6��$��3��'#��'��$'P�-��$4��$��/��Q��4�� )��$��'��$��'��/��:��'�'��)��'��'��P��'�$��'��$��$��#��'��)��4��3�� )��'�'��$��'��)��$��'�'��$��

��'��#��'��'��&��&��3�'��/�3��$��#��'��&��'�'��$��)��$��)��3�'��/��&Q�$'��'��'�K��$��'#��'��3��#��3��&��$��$��)��3��$��$�L�

*��+:ADHDD:B��$��H�B�A�D�@/��'��'��-$��$��X��'��$��$��'�'��#��'��'��$�� KG66(L�

��$��3��$4��$��'��#��'��$'P��/��$��'��&��-P��3��7

^� 6�� '��'��'#��)��'��#��^� 6�� '��$��$��'��#'��'��

��'#��)��'��#��3��'�&��'�$��'��$��$��#�-ridad.

^� 6�� $��'�'��$��&'��'��J��)��$��)� ��sido aplicados correctamente.

^� 6�� $��'��3�� )��#'��'��6�#��'��'��'/��'� ��O'�$'��

^� +��'�$��'��$��$��#��'��$��'��J��/��$��'��'��$��'P��'��3�'�'$��#��'��/� &'��'��'��$'P��)��$��3�'��'��'��


^� 6�� '��'�'��$��$��'�'��$��'��$��sistema instrumentado de seguridad.

^� ��'P��'��'��'��'�$��'��$��$��#��'��'��)�� $��$'�'��'��'��

^� 6�� $��'��)�� '��'�-��'��'��&��'�$��'��$��$��#��'��de mantenimiento y operación.

^� 6��'��)��$�$�#'��'��'��'�'��-#��'��'��

��$��$��$'�'��/��&��/� ��'��)��&�� 'P��'��$��7

^� M�4��$'�'��'��#��'��'��&��&�7��)��O��'��

^� M�'4��&��&��$��$'�'��7��)��&'�'��^� ��&��$��$'�'��7��'P��'��'�$�^� ��&��$��$'�'��7��'�'��$��/��'-

��/�$4��'��)��^� ��$��)�$��$��

Antes del inicio de la operación y la introducción de materiales peligrosos, los re-#'�$��$��'��#��'��'��&��$��-tos y las conclusiones acordadas con los responsables de la gestión de la seguridad ��'��6�6�

+�� 4��'�� %� :� �'�$� �� &�'�� '�� #��'��'��'��'�$��&�'��$��'�� 6��

"��_��H}¦�$+/�*

+��$��$��'��)��'#�'��$��4��'��7

^� ��4��'��D��&�'��$�'��^� ��4��'��B��&�'��'��$�'��^� ��4��'��X��'��'��^� ��4��'��@��'��&��)��O'��^� ��4��'��H��G��&��$�� )��'��#��'�-

tema.^� ��4��'��A��G��&��'�$��^� ��4��'��>��&�'��'�)��'#��$'�� -

9��^� ��4��'��?��S'��'��'��)��'��


^� ��4��'��=��&�'��'��^� ��4��'��DE��'��Q��)��'��^� ��4��'��DD��$�#��'��&�'�$��^� ��4��'��<��'�$��&�'��6�R�^� ��4��'��'�$��&�'��6�R�^� ��4��'��*��$'P��R�^� ��4��'��+��$'P��6�R�^� ��4��'��$'P��6�R�^� ��4��'��$'P��$�'��'�$��^� ��4��'��%��'�$��&�'��'��'��#�-

ridad.

��'#�'��$��$�'��'��$��4��'��7

^� G� ��$&��^� �� ^� NA = no aplica.

*�&��$'�'��'��&��$��&�'��3��$�� '��$��K ��&�'��4O'$�L��G��Q��-plo�.

��$�� '��'��$��K�� &�'��4O'$�L��&��$'�'�� '#�'��$�� y poner las iniciales del probador así �� &��O'��$��&�)��$��$��

��'��K��L��&��#'�$��'�$��'��$��)��-&��$��3��'�$��#�� +��#��/��$��'�$��comprobación son unas guías. Estas listas de comprobación deben ser tan completas ��'&��/�'��)��'�$��$��$��3��&��'P�-��8��&��$��$��'�$��'�

��R&��D��DD��$��'��J��&��R/��$��-las se podrían usar para el comisionado y para las pruebas SAT.


H}¦�$+/��H"�¬�/��}:�¢H/+ ��$��H�$�/��kH/+ �

G��'$�7^� (��'��$��$��R��$��

*��$��'7^� Ninguno

=k�� ACTIVIDADES RESULTADO DE LAS PRUEBAS NOTAS

1La especi�cación de requisitos de seguridad (SRS) está completa, precisa y aprobada. P [_] F [_] NA [_]

2La lista de entradas/salidas del SIS está com-pleta, precisa y aprobada. P [_] F [_] NA [_]

3La lista de entradas/salidas comunicadas está completa, precisa y aprobada. P [_] F [_] NA [_]

4Diagramas de cableado y cajas están com-pletos, precisos y aprobados. P [_] F [_] NA [_]

5Descripciones de enclavamientos y matriz causa/efecto están completos, precisos y aprobados.

P [_] F [_] NA [_]

6Diagramas lógicos están completos, preci-sos y aprobados. P [_] F [_] NA [_]

7Esquemá�cos de operación están comple-tos, precisos y aprobados. P [_] F [_] NA [_]

8Manuales de seguridad de los equipos es-tán completos, precisos y aprobados. P [_] F [_] NA [_]

…Completar para cada documento. …

nDocumento “………………..” está completo, preciso y aprobado. P [_] F [_] NA [_]

/��%��<��%��<��

/��%��<��%��

��


H}¦�$+/��H��¬�/��}:�¢H/+ ��$��+��kH:+�*�$��H:$�H:��SOFTWARE DEL SIS

G��'$�7^� S��'P��3��3�'$��$�� 9��/��$'��/��'��'��/��'�$�-

�/��$��/��$��$��$��&�� 3��'��'��$9��/��$��)��'&��

*��$��'7^� G��&�� 9��^� W��


1Chequear can�dad y calidad de hardware suministrado. P [_] F [_] NA [_]

2Chequear que la versión de so�ware y li-cencias son las correctas (incluyendo � rm-�rm-ware).

P [_] F [_] NA [_]

3Con�rmar que los repuestos, consumibles y herramientas apropiadas están disponi-bles.

P [_] F [_] NA [_]

/��%��<��%��<��

/��%��<��%��

��

H}¦�$+/��H��¬�+�*}�//+ ��/��+/H

G��'$�7^� ��'��3�'$��$�� 9��)��$��$��-

mentos aprobados.*��$��'7

^� G��&�� 9��^� +��'P��'��)��$��^� ��'#��)��$��'�&��


1Cable de entrada, barra de soporte y accesorios (abrazaderas de cables, prensaestopas, etc.).

P [_] F [_] NA [_]

2 E�quetado, nombre de cables y seña-les. P [_] F [_] NA [_]

3 Montaje de componentes y módulos. P [_] F [_] NA [_]



4 Conexiones atornilladas, terminación de las conexiones. P [_] F [_] NA [_]

5Conexión a �erra, conexión equipo-tencial. P [_] F [_] NA [_]

6 Protección a las descargas eléctricas, e�quetado de avisos. P [_] F [_] NA [_]

7 Mantenibilidad de ven�ladores de ca-bina, construcción de las cabinas. P [_] F [_] NA [_]

8 Reserva disponible y capacidad de re-serva. P [_] F [_] NA [_]

/��%��<��%��<��

/��%��<��%��

��

H}¦�$+/��H[�¬�+�*}�//+ ��$��/H¢��H$��/��®+��H$�

G��'$�7^� S��'P��3��&��$��$��-

�'P��'��)��$�/��$�� 9��&��)��&�'��'��$��'��$�'��

*��$��'7^� G��&�� 9��^� +��'P��'��)��$��^� ��'#��)��$��'�&��


1 Cables y cableado, cableado de circuitos internos. P [_] F [_] NA [_]

2 Fusibles, interruptores diferenciales. P [_] F [_] NA [_]3 Nombres, e�quetado. P [_] F [_] NA [_]

4 Segregación de líneas, colores, cruces de cables, voltajes, seguridad intrínseca. P [_] F [_] NA [_]

8 Entradas/salidas cableadas a bornas. P [_] F [_] NA [_]9 Orientación del enchufe del sistema. P [_] F [_] NA [_]

10 Pruebas de aislamiento de tensión del sis-tema. P [_] F [_] NA [_]

/��%��<��%��<��

/��%��<��%��

��


H}¦�$+/��H'�q�}:��¢H�$��}��*kH��H:/�H��$��/+��*�ª��:H��*�$��*+*k��H

G��'$�7^� S��'P��3��'�$��$'��&��$�� /��-

��$��'��)��'��$��#��&��'P��3��'�$��$��$��'$��

*��$��'7^� *��$�'��$��$��^� �'�'$��P��'�$��

=k�� ACTIVIDADES RESULTADOS DE LAS PRUEBAS NOTAS

1 Nuevo arranque (parar/arrancar). P [_] F [_] NA [_]2 Cambios en línea. P [_] F [_] NA [_]3 Tiempo de ciclo del controlador. P [_] F [_] NA [_]4 Tiempo de carga del grá�co. P [_] F [_] NA [_]5 Tiempo de actualización del valor. P [_] F [_] NA [_]

6 Carga del sistema (capacidad de memoria, ca-pacidad de historización, etc.). P [_] F [_] NA [_]

7 Estrategia de comienzo de sesión y niveles de acceso. P [_] F [_] NA [_]

8 Estrategia de procesamiento y reconocimien-to de alarmas. P [_] F [_] NA [_]

/��%��<��%��<��

/��%��<��%��

��

H}¦�$+/��H_�¬�}:��¢H�$��*+*k��H�$��H�H:�H

G��'$�7^� S��'P��3��$'��'�$��'��

del sistema y de las cabinas aparecen en el sistema.*��$��'7

^� *��$�'��$��$��^� Lista de mensajes de alarma.


1 Fallo de suministro de energía. P [_] F [_] NA [_]2 Fusible, monitorización de rotura. P [_] F [_] NA [_]3 Ven�ladores. P [_] F [_] NA [_]4 Comunicación y monitorización de red. P [_] F [_] NA [_]



5 Cortocircuito, rotura de cable, fuera de rango o falta a �erra. P [_] F [_] NA [_]

6 Perro guardián y otros diagnós�cos. P [_] F [_] NA [_]

/��%��<��%��<��

/��%��<��%��

��

H}¦�$+/��H-�¬�/��}:�¢H/+ ��$��H�:�$��$H�/+H��$+Hª� *k+/�*�DEL HARDWARE

G��'$�7^� ��#��$��'��)��'$��'��'��$��-

dantes.*��$��'7

^� *��$�'��$��$��


1 Monitorización y operación redundante de controladores. P [_] F [_] NA [_]

2 Monitorización y operación redundante de comunicaciones y redes. P [_] F [_] NA [_]

3 Monitorización y operación redundante de fuentes de alimentación. P [_] F [_] NA [_]

4 Monitorización y operación redundante de estaciones de operación. P [_] F [_] NA [_]

5 Monitorización y operación redundante de entradas/salidas. P [_] F [_] NA [_]

6Monitorización y operación redundante de todos los elementos redundantes no mencio-nados antes.

P [_] F [_] NA [_]

/��%��<��%��<��

/��%��<��%��

��

Nota: ��T�'��&��$��'��'�$��$�$��


H}¦�$+/��HW�¬��+*�H�+¯H/+ ��}�:H/+ �

G��'$�7^� S��'P��'��'��#��P��$��)��'��'��

��'��'P��'��*��$��'7

^� *��$�'��$��$��^� +�&��'$��$��$�'��#��P��


1 Color de fondo y cambios de color. P [_] F [_] NA [_]2 Símbolos (tamaño, forma y color). P [_] F [_] NA [_]3 Texto está�co (tamaño, lenguaje y color). P [_] F [_] NA [_]

4 Organización (saltos, transiciones y jerar-quía). P [_] F [_] NA [_]

/��%��<��%��<��

/��%��<��%��

��

Nota: ��$��$��$'��$��$��$��$�$'��#��P��$��'��'-��&��$��'��P#��'��

H}¦�$+/��H¨�¬�/��}:�¢H/+ ��/+��H�

G��'$�7^� S��'P��'��'��'�$��$��

*��$��'7^� *��$�'��$��)��$��Q��7^� -��$'��/��$��)��#��'��^� *��'�$'��'��$��^� *'#��)��$��K¡+L�^� *'#��'��&��3��K�<*L�^� *'#��#'��'��$��^� ��'��:��P�'��$��'��8��$'��


1 Iden��cación y e�quetado de lazo/fun-ción. P [_] F [_] NA [_]

2 Pruebas entrada/salidas hasta el grá�co. P [_] F [_] NA [_]



3 Comprobar funcionalidad de disparos y enclavamientos. P [_] F [_] NA [_]

5 Comprobar acciones frente a perdidas de energía. P [_] F [_] NA [_]

7 Comprobar acción individual ante detec-ción de fallos. P [_] F [_] NA [_]

8 Comprobar acción de degradación ante detección de fallos. P [_] F [_] NA [_]

9 Comprobar acción individual cuando el baipás de mantenimiento está habilitado. P [_] F [_] NA [_]

10Comprobar acción de degradación de la votación cuando el baipás de manteni-miento está habilitado.

P [_] F [_] NA [_]

11 Comprobar la acción de rearme. P [_] F [_] NA [_]

12 Comprobar baipases de operación para el arranque. P [_] F [_] NA [_]

13 Comprobar acción manual. P [_] F [_] NA [_]

14 Comprobar funcionalidad de alarma con prioridad de indicación correcta. P [_] F [_] NA [_]

15 Comprobar mensajes, grá�cos y actualiza-ción de señales en grá�cos y carátulas. P [_] F [_] NA [_]

16 Operaciones con variables, tendencias, historización (internas y externas). P [_] F [_] NA [_]

/��%��<��%��<��

/��%��<��%��

��

Nota: ��&��$��&��&��$��P�'��&�/��Q��DEEµ/��'P��'��$��/��$�.

Es recomendado que se realicen para todas las SIF pruebas al 100 .

H}¦�$+/��H"#�¬��/+��*�/��}��£H*��$�*�$��}�:H/+ �

G��'$�7^� S��'P��'��'��'�$��$��-

dos.*��$��'7*��$�'��$��)��$��Q��7

^� -��$'��/��$��)��#��'��:� *��'�$'��'��$��:� *'#��)��$��K¡+L�


:� *'#��'��&��3��K�<*L�:� *'#��#'��'��$��:� ��'��P�'��$��'��8��$'��

=k�� ACTIVIDADES RESULTADO DE PRUEBAS NOTAS

1Comprobar funcionalidad de arranque, de parada, en los dis�ntos modos de opera-ción, etc.

P [_] F [_] NA [_]

2 Comprobar funcionalidad de alarma con in-dicación de prioridad correcta. P [_] F [_] NA [_]


4 Comprobar cualquier cálculo realizado por el SIS. P [_] F [_] NA [_]

/��%��<��%��<��

/��%��<��%��

��

Nota7��Q��$'��'��3�� /��/��$��

H}¦�$+/��H""�¬�+�k�ª:H/+ ��$��*�¢*+*k��H*

G��'$�7^� S��'P��'�$��$'�'��'�$��'��

*��$��'7^� +�$��8��'��J��$��^� (��$��<*/�¡+��$��

=k�� ACTIVIDADES RESULTADO DE PRUEBAS NOTAS

1 Comprobar funcionalidad deseada. P [_] F [_] NA [_]

2 Comprobar funcionalidad de alarma con in-dicación de prioridad correcta. P [_] F [_] NA [_]


4 Operaciones con variables, tendencias, his-torización (internas y externas). P [_] F [_] NA [_]

/��%��<��%��<��

/��%��<��%��

��

Nota: ��)��'��'��'��K��$��8WL��&��&��'��+86��&��$��'��'��'��'�'��'�-ción serie, por ejemplo, el tiempo de transmisión.


H}¦�$+/��¢�¬��+*kH�$��/��}:�¢H/+ ��*Hk

G��'$�7^� (��'��$��$��$��6�R�*��$��'7

^� *��$�'��'��$��'��^� *��$�'��'�$��^� ��'��'�$��^� ��&��R�K�'��'�L�^� ��'��'��'7

:� ��'��'��8'��$��$9��8P��9��:� (��'�'��/�� $��'��'��'��'&��$-

9��8P��9��


1 Comprobación de la documentación del sis-tema. P [_] F [_] NA [_]

2 Comprobación de inventario hardware y so�-ware. P [_] F [_] NA [_]

3 Inspección mecánica. P [_] F [_] NA [_]4 Inspección del cableado y del conexionado. P [_] F [_] NA [_]5 Prueba de puesta en marcha y diagnós�cos. P [_] F [_] NA [_]6 Prueba del sistema de alarmas. P [_] F [_] NA [_]

7 Comprobación de la redundancia y diagnós�-cos del hardware. P [_] F [_] NA [_]

8 Visualización y operación. P [_] F [_] NA [_]9 Comprobación funcional. P [_] F [_] NA [_]

10 Funciones complejas y modos de operación. P [_] F [_] NA [_]11 Integración de sbsistemas. P [_] F [_] NA [_]

/��%��<��%��<��

/��%��<��%��

��


H}¦�$+/��/�¬��+*kH�$��/��}:�¢H/+ ��*+k�

G��'$�7^� (��'��$��$��$��&��6�R�

*��$��'7^� Documentación de la instalación.^� *��$�'��&�'��$��'�$��^� ��'��'�$��^� ��'�$��&�'��6�R��'�$��&�'�$��3��-

$��'��'�$�#��

*��|j��]Principal

Subsistema

=k�� ACTIVIDADES RESULTADO DE LAS PRUEBAS

NOTAS

1 Comprobación de la documentación del sis-tema. P [_] F [_] NA [_]

2Conexión entre sistemas instalados correc-tamente (conexión serie, Ethernet, �bra óp-�ca, etc.).

P [_] F [_] NA [_]

3Velocidad (baudios) para cada comunica-ción establecida (interrupciones del hard-ware, con�guración del so�ware, etc.).

P [_] F [_] NA [_]

4Veri�car comunicaciones entre sistemas, las señales de E/S entre sistemas funcionan co-rrectamente.

