NRF-045-PEMEX-20101

NRF-045-PEMEX-2010

28 de Junio de 2010 PÁGINA 1 DE 81

COMITÉ DE NORMALIZACIÓN DE PETRÓLEOS MEXICANOS Y ORGANISMOS SUBSIDIARIOS SUBCOMITÉ TÉCNICO DE NORMALIZACIÓN DE PEMEX - EXPLORACIÓN Y PRODUCCIÓN

SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL Esta norma cancela y sustituye a la NRF-045-PEMEX-2002 de fecha 17 de mayo de 2003.

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios

SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL

NRF-045-PEMEX-2010 REV. 0 PÁGINA 3 DE 81

CONTENIDO CAPÍTULO

PÁGINA

0

INTRODUCCIÓN ................................................................................................................................4

1

OBJETIVO ..........................................................................................................................................5

2

ALCANCE ...........................................................................................................................................5

3

CAMPO DE APLICACIÓN ..................................................................................................................5

4

ACTUALIZACIÓN ...............................................................................................................................5

5

REFERENCIAS ...................................................................................................................................6

6

DEFINICIONES ...................................................................................................................................8

7

SÍMBOLOS Y ABREVIATURAS ..................................................................................................... 14

8

DESARROLLO ................................................................................................................................ 16 8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 8.9 8.10 8.11 8.12 8.13 8.14 8.15

9

Administración de la seguridad funcional ............................................................................. 17 Requisitos del Ciclo de Vida de Seguridad ........................................................................... 22 Verificación............................................................................................................................ 24 Análisis y evaluación de riesgos del proceso ....................................................................... 24 Asignación de funciones de seguridad para capas de protección ....................................... 26 Especificación de los Requisitos de Seguridad-ERS del SIS para paro por emergencia .... 29 Diseño e ingeniería del equipo del SIS ................................................................................. 31 Requisitos para los programas de aplicación incluyendo criterios de selección para los programas de utilerías .......................................................................................................... 51 Pruebas de aceptación en fábrica (FAT) del SIS ................................................................. 66 Instalación y “comisionamiento” del SIS ............................................................................... 68 Validación de seguridad del SIS ........................................................................................... 69 Operación y mantenimiento del SIS ..................................................................................... 73 Modificación del SIS ............................................................................................................. 76 Desmantelamiento del SIS ................................................................................................... 77 Requisitos de Información y documentación ........................................................................ 77

RESPONSABILIDADES .................................................................................................................. 78 9.1 9.2

PEMEX .................................................................................................................................. 78 Proveedores o contratistas ................................................................................................... 79

10

CONCORDANCIA CON NORMAS MEXICANAS O INTERNACIONALES ................................... 79

11

BIBLIOGRAFÍA ............................................................................................................................... 80

12

ANEXOS .......................................................................................................................................... 80 12.1

Formato de matriz lógica de causa y efecto del SIS ............................................................ 80

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios 0



INTRODUCCIÓN

Dentro de las principales actividades que se llevan a cabo en Petróleos Mexicanos se encuentra el diseño, construcción, operación y el mantenimiento de las instalaciones para la extracción, recolección, almacenamiento, medición, transporte, procesamientos primario y secundario de hidrocarburos, así como la adquisición de materiales y equipos requeridos, para cumplir con eficacia y eficiencia los objetivos de la empresa. Esta norma refiere a los Sistemas Instrumentados de Seguridad (SIS) para el Sistema de Paro por Emergencia aplicados a la industria de procesos de PEMEX, basado en la especificación del modelo del ciclo de vida, e incluye los componentes y subsistemas requeridos para soportar las funciones instrumentadas de seguridad (FIS), que involucran sensores, resolvedores lógicos y elementos finales. PEMEX emite la presente norma de referencia para definir los requisitos del ciclo de vida del Sistema Instrumentado de Seguridad y su aplicación en los Sistemas de Paro por Emergencia en las instalaciones de Petróleos Mexicanos y Organismos Subsidiarios. Para lograr lo anterior es requerida la participación de las diversas disciplinas de ingeniería para unificar criterios, aprovechar las experiencias diversas y conjuntando los resultados con las investigaciones nacionales e internacionales. Este documento normativo se realizó en atención y cumplimiento a: Ley Federal sobre Metrología y Normalización y su Reglamento Ley de Obras Públicas y Servicios Relacionados con las Mismas y su Reglamento Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público y su Reglamento Ley General de Equilibrio Ecológico y la Protección al Ambiente y sus Reglamentos Guía para la Emisión de Normas de Referencia de Petróleos Mexicanos y Organismos Subsidiarios (CNPMOS001, Rev.1, 30 septiembre 2004) En esta norma participaron, por parte de Pemex: Pemex-Exploración y Producción (PEP) Pemex-Gas y Petroquímica Básica (PGPB) Pemex-Petroquímica (PPQ) Pemex-Refinación (PREF) Petróleos Mexicanos (DCO-DCIDP) Por parte externa: INSTITUTO MEXICANO DEL PETRÓLEO SCHNEIDER ELECTRIC MÉXICO SMART SAFETY & CONTROL PROVIDER, S.A. DE C.V. INVENSYS SYSTEMS MÉXICO, S.A. ROCKWELL AUTOMATION DE MÉXICO EXIDA CONSULTING MÉXICO ABB MÉXICO S.A. DE C.V. GE FANUC INTELLIGENT PLATFORMS REDCA CURSOS Y SISTEMAS S.A. DE C.V. ISA MÉXICO SIEMENS ARPO SINERGIA TECNOLÓGICA, S.A. DE C.V. EMERSON PROCESS MANAGEMENT S.A. DE C.V. MEDSA/SSCE




OBJETIVO

Establecer los requisitos técnicos y documentales que se deben cumplir en la contratación y/o para la adquisición de los Sistemas Instrumentados de Seguridad aplicables a los Sistemas de Paro por Emergencia en las instalaciones de procesos industriales de Petróleos Mexicanos y Organismos Subsidiarios. Además, establecer los requisitos técnicos y documentales para: Administración de la seguridad funcional de los Sistemas Instrumentados de Seguridad.

2

ALCANCE

Esta norma de referencia establece las obligaciones para especificar el diseño, instalación, pruebas, “comisionamiento”, operación, mantenimiento, modificación y desmantelamiento de los Sistemas Instrumentados de Seguridad aplicables a los Sistemas de Paro por Emergencia, Sistemas de Protección de Presión de Alta Integridad (HIPPS), y la metodología para verificar que se cumplan dichos requisitos en los procesos industriales de las instalaciones de PEMEX. Para el caso de los siguientes sistemas se deben tomar en cuenta: Sistemas de control de quemado (BMS) (aplica solo para acciones que generen el paro de emergencia) Sistemas de paro neumático (no aplica la parte de resolvedor lógico) Sistemas de gas y fuego (no aplica la selección de NIS (SIL) En el caso de SIS existentes diseñados y construidos de acuerdo con normas, códigos, estándares, o prácticas anteriores a la emisión de esta norma de referencia, PEMEX debe determinar en sus bases de licitación los requisitos y etapas del ciclo de vida de seguridad funcional que se deben aplicar.

3

CAMPO DE APLICACIÓN

Esta norma de referencia es de aplicación general y de observancia obligatoria en la contratación o adquisición de un bien o servicio objeto de la misma, que lleven a cabo los centros de trabajo de Petróleos Mexicanos y sus Organismos Subsidiarios. Por lo que debe ser incluida en los procedimientos de contratación: licitación pública, invitación a cuando menos tres personas, o adjudicación directa, como parte de los requisitos que deben cumplir el proveedor, contratista o licitante. Así mismo esta norma de referencia es de aplicación y cumplimiento estricto en todas las áreas de PEMEX, en el caso que realice cualquiera de las etapas con personal propio.

4

ACTUALIZACIÓN

Las sugerencias para la revisión de esta norma deben ser enviadas al secretario técnico del Subcomité Técnico de Normalización (SUTEN) de PEP, quien debe realizar la actualización de acuerdo a la procedencia de las mismas. Sin embargo, esta norma se debe revisar y actualizar, al menos, cada 5 años o antes, si las sugerencias o recomendaciones de cambio lo ameritan. Las propuestas y sugerencias de cambio deben elaborarse en el formato CNPMOS-001-A01, de la Guía para la Emisión de Normas de Referencia CNPMOS-001, Rev.1 del 30 de septiembre de 2004 y dirigirse a:




Pemex-Exploración y Producción Subdirección de Distribución y Comercialización Representación de la Gerencia de Administración del Mantenimiento Bahía de Ballenas # 5, edificio “D”, planta baja, entrada por Bahía del Espíritu Santo S/N Col. Verónica Anzures. C. P. 11300 México, D. F. Teléfono directo: 19-44-92-86, conmutador: 19-44-25-00, extensión: 3-80-80, fax: 3-26-54 Correo electrónico: [email protected]

5

REFERENCIAS

5.1 IEC 60654-1:1993 Industrial-process measurement and control equipment - Operating conditions - Part 1: Climatic conditions. Edition 2.0 (Equipo de medición y control para la industria de proceso –Condiciones de operación Parte 1 Condiciones climáticas. Edición 2.0) 5.2 IEC 60654-3:1983 Operating conditions for industrial-process measurement and control equipment. Part 3: Mechanical influences. Edition 1.0 (Condiciones de operación para equipo de medición y control para la industria de proceso. Edición 1.0) 5.3 IEC 61000-6-2:2005 Electromagnetic compatibility (EMC) – Part 6: Generic standards – Section 2: Immunity for industrial environments (Compatibilidad electromagnética (CEM) – Parte 6: Normas genéricas – Sección 2: Inmunidad en entornos industriales) 5.4 IEC 61000-6-4:2006 Electromagnetic compatibility (EMC) – Part 6: Generic standards – Section 4: Emission standard for industrial environments (Compatibilidad electromagnética (CEM) – Parte 6: Normas genéricas – Sección 4: Norma de emisiones en entornos industriales) 5.5 IEC 61131-2:2007 Programmables controllers – Part 2 Equipment requirements and test (Controladores programables – Parte 2 Pruebas y requisitos para el equipo) 5.6 IEC 61131-3:2003 Programmable controllers - Part 3 Programming languages (Controladores programables – Parte 3 Lenguajes de programación) 5.7 IEC 61326-1:2008 Electrical equipment for measurement, control and laboratory use–EMC requirements – Part 1: General requirements CORRIGENDUM 1 - Edition 1.0 (Equipo eléctrico de medición, control y para uso de laboratorio –Requerimientos de CEM Parte 1 Requerimientos generales CORRIGENDUM 1 – Edición 1.0) 5.8 IEC 61508-1:1998 Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 1: General requirements (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 1: Requisitos generales) 5.9 IEC 61508-2:2000 Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 2: Requirements for electrical/electronic/programmable electronic safety related systems (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 2: Requisitos para los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad)




5.10 IEC 61508-3:1998 Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 3: Software requirements (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 3: Requisitos de los programas “software”) 5.11 IEC 61508-4:1998 Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 4: Definitions and abbreviations (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 4: Definiciones y abreviaturas) 5.12 IEC 61508-5:1998 Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 5: Examples of methods for the determination of safety integrity levels (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 5: Ejemplos de métodos para la determinación de los niveles de integridad de seguridad) 5.13 IEC 61508-6:2000 Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 6: Guía de aplicación de la IEC 61508-2 y IEC 61508-3) 5.14 IEC 61508-7:2000 Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 7: Overview of techniques and measures (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 7: Descripción de técnicas y medidas) 5.15 IEC 61511-1:2003 Functional safety - Safety instrumented systems for the process industry sector - Part 1: Framework, definitions, system, hardware and software requirements. Corrigendum 1 November 2004. (Seguridad Funcional - Sistemas Instrumentados de Seguridad – Para los Procesos del Sector Industrial – Parte 1: Marco de referencia, definiciones, sistema, requisitos del software y hardware Corrigendum 1 Nov 2004) 5.16 IEC 61511-2:2004 Functional safety – Safety instrumented systems for the process industry sector – Part 2: Guidelines for the application of IEC 61511-1. (Seguridad Funcional - Sistemas Instrumentados de Seguridad – Para los Procesos del Sector Industrial – Parte 2: Guía de aplicación de la IEC 61511-1) 5.17 IEC 61511-3:2004 Functional safety – Safety instrumented systems for the process industry sector – Part 3: Guidance for the determination of the required safety integrity levels. (Seguridad Funcional - Sistemas Instrumentados de Seguridad – Para los Procesos del Sector Industrial – Parte 3: Guía para la determinación del nivel de integridad de seguridad requerido) 5.18 IEC TR 61508-0:2005 Functional Safety of electrical/electronic/programmable electronic safety-related systems– Part 0: Functional safety and IEC 61508. (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 0: Seguridad funcional y la IEC 61508) 5.19

NOM-001-SEDE-2005 Instalaciones Eléctricas (Utilización)

5.20

NOM-008-SCFI-2002 Sistema general de unidades de medida

5.21

NRF-018-PEMEX-2007 Estudios de riesgo

5.22

NRF-036-PEMEX-2003 Clasificación de Áreas Peligrosas y Selección de Equipo Eléctrico

5.23

NRF-049-PEMEX-2006 Inspección de bienes y servicios



5.24

NRF-111-PEMEX-2006 Equipos de Medición y Servicios de Metrología

5.25

NRF-152-PEMEX-2006 Actuadores para válvulas


5.26 NRF-204-PEMEX-2008 Válvulas de bloqueo de emergencia (válvulas de aislamiento de activación remota) 5.27 NRF-226-PEMEX-2009 Desplegados gráficos y bases de datos del sistema digital del monitoreo y control de procesos

6

DEFINICIONES

6.1 Árbol de fallas. Representación gráfica lógica y organizada de las condiciones ó factores que causan o contribuyen a que ocurra un evento no deseado definido. 6.2 Arquitectura. Arreglo del equipo y/o elementos de programas en un sistema (El arreglo de los subsistemas del Sistema Instrumentado de Seguridad-SIS, Estructura interna de un subsistema del SIS, Arreglo de programas, entre otros). 6.3 Auditoria de la seguridad funcional. Inspección sistemática e independiente para determinar si los procedimientos específicos de los requisitos de seguridad funcional cumplen con lo establecido en la planeación de forma que sean implementados eficazmente y que son los requeridos para alcanzar los objetivos especificados. 6.4 Calidad. Totalidad de características de una entidad que tienen que ver con su capacidad para satisfacer las necesidades establecidas e implícitas. 6.5 Canal. Elemento o grupo de elementos que desempeñan una función de manera independiente. El término puede ser usado para describir un SIS completo o una parte de este, como sensores o elementos finales. 6.6 Capas de protección. Cualquier mecanismo independiente que reduce el riesgo por control, prevención o mitigación y que pueden ser entre otros: equipo de proceso, sistema de control básico de proceso, procedimientos administrativos, y/o respuestas planeadas para protección contra un riesgo inminente. 6.7 Ciclo de vida de los programas. Secuencia de actividades durante un período de tiempo que va desde la concepción hasta el desuso del programa, incluye las fases de requisitos, desarrollo, prueba, integración, instalación y modificación. 6.8 Ciclo de vida de seguridad. Secuencia de actividades involucradas en la implantación de las funciones instrumentadas de seguridad desde el diseño conceptual hasta el desmantelamiento de todas las funciones instrumentadas de seguridad. 6.9 Cobertura de Diagnóstico-CD. Relación de la tasa de fallas detectadas respecto de la tasa total de fallas de un componente o subsistema de un Sistema Instrumentado de Seguridad, detectados mediante pruebas de diagnóstico, no incluye las fallas detectadas mediante pruebas rigurosas. Se utiliza para calcular la tasa de fallas detectadas (λdetectadas) y no detectadas (λnodetectadas) de la tasa total de fallas (λtasa total de fallas) de la siguiente manera: λdetectadas = CD × λtasa total de fallas y λnodetectadas = (1-CD) × λtasa total de fallas.




6.10 Comisionamiento. Es la verificación y confirmación de que el SIS cumple con las características especificadas en la documentación del diseño detallado y se encuentra listo para las pruebas de prearranque (cuando PEMEX lo solicite en su proceso licitatorio) y/o validación OSAT. 6.11

Complejidad. Un indicador del número de grados de libertad al cometer errores.

6.12 Comunicación externa. Intercambio de datos entre el SIS y una variedad de sistemas o dispositivos que se encuentran fuera del SIS. Esto incluye interfaces del operador compartidas, interfaces de ingeniería/mantenimiento, sistemas de adquisición de datos, entre otros. 6.13 Comunicación interna. Intercambio de datos entre diferentes dispositivos dentro de un procesador electrónico programable dado. Esto incluye conexiones de plano posterior “back plane” del canal de comunicación “bus”, E/S (I/O) del canal de comunicación “bus” locales o remotas, entre otros. 6.14 Confiabilidad. Probabilidad de que un sistema pueda desempeñar una función definida bajo condiciones especificadas para un periodo de tiempo dado. 6.15 Consecuencia. Resultado real o potencial de un evento no deseado, medido por sus efectos en las personas, en el ambiente, en la producción y/o instalaciones, así como la reputación e imagen. 6.16 Daño. Lesiones físicas o en la salud de las personas, ya sea directa o indirectamente, como consecuencia de los daños a la propiedad o el medio ambiente. 6.17 Demanda. Una condición ó evento que requiere que el SIS lleve a cabo una acción requerida para prevenir un evento peligroso, ó para mitigar sus consecuencias. 6.18 Desenergizado para disparo. Circuitos SIS en donde las salidas y dispositivos se encuentran energizados en operación normal. Cuando se suspende el suministro de energía se produce una acción de disparo. 6.19

Desmantelamiento. La remoción completa de un SIS de su servicio activo.

6.20 Desmantelamiento parcial. Es un caso particular de modificación, el cual consiste en la remoción de una ó más Funciones Instrumentadas de Seguridad-FIS (SIF) del SIS. 6.21 Detectada, revelada. Con relación a las fallas, se refiere a las fallas del equipo y fallos en los programas encontrados por pruebas de diagnóstico o durante la operación normal. 6.22 Disparos en falso. Activación de cualquier Función Instrumentada de Seguridad-FIS (SIF) perteneciente al SIS, sin existir una demanda real en campo. 6.23 Disponibilidad. Probabilidad de que un SIS es capaz de desempeñar un servicio de seguridad bajo demanda (en operación). Un SIS no está disponible si se encuentra en un estado de falla (seguro o peligroso), o que se encuentre en mantenimiento. 6.24 Diversidad. Uso de dispositivos y equipos con diferentes tecnologías o métodos de diseño que desempeñen una función de seguridad común, de manera que se minimicen las fallas de causa común. 6.25 Documento normativo “equivalente”. Es el documento normativo alterno al que se cita en una NRF, emitido por una entidad de normalización, y que se puede utilizar para la determinación de los valores y parámetros técnicos del bien o servicio que se esté especificando, siempre y cuando presente las evidencias




documentales, que demuestren que cumple como mínimo, con las mismas características técnicas y de calidad que establezca el documento original de referencia. 6.26 Eléctrico/Electrónico/Electrónico Programable-E/E/EP. Basado en tecnología eléctrica (E) y/o electrónica (E) y o electrónica programable-EP. 6.27 Electrónica Programable-EP. Componentes electrónicos o dispositivos que forman parte de un Procesador Electrónico Programable basados en la tecnología de los microprocesadores. El término engloba tanto el equipo como programas y unidades de entrada y de salida. 6.28 Elemento final. Parte de un sistema instrumentado de seguridad que implementa la acción física requerida para lograr un estado seguro. 6.29 Energizado para disparo. Circuitos SIS en donde las salidas y dispositivos se encuentran desenergizados en operación normal. Cuando a dichos circuitos se les aplica energía se produce una acción de disparo. 6.30 Error. Discrepancia entre un valor o condición calculada, observada, o medida y valor o condición teóricamente verdadera, correcta o especificada. 6.31

Error humano. Falla de acción humana o falta de acción que produce un resultado imprevisto.

6.32 Especificación de Requisitos de Seguridad-ERS. La que contiene los requisitos de seguridad (funcionales y de integridad) de las funciones instrumentadas de seguridad y como se deben diseñar e implementar en el sistema instrumentado de seguridad. 6.33 Estado seguro. Estado que debe tener el equipo o proceso bajo control después de la operación requerida del SIS. 6.34 Evaluación de la seguridad funcional. Investigación, basada en evidencias, para evaluar la seguridad funcional alcanzada por una o más capas de protección. 6.35

Falla. Terminación de la capacidad de una unidad funcional para desempeñar una función requerida.

6.36 Falla de causa común. Falla resultado de uno o más eventos, causando fallas a dos o más componentes separados en un sistema de múltiples componentes, conduciendo a una falla del SIS. 6.37 Falla de modo común. Falla de dos o más componentes de la misma manera, provocando el mismo resultado erróneo. 6.38 Fallas no detectadas, no reveladas. Se refiere a los fallos de hardware y software no encontrados por pruebas de diagnóstico o durante la operación normal. 6.39 Falla peligrosa. Falla que tiene el potencial de poner el sistema instrumentado de seguridad en un estado peligroso o de falla en su operación. 6.40 Falla segura. Es una falla la cual no tiene el potencial para poner el Sistema Instrumentado de Seguridad en un estado peligroso o de falla para funcionar. 6.41 Fallas sistemáticas. Fallas debido a errores (incluyendo equivocaciones y omisiones) en las actividades del ciclo de vida de seguridad, las cuáles causan que el SIS falle bajo alguna combinación particular


NRF-045-PEMEX-2010


REV. 0 PÁGINA 11 DE 81

de entradas o bajo ciertas condiciones ambientales, que sólo pueden ser eliminada por una modificación del diseño o del proceso de fabricación, procedimientos operacionales, documentación u otros factores relevantes. 6.42 Fallo. Condición anormal que puede causar una reducción o pérdida de la capacidad de una unidad funcional para desempeñar una función requerida. 6.43 Fase. Periodo dentro del ciclo de vida de seguridad donde las actividades descritas en esta norma se deben llevar a cabo. 6.44 Filosofía de operación. Este documento debe contener la narrativa - diagramas lógicos y narrativa diagramas causa y efecto. 6.45 Fracción de falla segura. Fracción del total de la tasa de fallas aleatorias del equipo de un dispositivo que resulta en una falla segura o falla peligrosa detectada. 6.46 Función Instrumentada de Seguridad-FIS (SIF). Función de seguridad con un NIS (SIL) específico para lograr la seguridad funcional y que puede ser una FIS (SIF) de protección o una FIS (SIF) de control. 6.47 Función instrumentada de seguridad de control. FIS (SIF) con un NIS (SIL) específico operando en modo continuo que es requerido para prevenir que surja una condición peligrosa y/o para mitigar sus consecuencias. 6.48 Función de seguridad. Función para ser implementada por un SIS, u otros sistemas relacionados con la tecnología de seguridad los cuales son destinados para lograr o mantener un estado seguro para el proceso, con respecto a un evento específico peligroso. 6.49 Función instrumentada de seguridad en modo bajo demanda. Acción especifica que debe tomar una función instrumentada de seguridad FIS (SIF) en respuesta a las condiciones de demanda del proceso. En presencia de falla peligrosa de la Función Instrumentada de Seguridad FIS (SIF) un peligro potencial solo ocurrirá si existe un evento de falla en el proceso o en el SCBP (BPCS) o SDMC (Ver definición modo de operación). 6.50 Función instrumentada de seguridad en modo continúo. Es aquélla en la cual en presencia de una falla peligrosa de la Función Instrumentada de Seguridad FIS (SIF) ocurrirá un peligro potencial sin que se presente una falla adicional a menos que se tome acción para prevenirlo. (Ver definición modo de operación). 6.51 Homologar (calibrar). Tomar el criterio de aceptación del riesgo de cada organismo subsidiario de PEMEX o en su defecto tomar la indicada en la NRF-018-PEMEX-2007. 6.52

Intervalo de prueba. Intervalo de tiempo entre pruebas funcionales.

6.53 Integridad de seguridad. Probabilidad promedio de que satisfactoriamente bajo las condiciones y período de tiempo establecidos.

una

FIS

(SIF)

se

desempeñe

6.54 Lenguaje de Variabilidad Completa-LVC (FVL). Lenguaje diseñado para ser comprensible para los programadores de computadoras y proporciona la capacidad para implementar una amplia variedad de funciones y aplicaciones (A, Pascal, lenguaje ensamblador, C++, Java, SQL, entre otros). 6.55 Lenguaje de Variabilidad Limitada-LVL. Lenguaje diseñado para ser comprensible por los usuarios del sector de proceso, y proporciona la posibilidad de combinar funciones predefinidas de aplicaciones específicas, de librería, para implementar las especificaciones de los requisitos de seguridad (de acuerdo con IEC-61131-3).




6.56 Lenguaje Fijo de Programación-LFP (FPL). Lenguaje de programación, donde el usuario solo configura algunos parámetros (rangos, niveles de alarma, entre otros). 6.57 Manual de seguridad. Manual que define la forma en que el dispositivo, subsistema o sistema puede ser aplicado bajo condiciones de seguridad. 6.58 Modo de operación. Existen dos modos de operación de un Sistema Instrumentado de Seguridad, dependiendo de la frecuencia de demanda los cuales son: Modo de demanda baja (En demanda).- es el modo en el cual la frecuencia de demandas para la operación del SIS no es mayor de una por año y no es mayor que el doble de la frecuencia de pruebas. Modo de demanda alta (Continuo).- es el modo en el cual la frecuencia de demandas para la operación del SIS es mayor de una por año o es mayor que el doble de la frecuencia de pruebas. 6.59 Modo degradado. Es aquél estado en el cuál el SIS aún está operando satisfactoriamente pero se encuentra vulnerable con respecto a fallas posteriores. 6.60 Nivel de Integridad de Seguridad-NIS (SIL). Es un nivel discreto para la especificación de los requisitos de integridad de las funciones instrumentadas de seguridad a ser asignadas a sistemas instrumentados de seguridad. Cada nivel discreto se refiere a cierta probabilidad de que un sistema referido a seguridad realice satisfactoriamente las funciones de seguridad requeridas bajo todas las condiciones establecidas en un periodo de tiempo dado. Ver Tablas 2 y 3 6.61

Peligro. Fuente potencial de daño.

6.62 Probabilidad de Falla bajo Demanda-PFD. Un valor que indica la probabilidad de que un SIS falle para responder a una demanda. 6.63 Procesador lógico. Sistema o elemento electrónico diseñado para tomar las acciones requeridas sobre la base de una lógica determinada, estos sistemas incluyen módulos de entrada y salida. 6.64 Programas de aplicación. Programa específico para la aplicación del usuario. En general, contiene secuencias de la lógica, permisivos, límites y expresiones que controlan la entrada, salida, los cálculos, las decisiones requeridas para cumplir los requisitos de las FIS. 6.65 Programas de utilerías. Herramientas del programa para la creación, modificación, y la documentación de los programas de aplicación. Estas herramientas del programa no son requeridas para el funcionamiento del SIS. 6.66 .Programas embebidos. Programa que es parte del sistema suministrado por el fabricante y no es accesible para su modificación por el usuario final. 6.67 Prueba en línea. Prueba requerida para confirmar la correcta operación del SIS cuando el equipo o proceso que está bajo su control, está en operación. 6.68 Prueba funcional. Actividad periódica para verificar que el SIS esta en operación de acuerdo a la especificación de los requisitos de seguridad. 6.69 Prueba integral. En caso de que el SIS forme parte de un proyecto integral en el cual existan otros equipos que tengan una interrelación con el SIS, se realizan las pruebas integrales del SIS que confirmen la funcionalidad requerida del sistema completo, incluyendo la lógica de acuerdo a las especificaciones de los




requisitos de diseño. Esta verificación se realiza después de que las pruebas OSAT del SIS han sido completadas. 6.70 Prueba rigurosa. Prueba desarrollada para revelar fallos no detectados en un sistema instrumentado de seguridad a fin de que, si es requerido, el sistema se pueda restaurar conforme a su funcionalidad de diseño. 6.71

Reducción de riesgo objetivo. Reducción requerida del riesgo a un nivel tolerable.

