Instrumentacin

Teora y prctica de los

sistemas instrumentados
de seguridad
J. Rivas
Direccin de Ingeniera de Repsol YPF-Petronor

1. Introduccin
Sistema de enclavamientos, sistema instrumentado de seguridad,
sistema de parada en emergencia,
etc.; la variedad de nombres parece
algo ilimitado.
Dentro de la industria de proceso, el debate contina sobre el significado de cada uno de ellos.
Incluso en el comit ISA SP84 hubo discusiones continuas (y cambios frecuentes) sobre la terminologa, definicin y significado de
cada uno de esos trminos.
No obstante, la confusin en la
industria va ms all del propio significado. Ello afecta al propio diseo de estos sistemas. As, nos encontraremos con muchos ejemplos
y preguntas que no son fciles de
responder o que la respuesta no es la
misma, dependiendo de la norma,
estndar o persona que la d. A ttulo de ejemplo se exponen algunas:
- Seleccin de la tecnologa a
utilizar
Constituye el objetivo de este
artculo dar respuestas a
preguntas habituales sobre
sistemas de seguridad y clarificar
la confusin frecuente sobre
tales sistemas. Centrndonos en
el tema de los sistemas
instrumentados de seguridad
(SIS), se atiende a aqullos
estndares y normas ms
importantes a tener en cuenta en
su diseo y desarrollo, y cmo se
ven afectados el propio diseo y
la operacin y el mantenimiento
de las instalaciones.

julio/agosto 05

74

Qu tecnologa deber ser usada: rels, estado slido, microprocesador (PLC)?. Depende dicha
seleccin de la aplicacin?.
Los rels son todava usados en
pequeas aplicaciones, pero diseara un sistema de 500 entradas/salidas con rels?. Es econmico disear un sistema con 20 entradas/salidas con PLC redundantes?.
Algunos prefieren no usar sistemas basados en software en aplicaciones de seguridad. Es una buena recomendacin?.

- Seleccin de redundancia
Cmo de redundante debera ser
diseado un sistema instrumentado
de seguridad?.
Depende de la tecnologa o del
nivel de riesgo?.
Si la mayora de los sistemas basados en rels son simples, por qu
son tan populares, actualmente, los
sistemas programables de triple redundancia?.
- Elementos de campo
Deberan los elementos sensores iniciadores ser de tipo transmisor
o interruptor (switch)?. Si usamos
transmisores, analgicos o digitales?.
Reduccin o no en los elementos de campo?. Pueden usarse los
mismos elementos de campo para
enclavamientos y para control?.
Frecuencia de prueba de dichos
elementos?
Un objetivo de este trabajo es tratar de dar respuestas a estas preguntas y de clarificar la confusin
general que sobre estos sistemas se
est produciendo.
2. Capas de
seguridad: prevencin
y mitigacin
La figura 1 es (con ligeros matices) la que se representa en la mayora de los estndares para separar las
diferentes capas de seguridad que
deben tenerse en cuenta en cualquier
diseo y desarrollo de un proyecto.

Ingeniera Qumica
www.alcion.es

Instrumentacin

dio, etc.), los sistemas de fuego y

gas pueden ser usados para mitigar o minimizar las consecuencias
del mismo.
En EE.UU., estos sistemas slo
son usados como alarma, no tomando ninguna accin automtica;
fuera de EE.UU., s suelen tomar
accin automtica y normalmente
estn integrados en las mismas plataformas que los SIS.

Figura 1.
Diferentes
capas de
seguridad
para proyectos

Varias de esas capas son preventivas

y otras de mitigacin. Algunas de
ellas necesitan instrumentos y otras
no. En cualquier caso, el concepto
de separar en capas la seguridad de
una planta responde a un concepto
bsico y simple: no poner todos los
huevos en la misma cesta.

Si el sistema de control falla y,

por cualquier razn, no realiza su
funcin, el siguiente nivel corresponde a las alarmas, que alertan al
operador y le posibilitan para una
intervencin manual.