P [_] F [_] NA [_]

5 La visualización de subsistemas dentro del sistema está de acuerdo a la especi�cación P [_] F [_] NA [_]

/��%��<��%��<��

/��%��<��%��

��


H}¦�$+/��$�¬�/�:k+�+/H$��Hk

+��'��$'P��'��R��#'�$��$��'��'��O'$��&��$�'��&�'��)� &'�'$��$��6�6

ACEPTADO [_] NO ACEPTADO [_]

/��] }��}�� }��³��*��j��FAT

��%��

/�� <��

/��

��

Vendedor ��<��

Vendedor��

��

��%j��%��[_] ��%j��%��[_]��!�!��%��<��%j��%��[_]

��%��<��[_]

�*��%��!>��[_]

��]


H}¦�$+/��¬�/�:k+�+/H$��*Hk

+��'��$'P��'��6�R��#'�$��$��'��'��O'$��&��$�'��$�)� &'�'$��#��'��&��6�R��&��6�R�K�'��3��3�'��&��'�$�#��'��L��'��#��'��'��$��'��


/��] }��}�� }��³��*��j��*Hk ��%��

/�� <��

/��

��


Vendedor��

��

��%j��%��[_] ��%j��%��[_]/��j��[_] /��j��[_]

��]


H}¦�$+/��¬�/�:k+�+/H$��*+k

+��'��$'P��'��6�R��#'�$��$��'��'��O'$��&��'�$�#��'��$�)� &'�'$��#��'��&��6�R��'��#��'��'��$��'��

ACEPTADO [_] NO ACEPTADO [_]/�� }��}�� ³�}��*��*j<��*j<��j��*+k ��-

%��

/�� <��

/��

��


Vendedor��

��

��%j��%��[_] ��%j��%��[_]

/��j��[_] /��j��[_]

��]


H}¦�$+/��ª�¬�/�:k+�+/H$��$��H/�}kH/+ ��$��*+*k��H

+��'��$'P��'��$�'��'�$��#'�$��$��'��'��O'$��&��$�'��&�'��K�'��'�L/��&��de aceptación en planta y de las pruebas de integración en planta (si aplica) y se usa �� $��'��'�$��'��$��'$'��P��'��'��'��#��'��'��K�6�L��$��'��


/�� /��}�� }��*��*j<��*j<��j��Hk ��j��*Hk ��j��*+k ��

EL ABAJO FIRMANTE CONFIRMA QUE EL SISTEMA DE AUTOMATIZACION HA PASADO FAT, SAT Y SIT DE ACUERDO A LA ESPECIFICACIÓN

/�� <��

/��

��


Vendedor��

��

��%j��%��[_] ��%j��%��[_]

/��j��[_] /��j��[_]

��]


H}¦�$+/��¬��+*kH�$��/��}:�¢H/+ ��$��H��H��H/+ ��$��H�SEGURIDAD FUNCIONAL

G��'$�7^� ��P��)��#'�$��$'�'��'��$��$��-

��'��#��'��'��K��3��L�*��$��'7^� +��'P��'��3�'�'$��#��'��K6(6L�^� G��&��^� G��'�'��$��^� ��'��'�$��

>�� H��!�� :�j��}�j�<� ��

1 La evaluación de peligros y riesgos se ha lle-vado a cabo. P [_] F [_] NA [_]

2Las recomendaciones surgidas en la evalua-ción de peligros y riesgos se han implemen-tado o resuelto.

P [_] F [_] NA [_]

3 El procedimiento de cambio existe y ha sido correctamente implementado. P [_] F [_] NA [_]

4Las recomendaciones surgidas en la evalua-ción de la seguridad funcional han sido re-sueltas.

P [_] F [_] NA [_]

5

El sistema instrumentado de seguridad está diseñado de acuerdo a la Especi�cación de los requisitos de seguridad (SRS).Cualquier diferencia ha sido iden��cada y re-suelta.

P [_] F [_] NA [_]

6

El Sistema Instrumentado de seguridad está construido de acuerdo a la especi�cación de los requisitos de seguridad (SRS).Cualquier diferencia ha sido iden��cada y re-suelta.

P [_] F [_] NA [_]

7

El sistema instrumentado de seguridad está instalado de acuerdo a la especi�cación de los requisitos de seguridad (SRS).Cualquier diferencia ha sido iden��cada y re-suelta.

P [_] F [_] NA [_]

8Los procedimientos de operación y emergen-cia para el sistema instrumentado de seguri-dad son correctos.

P [_] F [_] NA [_]


>�� H��!�� :�j��}�j�<� ��

9Los procedimientos de mantenimiento y pruebas para el sistema instrumentado de se-guridad son correctos.

P [_] F [_] NA [_]

10La plani�cación de la validación es apropiada y las ac�vidades de validación se han comple-tado

P [_] F [_] NA [_]

11

El entrenamiento de los empleados se ha completado y se ha suministrado al personal de mantenimiento y operación la información apropiada sobre el sistema instrumentado de seguridad.

P [_] F [_] NA [_]

12Existen planes o estrategias para implemen-tar ulteriores evaluaciones de la seguridad funcional.

P [_] F [_] NA [_]

/��%��<��%��<��

/��%��<��%��

PARA NO OLVIDAR

� Las pruebas de aceptación en fabrica (FAT) consisten en probar el hard-ware del PLC y el so�ware asociado para iden��car y corregir errores a un mínimo coste.

� La validación del SIS consiste en la ac�vidad de demostrar que las fun-ciones instrumentadas de seguridad (SIFs) y el sistema instrumentado de seguridad (SIS) en cues�ón, después de la instalación y antes de que estén presentes los peligros iden��cados, sa�sface en todos los puntos la espe-ci�cación de los requisitos rela�vos a la seguridad (SRS).

� Las pruebas FAT es la culminación de la etapa de diseño y la validación del diseño es la primera etapa de la fase deoperación del ciclo devida de seguridad.

� Una prueba por separado de la unidad lógica y de los elementos de cam-po no es igual a una prueba funcional completa de una SIF, desde los elementos iniciadores a los elementos �nales.


/��*�£�*�}:�/k+/�*

� Realice siempre unas buenas pruebas FAT del SIS: hardware del PLC y so�ware asociado.

� Veri�que que la versión de la aplicación instalada es idén�ca a la versión probada en pruebas FAT.

� Valide el SIS después de la instalación, validando todas sus SIF frente al SRS.

� Realice siempre una prueba funcional completa de cada SIF, desde los elementos iniciadores a los elementos �nales, antes del arranque de la planta y por tanto antes de que estén presentes los peligros iden��cados en el SRS de cada SIF.

14�H�k��+�+��k��®}��kH/+ ��$��*+*


SUMARIO:� +��j�� }�� |j\� �� %�j�<�� <�� !�� %�j�<�� :�%��<�� %�j�<��%�� k�%��%�j�<�]��´^��^�� %��%��%��*+*� Para no olvidar. Consejos prác�cos.

14.1. INTRODUCCIÓN

��$��$��'��J�/��'��$��'��/��'�'��)��'��$��&��&�'-��)��$�K��R�)�6�RL�� '��4O'$��

%�� '�� &��$'��$�� $�� $� �� ¨� ��&��)��'P��'��$��/�� 3�� '��$��3�'$��$��)� ��#'��$�'��6��3��'��G��3��'�$��P&��)��&��$��3��'P��'��'�'$&��R�-&'4�� 'P��3��'��$��'��$��$��$��$��3��'��J��'��3�'�'$��O'#'&��$��O'��)��&'�'��+��$9�� '��)��'��/�)�� )��'&'�'��'��3�� )��$��

��'�'�� '��$'��)��'��#T��#��$�� )�� '��$��'P��'��/��&��$��J��/��&��$��O'��$��$��

%�� '�� O'$��$�� '��'�� '��$�� '�$�-��K�-6�8�6�:?@�EE�ED:BEE@�G�$�D�K�+�ADHDD:D��L/��DHL/��K�'�� '&��L� ��'�'�� '��#��/��'��'��$��$��'�$��'��$��$��#��'��)�� -3��$��'��'��$��)�$'��

G��'��3��$��$��$�� $��)��$�� $��'��$��'��ÖR�&Q�� ×��Ö��'��/�T��-W� ��$��'��×

*�&��3��$��$'��/��$�$��'��'��3��$��'��6�6/��'�/��/��3��/��'$��)�3��8��'��8��$�/��8��8��G��$�$�/�Ö��$��6�6�� 3��×


M�'��$�&Q��'�� $� �� '��$��'��)��'��/��3��3��Q��$��'��$�$��3�� )��*�&��)��$��$��6�6��$��$��'��'�$�#�'��3�� $'��

"[��}�:��¦�*��/�*H:+H*��H*�}:��¢H*�H��*�*+*k��H*�

(��3�4��$��'��'��$��'�$��#��P��&��+:ADHE?��+:ADHDD�K�'#��D@�D�)�D@�BL�

��j��"[�"� Ciclo de vida según IEC-61508.

405Mantenimiento y explotación del SIS

��j��"[��Ciclo de vida según IEC-61511.

[��)��'�$��$��H�)�DE��3��P��'�$��P��K�'#��D@�XL�

N��DHµ��$'��'#�'P�$'��3��&��'�/��$�$�� -mos de preocuparnos en operar y mantener el SIS lo mejor posible.

S�� *�P�'�'��#T��+:ADHDD:D��proof test7�“Pruebas realizadas para

detectar fallos ocultos en el sistema instrumentado de seguridad de tal manera que, si es necesario, el sistema pueda ser restaurado con la funcionalidad establecida en su diseño”

.


��j��"[�� Distribución de fallos del SIS.

G�� '��#��P��4��'#��D@�@�7

��j��"[�[� Probabilidad de fallo en el �empo.

(��'��$��DD/��3��'��'-�&�3�� '#�� 3��$��$��'�$�� &��'��'��K�'#��D@�HL�


��j��"[�'� Tipo de Fallos.

(��3��$��4�'$��&��'��'��&��$�&Q��&Q��K��7��+:ADHDD7BEEB/�G�$��D��'��X�B�@XL7�UN��'��P��K��Q��'��L��$��-��$��'�'��$��$��+��'#��'��'��$��$��#��'��/��'#��$��'��<G6V�

El modo en continuo,��$��'�/��P��3��&�$��'��#��'��3��4��'��'#��$��'�/��3��$��'��'�'��'��+��$��&$��4�'$��&��periódicas

G��$��&'��'��'�]��'��&��$��'�'��$��)��'��'��'��6�6��&��#��$��'�]�)��$��en la determinación del SIL.

La medición de la �abilidad�K��$��3��P��&&'�'��4O'$��-��$��'�$��$'��/�)��)�'��P��&&'�'��4O'$�/��/��'��$��3��'��$��'��6��L��3��3��'�-$��O'$��$��$��'�$��$'��'��RR��(mean time to fail).

+��'�$��&��&��P�'��$�&'4��$'��'��(��'-�'��RR(�Kmean time to restore/�3��'�$��$��'��'�$��$��

��/��$��RR(��$'��'��$��$��K$'8BL ��$'��'��'��'��K(RL�7

�RR(� �$'8B�½�(R��


�J��P�'�'��$��7��R<��KMean Time Between Failures) 3��$'��'��$��)��3��)��Q'��$��DD7

�R<�� RR��½��RR(

(��3��$&��'��6��/��#T�� '��$�-��$��'��/��'#�'��$��'P��3��$��'��'�$�#�'��G��&��G�*�#��'�$��'��-��P�/��$��'��$��$��/�$��)��'��$��D7

G�*�#�6�� G�*�#�6��½�G�*�#��#'��½�G�*�#�+��$��P��

-��$�� &Q�$'�� $�� $�� G�*�#� �� '�$��/� �'��$�� '��$��'� 3�� $'�� &�� '��'�� '��/� �� $��'��'��'P��O��'��$��DD��K��P#��'��D��DL7

G��&��'��'��'�$��&��*��'��/�)��'��$��P#��'��$��'��$��

'#��)��$��Å��T�7

H�|j��j�� }�$�!��«��«��%��|j��j��

1oo2

2oo2

2oo3


W&��3��'��O'�$�/��'��/��'��'��R��G��$�$�7

"[��*kH¢��/+�+��k��$��+�k�:�H��$��H*�}:��¢H*�H��*�*+*k��H*

�� '�$�/��'�$��'��$��$��#��'��K6�6L��'��'��#��'��K6��L��'��$��$��'�)��$-&��'��'��J�/��&��'��'��'�$�#�'��K6��L��3��'��'��

G��$�$�/��$��'�#��'��$��$��3��'��$��$��)��$'��$��$��'��/��$��3��$��$��ingeniería de los mismos, por ejemplo en la necesidad de redundancia en sensores, '��$��'��Q��'��'��&��in-line o procedimientos de '��'��$��'��$��'��P��/��$��

��$��7��#'��3�� '��P#��'��'�$��$��-

��'��)��$��P��$��#��'��/��$�'��'��)��$��'��'�$��$��$�&'4��$��'��+��$��$��&��$��'��'��'��proof test��#T��3�'��6��'��)��&��3��&��$��$��disciplinas de diseño, mantenimiento y operación.

*��$��/�&��input�3��'&'��'��$��'�-��'��/�T��$��$'��$��$��'&��&'��3��3��'��/�$��7

^� �&'��P#��'��KJ�'��'/��&'��#'��$-�'��D��B/�B��B/�B��X¶L�

^� �J�'��$'��ush/drain.^� �J�'��$��#��)��$��

tests.


^� �J�'��$'��&��3��&'��^� Necesidad de incorporar autodiagnósticos a los componentes.^� *'��'$'��'��$��'#��$'��$'��partial stroke para elementos

P��¶^� Etc.

�� '��'�$��&��$��6�6��6��$��'��/��'�'��)��$��$'��&��'��/��$��$'��'��/�� -$��$��/��#'��$�'��/��'/��$��'#��$'��$��/��$��

G��Q��/��'�$��'�'�'��$��'�'��-��K��'��/��'��/��$��'��'��'��/��'�$�'��$��'��$��3��Q��'�$��'��3��'��'��-��$��

-��$��PQ��'�$��&��J��$��'��$��$'��$�� #�� '��/� ��3�� '�'�� '�$�#�'��$��3��'��'��+��3�'��/��'�$��&��&��:��'��'��$��)�Q��$��&��$��/��-��'��'��)��'��&�'��$��#��'��'��$��$��$��'#�'P��3��$��'��$��-$��'&��&��3�'��)��'��/��$��$��'��'��/�)�3��#��6��3��'��(pudiendo llegar a parada de planta).

N��$��3��$'�'��'��'�$��&��-�'��$��$��$��K�$��'#��$'��L��$��$��&��'��3�� '��$�$��&��3��'��-$��$��$��$�/�)�3��$��$��$��$��'��'��G�� Q��/��&�$��'�� $�� O'�� '&��'��)��$��$��autodiagnóstico. Sin embargo, para situaciones como la descrita podemos usar otro $'��'#��$'��O$��$�/��Q��'��J-��#'��'��$��$��'��$��logic solver.

+��Q��3��3�� )�3��$��'��$��3�'��'#��$'��-�'��/��'��'��$��'��/��Q��$'P��-�'��'�$��&��

Nota: ��'��3��'��'�$�#�'��3��'��'��'�$��&&'�'��7

SIL PFD RRF1 de 0.1 a 0.01 de 10 a 1002 de 0.01 a 0.001 de 100 a 10003 de 0.001 a 0.0001 de 1000 a 10000


[�3��$�$�/�� $&��periodo de pruebas asociado a un SIL ��$��'��/��&$��$�&'4��$��'�$��+�$��&'��-��#��3��7

G��Q��7

G��'�$��Q��$��$��'��/��)��'��G�-*�#��'#�'��$�/�)��'�$�#�'��6��:B�$��7

14.4. RESPONSABILIDAD DE LAS PRUEBAS Y LA OPERACIÓN $��*�*+*k��H*

[� ��$��3��&��O'�$'��$��'��'��'�� diseño, man-tenimiento y operación�� $&��'�$��&��

+��'��$��P��3��&��)��$��'�$��/�)��#��$��$��3��'��#��'��$��'��$��$��$��'��$'��)��'�$��$��'��)��&��)�$'��#T��'��J��'��'�$�#�'��3��'��

-��$��$�$'�$�K'�#��'��L�3�'��'��plan de las actividades de operación y mantenimiento del SIS con apoyo del cliente, �� $��/�)��&��'��'��'#�'��$�7

^� ��$'�'��'��)��^� *��#��$'�'��$��'�'��$��$'��/��&��'��-

les y rigurosas.^� �� '�'��$��/� ��'�� )� $4��'�� $�� '�� )�

mantenimiento.^� S��'P��'�� '�'�� '�'��$��'��)��$��'-

miento.^� G��#��#��$'�� #'�$�� '��$'P�� &��

�&��$��$'�'��^� +3�'��)� ��'��$��3��'��&��$'�'��-

tenimiento.^� ��/��$��$��)��#�'��'��&��$��$'�'��^� +��#��'$�'��)��$��'��3��'��3��&��

��&��$'�'��'��)8��$��'�'��$��^� (��'��'��'��'��'��P&'�'��-

��$��6�6��$��'��


+��$��plani�cación��'�'��$��'��)��$��'�'��$��)��&��'��7

^� ��'�$��&��&��'� ��'�'��-tos.

^� ��'��)��$�'��'��3��'��'��$��'��#��)8��-��'��'��$��'#��$��$��'�'��$��'��K��Q��/��&��$��)�3�4��$��'��$��$'��&��'��$��'�$��$'��3��$��'��&'��'��'��&��$��'�'��$�L�

^� ��'��3��&��$��'��'�$��^� ��'�� 3�� &�� #'�$�� &�� $�� '$�� )�

pruebas.^� G��'�'��$��$��6�6/�'��)��7

:� �(��'�'��'#��$'��)��'��#T��:� �G��'�'��$��'��'��

��'��)��$��'�'��$��&�� &��'�� '�'��$��$��'��)� )�3��#��$'��3�� 3�'��&��$��$��$'�'��$��'&��)��&��$��

��&��$��'$��'��)��'��6�6��+�$��'$�'��&��#��'#�'��$�7

^� M��'��6�6�Ksets points de disparo y las acciones ��$�$��3��'��'�$��L�

^� ��'#��$��3��6�6��$��$�#'��^� ��'��$��'�$��$��)�&Q��3�4��'��$��'��

estos se deben usar.^� ��'��3�'��$�'��)��$'�'��3��

��)��$��$�'��&��$'��^� +O��$$'��$'��'��'#��$'��K��Q��/��-

�'��$��$'��6�6L�^� ��'��#��'��P#��'��6�6�^� La aplicación de la lógica del SIS.^� +�$��'�'��$��$��)��O'�$��$�� '��

uso de SIS.

+��'��)��$��'�'��$��&��'$��#T��3��'��$��J��'��6�6�K�3�'��)��#��L��'�'#'�� '�$�#�'��G��/�)��'��'��)��&'�'��/��&��$��P��$��'��$��$'��

Los procedimientos de prueba (proof testsL��3��'��'�'��/�)��-3�'��&��'#��'&��&Q�$��'-grosos no detectados por el diagnóstico. Estos procedimientos escritos deben descri-&'��$��3��&��'��'��7


^� ��'��$��)��$��P��^� La acción lógica correcta.^� Las alarmas e indicaciones correctas.

R��P�'��'��$��$��$��proof test se deben reparar de una ma-��#��)��$��6�6��&��'��'��'��$��#��3�� )��'��'P��'��$��'��)��&��#T��$��'��K��Q��7��$��&'��$��'��$��$��/�&�-��O'��/��&��$��/� $�&��UconduitsV��$��/� $��$�/��$��'��'��$�L�

-�$7� Es posible que las frecuencias de las pruebas deban reevaluarse en función de diversos factores, entre ellos los datos históricos de las mismas, la experiencia de la planta, la degradación del equipo y/o programas y la con�abilidad de estos.

6��&��$�� #'�$��3��$'P3��3�� &�� '��'��'�� 3��'��/� )� ��&�� '��'�� '#�'��$�� '��'��'��7

^� *��'��'��$�&Q��'��^� �� )��#��'��'��^� -��&��'��^� -T��'��$��'��$'P��T�'��'�$��&��¨��$��$��/�

��T��/��T��'��$'P��'��/��T��3�'��/��T��de SIF.

^� ��$��&��K��'��O��'�'��Ø$��)��$��Ø�)�Ø$��)��Q�ØL�

"[�'��k+}�*�$��}:��¢H*]�OFF-LINE Y ON-LINE

"[�'�"��}:��¢H*�OFF-LINE

+�$��$'��&��'��'��$��$�#��$��-$'��/��$��'��$��'��$'��$��'P��'��#��'��'��$��+��T��'��'�-nes de seguridad.