6.72 Redundancia. Uso de múltiples elementos o sistemas, para desempeñar la misma función. Puede ser implementada por elementos idénticos (redundancia idéntica) o por elementos diferentes (redundancia diversa). 6.73 Relé. Relevador. Tecnología usada en Sistemas Instrumentados de Seguridad basada en señales lógicas discretas (encendido/apagado). 6.74 Resolvedor lógico. Aquélla parte del SCBP (BPCS) o SIS que desempeña una o más funciones lógicas, pueden ser las siguientes: Sistemas eléctricos lógicos usando tecnología electro-mecánica Sistemas lógicos electrónicos usando tecnología electrónica Sistemas lógicos “Electrónico Programable” (EP) usando sistemas electrónicos programables Así mismo, entre otros, los sistemas pueden ser: eléctricos, electrónicos, electrónicos programables, neumáticos e hidráulicos. Los sensores y elementos finales no forman parte del resolvedor lógico. 6.75

Riesgo. Combinación de la frecuencia de ocurrencia del daño y la gravedad de ese daño.

6.76 Riesgo del proceso. Los riesgos derivados de las condiciones del proceso causados por eventos anormales [incluyendo mal funcionamiento del SCBP (BPCS) o SDMC]. 6.77 Riesgo tolerable. Riesgo que es aceptado en un contexto determinado sobre la base de los valores actuales de la sociedad. 6.78

Seguridad. Libre de un riesgo inaceptable.

6.79 Seguridad funcional. Parte de la seguridad total relacionada con el proceso y el SCBP (BPCS) o SDMC que depende del correcto funcionamiento del SIS y otras capas de protección. 6.80 Sensor. Dispositivo o combinación de dispositivos que miden las condiciones del proceso (transmisores, interruptores de proceso, interruptores de posición, entre otros). 6.81 Sistema. Conjunto de elementos, que interactúan de acuerdo a un diseño, un elemento de un sistema puede ser otro sistema, llamado un subsistema, que puede ser un sistema de control o un sistema controlado y puede incluir el equipo, programas y la interacción humana. 6.82 Sistema de control básico de proceso-SCBP (BPCS) o SDMC. Sistema que responde a señales de entrada del proceso, sus equipos asociados, a otros sistemas programables y/o un operador y genera señales de salida causando que el proceso y sus equipos asociados operen en el modo deseado, pero que no desempeña ninguna función instrumentada de seguridad. 6.83 Sistemas de paro neumático. Sistema de seguridad que opera con suministro de aire o gas y es aplicable en donde no está disponible la energía eléctrica. 6.84 Sistemas de seguridad. Es todo aquél sistema que implanta las funciones de seguridad requeridas para mantener un estado seguro en el equipo bajo control.




6.85 Sistema Instrumentado de Seguridad-SIS. Es un sistema compuesto por sensores, resolvedores lógicos y elementos finales que tiene el propósito de llevar al proceso a un estado seguro cuando se han violado condiciones predeterminadas. Otros términos comúnmente usados son Sistema de Paro por Emergencia (ESD) o Sistema de Seguridad del Proceso o “Interlocks” de seguridad. 6.86

Tasa de demanda. La frecuencia con el cuál un SIS es requerido para realizar su función.

6.87 SIS.

Tasa de fallas (λ). Es la tasa promedio a la cual se espera que ocurran fallas de los componentes del

6.88 Tiempo medio de disparo en falso. Tiempo medio para que se presente una falla del SIS que resulta en un paro en falso del proceso o del equipo bajo control. 6.89 Tiempo medio de reparación. El tiempo medio para reparar un elemento del SIS. Este tiempo abarca los tiempos involucrados desde que la falla ocurre hasta que la reparación se ha completado y el dispositivo ha regresado a operación normal. 6.90 Tolerancia a fallos. Es la capacidad de una unidad funcional para continuar desempeñando una función requerida en la presencia de fallos o errores. 6.91 Tolerancia a fallos de hardware. Es la capacidad de una unidad funcional para continuar desempeñando la función de seguridad en la presencia de una o más fallas peligrosas en hardware. 6.92 Validación. Confirmación por medio de revisión y suministro de evidencia objetiva de que los requisitos particulares para un uso específico son totalmente cumplidos. 6.93 Verificación. Confirmación por medio de revisión y suministro de evidencia objetiva del cumplimiento total de los requisitos para cada fase del ciclo de vida de seguridad.

7

SÍMBOLOS Y ABREVIATURAS

ACP

Análisis de Capas de Protección

ANSI

American National Standards Institute (Instituto de Estándares Nacionales Americanos)

BMS

Burner Management System (Sistemas de Control de Quemado)

BPCS

Basic Process Control System (SCBP Sistema de Control Básico de Proceso)

CD

Cobertura de Diagnostico

CNPMOS Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios E/E/EP

Eléctrico/Electrónico/Electrónico Programable

EMC

Electromagnetic compatibility (CEM Compatibilidad electromagnética)

EP

Electrónicos Programables

FAT

Factory Acceptance Test (Pruebas de Aceptación en Fábrica)




FMEA

Failure Modes and Effects Analysis (AMFE Análisis de Modos de Falla y Efectos)

FPL

Limited Variability Language (LFP

FRR

Factor de Reducción de Riesgo

FVL

Full Variabilty Language (LVC Lenguaje de Variabilidad Completa)

HFT

Hardware Fault Tolerance (TFE Tolerancia a Fallos en Equipo)

HIPPS

High Integrity Pressure Protection Systems (Sistemas de Protección de Presión de Alta Integridad)

HMI

Human Machine Interface (IHM Interfase Humano Maquina)

IEC

International Electrotechnical Commission (Comisión Electrotécnica Internacional)

I/O

Input/Output [E/S Entrada(s)/Salida(s)]

ISA

International Society of Automation (Sociedad Internacional de Automatización)

LVL

Limited Variability Language (Lenguaje de Variabilidad Limitada)

MTTF

Mean Time To Failure (Tiempo Medio de Falla)

MTTFs

Mean Time to Failure Spurious (Tiempo Medio entre Disparos en Falso)

MTTR

Mean Time To Repair (Tiempo Medio de Reparación)

OREDA

Offshore Reliability Data (Datos de Confiabilidad Costa fuera)

OSAT

On Site Acceptance Test (Pruebas de Aceptación en Sitio)

PEMEX

Petróleos Mexicanos y Organismos Subsidiarios

PFDprom

Probabilidad de falla bajo demanda objetivo promedio

SDMC

Sistema Digital de Monitoreo y Control

SFF

Safe Failure Fraction (FFS Fracción de Falla Segura)

SIF

Safety Instrumented Function (FIS Función Instrumentada de Seguridad)

SILavg

Safety Integrity Level average (NISprom Nivel de Integridad de Seguridad promedio)

SIS

Safety Instrumented System (Sistema Instrumentado de Seguridad)

SRAM

Static Random Access Memory (Memoria Estática de Acceso Aleatorio)

SRS

Safety Requirement Specification (ERS Especificación de los Requisitos de Seguridad)

TÜV

Technischer Uberwachungs Veriein (Entidad de Pruebas Alemana)

Lenguaje Fijo de Programación)

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios λ



Tasa de fallas

Para los efectos de esta norma de referencia con relación a símbolos y abreviaturas de las unidades de medida, aplica NOM-008-SCFI-2002

8

DESARROLLO

En la mayoría de los procesos industriales, la mejor seguridad se logra por un diseño inherentemente seguro del proceso. Las capas de protección juegan un papel importante para la reducción de riesgo. En caso de ser requerido, esto se puede combinar con un sistema de protección para tratar cualquier riesgo residual identificado, tal es el caso de los Sistemas Instrumentados de Seguridad (SIS) de tecnología electrónica programable. Los SIS son muy importantes en la administración de riesgos en los procesos industriales debido a que cumplen una función primordial disminuyendo su probabilidad de los eventos de riesgo o minimizando la severidad al personal, al medio ambiente y a las instalaciones. Los riesgos se deben prevenir como un objetivo inicial desde el inicio del ciclo de vida de seguridad funcional y deben ser reducidos a un nivel tolerable aceptable. Esta norma de referencia tiene dos conceptos que son fundamentales para su aplicación; el Ciclo de Vida de Seguridad y los Niveles de Integridad de Seguridad; y describe todas las fases del Ciclo de Vida de Seguridad desde el inicio conceptual, diseño, implementación, operación y mantenimiento hasta el desmantelamiento de los SIS. El proveedor o contratista encargado del diseño o suministro de los SIS debe cumplir con esta norma de referencia para la determinación y aplicación de los SIS para los Sistemas de Paro por Emergencia de las diferentes instalaciones petroleras de PEMEX. El proveedor o contratista durante el desarrollo de las actividades que contempla esta norma de referencia debe seguir el esquema de la Figura 1 en la cual se describe la relación entre las funciones instrumentadas de seguridad y otras funciones, y el esquema de la Figura 2 la cual describe las fases del ciclo de vida de seguridad y las etapas de evaluación de la seguridad funcional del SIS.




Inicio

No

Si

Si

¿Es una función instrumentada?

No

Si

Relacionada con seguridad

No relevante

Control básico de proceso y/o función de protección de los bienes

Continuo

Demanda Modo

Otros medios de reducción de riesgo

Función Instrumentada de seguridad de control

No

¿Función instrumentada de seguridad?

Prevención

Función instrumentada de seguridad de protección

Mitigación ¿Tipo?

Función Instrumentada de seguridad de prevención Sistema de Paro por Emergencia

Función Instrumentada de seguridad de mitigación

Esta figura especifica las actividades que se deben llevar a cabo, pero no detalla sus requisitos específicos según lo punteado

Figura 1. Relación entre las funciones instrumentadas de seguridad y otras funciones Para lograr la implantación de la seguridad funcional de un SIS se deben contemplar los requisitos establecidos en el ciclo de vida de la figura 2. PEMEX debe determinar cuáles requisitos debe desarrollar el proveedor o contratista y cuales requisitos proporciona PEMEX.

8.1

Administración de la seguridad funcional

El modelo del ciclo de vida indica en su requisito 10, ver figura 2 de esta norma de referencia, que debe existir una administración de la seguridad funcional y evaluación y auditoria, por lo tanto la organización (PEMEX) en




sus funciones de calidad puede contar con estas actividades que cubran la implantación de la administración o en su defecto tiene que definir en sus bases de licitación la contratación de estos servicios. 8.1.1

Requisitos

8.1.1.1

General

El proveedor o contratista si así lo solicitó PEMEX debe identificar, evaluar y establecer las políticas y estrategias para la administración de la seguridad funcional. 8.1.1.2

Organización y recursos

El proveedor o contratista, si así lo solicitó PEMEX debe llevar a cabo las actividades para la implantación de la administración de la seguridad del SIS y debe identificar e informar las responsabilidades que se han asignado a las personas, departamentos, organismos u otras unidades que estén encargados de realizar y revisar cada una de las fases del Ciclo de Vida de Seguridad de los SIS aplicables para Sistemas de Paro por Emergencia. 8.1.1.3

Evaluación y administración de riesgos

El personal responsable para llevar a cabo la evaluación y administración de riesgos debe tener identificados los peligros, evaluando los riesgos y haber determinado la reducción de riesgos como se define en 8.4 análisis y evaluación de riesgos de proceso, en esta norma de referencia. 8.1.1.4

Planeación

El personal responsable de la implantación de la administración de seguridad funcional debe realizar la planeación de la misma para definir las actividades que se requieren llevar a cabo en conjunto con las personas, departamentos, organismos u otras unidades responsables de estas actividades. Esta planeación se debe actualizar cuando así sea requerido por PEMEX durante todo el Ciclo de Vida de Seguridad del SIS. Implementación y “monitoreo”

8.1.1.5

Una vez concluidas las actividades de análisis y evaluación de riesgos, Evaluación y Auditoria, Verificación y Validación, el grupo de trabajo de la implantación de la administración por parte del proveedor o contratista debe elaborar los procedimientos para garantizar el seguimiento y cumplimiento de las recomendaciones que surgieron relacionadas con el SIS. 8.1.1.5.1 Los procedimientos deben evaluar el desempeño de los SIS contra los requisitos técnicos y documentales de esta norma de referencia y de los requisitos específicos del proyecto para: a) b) c)

Identificar y prevenir casos de fallas sistemáticas que pueden poner en peligro la seguridad de la instalación Evaluar si las tasas de fallas peligrosas de los SIS están en conformidad con el diseño Evaluar la tasa de demanda sobre las FIS (SIF) durante la operación real para verificar los requisitos del nivel de integridad

8.1.1.6 8.1.1.6.1

Evaluación, auditoria y revisiones Evaluación de la seguridad funcional




El personal responsable para llevar a cabo la evaluación de la seguridad funcional debe contar con procedimientos para asegurar que todos los requisitos y etapas a evaluar se cumplan (ver 8.1 de esta norma de referencia). 8.1.1.6.1.1 El proveedor o contratista debe incluir al menos un especialista certificado, en seguridad funcional para la validación y la evaluación funcional de las etapas 1, 2 y 3 del ciclo de vida de seguridad (ver figura 2 de esta norma de referencia) y este debe ser certificado (como lo establece la Ley Federal sobre Metrología y Normalización) en Seguridad Funcional por Exida (Certified Functional Safety Expert CFSE) o por TÜV (Functional Safety Expert FSE), quien debe ser una tercería en el equipo de trabajo para el diseño del proyecto (SIS). El responsable por parte del proveedor o contratista al planear una evaluación de la seguridad funcional debe considerar: a) b) c) d) e) f) g) h)

El alcance de la evaluación Quién va a participar Las habilidades, responsabilidades y autoridades del equipo de evaluación La información que se genera como resultado de la evaluación La identidad de cualquier otro organismo de seguridad involucrada en la evaluación Los recursos requeridos para completar la actividad de evaluación El nivel de independencia del equipo de evaluación Los medios por los cuales la evaluación se debe renovar después de las modificaciones

8.1.1.6.1.2 Se deben identificar durante la planeación de la seguridad las etapas del ciclo de vida de seguridad en las cuales se deben llevar a cabo las actividades de evaluación de la seguridad funcional. 8.1.1.6.1.3 Después de que se haya realizado alguna modificación durante la operación, se deben introducir los nuevos peligros identificados en las actividades adicionales de evaluación de la seguridad funcional. 8.1.1.6.1.4 Al término de cada una de las siguientes etapas, el proveedor o contratista debe realizar las actividades de evaluación de la seguridad funcional (ver Figura 2 de esta norma de referencia). a) b) c) d) e)

Etapa 1. Análisis y evaluación de riesgos, identificación de las capas de protección y la especificación de los requisitos de seguridad Etapa 2. Diseño del SIS Etapa 3. Instalación, “comisionamiento” y validación final del SIS y desarrollo de procedimientos de operación y de mantenimiento Etapa 4. Adquisición experiencia en la operación y mantenimiento Etapa 5. Modificación y desmantelamiento de un SIS

Así mismo, al inicio y término de cada una de las etapas, el proveedor o contratista debe cumplir con todos los lineamientos de seguridad industrial que se tengan establecidos en cada centro de trabajo de Petróleos Mexicanos y Organismos Subsidiarios en instalaciones terrestres y costa fuera. 8.1.1.6.1.5 Para determinar el número, el tamaño y el alcance de la evaluación de las actividades de la seguridad funcional se deben tomar en cuenta los siguientes factores: a) b) c) d) e) f) g)

Tamaño del proyecto Grado de complejidad Nivel de Integridad de Seguridad-NIS (SIL) Duración del proyecto Consecuencia en un evento de falla Grado de normalización de las características de diseño Requisitos normativos de seguridad


Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios h)


La experiencia previa con un diseño similar Administración

Estructura y

de la

planeación del

seguridad

ciclo de vida

funcional y

de seguridad

1

evaluación y

Verificación

Análisis de riesgos y peligros del proceso (8.4)

Asignación de funciones de seguridad para las capas de protección (8.5) 2

auditoria de la seguridad funcional

Especificación de requisitos específicos de seguridad para los SIS (8.6 y 8.8) 3 Etapa 1

Diseño y desarrollo de otras maneras de reducción de riesgo (8.5)

Diseño e ingeniería de los sistemas instrumentados de seguridad (8.7 y 8.8) 4 Etapa 2

5

Instalación, comisionamiento y validación (8.10 y 8.11) Etapa 3

Operación y mantenimiento (8.12) 6 Etapa 4 8.2 8.1

8.3, 8.8.4 y 8.8.7

Modificación (8.13)

7

Etapa 5 10

11

8

Desmantelamiento (8.14)

9

Simbología Dirección del flujo de información Requisitos no detallados en esta norma de referencia Requisitos detallados en esta norma de referencia NOTA 1. Las etapas 1 a la 5 están definidas en 8.1.1.6.1.2 al 8.1.1.6.1.5 de esta norma de referencia

Figura 2. Fases del ciclo de vida de seguridad y etapas de evaluación de la seguridad funcional del SIS




8.1.1.6.1.6 El personal responsable del proveedor o contratista debe realizar al menos una evaluación de seguridad funcional para asegurar que los peligros del proceso y equipo asociado estén bajo control. Como mínimo debe realizar una evaluación de la seguridad funcional antes de que se presenten los peligros identificados (etapa 3). El equipo de evaluación del proveedor o contratista antes de que se presenten dichos peligros debe confirmar que: a) b) c) d) e)

f) g) h)

Se ha realizado el análisis y evaluación de riesgos (ver 8.4 de esta norma de referencia) Se han aplicado las recomendaciones derivadas del análisis y evaluación de riesgos al SIS Se han ejecutado los procedimientos de cambios al diseño del proyecto Se han atendido las recomendaciones derivadas de la evaluación anterior de la seguridad funcional El SIS está diseñado, construido e instalado de conformidad con la especificación de los requisitos de seguridad de esta norma de referencia y de los requisitos específicos del proyecto, y se han identificado y resuelto las diferencias Se encuentran en el sitio de la instalación los procedimientos de seguridad, operación, mantenimiento y emergencia relativos al SIS, en idioma español Se ha realizado la planeación de la validación del SIS Se ha terminado la capacitación de los empleados y se ha proporcionado al personal de operación y mantenimiento la información requerida acerca del SIS

8.1.1.6.1.7 Cuando las herramientas de producción y desarrollo se utilicen para cualquier actividad del ciclo de vida de seguridad, se deben sujetar a una evaluación de la seguridad funcional. 8.1.1.6.2

Auditoria y revisión

Los resultados de la evaluación, así como toda la información relevante de la seguridad funcional deben estar disponibles junto con cualquier recomendación procedente de esta evaluación. 8.1.1.6.2.1 El personal responsable de la implantación de la administración de la seguridad funcional por parte del proveedor o contratista debe definir y ejecutar los procedimientos para cumplir con la auditoria por una tercería, los cuales deben incluir la frecuencia de las actividades de auditoria y el grado de independencia entre los participantes que realizan el trabajo y los que realizan las actividades de auditoria además del registro y seguimiento de las actividades. 8.1.1.6.2.2 El proveedor o contratista para la implantación de la administración de la seguridad funcional debe tener en sitio los procedimientos de modificación para iniciar, documentar, revisar, aprobar y aplicar los cambios en el SIS. 8.1.1.7

Administración de la configuración del SIS

El proveedor o contratista debe tener disponibles para la consulta de PEMEX los procedimientos para la administración de la configuración del SIS durante las fases del Ciclo de Vida de Seguridad de los programas y del SIS, en particular debe especificar lo siguiente: a) b) c)

La etapa de implementación del control formal de la configuración Los procedimientos autorizados que se deben utilizar para la identificación única de todas las partes que constituyen una partida de equipo y programas, en idioma español Los procedimientos autorizados para prevenir la entrada de servicio de las partidas no autorizadas, en idioma español

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios 8.2



Requisitos del Ciclo de Vida de Seguridad

El proveedor o contratista previo a la primera etapa del ciclo de vida de seguridad del SIS y para el caso de esta norma de referencia debe contar con el diseño conceptual del proceso incluyendo las filosofías de operación, los diagramas de tubería e instrumentación y diagramas de flujo de proceso, planos de localización general del equipo, las hojas de datos del equipo de proceso y la especificación técnica del sistema básico de control del proceso, tomando en consideración las condiciones ambientales del lugar. El proveedor o contratista debe aplicar el Ciclo de Vida de Seguridad el cual debe comprender las actividades para la implantación de los Sistemas Instrumentados de Seguridad (SIS) desde la concepción inicial hasta el desmantelamiento (ver Figura 2 de esta norma de referencia). Sin embargo, las primeras etapas del Ciclo de Vida de Seguridad, marcadas con línea intermitente en la Figura 2 de esta norma de referencia, el análisis y evaluación de riesgos de proceso y la asignación de funciones de seguridad para las capas de protección, se encuentran fuera del alcance de los requisitos específicos de la presente norma de referencia. Los resultados de estas etapas son datos de entrada al desarrollo de esta norma de referencia, por lo anterior, la eficacia y eficiencia en la aplicación de esta norma de referencia depende de la confiabilidad y exactitud de dichos datos. El proveedor o contratista debe cumplir con los objetivos de este numeral para lo cual debe definir las fases, establecer los requisitos, y organizar las actividades del Ciclo de Vida de Seguridad; así mismo asegurar que exista una planeación que asegure que los SIS deben cumplir los requisitos de seguridad de esta norma de referencia y los requisitos específicos del proyecto. 8.2.1

Requisitos

El proveedor o contratista debe definir durante la planeación de seguridad que se incorporen los requisitos de esta norma de referencia en el Ciclo de Vida de Seguridad. 8.2.1.1 Cada fase del Ciclo de Vida de Seguridad se debe definir en términos de entradas, salidas y actividades de verificación, conforme a la Tabla 1 de esta norma de referencia: Fase o actividad del Ciclo de Vida de Seguridad Figura 2 Titulo

Requisitos Objetivos

numeral de esta norma de referencia

Entradas

Salidas

Determinar los peligros y eventos peligrosos del proceso y los equipos asociados, la secuencia de eventos que condujeron al evento peligroso, los riesgos asociados del proceso con el evento peligroso, los requisitos para la reducción de los riesgos y las funciones de seguridad requeridas para lograr la reducción de riesgo objetivo Asignación de las funciones de seguridad para las capas de protección y para cada FIS, el NIS (SIL) asociado

8.4

Diseño de proceso, planos de distribución de personal, objetivos de seguridad, estas metas las debe suministrar PEMEX (según el organismo subsidiario) y de acuerdo al proyecto que esté desarrollando.

Una descripción de los peligros, de la función de seguridad requerida y de la reducción de los riesgos asociados

8.5

Una descripción de las FIS (SIF) requeridas y los requisitos de integridad de seguridad asociados

Descripción de la asignación de los requisitos de seguridad (ver 8.5 de esta norma de referencia)

Caja numero

1

Análisis evaluación riesgos

y de

2

Asignación funciones seguridad para capas protección

de de las de

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios Fase o actividad del Ciclo de Vida de Seguridad Figura 2 Titulo


Especificación de los requisitos de seguridad del SIS

4

Diseño e ingeniería del SIS

5

Instalación, “comisionamiento” y validación del SIS


Requisitos Objetivos

numeral de esta norma de referencia

Entradas

Salidas

Especificar los requisitos para cada SIS, en términos de las FIS (SIF) y su integridad de seguridad asociada, a fin de lograr la seguridad funcional requerida Diseñar el SIS para satisfacer los requisitos de las FIS (SIF) y la integridad de seguridad

8.6

Descripción de la asignación de los requisitos de seguridad (ver 8.5 de esta norma de referencia)

requisitos de seguridad de los SIS; requisitos de seguridad de los programas

8.7 y 8.8.4

Requisitos de seguridad del SIS

Diseño del SIS en conformidad con los requisitos de seguridad del SIS, planeación para pruebas de integración del SIS Funcionamiento completo del SIS de conformidad con los resultados del diseño de SIS de las pruebas de integración del SIS

Caja numero

3

NRF-045-PEMEX-2010

Integrar y probar el SIS

8.8.3, 8.10 y 8.11

Validar que el SIS cumple en todo respecto de los requisitos de seguridad en términos de FIS (SIF) y de integridad de seguridad requerida

Requisitos de seguridad de los programas Diseño del SIS Plan de pruebas de integración del SIS Requisitos de seguridad del SIS Plan para la validación de la seguridad del SIS

6

Operación y mantenimiento del SIS

7

Modificación SIS

del

8

Desmantelamiento

9

Verificación SIS

10

Evaluación de la seguridad funcional del SIS

del

Garantizar que la seguridad funcional del SIS se mantiene durante la operación y mantenimiento

8.12

Hacer correcciones, mejoras o adaptaciones al SIS, garantizar que el NIS (SIL) objetivo es alcanzado y mantenido Garantizar la correcta revisión, organización del sector, y garantizar que las FIS (SIF) permanezcan.

8.13

Probar y evaluar los resultados de una fase proporcionada para garantizar la exactitud y consistencia con respecto a los productos y normas establecidas, como entrada a esa fase Investigar y llegar a una decisión sobre la seguridad funcional alcanzada por el SIS

8.3, 8.8.7

Requisitos del SIS Diseño del SIS

8.14

8.1

Plan para operación y mantenimiento del SIS Requisitos de seguridad del SIS revisados

Resultados de las actividades de instalación, “comisionamiento” y validación Resultados de las actividades de operación y mantenimiento

Resultados de modificación del SIS

la

Requisitos de seguridad e información del proceso como quedaron Construidos. Plan para la verificación del SIS para cada fase

FIS (SIF) puesta fuera de servicio.

Planeación para la evaluación de la seguridad funcional del SIS

Resultados de la evaluación de la seguridad funcional del SIS

Requisitos de seguridad del SIS

Tabla 1. Vista general del Ciclo de Vida de Seguridad

Resultados de la verificación del SIS para cada fase




8.2.1.2 El proveedor o contratista debe llevar a cabo la planeación de seguridad para todas las fases del Ciclo de Vida de Seguridad, y debe definir los criterios, técnicas, medidas y procedimientos, para: a) b) c) d) e) 8.3

Garantizar que los requisitos de seguridad del SIS se han alcanzado para todos los modos relevantes del proceso, esto incluye las funciones de seguridad y la integridad de seguridad La correcta instalación y “comisionamiento” del SIS La integridad de la seguridad de las FIS (SIF) después de la instalación Mantener la integridad de la seguridad durante la operación La administración de los riesgos durante las actividades de mantenimiento del SIS Verificación

El proveedor o contratista debe demostrar por medio de una revisión, análisis y/o pruebas que las salidas requeridas cumplen con los requisitos definidos para todas las fases requeridas (Figura 2 de esta norma de referencia) del Ciclo de Vida de Seguridad identificadas por la planeación de la verificación. 8.3.1

Requisitos

Durante la planeación de la verificación, el proveedor o contratista debe definir todas las actividades requeridas para la verificación de la fase requerida del Ciclo de Vida de Seguridad. La verificación debe cumplir con esta norma de referencia y con lo siguiente: a) b) c) d) e) f) g)

Las actividades de verificación Los procedimientos, medidas y técnicas que se deben usar para la verificación incluyendo la implementación y resolución de las recomendaciones El programa para llevar a cabo estas actividades Establecer las personas, departamentos y organizaciones responsables de estas actividades incluyendo los niveles de independencia Identificar los puntos a verificar Determinar cómo manejar las No-Conformidades Indicar las herramientas y análisis de apoyo

8.3.1.1

La verificación se debe realizar de acuerdo con lo planeado.