2.1. Capas de prevencin

- Sistemas instrumentados de
seguridad

Son aqullas diseadas para

prevenir y anticiparse a que un determinado peligro pueda ser efectivo y llegue a darse. Son las que se
aplican en primer lugar, y las ms
importantes son:

Si el sistema de control y la actuacin del operador son insuficientes, y se alcanzan niveles de

variables predeterminados que no
deben superarse bajo ningn concepto, debe disponerse de un sistema que, de forma automtica, realice las acciones oportunas (paradas parciales o totales de equipos y
plantas) para as evitar el peligro.

- Diseo de la planta
El diseo de cualquier planta de
proceso debe, por s mismo, realizarse teniendo siempre en cuenta
la seguridad. Adems de un correcto diseo conceptual y bsico, la
realizacin de un estudio de riesgos y operabilidad, tendente a
identificar, evaluar y controlar los
riesgos (accidentes e incidentes) de
procesos es algo que se considera
bsico al inicio de la ingeniera de
detalle de cualquier proyecto
(ejemplo, HAZOP).
- Sistema de control de procesos
El sistema de control de procesos es el siguiente paso en las capas de seguridad. Es el encargado
de mantener las variables de operacin en sus puntos de consigna y
dentro de mrgenes seguros.

- Sistemas de alarmas

Una interesante diferencia entre

los sistemas de fuego y gas y los
SIS es que estos ltimos estn normalmente energizados (se desenergizan para producir la parada) y los
de fuego y gas estn normalmente
desenergizados (se energizan para
tomar accin).
- Sistemas de contencin
Ejemplos de estos sistemas son
los pocetos de los tanques de productos, los edificios contenedores
de reactores nucleares, etc.
- Planes de emergencia

Estos sistemas instrumentados

de seguridad estn normalmente
separados e independizados de los
sistemas de control, incluyendo los
sensores y vlvulas de campo.
2.2. Capas de mitigacin

Son aqullas que se disean para paliar o limitar las consecuencias de un peligro una vez que ste
realmente ha sucedido. Las ms
importantes son:
- Fuego y gas
Si el sistema instrumentado de
seguridad falla y el accidente tiene lugar (explosin, fuga, incen-

En el caso de un evento catastrfico, se deben de disponer de procedimientos y planes de emergencia

internos y externos que se activen en
funcin de la gravedad de dicho
evento. Aunque esta capa no dispone de sistemas fsicos (instrumentos
y equipos), salvo las sirenas, se considera una capa ms de mitigacin
de seguridad.
3. Estndares y
normativas
Ante todo, conviene clarificar la
diferencia existente entre lo que es
de obligado cumplimiento por ley y
lo que simplemente es una buena
prctica de diseo y trabajo recogido en especificaciones, estndares y
normas. Tambin decir que lo que
puede ser obligatorio en un pas
(ejemplo, EE.UU., puede no serlo
en otros o viceversa.
En la Unin Europea, y como es
lgico en Espaa, lo obligado por
ley se recoge en Directivas y su
trasposicin a Reales Decretos.
Un ejemplo (entre muchos) es la
Directiva 96/82/CE (9/12/96), lla-

julio/agosto 05

75

INGENIERIA QUIMICA

mada Seveso II, y su traslado al

Real Decreto 1254/1999 (16 Julio
99) de prevencin de accidentes
graves en los que intervienen sustancias peligrosas. Otro es la
Directiva ATEX.
Referente a los sistemas instrumentados de seguridad (SIS) no
hay ninguna Directiva ni R.D.
que obligue a su cumplimiento. S
existen estndares y normas cuyo
cumplimiento se considera recomendable y que, con visin de futuro, debern ponerse en prctica
en los proyectos y modificaciones, ya que, como en otros campos, finalmente aparecer la
Directiva que obligue a su cumplimiento.
Centrndonos en el tema de los
SIS, se enumeran aqullos estndares y normas ms importantes a
tener en cuenta en el diseo y desarrollo de los mismos. A estos
efectos, se separan en dos grupos:
en el primero se enmarcan los organismos que definen los mejores
estndares y prcticas de diseo e
ingeniera de SIS y en el segundo,
aqullos cuyos estndares y guas
deben ser integrados con los anteriores.
En el primer grupo est la ISA
(Sociedad Internacional de Instrumentacin, Sistemas y Automatizacin) y la I.E.C. (Comisin Electrotcnica Internacional).
El estndar de ISA relacionado
con los SIS es el ANSI / ISA 84.01,
denominado Aplicacin de SIS para las Industrias de Proceso.
El ISA SP84 (Comit de estndares y prcticas n 84) ha trabajado muchos aos en la elaboracin
y desarrollo de este estndar.
Inicialmente, estaba dirigido slo a
la lgica y, con posterioridad, se
incluyeron los elementos de campo. El documento ha sufrido muchos cambios a lo largo del tiempo
y su futuro a largo plazo est condicionado al desarrollo del estndar IEC 61511.
El primer documento fue editado en 1996 (actualmente est el
de 2003) y, ya que dentro de la