+��&Q�$'��'��'��$��$��'#��$��'#:��$'��/�)��'��6�6� ��'��$��$��'��J��/��)��$��'��&&��3��$��

��3��'�'��$��&��'��$��&��$��'$��=�>��-6�8�6�:?@�ED:D==A/��3��#'�� )��T�'��'-�� $��$��'&'�� $4��'��)� ��'�'��$�� P��'� ��'��&�'��'&��3��$��'��$��'#��'�$��


R��'��K6��L��6�6��&��$��$��$��'��$'P��/��como todas las entradas, salidas y lógica asociada a cada una de ellas.

+��'�'��$��'$��'��&��&��'&'��'��$��'��'��/�)��&��'��'��'��/�$�$��$��'��/��3��$��O'$��+��3�'��'��&��'P��y calibrado.

"[�'�"�"��:�|j��%��>&��

G�� '�� &�� '��$��'��&�� $�� &'��$�� '�� )� �'&�� &�� &��#��'�$��4$��$'��K��Q��-��/��#��'��$��'$��#��L/��$��$��$��&�� &��'��'��'�$��$'��'��'��$��)��&�� &��'��$'P��$�&Q�/�'��'�'��$��Q��3��$4��'��&��

��'��'�'��#��$��$��/��$��&��&��'��'�$��$��'��3��'�$�#�'��3��'��-�'��3��'��$��/�)��$��$��&��$��'��#��'��/�)��$��#��'��P#��'��'��J��$��$'��$�'�#'��'�$��'#��'��$��'��$��$'��3��&��'��'��#��'��$��'��'��&�

��#'��/��&��$��$��$��$��'��'��/��$��3��$��$��3��Q��#��'��$�$��'��#��'��3��/��&��7

Sensores/Transmisores/Switches

G��&��$��$�� $��7

D�� '��'��K��$��&��off-line),B�� '��$��'�'��'��#��'�$��$��'��

�3�'��$�/��X�� '��'�� '��$��'��'��

��$4��'��#'��&��'P��'��'�'��$�/��'��preferen-te el orden indicado��N��$��'��&��&��'P��$��$��'��'��$�/��'�/��'��/��$��/��#�/��$��/��$��

-�$7 Los switches disparan el lazo una vez se dé la condición insegura en el proceso (set point), pero no nos dará información del estado del proceso hasta ese momento, como lo puede hacer un transmisor vía señal analógica. Por ello es normal tender a evitarlos en este tipo de aplicaciones de seguri-dad, y en cualquier caso deberán testearse con una frecuencia mayor que los transmisores.


+��'��$�$��$��3��&��'��8$��'��8�9'$� /�� 'P�� $�� $��)� ��'��'��$�� O'�� /� ��O'��4�$�'��/��&��$��

��'�� &�/� ��$��$��/��'&��'��/��'P��'��set points/��$��/��'#�'��$��$��/��'��Q��$�$'��

Logic Solver

(��'�� &�� $��$��/�3�� '��'�� $�� '�� 9�� '��$�&'4��$��'��'��$��'��'��)��/��$��'�/�)� )�3��$��'��$��3��'��$��$��'��$��'��#��'��

*�&��&��'��'��'��$'��'#�/��'��3��$��$��$��#'��+�$��'��#'��&��'�$��4��-$��'��$��'��/��$'��'�$��$��'��#��&��

�� O'�$�� '#��'$�� )�� O$�� $'��¾*R� Kwatch dog timers), +�$��&�� $��$�� '�� '�3�� #'�� 6��-��$��&��$�'��'��$��7�American Institute of Chemical Engineers, Center for Chemical Process Safety, guideline series book, “Guidelines for Safe Automation of Chemical/Petrochemical Processes.”

��'�'��$��3��#�'��P��)��3��'�7

^� *'#��^� Diagramas lógicos.^� +�3��4�$�'��^� �'�$�� 3��¶

La comunicación con nuestro logic solver��P�$'��$'��'�$�� &��:��3�'��K%��L��'#��-

��)��3�'�� '��'��$'��+�$��'�'$��'��$��$'��&�/��'��$��$��'�'��'��)��&��$��'��'��$��&��'��)��K��-��$��P��L�

+��3�'�� &��3�� 3��)��'P��'#��$��internos para la calibración y los límites de los rangos mediante manipulación de los ��$��)��'��%&��3��&��)��'��el sensor y el de lectura en el logic solver con un medidor certi�cado y ajustarlo al �'��'��'��)��Bµ��#��'��

S��$��#��Q��

Elementos �nales

<��'��$��$�$��&�'��)��)��$��'��'�'��/��#��'��$'��$��#��$��'��'��$��


��'��$��'��3��$��3��'��7

^� ��#�� 3��$�'��$��'��$��¨^� $'��$��)��'��K��3��J�� $�3��

��$��/��$��$��'&��$'��$��3��#��$��'��$��3��L¨�

^� ��&��#��#�'�$��'�$��leak tests�3��#��Q'��'��$�$��#T��3�'��/��P�'��-�'��'#��3��3��'$�/��)��$�3��'��¨

^� ��&��'��$��3��$��$��$��&��$��/��O'��4�$�'��)��$'��

Otros elementos secundarios

� Válvulas solenoides ��$��3��'P��/��'��'��$��$��#'��/��$��&�&'��)�3�� )��#��'��/��&�$��'��$��$��)��$��'��$�'��#��

� HMI ��3�'��'��'��'��'��'&��3��'��6�6��'$��#��P��$��%��/�)��$�'��$�&Q��<G6/��$�'��$4�'$��'��/��'��&��$�&'4�� 3�� #�� '��$�� '&�� adecuados, las prealarmas de disparo, set points�)��'��$��$��$'��deben comprobarse.

� Comunicaciones ��3�'��'��'��$��'�$��<G6��G��'��'��6�6��&��$��$��#��$�$��-��'��$��/��)�$'��6��&��#��/�)��'P��3��'&��'P��'��$��6�6��3�'��$��'�-$��'��'��/��'�3��$��'�$��$��'��#��'��P#��6�6�

� Tubing, cables y sus conexiones/��#��)�P�$��'��/��Q��'�$��-��O'��/�conduits/��'��'��$�/��$��)��#/��'��#��)�'��'��$��/��$��/��$��$�&'4��$��$�)��3��/��'��/��&��#��'��'��'��

"[�'��PRUEBAS ON�LINE

+�$�� $'�� &�� 3�'�� $��'�� '�/� ��'��'�� '��J��)��'�'��$��$�'�$��6��&�� $��'��J�� '��#��'��'�'�'��'�'��'��&'��$��&�/��$��3��$��'�'��'��#��'��)��&��&��$��'��$��$'��/��3�'��$��J�'�� &��on-line/�)��&'��'��$��$�'��/��&��'��$�� 3��$��'�'��+��'��$�$��$��)��$'��3��$��$'��&��


��'��$��'��/�)��$�$��$��'��$��riesgo de perturbación del mismo, e incluso de parada no intencionada causada por una ejecución incorrecta de las pruebas.

��$��'��&�on-line��&��'��'�'��$��3��&��$4��'��'P��'��$��$�'��8��$�'�'��$��'-�'��$��)��'��/��$4��'��3��$4��'�'�'��/��'��#��)��$��'��+�$��#��&��'��/��'��/��'#�'��$�7

^� ��'��$��'��3��$��$4��&'��$��'��-&��&�3��'��$��6�6�

^� ��'��#��'��3��'��$��$��$��^� +��'��'�'��$�/��$��'��$��$��)��'��$��&��^� ��'&��$�'��$��'�$��/��<G6/��u otras SIF.^� +��$�&Q�/��O�$��$��3��$��$��)��&��'��

��'��$��'�� ^� �� '��'��/� ��'�/� ��$�� $4��'�� $��'�'��$�� 3�� '��

��&�)��3��'��'&��#��)��necesarios reseteos.

^� ��'��'$'��3��Q��'��&)��)��

^� G��'&��'��$��$�^� M�4� ��&�� /� ��'�� )� ��$��'�'��$�/� �� 3�� '��

��6��'��$��input�3��$��$��$��$��&'��

^� M�4��&�� /��'��)��$��'�'��$�/��'��6��3�'��'��-��'��$��$��)��$��&'��'��$��$��

^� ��/��'�'��$�/��#��3��$��'��&/��6��$��'�'��

"[�'��"��:�|j��%��>&��

Las pruebas on-line -W��&��'��'��'��#�-�'��+�$��$��/�)��'��$��$&��'��'��/��$�� '��'��$��$'��&�/�)�3��3��'�$�#�'��K6��L��3��'��$��'��6��3�'��'�$��&��3��'�$��$&��'��/��$��'��'&��

+�$��&��'��$��$�4�� $�$��3��3��'��/��'��$'��3�� #��&Q��$�'�$��'-�'��$��/��'�'��$��3�� '��&��)��&��O��$��'P��

-��&�� $� ��$�� #��3�� &�� '�$��'��3��$��&��'��N��$4��&'��$�-


��'��/��&��'��$'��$'�'��'��'��$��6�6/�)��&��'�'�'��'��6��/��$��'��$��$'�/��'� )��

��'��/�$��'��&��&��-guir en caso de una demanda real del proceso y debe incluirse como llamada de $��'��'��$��'�'��$��&��on-line7 “Precaución: el operador debe entender con claridad este procedimiento y estar preparado para que, en caso de que una demanda real del SIS se produzca durante el mismo, sea capaz de implementar con efectividad un plan de mitigación para este proceso”.

��$��$��$'��'��#��#��&��O'�'��P&'�'��&��'��$��#��'��7

Sensores

�3��3��'$��$��$'��&��&��/��#��/�'��$��#T��'��redundancia��#��'��'��$��'��&��6'�la �abilidad��/��P#��'��$��#'��$-�'��B��B��B��X��'��

6�� &�� $��'�� '� �� '��$�� &'�� '�'$�� &� K��$�'��'$��'&��'$��/��$��3��$��$��)��#��$��/��'��3��'��L��#'��$��&��$&��$'��O'��K��$��'��RR(L��3��$��$��'$�-�'��#��

��$'�'�� autodiagnósticos��$��$��'&��$��'��/�)��P&'�'��$��$'�/��'��'�$�'��/�$'��B��X/��D��B��'��K��$��$��L��$��'��'��+��$��&'�� '��$��'��'��$��&��*��$��#��$�'��D��D�)/��$��3��#��'��'$��$��#��'��W$��'��$��B��B��$��'#��$'��)��P#��'��'�-��K��'��'��$��'��)��/��$'��O'��$&��'��/��$��'��RR(L�

��'��&��)��3��$��$��6��/��'��RR��'��/��-�'�)��#'��$�'��N��'��$��'��&��P#��'��$��$��'��6��/��'�$��-��'��J��#'��)��'�'��&�$��$��$��)��'&��$��P#��'��$��3��'�'��

Logic solvers

Una prueba on-line del logic solver��$'��$��'��'��logic solver��&��&��)��'��$��'��6��


��$��'��+��'��$�$�� '��'�'��'#�'��$��&��3��'��#��)��'��3��6��&�3��-��'�'��&'��#'��

�� &�� $�� P�� '�� $-�'��'�#��'��$��'��'�$��$��'��&��3��$��'��+�$��$�'��'��'��#��'��#��)��'#��3��$��6��/��3��'P��'��allí antes incluso de implementarlas.

+�$�U��'V�)��O��'��'�$��&��#'��/��3�'��/�$��3��$��$��'��P�'��3��'�-$��$��'�� '��'�'��#��

Elementos �nales

6��$��6��3��$�'&�)��)��'��KHEµL��&&'�'-��'��3��'��$��'��+�$��&��'��$��7

^� 6��$��'�'$��'��$��'#��$'��K��O��'��'��'$'��partial stroke��/��$��)��'�'��-��T�$'��#��'��3��'��smart).

^� R��'��$�� '�'�� PQ� ��$�� #�� '�� $'��/��'�� $�3��3�'�� proceso.

^� G��$�� '��$��'�'��'�'��'��K��'��/��'��'��'��/��$��'��/��$��'��¶L�

^� ��$'��#��$'��3��J��$��'��'��3��&��$��&'��'�$�#��)��$��'��3��/��Q��$��$-��P��&��

G��$��/��$�/�)��'�$�#�'��3��'�/��-$��P��$��'�$��&��O'#��$��3��Q��$��'�$��-��$&��'��/��3��&��on-line ��'��&��

G�� '��J��$��$��)��$'��$��'��-$��'��/�)��&'��/��$��$��/��'��'$'��partial stroke, ins-$��$�'��)�/��$��'��$��$'��&��'��'�$��'��el proceso.

*�&��$��'��$��'��3��$��3��'� &'�'$��/��Q��4��'��'��'��$��$��K��-��$��3��$��L��$��'��T��


�� /� �� J�'�� '� �� $�� P�� suponer una reducción en el periodo de las pruebas. En este caso es importante tener &'�� $��$��$��P��)��$��$��&�'��S��'��$��Q��7

�� +��'��3�'��'��'��'��'#��7

� +�$��'��P#��'��D��B��3��'��'��)��P�'��$��Q��'��#��'��6��&��K��'��4�$�'��/��L�

� +�$��P#��'��B��B��3��-�� Q�� '�� #��'�� &�$��/��'��3��&��6��$�&'4��

�� +��'��3�'��$��'��-��'��'#��7

� +�$��'��P#��'��D��B��3��$��)��P�'��$��Q��'��#��'��6��&��W�K��'��4�$�'��/�&�'�L

� +�$��P#��'��B��B��3��-��'��Q��'��#��'��&�$��&�'��/��'��3��&��&�'��6��$�&'4��W�

+��$��$��'��/��#T��'&'��$��Pruebas off-line, debemos mostrar las mismas consideraciones para las pruebas on-line.

"[�'��/��*+$�:H/+��*�ª��:H��*��/�H�k��H�$�/��kH/+ ��REGISTROS

��$��'�'��$��'��'��3��6��$��'��/��pruebas a sus componentes, denominados proof test/��&��P��*�&��$��P�'��$��$��$��)��&��$��'-�'�'��$��'�#T��&��$��'��'��'��*�&��'��'�/��7

^� 6��3��$��$��$��$��^� Descripción de la SIF.


^� *��'��'��$��K��/��'�/��$��L�)��'��'��^� ��$'�'��$��'�'��$��'��^� ��$'�'��'��'��^� +3�'��)��'��'��&^� 6��'�'��O'�'��'��3�'��K��$'��/�P�$��/�&$��¶L�^� ��'��'��^� G��&��'��^� �4$��'&��'��^� +�$��$��)��4��&�^� (��'�'��^� (��'��$��$��G¡�*�/�loop drawings, etc.^� %��)�� ^� -��&��)�P��$'�'��$��

+�$��'�'��$��&��#'�$��)��$��#T��$'��empresa, pero es muy recomendable disponer de un programa de gestión integral ��$��'�'��$�/� �� 3�� $�� '�$��'��&�� '��$��/�� $��&��'#��$�/��repuestos necesarios, etc., etc.

"[�_��£��}��*�$��}:�/�$+�+��k�*�$��H�k��+�+��k��OPERACIÓN DEL SIS

+��$��$��O��/��Q��/��#��'�'��$��'��-��)��$��'�'��$��3��$��'/��'�'��-�'�'��$��&��'��'$��$��'��$��$��/�en el Capítulo 8.

+�$��'��/��'��Q��/��3��$'�'��-��$��R:DDD��'��'��'��)��&��&��G:DDDD��)�GDDDD<��-�'��#��'��3��'��&��&��)�&Q��

S��$��$'��'�'��$��3��'��7

1. Proof test ��$��K��$��L�2. G��'�'��$��'��'��$��K��$��L�3. G��'�'��$��'��'��K�$��L�


"[�_�"��£��}��*�$��}:�/�$+�+��k�*�$��H�k��+�+��k�

*+*�}:��k�*k�q��k^""""

}:�/�$+�+��k��$��}:��¢H�H��k:H�*�+*�:�$��/H�$H�POR PRESIÓN DIFERENCIAL

SECCIÓN 1

/��&��

��Trabajo crítico ��R�&Q��-��$'��'�8 ��'�$�� Trabajo rutinario

Introducción

+�$��'�'��$��$��$/��'P��'P��'��$��'�'��$��&��

W��'��G��$�

:�%��<�

�'�$��'��$�&Q��)��&�'#�'��7

ROL RESPONSABILIDADES- Responsable de EH&S � Interpreta la legislación y como afecta esta a los pro-

cedimientos de operación.� Proporciona documentación y requisitos que aplican

dentro de la organización.- Ingenieros de producción

- Ingenieros de mejora

- Coordinadores de ac�vidades de planta

- Coordinador procedimientos

- Otros a de�nir en las plantas/departamentos

� Que la totalidad de procedimientos de operación es-tén actualizados.

� Que la totalidad de procedimientos se u�licen de modo correcto.

� Revisión de los procedimientos crí�cos y de emer-gencia.

� La aprobación de los procedimientos crí�cos y de emergencia es responsabilidad de los ingenieros de producción.

� La aprobación del resto de procedimientos es res-ponsabilidad de los coordinadores de ac�vidades.

- Administrador de la documentación

� Que los procedimientos estén archivados en su lugar correspondiente.


ROL RESPONSABILIDADES- Personal experto en la

materia� Es conocedor de las ac�vidades a realizar.� Determina las prác�cas más apropiadas para cada

ac�vidad.� Iden��ca entrenamiento y recursos de aprendizaje

aplicables a los diferentes procedimientos.� Redacta o modi�ca procedimientos y, según nece-

sidad, consulta con otros miembros del departa-mento.

- Persona que revisa y da la aprobación

� Persona conocedora del proceso y de la instalación, de acuerdo a la de�nición contenida en la polí�ca moc (ges�ón del proceso del cambio) de las plantas, departamentos, funciones y servicios compar�dos.

- Usuario (personal que desempeñe su ac�vidad en la planta)

� Comprometerse al cumplimiento de los requisitos recogidos en las polí�cas corpora�vas.

� Cumple con el contenido de los procedimientos de operación.

� Iden��ca la necesidad de nuevos procedimientos y par�cipa en su elaboración.

� Iden��ca la necesidad de revisar procedimientos ya existentes y par�cipa en su modi�cación.

� Como usuario, par�cipa en las auditorías de procedimientos.

}��

Lista de riesgos potenciales con sus precauciones asociadas, a tener en cuenta an-$�� '�'�'�� $�&Q�� K��'��'�� #��'��/� $�O'�'��/� �O��'�'�� )��'��&'��$�L7

RIESGO PRECAUCIÓNTrabajar a altas presiones Durante las maniobras se generan altas presiones, por lo

que se tendrá especial cuidado en tomar todo �po de pre-cauciones, así como el cumplimiento de todas las normas de seguridad referente a equipos de alta presión.

Línea de fuego Siempre que se pueda se evitará estar en la línea de fuego, de la tarea que se esté efectuando. En el caso de no poder evitar la línea de fuego, u�lizar los equipos de Protección Individual y barreras �sicas necesarias para minimizar el riesgo.


RIESGO PRECAUCIÓNGolpe accidental Trabajar con herramientas adecuadas y en buen estado.

Se extremará la atención a la hora de dirigir nuestros movimientos si el espacio es reducido. Tener en cuenta la posición correcta para efectuar el trabajo (ergonomía).

Área de trabajo El acceso debe estar libre de obstáculos. La zona �ene que estar limpia de aceites o �uidos que puedan causar un accidente. Si no hubiera buena visibilidad, buscar ilu-minación adicional.

Inhalación, inges�ón, contacto con sustancias nocivas, cáus�-cas, corrosivas y exposición a altas temperaturas

Usar equipos de protección Individual adecuados según requiera el trabajo. Solicitar a producción información sobre el producto, el cual ha estado o está en contacto con el instrumento y la forma de eliminar riesgos.