8.3.1.2

Los resultados del proceso de verificación deben estar disponibles en todo momento para PEMEX.

8.4

Análisis y evaluación de riesgos del proceso

Si así lo determina PEMEX, el proveedor o contratista debe ser el responsable de realizar el Análisis y evaluación de riesgos, y debe conformar un equipo multidisciplinario integrado por ingenieros de proceso, especialistas de análisis y evaluación de riesgos (seguridad funcional), instrumentistas, entre otros así como al administrador de seguridad y debe cumplir con los requisitos estipulados en la NRF-018-PEMEX-2007. El análisis y evaluación de riesgos debe contemplar el análisis de capas “NO SIS y capas SIS de acuerdo al 8.5 del modelo del ciclo de vida y comprendido en la figura 2 de esta norma de referencia. El análisis y evaluación de riesgos debe identificar los peligros de proceso, y llevar a cabo su valoración (frecuencia/consecuencia) y posteriormente determinar si ese riesgo es tolerable o no, basándose en los criterios de aceptación del riesgo específico para el sistema y/o instalación definidos por PEMEX. Para el caso de las FIS (SIF), los resultados del análisis y evaluación de riesgos deben constituir los datos de entrada para la determinación del NIS (SIL) “objetivo” para cada función instrumentada de seguridad y deben cumplir con IEC 61511-3. Por otro lado, las técnicas que se deben usar para determinar el NIS (SIL) “prom”




(avg) de las FIS (SIF) propuestas o diseñadas deben cumplir con cualquiera de los siguientes documentos: ISATR84.00.02-2002 - Part 2, ISA-TR84.00.02-2002 - Part 3; ISA-TR84.00.02-2002 - Part 4 o equivalentes. En esta etapa inicial, el proveedor o contratista debe determinar: Los peligros y eventos peligrosos del proceso y equipo asociado como SCBP (BPCS) o SDMC La secuencia de eventos que conducen al evento peligroso El riesgo de proceso asociado con el evento peligroso Cualquier requisito de reducción de riesgo Las funciones de seguridad requeridas para lograr la reducción de riesgo objetivo Las funciones instrumentadas de seguridad (ver 8.5 de esta norma de referencia) 8.4.1

Requisitos

8.4.1.1 El proveedor o contratista durante el Análisis y Evaluación de Riesgos debe realizar y proporcionar lo siguiente en el proceso y su equipo asociado, entre otros el SCBP (BPCS) o SDMC: a) b) c) d) e) f)

g)

h)

Una descripción de cada evento peligroso identificado y los factores que contribuyen a este (Incluyendo errores humanos) Una descripción de las consecuencias y probabilidades de los eventos La consideración de las condiciones como operación normal, arranque, paro, mantenimiento, distorsión del proceso, y paro de emergencia La determinación de los requisitos para la reducción de riesgo objetivo adicional, para lograr la seguridad requerida Una descripción de las referencias para información de las medidas tomadas para reducir o eliminar los riesgos y peligros Una descripción detallada de las hipótesis hechas durante los análisis y evaluación de riesgos incluyendo la probabilidad de tasas de demanda y las tasas de fallas del equipo, y de cualquier consideración tomada para restringir las operaciones o intervenciones humanas Asignación de las funciones de seguridad a las capas de protección tomando en cuenta la reducción potencial en la protección efectiva debido a las fallas de causa común entre las capas de seguridad y entre las capas de seguridad y el SCBP (BPCS) o SDMC (ver 8.5 de esta norma de referencia) Identificación de aquellas funciones de seguridad aplicadas como funciones instrumentadas de seguridad (ver 8.5 de esta norma de referencia)

8.4.1.2 La tasa de falla peligrosa de un SCBP (BPCS) o SDMC que impone una demanda sobre una capa de -5 protección, operando en modo de demanda alta (continuo) no se debe asumir como mejor que 10 por hora conforme a la tabla 3 de esta norma de referencia y operando en modo de demanda baja (en demanda), la -1 probabilidad de falla bajo demanda no se debe asumir mejor que 10 conforme a la tabla 2 de esta norma de referencia. 8.4.1.3

Cuando el SCBP (BPCS) o SDMC sea considerado como una capa independiente de protección cumpliendo con -5 los criterios de capa independiente de protección no se le debe dar una frecuencia de falla menor de 10 en el caso de -1 operación modo continuo ni una probabilidad de falla menor a 10 en el caso de modo de operación de demanda Baja (En demanda). Esto no significa que el SCBP (BPCS) o SDMC sea considerado como un SIS.

8.4.1.4 La Identificación y análisis de peligros y eventos peligrosos para un proceso y la evaluación del nivel de riesgo, se debe registrar de modo tal que la relación entre los puntos anteriores sea clara y trazable. 8.4.1.5 Los requisitos arriba mencionados no son mandatarios para que el riesgo y los objetivos de reducción de riesgo se tengan que asignar con un valor numérico. Sólo para la etapa de Selección de NIS (SIL) “objetivo”,




se pueden usar métodos gráficos siempre y cuando PEMEX lo requiera, pero estos gráficos deben ser invariablemente homologados (calibrado) para la aplicación según la instalación de PEMEX; para ello ver IEC 61511-3 8.5

Asignación de funciones de seguridad para capas de protección

El proveedor o contratista diseñador del SIS debe: a) b) c)

Asignar funciones de seguridad a las capas de protección Determinar las FIS (SIF) requeridas Determinar para cada FIS (SIF) el NIS (SIL) asociado

El proveedor o contratista no debe determinar el NIS (SIL) de manera global para un proceso o instalación. 8.5.1

Requisitos del proceso de asignación

El proveedor o contratista diseñador del SIS en el proceso de asignación debe: a) b)

Asignar las funciones de seguridad para capas de protección específicas, para el propósito de prevención, control o mitigación de peligros del proceso y sus equipos asociados Asignar la reducción de riesgo objetivo para las FIS

8.5.1.1 Para establecer el NIS (SIL) del SIS, el proveedor o contratista debe considerar los siguientes parámetros: a) b) c) d) e)

La severidad de las consecuencias si el sistema de seguridad falla al operar bajo demanda La probabilidad de que el personal sea expuesto al riesgo Medidas de mitigación para reducir las consecuencias del evento de riesgo La frecuencia con la cual el sistema de seguridad se requiere que actúe Probabilidad de ocurrencia del evento peligroso

El proveedor o contratista debe seleccionar un NIS (SIL) objetivo y especificar la reducción de riesgo objetivo, es decir, la diferencia entre los niveles de riesgo existente y tolerable, en términos de NIS (SIL). El proveedor o contratista debe solicitar a PEMEX los criterios de riesgo tolerable. Independientemente de la naturaleza del método a usar, el proveedor o contratista debe considerar la evaluación de dos componentes del riesgo (la probabilidad del evento de peligro y la severidad de la consecuencia). La asignación del NIS (SIL) objetivo se debe realizar basándose en un proceso que lleve el riesgo del proceso a un nivel tolerable, de acuerdo con la NRF-018-PEMEX-2007 8.5.1.2 El proveedor o contratista debe especificar el NIS (SIL) objetivo de acuerdo con la Tabla 2 de esta norma de referencia, para cada FIS (SIF) operando en modo bajo demanda. Cuando se usa la Tabla 3 de esta norma de referencia, entonces no se deben usar en la determinación del NIS (SIL) el intervalo de prueba rigurosa ni la tasa de demanda. 8.5.1.3 Para cada FIS (SIF) operando en modo continuo, el NIS (SIL) objetivo se debe especificar de acuerdo con la Tabla 3 de esta norma de referencia.




Modo de operación demanda baja (En demanda) Nivel de Integridad de seguridad Probabilidad de Falla bajo Demanda Reducción de riesgo objetivo NIS (SIL) objetivo promedio PFDprom ≥10-4 a < 10-3 ≥10-3 a < 10-2 ≥10-2 a < 10-1

3 2 1

>1000 a ≤ 10000 >100 a ≤ 1000 >10 a ≤ 100

Tabla 2. Niveles de integridad de seguridad: probabilidad de falla bajo demanda Modo de operación de demanda alta (Continuo) Frecuencia objetivo de fallas peligrosas para desempeñar la Nivel de Integridad de seguridad NIS (SIL) función instrumentada de seguridad (por hora) 3 2 1

≥10-8 a < 10-7 ≥10-7 a < 10-6 ≥10-6 a < 10-5

Tabla 3. Niveles de Integridad de Seguridad: frecuencia de fallas peligrosas de la FIS (SIF) 8.5.1.3.1 El proveedor o contratista debe definir el NIS (SIL) numéricamente a fin de proporcionar una meta objetivo para comparar diseños y soluciones alternativos. 8.5.1.3.2 La frecuencia requerida de las fallas peligrosas por hora para un modo continuo de la FIS (SIF) se debe determinar por el riesgo (en términos de tasa de peligro) causado por la falla de la FIS (SIF) actuando en modo continuo, junto con la tasa de fallas de otros equipos que conducen a la misma situación de riesgo, teniendo en cuenta las contribuciones de otras capas de protección. 8.5.1.3.3 Se debe soportar técnicamente bajo consideración de PEMEX, el usar varias funciones de menor NIS (SIL) para satisfacer la necesidad de una función de mayor nivel [entre otros, utilizando un sistema con NIS (SIL) 2 y uno con NIS (SIL) 1 juntos para satisfacer la necesidad de una función con NIS (SIL) 3] siempre y cuando la reducción de riesgo alcanzada con dos o más FIS (SIF) es mayor o igual a la reducción de riesgo requerida por la FIS (SIF) con NIS (SIL) 3 8.5.2

Requisitos en el SCBP (BPCS) o SDMC como una capa de protección

8.5.2.1 El SCBP (BPCS) o SDMC se puede identificar como una capa de protección, como se muestra en Figura 3 de esta norma de referencia; siempre y cuando no sea la causa del peligro la falla del SCBP (BPCS) o SDMC lo que se pretenda prevenir con la FIS (SIF). 8.5.2.2 El Factor de Reducción de Riesgo-FRR para un SCBP (BPCS) o SDMC usado como capa de protección debe ser menor de 10. 8.5.2.3 Si se requiere un FRR para un SCBP (BPCS) o SDMC mayor de 10, entonces se debe diseñar y cumplir con los requisitos de esta norma de referencia.




REPUESTAS DE EMERGENCIA DE LA COMUNIDAD Radiodifusión de la emergencia

RESPUESTA DE EMERGENCIA DE LA PLANTA Procedimientos de evacuación

MITIGACIÓN Sistemas de mitigación mecánica Sistemas de control instrumentados de seguridad Sistemas de mitigación instrumentados de seguridad Supervisión del operador

PREVENCIÓN Sistemas de protección mecánica Alarmas del proceso con acción correctiva del operador

Sistemas instrumentados de seguridad de control Sistemas instrumentados de seguridad de prevención

CONTROL Y “MONITOREO” Sistemas de control básico de proceso Sistemas de “monitoreo” (alarmas del proceso)

Supervisión del operador

PROCESO

Figura 3. Métodos típicos de reducción de riesgo encontrados en plantas de proceso 8.5.3

Requisitos para prevenir fallas de causa común, modo común y dependientes

8.5.3.1 El proveedor o contratista debe evaluar las capas de protección mediante un Estudio de Análisis de Capas de Protección (ACP) para asegurar que la probabilidad de falla de causa común, modo común y dependientes entre las capas de protección, sean bajas en comparación al total de requisitos de integridad de seguridad de las capas de protección. 8.5.3.2 a) b) c)

La evaluación debe considerar lo siguiente: La independencia entre las capas de protección La diversidad entre las capas de protección La separación física entre las diferentes capas de protección

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios d)

8.6



Las fallas de causa común entre las capas de protección, y entre las capas de protección y los SCBP (BPCS) o SDMC Especificación de los Requisitos de Seguridad-ERS del SIS para paro por emergencia

8.6.1 Una vez determinado que se requiere un Sistema Instrumentado de Seguridad-SIS y establecido el NIS (SIL) objetivo para cada FIS, el proveedor o contratista debe desarrollar y/o aplicar según le corresponda la ERS para el sistema conforme a las restricciones que PEMEX imponga. La ERS del SIS se debe expresar y estructurar de tal modo que los requisitos sean claros, precisos, verificables, sostenibles, factibles y escritos de modo que puedan ser comprendidos y aplicados. 8.6.2 El proveedor o contratista y PEMEX deben elaborar los diagramas de causa-efecto también conocidos como Matriz lógica de causa y efecto del SIS para documentar la ERS de un SIS. Estos diagramas se deben desarrollar de acuerdo con el anexo 12.1 de esta norma de referencia y se deben usar para documentar los requisitos funcionales y de integridad. Deben ser documentos claros para todas las disciplinas. 8.6.3 Los diagramas lógicos se deben usar además de los diagramas causa-efecto para funciones complejas y basadas en tiempo, así como para secuencias complejas que no pueden ser descritas fácilmente mediante un diagrama de causa-efecto y deben cumplir con ISA-5.2-1976 (R 1992) o equivalente. 8.6.4 La ERS debe constituir la guía para definir los requisitos de diseño, por esta razón, se debe incluir toda la información requerida como un paquete completo y debe contener: a) b) c) d)

La función del sistema o componente del sistema Las acciones que el sistema o componente debe realizar bajo circunstancias establecidas (especificación funcional) La integridad requerida (confiabilidad y disponibilidad) para operar en dichas circunstancias (especificación de integridad) Los requisitos de sobrevivencia una vez que un incidente mayor ha sucedido (especificación de sobrevivencia)

8.6.5 El proveedor o contratista debe usar el NIS (SIL) de cada FIS (SIF) del SIS para establecer una arquitectura del sistema para lograr el nivel de desempeño, seguridad e integridad requerida para que el SIS ejecute las funciones de seguridad. 8.6.6 Se deben identificar en el Análisis y Evaluación de Riesgos las especificaciones de sobrevivencia cuando exista un requisito específico de que un SIS permanezca operando durante o después de un incidente mayor. 8.6.7 a) b) c)

d) e) f) g)

Para el desarrollo de la ERS el proveedor o contratista debe tener disponible la siguiente información: La lista de las FIS (SIF) requeridas y el NIS (SIL) de cada FIS (SIF) Los Diagramas de Flujo de Proceso-DFP y Diagramas de Tubería e Instrumentación-DTIs, hojas de datos de proceso, hoja de especificaciones de instrumentos La información del proceso (filosofía de operación, elementos finales, entre otros) e información del análisis cuantitativo de riesgo (causa y secuencia de cada evento potencial de peligro que requiera un SIS) Las consideraciones de falla de causa común del proceso tales como corrosión, taponamiento, entre otros. Los requisitos regulatorios que impactan al SIS Las consideraciones de confiabilidad, calidad y ambientales La lista de consideraciones operacionales y de mantenimiento

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios 8.6.8 a) b) c) d) e) f)

g) h)

i)

j) k) l)

m) n) o) p) q) r) s)

t) u) v) w) x) y) z) aa)

bb) cc)



Los requisitos de seguridad del SIS deben incluir la definición de los siguientes parámetros: La descripción de todas las FIS (SIF) para lograr la seguridad funcional requerida y el NIS (SIL) para cada una de ellas. Los requisitos para identificar y tomar en cuenta las fallas de causa común. Las acciones a tomar en caso de pérdida de la(s) fuente(s) de energía del SIS. La respuesta de acción a cualquier falla detectada. Los requisitos de interfase humano máquina. La importancia de las interacciones de los componentes físicos del sistema/programas, e identificar y documentar cualquier restricción para dichas interacciones. De acuerdo con 8.8.5 de esta norma de referencia. Los requisitos de diagnóstico para lograr el NIS (SIL) objetivo. Los límites de inmunidad electromagnética requeridos para lograr compatibilidad electromagnética, los cuáles deben ser fijados considerando tanto el ambiente electromagnético como los niveles de integridad de seguridad requeridos. La iniciación manual de funciones protectoras sustituye en muchos casos a la iniciación automática, por esta razón en funciones iniciadas manualmente se debe considerar la confiabilidad humana, ya que la integridad de los componentes físicos “hardware” de la iniciación manual no debe ser menor a aquélla de la iniciación automática. Los requisitos de mantenimiento y prueba para lograr el NIS (SIL) objetivo (intervalo mínimo de prueba). La definición del estado seguro del proceso para cada FIS (SIF) identificada. La definición de cualquier estado individual de proceso seguro, que cuando ocurra, conjuntamente se desarrolle un peligro separado (sobrecarga de un tanque de almacenamiento de emergencia, relevos múltiples al sistema de desfogue, entre otros). Las fuentes de demanda consideradas y la tasa de demanda en la FIS. Los requisitos para los intervalos de prueba rigurosa. Los requisitos para el tiempo de respuesta del SIS para llevar el proceso a un estado seguro. El NIS (SIL) y modo de operación (demanda/continuo) para cada FIS. La descripción de las variables de proceso del SIS y sus puntos de disparo. La descripción de las acciones de salida hacia el proceso a través del SIS y de los criterios para la operación exitosa, los requisitos para el cierre hermético de válvulas, entre otros. La relación funcional entre las entradas y salidas del proceso, incluyendo las funciones lógicas, matemáticas y cualquier permisivo requerido representado en los diagramas lógicos o diagramas de causa-efecto. Los requisitos para el paro manual. Los requisitos relativos a la desenergización para disparar. Las aplicaciones para el SIS aplicable para Sistemas para Paro por Emergencia se deben diseñar en el modo desenergizar para disparar. Los requisitos para restablecer el SIS después de un paro. El proveedor o contratista debe solicitar a PEMEX el criterio mínimo de la máxima tasa de disparos en falso permitida. Los modos de fallas y respuestas deseadas del SIS (alarmas, paros automáticos, entre otros). Los requisitos específicos relativos a los procedimientos para el arranque y restablecimiento arranque del SIS. Todas las interfaces entre el SIS y cualquier otro sistema [incluyendo el SCBP (BPCS) o SDMC y operadores]. La descripción de los modos de operación de la instalación (arranque automático, manual, y semiautomático; estado estacionario, estado estacionario de no operación, reestablecimiento, paro, mantenimiento) e identificación de las FIS (SIF) requeridas para operar dentro de cada modo. Los requisitos de seguridad de los programas de aplicación listados o enumerados en el 8.8.5 de esta norma de referencia. Requisitos para sobreponer/inhibir/desviar incluyendo como deben ser desactivados.




dd) La especificación de cualquier acción requerida para lograr o mantener un estado seguro en el evento de detección de fallas en el SIS. Cualquier acción se debe resolver tomando en cuenta todos los factores humanos relevantes. ee) El tiempo medio para reparación factible para el SIS, tomando en cuenta el tiempo de transporte, ubicación, partes de repuesto, contratos de servicios y restricciones ambientales. ff) La identificación de las combinaciones peligrosas de los estados de salida del SIS que se requieren evitar gg) Se deben identificar todas las condiciones ambientales extremas a las que pueda estar sometido el SIS. Esto puede requerir de las siguientes consideraciones: temperatura, humedad, contaminantes, puesta a tierra, Interferencia Electromagnética/Interferencia por Radiofrecuencia - IEM/IRF, choque/vibración, descarga electrostática, clasificación de área eléctrica, inundación, rayos y otros factores relacionados. hh) Se deben Identificar en conjunto los modos normal y anormal de operación para la instalación (entre otros, arranque de la instalación) y un procedimiento individual operacional de la instalación (entre otros, mantenimiento de equipo, calibración del sensor y/o reparación). Se pueden requerir FIS (SIF) adicionales para apoyar estos modos de operación. ii) La definición de los requisitos para cualquier FIS (SIF) requerida para sobrevivir a un evento de accidente importante, entre otros, tiempo requerido para que una válvula permanezca operando en caso de fuego. 8.6.9 La ERS de los programas, se deben derivar de la ERS indicados en 8.6 de esta norma de referencia y de la arquitectura seleccionada del SIS. 8.6.10 Una vez terminada la ERS, esta se debe revisar por PEMEX. Una vez revisada la especificación no deben existir cambios a menos que estén debidamente justificados por el proveedor o contratista y revisados por PEMEX. La especificación debe llevar el registro del número de revisión correspondiente cuando se realicen cambios durante el curso del proyecto. 8.7

Diseño e ingeniería del equipo del SIS

8.7.1

Diseño conceptual del SIS

El proveedor o contratista debe diseñar uno o más SIS para procesar la(s) FISs (SIFs) y cumplir con el o los NIS (SIL) objetivos. El proveedor o contratista debe definir las características técnicas para la realización y mantenimiento bajo estándares de los Sistemas Instrumentados de Seguridad SIS. El proveedor o contratista debe desarrollar un diseño conceptual del SIS para verificar que se cumpla con los requisitos de seguridad y de operación del NIS (SIL). Debe seleccionar una tecnología, configuración (arquitectura), intervalo de prueba conceptual, entre otros. Posteriormente debe proceder a la verificación cuantitativa para ver si el sistema propuesto cumple los requisitos de operación. El diseño de los SIS para sistemas de prevención como los Sistemas de Paro por Emergencia debe estar constituido por los siguientes elementos: a) b) c) d)

8.7.1.1

Elementos primarios (Sensores) Resolvedor lógico Elementos finales Equipo “Hardware”, cuando aplique Programas “Software” adicionales requeridos para el correcto funcionamiento del SIS Requisitos generales




8.7.1.1.1 El proveedor o contratista durante el diseño del SIS se debe apegar a la ERS, tomando en cuenta todos los requisitos de 8.7 de esta norma de referencia. 8.7.1.1.2 El SIS debe incluir solamente FIS (SIF) y el EP debe ser de un nivel NIS (SIL) certificado (que cubra el NIS (SIL) más alto de cualquier FIS (SIF) que forme parte de este, considerando lo siguiente: a) b)

Las FIS (SIF) deben estar separadas de las funciones instrumentadas de no seguridad La independencia significa, que ninguna falla en las funciones instrumentadas de no seguridad, ni en el acceso programado a las funciones del programa de no seguridad deben causar una falla peligrosa en las FIS (SIF)

8.7.1.1.3 Cuando se tengan FIS (SIF) de diferentes NIS (SIL), entonces el equipo y la programación compartidos o comunes del SIS deben cumplir con el NIS (SIL) más alto a menos que se demuestre que las FIS (SIF) del NIS (SIL) más bajo no afectan negativamente a las FIS (SIF) de los NIS (SIL) más altos. 8.7.1.1.4 Cualquier dispositivo usado para desempeñar parte de una FIS (SIF) no se debe usar para propósitos del control básico de proceso, a menos que se realice un análisis para confirmar que el riesgo total es aceptable. 8.7.1.2

Independencia del SIS con otros sistemas

El proveedor o contratista durante el diseño del SIS debe tomar en cuenta todos los aspectos de independencia y dependencia entre el SIS y SCBP (BPCS) o SDMC, y el SIS y otras capas de protección. 8.7.1.2.1 El SCBP (BPCS) o SDMC se debe diseñar separado e independiente del SIS para no comprometer la integridad funcional del SIS. La separación puede ser idéntica o diversa considerando el numeral 8.7.1.2.4: a) b)

La separación idéntica debe constar de dos o más unidades o componentes idénticos e independientes entre sí. La separación diversa debe constar de dos o más unidades o componentes diferentes (con diferente tecnología, configuración, entre otros factores) e independientes entre sí, además este tipo de separación reduce la probabilidad de fallas sistemáticas y fallas de causa común.