julio/agosto 05

76

IEC est representando a USA el

ANSI (Instituto Nacional de
Estandarizacin Americano), este
Instituto soportar el estndar
IEC 61511 y podr reemplazar al
ANSI/ISA S84.01. En cualquier
caso, al da de hoy, el ISA
84.01/2003 es bsicamente idntico al IEC 61511, con la inclusin de una clusula de salvaguarda (abuelo-grandfather) que
afecta a modificaciones en instalaciones existentes.
IEC tiene dos estndares relacionados con los sistemas instrumentados de seguridad: IEC
61508 Seguridad Funcional:
Sistemas Relacionados con la
Seguridad, versin actual de
1999 y prxima en 2005, que
afecta a todo tipo de industrias y
que se usa bsicamente por fabricantes y suministradores. IEC
form posteriormente un grupo
de trabajo para desarrollar un documento especfico de SIS para el
sector de las industrias del proceso y aplicable no slo a fabricantes y suministradores, sino tambin a diseadores, integradores y
usuarios. El estndar se denomin
IEC 61511 Seguridad Funcional:
SIS para el Sector de la Industria
del Proceso que debe ser usado
en complemento con el IEC
61508.
En el segundo grupo se encuentra una serie de organismos
que disponen de estndares y normas cuyas guas son de suma utilidad para complementar los anteriores de ISA e IEC. Entre ellos
estn:
- AICHE (American Institute of
Chemical Engineers), con varios
libros entre los que destaca el relativo a Guas de Automatizacin
Segura en Procesos Qumicos.
- API (American Petroleum
Institute). Con su prctica de recomendacin RP14C de Sistemas de
Parada en Plataformas Petrolferas.
- NFPA (National Fire Protection
Association). Este Organismo dispone de estndares que aplican a calderas, hornos y sistemas de control
de quemadores.
- OSHA (Occupational Safety
and Health Administration). Con
su OSHA de Gestin de la

Seguridad en el Proceso de Plantas

Qumicas altamente peligrosas.
- ASME, ISO, etc.
4. Terminologa y
definiciones
Algunas terminologas y definiciones ms usadas son:
4.1. Sistema instrumentado
de seguridad (SIS)

Un sistema instrumentado de seguridad (SIS) es un nuevo trmino

usado en los estndares, que normalmente tambin ha sido y es conocido por la mayora como: sistema de parada de emergencia (ESD),
sistema de parada de seguridad, sistema de enclavamientos, sistema de
disparos de emergencia, sistemas de
seguridad, etc.
ANSI/ISA 84.01 define el trmino SIS como:
Un sistema compuesto por
sensores, lgica y elementos finales con el propsito de llevar el
proceso a un estado seguro cuando
determinadas condiciones preestablecidas son violadas
IEC-61511 define el trmino
SIS como:
Un sistema instrumentado usado para implementar una o ms
funciones instrumentadas de seguridad (SIF), y se compone de una o
ms combinaciones de sensores,
lgica y elementos finales.
4.2. SIL (Safety Integrity
Level) o nivel de integridad
de seguridad

La integridad de la seguridad indica la disponibilidad de un sistema

de seguridad. Es decir, la probabilidad de que un sistema relacionado
con la seguridad ejecute de forma
satisfactoria las funciones de seguridad requeridas en todas las condiciones especificadas en un periodo
de tiempo especificado.
Especificar la integridad de la
seguridad no consiste en definir
slo que es lo que debe hacer el

Instrumentacin

sistema de seguridad, sino tambin

en especificar la bondad con la
cual dicho sistema debe llevar acabo su funcin.
El SIL es el nivel de integridad
de la seguridad asociado y exigible
a un sistema de seguridad. Se definen hasta cuatro niveles de integridad de la seguridad, donde el nivel
4 posee el grado ms elevado de
integridad de la seguridad y el nivel 1 el ms bajo:
SIL
1
2
3
4

