INSTITUTO POLITECNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERÍA MECANICA Y ELÉCTRICA

PLANTEL ZACATENCO

“IMPLEMENTACIÓN DE LOS SISTEMAS

INSTRUMENTADOS DE SEGURIDAD AL PARO
SEGURO ASOCIADO A LOS SISTEMAS DE
PROCESO QUE COSTITUYEN EL BALANCE DE
PLANTA (BOP) EN UNA PLANTA
TERMOELÉCTRICA”

REPORTE TÉCNICO
QUE PARA OBTENER EL TÍTULO DE
INGENIERO EN COMUNICACIONES Y
ELECTRÓNICA
P R E S E N T A:

MARIA DEL ROCIO AMEZCUA

SALAZAR
JESUS LEON TLAPALTOTOLI LUNA

ASESORES

ING. CARLOS MARSCH MORENO

ING. ANTONIO MIRANDA TOLEDO

MÉXICO, D.F. JUNIO DEL 2011

 INSTITUTO POLITECNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERÍA MECANICA Y ELÉCTRICA

PLANTEL ZACATENCO

“IMPLEMENTACIÓN DE LOS SISTEMAS

INSTRUMENTADOS DE SEGURIDAD AL PARO
SEGURO ASOCIADO A LOS SISTEMAS DE
PROCESO QUE COSTITUYEN EL BALANCE DE
PLANTA (BOP) EN UNA PLANTA
TERMOELÉCTRICA”

REPORTE TÉCNICO
QUE PARA OBTENER EL TÍTULO DE
INGENIERO EN CONTROL Y AUTOMATIZACIÓN
P R E S E N T A:

ADULFO ARISTEO GONZÁLEZ CHÁVEZ

ASESORES

ING. CARLOS MARSCH MORENO

ING. ANTONIO MIRANDA TOLEDO

MÉXICO, D.F. JUNIO DEL 2011

AGRADECIMIENTOS.

A DIOS.

Agradezco la fuerza y las mil y un bendiciones que me dios me a otorgado por tener
una familia, amigos y maestros que han contribuido en mi desarrollo humano y académico

A FAMILIA.

Gracias a mis padres y hermanos por los cuidados y la gran oportunidad poder
emprender este sueño, caminado sola pero con la fuerza suficiente para logra el objetivo tan
añorado ser un Ingeniero egresado de ESIME, Agradezco infinitamente el amor y la
comprensión que me dieron en los momentos mas difíciles e importantes de mi vida.

A MIS AMIGOS.

Gracias a todas aquellas personas importantes que se mantuvieron a lo largo del

camino de mi vida de estudiante recordando esta etapa como los días mas felices de mi vida
y por alentarme a seguir adelante y ayudarme con una sonrisa o un consejo. Luz Elena
Guerra Ávila Gracias amiga por estar con una sonrisa y una palabra de aliento cuando mas
lo necesite.

Ing. Juan García Núñez Agradezco la visión de una vida exitosa como profesionista
y ser humano, recordando cada lección aprendida en esta gran etapa de mi vida, Dios lo
bendiga.

A MIS PROFESORES

Agradezco a todos y cada uno de mis profesores que formaron parte de mi vida
académica y ayudaron a mi formación académica y humana.

ATTE. MARÍA DEL ROCÍO AMEZCUA SALAZAR

AGRADECIMIENTOS.

A DIOS.

Agradezco la oportunidad que me otorgo de conocer todas las bendiciones y fracasos que me
ha colocado en esta situación y por tener una familia, amigos y maestros que han contribuido en mi
desarrollo humano y académico.

A MIS PADRES Y HERMANOS.

Gracias a mi Padre por ser el pilar en esta lucha constante por superarme y por ser aun más,
el héroe a seguir. A mi Madre por reconfortarme en las noches de múltiples derrotas y luchar por mí,
sobre todo por creer en mí. A mis hermanos que agradezco infinitamente el amor y el apoyo que me
dieron en los momentos más importantes de mi vida.

A MI FAMILIA.

Gracias a mi esposa por compartir su vida conmigo y acompañarme en los momentos buenos
y malos que hemos pasado, que ha sabido tomar las decisiones justas y correctas para seguir unidos,
pero también el apoyo incondicional que me ha otorgado para realizar este sueño. A mis hijos que
han completado mis aspiraciones de una vida plena y esperando les pueda servir de ejemplo para
que sepan que cuando se esfuercen por lo que anhelan, tarde o temprano lo alcanzarán. A mi suegro
que siempre me ha tendido la mano en el momento que lo he necesitado, a mi suegra (que en paz
descanse) por haber confiado en mí.

A MIS AMIGOS.

Gracias a todas aquellas personas que tuvieron a bien tocarme con su aura a lo largo del
camino en mi vida y por alentarme a seguir adelante con su sonrisa, regaño y consejo. A cada uno de
esos compañeros de trabajo que compartieron su experiencia y me enseñaron a trabajar, y a mis
compañeros de seminario que me apoyaron para realizar de este propósito.

A MIS PROFESORES

Agradezco a todos y cada uno de mis profesores que formaron parte de mi vida académica y
ayudaron a mi formación técnica y humana. Y en especial a los ingenieros Carlos Marsch Moreno y
Antonio Miranda Toledo por asesorarme para la realización de este proyecto.

ATTE. ADULFO ARISTEO GONZÁLEZ CHÁVEZ

AGRADECIMIENTOS.

A DIOS
Por darme la oportunidad de vivir, tener tantas alegrías, ponerme pruebas para que estas
me hicieran más fuerte y por permitirme obtener este logro tan importante en mi vida.

A MI PADRE LEÓN
Quien me ha enseñado tanto de la vida ya que con los consejos, enseñanzas y ejemplos
me ha mostrado que se puede llegar hasta donde uno quiere lográndose sobreponer de
situaciones adversas aun cuando nadie cree que lo puedes hacer.

A MI MADRE SILVIA
Por darme la vida, y con su cariño, comprensión y enseñanzas me ha apoyado y guiado
durante todos estos años ya que ha sabido ser paciente y a la vez fuerte cuando se ha requerido,
sacrificando tantas cosas importantes para ella con el propósito de que pudieran sus hijos lograr
sus objetivos.

A MI HERMANO FRANCISCO
Porque me ha demostrado que se puede sobresalir gracias al continuo esfuerzo, quien
como hermano mayor ha sabido darme los consejos necesarios y el apoyo que le he pedido en el
momento justo. El hermano que me ha sabido soportar, protegiéndome y cuidándome desde
niños.
A MIS AMIGOS
Grissel, Alfred, Javier, Efraín, Roberto, Laura. A Martin quien ha sido como otro
hermano, y a todos aquellos que se han ido quedando en el camino, ya que junto a ellos he
pasado grandes alegrías y han sido parte importante en mi vida.

A MIS PROFESORES
Alejandro, Cristina y Nancy que a pesar de todo siempre creyeron en mí y supieron
darme una formación adecuada, brindándome conocimientos y bases para poder ser un ingeniero.