8.7.1.2.2 La separación entre el SCBP (BPCS) o SDMC o y SIS se debe considerar y evaluar para cumplir con la funcionalidad de seguridad y los requisitos de integridad en los siguientes elementos: a) b) c) d)

Sensores Elementos finales Resolvedor lógico Comunicación entre SIS y el SCBP (BPCS) o SDMC u otro equipo

8.7.1.2.3 En los sensores de campo, para NIS (SIL) 1 y NIS (SIL) 2, se requiere la separación idéntica entre el SCBP (BPCS) o SDMC y el SIS para alcanzar el NIS (SIL) objetivo y para NIS (SIL) 3, la separación puede ser idéntica o diversa entre el SCBP (BPCS) o SDMC y el SIS, para cumplir con la integridad de seguridad requerida. 8.7.1.2.4 En los elementos finales, para NIS (SIL) 1, se puede usar una sola válvula para ambos sistemas SCBP (BPCS) o SDMC y SIS, con la condición de que la tasa de falla, cumpla los requisitos de integridad de seguridad. El diseño debe asegurar que las acciones del SIS prevalezcan sobre las acciones del SCBP (BPCS) o SDMC. La falla del elemento final del SCBP (BPCS) o SDMC no debe ser la causa del peligro que se pretende prevenir con la FIS (SIF). Para NIS (SIL) 2, se requiere la separación idéntica entre SCBP (BPCS) o SDMC y SIS, para cumplir el NIS (SIL) objetivo. El uso de una sola válvula para SCBP (BPCS) o SDMC y SIS




requiere un análisis y revisión de seguridad, ya que de lo contrario puede no cumplirse la integridad de seguridad requerida. Para NIS (SIL) 3, la separación debe ser idéntica o diversa entre el SCBP (BPCS) o SDMC y SIS para alcanzar la integridad de seguridad requerida. Se deben tomar en cuenta las siguientes consideraciones adicionales para determinar los requisitos de una válvula: a) b) c) d)

Los requisitos de cierre La experiencia de confiabilidad con la válvula Los modos de falla de la válvula Procedimientos operativos que contribuyan a que la válvula sea menos efectiva

8.7.1.2.5 En el procesador lógico EP, para NIS (SIL) 1, la separación entre el SCBP (BPCS) o SDMC y SIS debe ser idéntica o diversa. Para NIS (SIL) 2, se requiere separación diversa entre el SCBP (BPCS) o SDMC y el SIS. Para NIS (SIL) 3, debe existir una separación diversa entre el SCBP (BPCS) o SDMC y el SIS, para cumplir con el NIS (SIL) objetivo. 8.7.1.3

La comunicación entre el SCBP (BPCS) o SDMC, el Sistema de Gas y Fuego y el SIS

El proveedor o contratista para efectos de esta norma de referencia debe distinguir dos tipos de comunicación del SIS, interna y externa. La comunicación interna debe estar formada por la red de control industrial y se da al interior de los procesadores lógicos EP y está en función de la tecnología con la que fueron construidos. La comunicación externa se debe considerar aquella que se lleva a cabo entre un SIS y uno o más sistemas independientes para efectuar intercambio de información de “monitoreo” (lectura) y de comandos de acción (escritura), el proveedor o contratista debe verificar que esta comunicación no debe comprometer el NIS (SIL) del SIS, por lo que el diseño de esta comunicación debe considerar los requisitos para comunicación de datos de cada FIS, de acuerdo con la serie IEC 61508 8.7.1.3.1 En algunos casos se requiere comunicación entre el SIS y el SCBP (BPCS) o SDMC, esta debe ser unidireccional con comunicación únicamente del SIS hacia el SCBP (BPCS) o SDMC. 8.7.1.3.2 Las formas básicas de comunicación externa entre SCBP (BPCS) o SDMC, Sistema de Gas y Fuego y el SIS aceptadas por esta norma de referencia son: a)

b)

c)

d)

No debe existir comunicación externa del SCBP (BPCS) o SDMC o Gas y Fuego para propósitos de escritura hacia el SIS, la comunicación entre estos sistemas únicamente puede ser para propósitos de lectura. La comunicación a través de una red de comunicaciones entre el SCBP (BPCS) o SDMC y el SIS, se acepta para NIS (SIL) 1 y NIS (SIL) 2, pero el uso de este método para NIS (SIL) 3 requiere del análisis y revisiones de seguridad adicionales y de certificación de la red para ese propósito. Sólo lectura en la comunicación externa del SIS al SCBP (BPCS) o SDMC. Este tipo de comunicación es aceptable para todos los NIS (SIL) siempre y cuando la revisión y el análisis aseguren que no se compromete a la FIS. Las medidas para protección de la escritura de la función de seguridad deben incluir: Clave de acceso “password” para limitar el acceso a la escritura. La aplicación de la FIS (SIF) del SIS en memoria de solo lectura ROM Read Only Memory (Memoria de Sólo Lectura). Comunicaciones externas lectura/escritura con protección a la escritura de la FIS (SIF). Este tipo de comunicación es aceptable para NIS (SIL) 1 y 2, pero el uso de este método para NIS (SIL) 3 se requiere de un análisis y revisiones adicionales de seguridad. Las medidas para lograr protección a la escritura de la FIS (SIF) deben incluir: Un límite de tiempo para acceder a la escritura.


e)



Un interruptor de los programas “software”, entre otros, una clave de acceso, para limitar el acceso a la escritura. Comunicación externa de lectura/escritura con protección limitada o sin protección a la escritura de la FIS. El Uso de este método para NIS (SIL) 2 requiere análisis y revisiones de seguridad adicionales. No se debe usar este método para NIS (SIL) 3

8.7.1.4 Sistema de Control Básico de Proceso-SCBP. El proveedor o contratista debe minimizar la probabilidad de que cualquier falla simple en el SCBP (BPCS) o SDMC lleve a una demanda del SIS. Todos los modos de fallas previsibles deben ser identificados de modo que se consideren en el diseño del SIS. En instalaciones de producción se pueden implantar funciones de protección poco críticas (con base en el análisis y evaluación de riesgos) en el SCBP (BPCS) o SDMC siempre que se cumpla que la integridad de seguridad no sea tan elevada como para implantar un SIS. 8.7.1.5 Sistema de gas y fuego. Los Sistemas de Detección de Gas y Fuego y el SIS deben contemplar arquitecturas independientes, sin embargo, debe existir comunicación entre ellos. Estas requieren consideraciones de prueba automática, para permitir la detección de fallas internas del sistema; “monitoreo” en línea, técnicas de votación y diagnostico para asegurar que el sistema mantiene su disponibilidad para desempeñar su función. En el caso del Sistema de Gas y Fuego la comunicación digital con el SIS debe ser solo lectura. 8.7.1.5.1 Durante el diseño del SIS se deben considerar los requisitos para la operación, mantenimiento y pruebas para facilitar la implementación de los requisitos del factor humano en el diseño (instalaciones de desvío para permitir pruebas en línea y alarmar cuando está en desvío, entre otros). 8.7.1.5.2 El diseño del SIS debe tomar en cuenta las capacidades y limitaciones humanas y debe cumplir con la tarea asignada para el personal de operación y mantenimiento. El diseño de todas las IHM (HMI) debe seguir las buenas prácticas de los factores humanos y debe considerar la capacitación de los operadores. 8.7.1.5.3 El SIS debe ser diseñado de tal forma que una vez que ha puesto el proceso en un estado seguro, debe permanecer en el estado seguro hasta que se haya iniciado un restablecimiento a menos que se solicite de otra manera en la ERS. 8.7.1.5.4 Se deben proporcionar medios manuales (entre otros, botones de paro de emergencia) independientes de los resolvedores lógicos, para actuar los elementos finales del SIS cuando así se requiera en los requisitos específicos de seguridad del proyecto. 8.7.1.6 Complejidad. Los sistemas se deben seleccionar y diseñar para minimizar la complejidad y deben cumplir con esta norma de referencia, y la serie IEC 61508. Cada elemento del sistema se debe especificar bajo normas de desempeño con la funcionalidad, integridad de seguridad y sobrevivencia requeridas, y no simplemente al más alto nivel de integridad alcanzable. 8.7.1.7 Concepto y principio de falla segura. El concepto de falla segura para plantas y equipos es llevar al estado seguro el proceso en caso de falla del resolvedor lógico, sensores, elementos finales, fuentes de alimentación. Este requisito se debe realizar desenergizando para disparar las salidas del SIS. 8.7.1.7.1 Durante la operación normal, con el proceso en condiciones seguras, las entradas de los sensores de las variables de proceso, el resolvedor lógico, y salidas a los dispositivos de protección deben estar energizados. El sistema debe interpretar el estado desenergizado de una entrada como una demanda y se deben desenergizar las salidas requeridas para iniciar un paro seguro. Este diseño debe asegurar también un paro seguro por pérdida del suministro eléctrico a las entradas del sistema, salidas o lógica del sistema.




8.7.1.7.2 Para aquellos subsistemas que a falla del suministro eléctrico no vayan a un estado seguro, se deben cumplir las acciones siguientes y las indicadas en el 8.7.2.1 de esta norma de referencia. a) b) c)

Se debe detectar la pérdida de integridad del circuito (“monitoreo” al final de la línea, entre otros). Se debe asegurar la integridad del suministro eléctrico usando un suministro de energía confiable proveniente de un sistema de fuerza ininterrumpible. Se debe detectar la pérdida de suministro de energía al subsistema.

8.7.1.7.3 En casos en donde no se aplique el concepto de falla segura por la naturaleza de la aplicación y se requiera energizar alguna salida para disparo a otro sistema (sistema de gas y fuego) se debe justificar y hacer consideraciones a fin de cumplir la integridad de seguridad requerida. 8.7.1.7.4

Se debe aplicar el principio de falla segura para el SIS de la instalación.

El proveedor o contratista debe documentar el tiempo en que el EP (PE) pueda operar en estado degradado sin comprometer la función de seguridad. 8.7.1.8 Tasas de falla y modos de falla. El proveedor o contratista debe considerar en el diseño del SIS las tasas de fallas reveladas y no reveladas y su implicación. Al cuantificar la confiabilidad de un sistema se requiere de valores dentro de un intervalo de confianza del 70 por ciento para las tasas de fallas de sus componentes. Los datos se deben obtener a partir de registros de la instalación o del sector industrial o fuentes genéricas o en base a opinión de expertos. La opinión de expertos certificados en seguridad funcional se debe considerar para el análisis de estos datos. 8.7.1.9 Integridad del sistema. Se refiere a la capacidad de dichos sistemas para operar bajo circunstancias dadas y está relacionada con su confiabilidad y disponibilidad. El proveedor o contratista al seleccionar y especificar un sistema debe considerar además: a) b) c)

Tasas de falla (reveladas y no reveladas) Falla para actuar bajo demanda Tiempo Medio de Reparación Real – MTTR

8.7.1.9.1 Se deben emplear intervalos de prueba y tiempos de reparación en los análisis de confiabilidad y disponibilidad (PFDprom); en el caso de intervalos de prueba los tiempos utilizados en los cálculos no deben ser menores a seis meses ni mayor a dos años y, para el caso de los tiempos de reparación se debe utilizar en el cálculo un tiempo no menor a ocho horas. 8.7.1.9.2 Cuando no se disponga de información específica de los equipos o sistemas de interés, los análisis de confiabilidad y disponibilidad se pueden basar en análisis de tasas de falla de situaciones comparables o cálculos empleando métodos de pronóstico, como análisis de árboles de fallas o AMFE (FMEA) y aplicando información como la contenida en la base de datos OREDA u otras de entidades colegiadas. 8.7.1.9.3 sistema.

Para aplicaciones NIS (SIL) 3, se debe evitar que una falla simple pueda ocasionar la falla de todo el

8.7.1.9.4 Para cada FIS (SIF) se debe hacer un análisis de confiabilidad y disponibilidad, y se debe documentar formalmente para garantizar que se cumpla la integridad de seguridad requerida. 8.7.1.9.5 sistema.

Se deben considerar los efectos de las fallas de causa común al calcular la integridad global del




8.7.1.9.6 El proveedor o contratista debe proporcionar los certificados de cumplimiento conforme lo establece la IEC-61508 emitido por TÜV, Exida, entre otros, de los elementos que componen al SIS. (Ver punto 8.7.2.4 de esta norma de referencia). 8.7.1.10 Redundancia. El proveedor o contratista (diseñador) debe determinar los requisitos de redundancia para lograr el NIS (SIL) y PFDprom requerida de todos los componentes del SIS como son sensores, resolvedores lógicos EP y elementos finales. La redundancia debe aplicar tanto en los componentes físicos del sistema como en los programas. Además el proveedor o contratista debe considerar la Tolerancia a Fallos en Equipo “Hardware” TFE (HFT), la fracción de falla segura FFS (SFF), entre otros, ver 8.7.2.2.2 de esta norma de referencia. 8.7.1.11 Fallas de causa común. Pueden ser provocadas por un componente único o por errores sistemáticos en los componentes redundantes. Las fallas de causa común y los errores sistemáticos se deben reducir por el proveedor o contratista durante el proceso de diseño considerando lo siguiente: a) b) c) d)

Proporcionar al proveedor o contratista información específica del proceso (códigos, números de modelo, entre otros) Verificación Separación diversa/ idéntica Redundancia diversa/idéntica

En algunos casos sistemas diferentes pueden compartir el mismo ambiente, cabina, operador, interfaz. Sin embargo dichos sistemas deben contar con fuentes de energía y resolvedores lógicos entre otros separados físicamente para evitar fallas de causa común y a la vez permitir pruebas de mantenimiento o modificaciones, lo cuál se debe considerar durante el diseño del sistema. 8.7.1.12 Consideraciones de diseño de programas “software”. El proveedor o contratista en el diseño de un SIS debe considerar los siguientes tipos de programas: a) b)

Programas integrados Programas de aplicación

8.7.1.12.1 Programas integrados. Este tipo de programas deben ser parte del sistema proporcionado por el proveedor o contratista y no pueden ser modificados por el usuario final. El proveedor o contratista debe proporcionar los programas integrados (“software” integrado), los cuales deben ser transparentes para la preparación de programas de aplicación. Además debe proporcionar documentación que compruebe que: a) b) c) d)

Cuenta con un plan de calidad para los programas Está definida la versión de los programas integrados La versión de los programas integrados debe ser la misma para la etapa de configuración, pruebas y puesta en operación Se revisaron y analizaron todas las ampliaciones o arreglos a la funcionalidad de los programas integrados contenidos en las nuevas versiones

8.7.1.12.2 Programas de aplicación (“software” de aplicación). Este tipo de programas deben contener la lógica funcional del SIS en el procesador lógico electrónico programable, esto es las secuencias lógicas, permisivos, límites, expresiones, entre otros, que controlan las salidas, entradas, cálculos, y decisiones requeridas para alcanzar los requisitos funcionales de seguridad. El proveedor o contratista es el responsable de proporcionar el programa de aplicación que cumpla con todas las especificaciones de seguridad del sistema.




8.7.1.12.2.1 En el desarrollo del programa de aplicación se debe emplear el diseño modular y debe incluir módulos para pruebas de diagnostico. 8.7.1.12.2.2 La herramienta de configuración y los lenguajes de programación deben ser certificados de acuerdo con IEC 61508, para la aplicación correspondiente. Dichos lenguajes deben estar de acuerdo con la IEC-61131-3, entre otros: a) b) c) d) e) f)

Diagramas de escalera Diagrama de bloques Listado de instrucciones Texto estructurado Gráfico Textual

8.7.1.12.2.3 Se deben establecer patrones de programación para fortalecer un estilo consistente entre el equipo de diseño mediante la aplicación de un plan de calidad de los programas. Para evitar complejidad innecesaria y características que dificulten el pronóstico del comportamiento del sistema, se debe considerar los siguientes: a) b)

Los programas deben tener una estructura y un orden definido que garanticen la comprensión de todo lo que ejecuta el programa en cualquier momento. Cuando se apliquen secuencias anidadas, se debe minimizar el anidamiento.

8.7.1.12.2.4 Para verificar que el diseño de los programas de aplicación cumplen con cada uno de los requisitos establecidos en la ERS, el proveedor o contratista debe realizar: a) b)

Un análisis que demuestre que cada uno de los requisitos de la ERS se han implementado en el diseño. Una revisión conjunta con PEMEX de los diseños de las funciones críticas de seguridad.

8.7.1.12.2.5 Para confirmar que los programas de aplicación cumplen con los requisitos establecidos en la ERS bajo todas las condiciones operativas esperadas, el proveedor o contratista debe: a) b) c) d)

Desarrollar pruebas a los programas para someterlos a condiciones más allá de los límites normales de los datos, órdenes, entradas por teclado, y otras acciones Desarrollar un módulo de informe de errores y un módulo que permita resolverlos Desarrollar pruebas para los programas de aplicación que permitan determinar su comportamiento en presencia de fallas de los componentes físicos “hardware” Presentar documentación que respalde cada uno de los puntos anteriores

8.7.1.13 Agentes externos. El procesador lógico EP se debe diseñar de modo que el equipo electrónico debe tener inmunidad a la radiofrecuencia electromagnética, impacto, perturbaciones ambientales que impidan su funcionamiento, entre otras, mismas que deben cumplir con la IEC 61131-2. Las medidas tomadas deben verificar este requisito y se deben seleccionar de acuerdo a las consecuencias que se tendrían si el equipo fallara o presentara una degradación en sus funciones, además, el sistema no debe producir disturbios electromagnéticos que puedan interferir con la operación de otros equipos. 8.7.1.13.1 El SIS se debe diseñar de tal forma que las funciones de protección se mantengan bajo todas las condiciones climáticas requeridas que existen en el lugar en que se instale el SIS. Además de lo que especifique particularmente PEMEX en su base de licitación. 8.7.1.14 Arquitectura. Se debe indicar el arreglo e interconexiones de los componentes o módulos del SIS. La selección de ésta es una actividad que se debe desarrollar durante el diseño del sistema. La arquitectura del




SIS tiene un impacto directo en su integridad global de seguridad, influenciando asimismo en su confiabilidad. El proveedor o contratista durante la selección de la arquitectura del SIS debe incluir las siguientes etapas: a) b) c) d) e)

Selección de diseño energizado o desenergizado para disparo Selección de redundancia idéntica o diversa para los sensores, resolvedores lógicos y elementos finales del SIS Selección de redundancia para las fuentes de potencia y de suministro de energía al SIS Selección de los componentes de la interfaz con el operador Selección de las interfaces de comunicación entre el SIS y otros subsistemas

8.7.2 8.7.2.1

Diseño detallado del SIS Requisitos para el comportamiento del sistema en la detección de un fallo

8.7.2.1.1 Las fallas no reveladas en el sistema obstruyen su efectividad en seguridad. El proveedor o contratista debe tomar acciones para eliminar estos modos de falla sobre el diseño o en su caso se debe aplicar un método de pruebas que permita revelar dichas fallas. 8.7.2.1.2 La detección de un fallo peligroso (mediante prueba de diagnóstico, prueba rigurosa o por cualquier otro medio) en cualquier subsistema debe tolerar un fallo de equipo cumpliendo lo siguiente: a) b)

Lograr o mantener un estado seguro. Una operación segura continua del proceso mientras la parte dañada es reparada. Si la reparación de la parte dañada no se termina dentro del MTTR asumida se debe realizar una acción específica para lograr o mantener el estado seguro.

8.7.2.1.3 La detección de un fallo peligroso (por prueba de diagnóstico, prueba rigurosa o por cualquier otro medio) en cualquier subsistema sin tener redundancia y en el cual una FIS (SIF) es completamente dependiente, en el caso que el subsistema se use solamente para FIS (SIF) operando en modo bajo demanda, debe resultar en: a) b)

Una acción específica para lograr o mantener un estado seguro; o. Reparar el subsistema dañado dentro del periodo de MTTR asumido en el cálculo de probabilidad de fallas aleatorias del equipo. Durante este tiempo la seguridad perseverante del proceso se debe reforzar por medidas y restricciones adicionales. La reducción de riesgo proporcionado por estas medidas y restricciones debe ser al menos igual a la reducción proporcionada por el SIS en la ausencia de cualquier falla. Las medidas y restricciones adicionales se deben especificar en los procedimientos de operación y mantenimiento del SIS. La reparación se debe llevar dentro del tiempo medio para reparación especificado para alcanzar o mantener un estado seguro.

8.7.2.1.4 La detección de un fallo peligroso (por prueba de diagnóstico, prueba rigurosa o por cualquier otro medio) en cualquier subsistema sin redundancia y en el cual una FIS (SIF) es completamente dependiente, en el caso que el subsistema se use solamente para FIS (SIF) operando en modo continuo, debe resultar en una acción específica para alcanzar o mantener un estado seguro. El proveedor o contratista debe especificar en la ERS la acción específica (reacción al fallo) requerida para alcanzar o mantener un estado seguro. Esto puede consistir, del paro seguro del proceso, o esa parte del proceso del cual depende, para la reducción del riesgo, en el subsistema dañado, u otra planeación de la mitigación especificada. El tiempo total para detectar el fallo y ejecutar la acción debe ser menor que el tiempo para que ocurra el evento peligroso. 8.7.2.1.5 Cuando las acciones específicas para lograr o mantener el estado seguro en cualquier subsistema (que tolere un fallo, sin redundancia en el cual la FIS (SIF) es completamente dependiente operando en modo




bajo demanda o continuo), dependen de un operador en respuesta a una alarma (abriendo o cerrando una válvula, entre otras), la alarma se debe considerar parte del SIS independiente del SCBP (BPCS) o SDMC. 8.7.2.1.6 Cuando las acciones específicas para lograr o mantener el estado seguro en cualquier subsistema (que tolere un fallo, sin redundancia en el cual la FIS (SIF) es completamente dependiente operando en modo bajo demanda o continuo), dependen de un operador notificando mantenimiento para reparar un fallo del sistema en respuesta a una alarma de diagnóstico, esta alarma de diagnostico debe ser parte de un SCBP (BPCS) o SDMC pero debe ser sujeta a una prueba rigurosa y a la administración del cambio junto con el resto del SIS. 8.7.2.2

Requisitos para el equipo tolerante a fallos

8.7.2.2.1 Para FIS (SIF), los sensores, resolvedores lógicos y los elementos finales deben tener un mínimo de equipo tolerante a fallos. 8.7.2.2.2 Para los procesadores lógicos EP, la mínima tolerancia a fallos de equipo “hardware” debe ser como se muestra en la Tabla 4 de esta norma de referencia. Mínima tolerancia a fallos de equipo “hardware” FFS < 60 por ciento FFS 60 a 90 por ciento FFS > 90 por ciento

NIS (SIL) 1 2 3

1 2 3

0 1 2

0 0 1

Tabla 4. Mínima tolerancia a fallos en equipo de los Procesadores Lógicos EP 8.7.2.2.3 Para todos los subsistemas (sensores, elementos finales y resolvedores lógicos no electrónicos programables, entre otros) excepto los procesadores lógicos EP, la tolerancia mínima a fallos en el equipo debe ser como se indica en la Tabla 5 de esta norma de referencia, de tal manera que el modo de falla dominante sea para el estado seguro o que las fallas peligrosas sean detectadas (ver 8.7.2.1 de esta norma de referencia), de otra forma la tolerancia a fallo debe ser incrementada por uno (ver 8.7.2.2.5 de esta norma de referencia). 8.7.2.2.4 Para todos los subsistemas (sensor, elementos finales y resolvedores lógicos, entre otros) excluyendo procesadores lógicos EP la tolerancia mínima a fallo especificada en la tabla 5 de esta norma de referencia, se puede reducir en uno si los dispositivos usados cumplen con todo lo siguiente: a) b) c) d)

El equipo del dispositivo se selecciona sobre la base de uso previo El dispositivo permite ajustes únicamente de los parámetros del proceso, entre otros, rango de medición, dirección de falla escala hacia arriba o hacia abajo El ajuste de los parámetros relacionados con el proceso se encuentra protegido, entre otros de puentes, con clave de acceso La función tiene un requisito de NIS (SIL) de menos de 4 NIS (SIL)

Tolerancia mínima a fallo de equipo “hardware” (ver 8.7.2.2.3 y 8.7.2.2.4 de esta norma de referencia)

1

0

2

1

3

2

Tabla 5. Tolerancia mínima a fallo de equipo de los sensores y elementos finales y resolvedores lógicos no-EP




8.7.2.2.5 En el caso de que el valor de la tolerancia mínima a fallo en equipo calculada con las tablas 4 y 5 de esta norma de referencia, sea menor que las calculadas en las tablas 2 y 3 de la IEC 61508-2, debe prevalecer la IEC 61508-2 . Por lo tanto el proveedor o contratista debe efectuar y entregar a PEMEX los dos cálculos. 8.7.2.3

Requisitos para la selección de componentes y subsistemas

El proveedor o contratista debe especificar los requisitos para la selección, integración y los criterios de aceptación de componentes o subsistemas que se deben usar como parte de las FIS (SIF) de un SIS. 8.7.2.3.1

Requisitos generales

8.7.2.3.1.1 Los componentes y subsistemas seleccionados para uso como parte de un SIS para aplicaciones NIS (SIL) 1 a NIS (SIL) 3 deben cumplir con IEC 61508-2 y IEC 61508-3, o también deben estar de acuerdo con 8.7.2.2, 8.7.2.3.2 al 8.7.2.3.5 de esta norma de referencia. 8.7.2.3.1.2 Los componentes y subsistemas seleccionados deben demostrar su conveniencia de uso a través de la documentación del fabricante del equipo y los programas embebidos. 8.7.2.3.1.3 Los componentes y subsistemas deben ser consistentes con la ERS del SIS. 8.7.2.3.1.4 Diversidad. Se debe emplear para evitar que ocurran fallas de causa común, ya que el empleo de la misma tecnología en los elementos físicos “hardware” o programas “software” puede producir fallas de causa común. En aplicaciones SIS la diversidad se debe aplicar en elementos redundantes, sólo si esta es requerida para alcanzar los requisitos de integridad de seguridad. En el diseño de un SIS se debe considerar la diversidad al momento de seleccionar elementos físicos “hardware”, programas “software” de aplicación y utilitarios. En el caso de los elementos físicos para implementar diversidad se debe emplear: a) b) c)

Tecnología diferente Componentes de fabricantes o vendedores diferentes Productos diferentes del mismo fabricante

En el caso de programas “software” la diversidad debe considerar lo siguiente: a) b) c) d) e) f) g)

Programación de aplicaciones por diferentes programadores Empleo de algoritmos diferentes Empleo de tipos de datos, estructuras de datos y técnicas de almacenamiento de información diferentes Empleo de subrutinas de manejo de excepciones y/o errores diferentes En el caso de emplear librerías y subrutinas ya codificadas, se deben utilizar al menos dos librerías y subrutinas que realicen la misma función con diferente código Rutinas con cambio del orden de operaciones aritméticas en conversiones y operaciones Rutinas con cambio en la secuencia de operaciones entrada y salida de información E/S, (I/O)

8.7.2.3.1.5 Procesador lógico EP. El proveedor o contratista debe diseñar e integrar el procesador lógico EP de acuerdo a lo solicitado por esta norma de referencia y cumplir con el NIS (SIL) correspondiente. Características mínimas a cumplir por el EP: Debe estar diseñado conforme al concepto y principio de falla segura; en caso de pérdida de energía o bien cuando falla el sistema o alguno de sus componentes clave.




El procesador lógico EP y sus módulos deben contar con autodiagnóstico. La lógica interna de cada procesador lógico EP debe tener incorporadas rutinas de autodiagnósticos y de prueba automática en línea, y detección de fallas para determinar el estado de cada módulo o del subconjunto que está dentro del sistema. La unidad de control debe funcionar de acuerdo a los parámetros climáticos propios del sitio de instalación, ser resistente a los golpes, vibración, descargas electrostáticas, “surge” eléctrico e interferencia electromagnética y radiofrecuencia. El procesador lógico EP debe cumplir por si solo íntegramente con la serie IEC-61508 y contar con la certificación correspondiente para aplicaciones en el nivel de integridad requerido, además la configuración y el software debe contar con características de seguridad a través de una llave física que asegure la integridad de la configuración. La unidad de control debe permitir mantenimiento en línea sin perder la protección. Los diagnósticos en línea deben identificar, localizar y reportar las siguientes fallas: a) b) c) d) e)

Permanentes en las cuáles un componente del sistema o algún módulo sufre una falla irreversible Temporales al azar en los cuáles los defectos sucesivos están interrelacionados Intermitentes donde aparecen funcionamientos defectuosos con algún grado de periodicidad De circuitos con detección de fallas De memoria, todas las funciones RAM - Random Access Memory (Memoria de Acceso Aleatorio) y ROM - Read Only Memory (Memoria de Sólo Lectura) f) De procesador lógico EP g) De comunicación h) De direccionamiento e interfaz de entrada y salida i) De módulo de entrada y salida j) De suministro de energía k) Problemas de sensor de campo (donde aplique) l) Circuitos de E/S (entradas/salidas) (I/O) abiertos o en corto circuito m) Alambres desconectados, bobinas de relé, contactos, terminales y fusibles de E/S (I/O) abiertos El proveedor o contratista debe suministrar los manuales de instalación, programación, operación y mantenimiento del equipo propuesto, en idioma español. La unidad de control programable debe contar con memoria con capacidad de almacenamiento de datos para la captura de secuencia de eventos, la cual debe mantenerse íntegra aún en el caso de falla de energía; la memoria del programa debe ser del tipo no volátil o respaldada por batería. Se deben suministrar los medios para tener acceso local a la información contenida en este elemento de memoria y direccionar esta base de datos de eventos a un nivel superior de un sistema informático, si éste existe, a indicación de PEMEX, bajo las características de compatibilidad total (protocolo de comunicación, interfaz humano máquina y demás características del sistema informático). El procesador lógico EP debe contar con los módulos de entrada/salida para recibir y transmitir las señales analógicas y discretas de/hacia los dispositivos de campo, que conformen el sistema. Se puede aplicar cualquier tecnología para desvíos de entradas debiendo el proveedor o contratista soportar sus procedimientos de acuerdo a lo indicado en el manual de seguridad “Safety manual” del procesador EP. En caso de falla de un canal o módulo de entrada/salida del dispositivo, el procesador lógico EP debe tener la capacidad de detectar la falla y mostrarla, alarmando por medio de un diodo emisor de luz en el frente del módulo en falla, así como en la interfase humano maquina.