Disponibilidad
90,00 99,00 %
99,00 99,90 %
99,90 99,99 %
> 99,99 %

En la determinacin de la integridad de la seguridad se deben

incluir todas las causas de fallo
que conducen a un estado inseguro: los fallos de hardware (tanto
los aleatorios como los sistemticos), los fallos inducidos de software y los fallos debidos a las
perturbaciones elctricas. Aunque
algunos de estos tipos de fallos se
pueden cuantificar (utilizando
medidas como la tasa de fallos o
la probabilidad de fallo de funcionamiento a la demanda), la integridad de la seguridad depende
tambin de muchos factores que
no se pueden cuantificar con precisin, sino que slo se pueden
considerar de forma cualitativa.
4.3. Probabilidad media
de fallo de funcionamiento
a la demanda (PFDMEDIA)

Para calcular de una forma numrica el SIL, uno de los parmetros ms utilizados es la PFDMEDIA.
Este parmetro indica la probabilidad media de fallo al ejecutar, bajo
demanda, la funcin para la cual ha
sido diseado.
Supongamos una funcin de seguridad: cierre de la vlvula de vapor al calentador de fondo cuando
se detecta alta presin en la cabeza
de la torre. La PFDMEDIA es la probabilidad de que, cuando haya alta
presin en la cabeza de la torre, el
sistema cierre efectivamente la
vlvula de vapor.

La relacin de la PFDMEDIA con

los SIL es la siguiente:
SIL
1
2
3
4

PFDMEDIA
10-2 10-1
10-3 10-2
10-4 10-3
10-5 10-4

Matemticamente, el clculo de
la PFDMEDIA es muy complejo si se
intenta hacer sobre la funcin de
seguridad en su conjunto.
Para simplificarlo, lo que se hace es lo siguiente:
Descomponer dicha funcin
de seguridad en sus elementos
principales.
Calcular la PFDMEDIA de cada
elemento.
Realizar la suma de las PFDMEDIA
de todos los elementos.
Por ejemplo, para el caso citado,
se calcularan las PFDMEDIA de la
parte sensora, la parte del operador
lgico y la parte actuadora. La suma
de todas ellas sera la PFDMEDIA de
la funcin de seguridad.
4.4. Ciclo de vida de
seguridad

Es uno de los conceptos bsicos

de la norma. Segn cita la norma, el
ciclo de vida de seguridad comprende aquellas actividades necesarias
implicadas en la instalacin de sistemas relacionados con la seguridad,
que se presentan durante un periodo
de tiempo que empieza en la fase de
diseo conceptual de un proyecto y
termina cuando todos los sistemas
E/E/PE relacionados con la seguridad, o los sistemas relacionados con
la seguridad de otra tecnologa e
instalaciones de reduccin del riesgo externo, ya no se encuentran disponibles para su utilizacin.
Incluye todas las actividades relacionadas con un SIS, desde la
concepcin del proceso o del propio SIS hasta su desinstalacin.
Como un sistema de seguridad
no es un componente simple, requiere la participacin de un equipo
multidisciplinar y de una sistemtica
precisa para evitar los fallos. Lo que

la norma intenta es que el objetivo

de la seguridad gue todas las fases
del diseo, la construccin, la operacin y el mantenimiento de un proceso. Los datos demuestran que,
aunque est sistemtica aumenta los
costes iniciales, a la larga produce
un sistema ms seguro y, por lo tanto, un aumento en la produccin.
Segn ANSI/ISA S84.01-1996,
el ciclo de vida contempla, de forma
resumida, las fases que se muestran
en la figura 2.
El significado de las fases es el
siguiente:
a. Diseo conceptual del proceso
El objetivo de esta fase es disear
una planta que sea inherentemente
segura. Para ello ser necesario conocer el proceso, los equipos y el
entorno en suficiente profundidad.
En general, esta fase suele quedar
fuera del alcance del especialista en
control y depende fundamentalmente del especialista en procesos.
b. Anlisis y evaluacin de riesgos del proceso
El primer objetivo de esta fase
es entender todos los riesgos asociados al proceso, ya tengan impacto sobre el personal, la produccin, los equipos, el medio ambiente o la imagen de la compaa.
Existen varias tcnicas de anlisis
de riesgos, aunque una de las ms
utilizadas es el anlisis HAZOP.
El segundo objetivo de esta fase
es evaluar los riesgos identificados
en el anlisis anterior para establecer un ranking. La evaluacin de
los riesgos puede ser:
Cualitativa.
Cuantitativa.
En esta fase estarn implicados
especialistas de varias disciplinas:
control, procesos, operaciones,
instrumentacin, electricidad, etc.
c. Aplicacin de capas de proteccin de sistemas de seguridad
no instrumentados
El objetivo de esta fase es evaluar
qu tipo de capa de proteccin es la