ATTE. JESÚS LEÓN TLAPALTOTOLI LUNA

I. - INTRODUCCIÓN ................................................................................................. 6
II. - JUSTIFICACIÓN ................................................................................................. 10
III. - SISTEMAS INSTRUMENTADOS DE SEGURIDAD (SIS) .......................................... 11
CICLO DE VIDA DE UN SISTEMA INSTRUMENTADO DE SEGURIDAD ........................................ 11
REQUERIMIENTOS GENERALES DE UN SISTEMA INSTRUMENTADO DE SEGURIDAD ................ 12
SOLUCIONADOR LOGICO DE UN SIS ........................................................................... 13
ELEMENTOS DE CAMPO DE UN SIS (SENSORES) ................................................................ 13
INTERFACES HOMBRE MAQUINA …............................................................................... 15
FUENTES DE ENERGIA DE UN SIS …………………………….................................. 16
REQUERIMIENTOS DE LA LOGICA DE CONTROL ............................................................... 17
DIAGNOSTICOS DEL SIS ………….............................................................................. 18
ARQUITECTURAS DE LOS SSISTEMAS ELECTRONICOS DE SEGURIDAD .................................... 20
ELEMENTOS FINALES DE CONTROL …………................................................................ 21
DEFINICIONES ………….…………................................................................. 21
SISTEMAS DE SEÑALIZACION ……………................................................................. 23
DEFINICIÓN DE ANALISIS DE RIESGO ………………...................................................... 28
OBJETIVO DEL ANALISIS DE RIESGOS ………………...................................................... 28
LIMITACIONES DEL ANALISIS DE RIESGOS …………....................................................... 29
ESTRUCTURA DEL ANALISIS DE RIEGO ............................................................................ 29
IDENTIFICACIÓN DE PELIGROS ................................................................................... 30
ESTIMACIÓN DE RIESGOS .......................................................................................... 30
ANALISIS DE CONSECUENCIAS ................................................................................... 30
TÉCNICAS DE IDENTIFICACIÓN DE PELIGROS .................................................................. 30
LISTA DE VERIFICACIÓN (CHECK LIST) ......................................................................... 31
INDICES DE RIESGOS (CATEGORIZACIÓN RELATIVA) ...................................................... 31
ANALISIS ¿QUÉ PASA? (WHAT IF?) ……...................................................................... 31
ANALISIS DE PELIGROS Y OPERABILIDAD (HAZOP) ........................................................... 32
INTRODUCCIÓN AL ANALISIS HAZOP ......................................................................... 32
NIVEL DE SEGURIDAD (SIL) ……………................................................................... 33
OBJETIVOS DEL ANALISIS DE CONSECUENCIAS ........................................................... 33
ELABORACIÓN DE SECUENCIAS DE PARO (CARTA DE SEGURIRDAD) ................................... 34
REQUISITOS PARA LOS SISTEMAS DE SEGURIDAD ......................................................... 36
LOS ESTANDARES DE SEGUIRDAD .............................................................................. 36
COMISIÓN ELECTROTECNICA INTERNACIONAL (IEC) ....................................................... 37
LA IEC 65a ................................................................................................................. 37
PUESTA EN SERVICIO DE UN SISTEMA INSTRUMENTADO DE SEGURIDAD ........................ 38
CAPACITACIÓN OPERATIVA Y MANTENIMIENTO AL PERSONAL QUE SE
HARA CARGO DEL SISTEMA ............................ 40
ADMINISTRACIÓN DE CAMBIOS AL SISTEMA INSTRUMENTADO DE SEGURIDAD ................ 42
ADMINSITRACIÓN OPERATIVA DEL SIS ……………………………………............... 42
PROCEDIMIENTOS DE OPERACIÓN ……………………………………...................... 42
REGISTROS DE MANTENIMIENTO DE RUTINA ……..………………………............... 43
VI. - ESPECIFICACIONES GENERAL PARA SIS ………………………….......... 44
OBJETIVO DEL SISTEMA ESD ……............................................................................... 44
DEFINICIONES ........................................................................................................ 45
V. - REQUISITOS GENERALES .................................................................................... 46
1
 DESCRIPCIÓN GENERAL DEL PROYECTO ......................................................................... 46
CLASIFICACIÓN ELÉCTRICA ....................................................................................... 47
ENERGÍA ELÉCTRICA DISPONIBLE ……….................................................................. 47
DESCRIPCIÓN DEL PROCESO ....................................................................................... 47
SISTEMA DE PARADA DE EMERGENCÍA (ESD) .................................................................. 48
CAPACIDAD DE EXPANSIÓN ....................................................................................... 48
REDUNDANCIA DE SISTEMA ....................................................................................... 49
DISPONIBILIDAD Y CONFIABILIDAD ........................................................................... 49
PROCESADORES ........................................................................................................ 50
MÓDULOS DE ENTRADAS .......................................................................................... 50
MÓDULOS DE SALIDAS ............................................................................................ 51
MÓDULOS DE COMUNICACIÓN ETHERNET TCP/IP ...................................................... 51
GABINETE AUTOSOPORTADO ..................................................................................... 51
INTERFASE HOMBRE-MAQUINA ................................................................................ 52
ESTACIÓN DE INGENIERÍA Y MANTENIMIENTO ........................................................... 52
CONFIGURACIÓN ……………................................................................................. 53
CONFIGURACIÓN DE BASE DE DATOS DEL SISTEMA ...................................................... 53
SEÑALES CABLEADAS DE CAMPO ................................................................................ 54
SEÑALES PANEL DE BOTONERAS ESD ......................................................................... 54
ESTRUCTURA DEL SISTEMA …………………………............................................... 54
CODIGOS Y ESTANDARES ………………………….................................................. 55
REQUISITOS ELÉCTRICOS ………………………….................................................... 56
FUENTE DE ALIMENTACIÓN …………………………............................................... 56
SISTEMA DE TIERRAS …………………………......................................................... 56
REQUISISTOS ELECTRICOS PARA AMBIENTES PELIGROSOS ............................................. 57
ARQUITECTURA DEL SISTEMA ................................................................................. 57
CERTIFICACIÓN ........................................................................................................ 57
UNIDAD DE PROCESAMIENTO CENTRAL ....................................................................... 57
PRINCIPIOS DE DISEÑO DE HARDWARE .......................................................................... 57
SEGURIDAD/BUS DE CONTROL …............................................................................... 59
COMUNICACIÓN CON EL DCS …………….................................................................. 60
COMUNICACIÓN CON OTROS SISTEMAS …….............................................................. 61
TIEMPO DE CICLO ................................................................................................... 62
MANTENIMIENTO ..................................................................................................... 62
ESTACIÓN DE INGENIERÍA .......................................................................................... 62
CONSOLA AUXILIAR ................................................................................................. 63
CERTIFICACIÓN ........................................................................................................ 63
VI. - REQUISITOS DE DISEÑO PARA HARDWARE ........................................................ 64
ESPECIFICACIONES DE HARDWARE DEL ESD …................................................................ 65
UNIDAD DE NODO DE SEGURIDAD (SNU) .................................................................... 66
TARJETA DE INTERFASE PARA EL BUS DE CONTROL ......................................................... 67
SWITCHES DE NIVEL 3 ………….............................................................................. 67
MONITOREO DE LÍNEA PARA LAS ENTRADAS DIGITALES ............................................... 67
FUENTE DE ALIMENTACIÓN PARA I/O DE CAMPO ........................................................... 68
MÓDULO DE I/O ........................................................................................................ 68
MÓDULO DE ENTRADA ANALÓGICA …….................................................................. 68
MÓDULO DE ENTRADA DIGITAL .................................................................................. 69
2
 MÓDULO DE SALIDA DIGITAL ................................................................................... 70
TABLILLA DE TERMINALES DE CONEXIÓN .................................................................... 70
SISTEMA DE CABLES DEL ESD ..................................................................................... 70
CABLE DE RED .......................................................................................................... 71
CABLES DEL SISTEMA ................................................................................................. 71
CABLEADO ............................................................................................................... 71
CODIFICACIÓN DE COLORES Y DIÁMETROS DEL CABLE .................................................... 71
SEGREGACIÓN Y AGRUPACIÓN DE I/O ............................................................................ 72
REQUISITOS DE DISEÑO .......................................................................................... 72
REQUISITOS DE SEGREGACIÓN ..................................................................................... 72
ESPECIFICACIONES GENERALES DE GABINETES ........................................................... 72
FILOSOFÍA DE DISEÑO PARA GABINETE SCS .................................................................. 73
FILOSOFÍA DE PUESTA A TIERRA ................................................................................ 73
CONEXIÓN A TIERRA DE PROTECCIÓN (TIERRA DE SEGURIDAD) ...................................... 73
CONEXIÓN A LA TIERRA DE INSTRUMENTO (TIERRA DE SEÑAL) .......................................... 74
FUSIBLES DE PROTECCIÓN ………………….............................................................. 74
CONVENSIONES DE NOMENCLATURA ……................................................................. 74
IDENTIFICACIÓN DE GABINETES ……........................................................................ 74
INSPECCIÓN Y PRUEBAS …….................................................................................... 74
PRUEBAS INTERNAS E ISNPECCIÓN (PRE-FAT) ................................................................. 75
PRUEBAS DE ACEPTACIÓN EN FABRICA ...................................................................... 76
DESCRIPCIÓN GENERAL DE LA RED ............................................................................. 77
ESPECIFICACIONES DE LA VNET/IP ............................................................................. 77
REDUNDANCIA DUAL DE LA VNET/IP ........................................................................ 77
CONFIGURACIÓN DEL SISTEMA CON COMUNICACIÓN ABIERTA ........................................ 79
ESPECIFICACIONES DE DIRECCIONES VNET/IP .................................................................. 79
DIRECCIONES IP UTILIZADAS PARA EL SISTEMA VNET/IP ............................................... 80
DIRECCIONES IP PARA COMUNICACIÓN DE CONTROL .................................................... 90
DIRECCIONES IP PARA LA COMUNICACIÓN ABIERTA ......................................................... 80
VII. - REQUISITOS DE DISEÑO PARA SOFTWARE ........................................................ 81
ABREVIATURAS Y ACRÓNIMOS …............................................................................... 81
SOFTWARE DE CONFIGURACIÓN .............................................................................. 84
FUNCIÓN EN LÍNEA ................................................................................................. 84
SOFTWARE DE APLICACIÓN ...................................................................................... 84
FUNCIONES DE AUTO DIAGNÓSTICO .......................................................................... 85
FUNCIONES DE SECUENCIADOR DE EVENTOS .................................................................. 85
SEGURIDAD ............................................................................................................. 86
CONFIGURACIÓN DE SOFTWARE ................................................................................... 86
TIPO DE PROYECTO ................................................................................................. 57
SOFTWARE DE APLICACIÓN .......................................................................................... 88
TÍPICOS DE SOFTWARE .............................................................................................. 88
PROPÓSITO ............................................................................................................... 88
FILOSOFÍA DE NOMBRES PARA TAGS ............................................................................ 88
SOER ........................................................................................................................ 89
VISTA GENERAL ........................................................................................................ 89
FUNCIONES DE SOER ................................................................................................... 89
CONFIGURACIÓN ..................................................................................................... 89
3
 COLECCIÓN DE EVENTOS .......................................................................................... 90
ALMACENAMIENTO DE EVENTOS ................................................................................... 90
SOE VIEWER ............................................................................................................. 91
VENTANA DEL SOE VIEWER ....................................................................................... 92
VIII. PROTECCIÓN CONTRA AMENAZAS INFORMÁTICAS ....................... 94
LOS VIRUS ................................................................................................................ 94
DEFINICION DE VIRUS .............................................................................................. 94
HISTORIA ................................................................................................................ 95
LOS NUEVOS VIRUS E INTERNET ................................................................................... 95
COMO SE PRODUCEN LAS INFECCIONES .................................................................... 96
ESTRATEGÍAS DE INFECCIÓN USADAS POR LOS VIRUS ....................................................... 96
VIRUS POR SU DESTINO DE INFECCIÓN .......................................................................... 97
VIRUS POR SUS ACCIONES O MODOS DE ACTIVACIÓN ....................................................... 98
LOS ANTIVIRUS ........................................................................................................ 100
FUNCIONAMIENTO .................................................................................................... 100
METODOS DE PROTECCIÓN Y TIPOS .............................................................................. 101
ELIMINACIÓN ........................................................................................................... 103
COMPROBACIÓN DE INTEGRIDAD ................................................................................. 103
LOS TSR .................................................................................................................. 103
TÁCTICAS ANTIVÍRICAS ............................................................................................. 104
IX. - ESTUDIO TÉCNICO-ECONÓMICO ........................................................ 106
FILOSOFÍA DE SISTEMA ........................................................................................................ 108
PRINCIPIOS DE REDUNDANCIA ............................................................................................. 109
PRINCIPIOS DE VOTACION .................................................................................................... 110
FUNCION DE PRIMER DISPARO ................................................................................................. 113
REPORTE DE FALLAS ........................................................................................................ 114
IMPLEMENTACION ................................................................................................................ 114
INFORMACION GENERAL DE EQUIPO .................................................................................... 115
DESCRIPCION DEL SISTEMA .................................................................................................. 117
ALCANCE ……................................................................................................................... 117
DIMENCIONAMIENTO DEL SISTEMA ...................................................................................... 118
SEGREGACION DEL SISTEMA ................................................................................................ 119
COMUNICACIONES .............................................................................................................. 120
HARDWARE DE CONTROL SIS ............................................................................................. 121
LICENCIAMIENTO ................................................................................................................ 123
LISTA DE MATERIALES PROPUESTA ....................................................................................... 128
CONSIDERACIONES TECNICAS DE LA PROPUESTA ................................................................... 130
PORQUE UN SIS YOKOGAWA ............................................................................................... 131
RESUMEN ECONOMICO ……………………………………………………………... 133

4
X. - CONCLUSIONES .............................................................................................. 134
XI. - BIBLIOGRAFÍA ............................................................................................... 135

XII. - ANEXOS

Anexo A Glosario.
Anexo B Presentación de las IEC 61508 e IEC 61511 y de otras normativas y disposiciones legales sobre la
seguridad funcional.
Anexo C Especificación del sistema de parada de emergencia Planta Alberto Lovera.
Anexo D Arquitectura propuesta, y diagramas típicos de gabinetes.
Anexo E Diagramas de Tubería e Instrumentación (DTI´s) Planta Alberto Lovera BOP.
Anexo F Matriz de causa y efecto.

5
 INTRODUCCION
En la actualidad el quehacer humano depende mucho de las máquinas. La gran mayoría de las
cosas que utilizamos y/o las que consumimos están hechas por una máquina automática o
semiautomática.

La automatización de los procesos productivos es imprescindible hoy en día ya que nos ahorra
mucho tiempo y dinero, además de que son operaciones más seguras y con menos esfuerzos para
realizarlas.

Automatización del griego antiguo auto: guiado por uno mismo, es el uso de sistemas o
elementos computarizados y electromecánicos para controlar maquinarias y/o procesos industriales
sustituyendo a operadores humanos.

El alcance va más allá que la simple mecanización de los procesos ya que ésta provee a
operadores humanos, mecanismos para asistirlos en los esfuerzos físicos del trabajo, la
automatización reduce ampliamente la necesidad sensorial y mental del humano.

Las primeras máquinas simples sustituían una forma de esfuerzo en otra forma que fueran
manejadas por el ser humano, tal como levantar un peso pesado con sistema de poleas o con una
palanca. Posteriormente las máquinas fueron capaces de sustituir formas naturales de energía
renovable, tales como el viento, mareas, o un flujo de agua por energía humana.

Todavía después, algunas formas de automatización fueron controladas por mecanismos de

relojería o dispositivos similares utilizando algunas formas de fuentes de poder artificiales (algún
resorte, un flujo canalizado de agua o vapor para producir acciones simples y repetitivas, tal como
figuras en movimiento, creación de música, o juegos).

En 1801, la patente de un telar automático utilizando tarjetas perforadas fue dada a Joseph
Marie Jacquard, quien revolucionó la industria del textil.

Para mediados del siglo XX, la automatización había existido por muchos años en una escala
pequeña, utilizando mecanismos simples para automatizar tareas sencillas de manufactura. Sin
embargo el concepto solamente llego a ser realmente práctico con la adición (y evolución) de las
computadoras digitales, cuya flexibilidad permitió manejar cualquier clase de tarea. Las
computadoras digitales con la combinación requerida de velocidad, poder del cómputo, precio y
tamaño empezaron a aparecer en la década de 1960s.

Desde entonces las computadoras digitales tomaron el control de la mayoría de las tareas
simples, repetitivas, tareas semiespecializadas y especializadas, con algunas excepciones notables en
la producción e inspección de sistemas.

Dentro de este amplio campo hay unas que fueron diseñadas especialmente para el ambiente
extremo que reina en algunas plantas productivas. Los PLC’s o Controladores Lógicos
Programables. Algunos de ellos se han especializado aun más para los sistemas de seguridad de
estas plantas.

6
Las Tendencias Actuales en los Sistemas Electrónicos Programables (PESs) para el Uso en las
Aplicaciones de Seguridad

Dentro de sus procesos productivos, las industrias están usándose muchos sistemas
electrónicos programables (PESs) en las aplicaciones de seguridad. La mayoría de los procesos
críticos (o unidades) utilizan un sistema de seguridad para supervisar su funcionamiento y si el
proceso se sale fuera del rango de seguridad en el que opera, el sistema de seguridad lo lleva a un
estado seguro. Estos sistemas de seguridad se usan en varias áreas de aplicación, como paradas de
emergencia, paradas de proceso, protección de equipos y protección contra fuego y gas. La mayoría
de estos sistemas de seguridad es independiente del sistema que controla al proceso.

Las unidades típicas de proceso o sistemas que requieren un sistema de seguridad son:

• Las calderas.
• Los hornos.
• Los reactores químicos y nucleares.
• Plataformas de petroleras o de gas.
• Maquinarias Rotativas (Turbinas, Compresores, etc.).
• La generación de energía y sistemas de distribución.

Una gran variedad de sistemas de seguridad está hoy en día en uso en los procesos
productivos de las industrias. Estos sistemas de seguridad pueden categorizarse como sigue:

• Lógica neumática.
• Lógica alambrada (eléctrica de relevadores).
• Lógica de estado sólido.
• Lógica controles programables sencillos.
• Lógica controles programables duales.
• Lógica controles programables Triples Redundantes (Triple Modular Redundante
TMR).

Además del ahorro en costos, los PLC y sistemas instrumentados de seguridad deberán
proporcionar muchos beneficios de valor agregado:

Confiabilidad. – Una vez que un programa se ha escrito se han localizado y corregido errores,
este puede fácilmente transferirse y descargarse a otros PLC’s. Esto reduce el tiempo de
programación, reduce la localización y corrección de errores y aumenta la confiabilidad. Con toda la
lógica que existe en memoria de los PLC’s, no es probable que se cometan errores de cableado de
lógica. El único cableado necesario es para la alimentación eléctrica y para las entradas y salidas.

Flexibilidad. – Las modificaciones del programa pueden hacerse con sólo presionar unas
cuantas teclas. Incluso las modificaciones pueden realizar en un lugar aparte y luego sólo descargar
el programa en el PLC.

7
 Funciones avanzada. – Los PLC’s pueden ejecutar una amplia variedad de tareas de control,
desde una sola acción repetitiva hasta el control complejo de datos. La estandarización de los PLC
abre muchas puertas a los diseñadores y simplifica el trabajo para el personal de mantenimiento.

Comunicaciones. – La comunicación con interfaces de operador, otros PLC o computadoras,

facilita la adquisición de datos y el intercambio de información.

Velocidad. – Ya que algunas de las máquinas automatizadas procesan miles de ítems (u

operaciones) por minuto, y los objetos sólo se encuentran frente a un sensor durante una fracción de
segundo, muchas aplicaciones de automatización requieren de la capacidad de respuesta rápida del
PLC.

Diagnósticos. – La capacidad de localización y corrección de problemas de los dispositivos de

programación y los diagnósticos que residen en el PLC permiten a los usuarios localizar y corregir
fácilmente los problemas de software y hardware.

En cualquier tipo de aplicación, el uso de los PLC’s ayuda a aumentar la competitividad. Los
procesos que usan PLC incluyen: empacado, embotellado y enlatado, manejo de materiales,
maquinado, generación de alimentación eléctrica, sistemas de control de calefacción y aire
acondicionado, sistemas de seguridad, ensamblaje automatizado, líneas de pintura y tratamiento de
agua, etc.