Los módulos de entrada/salida deben contar con los siguientes diagnósticos y protecciones por canal: diagnóstico y protección de corto circuito y/o sobrecorriente y diagnóstico de circuito abierto. Todos los módulos de entrada/salida del procesador lógico EP deben permitir ser reemplazados en línea sin interrumpir la energía eléctrica y sin requerir herramientas especiales; el reemplazo debe comprender la configuración automática sin que cause interrupción o disturbios en el “monitoreo”, lógica y actuación del sistema. En el caso de requerirse, los contactos de salida del sistema lógico deben estar normalmente cerrados. Es responsabilidad del proveedor o contratista proporcionar datos de MTTF del procesador lógico EP, tasa de fallas del procesador lógico EP, el listado de los modos de fallas no reveladas y la frecuencia con que ocurren fallas identificadas, tiempo medio entre disparos en falso (MTTFs), así como especificar el método usado y la fuente de dichos datos. 8.7.2.3.2

Requisitos para la selección de componentes y subsistemas basados en el uso previo

8.7.2.3.2.1 El proveedor o contratista debe tener disponible la evidencia de que los componentes y subsistemas son los requeridos para su uso en el SIS. 8.7.2.3.2.2 La evidencia de la aplicabilidad debe incluir lo siguiente: a) b) c) d)

Consideración de la calidad y la administración de la configuración de los fabricantes de los sistemas Identificación y especificación de los componentes o subsistemas Demostración del desempeño de los componentes o subsistemas en perfiles operativos y ambientes físicos similares El volumen de la experiencia operativa

8.7.2.3.3 Requisitos para la selección de componentes y subsistemas programables con LFP (FPL) (entre otros, dispositivos de campo) basados en el uso previo 8.7.2.3.3.1 Aplican los requisitos generales, para la selección de componentes y subsistemas basados en el uso previo de 8.7.2.3.1 y 8.7.2.3.2 de esta norma de referencia. 8.7.2.3.3.2 Se debe identificar la aplicabilidad de las características no usadas de los componentes y subsistemas, y se debe establecer la improbabilidad de poner en peligro las FIS (SIF) requeridas. 8.7.2.3.3.3 Se debe considerar la configuración específica y el perfil operacional del equipo y de los programas y la evidencia de la aplicabilidad considerando las: a) b) c) d)

Características de las señales de entrada y salida Modos de uso Funciones y configuraciones usadas Uso previo en aplicaciones y ambientes físicos similares

8.7.2.3.3.4 Para aplicaciones con NIS (SIL) 3, se debe realizar una evaluación formal de acuerdo con 8.1.1.6.1 Evaluación de seguridad funcional, de esta norma de referencia, del dispositivo del LFP (FPL) para demostrar que: a) b)

Los dispositivos con LFP (FPL) tienen una baja probabilidad de que fallen provocando un evento peligroso en el SIS, debido a las fallas aleatorias del equipo o a fallas sistemáticas en el equipo o programas Cumplen con las normas para equipo y programas conforme a la serie IEC 61508

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios c)



El dispositivo con LFP (FPL) ha sido usado o probado en configuraciones representativas de los perfiles operacionales requeridos

8.7.2.3.3.5 Para aplicaciones con NIS (SIL) 3 se debe tener disponible un manual de seguridad incluyendo las restricciones para la operación, mantenimiento y detección de fallas cubriendo las configuraciones típicas del dispositivo de LFP (FPL) y los perfiles operacionales previstos. 8.7.2.3.4 Requisitos para la selección de los componentes y subsistemas programables con LVL (entre otros, procesadores lógicos EP) basados en un uso previo 8.7.2.3.4.1 Los siguientes requisitos se deben aplicar solo a los procesadores lógicos electrónicos programables usados en SIS para FIS (SIF) con NIS (SIL) 1 o NIS (SIL) 2 8.7.2.3.4.2 Aplican los requisitos de 8.7.2.3.3 de esta norma de referencia. 8.7.2.3.4.3 Cuando exista alguna diferencia entre los perfiles operacionales y los ambientes físicos de un componente o un subsistema según previa experiencia, y son utilizados dentro del FIS (SIF) entonces se debe identificar cualesquier diferencia y realizar una evaluación basada en análisis y prueba para demostrar que la probabilidad de fallas sistemáticas es baja cuando es usado en el SIS. 8.7.2.3.4.4 La experiencia operacional debe tomar en cuenta: a) b)

El NIS (SIL) de la FIS (SIF) La complejidad y funcionalidad de componente o subsistema

8.7.2.3.4.5 Para aplicaciones con NIS (SIL) 1 o 2, se debe usar un procesador lógico EP configurado para seguridad, y debe cumplir con lo siguiente: a) b) c) d)

Conocer los modos de falla insegura Usar técnicas para la configuración de la seguridad que tratan los modos de falla identificados Con programas embebido con un buen historial en aplicaciones de seguridad Debe tener protección contra modificaciones no autorizadas o involuntarias

8.7.2.3.4.6 Se debe llevar a cabo una evaluación formal del procesador lógico EP usado en una aplicación con NIS (SIL) 2 de acuerdo con 8.1.1.6.1, de esta norma de referencia, para demostrar que: a)

b)

Es capaz de desempeñar las funciones requeridas y que el uso previo ha mostrado que hay baja probabilidad de que este falle en un modo el cuál podría conducir a un evento peligroso cuando sea usado como parte del SIS, debido a las fallas aleatorias del equipo o a los fallos sistemáticos en el equipo o programas. Se deben implementar las medidas para detectar los fallos durante la ejecución del programa e iniciar las siguientes: “Monitoreo” de la secuencia del programa Protección de código contra modificaciones o la detección de falla por “monitoreo” en línea Afirmación de la falla o programación diversa Verificar el rango de las variables o comprobar la credibilidad de los valores Enfoque modular Usar normas de codificación para los programas embebidos y de utilerías Este ha sido probado en configuraciones típicas, con casos de prueba representativos de los perfiles operacionales previstos Han sido usados módulos y componentes que han sido verificados El sistema ha sido objeto de un análisis dinámico y pruebas




El sistema no usa inteligencia artificial ni reconfiguración dinámica Se han realizado pruebas documentadas de inserción de fallos 8.7.2.3.4.7 Para aplicaciones con NIS (SIL) 2 se debe tener disponible un manual de seguridad incluyendo las restricciones para la operación, mantenimiento y la detección de fallos para cubrir las configuraciones típicas del procesador lógico EP y los perfiles operacionales previstos. 8.7.2.3.5 Requisitos para la selección de los componentes y subsistemas programables con LVC (FVL) (procesadores lógicos EP, entre otros) 8.7.2.3.5.1 Cuando las aplicaciones son programadas usando un LVC (FVL), el procesador lógico EP debe cumplir con IEC 61508-2 y IEC 61508-3 8.7.2.4

Dispositivos de campo

En caso de requerirse algún componente (relevadores, barreras de seguridad intrínseca, aisladores galvánicos, arrancadores) adicional al sensor o al elemento final en la FIS (SIF), este debe cumplir con el nivel NIS (SIL) requerido. 8.7.2.4.1 El proveedor o contratista debe seleccionar e instalar los dispositivos de campo para reducir al mínimo las fallas que pueden resultar en información inexacta debido a las condiciones que presentan el proceso, las condiciones ambientales, la corrosión, congelamiento de fluidos en las tuberías, sólidos en suspensión, polimerización, temperaturas y presiones extremas, entre otras, si así lo especifica PEMEX en sus bases de licitación. 8.7.2.4.2 Los circuitos discretos de entrada/salida que se requieren energizar para disparar deben asegurar la integridad al circuito. 8.7.2.4.3 Cada dispositivo de campo individual debe tener su propio alambrado dedicado de entrada/salida del SIS, excepto en los siguientes casos: a) b)

c)

Cuando los múltiples sensores discretos se conectan en serie hacia una entrada sencilla y todos los sensores monitorean la misma condición de proceso (sobrecargas del motor, entre otros). Cuando se utilice un canal de comunicación “bus” digital que cumpla con el desempeño de seguridad y los requisitos de integridad del FIS (SIF) y tenga una certificación emitida por TÜV para el NIS (SIL) correspondiente conforme lo establece la IEC 61508 Cuando múltiples elementos finales estén conectados a una única salida. Para dos válvulas conectadas a una única salida, ambas válvulas requieren cambiar de estado al mismo tiempo para todas las FIS (SIF) que utilicen este mismo par de válvulas.

8.7.2.4.4 Los dispositivos de campo localizados en el proceso, pertenecientes a los SIS se deben identificar de acuerdo con la P.2.0401.02 con etiquetas o rótulos permanentes que los diferencie de los otros dispositivos de campo de otros sistemas [SCBP (BPCS) o SDMC o sistema de gas y fuego]. 8.7.2.4.5

Sensores. Cuando se especifique sensores inteligentes estos deben cumplir con lo siguiente:

8.7.2.4.5.1 Los sensores inteligentes deben estar protegidos contra escritura para prevenir la modificación inadvertida desde una posición remota, a menos que la revisión de la seguridad permita el uso de lectura/escritura. La revisión debe considerar los factores humanos tales como falla al seguir los procedimientos.




8.7.2.4.5.2 Cuando se usen sensores del tipo inteligentes, se deben establecer los procedimientos que aseguren el correcto uso del modo de salida forzada y que nunca se dejen en ese mismo modo de manera permanente, así como también se deben de establecer procedimientos para realizar cambios en la configuración/calibración de dichos transmisores con el uso de claves de acceso. 8.7.2.4.5.3 Los requisitos generales para operación a falla segura que se deben cumplir en los sensores son: a) b) c) d)

e)

Durante una operación normal de proceso los contactos de los sensores deben estar cerrados y energizados. En el caso de falla de energía, las señales de los transmisores deben ir a un estado seguro. En el caso de usar transmisores electrónicos de 4-20 mA, se deben configurar de tal forma que se pueda aprovechar la señal de fuera de rango que normalmente ofrecen los transmisores. Cuando se requieran más de dos sensores, el proveedor o contratista debe realizar conexiones separadas a proceso para cada sensor, las señales de entrada al procesador lógico EP las debe hacer en módulos de entrada diferentes (separados) o un módulo de entrada analógica que garantice la reducción de fallas de causa común y cumpla con el nivel de la integridad requerida. En el caso de sensores del tipo interruptores, el proveedor o contratista debe llevar a cabo los arreglos y cálculos requeridos para realizar la supervisión de los lazos correspondientes a estos sensores, la supervisión debe proveer la siguiente información: interruptor activado, interruptor desactivado, circuito abierto y corto circuito.

8.7.2.4.6 Válvulas. Las válvulas de bloqueo de emergencia (de corte o cierre) se deben seleccionar de acuerdo a las condiciones específicas del proceso y la función deseada y deben cumplir con los requisitos técnicos y documentales de la NRF-204-PEMEX-2008 y para la prueba de carrera parcial PEMEX indicará alguno de los métodos indicados en la ANSI/ISA-TR96.05.01-2008 o equivalente. El proveedor o contratista debe asegurar que sean bridadas e instaladas de tal forma que cada brida de la válvula sea conectada a la contrabrida de tubería correspondiente, evitando así la presencia de espárragos que vayan de lado a lado de la válvula. 8.7.2.4.6.1 Otros factores a considerar son los requisitos de corte, la experiencia que se tenga con las válvulas, modos de falla de la válvula, procedimientos operativos que disminuyan su efectividad, requisitos de pruebas, requisitos de diagnostico, requisitos de indicadores de posición o interruptores de posición, entre otros. Estos factores junto con: la tasa de fallas, el material del cual esta fabricada, entre otros deben ser claramente documentados. 8.7.2.4.6.2 Las válvulas se deben llevar a una posición segura en caso de falla de suministro de energía. 8.7.2.4.6.3 Cuando aplique y de acuerdo al diseño en particular de ciertas instalaciones se requiera contar con válvulas de desvío y de bloqueo, sobre todo en aquellas válvulas del SIS que cierran a falla de aire/energía y que en otras ocasiones al probarse en línea han causado serios problemas operacionales, se requiere proveer a la válvula del SIS sólo con bloqueos (entre otros, en válvulas que a falla abren). En los casos donde se requiera contar con desvío y bloqueos, se debe considerar la instalación de dos válvulas de purga/venteo (dependiendo del servicio en la línea) instaladas entre las válvulas de bloqueo corriente arriba y corriente abajo de la válvula del SIS, en este caso, se deben usar interruptores de posición que alarmen en el cuarto de control del SIS cuando la válvula de desvío sea abierta o cuando alguna de las válvulas de bloqueo sean cerradas. Las válvulas de desvío “by pass” y de bloqueo deben ser mecánicamente enclavadas a fin de evitar que las válvulas de corte del SIS puedan ser desviadas o bloqueadas respectivamente de forma inadvertida. 8.7.2.4.6.4 Cuando se requieran más de dos válvulas, el proveedor o contratista debe realizar conexiones a proceso y eléctricas separadas e independientes para cada válvula (ya sea que se requieran dos válvulas para el SIS o una para el SIS y otra para el SCBP (BPCS) o SDMC, las señales de salida del procesador lógico EP deben ser de módulos de salida separados o un modulo de salida que garantice la reducción de fallas de causa común.




8.7.2.4.6.5 Actuadores. Deben contar con un indicador local que muestre la posición de la válvula. En caso de pérdida de señal o suministro de aire la válvula debe tomar una posición segura y emitir una señal de alarma. Dependiendo del NIS (SIL) se debe determinar el empleo de actuadores sencillos de retorno por resorte o actuadores de doble acción operados neumática o hidráulicamente, o bien actuadores hidráulicos, de acuerdo con la NRF-152-PEMEX-2006 8.7.2.4.6.6 Materiales. El proveedor o contratista debe garantizar que los materiales de los dispositivos de campo suministrados cumplan con lo especificado en el diseño en cuanto a resistencia al medio de proceso, las condiciones de operación, el tiempo de vida y el estrés mecánico que acompaña a la operación requerida y deben cumplir con la NRF-204-PEMEX-2008 y en caso de que el diseño lo requiera debe cumplir con los requisitos de sobrevivencia. 8.7.2.4.6.7 Diagnóstico de válvulas. Se debe introducir cobertura de diagnóstico para cumplir con el criterio de confiabilidad y con el propósito de incrementar los intervalos de prueba. El diagnóstico asociado a válvulas debe considerar dos condiciones establecidas: operación normal y diagnóstico activo. El diagnóstico de la válvula durante operación normal debe considerar pruebas en línea, el uso de alarmas en caso de que la válvula cambie de estado sin una señal lógica, entre otros. Para el diagnóstico activo de la válvula se deben instalar transmisores de posición o interruptores de límite para retroalimentar al procesador lógico EP indicando si la válvula operó correcta o incorrectamente, además se debe llevar a cabo considerando la secuencia del paro de emergencia. 8.7.2.4.6.8 Panel de control local de válvulas. Para funciones de seguridad críticas en caso de requerirse un panel de control local de válvulas, el acceso a éste, debe restringirse a fin de evitar el accionamiento inadvertido o no autorizado de las válvulas. 8.7.2.4.6.9 Válvulas solenoides. Deben cumplir con los siguientes requisitos: a) b) c)

d)

e) f)

El arreglo de las válvulas solenoides debe cumplir con el NIS (SIL) requerido para cada FIS (SIF). Estas válvulas solenoides deben ser de accionamiento para estado seguro, es decir, no se permiten mecanismos de accionamiento manual. La instalación o montaje debe asegurar la posición con respecto al concepto de falla segura de la válvula solenoide, cuando esté operando en línea en un servicio crítico o cuando forme parte del accionamiento del elemento final. Cuando las válvulas solenoides se instalen dentro de un gabinete, éste debe estar protegido con recubrimiento a prueba de fuego por un tiempo de 30 minutos. La instalación del recubrimiento a prueba de fuego no debe propiciar el deterioro prematuro de la válvula solenoide por deficiente disipación de calor. Su construcción debe evitar problemas de atoramiento o taponamiento de la válvula, que pongan en riesgo el elemento final. Las válvulas solenoides deben ser capaces de soportar altas temperaturas incluyendo el calor generado por su misma operación, así como la radiación calorífica proveniente de hornos de calentamiento, entre otros.

8.7.2.4.6.10 Cableado y transmisión de señales de control electrónicas del SIS. El diseño e instalación del cableado de las señales de campo al resolvedor lógico pertenecientes al SIS, debe tomar en cuenta los requisitos técnicos indicados del 4 al 19 del API RP 552 o equivalente. No se debe compartir un mismo tubo “conduit” para instalar cables del SIS junto con cables de control de proceso SCBP (BPCS) o SDMC o del sistema de gas y fuego. El número de conductores eléctricos en un tubo




“conduit” debe cumplir con el factor de relleno indicado en la tabla 10-1 del capítulo 10 de la NOM-001-SEDE2005, según el tamaño nominal del tubo “conduit” que aparece en la tabla 10-4 del capítulo 10 de la NOM-001SEDE-2005. Se debe evitar que las rutas de cables pasen por áreas de alto riesgo o vulnerables. En casos inevitables se requiere previa autorización de PEMEX. 8.7.2.4.6.11 Protección por fuego, onda expansiva, caída de objetos u otros. Cuando se haya especificado (en la ERS) algún requisito de sobrevivencia, la instrumentación y componentes involucrados tales como, actuadores, cables y cualquier otro dispositivo que formen parte del SIS se deben especificar con las respectivas protecciones contra fuego, onda de choque, fenómenos meteorológicos y por caída de objetos sobre ellos. 8.7.2.4.6.12 Consideraciones ambientales. En la selección de los dispositivos que conforman el SIS se deben fijar los requisitos concernientes a calor, escarcha por heladas, protecciones por ingreso de agua contraincendio (agua tratada, de mar, cruda, entre otros) y/o por ingreso de otros medios de extinción de fuego. Los dispositivos eléctricos se deben seleccionar para cumplir con la clasificación de áreas peligrosas conforme lo establece el numeral 8.2 de la NRF-036-PEMEX-2003 y ser consistentes con la filosofía o lineamientos de seguridad de la instalación. 8.7.2.5 a) b) c)

Interfaces. Las Interfaces Humano Máquina – IHM (HMI) y de comunicación al SIS deben incluir las:

Interfaces del operador Interfaces de ingeniería/mantenimiento Interfaces de comunicación

8.7.2.5.1

Requisitos de la interfaz del operador

8.7.2.5.1.1 La interfaz del operador sirve para comunicar información al operador tal como una acción de paro a tomar, diagnóstico del sistema (sensor, procesador lógico EP, estado del elemento final), pérdida de energía que impacte la seguridad, entre otros. La operación del sistema sin embargo, no debe depender de la interfaz, ya que no siempre puede estar funcionando o estar disponible. 8.7.2.5.1.2 Cuando la interfaz del operador del SIS se realiza vía la interfaz de operador del SCBP (BPCS) o SDMC, se debe tomar en cuenta las fallas que pueden ocurrir en la interfaz de operador del SCBP (BPCS) o SDMC. 8.7.2.5.1.3 En el diseño se debe tomar en cuenta las fallas de la interfaz del operador del SIS, dando los medios como alternativas para que el operador lleve al proceso a un estado seguro y que las funciones automáticas del SIS no estén comprometidas. PEMEX debe definir con base en sus necesidades si la interfaz del SIS es independiente de la del SCBP (BPCS) o SDMC o si dicha interfaz se integra a la del SCBP (BPCS) o SDMC. 8.7.2.5.1.4 El diseño del SIS debe reducir al mínimo la necesidad al operador de seleccionar opciones y desviar el sistema mientras que la unidad está operando. Si el diseño requiere el uso de las acciones del operador, debe incluir la protección contra error del operador. Los controles se deben localizar asegurando que sólo el personal autorizado mediante claves de acceso puede cambiar datos o acceder a los programas. 8.7.2.5.1.5 Los interruptores de desvío se deben proteger por llave física o claves de acceso para prevenir el uso no autorizado.




8.7.2.5.1.6 Debe estar disponible la información del estado del SIS que es crítica para mantener el NIS (SIL) como parte de la interfaz del operador. Esta información debe incluir: a) b) c) d) e) f) g) h) i) j) k) l)

El proceso en estado real Indicación de que la acción de protección del SIS ha ocurrido Indicación de que una función de protección esté desviada Indicación de acción(es) automática(s) tal como la degradación de la votación y/o manejo de fallas ha ocurrido El estado de los sensores y de los elementos finales La pérdida de energía donde impacta a la seguridad Diagnósticos Falla del equipo de aire acondicionado Histórico de alarmas y secuencia de eventos Pantallas operativas de mantenimiento periódico Registro para control y auditoria del mantenimiento del sistema Guías de operación para procedimientos críticos

8.7.2.5.1.7 El diseño de la interfaz del operador del SIS debe prevenir cambios al programa de aplicación del SIS. Cuando se requiere enviar información de “monitoreo” de seguridad del SIS al SCBP (BPCS) o SDMC no se debe comprometer la funcionalidad de la seguridad del SIS. 8.7.2.5.1.8 La interfaz del operador se debe diseñar usando principios de ergonomía. La presentación de la información al operador debe ser clara y precisa. El volumen de alarmas y mensajes que se presenten al operador en una situación delicada de la instalación debe ser administrado y revisada. 8.7.2.5.1.9 El proveedor o contratista debe asegurar que no existan botones configurados para desencadenar el paro de emergencia. 8.7.2.5.1.10 Los requisitos basados en el control de la información presentada en pantalla se deben oficializar y registrar, para asegurar que se cumplan dichos requisitos. 8.7.2.5.1.11 El proveedor o contratista debe proporcionar las estaciones industriales para interfaz humano maquina y equipo de cómputo, de acuerdo a las especificaciones de la licitación. 8.7.2.5.1.12 La interfaz del operador se debe usar para comunicar información entre el SIS y el operador y debe incluir los siguientes componentes. a) b) c) d) e)

Interfaz humano máquina para desplegados de pantalla Tableros que contengan luces indicadoras, estaciones de botones, indicadores, e interruptores Anunciadores (alarmas audibles y visibles) Impresoras Cualquier combinación de éstos

8.7.2.5.1.13 La Interfase Humano Maquina – IHM (HMI) para desplegados gráficos de pantalla. En caso de que lo requiera PEMEX, los desplegados gráficos de pantalla pueden ser compartidos por una misma Interfase humano máquina para las funciones de control de proceso y de seguridad funcional de un SCBP (BPCS) o SDMC, a través de los desplegados gráficos normales de operación. Cuando se utilice la IHM (HMI) del operador de un sistema asociado SCBP (BPCS) o SDMC para proporcionar automáticamente información relacionada con la seguridad del proceso, registrando en archivos históricos los eventos y funciones de alarmas. Las condiciones anotadas deben incluir los eventos del SIS (como el disparo y eventos previos al disparo).




Cuando se tenga una IHM (HMI) dedicada para el SIS, se deben presentar los desplegados gráficos dinámicos de vista general que proporcionen la información requerida en tiempo real del estado dinámico del proceso y que permita la interacción del operador con el SIS. Estas pantallas de desplegados gráficos dinámicos de vista general deben desplegar el diagrama de flujo de la seguridad del proceso que muestre de manera esquemática cada uno de los equipos principales y la instrumentación del sistema de seguridad funcional del proceso, cabezales y tuberías debidamente identificados mediante etiquetas mostrando el estado dinámico del proceso, indicando los valores de operación en tiempo real de las variables de la seguridad funcional del proceso. El diseño de los desplegados gráficos dinámicos de vista general y de detalle se debe mostrar los diferentes instrumentos debidamente identificados y codificados mediante colores conforme a la NRF-226-PEMEX-2009. 8.7.2.5.1.14 Alarmas y eventos. Toda alarma debe ser anunciada de manera sonora y visible de modo continuo y automático hasta que sea reconocida por el operador. Los desplegados gráficos de alarmas se deben presentar de manera visible e intermitente con un color codificado el aviso de alarma correspondiente, para poder distinguir entre diferentes alarmas prioritarias. Las alarmas del SIS deben ser fácilmente visibles para el operador y deben ser reconocidas fácilmente con respecto a otras alarmas. El operador debe ser capaz de ver siempre mediante desplegados gráficos de la interfaz humano maquina lo que está pasando en el SIS aún cuando falle el SCBP (BPCS) o SDMC. Por tanto, las alarmas para el SCBP (BPCS) o SDMC y para el SIS deben estar separadas físicamente para minimizar fallas de modo común en los subsistemas de alarmas y se afecte la operación tanto del SIS como del SCBP (BPCS) o SDMC. Todo el diseño y desarrollo de alarmas y eventos en la IHM (HMI) debe ser conforme a la NRF-226-PEMEX-2009. 8.7.2.5.1.15 Impresora(s). Las impresoras conectadas al SIS no deben comprometer ninguna función de seguridad del SIS en caso de presentarse alguna falla en la impresora. Los SIS pueden ser conectados a una misma interfaz humano maquina compartida con un SCBP (BPCS) o SDMC usando así los mismos recursos de interfaz humano máquina para realizar sus funciones de registro relacionados con la seguridad y el informe de las funciones de seguridad. Las Impresoras deben documentar la secuencia de los eventos, la información, los diagnósticos, y otros eventos relacionados con la seguridad y alarmas del SIS, registrados con el tiempo en el cual ocurrió, la fecha y el número de identificación correspondiente. La impresión de alarmas y eventos debe llevarse a cabo mediante una impresora dedicada exclusivamente para este propósito, imprimiendo cada alarma de manera continua. La impresora de reportes puede ser compartida con otro sistema. 8.7.2.5.2 Requisitos de la interfaz de ingeniería/mantenimiento 8.7.2.5.2.1 El diseño de la IHM (HMI) de ingeniería/mantenimiento del procesador lógico EP del SIS debe asegurar que cualquier falla de esta interfaz no debe afectar adversamente la capacidad del SIS llevar el proceso a un estado seguro. Esto puede requerir el desconectar las interfaces de ingeniería/mantenimiento, tales como los tableros de programación, durante la operación normal del SIS. 8.7.2.5.2.2 La IHM (HMI) de ingeniería/mantenimiento debe proporcionar las siguientes funciones de acceso de protección segura para: a) b) c) d) e)

El modo de operación del SIS, programa, datos, medios de deshabilitar la comunicación de alarmas, pruebas, desvíos, mantenimiento El diagnóstico del SIS, servicios de manejo de fallas y votación Adicionar, borrar, o modificar el programa de aplicación Los datos necesarios para solucionar problemas en el SIS Cuando se requiera de desvíos, se deben instalar tal que las alarmas y paros manuales de instalaciones no sean deshabilitados

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios 8.7.2.5.2.3



La IHM (HMI) de ingeniería/mantenimiento no se debe usar como la interfase del operador.