julio/agosto 05

77

INGENIERIA QUIMICA

Figura 2. Fases del ciclo de vida segn ANSI/ISA

adecuada para lograr una disminucin del riesgo hasta niveles aceptables (ALARP = As Low As Reasonably Practical o tan bajo como sea
razonablemente prctico).
Las capas de proteccin seleccionadas siempre en primer lugar
deben ser siempre las ms sencillas
(preferiblemente no-instrumentadas). Si esto fuera posible, aqu se
parara el proceso. Slo en el caso
de que no sea suficiente con la
aplicacin de capas de proteccin
sencillas, se debe elegir el uso de
sistemas instrumentados de seguridad (SIS).
Esta fase tpicamente se realiza
inmediatamente despus de la anterior, por lo que estn implicados
los integrantes del mismo equipo
interdisciplinario.

el nivel que hemos fijado como

aceptable. Es seguramente una de
las fases ms complejas de realizar.
El clculo del SIL requerido se
puede hacer mediante:

Esta fase es fundamental, puesto que un fallo en esta especificacin (fallo funcional o sistemtico)
no ser fcil de detectar durante las
siguientes fases.
En esta fase estarn implicados
principalmente los especialistas en
procesos y en control.

Mtodos cualitativos.
Mtodos cuantitativos.
Esta fase tpicamente se realiza
inmediatamente despus de la anterior, por lo que estn implicados
los integrantes del mismo equipo
interdisciplinario (Tabla I).
e. Desarrollo de la especificacin de seguridad
El objetivo de esta fase es desarrollar la especificacin con todos los
requisitos de seguridad. Esencialmente consiste en especificar la lgica funcional del sistema.

f. Diseo conceptual del SIS

El objetivo de esta fase es desarrollar un diseo inicial del SIS
que cumpla con los requisitos de
seguridad y alcance el SIL requerido o establecido como objetivo.
Durante esta fase se seleccionar
la tecnologa, la arquitectura, los intervalos de prueba, etc, teniendo en
cuenta factores tales como el presupuesto, el tamao de la aplicacin,
la complejidad, la velocidad de res-

d. Definicin del SIL objetivo

de cada funcin
El objetivo de esta fase es definir
el SIL requerido para cada SIS, para
conseguir la adecuada reduccin del
riesgo hasta un nivel aceptable.
El clculo del SIL requerido no
es, por tanto, una medida directa del
riesgo del proceso, sino una medida
de la disponibilidad del sistema de
seguridad que es necesario para
mantener los riesgos del proceso en

julio/agosto 05

78

Tabla I. Ejemplo de anlisis cualitativo

Frecuencia
Frecuente
Probable
Ocasional
Remota
Improbable
Increble

Catastrfica
I
I
I
II
III
IV

Consecuencia
Crtica
Marginal
I
I
I
II
II
III
III
III
III
IV
IV
IV

Despreciable
II
III
III
IV
IV
IV

Instrumentacin

puesta, la poltica de puenteos, los

requisitos de comunicaciones, la interfaz con el operador, etc.

la especificacin de seguridad.
Para ello, se deben realizar las siguientes pruebas:

De esta forma se puede realizar

una gua de diseo general como la
esquematizada segn la Tabla II.

Pruebas FAT (Factory Acceptance Test). Tpicamente sern pruebas del operador lgico en la fbrica del suministrador.
Pruebas SAT (Site Acceptance
Test). Tpicamente sern pruebas
del sistema completo (sensores,
operadores lgicos, actuadores, servicios, etc.) en la propia planta.