Los PLC se aplican a una variedad de industrias, incluyendo alimentos y bebidas, automotriz,
química, plásticos, pulpa y papel, farmacéutica y metales. De hecho cualquier aplicación que
requiere de control eléctrico puede usar un PLC.

Introducción a los sistemas instrumentados de seguridad

El propósito de un SIS es monitorear un proceso industrial, alarmar y ejecutar acciones pre-

programadas para prevenir la consecución de un evento peligroso o bien para mitigar las
consecuencias de que hubiese ocurrido un evento.

En procesos en donde existen posibilidades de fuga de sustancias peligrosas, en áreas donde

se presente el desgate de equipos, y exista corrosión de tuberías, es necesario contar con un sistema
de seguridad que brinde protección.

Los sistemas instrumentados de seguridad son muy importantes en la administración de

riesgos debido a que reducen o evitan las consecuencias de los peligros al personal, al ambiente e
instalaciones. Los riesgos deben prevenirse como un objetivo inicial del diseño y deben ser
mitigados para reducir el riesgo al personal.

Por lo tanto los sistemas instrumentados se de seguridad (SIS) cumplen una función
primordial evitando los eventos de riesgo o minimizando la severidad de las consecuencias al
personal, medio ambiente e instalaciones.

8
 En general un sistema instrumentado de seguridad posee las siguientes características:

• Abate costos al reducir las pérdidas de producción.

• Proporciona seguridad en la operación de la planta tanto al personal, equipos e
instalaciones.
• Proporciona protección al medio ambiente.
• No mejora la producción del proceso porque no participa en el sistema de control del
proceso
• No incrementa la eficiencia del proceso porque no participa en el sistema de control
del proceso.

Definición de sistemas instrumentados de seguridad.

Un sistema instrumentado de seguridad es un conjunto de elementos que incluyen sensores,

procesadores lógicos y elementos de control cuya finalidad es llevar el proceso a un estado seguro
cuando se presenta una perturbación predeterminada que pudiera derivarse en un siniestro. Otros
términos comúnmente usados incluyen Sistemas de Paro de Emergencia (ESD, ESS), Sistemas de
paro seguro (SSD) y sistemas de Fuego y Gas (F&G).

En el capítulo tres el lector encontrará un estudio de los sistemas instrumentados de

seguridad.

En el capítulo cuatro se detallan la forma en la que se debe de estructurar un sistema

instrumentado de seguridad.

En el capítulo cinco se menciona los requisitos generales para la aplicación de un sistema

instrumentado de seguridad.

En el capítulo seis se expresa los requisitos de hardware como las estaciones de operación, las
instalaciones, los sistemas de tierra, sensores, elementos finales de control, etc.

En el capítulo siete se encontrara los requisitos de software, las configuraciones necesarias

para este, los diferentes tipos a utilizar, etc.

En el capítulo ocho se informa acerca de las infecciones que comúnmente afectan a los
equipos informáticos, los tipos, maneras de infección y sobre la manera de solucionarlos.

En el capítulo nueve menciona el estudio técnico y económico, en donde se dan los detalles
técnicos que son indispensables para integrar el sistema y los pormenores económicos que integran a
este.

9
 JUSTIFICACIÓN
La industria moderna ha debido a través un proceso de crecimiento que siempre ha estado
acompañado del aprendizaje de los errores, debido a la necesidad humana de crear nuevos procesos
y alternativas de desarrollo adecuados. Dentro de este proceso de desarrollo, uno de los principales
ejes ha sido la modernización de los controles de variables básicas con el fin de crear sistemas
confiables que garanticen el bienestar de las propiedades y la vida de los trabajadores.

Como resultado de esta nueva necesidad, las industrias productivas del mundo se han dado a la
tarea metodológica y equipos para garantizar la seguridad de los procesos industriales, a partir de la
década de los sesentas cuando aparecen por primera vez conceptos como riesgo, peligro y análisis
de riesgos. Con el tiempo, se han desarrollado innumerables técnicas de identificación de peligros y
evaluación de riesgos, siempre dependiendo del enfoque del ejecutante del estudio, pero con el
mismo fin, salvaguardar las instalaciones, el personal y el entorno.

Debido a varios desastres ocurridos durante los últimos años dentro de los procesos
productivos, muchas industrias en la actualidad están usando sistemas electrónicos programables en
las aplicaciones de seguridad. La mayoría de los procesos críticos (o unidades) utilizan un sistema
de seguridad para supervisar su funcionamiento y si el proceso se sale fuera del rango de seguridad
en el que opera, el sistema de seguridad lo lleva a un estado seguro. Estos sistemas de seguridad se
usan en varias áreas de aplicación, como paradas de emergencia, paradas de proceso, protección de
equipos y protección contra fuego y gas. La mayoría de estos sistemas de seguridad es
independiente del sistema que controla al proceso.

Los Sistemas Instrumentados de Seguridad son muy importantes en la administración de

riesgos debido a que reducen o evitan las consecuencias de los peligros al personal, al ambiente e
instalaciones. Los riesgos deben prevenirse como un objetivo inicial del diseño y deben ser
mitigados para reducir el riesgo al personal. Por lo tanto, los Sistemas Instrumentados de Seguridad
(SIS) cumplen una función primordial evitando los eventos de riesgo o minimizando la severidad de
las consecuencias al personal, medio ambiente e instalaciones. Este un sistema compuesto por
sensores, procesadores lógicos y elementos finales de control que tiene el propósito de llevar al
proceso a un estado seguro cuando se han violado condiciones predeterminadas.

Los fines y objetivos de un sistema instrumentado de seguridad son los siguientes:

• Protección del equipo y de las instalaciones.

• Prevención de contaminación hacia el medio ambiente.
• Monitoreo y activación de sistema instrumentado de seguridad en caso de peligro.
• Resguardar la integridad del personal mediante la activación de sistema.

10
 SISTEMAS INSTRUMENTADOS DE SEGURIDAD
Un Sistema Instrumentado de Seguridad (SIS) es un nuevo término usado en los estándares
que normalmente también ha sido y es conocido por la mayoría como: Sistema de Parada de
Emergencia (ESD), Sistema de Parada de Seguridad, Sistema de Enclavamientos, Sistema de
Disparos de Emergencia, Sistemas de Seguridad, etc.

El SIS constituye la última capa de Seguridad preventiva después los sistemas de las alarmas
y el accionamiento de las válvulas de seguridad que se encuentran dentro del proceso y su correcto
diseño, instalación, pruebas y mantenimiento (ciclo de vida; figura 3.1), son la garantía de su
adecuado funcionamiento cuando, bajo demanda, le sea requerido. Si esta capa falla, el evento
peligroso se desencadenará produciendo fugas, explosiones, incendios, etc. con las consecuencias
que esto puede acarrear en costes y/o pérdidas humanas. Después de esta última capa preventiva,
sólo aparecen las de mitigación que intentan minimizar las consecuencias (sistemas de fuego y
gases, planes de emergencia, etc.). Un sistema instrumentado de seguridad (SIS) puede ser definido
como: 'Un sistema compuesto por sensores, lógica y elementos finales con el propósito de llevar el
proceso a un estado seguro cuando determinadas condiciones preestablecidas son violadas' Es, por
tanto, crítico y fundamental que las Empresas de Proceso tengan en consideración en sus Proyectos
que la Seguridad industrial de sus instalaciones pasa por el cumplimiento estricto de cada paso del
ciclo de vida que las modernos estándares internacionales (ISA e IEC) definen y especifican un
procedimientos. El desarrollo de este tema trata de exponer no sólo qué es un SIS sino también
significar su importancia, enumerar los mejores estándares, así como describir cada uno de los pasos
de su ciclo de vida dando finalmente unas recomendaciones de aplicación y una relación de los
acrónimos utilizados.

Ciclo de vida de un sistema instrumentado de seguridad

El ciclo de vida de seguridad debe de comprender las actividades para la implantación de los
sistemas instrumentados de seguridad (SIS).Desde la concepción inicial hasta el desmantelamiento.

11
 Figura 3.1: Diagrama de ciclo de vida de un SIS.

Requerimientos generales de un sistema instrumentado de seguridad

Un sistema instrumentado de seguridad (SIS) es un sistema de control que consta de sensores,

uno o más controladores (comúnmente llamados Solucionadores de lógica) y elementos finales de
control que funcional en conjunto para detectar y prevenir o mitigar óptimamente los efectos de un
evento peligroso.

Figura 3.2: Diagrama de limitación de componentes básicos de un SIS.

12
Solucionador Lógico de un SIS

Los Sistemas de Seguridad están integrados por un equipo de control el cual es el encargado
de enviar o recibir señales de campo u otros sistemas, así mismo de ejecutar la lógica de control para
mantener al proceso en su estado más seguro. Mediante este se pueden desarrollar secuencias de
control, e implementar las siguientes funciones: retardos de tiempo, contadores, comparaciones,
operaciones aritméticas, etc.

Estos equipos puede ser de distintas marcas o fabricantes, así como se puedan considerar
distintas tecnologías, como por ejemplo tecnologías Duales (1oo2), duales con diagnostico
(2oo2D), Triples (3oo3) y cuádruples (2oo4).

Un sistema de control tolerante a fallas identifica y compensa las fallas en los elementos de
sistemas de control y permite repararlos al mismo tiempo, realizando tareas sin interrupción del
proceso. Un sistema de control de alta integridad, cualquiera que sea su naturaleza, es empleado en
procesos críticos que requieren un grado significativo de seguridad y disponibilidad.

La arquitectura triple modular redundante emplea tres sistemas de control en paralelo

aislados y diagnósticos extensivos integrados en un solo sistema.

Normalmente, y para una mayor confianza, el sistema utiliza una lógica de votación de dos
de tres para proveer alta integridad, libre de error, operación ininterrumpida de procesos con puntos
de falla.

En general, un sistema de control critico cuenta con las siguientes características:

• Provee una arquitectura redundante, donde cada uno de los procesadores ejecutan
independientemente el programa de control, y software / hardware especializado con un
mecanismo de “votación” para todas las salidas y entradas.
• Soporta ambientes industriales severos.
• Permite la instalación y reparación en campo a niveles modulares mientras los controladores
están en operación. Reemplazo de módulos de entrada y salida sin modificar el cableado.

Elementos de Campo de un SIS (sensores)

Los elementos de campo de estos sistemas están generalmente compuestos (pero no

limitados) de los siguientes dispositivos.

Para PPE (Paro Por Emergencia):

Tableros de Control Local.- Estos dispositivos son utilizados para poder tener control
manual sobre el elemento final de control, en este caso la válvula de corte correspondiente.

13
 Las acciones que se pueden realizar con este tipo de tablero son:
• Apertura manual.
• Cierre manual.
• Indicación local de estado de válvula (Abierta o cerrada).

Tableros de prueba parcial.- Este tipo de tablero es la versión aumentada del tablero de
control local puesto que aparte de las funciones que se pueden realizar con el tablero de control local
el tablero de pruebas parciales nos permite realizar un mantenimiento a la válvula de control local.
Es decir, nos permite realizar cierres parciales de la válvula para poder comprobar si están en
condiciones operables.

Las acciones que se pueden realizar con este tipo de tablero son:

• Apertura manual.
• Cierre manual.
• Cierre parcial de válvula (Comunalmente a un 25%, 50% y 75 %).
• Indicación local de estado de válvula (abierta, cerrada o en prueba).

Estaciones manuales (circuitos supervisados).- Estos dispositivos comúnmente llamadas

botoneras de paro manual son de suma importancia dentro de la configuración del sistema debido a
que el accionamiento manual de estas botoneras de campo única una secuencia de paro programada
para llevar el proceso a un estado seguro.

Interruptores de alta-baja presión.- Estos dispositivos de campo son utilizados para iniciar
una secuencia de paro de forma automática, es decir que los interruptores envían una señal digital al
controlador electrónico/lógico/programable, y este a su vez procesa dicha señal de acuerdo a su
lógica programada para tomar las acciones correspondientes.

Trasmisores de presión.- Las señales de estos dispositivos de campo son utilizadas para
monitorear y en un momento dado iniciar una secuencia de paro en forma automática, es decir estos
trasmisores enviar una señal analógica al controlador electrónico/lógico/programable con la
información en tiempo real de las presiones del área donde se encuentran instalados para que este a
su vez realice las acciones pertinentes.

Transmisores de nivel.- Las señales de estos dispositivos de campo son utilizadas para
monitorear y en un momento dado para iniciar una secuencia de paro en forma automática es decir
que estos trasmisores envíen una señal analógica para que este a su vez realice las acciones
pertinentes.

Válvula de corte (SDV).- Una vez que las señales de los dispositivos sensores de campo
(transmisores, interruptores o estaciones manuales) enviaron una señal de inicio de secuencia al
controlador electrónico/lógico/programable y de acuerdo a la lógica programada en este último se
envía una señal digital estos dispositivos elemento final de control que son los encargados de frenar
o permitir el flujo de proceso.

14
 Para G&F (Gas y Fuego):

• Detector de humo.
• Detector de flama.
• Detectores de gas toxico.
• Detectores de gas combustible.
• Estaciones manuales (circuitos supervisados).
• Interruptores de alta y baja presión.
• Trasmisores de presión.
• Alarmas visibles.
• Alarmas audibles

Interfaces Hombre Máquina (HMI ó IHM)

La interface hombre máquina de un SIS establece una comunicación sencilla entre el usuario
y el sistema. Permite a ingenieros, supervisores, administradores y operadores visualizar e
interactuar con el desarrollo de toda una aplicación atreves de representaciones graficas de un
proceso de producción en sistemas productivos se cuida la forma de presentar al operador las
ordenes obtenidas del sistema experto debido a que información excesiva o confusa dificultan la
actuación en punto real.