8.7.2.5.2.4 El permitir e inhabilitar el acceso de lectura/escritura se debe realizar solamente por una configuración o proceso de programación usando la interfaz del ingeniería/mantenimiento con medidas de seguridad requeridas (claves de acceso). 8.7.2.5.3

Requisitos de la interfaz de comunicación

8.7.2.5.3.1 El diseño de la interfaz de comunicación del SIS debe asegurar que cualquier falla de la interfaz de comunicación no debe afectar la capacidad del SIS de llevar al proceso a un estado seguro. 8.7.2.5.3.2 El SIS debe ser capaz de comunicarse con el SCBP (BPCS) o SDMC y los periféricos que no impacten en la FIS (SIF). 8.7.2.5.3.3 La interfaz de comunicación debe soportar la interferencia electromagnética del medio ambiente incluyendo sobrecargas eléctricas sin causar alguna falla peligrosa en las FIS (SIF) de acuerdo con la IEC 61000-6-2 y IEC 61000-6-4 8.7.3

Cálculo de PFDprom de las FIS (SIF).

8.7.3.1 La probabilidad de falla en demanda promedio de cada FIS (SIF) se debe verificar mediante cálculos comparados con el objetivo de medición de fallas cumpliendo lo especificado en las especificaciones de los requisitos de seguridad. Se puede referir al Anexo A de la IEC 61511-2 para las técnicas disponibles para asegurar que el diseño del SIS satisface el desempeño relacionado a las fallas de equipo aleatorias. 8.7.3.2 a) b) c) d)

e) f) g) h) i) j)

La probabilidad de falla calculada de cada FIS debido a fallas del equipo debe tomar en cuenta:

La arquitectura del SIS para cada FIS. La razón de fallas estimadas de cada subsistema, que cause una falla peligrosa del SIS las cuales son detectadas y no detectadas por pruebas de diagnóstico. La susceptibilidad del SIS a fallas de causa común. La cobertura de diagnóstico de cualquier prueba de diagnóstico periódica (determinadas de acuerdo con IEC 61511-2 el intervalo asociado de la prueba de diagnóstico y la confiabilidad por el diagnóstico de las instalaciones. Los intervalos en los cuales se llevan a cabo las pruebas rigurosas. Los tiempos para reparación de las fallas detectadas. La razón estimada de falla peligrosa de cualquier proceso de comunicación en cualquiera de los modos que causaran una falla peligrosa del SIS (detectadas y no detectadas por pruebas de diagnóstico). La razón estimada de falla peligrosa de cualquier respuesta humana en cualquiera de los modos que cause una falla peligrosa del SIS (detectado y no detectado por las pruebas de diagnóstico). La susceptibilidad a los disturbios de la compatibilidad electromagnética CEM (EMC) (de acuerdo a IEC 61326-1). La susceptibilidad a las condiciones climáticas y mecánicas (de acuerdo a IEC 60654-1 y a IEC 60654-3).

La Probabilidad de Falla en Demanda promedio (PFD prom) de cada FIS debe ser menor o igual que la PFDprom especificada en el documento Especificación de Requisitos de Seguridad (ERS), esto se debe verificar mediante cálculos. Los métodos de modelado para cálculo de PFD prom y de otras métricas importantes como el tiempo medio entre Disparos en Falso (MTTFs) y su elección dependen de la experticia del analista. Los métodos son varios, entre los que se listan: (ver IEC 61508-6, Anexo B):

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios -



Simulación Análisis Causa Consecuencia Análisis de Árbol de Fallas Modelos Markovianos Diagramas de Bloques de Confiabilidad

8.8 Requisitos para los programas de aplicación incluyendo criterios de selección para los programas de utilerías 8.8.1

Requisitos generales

8.8.1.1 Se debe considerar alguno de los siguientes programas para su aplicación en los SIS conforme a lo solicitado por PEMEX en los requisitos específicos del proyecto: a)

b)

Programas: Programas de aplicación. Programas de utilerías, herramientas de programa usadas para desarrollar y verificar los programas de aplicación, entre otros. Programas embebidos, programas suministrados como parte del fabricante del procesador lógico EP, entre otros. Lenguajes de desarrollo de programas: Lenguajes fijos de programas LFP (FPL) Lenguajes de variabilidad limitada (LVL) Lenguajes de variabilidad completa LVC (FVL)

8.8.1.2 El desarrollo y la modificación de programas de aplicación o uso de LFP (FPL) o LVL hasta NIS (SIL) 3 debe cumplir con esta norma de referencia. El desarrollo y la modificación de las aplicaciones de programas utilizando LVC (FVL) deben cumplir con la serie IEC 61508. 8.8.1.3 Los programas de utilerías junto con el manual de seguridad del fabricante el cual define la forma en que el procesador lógico EP puede ser aplicado en condiciones de seguridad se deben seleccionar y aplicar de conformidad con los requisitos de 8.8.7 de esta norma de referencia, la selección de programas embebidos usando LVC (FVL) se debe ajustar a lo indicado en 8.8.5.1.11 a), de esta norma de referencia, y deben cumplir con la serie IEC 61508. 8.8.2

Requisitos del ciclo de vida de seguridad de los programas de aplicación

8.8.2.1 Los programas de aplicación usados en el SIS por parte de los fabricantes, proveedores o contratistas deben cumplir con el ciclo de vida indicado en la Figura 4 de esta norma de referencia, y deben: a) b) c)

Definir las actividades requeridas para desarrollar los programas de aplicación para cada subsistema programable del SIS. Definir cómo seleccionar, controlar y aplicar los programas de utilerías usados para desarrollar los programas de aplicación. Asegurar de que existe una planeación adecuada a fin de que los objetivos de la seguridad funcional asignados a los programas de aplicación se cumplan.




Arquitectura * del subsistema del SIS

Especificación de los requisitos de seguridad (ERS) del SIS

Requisitos de seguridad del equipo Equipo procesador lógico EP

Selección del procesador lógico EP incluyendo los programas embebidos

Nota 1

Equipo no programable

Diseño y desarrollo de equipo no programable

Requisitos de seguridad de los programas de aplicación

Nota 1

Diseño y configuración de los programas de aplicación

Nota 1

Integración de la electrónica programable

Instalación y validación del SIS

* Entre otros, sensor, Procesador lógico EP, elementos finales. Nota 1.- Alcance del numeral 8.8 de esta norma de referencia.

Figura 4. Ciclo de vida de seguridad de los programas de aplicación y su relación con el ciclo de vida del SIS 8.8.2.2 El proveedor o contratista del SIS, debe especificar un ciclo de vida de seguridad para el desarrollo de los programas de aplicación que cumpla con los requisitos de esta norma de referencia y debe ser considerado durante la planeación de seguridad y estar integrado al ciclo de vida de seguridad del SIS. 8.8.2.3 Cada fase del ciclo de vida de seguridad de los programas de aplicación se debe definir en términos de sus objetivos y actividades elementales, que requieren información de entrada y resultados de salida, requisitos de verificación (ver 8.8.13 de esta norma de referencia) y responsabilidades (ver Tabla 6 y Figura 5 de esta norma de referencia).




8.8.2.3.1 Siempre que el ciclo de vida de seguridad de los programas de aplicación cumpla con los requisitos de la tabla 6, se debe tomar en cuenta la profundidad, número y tamaño de las fases del modelo V que se deben aplicar de acuerdo a la figura 6 conforme a la integridad de seguridad y la complejidad del proyecto. 8.8.2.4 El procesador lógico EP que implementa los programas de aplicación, debe cumplir con el NIS (SIL) requerido por cada FIS (SIF). 8.8.2.5 Se deben seleccionar y aplicar los métodos, técnicas y herramientas para cada fase del ciclo de vida, a fin de: a) b) c) d) e)

Minimizar el riesgo de introducir fallas en el programa de aplicación Revelar y remover fallos que ya existen en el programa Asegurar que los fallos remanentes en el programa no conduzcan a resultados inaceptables Asegurar que los programas se mantengan durante el tiempo de vida del SIS Demostrar que los programas tienen la calidad requerida

8.8.2.6 Cada fase del ciclo de vida de seguridad de los programas de aplicación se debe verificar y deben estar disponibles los resultados (ver 8.8.13 de esta norma de referencia). 8.8.2.7 Si en alguna fase del ciclo de vida de seguridad de los programas de aplicación, se requiere de un cambio debido a una fase anterior del ciclo de vida de seguridad, entonces esa fase anterior y las siguientes fases se deben reexaminar y, si los cambios son requeridos se debe repetir y reverificar. 8.8.2.8 Los programas de aplicación, los programas embebidos, los programas de utilerías y el equipo en el SIS, se deben sujetar a la administración de la configuración (ver 8.1.1.7 de esta norma de referencia). 8.8.2.9 a) b) c) d) e) f) g) h) i)

Se debe llevar a cabo la planeación de las pruebas, las cuales deben considerar lo siguiente:

Las políticas para integrar los programas y el equipo Casos de prueba y datos de prueba Tipos de pruebas a ser desarrolladas Pruebas ambientales incluyendo herramientas, apoyo de los programas y descripción de la configuración Criterio de prueba en el que la terminación de la prueba debe ser juzgada Ubicación física (en fábrica o en el sitio de instalación, entre otros) Dependencia en la funcionalidad externa Personal requerido No conformidades




Ciclo de vida de seguridad de los programas Caja 4 de la Figura 2 Diseño e ingeniería del Sistema Instrumentado de Seguridad (SIS)

8.8.3

Especificación de los requisitos de seguridad (ERS) de los programas de aplicación Especificación de los Especificación de los requisitos de las requisitos de integridad funciones de seguridad de seguridad

8.8.4

Planeación de la validación de la seguridad de los programas

8.8.11

8.8.5

Integración del EP (equipo y programas)

A la caja 5 de la figura 2

Diseño, configuración y simulación de los programas

8.8.12

Procedimientos de operación y modificación de los programas

A la caja 6 y 7 de la figura 2

Figura 5. Ciclo de vida de seguridad de los programas de aplicación (en fase de realización)



Especificación de los requisitos de Seguridad (ERS) del SIS

Arquitectura del subsistema


Validación de la seguridad del SIS (8.11)

Especificación de los requisitos de seguridad de los programas de aplicación (8.8.3)

SIS validado

EP Prueba de integración de los programas de aplicación (8.8.11)

Diseño de la arquitectura y programas de aplicación (8.8.6 y 8.8.7)

Desarrollo de programas de aplicación (8.8.8)

Probando los programas de aplicación (8.8.10)

Desarrollo de los módulos de aplicación (8.8.8)

Salida Verificación

Probando módulos de aplicación (8.8.9)

Desarrollo de códigos y pruebas – solo LVC (FVL) (Ver IEC 61508-3, 8.8.5.1.11 a))

Figura 6. Ciclo de vida del desarrollo de los programas (Modelo V)

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios Fase del ciclo de vida de seguridad Figura 5 Numero

de Caja 8.8.3

8.8.4

8.8.5

Objetivos

Numeral

Especificar los requisitos para los programas de las FIS (SIF) para cada función del SIS requeridos para implementar FIS (SIF) requeridas.

8.8.3

Titulo ERS de los programas de aplicación

Planeación de la validación de la seguridad de los programas de aplicación Diseño y desarrollo de los programas de aplicación

NRF-045-PEMEX-2010


Especificar los requisitos para la integridad de seguridad de los programas para cada FIS (SIF) asignada a ese SIS Desarrollar un plan para validar los programas de aplicación


Información requerida ERS del SIS Manuales de seguridad del SIS seleccionado Arquitectura SIS

Resultados requeridos

ERS de los programas de aplicación del SIS Verificación de la información

del

8.8.4

ERS de los programas de aplicación del SIS

8.8.6


Plan de validación de la seguridad de los programas de aplicación del SIS Verificación de la información

Arquitectura Crear una arquitectura de los programas que cumpla los ERS de los programas

Manuales de diseño de la arquitectura del equipo del SIS

Revisar y evaluar los requisitos puestos en los programas por la arquitectura del equipo del SIS

Descripción de la arquitectura de diseño, entre otros, la segregación de los programas de aplicación relacionados con los subsistemas del proceso y el NIS (SIL). Entre otros, reconocimiento de los módulos comunes de los programas de aplicación tales como secuencias de bombas o válvulas. Especificación de las pruebas de integración de la arquitectura y los subsistemas de los programas de aplicación

Diseño y desarrollo de los programas de aplicación

Lenguajes de programación y herramientas de apoyo

8.8.7

Identificar un conjunto adecuado de configuración, librería, administración, y herramientas de prueba y simulación sobre todo el ciclo de vida de seguridad de los programas (programas de utilerías))

Descripción diseño de arquitectura


Desarrollo de los programas de aplicación y desarrollo de los módulos de aplicación Implementar los programas de aplicación que cumplen con los requisitos especificados para la aplicación de seguridad

del la

Verificación de la información Lista de procedimientos para el uso de los programas utilerías Verificación de la información

Manuales del SIS

Especificar los procedimientos para el desarrollo de los programas de aplicación 8.8.5


8.8.8

Manual de seguridad del Procesador lógico EP seleccionado del SIS Descripción de la arquitectura de diseño Lista de manuales y procedimientos del EP seleccionado para usar el programa de utilerías

1) Programa de aplicación (entre otros, diagramas de bloques de funciones, lógico de escalera) 2) Prueba de integración y simulación del programa de aplicación 3) Especificación de los requisitos de seguridad de los programas de aplicación de propósito especial 4) Verificación de la información

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios Fase del ciclo de vida de seguridad Figura 5 Numero

de Caja 8.8.5

8.8.5

8.8.11

8.9


Integración de la electrónica programable (Equipo y programas) Validación de la seguridad del SIS


Información requerida

Objetivos

Numeral

Desarrollo y prueba del programa – solo LVC (FVL)

8.8.9 y 8.8.10

ERS de los programas de aplicación de propósito especial

Referir a IEC 61508-3

8.8.9 8.8.10 8.8.13

Especificación la prueba integración simulación programa aplicación (Estructura basada pruebas)

1) Resultados de las pruebas de los programas

Titulo desarrollo de los programas de aplicación usando lenguajes de variabilidad completa

NRF-045-PEMEX-2010


Implementar lenguajes de variabilidad completa que cumpla los requisitos especificados para la seguridad de los programas Prueba de los programas de aplicación para: 1) Verificar que los requisitos para la seguridad de los programas han sido logrados 2) Mostrar que todos los sistemas y subsistemas de los programas de aplicación interactúan correctamente para desempeñar sus funciones y no despeñan funciones no deseadas Puede ser fusionada con la siguiente fase ( 8.8.11) sujeta a prueba satisfactoria de la cobertura Integrar los programas en el equipo procesador lógico EP objeto

Validar que el SIS incluyendo la seguridad de los programas de aplicación cumple con los requisitos de seguridad

Resultados requeridos

de de y del de

en

2) Programas del sistema verificados y probados 3) Verificación información

de

la

Especificación de la prueba de integración de la arquitectura de los programas

8.8.11

8.9

Especificación la prueba integración equipo y programas Planes validación de seguridad de programas y SIS

de de del los de la los del

Resultados de las pruebas de integración del equipo y los programas Equipo y programas verificados Resultados de validación de los programas y del SIS

Tabla 6. Vista general del ciclo de vida de seguridad de los programas de aplicación 8.8.3

Especificación de requisitos de seguridad de los programas de aplicación

8.8.3.1 El proveedor o contratista debe proporcionar la ERS para cada subsistema programable del SIS para implementar las FIS (SIF) requeridas siendo consistentes con la arquitectura del SIS. Ver la relación entre la arquitectura de los programas y del equipo de la Tabla 7 de esta norma de referencia. Arquitectura de los subsistemas del SIS EP Arquitectura del equipo Arquitectura de los programas “software” (consta de los “Hardware” programas embebidos y los programas de aplicación) Características especificas Programas embebidos Programas de aplicación genéricas y de aplicación en el equipo “hardware” Incluye, entre otros: - Pruebas de diagnósticos - Procesadores redundantes - Tarjetas duales de entrada/salida

Incluye, entre otros:

Incluye, entre otros:

- Controladores de comunicaciones - Manejo de fallos “errores” - Programa ejecutable

- Funciones de entrada/salida - Funciones derivadas (entre otros, verificación del sensor si es que este programa de aplicación no se encuentra embebido)

Tabla 7. Relación entre el “hardware” y “software” de las arquitecturas de un SIS



8.8.3.2

Se debe desarrollar la ERS de los programas de aplicación.

8.8.3.3

La ERS de los programas para cada subsistema del SIS debe incluir:

a) b) c)


La ERS de las FIS (SIF) Los requisitos resultantes de la arquitectura del SIS Cualquier requisito de planeación de seguridad

8.8.3.4 La ERS de los programas de aplicación debe detallar el diseño e implementación para alcanzar la integridad de seguridad objetivo y permitir que se lleve a cabo una evaluación de la seguridad funcional y debe considerar lo siguiente: a) b) c) d) e) f) g) h) i) j)

Las funciones soportadas por los programas de aplicación Capacidad y tiempo de respuesta del desempeño Equipo e interfaces de operador y su operabilidad Los modos relevantes de operación del proceso como se especifica en la ERS del SIS Acción que se lleva a cabo en los fallos en los lazos de control de las variables de procesos como el valor del sensor fuera de rango, circuito abierto detectado, corto circuito detectado, entre otros Prueba de verificación y pruebas de diagnostico de dispositivos externos (sensores y elementos finales, entre otros) “Automonitoreo” de los programas (entre otros, incluye la aplicación de vigilancia y validación del rango de datos “Monitoreo” de otros dispositivos dentro del SIS (sensores y elementos finales, entre otros) Permitir pruebas periódicas de las FIS (SIF) cuando el proceso está operando Referencias a los documentos de entrada (especificación de las FIS, configuración o arquitectura de los SIS, requisitos de integridad de seguridad del equipo del SIS, entre otros)

8.8.3.5 El desarrollador de los programas de aplicación debe revisar la información de la especificación para asegurar que los requisitos sean claros, consistentes y entendibles. Cualquier deficiencia en la ERS se debe identificar con el desarrollador de los subsistemas del SIS. 8.8.3.6 a)

b) c)

La ERS de los programas se debe expresar y estructurar de manera que:

Sea clara para aquellos que van a utilizar el documento en cualquier etapa del ciclo de vida de seguridad, debe usar terminología y descripciones que sean claras y entendibles por los operadores de la planta y de mantenimiento, así como los programadores de aplicación Sean verificables, comprobables y modificables Tengan respaldo de trazabilidad hacia la ERS del SIS

8.8.3.7 La ERS de los programas de aplicación debe proveer información que permita la selección de equipo propio y debe considerar lo siguiente: a) b) c) d) e) f) g) h)

Las funciones que permitan al proceso lograr o mantener un estado seguro Las funciones relacionadas a la detección, alarma, y manejo de fallos en los subsistemas del SIS Las funciones relacionadas a la prueba periódica de las FIS (SIF) en línea Las funciones relacionadas a la prueba periódica de las FIS (SIF) fuera de línea Las funciones que permiten al SIS ser modificado de modo seguro Las interfaces para las funciones que no están relacionadas con la seguridad La capacidad y el tiempo de respuesta del desempeño Los NIS (SIL) para cada una de las funciones anteriores




8.8.3.8 Las entradas y las salidas generadas en cada una de las etapas de los programas de aplicación durante su ciclo de vida, deben cumplir lo indicado en el ciclo de vida de seguridad de los programas de aplicación. 8.8.3.9 El proveedor o contratista adicionalmente debe incluir los siguientes elementos, si estos son parte del estándar de producto del procesador lógico EP y los que no sean parte de los programas específicos de aplicación: a) b) c)

Sistema operativo Sistema de manejo de comunicación Dispositivos de manejo del procesador lógico EP

8.8.3.10 La evidencia de que se aplique el aseguramiento de calidad al desarrollo de los programas de aplicación debe ser parte del plan de calidad de los programas. Los programas de aplicación deben permitir cambios en línea sin inducir condiciones inseguras. 8.8.3.11 El plan de calidad de los programas de aplicación debe especificar o referenciar los procedimientos para identificar fallos en los propios programas de aplicación que hayan encontrado otros usuarios y para incorporar cualquier corrección a los programas de aplicación. 8.8.3.12 Los programas de aplicación para los cuales se disponga de datos del buen desempeño en campo se deben emplear para el desarrollo de programas con altos estándares de aseguramiento de calidad. Sin embargo la importancia de tales datos de desempeño en campo se debe evaluar cuidadosamente. La evaluación debe confirmar que la evidencia de campo relaciona aplicaciones similares con la aplicación deseada, y que el programa de aplicación no se ha modificado durante el período en el cual los datos de campo fueron empleados. La evidencia de campo no debe ser empleada para omitir evidencia de deficiencias de control en el diseño de los programas. 8.8.3.13 Los detalles de estándares de desempeño de los programas de aplicación que sean importantes para las especificaciones de los requisitos totales se deben identificar en el plan de calidad de los programas. Tales requisitos de desempeño deben incluir: a) b) c)

Restricciones de tiempo Integridad, rendimiento y retraso de mensajes de comunicación Los estándares de desempeño para degradación bajo condiciones de carga alta

8.8.3.14 Existe la posibilidad de que versiones subsecuentes de los programas de aplicación no sean compatibles totalmente con elementos anteriores. La estrategia adoptada para asegurar el NIS (SIL) sobre actualizaciones de los programas de aplicación se debe contemplar en el plan de calidad. 8.8.3.15 Los programas de aplicación sujetos a actualizaciones de versión frecuentes pueden incrementar su tamaño de modo que se requiera actualizar el equipo de soporte. Se deben tomar precauciones en caso de que el soporte del proveedor o contratista esté disponible por un corto periodo de tiempo a partir de la última actualización de la versión de los programas. 8.8.4

Planeación de la validación de la seguridad de los programas de aplicación

8.8.4.1

Se debe asegurar el desarrollo de la planeación de la validación de los programas de aplicación.

8.8.4.2 La planeación de la validación de los programas de aplicación debe cumplir con 8.11 de esta norma de referencia.




8.8.5

Desarrollo y diseño de los programas de aplicación

8.8.5.1

El proveedor o contratista debe cumplir con los siguientes requisitos generales:

8.8.5.1.1 Desarrollar una arquitectura de los programas de aplicación que sea compatible con la arquitectura del equipo y que cumpla la ERS de los programas (ver 8.8.3 de esta norma de referencia). 8.8.5.1.2 Examinar y evaluar los requisitos que deben cumplir los programas por la arquitectura del equipo y los programas embebidos en la arquitectura del SIS. Estos incluyen los efectos secundarios del comportamiento del equipo y los programas del SIS, la configuración especifica de la aplicación en el equipo del SIS, la tolerancia de fallos inherente del SIS y la interacción de la arquitectura del equipo y programas embebidos del SIS, con los programas de aplicación para seguridad. 8.8.5.1.3 Seleccionar un conjunto adecuado de herramientas (incluyendo los programas de utilerías) para desarrollar los programas de aplicación. 8.8.5.1.4 Diseñar y poner en práctica o seleccionar programas de aplicación que cumplan los requisitos especificados para la seguridad de los programas (ver 8.8.3 de esta norma de referencia) que sean analizables, verificables y capaces de modificarse de modo seguro. 8.8.5.1.5 Verificar que la ERS de los programas (en términos de los programas requeridos de las FIS) se han alcanzado. 8.8.5.1.6 El desarrollo, las pruebas, la verificación y la validación de los programas de aplicación LVC (FVL) deben estar de acuerdo con la IEC 61508-3 8.8.5.1.7 El método de diseño debe ser consistente con las herramientas de desarrollo y las restricciones dadas por los subsistemas del SIS aplicados. 8.8.5.1.8 El método seleccionado de diseño y lenguaje de aplicación (LVL o LFP (FPL) debe incluir características que proporcionen lo siguiente: a)

b)

c) d)

e)

Modularidad y otras características tales como el control de la complejidad; donde sea posible, los programas se deben basar en módulos de programas probados que pueden incluir funciones de librería del usuario y reglas bien definidas para enlazar los módulos de los programas. Expresión de: Funcionalidad, idealmente como una descripción lógica o como funciones algorítmicas Flujo de información entre elementos modulares de las funciones de aplicación Requisitos de secuencia Garantía de que las FIS (SIF) operan siempre dentro de las restricciones de tiempo definidas Libertad de comportamiento indeterminado Garantía de que los datos internos no son erróneamente duplicados, todos los tipos de datos usados están definidos y las acciones adecuadas ocurren cuando los datos están fuera de rango o son erróneos Hipótesis del diseño y sus dependencias Comprensión por los desarrolladores y otros que necesitan entender el diseño, desde entender una aplicación funcional y el conocimiento de las restricciones de la tecnología. Verificación y validación, incluyendo cobertura de los códigos de los programas de aplicación, cobertura funcional de la aplicación integrada, la interfase con el SIS y su aplicación específica de la configuración del equipo. Modificación de los programas de aplicación, tales características incluyen modularidad, trazabilidad y documentación.

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios 8.8.5.1.9 a) b) c) d) e)



El diseño alcanzado debe cumplir con lo siguiente:

Incluir las verificaciones de la integridad y la veracidad de los datos Ser trazable a los requisitos Ser comprobable Tener la capacidad para una modificación segura Mantener la complejidad y tamaño de los programas de aplicación de las FIS (SIF) hacia un mínimo

8.8.5.1.10 Cuando los programas de aplicación se implementan para FIS (SIF) de diferentes NIS (SIL), todos los programas deben ser tratados como pertenecientes al NIS (SIL) más alto a menos que la independencia entre las FIS (SIF) de los diferentes NIS (SIL) puedan ser mostradas en el diseño. La justificación de independencia debe ser documentada, si la independencia es solicitada o no, el NIS (SIL) buscado de cada FIS (SIF) se debe identificar. 8.8.5.1.11 Si las funciones de librería de un programa de cómputo de aplicación son previamente desarrolladas para ser usadas como parte del diseño, su aplicabilidad en satisfacer la ERS de los programas de aplicación debe ser justificada. La aplicabilidad debe estar basada en: a) b) c)

Conformidad con la IEC 61508-3 cuando se usen LVC (FVL), o. Conformidad con la IEC 61511-1 cuando se usen LFP (FPL) o LVL, o. Evidencia de funcionamiento satisfactorio en una aplicación similar que se ha demostrado que tiene una funcionalidad similar o haber sido objeto de la misma verificación y procedimientos de validación como se espera para cualquier nuevo desarrollo de programas (8.7.2.3.3 y 8.7.2.3.4 de esta norma de referencia).

8.8.5.1.12 Como mínimo, la siguiente información se debe incluir en la documentación de los programas de aplicación o en la documentación relacionada: a) b) c) d) e) f) g)

Entidad legal (compañía o autor, entre otros) Descripción Trazabilidad para los requisitos funcionales de aplicación Convenciones lógicas usadas Funciones de librería estándar usadas Entradas y salidas Administración de la configuración incluyendo una historia de cambios

8.8.6

Requisitos para la arquitectura de los programas de aplicación

8.8.6.1 El diseño de la arquitectura de los programas de aplicación se debe basar en la ERS del SIS dentro de las restricciones de la arquitectura del sistema del SIS. Debe cumplir con los requisitos del diseño del subsistema seleccionado, su conjunto de herramientas y manual de seguridad. 8.8.6.2 La descripción del diseño de la arquitectura de los programas de aplicación debe cumplir con lo siguiente: a) b) c)

Proveer una descripción entendible de la estructura interna y de la operación de los subsistemas del SIS y de sus componentes. Incluir la especificación de todos los componentes identificados, y la descripción de conexiones e interacciones entre los componentes identificados (equipo y programas). Identificar los módulos de programas incluidos en los subsistemas del SIS pero que no son usados en ninguna FIS.