El objetivo de esta fase es asegurar que cada una de las partes del
sistema sea peridicamente comprobada segn la frecuencia establecida
durante el diseo de detalle. Por otra
parte, tambin ser necesaria la realizacin de pruebas funcionales peridicas del sistema completo (verificacin), segn la frecuencia establecida durante el diseo de detalle.

El segundo objetivo de esta fase

es asegurar que el sistema se instala de acuerdo a los procedimientos
especificados.

Es fundamental que toda la informacin de mantenimiento sea adecuadamente documentada para, en

su caso, poder ser auditada.

Esta fase es responsabilidad del

especialista de control.

Esta fase es responsabilidad del

especialista de mantenimiento.

En esta fase ya entra de lleno en

la responsabilidad del especialista
de control.
g. Diseo de detalle del SIS
El objetivo de esta fase es desarrollar un diseo en detalle del SIS
que cumpla con los requisitos de
seguridad y alcance el SIL requerido o establecido como objetivo.
Requiere, por tanto, un clculo
riguroso del SIL de cada SIS.
El diseo debe incluir al menos
la siguiente informacin:

i. Realizacin de los procedimientos de operacin y mantenimiento del SIS

Documentos de configuracin
de los equipos.
Documentos de prueba de los
equipos.
Documentos de instalacin de
los equipos.
Documentos de operacin/mantenimiento de los equipos.
Documentos de verificacin de
los equipos.

El primer objetivo de esta fase es

asegurar que en los procedimientos
operativos se documenten las respuestas especficas a las desviaciones en el proceso, las alarmas y las
paradas. Los procedimientos operativos deben informar al operador de
los riesgos del proceso y las consecuencias potenciales si las alarmas y
las paradas no se activan.

Esta fase es responsabilidad del

especialista de control.

El segundo objetivo de esta fase

es asegurar que los procedimientos
de mantenimiento sean detallados y
escritos desde una perspectiva tcnica con el suficiente detalle para asegurar que todos los dispositivos de
los SIS sean totalmente comprobados y vuelven al servicio tras cada
chequeo.

h. Pruebas, instalacin y comisionado del SIS

El primer objetivo de esta fase
es asegurar que el sistema se comporta conforme a los requisitos de

Tabla II. Gua para el diseo general

j. Mantenimiento y pruebas del

SIS

k. Modificaciones del SIS

El objetivo de esta fase es asegurar que todo cambio en el SIS se realiza siguiendo el mismo procedimiento que en la primera implementacin. La gestin del cambio implicar que, ante cada cambio, se deber volver a la fase adecuada en el ciclo de vida del SIS.
Todo cambio ser debidamente
documentado. Por ello es fundamental tener un estricto control de
toda la documentacin
Esta fase es responsabilidad del
equipo multidisciplinar ya citado.
l. Decomisionado del SIS
El objetivo de esta fase es asegurar que el decomisionado de un SIS
no tiene impacto ni en el proceso ni
en otras unidades anexas.
5. Relacin entre
los sistemas de
control y los SIS
Los estndares de los SIS recomiendan la total separacin e independencia de las funciones de los
SIS y las funciones de los SCD para
que la integridad de la seguridad no
se vea comprometida. En general,
las razones de la separacin son las
siguientes:
Reducir los efectos del SCD
sobre los equipos compartidos.

julio/agosto 05

79

INGENIERIA QUIMICA

Facilitar las operaciones del

SCD (flexibilidad en los cambios,
mantenimiento, pruebas, documentacin, etc.) para no tener que seguir
procedimientos tan rgidos.
Disminuir la complejidad del
SIS para facilitar la validacin de
la seguridad funcional.

en la misma CPU siempre que dichas aplicaciones sean estancas. En

la prctica, las CPU del SCD no
suelen alcanzar los requerimientos
mnimos exigibles (tasa de fallos,
cobertura de diagnsticos, fraccin
de fallos seguros, etc.) para aplicaciones con un SIL 1.