Distinguimos dos tipos de pantallas:

Las pantallas dinámicas de sistema.- Agrupamos en este concepto todas aquellas pantallas
de carácter dinámico que nos suministran información en tiempo real del estado de la plataforma y
que nos permite la interacción con el sistema.

Las apantallas del ¨sistema¨.- Estas pantallas son usadas para la impresión de reportes la
apertura de hojas de cálculo bases de datos, editor de textos cambios de usuario. Es en las se podrán
visualizar el estado de tiempo real de las válvulas (SDV´s) del sistema de paro por emergencia la
interfaz del operador usada para comunicar la información entre el operador y el SIS puede incluir.

• Pantalla de video.
• Paneles conteniendo lámparas, botones pulsadores, indicadores e interruptores.
• Anunciadores de alarma.
• Impresoras.
• Y cualquier combinación de estos.

Los operadores deberán tener facilidades de acceso a las pantallas relacionadas con la
seguridad, preferiblemente por medio de una tecla dedicada en el teclado o en la pantalla touch
screen (sensibles al tacto) dando la entrada a un desplegado jerárquico.

15
 La interface del operador y sistema asociado (tal como un sistema de control distribuido DCS)
puede ser usada para proporcionar automáticamente funciones de alarma y registro cronológico de
eventos relacionados con la seguridad. Las condiciones a ser registradas deberán de incluir eventos
del SIS (tales como disparos y ocurrencias de pre-disparo).

Cada vez que en el sistema es accesado para cambios de programa y diagnóstico, cada usuario
cuenta con un perfil que determina sus derechos de acceso algunas de las características que una
interface hombre máquina ofrece son:

• Conectividad abierta.
• Generación de reportes.
• Visualización.
• Manejo de eventos.
• Configuración en línea.
• Revisión de datos distribuido.
• Alarmas y eventos.
• Seguridad.
• Tendencias Graficas.

Fuentes de energía de un SIS (sistema instrumentado de seguridad)

Sumista la energía en el nivel adecuado para la operación de la CPU, la memoria y módulos de

entrada / salida.

Este dispositivo suministra los diferentes voltajes de alimentación a otros módulos a través de
un bus de alimentación.

Además, controla y regula el voltaje de alimentación y proporciona protección contra

transitorios. En las fuentes de alimentación se considera las fuentes energía eléctrica.

La redundancia es frecuentemente proporcionada para mejorar la confiabilidad del SIS. La

redundancia puede proporcionarse usando una fuente alterna con transferencia automática una UPS
o un banco de batería de respaldo para una fuente alterna. Y el diseño para la transferencia a fuentes
alternas incluye:

• Detección de fallas previa que impacte la operación del SIS.

• Transferencia a fuente de respaldo sin impactar la operación del SIS.
• Capacidad para mantener UPS o baterías sin impactar la operación SIS.
• Minimizar causas de falla común.

Para los SIS basado en electrónica y electrónica programable sus fuentes de alimentación
deben de ser redundantes para cumplir con los requerimientos de confiabilidad de la aplicación y
para evitar el ruido electrónico e interferencias es necesario utilizar cable blindado, buenas prácticas
de alambrado y un apropiado aterrizaje.

16
 Entradas/Salidas Pueden tener distribución de energía separada, con fusible para minimizar las
causa comunes en caso de una falla de cableado. Estos fusibles deberán coordinarse con los fusibles
en los circuitos superiores para asegurar un mínimo impacto en la operación del sistema un fusible
se funde.

Las características de las fuentes eléctricas de AC incluyen:

• Rango de voltaje y corriente incluyendo corriente de irrupción.

• Rango de frecuencia.
• Armónicas.
• Cargas no lineales.
• Tiempo de transferencia AC.
• Circuitos de protección de cortos circuitos, coordinación y sobre carga.
• Protección de encendido.
• Protección contra transitorios como picos, impulsos, reducción de suministro y ruido
eléctrico.
• Protección contra bajos voltajes.
• Protección contra sobre voltajes.
• Red de tierras.

Las características de fuentes eléctricas de DC incluyen:

• Rango de voltaje y rango de corriente incluyendo corrientes de irrupción.

• Cargas no lineales.
• Aterrizaje.

Requerimientos de la lógica de control

Software especifico para la aplicación de usuario en la cual está la descripción funcional del
SIS programada dentro del PES para cumplir con las especificaciones de requerimientos de
seguridad globales.

En general:

• Este contiene las secuencias lógicas, permisivos, limites, expresiones etc. Que controla
las apropiadas entradas, salidas, cálculos decisiones necesarias para cumplir los
requerimientos funcionales de seguridad.

• El software de aplicación debe diseñarse en forma modular, proporcionar pruebas de

diagnósticos si es requerido para cumplir con el nivel de seguridad integral (SIL), se
prefiere lenguajes de programación estandarizados y aceptados por la industria.

• Asegurar el estilo consistente de programación atreves de un plan de calidad del

software.

17
 • Deberán proporcionar claramente las características funcionales de las operaciones del
proceso.

• Tener un orden y estructura definidos para asegurar el saber donde se encuentra uno en
la aplicación.

• Si se usan secuencias de unidades, este anidamiento debe limitarse a algunos pocos

niveles.

• Deberán poder ser entendidas por cualquier persona relacionada con el proyecto. Ya
sea en su etapa de diseño, instalación u operación.

• La información que contendrán deberá ser independiente de la tecnología con que los
sistemas se implantaran (eléctrica, electrónica, neumática, hidráulica, mecánica óptica
o hibrida).

• Los diagramas lógicos de control estarán construidos por unidades de entradas y

unidades de salida interconectados adecuadamente funciones lógicas, de retraso y
memoria.

• Cuando los diagramas lógicos de control sean convertidos para su realización en otro
tipo de diagramas dependiendo de una tecnología especifica, no necesariamente habrá
correspondencia de los componentes reales con símbolos lógicos a acepción hecha de
las unidades de entrada y salida.

• Aplicación de protección con passwords para proyectos y programas de acuerdo a

nombres de usuario y niveles de seguridad.

• Depuración de programas lógicos mediante ejecución simulada.

Diagnósticos del SIS

Los diagnósticos son pruebas realizadas periódica y automáticamente para detectar fallas
cubiertas que prevengan al SIS de responder a una demanda. Una falla cubierta en un sistema puede
prevenir la SIS de responder a una demanda este puede ser la primera falla en un sistema de canal
sencillo o una combinación de fallas en un sistema multicanal. Sin embargo, esto es importante para
no únicamente descubrir fallas críticas sino también descubrir fallas potencialmente criticas antes de
que ellas se acumulen.

Estas fallas pueden resultar en 2 tipos de fallas:

• Fallas aleatorias.- Una falla espontánea de un componente.

• Fallas sistemáticas (o errores).- Una falla oculta en el diseño, o realización.

Una cobertura de diagnóstico mejorada del SIS puede ayudar en el cumplimiento de los
requerimientos del nivel de seguridad integral establecido como objetivo.
18
 Los modos de falla específicos que pueden ser cubiertos por los diagnósticos se listan en la
tabla. Está en una lista similar de modos de falla puede ser necesaria para identificar aquellas aéreas
donde la cobertura de diagnóstico se requiera.

Donde ciertos diagnósticos no están integrados en el equipo del proveedor, los diagnósticos
apropiados pueden ser desarrollados e integrados en el sistema o a nivel de la aplicación. Los
diagnósticos pueden no ser capaces detectar errores sistemáticos (Similares a los errores de
software). Sin embargo las medidas de precaución adecuadas para detectar posible errores
sistemáticos deben de ser integradas.

Recomendaciones:

Se deben efectuar pruebas periódicas al SIS de una manera completa, para sí descubrir fallas
encubiertas y prevenir al SIS de un mal funcionamiento.

Cada SIS debe ser inspeccionado visualmente de manera periódica para asegurase de que no
ha habido cambios sin autorización y que no existen deterioro.

Ejemplo del cálculo del SIL:

19
Arquitecturas de los sistemas electrónicos de seguridad

Características del sistema de paro:

• Define a un sistema de seguridad que lleva el proceso a un estado seguro, cierra las
válvulas de corte para llevar equipos y líneas cuando las condiciones del proceso se
salen de los rangos de operaciones normales y exponen ala personal y al equipo de
operación segura.
• El sistema está basado en equipo no tolerante a fallas
• Existe una separación total entre el sistema de control de proceso y el SPPE. Esto
aplica a sus elementos: Sensores, elementos finales de control y en la estación de
operación usada para concentrar la información.
• El sistema no reacciona ante una falla aparente, sino ante una real.
• El sistema realiza sus propias pruebas en línea.
• Se considera en la operación que las válvulas del SPPE su operación es a falla,
posición segura a falta de energía.

Figura 3.3: Arquitectura de un sistema de Paro de emergencia

20
Elementos finales de control

Estos elementos son el constituyente de un circuito de control que interactúa directamente

sobre el proceso modificando alguna de sus características de acuerdo a la señal proveniente del
controlador.

Tipos de elementos finales de control:

Debido a que existen un gran número de características de proceso sobre las que se pueden
efectuar acciones de control se han desarrollado varios tipos de elementos finales de control, siendo
los principales:

• Válvulas de control.
• Servo motores actuadores.
• Reguladores de energía eléctrica.
• Reguladores de velocidad.
• Bombas y alimentadores.

Definiciones

Actuador: Dispositivo capaz de transformar energía hidráulica, neumática o eléctrica en la

activación de un proceso con la finalidad de generar un efecto sobre él. Este recibe la orden de un
regulador o controlador y en función a ella genera la orden para activar un elemento final de control.

Actuador cilíndrico: Es un dispositivo que convierte la potencia fluida a lineal, o en línea

recta, fuerza y movimiento. Puesto que el movimiento lineal es un movimiento hacia adelante y
hacia atrás a lo largo de una línea recta, este tipo de actuadores se conoce a veces como motor
recíproco, o lineal.

Actuador de diafragma: Elemento de transformación de presión en fuerza es un diafragma

que es un elemento flexible sensible a la presión que trasmite la fuerza a la placa del diafragma y
esta a su vez al vástago del actuador.

Actuador de paleta: El actuador de giro de tipo paleta quizá sea el más representativo
dentro del grupo que forman los actuadores de giro limitado. Estos actuadores realizan un
movimiento de giro que rara vez supera los 270º, incorporando unos topes mecánicos que permiten
la regulación de este giro.

Asiento: Una pieza ensamblada en el cuerpo de la válvula o en el elemento de cierre, que

proporciona superficie de contacto para el cierre hermético.

Banda muerta: Intervalo a través del cual puede variarse la señal a la válvula sin iniciar la
respuesta.

21
 Bidireccionalidad: La capacidad de una válvula de controlar o interrumpir el flujo de ambas
direcciones.

Características del caudal: En las válvulas de control la curva que relaciona el porcentaje
de flujo relativo respecto al porcentaje de apertura de la válvula es decir la rotación de la bola o del
disco o el movimiento lineal de una válvula de globo

Caudal Inherente: La característica de un fluido incompresible fluyendo en condiciones de

presión diferencial constante a través de una válvula, se denomina característica de caudal inherente
y se representa usualmente considerando como abscisas la carrera del obturador y como ordenadas
el porcentaje de caudal máximo bajo una presión diferencial constante.

Válvula de Tipo Abertura Rápida: La válvula de abertura rápida no es útil para la

regulación de flujos porque la mayor parte de la variación del coeficiente de la válvula se realiza en
el tercio inferior del desplazamiento de la válvula. Se desarrolla muy poca variación en el
coeficiente de la válvula en un tramo considerable del recorrido de la válvula. Las válvulas de
abertura rápida son apropiadas para válvulas de alivio y para sistemas de control de dos posiciones.

Válvula de Tipo Lineal: Una válvula es de tipo lineal si la relación entre el factor de
capacidad y la posición o abertura es lineal. La válvula de característica lineal produce un
coeficiente proporcional a la posición de la válvula. A una abertura, por ejemplo, del 50 % el flujo a
través de la válvula es el 50 % de su flujo máximo. Las válvulas de características lineales se
utilizan en procesos lineales y en casos en los cuales la caída de presión a través de la válvula no
cambia con la variación en el flujo.

Válvula de Tipo Igual Porcentaje: Una válvula de igual porcentaje tiene la propiedad de
que a iguales incrementos en la abertura de la válvula producen iguales aumentos relativos o en
porcentajes en el coeficiente de la válvula.

Posicionador: Dispositivo para variar y mantener la posición del actuador en aplicaciones de

válvulas de regulación. Este compara la posición actual de actuador con la posición deseada del
mismo respecto a la señal de entrada y regula la presión aplicada del actuador hasta que se obtiene la
posición deseada. Los posicionadores pueden ser neumáticos o electro-neumáticos y de simple o
doble efecto.

Rangealilidad: Relación entre el coeficiente de caudal más alto controlable y el coeficiente de

caudal más bajo controlable (mas CV/ min CV).

Recuperación de presión: La diferencia entre la presión mínima en la ¨Vena contracta¨ de la

válvula y la presión máxima a la salida de la válvula. En las válvulas de gran recuperación la presión
aguas abajo se recupera a un nivel significativamente mayor que en la vena contracta. En las
válvulas de poca recuperación se disipa una cantidad considerable de energía de fluido debido a las
turbulencias creadas por el diseño de la válvula reduciéndose de esa forma la recuperación de aguas
abajo.
22
 Tapa: La parte de la válvula que detiene la presión y guía el eje que contiene los componentes
para la estanquidad del eje también puede proporcionar la abertura a la cavidad del cuerpo para
montar las partes internas. También puede usarse la tapa para unir el actuador al cuerpo de la
válvula.

Válvulas de control: Son las encargadas de regular el caudal del fluido de control que
modifica a su vez el valor de la variable medida y por lo tanto la variable controlada, comportándose
como un orificio de área continuamente variable.