�|j�%��%��

�'�$��3�'��$��'��3��'��'��'��$�&Q��6'��'��$��$��'��#��'��/��$�$��$4��'��+%¡67

EQUIPO DE PROTECCIÓN DISPOSICIÓNCasco, gafas y zapatos de seguridad, protec-ción audi�va y ropa ignífuga.

Personal

SECCIÓN 2

Introducción

+�$�� '�'��$�� $'�'�� 'P�� $�� '�� $��'��$'�'�� 6�6�3�� 3�� '#��$'�� '�$��+��'��$�$��3��$��$��$��'�'��$��'��3��

:�|j��<�|j��

R��3�'�'$��&��3��$��'$��'#�'��$��'-�'��$��&��3��#��$'��/��'��)��Q��$��$7�Ais-lamiento SIS-FT1111.

}��j��<��K��j�

N��P��'��$�&Q��'��#��$'��'��

/��

+�$��$�&Q��$��'��$��


��

�'�$�� '��$��'��3��'��'��'��$�&Q�7

^� Comunicador del Fabricante y manual de instrucciones.^� ��$��$��'#'$��^� +3�'��'&��'��'��$'P��

}��

(��'��'��'��$�&Q�7

^� Instrumentista.

}��j��%��j��

^� Normalmente todos los transmisores con o sin capilar se pueden comprobar )��'&��'��'��$��6'��Q��$��T�'��$��$��D�)�X��+��$��'�/��Q��$��$��$��'�'��$��

}��%��<��

R��3��'��$��'��Q��'��$�&Q�7

TAREA

1 El instrumen�sta informará a la persona responsable de planta del alcance del trabajo a efectuar para que actúe en consecuencia.

2 Planta situará al FT1111 en manual desde sala de control. Se ac�vará la alarma de fallo de instrumento de FT1111. Se ac�vará la alarma SIS-F-LL del disparo de este SIS.

3 Planta bloqueará el FT1111 según el procedimiento Aislamiento SIS-FT1111

4 Planta no��cará al líder de operaciones que se va a realizar el proof test sobre el FT1111.

SECCIÓN 3

H��j��;j��!��

ACCIÓN �© OBSERVACIONES1.1 Localice el transmisor en planta.1.2 Compruebe que el instrumento esté correcta-

mente iden��cado como lazo SIS.


ACCIÓN �© OBSERVACIONES1.3 No��que a la persona responsable del cuadro

de control que el transmisor se quitará de servi-cio y que tome las acciones oportunas.

1.4 Operación debe aislar el transmisor según el procedimiento Aislamiento SIS-FT1111

1.5 Si el instrumento �ene los accesorios como para poder comprobar su calibración sin des-montarlo, pasar a la Tabla 14.7. En caso contra-rio, con�nuar con la Tabla 14.6.

$��j��%��<��!\��}��j��%��j��

ACCIÓN �© OBSERVACIONES2.1 Asegúrese de que el transmisor está fuera de

servicio. Revise el apartado 1.2.2 Purgue la línea desde las tomas de aislamiento

a las del transmisor, según procedimiento espe-cí�co de planta si lo hubiera.

2.3 Desconecte el cable de conexiones eléctricas (iden��que el conexionado) y veri�que su es-tado.Compruebe la ausencia de agua o humedad en la caja de conexiones.

2.4 Saque el transmisor de la línea de proceso.2.5 Inspeccione si la línea de la instalación �ene

fugas, corrosión interna o externa, obstruccio-nes así como el estado de sus elementos de co-nexión. Anótelo en la Hoja de Revisiones.

2.6 Limpie el instrumento.2.7 Inspeccione el estado del transmisor. Si está

averiado, reemplácelo por otro del mismo mo-delo y caracterís�cas. Si no es así pase a la eta-pa 2.8.

2.8 Lleve el transmisor al taller para su calibración.


/��%��<��<��j��

ACCIÓN �© OBSERVACIONES3.1 Si el instrumento está montado en campo, pur-

gue la línea desde las tomas de aislamiento a las del transmisor, según el procedimiento es-pecí�co de planta si lo hubiera.

3.2 Prepare equipo de calibración y el transmisor a calibrar.

3.3 Conecte el transmisor a una fuente de presión, comunicador y alimentación eléctrica (en el caso de que esté en el taller).Use una fuente de presión NO corrosiva y com-pa�ble con el producto (consulte con Planta).

3.4 Mediante el comunicador, lea y guarde las va-riables de proceso.� Si el cero ha variado más de ± 1% de límite

del rango superior vaya a la etapa 3.8.� Si el cero ha variado entre ± .1% de rango

calibrado y 1% de límite del rango superior vaya a la etapa 3.5.

� Si el cero ha variado menos de ± .1% del rango calibrado vaya a la etapa 3.6.

3.5 Usando el comunicador, realice un cero en bue-nas condiciones al transmisor.

+��j��%��<��

ACCIÓN �© OBSERVACIONES

4.1 Localice el lugar de la planta en el cual se instalará el transmisor.

4.2 Asegúrese de que la línea de la planta dónde se ins-talará el transmisor está de forma segura aislada del proceso.

4.3 Instale el transmisor. En los transmisores de pre-sión diferencial, asegúrese de conectar las tomas de alta y baja correctamente.

4.4 Conecte el cableado eléctrico al transmisor con la polaridad adecuada.

4.5 Usando el comunicador, lea y veri�que las varia-bles de proceso con las lecturas del computador de proceso en sala de control.


ACCIÓN �© OBSERVACIONES

4.6 Mediante el comunicador, veri�que que toda la in-formación del transmisor es la correcta (TAG, ran-go, unidades, número de serie, etc.).

4.7 Iguale las presiones en las cámaras de alta y baja del sensor del transmisor (dP) o abra las válvulas de venteo del transmisor.

4.8 Compruebe la lectura de 4 mA en el computador de proceso en sala de control y efectúe, de ser ne-cesario, un cero al transmisor. No efectúe un cero a los transmisores de la presión absoluta.

4.9 Simule una salida de 20 mA en el transmisor, ve-ri�cando en el computador de proceso en sala de control la lectura y el rango.

4.10 Compruebe, si está de�nida en el programa del computador de proceso en sala de control, la posi-ción de fallo del instrumento.

4.11 Con el comunicador forzar una salida de 3,5 mA. Comprobar con el operador del cuadro de control que ha salido la alarma de fallo de instrumento.

4.12 Deje en su correcta posición las válvulas que ha manipulado en este procedimiento.

4.13 Informe a la persona responsable del cuadro de control, que el transmisor está listo para ser pues-to en servicio.

SECCIÓN 4

��<��

M�4�$��&��'��4��Q��'��$�&Q�7

TAREA1 El instrumen�sta informará a la persona responsable de planta de la �nalización

del trabajo.2 Planta desbloqueará el FT1111 según el procedimiento Aislamiento SIS-FT11113 Planta situará al FT1111 en automá�co desde sala de control. Se tendrá que

resetear la alarma de fallo de instrumento de FT1111 y la alarma SIS-FT1111-LL del disparo de este SIS.

4 Planta no��cará al líder de operaciones que ha concluido el proof test sobre el FT1111.


��

+�$��'�'��$�� '�$��$��7

-��&��8(�� ______________________________________ ____________________________________________________________ ____________________________________________________________ ____________________________________________________________ ______________________

ª��j��

+��$��'�'��$��$�� '��'�'�� '��R��$��'�'��$��)��$��'��$��$��$��$'�/��'��$��'-�'��$��6'�$��$'��8�G��'�'��$��

/��

+�$��'�'��$�� '��7�� 7��

��

+�$��'�'��$�� '��'��7�� 7��

H%��<��

+�$��'�'��$�� '��&��7�� 7��

��j��

:�!�� }��&��

��!��&��

H��%��<��K��

01 01-01-2012 Creación nuevo procedimiento.

Ejemplo.


SECCIÓ��'

��:��]

��%��]kHª]

}��;�k��+��j��*+**+�]

}��]�|j�%�]

+�;��!��}µ+$]

��<��] ��] :��<��]


"[�_��£��}��*�$��}:�/�$+�+��k�*�$��}�:H/+ �

H+*�H�+��k��*+*�¶��k""""

}:�/�$+�+��k��$��H+*�H�+��k��H�}:�/�*��$��+�*k:��k��*+*�}H:H�:�H�+¯H/+ ��$��}:��¢H*

SECCIÓN 1

ALCANCE Este procedimiento es usado para bloquear del proceso el medi-dor de caudal FT1111.

Este bloqueo será usado dentro de los trabajos de proof test y validación de lazos SIS donde este instrumento se vea involu-crado.

CATEGORÍAS ��/�>��

� Emergencia

� �%��

�Mantenimiento

� Puesta en marcha

� Parada

� Temporal

� Otros (especi�car)

H��<j�� Ru�nario

��^:j��

��!��%j��ón

�� k��$��}µ+�·

� � �

RIESGOS PRECAUCIONES

Línea de fuego. Siempre que se pueda se evitará estar en la línea de fuego, de la tarea que se esté efectuando. En el caso de no poder evitar la línea de fuego, u�lizar los EPIS y barreras �sicas necesarias para minimizar el riesgo.

Golpe accidental. Trabajar con herramientas adecuadas y en buen estado. Se ex-tremará la atención a la hora de dirigir nuestros movimientos si el espacio es reducido. Tener en cuenta la posición correcta para efec-tuar el trabajo (ergonomía).

Área de trabajo. El acceso debe estar libre de obstáculos. La zona �ene que estar limpia de aceites o �uidos que puedan causar un accidente. Si no hubiera buena visibilidad, buscar iluminación adicional.


RIESGOS PRECAUCIONES

Alturas. Evaluar previamente la situación del equi-po, altura, lugar y medidas preven�-vas a tomar.

Se deberá u�lizar la protección personal adecuada, pensando en el acceso así como en la ejecución del trabajo en la parte superior. Se deberá llevar puesto arnés de seguridad.

Caída de objetos a dis�nto nivel.

Señalizar zona inferior tomando como referencia el procedimiento de balizamiento, u�lizar postes autos estables, indicar riesgos con el pictograma correspondiente…

/�� Los instrumentos catalogados como SIS requieren de una re-visión individual así como una prueba funcional. En caso de tener que cambiar un instrumento, el sus�tuto debe ser del mismo modelo y caracterís�cas que el sus�tuido, De no ser posible tendrá que considerarse un procedimiento para la ges�ón del cambio. El instrumento averiado quedará a disposición de los analistas de fallos por si hubiera que realizar un estudio.En la medida de lo posible, es importante seguir en su totali-dad este procedimiento. En caso contrario, hay la posibilidad de NO detectar fallos o defectos de funcionamiento. Una vez terminado este procedimiento, cumplimente la correspondi-ente orden de trabajo dando el trabajo como �nalizado y rel-lene el/los informes de revisiones.

*��j�� Para poder llevar a la prác�ca este procedimiento será nece-saria la correspondiente autorización, �rmada por la persona responsable de planta y/o talleres. Una vez �nalizado el traba-jo, el permiso deberá ser devuelto debidamente cumplimen-tado a la Persona responsable de planta y/o talleres.Para la realización de este procedimiento y dependiendo del trabajo a efectuar, se tomarán las debidas precauciones según los estándares de seguridad y/o calidad referentes a la ma-nipulación de equipos bajo tensión, alta presión, riesgo de ex-plosión e incendio, trabajos en equipos con fuentes radiac�vas, prendas de protección personal o cualquier otra precaución requerida en la autorización del trabajo. En todo momento se respetarán todas las normas y direc�cas aplicables vigentes.

:�;�� ISA-TR84.00.03-2002 “Guidance for Tes�ng of Process Sector Safety Instrumented Func�ons (SIF) Implemented as or Within Safety Instrumented Systems (SIS)”.


}��j��-<��K��j�

Una vez �nalizado el trabajo NO será preciso ges�onarresiduos.

/�� Este trabajo no afecta la calidad del producto.

�� Lista de herramientas que se precisan para la realización el trabajo son:� Las normales del operador.

SECCIÓN 2

��%� Ejecutor H��1 Operador Bloqueo a proceso de la FT11112 Operador Normalización a proceso de la FT1111

��%�� ¢�|j��%��k""""# Ejecutor Acciones (Incluir riesgos y

precauciones si procede)Check Nombre/ Día/

Hora1.1 Operador Cerrar las válvulas manuales

anterior y posterior a FT1111 y colocar tarjetas de adver-tencia contra manipulación.

�

1.2 Operador Crear lista de emplazamien-to de tarjetas de adverten-cia contra manipulación.

�

1.3 Operador y mantenimiento

Firmar apertura permiso de trabajo para realizar prue-bas.

�

��%�� %��k""""# Ejecutor Acciones (Incluir riesgos y

precauciones si procede)Check Nombre/ Día/

Hora2.1 Operador Una vez terminados los tra-

bajos de proof test o valida-ción de lazo:Re�rar tarjetas de adver-tencia contra manipulación en las válvulas manuales abiertas anteriormente. Abrir la válvula manual an-terior y posterior a FT1111.

�


��%�� %��k""""2.2 Operador Completar lista de empla-

zamientos de tarjetas de advertencia contra manipu-lación.

�

2.3 Operador y mantenimiento

Firmar cierre permiso de trabajo de pruebas.

�

SECCIÓN 3

��}µ+$· �³�}µ+$ k>�j��}µ+$

BX-1111 Ejemplo para procedimiento

$��j��:��

Listar los documentos relacionados aquí:

SECCIÓN 4

��%��j��

En caso de procedimiento no ru�nario �rmar el siguiente apartado: Inicio: Iniciales __________Fecha ___________ Hora ________Finalización: Iniciales __________Fecha ___________ Hora ________

:�!�� Este procedimiento fue revisado por:(Nombre/Role) (Fecha)

��Este procedimiento fue validado por: (Nombre/Role) (Fecha)

H%��<�� Este procedimiento fue aprobado por:(Nombre/Role) (Fecha)

��j��

�� :��%�� H��!��Ejemplo Creación del documento.


�H�+$H/+ ��*+�¶""""

}:�/�$+�+��k��$��H�+$H/+��$��H¯��*+*

SECCIÓN 1

H�� Este procedimiento es usado para validar la SIF-1111.Por validar entendemos la ac�vidad de demostrar por medio de

inspecciones y testeo que la SIF-1111, después de su instalación, cumple con todos los requisitos de seguridad acordes con su función.

La validación consis�rá básicamente en una prueba de lazo que:

1. Llevará a todos los sensores involucrados a su condición de ac�vación de lazo.

2. Comprobará que el logic solver genera las outputs y las órdenes de actuación al operador requeridas.

3. Llevará los elementos �nales involucrados a su posición segura dentro del margen de �empo máximo especi�cado desde la aparición de la situación anómala.

/��>� ��/�>�� Emergencia� Operación� Mantenimiento

� }j�� Parada� Temporal � Otros (especi�car)

H��<j�� Ru�nario ��^�j��

��!��%j��ón �� k��}µ+$·

� � �

:�� }��j��Línea de fuego. Siempre que se pueda se evitará estar en la línea de fuego,

de la tarea que se esté efectuando. En el caso de no poder evitar la línea de fuego, u�lizar los EPIS y barreras �sicas necesarias para minimizar el riesgo.

Golpe accidenta. Trabajar con herramientas adecuadas y en buen esta-do. Se extremará la atención a la hora de dirigir nuestros movimientos si el espacio es reducido. Tener en cuenta la posición correcta para efectuar el trabajo (ergonomía).

Área de trabajo. El acceso debe estar libre de obstáculos. La zona �ene que es-tar limpia de aceites o �uidos que puedan causar un accidente. Si no hubiera buena visibilidad, buscar iluminación adicional.


:�� }��j��Alturas. Evaluar previa-mente la situación del equipo, altura, lugar y me-didas preven�vas a tomar

Se deberá u�lizar la protección personal adecuada, pensan-do en el acceso así como en la ejecución del trabajo en la parte superior. Se deberá llevar puesto arnés de seguridad.

Caída de objetos a dis�nto nivel

Señalizar zona inferior tomando como referencia el proced-imiento de balizamiento, u�lizar postes autos estables, indi-car riesgos con el pictograma correspondiente…

/�� Los instrumentos catalogados como SIS requieren de una revisión in-dividual así como una prueba funcional.En caso de tener que cambiar un instrumento, el sus�tuto debe ser del mismo modelo y caracterís�cas que el sus�tuido. De no ser po-sible tendrá que considerarse un procedimiento para la ges�ón del cambio. El instrumento averiado quedará a disposición de los analis-tas de fallos por si hubiera que realizar un estudio.En la medida de lo posible, es importante seguir en su totalidad este procedimiento. En caso contrario, hay la posibilidad de NO detectar fallos o defectos de funcionamiento. Una vez terminado este procedimiento, cumplimente la correspondiente orden de trabajo dando el trabajo como �nalizado y rellene el/los informes de revisiones.

*��j�� Para poder llevar a la prác�ca este procedimiento será necesaria la correspondiente autorización, �rmada por la persona responsable de planta y/o talleres. Una vez �nalizado el trabajo, el permiso deberá ser devuelto debidamente cumplimentado a la Persona responsable de planta y/o talleres.Para la realización de este procedimiento y dependiendo del trabajo a efectuar, se tomarán las debidas precauciones según los estándares de seguridad y/o calidad referentes a la manipulación de equipos bajo tensión, alta presión, riesgo de explosión e incendio, trabajos en equi-pos con fuentes radiac�vas, prendas de protección personal o cualquier otra precaución requerida en la autorización del trabajo. En todo mo-mento se respetarán todas las normas y direc�cas aplicables vigentes.

:�;�� ISA-TR84.00.03-2002 “Guidance for Tes�ng of Process Sector Safety Instrumented Func�ons (SIF) Implemented as or Within Safety Instru-mented Systems (SIS)”.

}��j��<��-��K��j�

Una vez �nalizado el trabajo NO será preciso ges�onar residuos.

/��

Este trabajo no afecta la calidad del producto.


�� Lista de herramientas que se precisan para la realización el trabajo son:� La normal de instrumen�sta.� Emisoras de radio (2).� Cronómetro.

}��

Recomendación del personal necesario para realizar el trabajo.El ingeniero de control solo dará un soporte puntual en caso de ser

requerido por el ingeniero de planta.� 1 Ingeniero de planta-control.� 1 Técnico instrumen�sta.� 1 Operador/panelista.� 1 Técnico electricista.

}��%��<��

Las siguientes tareas deben ser realizadas con antelación a la ejecu-ción del trabajo:

1. La Persona Responsable de Planta informará a los involucrados del alcance del trabajo a efectuar para que actúen en conse-cuencia (poner señal en manual, aislamiento del proceso, pur-ga del instrumento, etc.).

2. Este procedimiento de validación nunca será llevado a cabo cuando unidades de proceso que afecten a este lazo estén ac-�vas.

3. El operador asegurará, sin incurrir en riesgos, un caudal en la línea del FT superior a 300 m3/h.

4. El ingeniero de Planta cumplimentará todas las check boxes de este procedimiento.

5. El mismo informará a las personas involucradas de la �naliza-ción del trabajo a efectuar para que actúen en consecuencia (normalizar señal en manual, aislamiento del proceso, purga del instrumento, etc.).

}��%��

Para poder proceder a la validación de la función SIF no es necesario situarse en ningún step en concreto ya que la función SIF está siempre enable. El step recomendado por defecto es el de process wait.k��]

1. El operador/panelista comprobará que las unidades de proce-so involucradas no están en servicio.

2. El operador/panelista comprobará que la SIF-1111 no se en-cuentra ac�va. Es decir que la alarma SIS-FT1111-F-LL no apa-rece en en sistema.