La separacin fsica de los diferentes elementos no es obligatoria

siempre que la independencia asegure que el SIS no se vera afectado
por:

c. Elementos finales de control

- Fallos en el SCD.
- Operaciones (mantenimiento,
configuracin, operacin, etc.) realizadas en el SCD.
La independencia de elementos
del SIS y el SCD es muy compleja
en aplicaciones muy interrelacionadas (por ejemplo, mquinas).
Sin embargo, en sistemas con lgica sencillo y/o pocas actuaciones
(por ejemplo, sistemas de fuego y
gas) no suele presentar demasiadas
complicaciones o incluso no ser imprescindible.
Las reas donde es altamente recomendada la separacin entre sistemas de control y SIS son las siguientes:

Se recomienda el uso de actuadores independientes. Sin embargo, se pueden utilizar actuadores

comunes siempre que el fallo del
propio actuador no produzca precisamente una situacin peligrosa a
travs de la accin de control y
siempre que la seal al actuador
procedente del SIS tenga preponderancia sobre la seal procedente
del SCD. En la prctica esto solamente suele ser factible para funciones con SIL= 1.

mismo espacio del PLC, la determinacin de cul es el estado actual es

tan simple como mirar un registro.
Cuando los sistemas estn separados, las comunicaciones entre el SIS
y el SCD son extremadamente importantes. La velocidad y fiabilidad
de las comunicaciones es esencial
para una operacin suave. Tambin
puede tener un impacto significativo
en la complejidad y el coste del SIS,
debido a la cantidad de puntos que se
requiera comunicar.
6. Interfaces de
operacin e ingeniera/
mantenimiento
6.1. La interfaz de
operacin

Es el medio por el cual el operador se comunica con el SIS.

d. Cableado
Se recomienda el uso de cajas y
multicables independientes para
seales del SCD y del SIS. Esta recomendacin se torna en obligatoria cuando se trata de SIS con configuracin energizada para disparo.
Las bandejas, conduit y similares pueden ser comunes.

La interfaz de operacin puede

ser comn para el SCD y los sistemas de seguridad instrumentados.
Sin embargo, no debern ser comunes aquellas interfaces en las
que el operador sea una parte de la
funcin de seguridad (por ejemplo,
un disparo que necesite la autorizacin adicional del operador mediante un pulsador).

a. Sensores de campo
Se recomienda el uso de sensores de campo independientes y preferiblemente utilizando conexiones al proceso independientes. Sin
embargo, se pueden utilizar sensores comunes siempre que el fallo
del propio sensor no produzca precisamente una situacin peligrosa
a travs de la accin de control. En
la prctica esto solamente suele ser
factible para funciones con SIL= 1.
La conexin adicional de los sensores del SIS al SCD ofrece la posibilidad de contraste con los sensores del SCD y, por lo tanto, mejora la cobertura de los diagnsticos.
b. Plataformas de lgica
Se recomienda el uso de plataformas de lgica independientes (tanto
en CPU como en tarjetas de E/S).
Sin embargo, se pueden tener aplicaciones de seguridad y de control

julio/agosto 05

80

La separacin entre el SCD y el

SIS puede realizarse de dos formas:
Identidad. Utilizando el mismo
tipo de elementos que en el SCD.
Tiene ventajas desde el punto de vista del diseo y el mantenimiento pero desventajas desde el punto de vista de los errores sistemticos o fallos
por causa comn (corrosin, erosin, errores de software, fallos de
alimentacin, obstruccin de lneas
de impulsin, etc.).
Diversidad. Utilizando elementos de otro fabricante, de otra
tecnologa o que usen otro principio de operacin o medida. Tiene
ventajas porque disminuye los
errores sistemticos pero desventajas porque pueden aumentar los
errores de mantenimiento.
Cuando los sistemas estn combinados, las condiciones de arranque,
disparo o parada existen dentro del

Interfaces de operacin tpicas

son: pantallas, paneles de lmparas
y pulsadores, anunciadores e impresoras.
La especificacin de diseo del
sistema de seguridad debe explicitar claramente las informaciones
que por su relevancia deben ser
mostradas al operador, as como la
forma de mostrarlas. Especial importancia tienen todas las seales
informativas sobre el estado de las
diferentes partes del SIS. Es muy
importante no sobrecargar de informacin al operador y proporcionar, si procede, programas estticos y dinmicos que optimicen la
misma.
6.2. La interfaz de
ingeniera/mantenimiento

Es el medio por el cual se realizan las modificaciones en el SIS.