Válvula de eje guiado: Un tipo de válvula de globo de control donde el obturador es guiado
por una guarnición que rodea al eje. Es opuesta a la válvula guiada por jaula.

Válvula guiada por jaula: Un tipo de válvulas de control de globo que usan un elemento de
guarnición cilíndrico hueco (jaula) con aberturas de flujo para linear el movimiento del órgano de
cierre con el asiento.

Válvulas rotativas: Una categoría de válvulas donde el elemento de cierre jira en vez de
moverse linealmente. Los tipos más comunes de válvulas rotativas son las válvulas de bola y las de
mariposa. La rotación es normal de 90˚.

Vena contracta: En una válvula de control, la posición donde la sección transversal de la

corriente fluida está en su mínimo, la velocidad del fluido a su más alto valor y la presión del fluido
a su nivel más bajo, está normalmente localizada justamente aguas de bajo de la estrangulación
física real de la válvula.

Válvulas de control: La sección de medición y de control de proceso de la SAMA

(SCIENTIFIC APPARATUS MAKERS ASSOCIATION) define las válvulas automáticas de
control como: Una válvula con actuador neumático, hidráulico, eléctrico (exceptuando selecciones)
u otra externamente energizado, que automáticamente abre o cierra totalmente o parcialmente la
válvula a una posición dictada por las señales trasmitidas desde unos instrumentos de control.

Sistema de señalización

Tipos de señalización al recibir una notificación de alarma el tablero de control para alarma
de fuego tendrá que notificarle a alguien que se tiene una alarma por incendio esta será la función
principal de los dispositivos para salida de alarmas en un sistema de seguridad. Los componentes de
señalización para los ocupantes incluyen varios elementos de alerta visual y audible siendo estos
dispositivos los de principal uso para la salida de alarmas.

Principios de funcionamiento de sistemas de señalización audible:

Los timbres representan un método muy común de alarmas audibles, siendo apropiadas en la
mayoría de aplicaciones.

Principios de funcionamiento de sistemas de señalización visible:

23
 Respecto a las alarmas visuales existen varios dispositivos de luz estroboscópica o de
flasheo. Se requiere de alertas visuales en donde son altos los niveles de ruido ambiental
imposibilitan en ocasiones el escuchar una alarma audible y/o en donde puede haber discapacitados
auditivamente.

Conceptos básicos de administración de riesgo

Dentro del ciclo de vida de la seguridad existe una importante parte que abordaremos a
continuación, tomando como base lo que conoce como la administración de riesgos, esta parte es la
administración de los sistemas instrumentados de seguridad.

Empecemos por definir qué significa administración de riesgos como un concepto general para
podernos acercar al detalle de la administración de un Sistema Instrumentado de seguridad (SIS),
Administración de riesgos, es toda una serie de técnicas encaminadas a proteger íntegramente el
patrimonio de las empresas, entendiendo como tal, sus instalaciones y sus trabajadores, así como la
protección efectiva del ambiente y la comunidad, mediante la identificación, control, retención e
incluso transferencia de los riesgos.
De acuerdo con su importancia para la administración de los riesgos, estos se clasifican en:

• Riesgos leves, son aquellos que pueden ser asumidos pues no representan una amenaza
para la empresa.

• Riesgos graves, son aquellos que al presentarse afectarán la economía de la empresa y

• Riesgos catastróficos, son aquellos que pueden producir incluso la quiebra de la

empresa o la pérdida total y permanente de la capacidad para producir, estos riesgos
deber ser transferidos a terceros mediante seguros.

Dentro de la administración de riesgos, se habla de diversas clasificaciones, por tanto se

pueden mencionar las siguientes clases de riesgos para clarificar la percepción de los riesgos desde
el punto de vista de la administración de riesgos:

• Riesgos en propiedades.
• Riesgos patrimoniales.
• Riesgos personales.
• Riesgos de reclamación judicial.
• Riesgos financieros.
• Riesgos de producción.
• Riesgos de daños al entorno y la comunidad.

Todos los riesgos mencionados anteriormente, para la administración de riesgos se pueden

dividir en dos grupos, uno es el llamada riesgo puro o estático, que se refiere a aquellos que no
pueden ser creados o deseados por el ser humano, pero se encuentran ahí, inherentes a su vida y sus
actividades productivas, el otro es llamado riesgo especulativo o dinámico, este riesgo es creado por
el ser humano con la esperanza de obtener algún beneficio, el caso que nos ocupa se encarga
específicamente de los primeros.
24
 Ahora bien, ¿cómo poder identificar un riesgo puro o estático siendo el caso que nos ocupa?
Desde el punto de vista del proceso administrativo, este tipo de riesgos se identifican por el hecho
que los genera, por la forma en que se manifiestan o por las consecuencias que originan.

Como se puede observar a simple vista, esta identificación de riesgos desde el punto de vista
administrativo engloba a la perfección a la mayoría de las técnicas para identificación de peligros
vistas previamente entre las que podemos mencionar los análisis que pasa si (What if), análisis de
peligros y operabilidad (HAZOP), análisis de árboles de fallas, etc.

Evidentemente, los avances y mejoras en las técnicas para identificación de peligros y

estimación de consecuencias, generan la necesidad de tener controles administrativos y de calidad
mucho más estrictos, ya no es suficiente con seguir las normas y las buenas prácticas de diseño y
construcción para garantizar que las instalaciones operarán de manera eficiente y bajo condiciones
seguras por lo que surge la necesidad de implantar sistemas administrativos para controlar los
cambios en las instalaciones.

Partiendo de esta base, como cualquier proceso administrativo, la administración de riesgos

involucra cada una de las siguientes etapas del proceso administrativo:

Planeación.- Significa plantear la pregunta, ¿Qué se va a hacer?, establecimiento de objetivos

claros y metas alcanzables, resultados esperados, mecanismos y métodos alternativos, formas de
medición de resultados, suministros para alcanzar las metas preestablecidas, etc.

Organizar.- Significa ¿Quién hace qué?, establecer líneas de mando, respaldo gerencial y
directivo para los planes y proyectos, definición de funciones y responsabilidades, procedimientos
de trabajo y líneas de comunicación.

Ejecutar.- Significa el ¡Hágase!, es la aplicación de los planes detallados de trabajo,

verificación de cumplimiento de metas y objetivos, aplicación de procedimientos de medición y
evaluación, aplicación de mecanismos que detonen las actividades de implantación de
recomendaciones de acuerdo con los programas de acción preestablecidos.

Controlar.- Significa el ¿Cómo vamos y qué vamos a hacer para terminar?, la comparación de
los resultados obtenidos con respecto a los objetivos y metas inicialmente planteados, medición de
desviaciones y la predicción de sus consecuencias, es la retroalimentación necesaria para definir
acciones correctivas sobre la marcha.

De acuerdo a esto, debemos hacer claro a la compañía los beneficios a obtener al implantar un
sistema administrativo que implica inversión de tiempo y de dinero que a simple vista no refleja una
utilidad de retorno de inversión razonable, para los dueños o patrones, estos sistemas implican un
beneficio por la reducción en el costo de las primas de seguros a pagar, producción más rentable por
la reducción de accidentes (filosofía cero accidentes) y por la reducción de tiempos muertos y
diferimientos de producción.

Para los trabajadores el beneficio es un ambiente de trabajo más seguro y con menores
consecuencias a largo plazo, obteniendo un trabajo estable y con posibilidades de crecimiento.
25
 Para la comunidad, la certeza de contar con información confiable con respecto a los procesos
productivos que se llevan a cabo en las instalaciones y la certeza de fuentes de empleo y beneficios
económicos directos e indirectos derivados de la actividad productiva de que se trate.

Con beneficios claros y conceptos adecuados pasamos a la pregunta clave: ¿Cómo logramos
implantar un sistema de administración de riesgos efectivo y de utilidad práctica?

Implantación de un sistema de administración de riesgos

Existen muchas guías prácticas para planear e implantar un sistema de estas características,
tomemos como base la guía del CCPS (Center for Chemical Process Safety), dependencia del
AIChE (American Institute of Chemical Engineers), esto por sus similitudes con el proceso de
implantación del SIASPA, esta guía marca 12 puntos como la base para cualquier sistema de
administración de riesgos, estos puntos son:

• Compromiso directivo.- Metas y objetivos; esto implica que debe ser parte de la visión
estratégica y misión de la empresa.
• Conocimientos y documentación del proceso.- Esto implica la calidad y oportunidad de
la información referente al proceso, las correctas decisiones a ser tomadas durante la
administración de riesgos y de sistemas de seguridad depende de que se cuente con la
información oportuna y con la calidad y confiabilidad necesarias para que las
decisiones sean las correctas.
• Revisión de proyectos nuevos y procedimientos de diseño.- Se refiere a la
actualización constante y permanente con respecto a metodologías y técnicas nuevas
para el diseño de instalaciones y modificaciones a plantas existentes, desde el punto de
vista normativo y de procedimientos de trabajo, esta actualización debe darse desde
cada individuo en particular.

• Manejo de los riesgos involucrados en el proceso productivo particular.- Se refiere al

cumplimiento de las recomendaciones y procedimientos de trabajo, diseño y
modificación de las instalaciones, con el fin de asegurarse que los riesgos identificados
y los que pudieran surgir de las modificaciones, se encuentren todo el tiempo en rangos
manejables para impedir su ocurrencia o mitigar sus consecuencias sin poner el riesgo
al personal y las instalaciones.

• Administración y documentación de cambios.- Esta fase en la que principalmente se

enfoca la discusión de este módulo, ser refiere al correcto registro y documentación de
los cambios que tengan un potencial de impacto negativo sobre las instalaciones y/o el
personal, así como el entorno, estos cambios van desde cambios al proceso, cambios a
los sistemas de protección, cambios administrativos, cambios de procedimientos de
trabajo, etc., tanto temporales como permanentes.

• Verificación de la integridad de los equipos y procesos.- Esto se logrará a través del

cálculo de la confiabilidad de los sistemas de seguridad, diseño de procedimientos de
inspección de materiales y fabricación, procedimientos de instalación, mantenimiento
26
 y desmantelamiento para todos los sistemas y proceso involucrados en el trabajo
productivo.

• Consideración de factores humanos.- Entre los cuales se cuentan la ergonomía,

interfaces de operación, los errores humanos, la cultura, etc. Mediante análisis de
confiabilidad humana.

• Capacitación y medición del desempeño del personal.- Definiendo perfiles de

habilidades, conocimientos, debilidades individuales y de grupo, puntos de mejora,
diseño de procedimientos operativos y de mantenimiento, etc.

• Investigación de accidentes/incidentes.- Se refiere al registro efectivo de accidentes e

incidentes donde se debe tomar en cuenta como parte del cuerpo del informe las
pérdidas o diferimientos de producción, pérdidas o incapacidades humanas parciales o
totales, temporales o permanentes, registro de eventos iniciantes, seguimiento y
resolución de problemas generados a consecuencia del accidente/incidente.

• Este punto es muy importante para una efectiva evaluación del desempeño de cada uno
de los componentes de los sistemas de seguridad, desde los elementos primarios de
medición hasta los elementos finales de control. Finalmente, sobre este punto, es
importante remarcar que no se requiere de una tragedia de enormes proporciones para
que sea considerada un accidente o un incidente.

• Códigos, normas y estándares.- Incluye el cumplimiento de lineamientos y reglamentos

internos y externos en cada una de las etapas del ciclo de vida de las instalaciones en
este punto, es importante la actualización constante para evitar la obsolescencia de los
sistemas de protección propios de las instalaciones de proceso, vigilando
constantemente que sus parámetros se encuentren dentro de los límites establecidos.

• Auditorias de seguimiento y acciones correctivas.- Toda instalación de proceso puede

y debe ser auditada, así como todos los sistemas de seguridad involucrados en el
desempeño eficiente y seguro de las instalaciones, estas auditorías identificarán
aquellas secciones del proceso o sistema que a lo largo de su vida útil, se han desviado
de su intención de diseño original, y deben definir las acciones correctivas necesarias
para adecuarlo a sus condiciones iniciales o adaptarlo a las modificaciones realizadas,
con el fin de que su integridad sea mantenida con respecto al tiempo.

• Incrementar el conocimiento con respecto a la seguridad y los procesos productivos

tanto dentro (trabajadores) como fuera de las instalaciones (comunidad).- Planes de
investigación y desarrollo, documentación de referencia, planes de contingencia
locales y comunitarios, etc.

Un sistema de administración de riesgos basado en los puntos anteriores, dará como resultado
una herramienta que permite el diagnóstico, planeación y evaluación de la seguridad no solo desde

27
la perspectiva del interior de las instalaciones sino también hacia la comunidad ajena al trabajo
diario que se desempeña en el centro de proceso productivo de que se trate.

Ahora bien, desde el punto de vista que nos incumbe, Sistemas Instrumentados de
Seguridad, pudiera parecer complejo o difícil de adaptar todos estos datos a la implantación y
seguimiento de un SIS, y puede ser complejo ciertamente, pero necesario.

Administración operativa de sistemas instrumentados de seguridad

Una vez identificados y evaluados todos los riesgos identificados mediante el correspondiente
análisis y la aplicación de las herramientas adecuadas para la ejecución de estos estudios, en los
casos en los que el análisis de riesgos lo marca, es necesario implementar sistemas de protección
adicionales a las protecciones propias del proceso, estas protecciones son comúnmente llamadas
Sistemas Instrumentados de Seguridad y tienen dos funciones básicas. Por un lado prevenir su
ocurrencia y por el otro disminuir a niveles “aceptables” sus consecuencias, recordemos que un
riesgo se define en función de su probabilidad de ocurrencia y la severidad de sus consecuencias.