3. El operador/panelista comprobará que ningún elemento sen-sor (FT1111) se encuentra forzado o en fallo.

4. El técnico electricista comprobará que los elementos �nales (P1111A y P1111B) se encuentran en la posición no segura (cir-cuit breaker cerrado)

5. Si alguna de los elementos �nales estuviera en su posición se-gura, el técnico electricista hará la maniobra para cerrar el/los circuit breaker/s per�nente/s.


SECCIÓN 2

��%� Ejecutor H��

1 Equipo de validación

Pruebas de validación.

2 Ing. de planta Registrar la prueba de validación.

��%� }�j�<��!��

# Ejecutor H��j��%��j��%��

/��¸ ��<��K�$>�K��

1.1 k\��

Comprobará que los elementos �nales (P1111A y P1111B) se encuentran en la posición no segura (circuit breaker cerra-do).Si alguna de los elementos �nales estu-viera en su posición segura, el técnico electricista hará la maniobra para cerrar el/los circuit breaker/s per�nente/s.

�

1.2 +��j��%��K��%��^}��

Veri�car que el FT1111 no está forzado.Si el sensor estuviera forzado, el panelis-ta haría pe�ción de normalizarlo.Abrir el cableado del FT1111 hacia el lo-gic solver y comprobar que en el Sistema se anuncia la alarma de fallo de instru-mento SIS-FT1111-IFD.Al ser un lazo con una con�guración 1oo1, al hacer esta operación también se ac�vará el disparo SIS-FT1111-F-LL.

�

1.3 +��j��%��K��%��^}��

Cerrar el cableado del FT1111 hacia el lo-gic solver. Resetear la alarma de fallo de instrumento y la del disparo y comprobar que desaparecen en el sistema.Nota: Si no se normaliza (resetea) esta alarma de fallo de instrumento y del dis-paro, las pruebas siguientes no serían aceptables.

�


��%� }�j�<��!��


/��¸ ��<��K�$>�K��

1.4 +��j��%��K��%��^}��K�k\��

Para poder comprobar la condición de ac�vación del lazo SIS, se aportará caudal a la línea del FT, por encima de su valor de consigna, sin incurrir en riesgos. Una vez hecho esto se irá cerrando lentamen-te el aporte de caudal hasta llegar por debajo del punto de consigna. Una vez se genere la condición de ac�-vación, cronometrar el �empo que tarda en ac�varse el disparo SIS-FT1111-F-LL en OS. Una vez el panelista vea en la ventana de alarmas que se ha ac�vado el disparo SIS-FT1111-F-LL en el sistema, Este em-pezará a cronometrar también el �empo hasta que el técnico electricista le indi-que que el circuit breaker del cubículo de las P1111A y P1111B ha abierto. La suma de ambos �empos (desde que se genera la condición de alarma hasta que los elementos �nales alcanzan su po-sición segura) más dos segundos (�empo de respuesta del FT1111), será el �empo de respuesta del lazo.

�

1.5 k\��

Veri�car que el circuit breaker del cubí-í-culo de las P1111A y P1111B ha abierto.

�

1.6 �%��^}��

Veri�car que el �empo de respuesta del lazo (desde que se genera la condición de alarma hasta que los elementos �na-les van a su posición segura) es inferior a XX segundos. (Tiempo máximo permi-�do para la acción del SIS).

�

1.7 �%��^}��

Situar al FT1111 en una situación de no alarma, volviendo a subir el aporte de caudal por encima del valor de consigna, y hacer el reset del disparo SIS-FT1111-F-LL desde en sistema.

1.8 �%��^}��

Veri�car que el disparo SIS-FT1111-F-LL desaparece.

�


��%� }�j�<��!��


/��¸ ��<��K�$>�K��

1.9 �%�� Normalizar el aporte de caudal al la línea del FT según sean las necesidades de planta.

�

1.10 k\��

Veri�car que el circuit breaker de las P1111A y P1111B se deja no forzado.

�

��%�� :��%�j�<��!��

# Ejecutor H��+��j��%��j��%��

/��¸ ��<��K�$>�K��

2.1 +��}��

Registrar la prueba del lazo electróni-camente en aquellos documentos que lo necesiten.

�

SECCIÓN 3

��}µ+$· �³�}µ+$ k>�j��}µ+$B1-XXX1

B1-XXX2

$��j��:�� Listar los documentos relacionados aquí:

��%��j��

En caso de Procedimiento No Ru�nario �rmar el siguiente apartado:

Inicio: Iniciales ___________________

Fecha ______________ Hora ________

Finalización: Iniciales ____________________

Fecha ______________ Hora ________

:�!�� Este procedimiento fue revisado por: (Nombre/Rol (Fecha)


�� Este procedimiento fue validado por:

(Nombre/Rol) (Fecha)H%��<�� Este procedimiento fue aprobado por:

(Nombre/Rol) (Fecha)

��j��

�� :��%�� H��!��

01-01-2012 Ejemplo Creación del documento

PARA NO OLVIDAR

Para poder cumplir con la integridad requerida, no nos basta que los componen-tes del lazo sean robustos y que las arquitecturas y funcionamiento del lazo estén bien diseñados, tenemos que tener en cuenta también la manera en que operará este lazo y cómo lo mantendremos.

Juega un papel importante aquí la periodicidad con la que tengamos que ha-cerle las pruebas a estos componentes, denominadas proof test, y la exigencia de las mismas.

Recordemos que un testeo incompleto nos incrementará la probabilidad de fallo en demanda con el �empo, y por tanto no conseguiremos alcanzar la inte-gridad necesaria.

Una buena previsión y ges�ón del �po de prueba que tendremos que realizar nos facilitará la tarea en el momento de hacerla. Para ello es fundamental invo-lucrar, en �empo y forma, a las diferentes personas que posean el conocimiento y la experiencia necesarios. Muy importante es tener a toda la gente involucrada en el proceso entrenada, a priori, en aquellas ac�vidades que deban realizar.

/��*�£�*�}:�/k+/�*

Una considerable fuente de procedimientos �po que pueden ser de gran ayuda y de donde este capítulo se ha ilustrado es el muy recomendable Technical Report de la ISA:

� ISA-TR84.00.03-2002 ^+uidance for Tes�ng of Process Sector Safety In-

strumented Func�ons (SIF) Implemented as or @ithin Safety Instrumented Systems (SIS)”.

"'��$+�+/H/+��*�$��*+*


SUMARIO:�+��j��<��}��<��Para no olvidar. Consejos prác�cos.

"'�"��+�k:�$�//+ �

N��3��6�6��$��'��$��)��$'��O'�$'��'��$�-��3��3�'��'P��'��'��$'�� /��'��J��'��3�� #�3��P&'�'��6�6��/��'�'��3��$��'�'��'�'�'��+�$�/��$��'��'�� '�� $��#��3�� '��$�� -ducción, etc.

-��$��&Q�$'��$��$��$��'��#��3��-3�'�� 'P��'�� K)� �� 9�� $9��L� � �� 6�6� ��$�� $��$��/��'��)��&��$��'��3�'��'��&'�/��$�-�'��/��$�/��'�$�#�'��#��'��3��'�'�'��$��$��6�6�

"'��/�*+$H$�$��ª�*k+��H:��*�/H�¢+�*

+��'��$�$��3��#��$��&'��'��$'��$��'��'��#��'��/�)��'P��'�� 9��$9��

+��$�� $9��/��6�6� $�� '��#��$�$��PQ�/��'P�&��O��'��/�)��$��$�� /��'$'��$�$��$�#'��'P�&��/�)�3��3��'�� $�3��$4��$'��N��$&��'��/�)��'��$��'��/��$�$��&��$'��PQ��'P�&��

+�$��Q��3��3�'��#��$'��&'��6�6/�� -&�� $��3��3�'��$�&'4�/��Q��'$��'��7

^� ��'P��'��'�'��$��'��^� ��'��$'��'��$'��#��'��$��'��


^� ��'P��'��^� �&'��'P��'��3�'�'$��#��'��^� ��'P��'��#'��$9��P��9��^� ��'P��'��#'��'�$��$'��^� ��'P��'��Q��P&'�'��^� ��'P��'��'�'�'��$��6�6�^� ��$��'��'��&'��$9��&�&'��'��'��

"'��}:�/�$+�+��k�*�$��ª�*k+ ��$��/H�¢+�

*�&��O'�$'��'�'��$��3��'��'3��'�'�'�/��$�/��'��)��&��&'��6�6��/��&��#��3��'�� $��'��'��'��'#�'��$��$��'��&'�7

^� 6�� $��$��$4��'��3��O��'��'��del cambio propuesto.

^� El impacto del cambio sobre la seguridad y salud de las instalaciones y per-sonas.

^� +��'��$��'�'��$��'��O'�$��$��^� +��'&��'��$��$��'��#��'��^� +��#��$��'��'��&'��^� (��&��3��&��$��'��&'��^� G��3��&��$'P��&'��^� Disponibilidad de espacio de memoria y procesado en el sistema. ^� +��$��$'��$��6�6�^� +��$��P&'�'��6�6�^� +��'��&'��on-line versus off-line�)��'��#��'��¶

Durante el proceso de revisión del cambio debemos asegurar en todo momen-$��3��'�$�#�'��#��'��$��/�� &íamos comentado �$��'��$�/�)�3��'��'��'��$'��$��$��$��

�3��$��&'��&��'��'��)��$��-��$��'��$��

R��3��'��3�4��'��'��6�6��$��&'��)��'P��3��$�$��/��'�'��$��)��$�'��'�-�� '��$��'��/��$��'��#'�$��'��$��'��

��$�� '��$��'��&'��'��$��/�$��3��'P��)��'��'��#��'��

��$�'��&��$�#�� $�� $�� 'P��'��$��'��/��4��'��$��'��6��&��'#��&��-�#��'#�'��'�'��$��$��$��'��

445Modi�caciones del SIS

Nota:� �� 3��6�6�� '$��/� ��$�� &'��'�'��$��&��'��/��&��#��3��O'�$��'�'��$��#��$'��&'�/�� O��'��$��$��/�3��$��'&��&'��)��'&��)�3�'4��$��'��'��/��&��'��'��4$��'��$'P��'��)��'��#��'��)��'��'�'��'�-��$��'��#��'��/��$��'��'��lisis de �'��#��$�K��Q��WG�:%��L/�)��$��'��'��$��'��'��'��'�'��

PARA NO OLVIDAR

La mejora con�nua es necesaria para mantenerse por encima de condiciones la-tentes que representan desa�os potenciales en la seguridad y debilitan las capas de protección.

Implementar actualizaciones que apunten a mejorar la e�cacia operacional a largo plazo toma �empo en completarse, dependiendo de la complejidad y el grado del cambio implicado.

Cuando el SIS se va a modi�car, los planes y obje�vos operacionales deben considerar cualquier riesgo adicional que deba ser tenido en cuenta durante la transición. La operación y las bases de integridad mecánica del SIS deben ser revisadas y aplicar revisiones con la �nalidad de asegurar que el equipo, los pro-cedimientos, y el entrenamiento del personal estén en sincronía con las modi�-caciones.

/��*�£�*�}:�/k+/�*

Lo más importante es tener claro las personas y disciplinas que deben involucrar-se en las tareas previas al cambio. Sin una buena coordinación entre las diferen-tes funciones, así como de iden��car previamente los documentos que han de actualizarse, y los registros que deben crearse, será di�cil llevar a cabo con éxito la acción del cambio.

"_GERENCIA DE SEGURIDAD FUNCIONAL


SUMARIO: I��j��!��}��%��!��j��j��*+*�� Para no olvidar. Consejos prác�cos.

"_�"��+�k:�$�//+ �

+��&Q�$'��$��$��'��$'P��$'�'��#��$'��3��-�'��#��3��&Q�$'��#��'��'��-�$'��+�ADHE?��P��seguridad funcional��U��$��#��'��#��&��'��3�'��&Q��$��K+N/�“Equipment under control”) y su sis-$��$��/��$��'��'��$��'�$��+8+8+G�(“Electrical/electronic/programmable electronic”) relacionados con seguridad, así ��'��$��'��O$��'��'��#��V

+��$4��'��'&��/��gerencia de seguridad funcional gobierna las �$'�'��'��#��'��3�'��)��/��'��3�� $�� '�� '��'��$�� '�$�� P�� #��'��6�� '��'��'�� '�� '&'�'�� '�$��$'��'�'��P��Q��#��'��'�'�'��'��'��$��#��'��$��'��

��&Q�$'��'��'��'��6�#��'��'��7

^� +��'P��$'�'��#��'��)�$4��'��$��'��'��-#��'��/��)��$��#��'��'��

^� +��'P��&'�'��)��#�'��'��'�-$'�$��$'�'��

^� *�P�'��'��'��)��#�'��'��'�-��$�'��'�$'�$��$��'��'��

^� G��'�� $��#�� T�� '�� $'�� #��$'��/��$��$��'��'�/��'�$��'��$��$��#��'��

^� +�'�'�� '��$'��&�� &�� '�$�#�'�� '�$�� #��'��/� �P-�'��'�� $��)��'��'&'�'�� '��#��'�� instalaciones.

^� G��'��$��&'�'��)��'&'�'��'$��$��'�$��#��'��


^� ��#��3��'��J��3�'��$'��'#��$��'�&��^� +�$&��&��'��J��$�$�#'��$��'�'��$��)��-

cia de pruebas.^� +O$��'�&'�'��'�$��'��O'�$��$��#��$'��

sistemas instrumentados de seguridad.

+��'��$��T�$'��$�/�'��'��3��#��'��'��$��'��'�$��'��/��6W�=EEE��+��$��/��+�ADHE?��'��#��'��6W�=EEE/��$��3��'P��desarrollo de los productos, aplicaciones y gerencia de los proyectos. Entre las dis-$'�$��'��3��+�ADHE?�)��ADHDD/��O'�$��'��'��$��3��&��$��7

^� ��+�ADHE?��&��$��$��/� '��)�� -9��)��$9�� '�$��#��'��3��&'��'�cobertura su implementación puede ser complicada.

^� ��+�ADHDD��$��'��)��'��los sistemas de seguridad. Esta, debido a su limitada cobertura, tiene una '��$�'��'��

"_��H/k�:�*�/�H��*

*��$��'��6�#��'��'�� $��'��$��-��#��&��#��$'��#��'��'�$��'��$��$��/�3��$��$'��'��7

"_��"��}�H�+�+/H/+ ��$��H�*�ª�:+$H$

6��&��'��$��'P��'��#��'��P�'��$'�'��3��3�'��'��Q��$��/��$��$��/��#�'��$��'��&��'��$��$'�'��6��&��$��'��$��'P��'��'��#��$��'��'��#��'��6�6�

��'P��'��#��'��'��7

^� ��'��'��$'$��U��#��'��V¨��^� ��$��'��'��$��$'$��U��#��'��V¨��^� ��'��$��3��'��'��'�'��$��$'��

de trabajo, normalmente a incluir dentro del Sistema de Gestión de Seguridad de las instalaciones.

"_��:ªH�+*��*��:�/�:*�*

��/��$��$��/��#�'��'��$��'��3��&�� '��)� ��'�� '��'��#��'��6�6�

449Gerencia de Seguridad Funcional

��&��'��$'P��)��&��'��&'�'��'#��K'��)��/��3��$�/��$��'��3��$��#��los permisos o los organismos reguladores de la seguridad). Tal y como recogen las -��+:ADHE?8ADHDD�“…asegurar que las personas apropiadas, implicadas en cualquiera de las actividades del ciclo de vida de la seguridad global del software o de sistemas E/E/PE, son competentes para realizar las actividades de las que son responsables”.

��/��$��$��#�'��'��'��$'�'��'��'��#��'��$'��3��$�$��#�'��$��$��'��$'�'��3��&��

Como mínimo, se deberían tratar los aspectos siguientes cuando se considere la competencia de las personas, departamentos, organismos u otras unidades implica-��$'�'��'��'��#��'��7

^� ��'�'��$�� '�#��'��/� ��'�� )� �O��'��'� ��'�� aplicación de proceso.

^� ��'�'��$�� '�#��'��/� ��'�� )� �O��'��'� ��'�� $��#��'��'��K��Q��/��4�$�'�/��$��'��-trónica programable).

^� ��'�'��$�� '�#��'��/� ��'��)��O��'��'��'�� )��$��P��

^� ��'�'��$��'�#��'��#��'��K��Q��/��'�'��#��'-dad de procesos).

^� ��'�'��$��3�'�'$��#��$�'��#��)��#�-�'��¨

^� ��$'��)� &'�'��'��#��$'�'��'��'��#��'��

^� +�$��'�'��$��'��$��'��$��'�'��$�¨^� ��'��'��)��Q'��'��'��)��$��#��

G��#��$��'��&��$'�'��#��'��'��6�6/��&��P�'��'��'$�'��-��'/��$��3��P�'�'��/�'��$�'��)�#��$'��6�6��&��$'�'��'P��&��'� ��'��'$�'��

"_��:+�+/H/+ ��$��*�ª�:+$H$��/+��H�

La veri�cación de la seguridad funcional��P��$'�'��3��'�-$�/��'��'��#��'��'��$�/��$��'�'��)8��)��/�3��$��P��/��'��$'��/��$��$��/��&Q�$'��)��3�'�'$��PQ��P��+��-�'��$��$�/��$��DX��$��'&��#��)��$��'�$'�$��$'�'��'��$��'��/��&��)��'�'��6�6�


Se deben aplicar los procedimientos para asegurarse de un pronto seguimiento y ��'��$'��$��'��'��'��$��6'�$��$��-��$��6�#��'��$��$'�'��'P��'��)��'��'��

"_��[��$�/��kH/+ ��/�:k+�+/H/+ ��$��*�ª�:+$H$��/+��H�

�� O��'��$��DA�B�D/��&��O'�$'��'�'��$��P�'��$��#��$'��#��'��'��+��$��$'��/�)��'�'��'��'$�'��'�3��P��'��$'��&��'�$'�$��$'�'��'��'�/��O'�$��$'��$'P��'��7

��H��"�JH�� K�� $

+�� &Q�$'�� Q�� $�� )� ��$&�� $�� $��'� ��3��'��$'��'��'��'�$��#��'-��'��$�'��)��$��+O'�$��$'��3��'$��$��$'��$'P��'��3��$��$'��'��7

1. Exida, empresa de reconocido prestigio internacional en el campo de los Sis-$��'��$��$��#��'��6��#��$'P��'��$��'��/��6+�Kcerti�ed functional safety expertL��#��O��$��3��3�'��DE�J��O��'��'��#�-�'��)��6G�Kcerti�ed functional safety professionalL��#��'�-��3��3�'��J��O��'��'��#��'��G��&��'��'��'��'��O��3��$��$��'��'�$��'��$��$��de seguridad.

2. TV SD,��$'P��'�$��'��$��$�� #��'��6��#��$'P��'��$��'��/� ��6+�(functional safety expertL��#��O��$��3��3�'��'��J��O��'��'��#��'��)��6G�Ksafety profes-sionalL��#��'��3��3�'��'��J��O��'��'��#��'��G��&��'��/��'��4�'��'$��'��J��O��'��'��3��'��6��6G��'��O��)��6+/��'�'��J��O��'��'��3��'��/��'��'��$'$��'��6G/��'��'��$'��)��$��$��'��-�'��'��K�$��/��'��'��'��/��$��L��$��'��6�#��'��Funcional.