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios d)

e)



Describir el orden del procesamiento lógico de datos con respecto a los subsistemas de entradas/salidas y la funcionalidad de los procesadores lógicos EP incluyendo cualquier limitación impuesta por tiempos de barrido. Identificar todas las no FIS (SIF) y asegurar que no afectan la operación de cualquier FIS (SIF).

8.8.6.3 Se deben identificar y justificar las razones de la elección del conjunto de métodos y técnicas usados para desarrollar los programas de aplicación. 8.8.6.4 Los métodos y técnicas usados en el diseño de los programas de aplicación deben ser consistentes con cualquier restricción identificada en el manual de seguridad del subsistema del SIS. 8.8.6.5 Se deben describir y justificar las características usadas para mantener la integridad de la seguridad de todos los datos. Tales datos deben incluir datos de entrada-salida de la planta, datos de comunicaciones, datos de operación, datos de mantenimiento y datos internos de la base de datos. 8.8.7

Requisitos para las herramientas de apoyo, manual del usuario y lenguajes de aplicación

8.8.7.1 Se debe seleccionar el conjunto de herramientas, incluyendo un subconjunto de aplicaciones del lenguaje de programación, la administración de la configuración, simulación, herramientas de pruebas, y cuando proceda las herramientas de medición de prueba automática de cobertura. 8.8.7.2 Se deben considerar las herramientas correspondientes para suministrar los servicios relevantes a través de todo el tiempo de vida del SIS. 8.8.7.3 Se debe identificar el conjunto de procedimientos para el uso de las herramientas tomando en cuenta las restricciones del manual de seguridad, conociendo las deficiencias como introducir fallos en los programas y cualquier limitación en la cobertura de la verificación y validación anterior. 8.8.7.4 a) b) c) d) e)

El lenguaje de aplicación seleccionado debe cumplir con lo siguiente:

Ser implementado usando un compilador/traductor que ha sido evaluado para establecer su adaptabilidad para ese propósito Estar definido completa y claramente o restringido para características definidas claras Coincidir con las características de la aplicación Contener características que faciliten la detección de errores en programación Apoyar las características que coinciden con los métodos de diseño

8.8.7.5 Cuando el 8.8.7.4 de esta norma de referencia, no se cumpla, entonces se debe documentar la justificación del lenguaje usado durante la descripción del diseño de la arquitectura del programa de aplicación (ver 8.8.6 de esta norma de referencia), la justificación debe detallar la adaptabilidad para el propósito del lenguaje, y cualquier medida adicional que se refiera a cualquier deficiencia detectada en el lenguaje. 8.8.7.6 Los procedimientos para el uso de los lenguajes de aplicación deben especificar buenas prácticas de programación, evitar características genéricas de lenguaje de cómputo no seguras (características de lenguaje no definidas, diseños no estructurados, entre otros). Se deben identificar las revisiones para detectar fallos en la configuración para especificar los procedimientos para la documentación de los programas de aplicación. 8.8.7.7 a) b) c)

El manual de seguridad debe abordar los siguientes puntos según proceda:

El uso de diagnósticos para desempeñar funciones de seguridad Lista de librerías de seguridad certificadas/verificadas Pruebas mandatorias y lógica de paro del sistema

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios d) e) f)



Uso de vigilancia Requisitos y limitaciones para herramientas y lenguajes de programación Los NIS (SIL) para los dispositivos o sistema sean los requeridos

8.8.7.8

Se debe verificar la aplicabilidad de las herramientas.

8.8.8

Requisitos para el desarrollo de los programas de aplicación

8.8.8.1 La siguiente información debe estar disponible antes del inicio del diseño de los programas de aplicación: a) b)

La ERS de los programas (8.8.3 de esta norma de referencia). La descripción del diseño de la arquitectura de los programas de aplicación (ver 8.8.6 de esta norma de referencia) incluyendo la identificación de la lógica de aplicación y la funcionalidad de tolerancia a fallo, una lista de datos de entrada y salida, los módulos de programas genéricos y las herramientas de apoyo a ser usados, y los procedimientos para programar los programas de aplicación.

8.8.8.2 a) b) c) d)

Modularidad de la funcionalidad Comprobabilidad de la funcionalidad (incluyendo características de tolerancia a fallos) y de estructura interna La capacidad para modificación segura Trazabilidad y explicación de las funciones de aplicación y las restricciones asociadas

8.8.8.3 a) b) c)

Los programas de aplicación deben ser producidos de un modo estructurado para lograr:

El diseño de cada modulo de aplicación debe direccionar la robustez, incluyendo:

Verificación de credibilidad de cada variable de entrada incluyendo cualquier variable usada para proveer datos de entrada Definición completa de las interfases de entrada y salida Verificaciones de las configuraciones del sistema incluyendo la existencia y accesibilidad del equipo y módulos de programas requeridos

8.8.8.4 Se debe especificar el diseño de cada módulo de programas de aplicación y las pruebas estructurales para ser aplicadas a cada modulo de programas de aplicación. 8.8.8.5 a) b) c)

Los programas de aplicación deben cumplir con lo siguiente:

Ser leíbles, entendibles y verificables Satisfacer los principios relevantes de diseño Satisfacer los requisitos relevantes especificados durante la planeación de la seguridad (ver 8.1.1.4 de esta norma de referencia)

8.8.8.6 Los programas de aplicación se deben revisar para asegurar la conformidad del diseño especificado, los principios de diseño, y los requisitos de planeación de la validación de la seguridad. 8.8.9

Requisitos para la prueba de los módulos de los programas de aplicación

8.8.9.1 Se debe verificar la configuración de cada punto de entrada a través de la lógica de procesamiento hacia los puntos de salida, mediante técnicas de revisión, simulación, y prueba para confirmar que los datos de estada/salida son mapeados a la correcta lógica de aplicación.




8.8.9.2 Se debe verificar cada modulo de los programas de aplicación mediante técnicas de revisión, simulación, y pruebas para determinar que las funciones propuestas son correctamente ejecutadas y no se ejecuten las funciones no deseadas. Se deben realizar pruebas para los módulos específicos que están siendo probados, considerando lo siguiente: a) b) c) d)

Ejercitar todas las partes del modelo de aplicación Ejercitar los límites de los datos Calendarizar los efectos de la secuencia de ejecución Implementación de una secuencia propia

8.8.9.3

Los resultados de las pruebas de los módulos de los programas de aplicación deben estar disponibles.

8.8.10

Requisitos para probar la integración de los programas de aplicación

8.8.10.1 Las pruebas a los programas de aplicación deben mostrar que todos los módulos de los programas de aplicación y los componentes/subsistemas interactúan correctamente entre ellos y con los programas embebidos elementales para ejecutar la función requerida. 8.8.10.2 Los resultados de las pruebas de integración de los programas de aplicación deben estar disponibles y mostrar lo siguiente: a) b)

El resultado de las pruebas Si se han cumplido los objetivos y criterios de la especificación de la prueba

Si hay un fallo, se deben reportar los motivos por los que se falló. 8.8.10.3 Durante la integración de los programas de aplicación, cualquier modificación a los programas se debe sujetar a un análisis de impacto de la seguridad el cual debe determinar: a) b)

Los módulos de los programas que son afectados. Las actividades de re-diseño y reverificación que son requeridas (ver 8.8.12 de esta norma de referencia).

8.8.11

Integración de los programas de aplicaciones con los subsistemas del SIS

8.8.11.1 El proveedor o contratista del SIS debe demostrar que los programas de aplicación cumplen la ERS de los programas cuando corren en el equipo y programas embebidos usados en los subsistemas del SIS. 8.8.11.2 Las pruebas de integración deben ser especificadas tan pronto como sea posible en el ciclo de vida de seguridad de los programas para asegurar la compatibilidad de los programas de aplicación con el equipo y la plataforma de los programas embebidos, de manera que los requisitos de desempeño y funcionales de la seguridad se deben cumplir. 8.8.11.3 Durante la prueba, cualquier modificación o cambio debe estar sujeta a un análisis de impacto de la seguridad, el cual debe determinar: a) b)

Los módulos de programas que son afectados Las actividades requeridas de re verificación (ver 8.8.13 de esta norma de referencia)

8.8.11.4 La siguiente información de la prueba debe estar disponible:

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios a) b) c) d) e) f) g)



Productos de configuración bajo prueba Productos de configuración que apoyan las pruebas (herramientas y funcionalidad externa) Personal involucrado Casos de pruebas y escritos de pruebas Los resultados de las pruebas Si se han cumplido los objetivos y criterios de las pruebas Si existe una falla, las razones de la falla, el análisis de las fallas y los registros de la corrección incluyendo la reprueba y reverificación (ver 8.8.11.3 de esta norma de referencia)

8.8.12

Procedimientos de modificación de los programas [LFP (FPL) y LVL]

8.8.12.1 Asegurar que los programas continúen cumpliendo la ERS de los programas después de su modificación. 8.8.12.2 Las modificaciones se deben desarrollar de acuerdo con 8.1.1.6.2.2 y 8.1.1.7 y 8.11 de esta norma de referencia, con los siguientes requisitos adicionales: a) b) c) d) e) f)

Antes de la modificación se debe llevar a cabo un análisis de los efectos de la modificación en la seguridad del proceso y del estado del diseño de los programas y sea usado para dirigir la modificación Debe estar disponible la planeación de la seguridad para la modificación y reverificación Las modificaciones y reverificaciones se deben realizar de acuerdo con la planeación Se debe considerar la planeación de las condiciones requeridas durante la modificación y pruebas Toda la documentación afectada por la modificación se debe actualizar Deben estar disponibles todos los detalles de las modificaciones al SIS (registro)

8.8.13

Verificación de los programas de aplicación

8.8.13.1 Demostrar que la información sea satisfactoria. 8.8.13.2 Demostrar que los resultados de salida satisfagan los requisitos definidos en cada fase del ciclo de vida de seguridad de los programas de aplicación. 8.8.13.3 Se debe llevar a cabo la planeación de la verificación para cada fase del ciclo de vida de los programas de aplicación de acuerdo con 8.3 de esta norma de referencia. 8.8.13.4 Se deben verificar los resultados de cada fase para cumplir con lo siguiente: a) b) c) d)

La suficiencia de las salidas desde una fase del ciclo de vida en particular contra los requisitos para esa fase La suficiencia de la revisión, inspección y/o prueba de cobertura de las salidas Compatibilidad entre las salidas generadas en diferentes fases del ciclo de vida Corrección de los datos.

8.8.13.5 La verificación también debe abordar lo siguiente: a) b) c)

Comprobabilidad Legibilidad Trazabilidad

8.8.13.6 Las funciones no seguras y las interfaces de proceso integradas con las funciones y señales relacionadas con la seguridad se deben verificar para:

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios a) b)



No tener interferencia con las funciones de seguridad Protección contra la interferencia con las funciones de seguridad en el caso de anomalías de las funciones no seguras

8.9

Pruebas de aceptación en fábrica (FAT) del SIS

Estas pruebas deben ser aplicadas a todos los elementos que forman parte del SIS. Cuando el SIS este diseñado con un procesador lógico EP, el proveedor o contratista debe cumplir con 8.2.2 (Nivel II) de la NRF-049-PEMEX-2006 y lo siguiente: 8.9.1 Probar el procesador lógico EP y los programas asociados del SIS para asegurar que cumplen los requisitos definidos en la ERS e identificar y corregir los errores asociados a la configuración programación del SIS antes de su instalación en la planta de PEMEX. 8.9.2

Especificar la necesidad de una FAT durante la fase de diseño de proyecto del SIS.

8.9.3 Especificar lo siguiente en la planeación de una FAT en el protocolo de pruebas previamente revisado por PEMEX: a) b)

c) d) e) f) g) h) i)

El proveedor o contratista debe solicitar a PEMEX el listado enunciativo más no limitativo de pruebas que debe cumplir para realizar en el proceso de pruebas (FAT). Los tipos de pruebas a ser desarrolladas incluyendo la prueba de funcionalidad del sistema EP; pruebas de desempeño (tiempo, confiabilidad y disponibilidad, integridad, objetivos de seguridad y restricciones), las pruebas ambientales (incluyen compatibilidad electromagnética, tiempo de vida y pruebas de tensión), pruebas de interfaz, pruebas en modos degradado y/o de fallo, pruebas de excepción, aplicación de los manuales de mantenimiento y operación del SIS. Casos de prueba, descripción de la prueba y los datos de prueba. La dependencia en otros sistemas/interfaces. Herramientas y entorno de la prueba. Configuración del procesador lógico EP. Criterios de prueba en los que la terminación de la prueba debe ser evaluada. Procedimientos para adoptar medidas correctivas en caso de falla de la prueba. Habilidades y función del personal de la prueba. Ubicación física.

8.9.4

Las FAT se deben llevar a cabo con la versión de “hardware” y “software” adquirida con el contrato.

8.9.5 Las FAT se deben llevar a cabo de conformidad con la planeación de las FAT. Estas pruebas deben mostrar que toda la lógica se desempeñe correctamente. 8.9.6 a) b) c) d) e)

Para cada prueba realizada, se debe seguir lo siguiente:

La versión de la planeación de la prueba que se está usando La característica de desempeño y la FIS (SIF) que se está probando Los procedimientos de prueba detallados y descripciones de las pruebas Un registro cronológico de las actividades de prueba Las herramientas, equipos e interfaces utilizadas

8.9.7 El SIS debe ser completamente probado antes de ser enviado por el proveedor o contratista a PEMEX.




8.9.7.1 En las pruebas FAT debe participar el personal involucrado en las etapas de diseño, construcción, planeación y verificación del sistema bajo prueba. 8.9.7.2 El SIS se debe revisar y probar en un ambiente controlado de temperatura y humedad, de manera que cualquier problema se pueda resolver y corregir usando los recursos disponibles en el sitio del proveedor o contratista. Las pruebas FAT deben aclarar y rectificar cualquier duda o error en el desarrollo de la prueba. 8.9.7.3 El número de participantes depende de la complejidad y del tamaño del EP del SIS. Se deben definir las responsabilidades de cada persona participante en la FAT y en éstas debe participar el siguiente personal: a) b)

El proveedor o contratista, es el responsable de conducir y coordinar las pruebas FAT, así como de preparar los procedimientos (protocolo) de prueba requeridos en el 8.9.3 de esta norma de referencia. Representantes de PEMEX.

8.9.7.4 El proveedor o contratista debe probar y verificar el desempeño del equipo y programas del EP del SIS el cual incluye los módulos de entrada/salida, las terminales de conexión, el cableado interno, los procesadores lógicos EP, los módulos de interfase de comunicación y la IHM (HMI), la configuración/programación de los programas (de operación y de aplicación), así como la redundancia del sistema. 8.9.7.5 a) b) c) d) e) f) g) h)

i)

Las pruebas al procesador lógico EP del SIS se deben realizar usando los siguientes criterios:

Inspección visual Cableado interior de los gabinetes Fuentes de alimentación y su redundancia Simulando entradas, usualmente digitales, pulsos, 4-20 mA, o termopar y observando la respuesta del sistema Probando las salidas, usualmente digitales o de 4-20 mA Creando varios escenarios de falla para probar los sistemas de respaldo Pruebas de la lógica no interactiva, esto es, la lógica que no requiere una retroalimentación de los dispositivos de campo para operar. Prueba completa de la lógica. Esto es, probar funcionalmente el procesador lógico EP la interfaz del operador, con simuladores de entrada y salida (discretos y analógicos) que simulen las entradas/salidas de campo. La prueba se debe realizar verificando la lógica mostrada en las matrices de causa y efecto. En la simulación, se debe usar la misma interfaz del operador que va a ser usada en el sitio. Se debe probar la lógica del procesador lógico EP al 100 por ciento.

8.9.7.6 La simulación lógica se debe hacer de manera escrita en el procesador lógico EP, las salidas deben estar ligadas a las entradas dentro de la simulación, de modo que cuando una salida es enviada desde el procesador lógico EP, debe obtenerse una confirmación de que el dispositivo de salida ha operado. De este modo, la lógica es interactiva con los dispositivos de campo. 8.9.7.7 Todos los equipos usados para la calibración y pruebas deben presentar certificados de calibración vigentes por parte del proveedor o contratista, emitidos por un organismo de certificación debidamente acreditado y aprobado cumpliendo con lo indicado en el 8.2.4 de la NRF-111-PEMEX-2006 8.9.7.8 a) b) c)

Los resultados de las FAT se deben documentar, indicando:

Los casos de prueba Los resultados de la prueba Si se cumplieron los objetivos y criterios de la prueba




8.9.7.9 Si hay una falla durante la prueba, las razones de la falla se deben documentar y analizar y se deben implementar las acciones correctivas requeridas. 8.9.8 Durante las FAT, cualquier cambio o modificación debe ser objeto de un análisis de seguridad para determinar: a) b)

El grado de impacto sobre cada función instrumentada de seguridad El alcance de repetición de la prueba debe ser definido y ejecutado Instalación y “comisionamiento” del SIS

8.10

Cuando PEMEX establezca en sus bases de licitación el suministro e instalación del SIS debe cumplir entre otros con lo siguiente: 8.10.1 El embalaje y transportación del equipo es responsabilidad del proveedor o contratista quien debe garantizar la integridad de los equipos que conforman el SIS. El embalaje y marcado de materiales y equipos para su embarque debe cumplir con los numerales 8.1.1 al 8.1.2, 8.1.6, 8.1.9 y 8.2 al 8.4 de la P.1.0000.09:2005 8.10.2 En esta etapa, el proveedor o contratista debe asegurar que la instalación del SIS incluyendo los dispositivos de campo estén de acuerdo con el diseño detallado, los planos y la ERS, así mismo debe llevar a cabo las pruebas de “comisionamiento” del SIS de modo que esté listo para la validación final del sistema. 8.10.3 En la planeación de la instalación y “comisionamiento” del SIS se deben definir todas las actividades requeridas para éste propósito. El proveedor o contratista debe proporcionar lo siguiente: a) b) c) d)

Lista de actividades de instalación y “comisionamiento” Los procedimientos, medidas y técnicas que se deben utilizar para la instalación y “comisionamiento” Programa de desarrollo de dichas actividades y tiempos de ejecución Las personas, departamentos y organizaciones responsables de estas actividades

8.10.4 El proveedor o contratista debe integrar en la planeación global del proyecto la planeación de la instalación y “comisionamiento”. 8.10.5 Todos los componentes del SIS se deben instalar de acuerdo con el plan de diseño e instalación (ver 8.10.3 de esta norma de referencia). 8.10.6 a) b) c) d) e)

Se debe cumplir con los siguientes requisitos generales asociados al proceso de instalación:

El proveedor o contratista debe considerar la instalación del SIS de manera separada con respecto al trabajo eléctrico y electrónico de otros sistemas. El proveedor o contratista debe asegurar que el paquete de diseño esté completo. Todos los dispositivos montados en campo deben ser instalados de modo que permitan fácil acceso tanto para el mantenimiento como para las pruebas en línea que puedan ser llevadas a cabo. Se debe proteger a todos los dispositivos de campo de daño físico o ambiental previo a la instalación. El proveedor o contratista no debe realizar ningún cambio o desviación de los diagramas de diseño sin previa autorización de PEMEX en forma escrita y debidamente registrada.

8.10.7 El “comisionamiento” debe constituir una verificación física que confirme que el SIS y todos los elementos que lo integran se encuentren físicamente instalados de acuerdo al diseño y listos para las pruebas OSAT. Dicho “comisionamiento” lo debe realizar el proveedor o contratista bajo la supervisión de PEMEX.




8.10.8 El SIS se debe comisionar en conformidad con la planeación en la preparación para la validación final del sistema. 8.10.9 Las actividades de “comisionamiento” deben incluir, pero no se limitan a la confirmación de lo siguiente: a) b) c) d) e) f) g)

El sistema de tierras de instrumentos se ha conectado correctamente Los Sistemas de Fuerza Ininterrumpible – SFI se han conectado correctamente y están en funcionamiento No hay daños físicos presentes Todos los instrumentos han sido debidamente calibrados Todos los dispositivos de campo son operables Las señales de entradas/salidas del resolvedor lógico son operables Las interfaces con otros sistemas y periféricos son operables

8.10.10 El proveedor o contratista debe elaborar registros del “comisionamiento” del SIS, indicando los resultados de la prueba y si se han cumplido los objetivos y criterios identificados durante la fase de diseño. Si hay una falla, se deben registrar las razones de dicha falla. 8.10.11 Cuando la instalación no se ajusta a la información del diseño se debe evaluar la diferencia por una persona calificada por parte del proveedor o contratista el probable impacto sobre la seguridad determinada. Si se establece que no se tiene ningún impacto en la seguridad, la información sobre el diseño se debe actualizar a "como quedo construido". Si la diferencia tiene un impacto negativo sobre la seguridad, la instalación debe ser modificada para cumplir con los requisitos de diseño. 8.10.12 Pruebas funcionales en línea. Para todas aquellas aplicaciones en las cuales no sea práctico o sea difícil llevar a cabo pruebas funcionales fuera de línea, el proveedor o contratista debe proporcionar procedimientos para llevar a cabo pruebas funcionales en línea. Dichos procedimientos deben incluir las pruebas funcionales de los elementos finales hasta donde sea posible. 8.11

Validación de seguridad del SIS

Una vez que se ha terminado la instalación y el “comisionamiento”, el proveedor o contratista debe realizar la validación de la seguridad del SIS (OSAT) y entregarla a PEMEX. Se debe validar a través de la inspección y pruebas, que el SIS instalado y “comisionado” y sus FIS (SIF) asociadas alcancen los requisitos establecidos en la ERS. 8.11.1

Requisitos

8.11.1.1 El proveedor o contratista debe presentar el acta de aceptación de las pruebas FAT; así mismo la planeación de la validación del SIS debe ser entregada a PEMEX previamente a definir todas las actividades requeridas para su validación. Se deben incluir los siguientes puntos y cumplir con 8.2.3 (Nivel III) de la NRF049-PEMEX-2006 a) b)

La validación de actividades incluyendo la validación del SIS con respecto a la ERS incluyendo la aplicación y la resolución de recomendaciones resultantes. La validación de todos los modos relevantes de operación del proceso y su equipo asociado incluyendo: La preparación para uso, incluyendo calibración y ajuste El arranque, automático, manual, semi-automático, en estado estable de operación La re-configuración, paro, mantenimiento Las condiciones anormales razonablemente previsibles, entre otros, aquellas identificadas a través de la fase de análisis de riesgos

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios c) d) e) f) g)



Los procedimientos, medidas y técnicas usadas para la validación. Cuándo estas actividades se deben llevar a cabo. Las personas, departamentos y organizaciones responsables de estas actividades y los niveles de independencia de las actividades de validación. La referencia a la información con la que se debe llevar a cabo la validación (Matriz lógica de causa y efecto del SIS, entre otras). Entre las actividades que se incluyen están prueba de lazos, procedimientos de calibración, simulación de los programas de aplicación, entre otras.

8.11.1.2 La planeación adicional de la validación para los programas de aplicación de seguridad debe incluir lo siguiente: a) b)

c)

d) e)

f)

La identificación de los programas de seguridad que requieren ser validados para cada modo de operación del proceso antes de comenzar el “comisionamiento”. La información sobre la estrategia técnica para la validación incluyendo: Técnicas manuales y automatizadas Técnicas estáticas y dinámicas Técnicas estadísticas y analíticas De acuerdo con b), las medidas (técnicas) y los procedimientos que se deben usar para confirmar que cada FIS (SIF) se ajusta a los requisitos especificados para los programas de las FIS (SIF) (ver 8.8.3 de esta norma de referencia) y los requisitos específicos para la integridad de seguridad de los programas (ver 8.8.3 de esta norma de referencia). Las necesidades del entorno en el que las actividades de la validación son llevadas a cabo (para probar esto se deben incluir herramientas calibradas y equipo, entre otros). El criterio de pasa/falla para el cumplimiento de validación de los programas, incluyendo: El proceso requerido y señales de entrada del operador con sus secuencias y valores Las señales de salida anticipadas con sus secuencias y valores Otro criterio de aceptación, entre otros, el uso de la memoria, tiempo y el valor de las tolerancias Las políticas y procedimientos para la evaluación de los resultados de la validación, en particular las fallas.

8.11.1.3 Cuando se requiera que la exactitud de la medición sea parte de la validación entonces los instrumentos usados para esta función deben ser calibrados con una incertidumbre requerida a la aplicación y con trazabilidad hacia patrones nacionales o internacionales y certificados por un organismo de certificación debidamente acreditado y aprobado de acuerdo con el 8.2.4 de la NRF-111-PEMEX-2006, si no es posible una calibración, se debe usar y documentar un método alternativo. 8.11.1.4 La validación del SIS y sus FIS (SIF) asociadas deben estar de conformidad con la validación de la planeación del SIS. Las actividades de validación deben incluir, pero no limitarse a lo siguiente: a) b) c) d) e) f) g) h)

El SIS debe desempeñarse bajo los modos de operación normal y anormal (arranque, paro, entre otras) que se señalan en la ERS. Confirmación de que la interacción adversa del SCBP (BPCS) o SDMC y otros sistemas conectados no afectan la integridad y operación del SIS. Verificar que el SIS se comunica correctamente (en caso requerido), con el SCBP (BPCS) o SDMC o cualquier otro sistema o red. Los sensores, el resolvedor lógico, y los elementos finales operan en conformidad con la ERS, incluidos todos los canales redundantes. La documentación del SIS es consistente con el sistema instalado. Confirmación de que la FIS (SIF) opera tal como se especifica en valores no válidos de las variables de proceso (fuera del rango, entre otros). Que la secuencia de paro activada sea la correcta. El SIS proporciona indicaciones visuales de que está operando de acuerdo a lo requerido.

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios i) j) k) l) m) n) ñ) o)

p)



Los cálculos que se incluyen en el SIS son correctos. Las funciones de restablecimiento parcial y total del SIS se realizan tal como se definen en la ERS. Las funciones de desvío y restablecimiento del desvío operan correctamente. Los permisivos de arranque operan correctamente. El sistema de paro manual opera correctamente. Los intervalos de pruebas rigurosas están documentadas en los procedimientos de mantenimiento. Las funciones de alarma de diagnóstico se realizan de acuerdo a lo requerido. Confirmar que el SIS opera como se requiere cuando se presenta el evento de pérdida de servicios (energía eléctrica, neumática o hidráulica) y cuando se restablecen los servicios el SIS retorna al estado deseado. Confirmación que la inmunidad a la Compatibilidad Electromagnética - CEM especificada en la ERS (ver 8.6 de esta norma de referencia), se ha logrado.