En los módulos previos se ha hablado de los requerimientos de seguridad de un SIS, de su

funcionalidad, de sus condiciones para operar y otros temas relacionados, pero cabe la pregunta, una
vez que instalo mi sistema y lo arranco desde el día cero de operación, previa ejecución de todas las
pruebas necesarias para verificar su correcto funcionamiento, ¿el SIS se mantendrá en las mismas
condiciones a lo largo de toda su vida útil?, la respuesta es más que obvia NO pero aún con todo lo
obvio de la respuesta y el sentido común que nos indica que no es posible, en la gran mayoría de los
casos se nos olvida que como cualquier sistema requiere de un mantenimiento preventivo, de un
registro actualizado y de una actualización continua para mantener su vigencia y validez, es por
tanto de vital importancia que el transcurrir de la vida útil de un SIS no degrade sus capacidades,
para ello se requiere forzosamente de planes y estrategias de acción que involucran un sistema real
de administración de cambios y administración operativa del Sistema Instrumentado de Seguridad.

Definición de análisis de riesgos

La evaluación de riesgos se puede definir como un grupo de metodologías que ayudan a

identificar y analizar el significado de los peligros asociados a un proceso o actividad, atreves de la
detección de debilidades en el diseño y operaciones de un sistema. Además proporciona elementos
útiles para la adecuada toma de decisiones de tipo preventivo y/o correctivo para mejorar las
condiciones de segura y tener un buen manejo de los riesgos asociados a cualquier operación.

Objetivo del análisis de riesgos

Como una necesidad generada por el rápido desarrollo de la competencia industrial y también
como una manera de evitar los desastres potenciales, se ha buscado la forma de identificar y en caso
posible, cuantificar los riesgos y sus alcances dentro y fuera de las plantas industriales.

Los objetivos generales que se persiguen en un análisis de riesgos son (De manera no
limitativa):

28
 • Conocer el estado de seguridad que guarda la empresa y los peligros inherentes y/o
latentes que amenazan su capacidad productiva.

• Proteger a la empresa y al entorno de daño o pérdidas cuantiosas a consecuencia de

una situación de emergencia.

• Evitar hasta donde sea posible la interrupción de las capitales productivas de la

empresa (paros no programados)

• Simular los eventos de riesgos lo más cercano a la realidad.

• Evaluara las consecuencias generadas por los riesgos.

• Establecer un marco comprensivo para la toma de decisiones referentes a la seguridad

de la planta y de esta forma incrementar la confiabilidad de las instalaciones

• Cumplir con los requerimientos legales.

Limitaciones del análisis de riesgos

Nunca se puede garantizar se han identificado absolutamente todos los riesgos, situaciones de
accidentes potenciales, causas y efectos. De hecho, se recomienda llevar acabo análisis de riesgos en
las plantas industriales de forma sistemática cada cierto intervalo de tiempo (cada 5 años como
máximo).

En la mayoría de las ocasiones los resultados y beneficios de la ejecución de un estudio de

riesgos no se pueden verificar inmediatamente. Los beneficios financieros que se obtiene de los
accidentes que han sido prevenidos no pueden estimarse en su totalidad.

La evaluación de riesgos depende de gran medida del juicio, consideraciones y experiencia del
analista. Esto da como resultado que cuando se estudia un proceso por diferentes analistas se puede
generar resultados diferentes.

Estructura de un análisis de riesgos

Los tres componentes básicos de un análisis de riesgos son:

1. Identificación de Peligros.
2. Estimación de riesgos
3. Análisis de consecuencias.

29
 Figura: 3.4 Análisis de Riesgo y Ciclo de vida de los IPS.

Identificación de peligros.

Esta etapa consiste fundamentalmente en la identificación y clasificación de los peligros

inherentes (propiedades de los materiales usados y/o producidos y de las condiciones de operación)
del sistema bajo estudio para logara dicho fin, habrán de usarse algunas de las técnicas de
identificación de peligrosos disponibles; Lista de verificación, índices de riesgos (DOW y MOND),
¿análisis que pasa si? ¿What if?, análisis de HAZOP, etc.

Estimación de Riesgos

Este cálculo de la probabilidad de ocurrencia de escenario de riesgos en particular dicha etapa

dentro análisis se refiere a la cuantificación probabilística de que un accidente potencial o evento
tope pueda presentarse. Las técnicas que pueden utilizarse en esta etapa son Arboles de fallas y
arboles de eventos.

Análisis de consecuencias:

Una completa especificación de consecuencias debe incluir el cálculo de al menos las

variables físicas más importantes del comportamiento de los materiales que se utilizan y se obtienen
de la planta en cuestión, tales como velocidad de emisión de materiales, estado físico de materiales,
descripción de cómo el material mezclado se diluye en la atmosfera, la explosividad de los
materiales, etc. Es decir se debe predecir el área afectada, dependiendo del material y se deben
estimar los niveles de afectación.

Técnicas de identificación de Peligros

Lista de verificación (check list)

Grandes organizaciones de amplia experiencia y grupos de ingeniería han desarrollado

estándares de diseño en base a su extensa experiencia y experticia en el diseño, construcción y
operación de equipos industriales o sistemas integrales de proceso y/o de seguridad, así como
algunas agrupaciones han incorporado la experiencia colectiva para la edición de códigos y
estándares relacionados con actividades o equipos en particular. En base a estos y otros estándares
similares se originar las listas de verificación con el objetivo de comparar él ¨es¨ contra él ¨debiera¨.
30
 Para la elaboración de la lista de verificación, es necesario empezar por definir los estándares
o códigos a cubrir por el equipo o instalación, siendo estos no necesariamente aquellos con los que
originalmente fue diseñada o construida la planta sino los que actualmente estén en operación.

El momento oportuno para aplicar las listas de verificación es cuando el diseño ha concluido
y antes de que se aplique un HAZOP.

Índices de riesgos (Categorización relativa)

Las técnicas de categorización relativa tal como el índice DOW e índice MOND clasifican
áreas de proceso de la planta comparando los atributos peligrosos de sustancias químicas,
condiciones de proceso y parámetros de operación. Generalmente, se intenta distinguir entre varias
áreas de proceso con base en la magnitud de riesgo y/o severidad de accidentes potenciales.

Las técnicas utilizan un conjunto de guías (a través de un sistema numérico) para asignar
factores de penalización y factores de crédito para diferentes partes del proceso. Los factores de
penalización son asignados para materiales peligrosos condiciones o secciones del proceso que
pudieran contribuir o desencadenar un accidente. Los factores de crédito se asignan a las
instalaciones que contribuyen a la seguridad ya sea porque disminuyen la probabilidad de ocurrencia
de accidentes o porque mitigan las consecuencias de un riesgo en particular.

La clasificación de cada unidad de proceso puede efectuarse por un experto que este
ampliamente familiarizado con la aplicación de esta técnica y con el equipo de cada sección de
proceso. Así como de todas las instalaciones referentes a la seguridad de la planta (sistemas de
mitigación, sistemas de gas y fuego, sistema de paro por emergencia, etc.)

Análisis ¿Qué pasa si? ( what if?)

La técnica de análisis ¿Qué pasa si? Consiste en hacer una revisión en forma creativa
basándose en una tormenta de ideas referente a una sección de proceso. Los analistas revisan estos
procesos basándose en reuniones en donde cada integrante es alentado a expresar sus comentarios y
experiencias. Esta técnica resulta muy poderosa si el equipo de analistas es especialista en su ramo y
si son guiados por un líder con suficiente experiencia en la aplicación de la metodología de otro
modo, no se obtendrán resultados satisfactorios.

El estudio de sistemas relativamente simples puede ser elaborado por uno o dos personas,
mientras que en un proceso más complicado demanda un mayor equipo así como mayor número de
reuniones. Este tipo de análisis inicia con la introducción de los materiales desde límites de baterías
y sigue el sentido de flujo hasta el final del proceso, también puede centrarse en una sección
específica. La idea de este tipo de análisis es llegar a la localización de situaciones potenciales de
accidentes en base a las preguntas que el líder de la sesiones hace al resto del equipo. Estas
preguntas a menudo sugieren causas específicas que pueden conducir a accidentes potenciales a
problemas con la cantidad/calidad del producto.

31
Análisis de peligros y operabilidad (HAZOP)

Esta técnica requiere que varios expertos con distintos conocimientos, interactúen de una
manera creativa y sistemática e identifiquen una mayor cantidad de riesgos potenciales que los que
obtendrían separadamente y que a la vez combinen sus resultados para desarrollar algunas
recomendaciones objetivas.

Introducción al análisis HAZOP

El propósito de un estudio HAZOP es identificar peligros potenciales y peligro operaciones, a

través del descubrimiento de desviaciones a las intensiones de diseño de un proceso u operación
unitaria.

Procedimiento para la ejecución:

Los diagramas de proceso (DFP´s) se utilizan para especificar los nodos de estudio y en base
de estos determina los riesgos del proceso empleando las palabras guía.

Palabra guía Significado

NO Negación de la intensión del diseño
MENOS Decremento cuantitativo
MAS Incremento cuantitativo
PARTE DE Decremento cualitativo
ASI COMO TAMBIEN Incremento cualitativo
REBERSA Posición lógica de la interacción
OTRO QUE Sustitución completa

Parámetros de procesos más comunes

Flujo Tiempo Frecuencia Mezclado

Presión Composición Viscosidad Adición
Temperatura PH Voltaje Separación
Nivel Velocidad Información Reacción

Palabra guía y significados en el HAZOP.

32
 Figura: 3.5 Parámetros de proceso para análisis más comunes en HAZSOP.

Para reducir la inapropiada resolución del problema el líder puede:

Completar el estudio de la desviación de un proceso y asociar acciones sugeridas antes del

proseguir con la siguiente desviación.

Evaluar a todos los riesgos asociados a una sección del proceso antes de considerar las
sugerencias para mejor la seguridad.

Nivel de seguridad SIL

Siguiendo el desarrollo de técnicas poderosas que garanticen la integridad de los sistemas

encargados de vigilar la seguridad de las plantas de proceso, asociaciones de profesionales se han
dado a la tarea de definir estándares adecuados que permitan dar un margen de comparación entre
tecnologías entre otras, podemos nombrara la sociedad de instrumentalistas de América (ISA), o la
International Electrotechnical comisión (IEC) ambas asociaciones, han establecido parámetros con
ciertas similitudes para su aplicación a sistemas de seguridad.

La ISA, define dentro de sus estándar, el SIL o ¨Safety Integrity Level¨ mientas que la IEC
define los parámetros de certificación TÜV o Technisher Überwachungs Verein¨ (Asociación de
supervisión técnica) existe una equivalencia entre ambos parámetros los cuales define la
confiabilidad los sistemas instrumentados de seguridad.

Objetivos del análisis de consecuencias

Una vez que se han identificado los escenarios de peligro y/o fallas en equipos y líneas de
proceso (mediante de cualquiera de las técnicas de identificación de peligro), se procede a estimar
¨La magnitud¨ de los daños esperados por cada escenario de riesgos específicos.

33
 A grandes rasgos se puede decir, que se requiere estimar hasta donde se afectara la propiedad
(Hasta límites de batería) y los alrededores (fuera de límites de batería).

Los tres grandes peligros a estimar son:

1.- Daños por sobrepresión (Ondas de choque)

2.- Daños por toxicidad (nubes de gas-vapor toxico)
3.- Daños por radiación.

El primer paso en muchos de los análisis consiste en determinar la velocidad o tasa de emisión
del material en cuestión, los modelos de fuga representan el proceso de emisión del material. Estos
modelos proveen información muy útil en la determinación de las consecuencias de una accidente
incluye el cálculo de la velocidad de descarga la cantidad total descargada y el estado físico del
material. Los modelos de fuga están construidos con ecuaciones fundamentales y empíricas que
representan los procesos físico-químicos que ocurren durante la emisión de materiales.

Figura: 3.6 Secuencia lógica del análisis de consecuencias.

Elaboración de secuencias de paro (Cartas de seguridad)

Una vez terminado el análisis HAZOP de toda la instalación en cuestión se procederá en poner
en ejecución las propuestas secciones requeridas que resultado de dicho análisis es decir, todos los
defectos en la seguridad que fueron encontrados por el grupo multidisciplinario deberán ser
corregidos.

La instrumentación asociada a estas acciones así como elementos electrónicos de seguridad

que resulten dela análisis deberán ser colocados en cartas de seguridad en las que se resumirán dicha
acciones, instrumentos y actuadores que se utilizaran para corregir los errores de seguridad.

Dichas cartas de seguridad deberán ser elaboradas en concordancia con lo establecido en la

norma API-14C donde se encuentran establecidos todos los parámetros para la correcta secuencia de
datos.

34
 Los elementos principales que deberán ser incluidos en la carta de seguridad son los
siguientes.

1.- Equipo de proceso:

• Equipo
• Servicio
• Dispositivo

2.- Protección alternativa:

• Dispositivo
• Equipo
• Referencia

3.- Dispositivo de paro.

4.- Equipo.
5.- Efectos.
6.- Niveles de paro.
7.- Prevenciones.
8.- Secuencias de paro.

35
 Figura: 3.7 Matriz de secuencia de paro por emergencia

Requisitos para los Sistemas de Seguridad

Debido a varios desastres en las plantas industriales, los empresarios se han involucrados
más en la seguridad de los procesos y de su personal. Al mismo tiempo, se han aumentado las
presiones para mejorar la productividad en las plantas. Estos factores han llevado a la evolución de
nuevos requisitos para los sistemas de seguridad. Una lista de algunos de estos requisitos es como
sigue.

Los Estándares de Seguridad

Muchos de los requisitos listados en la sección anterior pueden satisfacerse por el uso de los
sistemas electrónicos programables (PES), y muchos usuarios están reemplazando sus sistemas de
lógica alambrada o neumática por PESs. Sin embargo muchos han instalado controladores simples y
duales que no proporcionan la integridad en la seguridad requerida y han ocasionado varios
accidentes graves durante los últimos años. Un número de organizaciones alrededor del mundo están
trabajando en estándares para implementar los sistemas PES basados en sistemas de seguridad.
Algunos de los estándares se expondrán a continuación:

36
Comisión Electrotécnica Internacional (IEC)

La Comisión Electrotécnica Internacional (CEI o IEC por sus siglas en inglés, International
Electrotechnical Commission) es una organización de normalización en los campos eléctrico,
electrónico y tecnologías relacionadas. Numerosas normas se desarrollan conjuntamente con la ISO
(normas ISO/IEC).