��>� H��H��"�� Q�� W�?�� $

+��$��$'P��6��3�'��)��$��K$��'��/�G�/��/��-��'��/��$�L/��'P��'#�'��$��$��7

^� Índice SIL.^� R��'�� 9��K �$L�^� ��'��#��K��L�^� G��&&'�'��K��L�^� ��$��'#��$��$��K��L�^� ��$��'#��$��$��K��L�^� ��$��#��$��$��K��L�^� ��$��#��$��$��K��L�

*'� ��$'P��&��'��J��'��$��'��-*+�� K�'��/�+��$�� *'#��$'��)�'�L/� �� 3�� '��)��)��'P��$��'&�'��'��$��'�'��/�)��#��'��3��'P��'��'��#��'��$��$�y se listan las restricciones al uso del sistema.

��$'P��'��'$��$'P��)��$��'��/��#��RÛS�( �'��/��$��'��$'P��*'��$'��N�'��+�-��K�3�'��'�/��3�'��'��/��$��L��-�'��)�(��#�'��R��$��&�-�$��)�K-(R�L��'$��W6%��$'P��N��K��'��#�'��'��$'P��#��'��'��++�NNL�)��$��$��++�UU y a otros estados canadienses.

+�$��#��'��&�'��#��3��$��'��)��P�'��$��#��'��'��#T��'��'�$��#��'��K6��L��

��'�'��$'P��6��$��#��-��'��3��3�'��U��$'P��6��V��#��#��'��$��'��'��)��'P��'��

*��$��/�T��'��'��$��3�'��$'P��'��6��/��'��3��'�$��'��'��'��6��3��-�'��+��$��'P��'��G�*��'�$��'�$�#��)��3�'-$��$��'�$��&��'��6��3��'��/�)��3�'��'��

��'�'��$'P��'��6��3�'��'$/��'��$'��3��'$'��$'P��RÛS/��&�'��$��'$'��'��'��6��3�'��3��'�'��'P��$��+�ADHE?�)8��+�ADHDD��+��$�/��-��'��'��6��'��'��$��&&'�'��$��)�'��'��$'P��'��6��


"_��'�� ¢��+/+�*�$��H�ª�:��/+H�$��*�ª�:+$H$��/+��H�

��&��P�'��#�'��#��'��#��'��'��7

^� ��Q��'��$��'��$��)��^� ��Q��'��'��)��'��&'�'��^� ��Q��'��^� G��'��'��$��'��$'P��'��'��#��^� +�$&��'�'��$��'�'��$��)�know-how de las distin-

$��'��'��'��)��$��'��

"_��}:�/�$+�+��k�*�}H:H��H�ª�*k+ ��$��/+/��$��+$H�$��*�*+*k��H*�+�*k:��kH$�*�$��*�ª�:+$H$��*+*�

G��'��'��)��'�$'�$��$��'��'��'�$�-��'��$��$��#��'��/��O��$��'�$'�$��$��$��'&��/��'��'��$�'��'�$��#��$'��'� ��'��'�/��'�$�� P�'�'��)��'��'��'�$'�$��'�'��$��#��$'��3�� desarrollen.

R��)�� '��$��B��$��$��/��#��$'��6�6��$��'��6�#��'��'��/��3�� )�3��'��$��'P��'� ��$��

*��$��/��'P��'��#��'��6�6��&��$��#�'��'��'� ��$'�'��/��&��'P��G��'�'��$��'�$��'��$'�� J��-��$�/�)��'��3��'��$��'��$��*'��$'��6+S+6W��&��'-��$��#��/��$��'�'��$��'�$�#��$��'��'�$��#��$'�� #��'�� '��$��'��$��#��'�'�� '��#��adicional a aplicar respecto a las ya tradicionales.

A continuación, se presentan los contenidos 3��&��'��$��procedi-mientos para la gestión de los SIS/� 3��'#��P�'$'��'��'$��'��'��J��3��$4��'��'��$��$��$��'��$'��&��#��'��'��7

^� W&Q�$��'�'��$��^� Ámbito de aplicación.^� -��$'��'��'��)��'�)��$'��#��(��'��

��$��'��'��J��^� S'#��'/��'��'�'��#��)� $��'$��'�/��&'4��'P��

�$'�'��'��)��$��'��$��'��O'�-$��$��)��$'��


^� (��&��&��'��)��$��'�'��$�8�$��'��'��'-miento.

^� ��'��$4��'��/��3��'��)��$'�'��'��-dimiento.

^� Desarrollo del procedimiento de gestión de los sistemas instrumentados de ��#��'��/��3��'P��$��$'�'��'��'��6�6��P�'��&Q�$'��/��$��&$��&��de la implementación de cada etapa. Asimismo, y en relación a este punto, ��&�� $�� &�� 'P��'�� #��'�� '��$��$��'��$�'��'�$'�$��'��'��

^� ��'��3��'�/��3��P��'��'$�'��-�'��#��$��'��3��&��-��$'�'��#��'��'��6�6�

^� ��$'�� $�'��/�� $�� 3�� $�� $�'��#�-��'��'��6�6��'��)��'�$��#��$'��-��$��3��$4��$��)��'P��auditoría.

^� <'&�'�#��)��O��

PARA NO OLVIDAR

� Existe dos �pos de cer��caciones en materia de seguridad funcional, de personas (Experto en Seguridad Funcional) y de equipos/componentes (Programas de Cer��cación y Manual de Seguridad).

� Aún disponiendo de equipos con cer��cación SIL, puede ocurrir que el sistema o la aplicación no cumpla con el nivel SIL requerido. En todos los casos la veri�cación de la PFD del sistema integrado y la arquitectura del sistema deberán ser comparadas con el nivel SIL requerido, y no la del equipo en aislado.


/��*�£�*�}:�/k+/�*

A la hora de aplicar las norma�vas de seguridad funcional, es muy importante considerar los tres aspectos básicos de ges�ón que se indican a con�nuación:

� Desarrollar un procedimiento de ges�ón de los sistemas instrumentados de seguridad, en el que se especi�quen todas las ac�vidades del ciclo de vida de los SIS de�niendo los obje�vos, resultados a obtener así como responsables de la implementación de cada etapa.

� De�nir el nivel de capacitación de referencia para asegurar la competen-cia del personal que es responsable de desarrollar ac�vidades a lo largo del ciclo de vida de los SIS.

� Ges�onar la documentación generada en la aplicación del ciclo de vida del SIS en un sistema de ges�ón documental para que su acceso esté con-trolado y pueda ser veri�cado en caso de auditoría.

"-CASO PRÁCTICO


SUMARIO: +��j�� H�� H¯�}�� $�� *+��<��!��%��;j��&��%��&��|j��j��*+��H��H¯�}��$��j�^�;��*+*��$��%�j��$��*+*��+��%�j�<��*+*��}��%��Para no olvidar. Consejos prác�cos.

"-�"��+�k:�$�//+ �

+��$��$'��'��)��$��Q��'��'��#��'��'��6�6�K��'P��'��/��'��J�/�'��$��'��/��'�'��/�operación y mantenimiento).

Estudiaremos el caso de una SIF implementada en la torre de absorción del pro-��'��

6��3��$��$��)��'��$��$�'��-$��'��'��'P��'��3��'��'��$�$'��'$��$��'��)��]�Q��'�#��3��3��'��'��

"-��H��+*+*�$��:+�*ª�*��$+H�k��H¯�}

+��$��&��'��*�:@@ED��'&��'��'��3��$��7

^� ��$��'��#��'��K%BS) en el gas de alimentación(corriente princi-pal),

^� ��$��$��#��'��)8��'��*+��&��/�)^� ��'��'��*+��

6'��'��$��$��'��#��'��&��'��$��'��'��'��$��'��'��&��'��

��$��$��'��'��&��'��$��$��*�:@@ED��-&��$��$��@HÉ�)�HEÉ��R��$��)��$��O��'��4��'��'��'��'��)� $�&'4��'��&��'�� $��$��$��

+��T�'��$��'��$��&��'��*�:@@ED��$��'��:@@EB��&Q��'��3��$'��'��3�'��)��$&��$��


��$��$��'��'��#��$��#��%�W��'��$'-P��'��'��#��'��/��$��$'��'&'��'#�'��$��'��#��'��$'P��

��j��"-�"��P&ID del proceso.

457Caso prác�co

k�<

��"-

�"��R

esum

en d

e An

álisi

s Haz

Op.

*��

��:

27-0

2-20

12N

odo

3:

Con

dens

ados

am

argo

s del

sepa

rado

r (FA

-440

2) a

la to

rre

de a

bsor

ción

(DA-

4401

) inc

luye

la b

omba

(GA-

4402

R) y

Se

para

dor F

A-44

13.

+��

��

��

��

�: To

rre

de A

bsor

ción

P&

iD:

327

01 A

414

rev6

$�!

��

��: �

��

��!

�

PALA

BRA

GU

ÍA}H

:��

�k:�

CAU

SAS

CON

SECU

ENCI

ASSA

LVAG

UARD

IAS

ACCI

ON

ESRE

SPO

NSA

BLE

/��

��kH

:+�

*

Men

osN

ivel

Válv

ula

con-

trol

ador

a de

ni

vel a

bre

tota

lmen

te

debi

do a

un

a se

ñal

inco

rrec

ta

(LV-

4402

)

Incr

emen

to d

e pr

esió

n en

el s

iste-

ma

de b

aja

pres

ión

de M

DEA,

resu

l-ta

ndo

fuga

de

gas

y po

sible

fueg

o o

expl

osió

n.�

Pérd

idas

de

prod

ucci

ón

LSLL

-106

que

m

anda

a c

erra

r la

válv

ula

XV-1

01

Incl

uir u

n en

clav

a-m

ient

o de

segu

ri-da

d co

n nu

evos

ini-

ciad

ores

ded

icad

os

que

cier

re la

nue

va

válv

ula

todo

-nad

a a

situa

r en

la lí

nea

de

desc

arga

y p

are

la

bom

ba G

A-44

02R.

Área

de

proc

e-pr

oce-

sos.

Inst

rum

enta

ción

de

l con

tra�

sta.

El ta

g de

la S

IF

es S

IF-3


��$��%�»WG/� ��'��$'P��$�$�/��'��'��'��'��'��$��$��#��'��7

6��:X7�

^� +��$��'�'�'��7��»R:EB^� +��$��P��7��'��«»S:DED��

��j��"-��P&ID con propuesta inicial de función instrumentada de seguridad.

459Caso prác�co

Antes de pasar a la etapa de determinación del SIL, necesitamos una serie de �$��$'�7

^� �� &'$�� '��$�'��/� ��6��$��<��*+-��-*��

^� ��'��$&��3��O'��$��'��'��3��$��'�-��$��$��E�B8J��K��H�J��L�)��$'��3��$��'��$��$��ÝD>H/EEE�

^� +��T��D��$��

"-��$�k�:�+�H/+ ��$��*+��¢£�k+��}H:H��H��/+ ��IDENTIFICADA

+��$��$'��4$��$�'��'��#��'��6��+�$��4$��$'��$Q��'��'��/�)��$Q��3��6��3��&$'��/��4$�� $�$��$��'$$'��/��#��

��$�'��'��#��3��$'�'��3��#��+:ADHDD:X��O��K�'#��D>�XL�

��j��"-��Matriz de riesgos para la determinación de SIL.

*��7�

^� N��'��'��$��$��#��'��6��X��'��P�'��$��-��'��'��#��$��'��6��'��'P��'��'�'��con objeto de reducir el riesgo.

^� N�� '�� '��$��$�� #��'��6��X��3��'��P�'��$��'��'��#��$��'��6��'��'�'��'-cionales.


^� G��&&��$�� '�� $��'�� '��'��$��-diante la implementación de un SIS.

(��3��'��$��>�)��'P��'��&&'�'��'�3��+:ADHDD:X7

k�%��!��}��<�<��/��&��j��!�

Eventos tales como los fallos múl�ples de diversos instrumentos o válvulas, errores humanos múl�ples en un entorno sin tensiones, o fallos espontáneos de recipientes de proceso.

Bajo

Eventos tales como los fallos simultáneos de instrumentos o válvulas dobles, o escapes importantes en áreas de carga/descarga.

Medio

Eventos tales como fugas de proceso, fallos de instrumentos o válvulas únicos, o errores humanos que dan lugar a pequeños escapes de productos peligrosos.

Alto

��] el sistema debería estar de acuerdo con esta norma cuando se realiza una reivindicación de que una función de control falla con frecuencia inferior a 10-1 por año.

[��'��'�7

/��&��!�� +�%��

Muy grave Daños de equipos a gran escala. Parada de un proceso durante largo �empo. Consecuencia catastró�ca para el personal y el ambiente.

Grave Daños de equipos. Parada corta de un proceso. Daños graves para el personal y el ambiente.

Menor Daños de equipos. Sin parada del proceso. Daños temporales para el personal y el ambiente.

[� ��'3��$�'��$��/��3��7

^� %&��'��$'P��#��'��'��$��)�3��$��'��G��K�6��:DEA��'��«S:DEDL��'��G��3��'��'��$��)��$��$'��

^� ��3��$��'��$��/��$��'#�'P��3��&&'�'��'��R��

^� +��%�»WG�'��$'P��'�7�:� G��'&��#��O$��'��'��#��O��'��:� G4��'��'��

461Caso prác�co

��3��'��$�'��#��'��)��4��'��'��

��

� Paso 1:��$��3�� '��$'P��%�»WG��G��O'�$��$�/��$�'��'��#�� )�3��$��G�B��3��$��'�'��$�� )�3��'��G��3��$��'P��+��'�/��$��-�'�'��$�� )�3��#��$��7� �3�4�6��&�� $�� '��$��3��$�)��'�'��

� Paso 2:� ��'�$��3��&&'�'��'��R�� Paso 3:�$��3��'�'��&��'��'�/� ��

��3��'��$�$��3��#��'#��'��$4��/�� $&��'��3��/��'/� )�� $��/� ��'�� '��(�S+6�K�J��#��L�

*�� $� �� &$��'�� 3�� 6+�N(�*�*� �� 6�� $� 6�� 6��B�

��X��>� H��

6'#�'��'��'�'��$��3��#��'��7

� Paso 1:��$'P��'��G��O'�$��$�/��3��$��3��$��G�B

� Paso 2:�%��'�$��3��&&'�'��'��R�� Paso 3:��'��'�/��$��$�&'4��(�S+�

KG��$��L�

G��3��$�&'4��&$��6��B��$��6��6��B��#��'��)�6��B��J��3�'��8�4��'��

producción.

Nota: 6'��$��3��'��6��$��'#��6��

"-�[��*}�/+�+/H/+��*�$��*�:��+*+k�*�$��*�ª�:+$H$�$��H�*+�

N��3�� $��'��6��/��'��6(6��+��#'��$��'��'��$��DE�

$��Tag de la SIF SIF-03Servicio/Equipo DA-4401 y FA-4413Enclavamiento asociado en el ESD SIF-03P&ID no. (Revisión no.) P&ID-32701 A 414 rev6Fecha 2-ENERO-2012


Referencia del estudio de HazOp HAZOP-11-2011Referencia del estudio de la determinación del SIL

GRSIL-12-2011

Intención de diseño de la SIF Para evitar la sobrepresión del sistema de MDEA equipos FA-4413.

Sensores o iniciadores de la SIF LZT-02A y LZT-02B. Véase Nota 1Elementos �nales y acciones para llevar el proceso a estado seguro

Cierre de XZV-101A y XZV-101B. Véase Nota 1

Otras acciones de NO-Seguridad asociadas al enclavamiento

Parar el equipo dinámico GA-4402R cuan-do se detecte pérdida de posición de las válvulas XZV-101A y XZV-101B.

Indicación en interfaz Hombre Máquina (HMI) de seguridad, de las acciones del SIS y sus diagnós�cos, así como su restableci-miento, y baipases de mantenimiento.

Salvaguardas

LSLL-106 que manda a cerrar la válvula XV-101 (IPL10)

SIL requerido 2Comentarios/estudios adicionales No

��j��Máxima tasa de disparos espurios 0.2/Año/��>��;j��%��j��Estado seguro Válvula XZV-101A y XZV-101B cerradasValor del disparo Bajo-bajo nivel de la torre DA-4401(LLL-

150mm)Modo de demanda Baja demandaModo de protección Desenergizar para disparar.Parada manual/tag del pulsador de emergencia

Si, PB-01

Baipases de mantenimiento/máximo �empo de ac�vación

No

Reset del enclavamiento Por so�ware una vez que se ha llevado al proceso al estado seguro, se han restableci-do las condiciones opera�vas y el personal Responsable ingresa la contraseña con pri-vilegios, del SIS.

463Caso prác�co

Modo de fallo En caso de fallos peligrosos detectados, disparar los elementos �nales.

Diagnós�cos Sí, en instrumentos sensores y PLC.Tiempo de vida de la SIF 15 añosRequerimientos especiales (TSO, etc.). No

*��Tipo de Grupo Sensor Transmisores Indicadores de nivelTag de los sensores LZT-02A Y LZT-02BVotación 1oo2D. Véase nota 1Acción Desenergizar para dispararMTTR (mean �me to restore) 8 hrsIntervalo de pruebas manuales 1 añoCausas de modo de fallo común �� Temperatura ambiente por encima de

los rangos de operación admisible por la electrónica y/o accesorios de la fun-ción instrumentada de seguridad,

�� Interferencias electromagné�cas, toma de �erra común para toda la instrumen-tación y equipos asociados.

�� Misma ruta de cables.�� Mismo mul�cable

Degradación de votación ante fallo/mantenimiento

Cualquier fallo detectado por los diagnós-�cos de los Transmisores, provocará degra-dación 1oo2 a 1oo1. Transcurridas 8 horas, y no habiéndose corregido el fallo, se man-dará a falla segura. En caso de Manteni-miento, mediante contraseña, y mediante un �empo programado de 8 hrs, se bypa-seará el Transmisor de Seguridad dentro de la Lógica del SIS.

Otros requerimientos especiales No��!��%��

Tipo de grupo pLC de SeguridadMTTR (mean �me to restore) 8 horasIntervalo de pruebasmanuales 1 añoFabricante/modelo no especi�cado

��&��Tipo de grupo Válvulas on-oY Tag de los elementos �nales XZV-101A y XZV-101B. Véase Nota 1Votación 1oo2 en válvulas. Véase Nota 1


Acción de los elementos �nales Desenergizar para dispararMTTR (mean �me to restore) 24 horasIntervalo de pruebasmanuales 1 añoCausas de modo de fallo común Suciedad en las líneas de proceso que no

permitan la estanqueidad requerida en el asiento de las válvulas. Corrosión en el am-biente, que origine atascamiento del vásta-go de la válvula.

Otros requerimientos especiales No

Nota 1: G��'�'��'��3�'$��$��3��3��'�� )�3��'��%�R/��3��'��$��=�)�DD�

+��

��'�� O'��'�� $�� $� �� +:ADHE?:B/� 3�� $&��3��$��$'��</��O'��6��3��%�R D�)��6��Ô=Eµ�� &'$��/��6��B��$��6��B��'��'��'��3�'$��$��D��B¨��/��$��$��'��'�'�'��/��3�'-$��$��'��D��B*�

��

+��$��/��$��$'��/�)�$��$��+:ADHE?:B/��$��$'��$��%�R E��6��ÔAEµ�K�$��T��$��:��L/��O'��6��3��&$'��6��D/��3��$��3��'��'��'�'�� 3��'�'��$��3�'$��$��+��$�� $��D��B�

��

G�� unidad lógica de electrónica programable, tomando en cuenta ��+:ADHE?:B/��$��'��$'�'��3�'��'��6�#��)��=Eµ/��/��$��$'��$��%�R E/��O'��6��3��&$'��6��B�

"-�'��$+Hª:H�H�/H�*H^��/k��$��*+*

+�� $�� $�� )� �� $�&'4�� '#�� :��$�/� ��3��#��P��$��'��#��'��)��#��'��KR&��D>�BL�

465Caso prác�co

k�<��"-�� Matriz causa y efecto del SIS.