8.11.1.5 La validación de los programas debe mostrar que todos los requisitos especificados de seguridad de los programas (ver el 8.8.5 de esta norma de referencia) se ejecutan correctamente, y los `programas no ponen en peligro los requisitos de seguridad bajo condiciones de fallo del SIS en un modo degradado de operación o por la ejecución de la funcionalidad de los programas no definidos en la especificación. La información de las actividades de validación debe estar disponible. 8.11.1.6 Los resultados de la validación del SIS deben proporcionar la siguiente información: a) b) c) d) e) f) g) h) i)

La versión de la planeación de la validación del SIS que está siendo usada La FIS (SIF) bajo prueba (o análisis), junto con la referencia específica al requisito identificado durante la planeación de la validación del SIS Herramientas y equipo usado, junto con los datos de calibración Los resultados de cada prueba La versión de la especificación de prueba usada Los criterios para la aceptación de las pruebas de integración La versión del equipo y programas del SIS que están siendo probados Cualquier discrepancia entre los resultados esperados y los actuales El análisis hecho y las decisiones adoptadas sobre la conveniencia de continuar con la prueba o emitir una solicitud de cambio, en el caso de que se produzcan discrepancias

8.11.1.7 Cuando se producen discrepancias entre los resultados previstos y los reales, el análisis efectuado y las decisiones adoptadas sobre la conveniencia de continuar con la validación o la emisión de una solicitud de cambio y volver a una etapa anterior del ciclo de vida de desarrollo, debe estar disponible como parte de los resultados de la validación de seguridad. 8.11.1.8 Después de la validación del SIS y ya “comisionado” para reducir los peligros identificados (Etapa 3 del modelo del ciclo de vida, ver figura 2 de esta norma de referencia), se deben llevar a cabo las siguientes actividades: a) b) c) d)

Regresar a su posición normal todas las funciones de desvío (entre otras, el forzamiento del resolvedor lógico y los sensores forzados, las alarmas deshabilitadas). Verificar que todas las válvulas de aislamiento del proceso cumplan con los requisitos y procedimientos de arranque del proceso. Retirar todos los materiales de prueba (entre otros, los fluidos). Eliminar todos los forzamientos y si aplica eliminar todos los forzamientos inhabilitados.

8.11.2

Validación integral del SIS




8.11.2.1 En caso de que el SIS forme parte de un proyecto integral en el cuál existan otros sistemas [SCBP (BPCS) o SDMC y Sistema de gas y fuego] que tengan interrelación con el SIS, el proveedor o contratista debe realizar pruebas integrales del SIS que confirmen la funcionalidad correcta de todos los sistemas del proyecto integral, incluyendo la lógica de acuerdo a la ERS. Esta verificación se debe realizar después de que la validación del SIS se ha realizado de manera satisfactoria. 8.11.2.2 El proveedor o contratista debe presentar lo siguiente antes de iniciar las pruebas integrales: a) b)

El acta de aceptación de las pruebas de validación OSAT del SIS. El plan de validación (protocolo) de las pruebas integrales revisado por PEMEX, el cual debe contener: las actividades a realizar, responsables, cómo se van realizar, criterios de aceptación y formatos de registros.

8.11.2.3 La documentación requerida para soportar las pruebas integrales debe incluir los siguientes puntos: a) b) c) d) e) f) g) h) i) j) k) l)

Procedimientos de la verificación completa de las pruebas integrales. Copia de la ERS. Listado impreso del programa de la lógica del resolvedor lógico Un diagrama de bloques del sistema integral Una lista completa de las entradas/salidas Diagramas de flujo de proceso y diagramas de tubería e instrumentación Índice de instrumentos Diagramas de lazos Esquemas eléctricos Matriz lógica de causa y efecto del SIS Planos que indiquen la localización de los equipos principales (PLG) Diagramas de conexiones en gabinetes, diagramas que indiquen la interconexión y las terminales de todos los cables m) Diagramas de trayectorias y conducción de “tubings” del sistema neumático n) Documentación del proveedor del equipo, incluyendo especificaciones, requisitos de instalación, y manuales de operación o) La fecha en que se realizó la prueba integral p) Referencia a los procedimientos usados en la prueba integral q) Constancia de aceptación por parte de PEMEX de que el proveedor o contratista ha completado de manera satisfactoria la prueba integral 8.11.2.4 Si se presenta el caso que durante la prueba integral no se cumple con los requisitos establecidos durante el diseño, la discrepancia debe ser evaluada por el proveedor o contratista y debe informar a PEMEX las implicaciones sobre la integridad del sistema que ocasiona esta discrepancia y si es requerido regresar a alguna etapa anterior en el ciclo de vida de seguridad. Si hay una falla de algún elemento, se deben dar las razones de la falla, registrarse y corregirse. 8.11.3

Aceptación final del SIS

8.11.3.1 El proveedor o contratista en conjunto con PEMEX debe verificar a través de la validación, que el SIS fue construido, instalado y “comisionado” de acuerdo a la ERS y que se encuentra listo para operar, para lo cual se debe realizar el acta correspondiente. 8.11.3.2 El proveedor o contratista debe generar y entregar los informes de la validación integral del SIS, indicando los resultados de las pruebas, si se cumplieron los objetivos y los criterios identificados durante la fase del diseño.




8.11.3.3 La documentación para la aceptación final del SIS debe estar actualizada. El proveedor o contratista debe suministrar toda la documentación generada en todas las etapas del proyecto, el manual de operación y la información técnica debe estar en idioma español y las unidades de acuerdo a lo que establece la Ley Federal sobre Metrología y Normalización y su Reglamento. 8.11.3.4 La documentación requerida para la validación integral y que forma parte del proceso de aceptación del SIS debe incluir los siguientes puntos: a) b) c) d) e) f) g) h) i)

La descripción del sistema Especificación funcional del sistema Diagramas de la configuración completa del sistema Memorias de cálculo de la verificación del NIS (SIL) Manual de usuario y licencias de los programas de usuario Protocolos, informes y actas de aceptación de pruebas en fábrica FAT y en sitio OSAT Procedimientos, informe y acta de aceptación de la validación integral Copia de la ERS Listado impreso del programa del procesador lógico EP o el diagrama (lógico, eléctrico, bloques, escalera) del resolvedor lógico j) Diagrama de bloques del sistema k) Lista completa de las entradas/salidas l) Diagramas de flujo de seguridad de proceso y diagramas de tubería e instrumentación m) Índice de instrumentos n) Diagramas de lazos o) Esquemas eléctricos p) Matriz lógica de causa y efecto para el SIS q) Planos que indiquen la localización de los equipos principales (PLG) r) Diagramas de conexiones en gabinetes, diagramas de alambrado que indiquen la interconexión y las terminales de todos los cables, diagramas unifilares eléctricos s) Diagramas de trayectorias y conducción de “tubings” del sistema neumático t) Documentación del proveedor del equipo, incluyendo especificaciones, requisitos de instalación, y manuales de operación u) Pruebas de desempeño 8.11.3.5 La aceptación final del SIS se debe realizar después de que el proveedor o contratista haya demostrado a PEMEX que el SIS opera correctamente con los demás componentes de la instalación interrelacionados con dicho SIS y entregue la documentación anterior. 8.12

Operación y mantenimiento del SIS

Se debe asegurar que el SIS opere y se mantenga dentro de la seguridad funcional diseñada y debe garantizar que el NIS (SIL) objetivo de cada FIS (SIF) se mantiene durante las etapas de operación y mantenimiento. 8.12.1

Requisitos

8.12.1.1 El proveedor o contratista debe realizar la planeación de las actividades de operación y mantenimiento del SIS, y debe incluir lo siguiente: a) b) c) d) e)

Actividades para operación normal y anormal Desglose de las actividades de mantenimiento preventivo y de pruebas funcionales y rigurosas Los procedimientos, medidas y técnicas a emplear durante la operación y mantenimiento Verificación de la observancia de los procedimientos de operación y mantenimiento Programas de cuándo se deben llevar a cabo estas actividades

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios f) g) h) i)



Equipos y herramientas requeridas para llevar a cabo las actividades de mantenimiento Las personas, departamentos y organizaciones responsables de estas actividades El grado de capacitación y competencia requerido por el personal que debe llevar a cabo las actividades de operación y/o mantenimiento Recopilación de información relacionada con la confiabilidad de los componentes del SIS durante la fase de operación

8.12.1.2 El proveedor o contratista debe desarrollar en idioma español, los procedimientos de operación y mantenimiento de conformidad con la planeación de seguridad relevante y debe proporcionar lo siguiente: a)

b)

c) d) e)

f)

Acciones rutinarias requeridas para mantener la seguridad funcional del SIS "tal y como se diseñó", entre otros, fijando intervalos de prueba rigurosa definidos por la determinación del NIS (SIL); para el caso de las válvulas de bloqueo automatizadas este procedimiento debe utilizar alguno de los métodos de prueba de carrera parcial indicados en la ANSI/ISA-TR96.05.01-2008 o equivalente, con la supervisión de PEMEX. Acciones y restricciones requeridas para prevenir un estado inseguro y/o reducir las consecuencias de un evento peligroso durante el mantenimiento o la operación (entre otros, cuando un sistema tiene que estar desviado “by pass” para la realización de pruebas o mantenimiento, qué pasos adicionales de mitigación se deben implementar). Información que se debe mantener en la falla del sistema y la tasa de demanda en el SIS. Información que se debe mantener que muestre los resultados de las auditorias y pruebas en el SIS. Procedimientos de mantenimiento a seguir cuando se presenten fallos o fallas en el SIS, incluyendo: Procedimientos para el diagnóstico y reparación de fallos Procedimientos para la revalidación Requisitos del reporte de mantenimiento Procedimientos para el seguimiento del desempeño del mantenimiento Garantizar que el equipo de prueba usado durante las actividades normales de mantenimiento está calibrado y en buen estado.

8.12.1.3 La operación y mantenimiento se deben llevar a cabo en conformidad con los procedimientos anteriores (ver 8.12.1.2 de esta norma de referencia). 8.12.1.4 Los operadores deben estar capacitados en la función y operación del SIS en su área. Esta capacitación debe asegurar lo siguiente: a) b) c) d) e) f) g) h) i)

Que comprendan las funciones del SIS (puntos de disparo y las acciones resultantes que son tomadas por el SIS). Los peligros contra los que el SIS está protegiendo. La operación de todos los interruptores de desvío y bajo qué circunstancias estos se deben usar. La operación de cualquier estación manual de paro y la actividad de arranque manual y cuándo estas estaciones manuales se deben activar. Expectativa en la activación de las alarmas de diagnóstico (entre otros, qué medidas se deben tomar cuando se activa alguna alarma del SIS, indicando que hay un problema en el SIS). La capacidad de programación o configuración del SIS. La aplicación de la lógica del SIS. Entendimiento de los requisitos operacionales del sistema tanto desde la perspectiva del(os) operador(es) como desde la perspectiva del(os) ingeniero(s) a cargo del SIS. Entendimiento de los estándares y normas existentes a la fecha referidos al uso de SIS, incluyendo a esta norma de referencia.

8.12.1.5 El personal de mantenimiento se debe capacitar según sea requerido para mantener el pleno desempeño funcional del SIS (equipo y programas) dirigidos a su integridad.




8.12.1.6 Para que el personal de operación, instrumentación y mantenimiento de PEMEX operen y mantengan de manera efectiva el SIS, el proveedor o contratista del SIS junto con personal de PEMEX deben identificar el nivel de capacitación de acuerdo al rol y responsabilidades del personal de PEMEX. Para cumplir con lo anterior se deben impartir los siguientes cursos: a) b)

Configuración de: IHM (HMI), procesador lógico EP, instrumentación de campo y SFI’s Cursos de operación y mantenimiento del SIS. Dichos cursos deben considerar los siguientes temas: filosofía de operación, mantenimiento preventivo, pruebas de diagnóstico y pruebas rigurosas del SIS, interpretación de fallos y diagnósticos, instalación y operación de los programas de aplicación, supervisión y alarmas, arranque y puesta en servicio del SIS. Todos los cursos impartidos deben ser en idioma español.

8.12.1.7 Por lo tanto el proveedor o contratista debe dar la capacitación y efectuar la evaluación del personal que opere el SIS. La capacitación debe considerar lo indicado en el 8.12.1.4 de esta norma de referencia. 8.12.1.8 Las discrepancias entre el comportamiento esperado y el comportamiento real del SIS se deben analizar y, en caso requerido, las modificaciones se deben realizar de tal manera que la seguridad se mantenga. Debe incluir el “monitoreo” de lo siguiente: a) b) c) d)

Las acciones tomadas siguiendo la demanda en el sistema Las fallas del equipo que forman parte del SIS establecido durante las pruebas de rutina o la demanda real La causa de las demandas La causa de los disparos falsos

8.12.1.9 seguir: a) b)

Los procedimientos de operación y mantenimiento pueden requerir revisión, en tal caso, se debe

Auditorias de seguridad funcional Las pruebas en el SIS

8.12.1.10 Se deben desarrollar procedimientos escritos en idioma español para llevar a cabo la prueba rigurosa para cada FIS (SIF), con objeto de revelar fallas peligrosas no detectadas por el diagnóstico. Estos procedimientos escritos de prueba deben describir cada una de las etapas que se llevan a cabo y deben incluir: a) b) c)

La operación correcta de cada sensor y elemento final La acción lógica correcta Las alarmas e indicaciones correctas

8.12.2

Prueba rigurosa e inspección

8.12.2.1 Prueba rigurosa 8.12.2.1.1 Las pruebas rigurosas periódicas se deben llevar a cabo mediante un procedimiento escrito (ver 8.12.1.10 de esta norma de referencia) para revelar fallos no detectados que permitan al SIS funcionar en conformidad con la ERS. 8.12.2.1.2 El SIS completo se debe someter a prueba incluyendo los sensores, resolvedor lógico y los elementos finales (entre otros, cierre de válvulas y paro de motores). 8.12.2.1.3 La frecuencia de las pruebas rigurosas se deben decidir usando el cálculo de PFD prom




8.12.2.1.4 Todas las deficiencias detectadas durante la prueba rigurosa se deben reparar de una manera segura y oportuna. 8.12.2.1.5 En algunos intervalos periódicos (determinados por PEMEX), la frecuencia de las pruebas se deben re-evaluar en función de diversos factores, entre ellos los datos históricos de pruebas, la experiencia de la planta, la degradación del equipo, programas y la confiabilidad de los programas. 8.12.2.1.6 Cualquier cambio en la lógica de aplicación requiere una prueba rigurosa completa. Excepciones a esto son permitidas en su caso si la revisión de la información y las pruebas parciales de los cambios se llevan a cabo para garantizar que los cambios se implementaron correctamente. 8.12.2.2 Inspección Conforme a los programas de mantenimiento cada SIS debe ser inspeccionado visualmente para asegurar que no se hayan realizado modificaciones no autorizadas y no se observe algún deterioro (entre otros: la falta de pernos o cubiertas de instrumentos, abrazaderas oxidadas, alambres desconectados, tubos “conduits” rotos, trazas de calor rotas, y aislamiento faltante). 8.12.2.3 Documentación de las pruebas rigurosas e inspección PEMEX debe mantener registros que certifiquen que las pruebas rigurosas e inspección se concluyeron de acuerdo con lo requerido. Estos registros deben incluir la siguiente información como mínimo: a) b) c) d) e)

Descripción de las pruebas e inspecciones realizadas Las fechas de las pruebas e inspecciones Nombre de las personas quienes realizaron las pruebas e inspecciones Número de serie u otro identificador único del sistema probado; entre otros, el número de lazo, número de identificación, número de equipo, y número de FIS (SIF) Los resultados de las pruebas e inspección (entre otros, condiciones de "tal y como se encontró" y "tal y como se dejó")

8.13

Modificación del SIS

Los proveedores o contratistas deben cumplir con las modificaciones a cualquier SIS siempre y cuando estén debidamente planeadas y revisadas por PEMEX antes de hacer el cambio, y garantizar que la integridad de la seguridad requerida del SIS se mantiene a pesar de los cambios al SIS. 8.13.1

Requisitos

8.13.1.1 Antes de llevar a cabo cualquier modificación de un SIS, los procedimientos para autorizar y controlar los cambios se deben tener en sitio. Los procedimientos deben incluir un método entendible para identificar y solicitar el trabajo por hacer y los peligros que puedan resultar. 8.13.1.2 Se debe llevar a cabo un análisis para determinar el impacto sobre la seguridad funcional como resultado de la modificación propuesta. Cuando el análisis muestre que la modificación propuesta pueda impactar la seguridad, entonces se debe regresar a la primera fase del ciclo de vida de seguridad, afectado por la modificación. 8.13.1.3 La actividad de modificación no debe comenzar sin la debida autorización de PEMEX. La información adecuada se debe mantener para todos los cambios en el SIS y debe incluir: a)

Una descripción de la modificación o cambio

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios b) c) d) e) f) g) h) i)



La razón para el cambio Los peligros identificados que pueden ser afectados Un análisis del impacto de la actividad de modificación en el SIS Todas las aprobaciones requeridas para los cambios Las pruebas usadas para comprobar que el cambio se implemento correctamente y el SIS se desempeña de acuerdo a lo requerido El historial de la configuración Las pruebas usadas para verificar que el cambio no ha afectado negativamente las partes del SIS que no se modificaron El programa para la ejecución de los cambios

8.13.1.4 La modificación se debe realizar con personal calificado y capacitado. Todo el personal afectado debe ser notificado de los cambios y capacitado con respecto a los cambios. 8.13.1.5 Todos los cambios a los procedimientos operativos, información de seguridad del proceso, y documentación general del SIS se deben verificar y actualizar antes de volver a poner en operación al SIS. 8.13.1.6 Toda la documentación se debe proteger contra destrucción, pérdida o modificación no autorizada. 8.14

Desmantelamiento del SIS

El proveedor o contratista debe realizar un proceso de revisión del plan de desmantelamiento para garantizar que la remoción del SIS no impacte al proceso o unidades circundantes y que existan los medios de seguridad para proteger al personal, al equipo y al medio ambiente durante los trabajos de desmantelamiento bajo una supervisión autorizada por parte de PEMEX. 8.14.1

Requisitos

8.14.1.1 Antes de llevar a cabo cualquier desmantelamiento de un SIS, se deben tener en sitio los procedimientos elaborados por el proveedor o contratista y revisados por PEMEX y tener el control de cambios revisado por PEMEX. 8.14.1.2 Los procedimientos se deben basar en los análisis de riesgo de la instalación, identificando y solicitando los trabajos por realizar e identificar los peligros que puedan resultar. 8.14.1.3 El proveedor o contratista debe realizar una evaluación del impacto en la seguridad funcional como resultado de la actividad propuesta de desmantelamiento. Dicha evaluación debe incluir una actualización del análisis y evaluación de riesgos para determinar el alcance y la profundidad que las fases subsecuentes del ciclo de vida de seguridad que se deben retomar. La evaluación debe considerar: a) b)

La seguridad funcional durante la ejecución de las actividades de desmantelamiento El impacto en las unidades operativas adyacentes y los servicios auxiliares de la instalación debido al desmantelamiento del SIS

8.14.1.4 Durante la administración de la seguridad funcional se deben utilizar los resultados de los análisis de impacto para volver a activar los requisitos relevantes de esta norma de referencia, incluyendo los de reverificación y re-validación. Las actividades de desmantelamiento no se deben iniciar sin la debida autorización de PEMEX. 8.15

Requisitos de Información y documentación




El proveedor o contratista debe entregar a PEMEX conforme lo requiera en las bases de licitación toda la documentación que se cita a continuación, además debe garantizar que la información requerida esté disponible y documentada, a fin de que todas las fases del ciclo de vida de seguridad se puedan desempeñar de manera efectiva, para que la verificación, validación y evaluación de las actividades de la seguridad funcional se puedan realizar eficazmente. Para la estructura de la documentación ver el Anexo A de la IEC 61508-1 8.15.1

Requisitos

8.15.1.1 La documentación requerida por esta norma de referencia debe estar disponible y: a) b) c) d) e)

Describir la instalación, sistema o equipo y el uso de la misma Ser exacta Ser fácil de entender Satisfacer la finalidad para la cual está destinada Estar disponible en una forma accesible y conservable

8.15.1.2 La documentación debe tener una única identidad por lo que debe ser posible referenciar las diferentes partes. 8.15.1.3 La documentación debe tener las denominaciones, indicando el tipo de información. 8.15.1.4 La documentación debe ser trazable a los requisitos de esta norma. 8.15.1.5 La documentación debe tener un índice de revisión (números de versión) para que sea posible identificar las diferentes versiones de la información. 8.15.1.6 La documentación debe ser estructurada para hacer posible la búsqueda de información relevante. Debe ser posible identificar la última revisión (versión) de un documento. 8.15.1.7 Toda la documentación relevante debe ser revisada, enmendada, aprobada y estar bajo el control de un esquema de control de la información. 8.15.1.8 La siguiente documentación se debe mantener: a) b) c) d) e) f)

9.1

Los resultados del análisis y evaluación de riesgos y las hipótesis relacionadas Los equipos usados para FIS (SIF) junto con sus requisitos de seguridad La organización responsable del mantenimiento de la seguridad funcional Los procedimientos para lograr y mantener la seguridad funcional del SIS La modificación de información, tal como se define en 8.13.1.3 de esta norma de referencia El diseño, implementación, prueba y validación 9 RESPONSABILIDADES

PEMEX

Vigilar la aplicación de los requisitos de esta norma de referencia, en actividades que se lleven a cabo en la determinación del NIS (SIL) para los SIS en los procesos industriales de las instalaciones de PEMEX. Verificación del cumplimiento de esta norma de referencia, debe ser realizada a través de la constancia de cumplimiento de los proveedores o contratistas.




Verificar que los licitantes cuenten con personal técnico especializado con experiencia en la determinación del NIS (SIL) para los SIS en los procesos industriales, conforme a los lineamientos legales vigentes. Verificar el cumplimiento del contrato establecido incluyendo los anexos técnicos respectivos, los cuales deben cumplir estrictamente los lineamientos marcados por esta norma de referencia. Aplicar la Ley Federal de Metrología y Normalización, la Ley de Obras Públicas y Servicios Relacionados con las Mismas, así como la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público, en lo referente a adquirir, arrendar o contratar bienes y servicios. Responsabilidad de PEMEX con respecto al análisis y evaluación de riesgos.- PEMEX debe proporcionar la información más actualizada posible de sus instalaciones para desarrollar el análisis y evaluación de riesgos para la determinación del NIS (SIL) objetivo del SIS. En caso de que se cuente vigente por un período de 5 años el análisis y evaluación de riesgos de la instalación, éste debe ser proporcionado al proveedor o contratista, para actualizarlo o complementarlo. 9.2

Proveedores o contratistas

Cumplir como mínimo los requerimientos especificados en esta norma de referencia. Considerar dentro del organigrama del personal especialista designado para ejecutar los trabajos materia de un determinado contrato para ejecución de obra pública y dentro del cual se contemple la aplicación de esta norma de referencia, a un responsable técnico con experiencia previa en trabajos similares. Las firmas de ingeniería y/o contratistas se comprometan a mantener durante el desarrollo de los trabajos y hasta su entrega final a un responsable técnico con la finalidad de garantizar la correcta ejecución de los trabajos en estricto apego a los lineamientos marcados por la norma de referencia y a los requerimientos de PEMEX. Es responsable de la calidad final de los trabajos, materiales y servicios, ya sean proporcionados por él mismo o por sus propios proveedores y/o subcontratistas. Toda la documentación y registros que se generen en los trabajos que competen a esta norma de referencia, antes y durante el desarrollo de la construcción y/o ingeniería (procedimientos, planos, bitácoras, diagramas, memorias, estudios, correspondencia, entre otros), se deben entregar a PEMEX en idioma español y conforme a la NOM-008-SCFI-2002 (se puede poner entre paréntesis otro idioma o sistema de medidas). Asimismo dicha entrega se debe realizar por medios electrónicos e impresos, según los requerimientos de la licitación, y debe estar validada con sello y rúbrica del responsable de la compañía, proveedor o contratista, fabricante o el que corresponda. Adicionalmente a lo establecido en esta norma de referencia se debe cumplir y documentar en pruebas FAT y OSAT a PEMEX lo estipulado en el Manual de seguridad “Safety manual” del equipo según la aplicación. Cumplir lo estipulado en el artículo 67 de la Ley de Obras Públicas y Servicios Relacionados con las Mismas.

10

CONCORDANCIA CON NORMAS MEXICANAS O INTERNACIONALES

Esta norma de referencia tiene una concordancia parcial de aproximadamente 65 por ciento con la internacional IEC 61511 en el momento de su elaboración.




BIBLIOGRAFÍA

11.1 ANSI/ISA-84.00.01-2004 Part 1 (IEC 61511-1 Mod) Functional Safety: Safety Instrumented Systems for the Process Industry Sector - Part 1: Framework, Definitions, System, Hardware and Software Requirements (Seguridad funcional: Sistemas Instrumentados de Seguridad para el Sector de la industria de proceso - Parte 1: Marco, definiciones, sistema, requisitos del equipo y programas). 11.2 ANSI/ISA-84.00.01-2004 Part 2 (IEC 61511-2 Mod) Functional Safety: Safety Instrumented Systems for the Process Industry Sector - Part 2: Guidelines for the Application of ANSI/ISA-84.00.01-2004 Part 1 (IEC 61511-1 Mod) – Informative (Seguridad funcional: Sistemas Instrumentados de Seguridad para el Sector de la industria de proceso - Parte 2: Guías para la aplicación del ANSI/ISA-84.00.01-2004 Parte 1 (IEC 61511-1 Mod) –Informativa). 11.3 ANSI/ISA-84.00.01-2004 Part 3 (IEC 61511-3 Mod) Functional Safety: Safety Instrumented Systems for the Process Industry Sector - Part 3: Guidance for the Determination of the Required Safety Integrity Levels – Informative (Seguridad funcional: Sistemas Instrumentados de Seguridad para el Sector de la industria de proceso - Parte 3: Guías para la determinación de los niveles de integridad de seguridad requeridos – Informativa. 11.4 ANSI/ISA-TR96.05.01-2008 Partial Stroke Testing of Automated Block Valves (Pruebas de carrera parcial para válvulas de bloqueo automatizadas). 11.5

API RP 552 1994 Transmission Systems. (Sistemas de transmisión).

11.6 ISA-5.2-1976 (R 1992) Binary logic diagrams for process operations (Diagramas lógicos binarios para operaciones de procesos). 11.7 ISA-TR84.00.02-2002 - Part 2 Safety Instrumented Functions (SIF) - Safety Integrity Level (SIL) Evaluation Techniques Part 2: Determining the SIL of a SIF via Simplified Equations. (Funcíon Instrumentada de Seguridad (FIS) – Nivel de Integridad de Seguridad (NIS) Técnicas de evaluación parte 2: Determinación del NIS de una FIS vía Ecuaciones Simplificadas). 11.8 ISA-TR84.00.02-2002 - Part 3 Safety Instrumented Functions (SIF) - Safety Integrity Level (SIL) Evaluation Techniques Part 3: Determining the SIL of a SIF via Fault Tree Analysis. (Funcíon Instrumentada de Seguridad (FIS) – Nivel de Integridad de Seguridad (NIS) Técnicas de evaluación parte 3: Determinación del NIS de una FIS vía Análisis de Árbol de Fallas). 11.9 ISA-TR84.00.02-2002 - Part 4 Safety Instrumented Functions (SIF) - Safety Integrity Level (SIL) Evaluation Techniques Part 4: Determining the SIL of a SIF via Markov Analysis. (Funcíon Instrumentada de Seguridad (FIS) – Nivel de Integridad de Seguridad (NIS) Técnicas de evaluación parte 4: Determinación del NIS de una FIS vía Análisis de Markov). 11.10

P.1.0000.09:2005 Embalaje y marcado de equipos y materiales.

11.11

P.2.0401.02:2005 Simbología e identificación de instrumentos.

12

ANEXOS

12.1

Formato de matriz lógica de causa y efecto del SIS




NRF-045-PEMEX-20101

Recommend Documents