La CEI, fundada en 1904 durante el Congreso Eléctrico Internacional de San Luis (EEUU), y
cuyo primer presidente fue Lord Kelvin, tenía su sede en Londres hasta que en 1948 se trasladó a
Ginebra. Integrada por los organismos nacionales de normalización, en las áreas indicadas, de los
países miembros, en 2003 pertenecían a la CEI más de 60 países.

A la CEI se le debe el desarrollo y difusión de los estándares para algunas unidades de medida,
particularmente el gauss, hercio y weber; así como la primera propuesta de un sistema de unidades
estándar, el sistema Giorgi, que con el tiempo se convertiría en el sistema internacional de unidades.

En 1938, el organismo publicó el primer diccionario internacional (International

Electrotechnical Vocabulary) con el propósito de unificar la terminología eléctrica, esfuerzo que se
ha mantenido durante el transcurso del tiempo, siendo el Vocabulario Electrotécnico Internacional
un importante referente para las empresas del sector.

La IEC 65ª

El concepto de “safety integrity level” (SIL), es también introducido, para establecer el patrón
de desempeño de los safety instrumented systems (SIS), implementados para reducir el riesgo de
eventos peligrosos que resulten en consecuencias catastróficas.

Los SIS están cubiertos por la norma internacional IEC 61511, la cual ha sido adoptada en
varios países, incluyendo los Estados Unidos, donde es conocida como ANSI/ISA 84.00.01-2004
(IEC 61511 mod). ISA 84.01/IEC 61511 usa el concepto de SIL establecido por “Safe Automation”
como una plataforma para varios requerimientos que afectan todos los aspectos del ciclo de vida de
los SIS. ISA TR84.00.04, “Guidelines on the implementation of ANSI/ISA 84.00.01-2004 (IEC
61511 mod)”, provee lineamientos relacionados a tópicos específicos y requerimientos de la norma
ISA 84.01/IEC 61511.

Aunque los estándares orientados hacia el desempeño proveen flexibilidad en el diseño y

manejo de los SIS, ellos no eliminan la necesidad de prácticas internas. Un nuevo libro del CCPS
llamado “Guidelines for Safe and Reliable Instrumented Protective Systems (IPSs)”, discute este
punto y ofrece trabajos de procesos para soportar el desarrollo y mejoramiento continuo del las
prácticas del propietario/operador. El ciclo de vida del IPS (Figura 1), trata la instrumentación y el
control responsable de la prevención de incidentes de seguridad de procesos, como un SIS. Las
prácticas internas aseguran la consistencia en el diseño e implementación de los SIS a través de la
planta y permite el desarrollo de soluciones estándares usando el ciclo de vida de la ISA 84.01/IEC
61511.

37
Puesta en servicio de un sistema instrumentado de seguridad

Debe de entrar en operación y cumplir la función para la cual fue diseñado, esto se logra a
través del cumplimiento de los siguientes puntos durante la puesta en servicio.

a) Programa de actividades.- Se requiere un responsable para la actividad a realizar el cual

deberá ser capacitado y conocer el proceso a detalle:

i.- Elaboración de un programa en el cual se muestren los pasos a seguir para la puesta en
servicio de cada uno de los componentes del sistema instrumentado de seguridad en el cual se
deben de mostrar tanto las acciones de seguridad como el plan de contingencia.

iii.- Seguimiento

iii.- Revisiones; es muy importante que se revisen todos los componentes del sistema desde su
aspecto físico sus conexiones, alambrado configuraciones del sistema comunicación, etc.

iv.- Autorización de cambios; estos deben estar debidamente sustentados y ser firmados ya
autorizados por el encargado de la actividad

b) Procedimiento de puesta en servicio de los elementos del SIS:

i.- Estos deben estar previamente aprobados y cumplir con las normas de seguridad aplicables;
deben e contar con hojas para el registro de resultados.

c) Contacto con contratistas:

i.- La presencia de los proveedores del sistema es imprescindible, ya que estos conocen sus
sistema y en caso de surgir algún problema pueden ayudar a resolverlo al momento de parecer,
además que pueden asesorar directamente al personal de operación y mantenimiento que se
encuentra presente por este motivo el contratista siempre debe tener técnicos disponibles durante las
fase de puesta en servicio y arranque.

d) Identificación de elementos más importantes:

i.- Aunque todos los elementos del sistema son importantes hay algunos que son críticos por lo
que es recomendable tenerlos identificados.

e) Verificación de equipos y lazos de control:

i.- Se debe de contar con documentos de proyecto como DTI´s como diagramas de lazos,
diagramas de alambrado, información de proveedor, registro de calibración.

ii.- Se debe aprobar cada componente del lazo de forma individual y posteriormente el lazo
completo.

iii.- Se debe contar con herramientas y equipos adecuados para la realización de las pruebas
38
 f) Detección, control y corrección de fallas:

i.- Registrar todos los componentes que registró falla, así como los datos de cómo fue
corregida los datos que deben de aparecer como mínimo son:

• Proyecto.
• Nombre del solicitante.
• Fecha.
• Identificación completa del equipo (incluyendo sistema o lazo al que pertenece).
• Descripción detallada de falla.
• Acción correctiva.
• Fecha de corrección con los datos y firma de responsable.
• Fecha de verificación.

g) Reportes de pruebas:

i.- Durante la puesta en servicios y las pruebas en sitio pueden producirse muchos cambios los
cuales pueden modificar la ingeniería de diseño, por lo que deben ser registrados debidamente y
anexados en la bitácora.

h) Bitácora de prueba y puesta en servicio:

i.- En esta deben ser cronológicamente registrados todos los acontecimientos suscitados
durante pruebas así como cambios:

• Cambios en puntos de ajustes.

• Cambios en condiciones de operación.
• Problemas en condiciones de operación.
• Problemas y los cambios realizados.
• Cambios equipos y componentes del SIS.
• Re-calibración.

Reportes de presión de pruebas y similares.- Es muy importante este documentos ya que puede
utilizarse como referencias para futuras modificaciones, para realizar algún análisis en caso de
suceder algún accidente, o para resolver cualquier operacional de la planta porque lo que es
necesario que sea llevado cuidadosamente y mantenerlo actualizado ya que puede ser considerado
como documento oficial.

Durante el arranque del Sistema Instrumentado de Seguridad se deben considerar los

siguientes puntos de suma importancia para el éxito en la conclusión de los trabajos de puesta en
servicio:

i. Procedimientos de arranque.- Estos deben estar previamente aprobados y cumplir con las
normas de seguridad aplicables; deben contar con actividades a realizar, responsables, como se va a
realizar, plan de contingencia, hojas para el registro resultados.
39
 j. Prueba del sistema.- Se hace la carga de productos al proceso y gradualmente se va
aumentando hasta llegar a las condiciones de operación normal y la estabilización del sistema.
k. Verificación de óptimo comportamiento de elementos y lazos de seguridad y corrección de
fallas.
l. Disponibilidad del personal capacitado.
m. Reporte detallado de desempeño, en el cual se deben incluir las fallas y las acciones
tomadas para su corrección.

Capacitación operativa y de mantenimiento al personal que se hará cargo del sistema

La capacitación a impartir debe incluir como mínimo los siguientes puntos para facilitar la
comprensión y aceptación del SIS por parte del personal que se hará cargo de él en adelante, y para
auxiliar en el proceso dinámico de administración de los cambios que sucederán en el futuro al
Sistema y las instalaciones:

a. Criterios de operación.- Es necesario que el personal a cargo de la operación y

mantenimiento conozca las diferentes opciones de operar el sistema, es decir los diferentes
escenarios de producción para esta forma, conocer que flexibilidad puede tener la operación del
sistema, cuando y bajo qué circunstancias operar los “by-pass”.

b. Componentes del sistema de seguridad.- Como funciona cada componente del SIS
incluyendo interruptores manuales para inicio y reinicio, hardware y software.

c. Instalación del sistema de seguridad.

d. Definiciones aplicables a la operación de cada sistema de seguridad.

e. Documentos de diseño y especificaciones de cada componente del sistema.

f. Documentos de inspección y prueba (Durante fabricación, instalación, y prueba en servicio).

g. Elaboración de historia de operación manual.

h. Elaboración de reportes detallados de periodos de operación anormal.

i. Análisis de alarmas.

j. Arquitectura.- Se debe concluir los canales de comunicación, indicando el medio físico (por
ejemplo si es por fibra óptica, par torcido o UTP, cable coaxial) y protocolo utilizado (TRICOM;
TRIPLEX; HIMA; ABB; etc.). Enlaces con otros equipos. Señales involucradas incluyendo tipo de
señal.

k. Simuladores de procesos para capacitación de personal.- Para emular condiciones de

Operaciones del sistema, operación automática, manual, remota, deshabilitación de elementos de
campo, etc.)

40
 l. Procedimientos de operación y mantenimiento del SIS.- Se deberán mostrar las acciones
rutinarias necesarias para mantener la seguridad funcional requerida del SIS; para prevenir un estado
inseguro y reducir las consecuencias de eventos riesgosos durante la operación y mantenimiento del
sistema.

ii. Procedimiento de restablecimiento del sistema.

iii. Procedimiento de pruebas
iv. Procedimiento de respuesta a alarmas o disparos del SIS
v. Procedimiento de mantenimiento cuando se detecta alguna falla en el SIS
vi. Procedimiento para seguir la activación y las fallas y reparación del SIS
vii. Procedimiento para asegurar que los equipos y materiales utilizados en las pruebas y el
mantenimiento se encuentran en buenas condiciones y calibración correctamente
viii. Plan de mantenimiento del SIS, el cual deberá de incluir como mínimo los programas
periódicos de pruebas funcionales del SIS, inspecciones regulares a los equipos de campo para
detectar cualquier deterioro visible, programas periódicos de mantenimiento preventivo a los
elementos que lo requieran, reparación de fallas detectadas y posteriormente prueba de
funcionamiento.
ix. Procedimiento de administración de cambios durante operación.

m. Bitácora de funcionamiento.- En esta deben estar registrados todos los acontecimientos

suscitados durante el ciclo de vida del SIS:

• Punto de ajuste.
• Condiciones de operación.
• Problemas y los cambios realizados para resolverlos.
• Cambios de equipo y componentes del SIS.
• Calibraciones.
• Reportes de presión y similares.

Al igual que la bitácora de pruebas, es muy importante este documento ya que puede utilizarse
para realizar algún análisis en caso de suceder algún accidente como referencia para futuras
modificaciones, para resolver cualquier problema operacional; por lo que es necesario que sea
llevado cuidadosamente y mantenerlo actualizado, ya que también puede ser considerado como
documento oficial.

Es muy importante que se impartan cursos teórico prácticos en sitio por los proveedores del
SIS, si adicionalmente se aprovecha el periodo de prueba en servicio del SIS puede ser ideal para
que el personal involucrado con el control y mantenimiento aprenda y se familiarice lo más posible
con la operación del sistema, puede aprovecharse la presencia de los técnicos y proveedores del
sistema para despejar cualquier duda.

Durante el periodo de prueba en servicio los operadores también pueden aprender “en vivo”
como arrancar, operar y para el sistema, por lo que es muy importante que este personal participe
directamente en estas actividades.

41
Administración de cambios al Sistema Instrumentado de Seguridad

La administración de cambios nos permitirá tener actualizado nuestro sistema con respecto a
cambios en el proceso que obliguen a realizar cambios en el SIS, desde la modificación de puntos de
ajuste por requerimientos propios del proceso, hasta la inclusión de nuevos elementos de proceso o
la eliminación de elementos existentes del proceso.

Administración operativa del SIS

Independientemente de mantener actualizada toda la información de proceso y referente a los

sistemas instrumentados de seguridad (SIS), los tópicos a que nos referimos con la administración
operativa del SIS se refieren a los registros actualizados de mantenimientos periódicos, pruebas
parciales ejecutadas por válvula, registros de mantenimiento correctivo de equipo e instrumentos,
registros de fallas detectadas durante los mantenimientos, registro de fallas espontaneas, etc.

Procedimientos de operación

Para poder operar y mantener de manera correcta un SIS lo primero es contar con todos los
procedimientos operativos por escrito, de manera clara, consista y si es posible, gráficamente
ilustrados en el caso de que se utilice una interfaz de operación grafica IHM, en la elaboración de
estos procedimientos es deseable que participe personal operativo, personal técnico especializado,
staff de ejecutivos (jefes de producción o superintendencia), supervisores, etc. de la instalación, ya
que la alimentación y aportaciones de todo este grupo a la realización de los procedimientos
operativos es crucial para que documento final quede claro para todos aquellos que se encargaran
de aplicarlos.

Los procedimientos también deben ser revisados en el caso de que el proceso sufra
modificaciones.

Debe existir un índice que identifique claramente el listado de procedimientos y su última

revisión dentro de las instalaciones.

Como mínimo, estos procedimientos deben incluir los siguientes, sin limitar a ellos:

• Procedimiento de arranque.
• Procedimiento de paro.
• Procedimiento de operación en emergencia.
• Procedimiento de conexión/desconexiones temporales.
• Restablecimiento.
• Paro normal programado.
• Definiciones de límites de operación en cada modo de operación (escenario).
• Alarmas e interlocks.
• Responsabilidad de personal.
• Procedimiento de revisión de procedimientos y responsables de la misma.