"-�_��$+*�¡��/��/�}k�H�

��'P��'��3��'�'��$��#��'��$&��3��'��'�-$�#�'��#��'��3��'��$��'��6��B�)�3��$��'��'��&��)��E�B8J��+��'��'�$��$��'��J�/��$��$��-��#��#��'��6(6�K��'$��'��3��'��J��$��/�)�3��$��$��'��'�� &��$��


��$��'��'#��$'��/��'��'��'�$��$��'��/�3�� '��/��$'��'��L�

"-�_�"��$+Hª:H�H�H�¢��*�$��H:��+k�/k�:H�}:�}��*kH��k�/��ª=H*

*��&��$��3��&��'��J��$��/��$��T��Å�K��'�/��$'�'��3�'$��$��$��L/��E�D��$��#��Q�$��$��P��/�E�EH��/�)�E�EB��G��

+��3�'��#��'��'��'��ó para esta SIF la siguiente tabla de �$��K��$��&&'�'�� /�)��'��/� �� &'$��'��/� ��P��'��$'��L7

k�<��"-��Datos de equipos disponibles para la Función Instrumentada de Seguridad.

EQUIPO ��-1) ��-1) / Cd ¹�j�Transmisor

de nivel0.40x10-6 0.70x10-6 0.7 0.4 600

PLC de seguridad 1.41x10-6 3.5x10-7 0.999 0.995 5.000Conjunto válvula-

actuador2.60x10-6 1.30x10-6 0.0 0.0 3.500

"-�_��/��/��*�$��}:�¢H¢+�+$H$�$��H��$��H�$H�}:��$+��}�$�!��

��K�� >� ��#��%�

G�*�#� �ÞKD:Å)KD:DL�O��D]B�O�R�BL�8�X�½�KÅ�O�CD�O��D�O�R�L8B

G�*�#� �ßÞKD:E�EHLKD:E�@LOE�>+:AàBO?>AEBâ8X�½�ÞE�EHOKD:E�@LKE�>+:ALO?>AEà8B G�*�#�sensores @�E>B+:A½=�D=?+:H ��=�AEHB+:H

��K��Z��>� ��#��#�

G�*�#� �KK��L�O�R�L�8�B�

G�*�#� ��KD:DL�O��DO�R�L�8�B

G�*�#�G� = (X�HODE:>LOKD:E�==HL�O�?>AE�8�B� �>�AAH+:A

��K��[��!��#��%

G�*�#� �ßÞKD:Å)KD:DL�O��D]B�O�R�Bâ�8�X�½�KÅ�O�CD�O��D�O�R�L8B �ßÞKD:E�DLOD�X+:AàB�

O�?>AEBâ8X½KE�DOD�X+:AO?>AEL8B

467Caso prác�co

G�*�#��$��P�� X�HEDH+:H�½�H�A=@+:@ �A�E@@+:@

��K��

G�*�#total==�AEHB+:H½>�AAH+:A�½�A�E@@+:@ >�E?D+:@

(��3��((�� D8G�*�#/��3��$��7

((� D@DB��3��6��X�)��$�$��6��B�

�� H��H�� "�\�$]

Cálculo de la STR de los transmisores en arquitectura 1oo2D

2)(21 xSTR DDsDoo �� para tecnología Tipo B. ÞBOKKE�@+:AL½KE�@OE�>+:ALLà �D�XA+:A� :D

Cálculo de la STRdel PLC en arquitectura 1oo1D

)(11 DDSDooSTR �� para tecnología tipo B, elemento simple. ÞD�@D+:A�½�KE�==HL«�X�H�+:>à� D�>A+:A� :D

��\��[��!��>� ��#��%

2)(21 xSTR soo �� para tecnología tipo A. KB�A+:ALOB� �H�B+:A� :D

Cálculo de la STR Total

6R(�$�$� �D�XA+:A�½D�>A+:A�½H�B+:A� ?�XB+:A� :D

+��J��7�

6R(�$�$�� E�E>B��J�

��E�E>BÔE�B��'��J��$&��

�RR�6 DX�>B�J��

+��G¡�*/��4�� &��'P��'��J��$��/�3��-��'#��D>�@�


��j��"-�[��P&ID del SIS.

N��3�� '��'��J��$��6�6/��'#�'��$��'��'��#��'��'��/�3��'��J��de detalle del SIS.

469Caso prác�co

"-�-��$+*�¡��$��$�kH��$��*+*

G�$'��'P��'��3��'�'��$��#��'��)��'��J��-$��'��'��$��$��#��'��K��'��$��'�'�$�/��$��'��'��'��#��'��'��L/��&��'-#�'��$�7

� Base de diseño del SIS.��$��3��'�'��$��#��'��/��'-$�� 'P��'�� 3��'�'��$�� #��'�� K��L/� $��$�$��$��)��$'��'�&��'��$��'��J��$��'�#��'��/��/�'��$��'��)��&��6�6�

� Filosofía de operación del SIS.�+��$��/��-��'��'��'��$��$��#��'��/��'$��'P-��'��3��'�'��$��#��'��3��/��'&��'��3��&��&��3��3��'��el SIS, su parada, en restablecimiento y en mantenimiento, indicando los tags ��/��3�'��/��'��$��$��/�3��'�$��'��$��-ción del SIS.

� P&ID.� +�� $��/� 3�� '$� �� '��$��$�'�� 3�� '�� '��$��$�� #��'��/��$��T��3�'��3��&�'�$��K��/��$��/��$��P��L/�� '��J�� $��/� �� '�/� �� #�� '�� K��#'�� D��D/�D��B/�B��X/��$��L/�)��'�$�#��'��$��J��'�'�$�� -&��3�'��K%��L��

� +��$��$�/��$��'��'��$��-��$��#��'��/��$�/��'�&��#��'��H�D��$��3��$'��$��$��'��$��'��'��'��'��'��$��#'��$��$��'��K$��UinterlocksV��'��'��$��$��/��$��/�)��-$��P��$��L�

� Lista de instrumentos.�Este documento, se complementa con el recuento de ��'��$��$��)��3�'��$��3��6�6��R��R��'�� '��/� ��Q��$�� $��:��/� ��4�� 6�#��'��/� �$��Este documento, dependiendo de la etapa del desarrollo de la ingeniería se ��$��'��'��$��$��/�)�P��$�/��&��de datos de los sistemas de control (en este caso, del SIS).

� Plano de implantación de equipos.� En este documento, las disciplinas de $�&��/��'�'��)��'�/��'��'��$�/��&'��'��3�'��'��K$��'��/��$'��'-�'��/��$�&��L/��'P��'��K��&��&��-so, cuarto de control de operación, centro de control de motores, subestación ��4�$�'�/��'$��#��'��$��'��L�


� N��'��$�'��/��'��#��$/��'��$��$�'��6�6��+�$��$��)�'��$�$��$��'��$��'��3�'��/��3��'��&��'�#��'��4�$�'��K��'��&��4�$�'��:�&�� '��$��$�� )� �3�'�� 6�6L/� )� �� $'�'�� '�� )�mantenimiento del SIS.

� Lista de entradas y salidas.�Estos, al ser listados, generan un recuento de ��+�$��)�6�'��#��$'��J��K@:BE��/�B@�S*/��$��L/��'��'��'��'��$��G��6�#��'-��/�)��$#��3��'��$9��'�$�� &��3�'��

� Diagramas de lazo de control.��'��'��'��'#��$��$��$�)��$��'��'��'$��4�$�'��$�$�'��/�3��'#��$��/��$��/� �$��$��)��/� �$��'�$��

� Hojas de datos para especi�cación, y especi�caciones, de instrumentos y equipos del SIS.�R��'��'P��'��3��'-�'��$��#��'��/��&��'��J�/�)��'��'��$��$��/��-��'�� Q��$��)��'P��'��'��$��$��)��3�'��6�6��'��'��3��$��$�� Q��$��/��'��)��$��$�/��/��'P��'��'��$��$��)��3�'��/��$'��$��/��'&'��&��#��G��'�$�� &��3�'��

� *��4�� $�� $��'��/�)��'�� '�#��'��K��$�� P�� '�-#��'��)��'��P��L/��3�'�'�'��3�'��3�� '�$�� '��$��$��#��'��/��/��'�� '�'��'��$��$��K��'��'�$��'P��'��/��Q��-��L/� ��'��'�'��'�$��$'��$��'��J��'�$��/��'�'��$��'��'��#��'��'��K��'P��'��6�6L�

� Con�guración de controladores de seguridad, listados de entradas/salidas de controladores, y listado de programación realizada (lógica escalera, a &��3��/� �$��L/� �� /� �� $&�� #'��#��'�� lenguaje seleccionado.

� Diagramas de conexionado eléctrico de cajas de y regleteros en las cabi-nas del sistema de seguridad^��/��$��'��'��3��3��'��Q��'��)��3�'��$��$��Q�/��O'��$��)��J�/��3��'��$��$��/��$��'�$�� &��3�'��

� Lista de repuestos de los elementos del SIS.�Se describen las partes de repues-$��3��3�'��/�$��'��on-off/��$'��/��$'��)��'��'��$�Q�$�/��$��-��/��$��'�$��/��$��#��'��/��$��L�

� Documentación del equipo suministrado por el vendedor, incluyendo especi-

471Caso prác�co

P��'��/��3��'�'��$��'��$��'��/�)��$��'�'��$��K��3��)��/��$��'��'��#��'��3�'��6�6/��/��'&��'��'��$'��&��$��'�'��$��3�'��L�

"-�W��+�*kH�H/+ ��/��+*+��H$��}:��¢H*�$��*+*

N��3�� $��'�#��'��)��6�6/��$�� '��$��'��/� ��'�� '��$��'��/��&'��/�� '��$��'��O'�$��$��Krevamping).

G�� '�� /� �� 3�'��6�6/� �� '��$�� $� �� -$��'��/��$�&Q��'��'��'��'�#��'��K��'�/�$�&��/��'�'�/��$��L��#��'��'��3�'��/�)��#��$�&��/��$��$��$'��

G��#��/��3�'��$�&Q��O'�$��$��/��lo cual, normalmente, el tiempo programado de la instalación, pruebas y puesta en �� 6�6/��&��'��'�'��$'��$��$��-��$�/��$��'��'��$��'��$��'��T$'��-�'��$��'�'��$��)��3�'��+��$��/��#��'��$��'��6�6/��3��$�)��$4��'��

S4��$��DX/��'&��$��&��'�'��K��&�'�L/�)��$/��'��3�'��3��6�6�

"-�¨��}:�/�$+�+��k�*�$��}�:H/+ ��H�k��+�+��k�

G�$'��P��'��6�6��'��'��J��$��6�6/��'��'��P��K��J��'��$��'��L/��'�'��$��'��6�6/��3��'� ��$��'��3��$/��#��$/��'��$-&��6�6��#��/�)��'��'�$��$�&'4��'&'��$��'�'��$��/��'��$��'�'��$��$'��/��$'�� '��)�� '��'�� $'��'�� '�� '��$��$��#��'��K��'�'��'�'��&��3��'��$��$��/��'��'��/�&��3��'��3�'��3�� &'��/��$��L��*��'#��/��'��'��'�$��'��'��'��K��'��$��J��/��'��J��conceptual del SIS, por ejemplo).

(��$�&'4��3��$��Q�� '��3��'�$��de pruebas manuales (TI) es de un�J��+�$��'#�'P��3��'��#�amadas ��'��)��$��$'��/� )�3��6��'��


��3��$��'$�� &��$��'�:��$��'$�� &��$��'�:��'$�� &��$��'�-��'��$��'�$'�$��$'��P#��'��3��'$�� &��line se estudiaron en los C��$��?�)�D@/��'�� &'$��/��'��3��$'��'�&��'$/�'��$��&'��$�&��corte y baipases de mantenimiento en los transmisores.

k�<��"-�[��Procedimiento pico para operación y mantenimiento del SIS.

PASO #

ACCIÓN CHECAR�©

1 Conjuntar toda la información requerida para las pruebas (información validada, y en úl�ma revisión), incluyendo permisos, sus�tución de accesorios, en caso de que aplique, etc.

#

2 No��car a todo el personal opera�vo de la planta que se realizará una prueba al SIS, recibiendo con�rmación de enterado por cada uno de los involucrados.

3 (Tomando en cuenta que la planta se encuentra fuera de operación) Realizar la prueba iniciando con la puesta en modo test del SIS (desde el controlador, mediante contraseña proporcionada por el asignado como responsable.

4 Mediante los bloqueos de válvulas aplicables, conectar el transmisor de nivel LZT-02A al equipo de pruebas, y veri�car la señal obtenida en interfaz hombre máquina.

5 Veri�car que el punto de disparo de LZT-02 A con�gurado en el PLC, mande ac�var la secuencia de�nida en la matriz causa-efecto (cierre de válvulas XZV-101A y XZV-101B).

6 Veri�car que la desconexión eléctrica de la señal de LZT-02A (fallo segura), de acuerdo a la matriz causa-efecto, mande a cerrar de válvulas XZV-101A y XZV-101B.

7 Veri�car que la pérdida de energía eléctrica de alimentación a válvulas (fallo segura), mande a cerrar las válvulas XZV-101A y XZV-101B).

8 Veri�car que la pérdida de aire de instrumentos (fallo segura), mande a cerrar las válvulas XZV-101A y XZV-101B.

9 Veri�car que el sistema solo puede volverse a rearmar, desde el SIS, mediante contraseña (reconocimiento de disparo del sistema, o disparo en falso en su caso).

10 Repe�r estos pasos para el otro transmisor de nivel del SIS (LZT-02B).

473Caso prác�co

PASO #

ACCIÓN CHECAR�©

11 (En caso de aplicar según diseño conceptual del SIS y recomendaciones de los fabricantes de los equipos).Remplazar solenoides de válvulas XZV-101A y XZV-101B y/o conjunto válvula solenoide, relevadores de seguridad, fuentes de alimentación de CD.

12 Veri�car la correcta calidad del aire de instrumentos que llega a las válvulas XZV-101A y XZV-101B (presión, nivel de secado, remplazo de �ltros en caso de aplicar).

13 Veri�car el correcto voltaje de las fuentes de alimentación a solenoides de válvulas XZV-101A y XZV-101B.

14 Una vez que se ha concluido la prueba, retornar a su correcta posición, válvulas, venteos, drenes, y accesorios, del SIS.

15 No��car a todo el personal involucrado, que la prueba ha concluido, recibiendo con�rmación por cada uno de ellos.

16 Entregar el reporte de pruebas realizado, al personal aplicable (Diseñador del SIS, por ejemplo), y corroborar si con las pruebas, remplazo de accesorios, dentro del diseño conceptual, con los valores reajustados, se cumple con el factor de reducción de riesgo de la Función Instrumentada de Seguridad, en caso contrario, proponer nuevas estrategias, incluyendo el remplazo de partes mayores de la función instrumentada de seguridad.

Gª��*H:+��$��k¦:�+��*��H/: �+��*

<Z<�� as low as reasonably practicable.

_�� basic process control system.

�K�`� certi�ed functional safety expert.� �� $��3��$'�'��'��'�-

��'��$�'��'��'��$��$��#��'��3��$��'��$'��

�� '��3��$��$��'#��$'��H��"��\):��$Q��3��

detectados en las pruebas periódicas.��H��'��'�$��/��&�'�$��/��'��'$'��3��

�Q��$��'��P��6��'�'�'��/��#'��)��-��$��P��6��

�� $��'�'��3��

��$��'��'�� distributed control system.� �� documento de obligado cumplimiento.� �H� � � ��'��'��'��$'��3��'�$��$��

��

`f`f`�� electrical/electronic/programmable electronic.`f`f`�� electrical/electronic/programmable electronic system.`�� H��<��3��$��'��/��)��$��&'��'��-

$'P��`�� H��_��$��$��3��'P��`��Q��$��'�$��'��$��$��#��'��3��'��$��

��'��'��'��#��$��#��`�� emergency shut down (sistema de parada de emergencia).


`��$��3��'#��'�$��#��'��/��'��'�$��$��'&��'��#��'��$&��

`h�� equipment under control�K�3�'��&Q��$��L�K��j7��3��3��$�/�

��'��'��/��'��$��6��K��H�� 4��#��K�� H�� 4��#��K��H�� cuando al producirse, deja al proceso en condiciones de riesgo in-

tolerable.K�� $��'��/��'�'��

segura.K<\� factory acceptance test.K �� "�$��&&'�'��4O'$��K?�`<��'�'��/��$��)��'��K?`<� failure modes and effects analysis.K�Z� �xed program languages.K�<� functional safety assessment K��'��#��'��'��L�K\<� fault tree analysis.KkZ� full variability languages.

q<w�� hazard identi�cation.HAZOP: hazard and operability.qK\� hardware fault tolerance�K$��'�� 9��L��q�`��health, safety and environmental.�

�`��$��$'��+��$��$�� '��'��'��Z��$�G��$��$'��)��<� International Society Automation.

Z@�<� layer of protection analysis�K��'�'��$��'��L�Z\� life time K$'��'�L�ZkZ� limited variability languages.

? �� '��3��K�L��'K�L��$��'#��?�� '��#��'��$��:e-

ración.?��'��#��'��&��&Q��-

��'�$��$��#��)��'��$��)��J��

?��[��'��#��'��&��&Q��-��'�$��$��#��)��'��$��J��

477Glosario de términos y acrónimos

?��"M out of N):�'��'��$�'��'�$��3��$��U-V��-��'��'��$��/�3��$��$��$��3��&�$��$'��U�V��3��Q��$��'��'��$��$��#��'��

MOS: maintenance override switch�K&'��$��'�'��$�L?\_K� mean time between fail.?\\K� mean time to fail.?\\K�� mean time to fail safe K$'��'��$��#��L�?\\�� mean time to restore.

��&�'�$��3��'�'��'��$��'��'��$�-�'��%�»WG�

�� {ada:��$��'P��'��$4��'��'��*'-��$'�/��$��#�'��P�'��'��'��$'��-$��$�'��/��3��'�'��$��'��'��-�'��'��$��3�'�'$��'��'��$'��'�&��relacionada.

��$��&��'$4��$��O��$��-$�'��#��$��'��$��&'$��)��'��/��&�'#��'-miento.

�``��#��'��O$��'��`�� programmable electronic system.�K��&&'�'��'��K�� process �ow diagram ��&&'�'��/��-

$�O$��3��$'�'��K�� probability of failure safe�K��&&'�'��#��L�PHA: preliminary hazard analysis�K��'�'��'��#��'�'��L��Z�� programmated logic control.POS: process override switch K&'��'��L�� '��3��'��3��$��'#�� '��'#��'��J��'�$��&Q�$��'$��

��4��'��$'��|�� '��&Q�$��$��$��$��

sistema instrumentado de seguridad.��\� partial stroke test (test de prueba parcial).�}�� process & instrument diagram.

�� 7�� $'P��'��'��#��3��$��3��O'#'��$��&��

�� $��6�6�3��'��'��#'�� $��'��'��$��'�

3��'� ��$��\� repair time (tiempo de reparación).


�� |�� la parte de la seguridad general relacionada con el proceso )��<G6�3��'��'��$��$��6�6�)��$��'�$��protectores.

��'��'$'��&'��'��'��'$'��/�3��'��'�'��-�� K�� Q��7� $��'��/� $��$��/� '�$��$�� /� '�$�:o, inte-rruptores de posición).