Instrumentacin

Debe ser una interfaz independiente para cada SIS y no debe

usarse como interfaz de operacin.
Debe tener unos protocolos de
seguridad muy estrictos porque
tendr acceso a todos los parmetros de configuracin del sistema
(hardware y software).
7. Resumen,
conclusiones y
recomendaciones
7.1. Resumen

a. Cmo afectan los estndares de los SIS al diseo?

El anlisis de riesgos y de las
capas de proteccin debe realizarse
en cuanto se tenga la primera revisin de los P&I D. Este anlisis
identificar los riesgos, seleccionar la capa de proteccin adecuada
y asignar a cada una de ellas la reduccin de riesgo requerida. Para
las funciones instrumentadas de
seguridad, la reduccin de riesgo
es equivalente al nivel de integridad de seguridad. El SIL suele requerir unas necesidades de redundancia y de pruebas funcionales
(identificadas en la especificacin
funcional de seguridad y en la gua
de diseo) que suelen ir ms all
de las prcticas actuales de las
plantas. Las implementaciones
exitosas tambin implican unas
bien planificadas y fiables comunicaciones con el SCD.
b. Cmo afectan los estndares de los SIS a la operacin?
En trminos de procedimientos
operativos, muchos procedimientos se centran en el control de la
calidad y otros parmetros operacionales asociados. Los procedimientos operativos suelen verse
ms como un medio para conseguir una determinada calidad en un
producto. Los estndares de los
SIS requieren que en los procedimientos operativos se documenten
las respuestas especficas a las desviaciones en el proceso, las alarmas y las paradas. Los procedimientos operativos deben informar
al operador de los riesgos del pro-

ceso y las consecuencias potenciales si las alarmas y las paradas no

se activan. Los procedimientos
operativos incluirn las respuestas
apropiadas ante perturbaciones,
mal funciones y alarmas del proceso y diagnsticos de fallos del SIS.
c. Cmo afectan los estndares de los SIS al mantenimiento?
La importancia del mantenimiento y las pruebas funcionales
est bien documentada en los estndares de los SIS. Los procedimientos de mantenimiento proporcionarn procedimientos detallados y escritos desde una perspectiva tcnica con suficiente detalle
para asegurar que todos los dispositivos de los SIS son totalmente
comprobados y vuelven al servicio. Los procedimientos bien escritos suelen verse como una forma
de garantizar la consistencia del
comportamiento, que es el nico
camino de conseguir la integridad
deseada del dispositivo. Los procedimientos de mantenimiento sern
lo suficientemente detallados para
asegurar que los dispositivos estn
apropiadamente probados y vueltos al servicio, garantizando el rendimiento del dispositivo SIS.

de comunicaciones, interfaz con el

operador, etc.
Definir los criterios mnimos
de los documentos generados durante el diseo de detalle de los
SIS. Entre otros, los documentos
referentes a: configuracin, pruebas (FAT y SAT), instalacin, operacin / mantenimiento y verificacin de los equipos SIS.
Definir los criterios mnimos
que, referentes a los SIS, deben incluirse en los procedimientos de
operacin y mantenimiento.
Definir los criterios mnimos,
para asegurar la adecuacin a las
normas, que deben tenerse en
cuenta en:
a) La gestin del mantenimiento.
b) La gestin de las verificaciones.
c) La gestin del cambio.
Todo ello en el mbito de:
Nuevos proyectos.
Modificaciones de unidades
existentes.
Y en SIS ya instalados y en
operacin.
- Formacin/certificacin de varias personas por centro en la norma IEC 61511.

7.2. Conclusiones

- Existencia de confusionismo en
todo lo relacionado con estos sistemas.
- Falta de clarificacin y uniformidad de criterios en la aplicacin
de los estndares y normas.
- Insuficiente formacin de los
tcnicos responsables de estos trabajos a lo largo del ciclo de vida de
un SIS (diseo, montaje, mantenimiento, operacin, etc.).
7.3. Recomendaciones

- Creacin de grupos de trabajo

de expertos para sistemas de seguridad que se encarguen de:
Realizar una especificacin
funcional fijando criterios tales como: tecnologa utilizada, arquitectura, poltica de puenteos, requisitos

julio/agosto 05

81