�<\� site acceptance test.�� f��$��'��'�$��3��)��'��

��'��'��'�'��'$'#��'��KK� safe failure fraction K��'��#��L��K� safety instrumented function.��Z� safety integrated level.�� sistema instrumentado de seguridad.��\� site integration test (pruebas de integración en planta).� ��'�$��3��J��$��)8��

��)�#��J��'��3�� 3��

�� safety requirement speci�cation.��|~��H� �� 7��P��'��'��3��3�'��'��

P��)��#��G+6��|~�� 3��'�'�$��$��'�$��|~�� 3��)��'P��'��'��-

grama.

\�� time interval�K'�$��&��L�

k�� $'�'��$��3��'��'��'��$��$-das de la seguridad y el sistema o los sistemas instrumentados de seguridad bajo ��'��'�� 4�� '��$��'�� $�� $�� 'P��'��3�'�'$��#��'��

k�� Q�� $'�'��$��$��'��'��-$'��$�/��'�$��'�'��)8��&�/�3��$��)��'��P��$��$��&Q�$'��)��3�'�'$��$&��'��P��

��$��T��$��d��$��'#��:�$��#��dd:�$��'#��$��$��:�$��'#��$��$��:�$��#��$��$��SD:�R��#��$��$��

BREFERENCIAS BIBLIOGRÁFICAS

^� �-6�8�6�:6?@�ED:D==A7�Application of safety instrumented systems for the pro-cess industries.�-[��R ��6��6��'�$)�

^� �-6�8�6��6G?@�ED7�Aplicación SIS para la industria del proceso.�-[��R ��6��Society.

^� �-6�8�6�:?@�EE�ED:BEE@�G�$�X�K�+�ADHDD:X��L��-[��R ��6��6��'�$)�^� �G�� (G� HHD� Process measurement instrumentation. ¾� '�#$��. Americam

G�$��$'$�$��D==X�^� �G��(G�HHX Re�nery control valves. ¾� '�#$�� '��G�$��$'$�$�.

D==?�^� �G��6$��H=?7�Valve Inspection and Testing.�+'# $ �+�'$'��/�-[��'��

G�$��$'$�$�.�BEE@��^� �6�+:GR:�D=�X�Temperature measurement.�-[��'��6��'�$)�� -

�'��+�#'��D=>@�^� �6�+:GR:� D=�H� Flow Measurement.� -[��'�� 6��'�$)� �� '��

+�#'��BEEH�^� C.E. Directrices para la evaluación de riesgos en el lugar de trabajo��O��-

&��#�7�WP�'��G�&�'��'��'��+��KD==AL�� Directriz Básica de Protección Civil para el Control y plani�cación ante el ries-

go de accidentes graves en los que intervienen sustancias peligrosas. Aprobada ��(�*��DD=A8BEEX/��D=��6��$'��&��

^� *�9��)��$��$'��)�'��$��'�'�#��$)�'�$�#�'$)��:��. ISA Transactions�D==?¨�X>7�DHH:DAA��

^� *�9��)��$��$'��)�'��'� ��$�)��Pro-cess Safety Progress:�D===¨�D?/��@7�BD@:BBE��

� Evaluating process safety in the chemical industry��-[��'�� '�$�)��'��$�� '��G��6��$)�

^� ��$��*�/�<��%6��Human reliability and safety analysis data hand-book.�-�9�[��7�¾'��):��$��'��/�D==@��

^� ��&��¾�� '��%��Safety instrumented systems veri�cation: practical pro-babilistic calculations.��6��BEEH�


� Green Book, Methods for the determination of possible damages.� G(� DA+/�R-W/�*�$� ��'�'�$�)��6��'��'��D==B�

^� �� G/� ��'��%��Safety shutdown systems: design, analysis and justi�ca-tion, �6��D==?��

� Guidelines for chemical process quantitative risk analysis. NY. American Insti-$�$�� '��+�#'��/�BEEE�

� Guidelines for process equipment reliability data – with data tables. NY. Center �� '��G��6��$)��$ ��'��$'$�$�� '��+�#'��D=?=�

� Guidelines for safe automation of chemical processes. NY. American Institute �� '��+�#'��/�D==X�

^� HSE. Health and safety executive: Reducing risks, protecting people. Discus-sion document, %6+�<��D===�

^� HSE. Out of control: Why control systems go wrong and how to prevent failure. N\�%6+�<��/�%��$ �¡�6��$)��'��BEEX�

^� �+�ADHDD:BEEE:E>�+��D��$��D:B�Safety instrumented systems for the process industry sector.��/��$��$'��+��$��$�� '��'��'��BEE>�

^� �+�ADHE?:BEDE/�+��B��$��D:A�Functional safety of electrical/electro-nic/pro-grammable electronic safety related systems��/��$��$'��+��$��$�� -�'��'��'��BEDE�

^� �+�ABX?D�Automation systems in the process industry- Factory acceptance test (FAT), site acceptance test (SAT), and site integration test (SIT).��/��$��-�$'��+��$��$�� '��'��'��BEDB�

^� �+� ABX?B� Electrical and instrumentation loop check. ��/� ��$��$'��+��$��$�� '��'��'��BEEA:DD�

^� INSHT. Guía técnica para la evaluación y prevención de los riesgos presentes en el lugar de trabajo relacionados con agentes químicos.�(�*��X>@8BEED/��A��&�'�/�<W+��É�DE@/��D��)��

^� �6�:6=D�ED:D==H, Identi�cation of emergence shutdown systems and controls that are critical to maintaining safety in process industries,�-[��R ��6��6��'�$)�

^� �6�:R(?@�EE�EB:BEEB�G�$�B�Determining the SIL of a SIF via simpli�ed equa-tions.�-[��R ��6��6��'�$)�

^� �6�:R(?@�EE�EB:BEEB�G�$�X Determining the SIL of a SIF via fault tree ana-lysis.�-[��R ��6��6��'�$)�

^� �6�:R(?@�EE�EB:BEEB�G�$�@�Determining the SIL of a SIF via Markov analysis. -[��R ��6��6��'�$)�

^� �6�:R(?@�EE�EX:BEEB��Guidance for testing of process sector safety instrumen-ted functions (SIF) implemented as or within safety instrumented Systems (SIS), -[��R ��6��6��'�$)�

^� �� $��(�/�Instrumentation and control in safety applications,�N6��-&��G��$)��G��$'��*$�6 ��$�>:@H/�D==?��J��K��'�-dor traducción: Successful health & safety management). �xito en la gestión de la salud y de la seguridad.��'�/��-6%R��D==@�

481Referencias bibliográ�cas

^� \��$��R��Qué falló?... Desastres en plantas con procesos químicos �Cómo evi-tarlos? �4O'��. ��9�%'��BEED�

^� \�� $�R(��Lessons in industrial instrumentation.��$'��$$�'-&�$'��BEE?:BEDD�

� Layer of protection analysis: Simpli�ed process risk assessment.��$�� -�'��G��6��$)��$ ��'��$'$�$�� '��+�#'��BEDD�

^� ��G*��Practical industrial safety, risk assessment, and shutdown sys-tems. ��$��+��'��BEE@�

^� ��'��Instrumentation and control system documentation.��6��BEE@�^� -�G��A?/�Guide for venting de�agrations, -$'��'��G��$��$'��'$'��/

D==@�^� -RG�X=A7�De�agraciones producidas por gases, vapores y polvos combustibles:

sistemas de protección, Instituto Nacional de Higiene y Seguridad en el Traba-Q��'��

^� (�*��DBH@8D===/��DA��'�/��3��&��'��$��'��#��'� ��$��'��$��#��3��'�$��#��$��'��'#��)��$��'��'P��'��

^� (��'��A paper on what is necessary for using IEC 61508��BEED�^� 6�$��/�<�J�G�� Análisis y reducción de riesgos en la Industria Quí-

mica��'��+�'$��'��D==@�^� 6$�� '��/��$�� Seguridad industrial en plantas químicas

y energéticas. Fundamentos, evaluación de riesgos y diseño��'�/�+�'�'��*��6�$��/�BEE?��

^� 6��%'# �'�$�#�'$)��$��$'��)�$��$'��6'�:$�� Solutions. Chemical Processing/�� /�BEE@��

^� 6��+/�G��Aseguramiento de la calidad y sistemas instrumenta-dos de seguridad.�%��$��/�6'�:R�� 6��$'��

^� 6�� /� »� �)� <»�� Improve facility SIS performance and reliability. %��$��6'�:R�� 6��$'��/�G�&�'� ��%)��&��G��'�#/�BEEB�

^� R��$ ��S��A guide to the automation body of knowledge. Segunda Edición. �6��BEEA�

^� N-+:+-��6W�HDA>:D/�B/�X�)�@��Medida de caudal de �uidos mediante disposi-tivos de presión diferencial, instalados en conductos en carga de sección trans-versal circular. Placas de ori�cio, Toberas y Tubos venturi.

^� ¾��Hazard identi�cation and risk assessment.�+�$&��$'$�$'�� '��+�#'��D==A�

^� ¾ '$$��*��Successful instrumentation and control systems design.��6��BEE@�� ellow Book, Methods for the calculation of physical effects of releases of ha-

zardous substances (liquid and gases). G(�D@+/�R-W/�*�$� ��'�'�$�)��6�-�'��'��/�D==D�

IÍNDICE ANALÍTICO

Abuelo-grandfather, 4Accidentes industriales, 2Acondicionadores de señal, 232Actividades generales, 378Actuadores, 259

neumáticos de diafragma, 259Aislamiento entre zonas, 278Alivio de presión, dispositivos mecánicos,

61Ámbito de aplicación, 2Análisis,

cuantitativo mediante árbol de fallos,124

mediante árbol de sucesos, 125de las capas de protección, 155de los modos de fallo y efectos, 106de riesgos, 95

de los procesos, 16mediante HAZOP, 455metodologías, 97

HAZID, 101histórico de accidentes, 99LOPA, 155mediante listas de chequeo, 104preliminar de riesgos, 101what if?, 102

ANSI/ISA, 4, 21Árboles,

de fallos, 337análisis cuantitativo, mediante, 124análisis, mediante, 108cálculo de probabilidad, 164cuantificación, 124

de sucesos,

análisis cuantitativo, mediante, 125análisis, mediante, 111

Arquitectura,1oo1, 337, 3481oo1D, 3541oo2, 339,3481oo2D, 3542oo2, 343, 3492oo2D, 3542oo3, 345, 350de votación, 324diagrama a bloques de, 466y HFT, 324

Balance de materia y energía, 89Bases,

de datos, 99de diseño, 469

Cableado, para instrumentos, 282inspección del, 388

Calibración en planta, 186Cambios, gestión de, 443Campo, elementos de, 2Capas,

de protección, 45análisis de las, 155independientes, tipos, 53, 54

típicas,con función de mitigación, 61con funciones protectivas, 57


Caudal, de vapor, medida de, 203por presión diferencial, 422

Cebolla de la seguridad, la, 55, 156CENELEC, 5Certificación de seguridad funcional, 450Certificado,

de aceptación del sistema, 399FAT, 396SAT, 397SIT, 398

Check list, 104Ciclo de vida, 71

de los SIS, 452de seguridad, 405

Circuitos de seguridad, 288Comisionado, 375

del SIS, 369Complejidad del sistema, 301Comprobación,

de inventarios del hardware y software,387

de la documentación, 386de rendimiento, 380funcional, 391

Comunicaciones con otros sistemas, 301Conexiones,

bridada, 196, 220instrumentos a recipientes, 238de temperatura al proceso, 216en la vena contracta, 193inspección del, 386para medida de caudal, 198radius taps, 193roscadas, 217, 219termopares, 229

Contención, sistemas de, 65Control de posición, 280Coriolis, medidor de efecto, 175

Definiciones, 6, 11función instrumentada de seguridad,

9nivel integrado de seguridad, 8sistema integrado de seguridad, 6tiempo medio entre fallos (MTBF), 10

Deflagración, supresión de, 66Detector por flotador externo, 249

Diagnósticos, 355del hardware, comprobación de los, 400

Diagrama, a bloques de arquitectura, 466causa-efecto del SIS, 464de tubería e instrumentación, 90flujo de proceso, 88

Directiva, 35Discos de ruptura, 63Discrepancias, 381Diseño, 49

conceptual, 72, 79, 85, 321, 465de detalle, 80, 93, 361, 469de software, 299

Disparo espurio, 272Dispersión, sistemas de, 65Dispositivos en serie, 64Diverter, 262Documentación, 420

comprobación de la, 386de seguridad funcional, 450

Electroválvula, 265Elementos,

bimetálicos, 216de campo, 2, 167finales de control, 254prueba de carrera total, 269

Escenarios peligrosos, 49, 51elemento iniciador, 51

Especificación(es), de integridad, 312de seguridad, desarrollo de la, 77, 305funcional, 308generales, 306

Estándares, 15Estrategia, 48Estudios de riesgos y operabilidad, 113Evaluación de la seguridad funcional, 383Eventos peligrosos, probabilidad de, 148Explotación del SIS, 403

Fallo(s), de causa común, 329distribución de, 406demanda,

media, probabilidad de, 8

485

promedio, cálculos de probabilidad de,466

peligroso, 11probabilidad de, 406seguro, 11tipos, 407

Fases de ciclo de vida, 371FAT (pruebas de aceptación en fábrica),

369, 372, 376Fiabilidad, exigencias, 264Flujo de proyectos industrial, 86Fórmulas simplificadas, 357Funciones,

complejas, 392de seguridad, 260

asignación, 76instrumentada de seguridad (SIF), 9protectivas, 47

Fuego, sistemas de, 66

Gas, sistemas de, 66Gerencia de seguridad funcional, 447,

factores claves, 448; beneficios, 452

Gestión,de cambios, 443,

procedimientos de, 444personal,

comunicaciones, 366, documentación, 366

Glosario de términos y acrónimos, 475Gráfico de riesgo, 146

calibrado, 150Guías, 35, 43

HAZOP, 73, 113, 129análisis de riesgos, 456

HFT (tolerancia a fallo de hardware), 324

Identificación de riesgos, 128IEC (International Electrotechnical Com-

mission), 5Normas, 24, 36

61511, 7Índices,

de instrumentos, 91de riesgo, 121

SIL, cálculo del, 159, 162 ejercicios de aplicación, 160metodología, 145

Informe de pruebas, 380Inspección,

de la instalación, 378del cableado, 388del conexionado, 388eléctricas, 292instalaciones, 288mecánica, 387y pruebas mecánicas, 289

Instalación, 373del SIS, 369pruebas y comisionado, 80

Instrumentos, conectados al proceso, 291de nivel, 234de presión diferencial, 204insertados en el proceso, 290mecánicos con interruptores, 170medidores de caudal, 186

Integración, de la información y documentación, 314de subsistemas, 393

Interruptores de nivel, 249Intervalo de las pruebas a los sistemas, esta-

blecimiento, 409Inventarios de hardware y software, com-

probación de, 387ISA, normas, 36

Legislación española, 37, 41Legislación, 15Ley 31/1995, de 8 de noviembre, 20Limitación mecánica, 279Lista de comprobación,

de la evaluación de la seguridad funcio-nal, 400

de comprobación SIT, 395Listado,

de alarmas, 91de disparos, 91de instrumentos, 91

Logic solver, 415, 418Lógica,

de votación, 326del SIS, 295


Mantenimiento, del SIS, 403y explotación, 81

Máquinas, instalaciones, 32máquinas, seguridad, 32seguridad eléctrica, 33

Markov, modelos de, 353Matrices de riesgo, 147, 149, 150, 162Matriz causa y efecto, 92Medida,

de caudal, 174,con elemento generador de presión,

187,con potes de drenaje, 202de gases, 201de líquidos, 200de vapor, 203por presión diferencial, 190recomendaciones, 196tipo Wedge 195, ventajas e inconvenientes, 188

de diferencia de presión, 210de nivel, 234

con desplazador, 246en tanques abiertos, 241en tanques cerrados, 243por onda guiada, 252por presión diferencial, 241

de presión, 208diferencial, 212

de temperatura, 215de vapor de agua, 202

Medidor, de área variable, 181de efecto Coriolis, 175electromagnético, 179magnético, 178Vortex, 184

Metodologías,índice SIL, 145cualitativas, 99, 146cuantitativas, 77, 122semicualitativas, 150semicuantitativas, 77, 118, 155

Métodos de identificación de riesgos, crite-rios de selección, 125

Modelos de Markov, 353Modificaciones del SIS, 82, 443

Modos de fallos, 324y efectos, análisis de los, 107, 120

Necesidad de aplicación, 2NODOS, 115Normas, 30, 35, 37, 43Normativas, 15

Onda guiada, 252Operación,

de instalación, 50de los sistemas, responsabilidad, 411

Organismos y recursos, 448OSHA CFR 1910.119, 19

Palabras guía, 75Partial stroke test, 278PES (programmable electronic system),

298Placa de orificio, 191Planes de emergencia, 68Planificación de la seguridad, 448Plano de localización de equipos, 92Pre-puesta en marcha, 382Prevención de riesgos laborales, 20Probabilidad de fallo en demanda, 331Procedimientos,

de gestión de cambios, 444de mantenimiento y operación, 421de validación, 435

Programmable electronic system (PES),298

Protección,de combustible quemadores horno, 274de reactor, 270

Prueba, de aceptación en fábrica (FAT), 369, 372,

376de carrera parcial, 278

aplicación de la, 281de funciones generales del sistema, 389de integración en planta, 382de puesta en marcha, 389de validación, 438del sistema de alarma, 389eléctricas, 292

487

hidrostáticas, 291mecánicas, inspección y, 289neumáticas, 291off-line, 413on-line, 416operacionales, 379

RBD (reability block diagram), 349RD 1254/1999, 16Reability block diagram (RBD), 349Reducción del riesgo, 46, 151, 153, 161Redundancia, selección de, 2Registros, 420Rendimiento, comprobación de, 380Requerimientos,

generales, 306particulares, 79

Requisitos,comunes,

físicos, 78funcionales, 78

de seguridad de la SIF, 461Responsabilidad,

de las operaciones de los sistemas, 411de las pruebas de los sistemas, 411

Riesgo,de los procesos, análisis, 16de procesos, evaluación, 72intrínseco, evaluación del, 119laborales, prevención, 20

Rotámetro, 182

Salvaguardias, 52SAT, lista de comprobación, 394Sección de redundancia, 2Seguridad funcional, 21Selección de tecnología, 1Sensores, 418

de campo, 168Separación de señales, 283Seveso, 16, 17Símbolos lógicos, 109Sistemas,

de alarmas, 58, 389de contención, 65de control de procesos, 57de dispersión, 65

de enclavamientos, 91de fuego, 66de gas, 66instrumentados de seguridad, 60térmicos de presión de vapor, 223

Software,de aplicación, 300de utilidad, 299integrado, 299

Stand pipe, 238Supresión de deflagración, 66

Tamaño del sistema, 300Tasas de fallo, 324Técnica RBD, 349Tecnología, 169

eléctrica, 296electrónica, 297PES, 298

Temperatura al proceso, conexiones, 216Terminología, 6Termómetros de sistemas térmicos, 220Termopares, 229Termorresistencias, 226Termostatos, 225Tiempo medio entre fallos (MTBF) 10Toberas de caudal, 194Tolerancia a fallo de hardware (HFT),

322Transmisores,

con sellos, 244inteligentes, 173

Tuberías con bridas de orificios y conexio-nes, 199

Tubo Venturi, 194

UNE, Normas, 28, 36

Validación, 370Validación,

de seguridad, 376del SIS, 369procedimiento de, 438pruebas de, 438

Válvulas,de control, cuerpo de la, 255


de seguridad, 62de proceso, 268solenoide, 267, 279

Vapor de agua, medida de, 202Verificación, 370

de seguridad funcional, 449y diseño del SIS, procedimiento para la,

330Visualización y operación, 391

seguridad funcional en instalaciones de proceso sistemas instrum

Documents