42
 Registros de mantenimiento de rutina

Como parte de un buen sistema de administración operativa, se debe llevar como parte de la
documentación del SIS un registro actualizado de todos los mantenimientos de rutina realizados a
cada una de las partes de cada una de las funciones instrumentadas de seguridad del SIS, en este
registro es deseable que contenga la siguiente información como mínimo:

• Fecha en la que se llevo a cabo el mantenimiento.

• Función instrumentada de seguridad intervenida
• Equipo, o instrumento de la función instrumentada de seguridad que fue intervenido.
• Descripción de los trabajos realizados sobre el equipo o instrumento.
• Resultados obtenidos, incluyendo listados de fallas detectadas se las hubiese.
• Acciones correctivas ejecutadas si las hubiese.
• Fecha en que fue regresado a operación normal el equipo o instrumento.
• Copia del permiso de trabajo.
• Nombre de los responsables de operación y mantenimiento, así como nombre de quien
autoriza los trabajos.

Estos documentos deben formar parte de la información del SIS y estar disponibles en campo.

43
ESPECIFICACIÓN GENERAL PARA SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Se define los requerimientos mínimos de hardware y software, y define los servicios de

soporte de ingeniería que son mandatorios para diseñar, manufacturar, probar, embalar, transportar,
instalar, inspeccionar y poner en servicio el Sistema de Parada de Emergencia (ESD), asociado a los
Sistemas de Procesos que Constituyen el "Balance de Planta" (BOP).

Esta especificación excluye a los equipos y al software asociado que constituyen el Sistema de
Control Básico de Proceso (BPCS) y el Sistema de Detección de Fuego y Gas - (F&G) del BOP de
PAL, así como a los equipos y al software asociado que se requieren para el control, monitorización
y protección de las Unidades y Equipos Paquete del BOP, los Centros de Distribución Eléctrica de
Media y Alta Tensión, el Turbogenerador, el Sistema de Compresión de Gas y la Subestación
Eléctrica. También se excluyen de esta especificación la instrumentación de campo y los sistemas
auxiliares.

Esta especificación aplica a todos los equipos y al software asociado al Sistema de Parada de
Emergencia (ESD) del BOP, que son requeridos para garantizar la parada segura y ordenada de los
equipos del BOP de PAL, a efectos de proteger al personal, los equipos e instalaciones y al medio
ambiente, de los riesgos potenciales presentes en el BOP.

Objetivos del Sistema ESD

La intención es establecer una base para el paro seguro y eficiente de las operaciones de
proceso y el aislamiento de productos inflamables y/o tóxicos en las instalaciones de la Planta.

Los fines y objetivos principales de un Sistema ESD son:

• Monitorear una operación ó condición de equipo anormal.

• Reaccionar automáticamente a esta condición con el paro y/o aislamiento de la planta o
el equipo y de esta manera prevenir cualquier efecto indirecto de la condición anormal.
• Protección del personal, instalaciones y equipos.
• Prevención de la contaminación hacia el medio ambiente.
• Continuidad de la producción minimizando paros falsos.
• Proporcionar una interfaz de operación para facilitar la puesta en marcha y
mantenimiento de las instalaciones.
• Proporcionar información acústica y visual del estado del sistema para el operador y
otro personal para ejecutar medidas preventivas para mantener la producción.
• Almacenamiento de Secuencia de Eventos (SOER).

Los principales objetivos del Sistema ESD es proporcionar un medio confiable para el
aislamiento y paro seguro de las instalaciones y/o las unidades de proceso así como de iniciar las
alarmas adecuadas.

44
 Definiciones

A continuación se presentan las definiciones de algunos términos usados en este documento.

EL VENDEDOR: El Fabricante o Proveedor del Sistema.

EL COMPRADOR: Consorcio Pacific-Rim-Energy – PRE.
EL CLIENTE: Compañía Anónima de Administración y Fomento Eléctrico CADAFE.

A continuación se presentan las definiciones de algunos acrónimos y siglas usados en este

documento.

AC/CC: Aseguramiento de la Calidad/ Control de la Calidad, traducción al Español de las

siglas QA/QC, Quality Assurance/ Quality Control.
BPCS: Basic Process Control System, o Sistema de Control Básico de Proceso.
COM: Component Object Model, tecnología desarrollada por Microsoft Corporation, incluida
en la familia de Sistemas Operacionales de Microsoft Windows, la cual permite la
comunicación entre componentes de software y es usada por los desarrolladores para crear
componentes reutilizables de software y enlazarlos entre sí para construir aplicaciones y tomar
ventaja de los servicios de Windows. La familia de tecnologías COM incluye a: COM+,
Distributed COM -
DCOM, y ActiveX Controls.
CPU: Central Processor Unit, o Unidad Central de Procesamiento
E/S: Entrada/ Salida, traducción al Español de la sigla I/O, Input/ Output.
EMI Interferencia Electromagnética.
FAT: Factory Acceptance Tests, o Pruebas de Aceptación Funcional, las cuales son realizadas
en algunas ocasiones en la Fábrica o en el Taller de EL VENDEDOR.
F&G: Fire & Gas Detection System, o Sistema de Detección de Fuego y Gas.
FO: Fiber Optic, o Fibra Óptica Multimodo 62.5/125μm.
HRSG: Heat Recovery Steam Generator. Generación de Vapor por Recuperación de Calor.
MOS: Maintenance Override Switch, Selector de Bypass para mantenimiento.
MTTR: Mean Time To Repair, o Tiempo Medio Para Reparación.
OLE: Object Linking and Embedding, estándar desarrollado por Microsoft Corporation para
documentos compuestos, el cual permite la creación de objetos con una aplicación y enlazarlos
luego desde, o embeberlos dentro de una segunda aplicación. Los objetos embebidos
conservan su formato original y se enlazan con la aplicación que los creó.
OPC: OLE for Process Control, conjunto de interfaces estándar basados en la tecnología
OLE/COM desarrollada por Microsoft Corporation, utilizados en aplicaciones de Control de
Procesos.
PES: Programmable Electronic Solver, o Solucionador Electrónico Programable.
PLC: Programmable Logic Controller, o Controlador Lógico Programable.
RFI: Interferencia de Radio Frecuencia.
SAT: Site Acceptance Tests, o Pruebas de Aceptación (Funcional) en Sitio.
ESD: Sistema de Parada de Emergencia.
UPS: Uninterrupted Power Supply, o Suministro Ininterrumpido de Potencia, generalmente
monofásico a 120Vac, 60 Hz.

45
 REQUISITOS GENERALES

Descripción general del proyecto

El proyecto para la construcción de la Planta de Generación Eléctrica ALBERTO LOVERA es

un proyecto energético, desarrollado por el Ministerio de Energía y Petróleo, a través de CADAFE,
para el suministro de la demanda de energía eléctrica del Estado Anzoátegui y la Refinería Puerto
La Cruz. La Planta de Generación Eléctrica Alberto Lovera se iniciará con la instalación de dos
unidades de generación eléctrica Siemens Westinghouse, modelo W501F.

El proyecto integral está concebido para ser desarrollado en dos etapas.

Etapa 1:

Esta etapa conformada por dos Turbinas de Combustión de Generación, capacidad nominal
cada una de 150 MW (+20%, -10%), de ciclo simple. Cada turbina con quemadores tipo dual; es
decir, operatividad con combustible líquido (Diesel N° 2) y gas natural y de baja emisión de Óxidos
de Nitrógeno (Dry Low Nox, DLN). Cada turbina de combustión de generación tiene una capacidad
nominal de 150 MW, para un total de generación de 300 MW de energía eléctrica en el esquema de
ciclo simple.

Etapa 2:

Futura, constituida por la incorporación de un ciclo combinado, el cual consiste en la adición

de una caldera de recuperación de calor (Heat Recovery Steam Generator, HRSG) para la
producción de vapor de alta presión por aprovechamiento del calor contenido en los gases de la
combustión producidos en las turbinas de combustión. El Ciclo Combinado producirá hasta 150
MW adicionales. La capacidad de generación de energía eléctrica de la Planta; a futuro; será de 450
MW.

Localización La Planta de Generación Eléctrica ALBERTO LOVERA estará ubicada en

terreno de la Refinería PDVSA Puerto La Cruz (Estado Anzoátegui). El lote de terreno con una
superficie de aproximadamente 60.500 m2.

Condiciones Ambientales: Las condiciones ambientales de la planta son las que se indican a
continuación:

Figura: 4.1 Características del ambiente en el lugar de instalación.

46
 En general, el Controlador del ESD se instalará en la Sala de Equipos, en la cual habrá un
sistema de aire acondicionado de Precisión, para mantener el ambiente controlado. Sin embargo, en
el diseño y fabricación del Controlador del ESD, se debe considerar que ante una falla del sistema
de aire acondicionado, los equipos deben operar satisfactoriamente bajo las siguientes condiciones
ambientales:

Figura: 4.2 Rangos máximo de diseño.

Clasificación Eléctrica

El ambiente de la Sala de Control no se ha clasificado como peligroso desde el punto de vista

de la clasificación (eléctrica) del área, por lo tanto, los equipos que serán instalados allí, podrán ser
especificados para uso en aplicaciones de propósito general.

Energía Eléctrica Disponible

El Sistema de Paro de Emergencia ESD contará con energía eléctrica de UPS (suministrado
por otros) a 120VAC ±5% y 60Hz ± 2%.

El Sistema de Paro de Emergencia (ESD) contará con un circuito de alimentación de UPS

dedicado y un circuito del tablero de servicios esenciales, de forma de disponer de dos fuentes de
alimentación alternativa para maximizar la disponibilidad del servicio.

Descripción del Proceso

La Planta PAL estará dividida físicamente en tres grandes áreas diferenciadas desde el punto
de vista del proceso: Isla de los Turbogeneradores (Power Island), Balance de Planta (Balance of
Plant - BOP) y la Subestación de Transmisión a 230kV. En la Isla de los Turbogeneradores serán
instaladas:

Las dos Unidades Siemens-Westinghouse, modelo W501F. Las unidades serán suministradas
por Siemens-Westinghouse, incluyendo sus sistemas de control, monitorización y protección.

Los dos transformadores elevadores de 230MVA – 16,5/230kV, suministrado por

Zaporozhtransformator ZTR.

Los Centros de Potencia de 4,16kV y 480V de Servicio a ambos Turbogeneradores,

suministrada por Areva, incluyendo sus sistemas de control, monitorización y protección.

El Generador de Vapor por Recuperación de Calor HRSG, la Turbina a Vapor de generación y

sistema de enfriamiento (futuro).
El Balance de Planta (BOP), incluirá todos los servicios industriales que son requeridos para el
funcionamiento de las unidades Turbogeneradoras:

47
 1. Sistema de Compresión y Acondicionamiento de Gas Combustible.
2. Sistema de Aportación y Pre tratamiento de Agua.
3. Sistema de Tratamiento y Suministro de Agua de Servicios.
4. Sistema de Tratamiento de Aguas Servidas.
5. Sistema de Manejo y Tratamiento de Efluentes Industriales.
6. Sistema Contra Incendio.
7. Sistema de Aire de Servicio e Instrumentos.
8. Sistema de Tratamiento y Suministro de Agua Desmineralizada (futuro).
9. La Subestación de 4,16kV y 480V de Servicio.
10. Generador de Emergencia.

La Subestación Alberto Lovera tendrá un patio exterior convencional a 230kV (por CADAFE)
con "Barra Principal y Barra de Transferencia", que será alimentado desde la Planta PAL, y
cumplirá las funciones de patio de transmisión.

Sistema de Parada de Emergencia ESD

El ESD se encargará de garantizar la parada segura y ordenada de los equipos del BOP de
PAL, a efectos de proteger al personal, los equipos e instalaciones y al ambiente, de los riesgos
potenciales presentes en el BOP y estará compuesto principalmente por los siguientes equipos que
serán instalados en la Sala de Control:

Gabinete del Sistema de Parada de Emergencia (ESD) del BOP, en el cual se instalarán los
siguientes componentes:

a) Fuente redundante de suministro de energía eléctrica.

b) Chasis de "Programmable Electronic Solver" - PES, con CPU redundantes, módulo

dual de conexión a red Ethernet Modbus TCP/IP, tarjetas de E/S sencillas (no
redundantes) y regletas de conexión a campo y a la Botonera del ESD (marshalling).

c) Relés con contacto seco, libres de potencial, normalmente abierto, para comando de
disparo a controladores de Equipos Paquete. El ESD proveerá señales de repetición de
alarmas y alarmas de disparos al BPCS, por vía de comunicaciones de la red dual
redundante Ethernet de control.

Capacidad de Expansión

El sistema ofrecido, tipo modular, debe tener capacidad de expansión en el futuro, realizando
modificaciones mínimas en su hardware y en su configuración de software.

El sistema debe incluir los siguientes porcentajes de reserva:

• 20% de E/S instaladas, por tipo de señal.

48
 • 20% de espacios disponibles en chasis para la adición de futuros módulos de E/S.

• 40% de la capacidad de procesamiento y memoria disponible, considerando la

utilización del 20% de E/S de reservas instaladas y del 20% de E/S de reservas futuras.
Esto significa que no debe utilizarse más del 60% de la capacidad de procesamiento y
memoria disponible, considerando la utilización del 40% de E/S de reservas instaladas
y futuras.

• 50% de la potencia consumida. Esto significa que la(s) fuente(s) debe(n) seleccionarse
con capacidad para abastecer el 150% de la carga consumida por el sistema.

• 40% de la capacidad disponible en la aplicación de software para incluir las señales

adicionales correspondientes al 40% de E/S de reservas instaladas y futuras. No
obstante, se considera inaceptable el pago de un extra-costo innecesario en el valor de
las licencias de software para contar con mayor capacidad de señales, mientras no se
haga uso de las E/S de reservas disponibles.

Redundancia del Sistema

La redundancia del sistema ofrecido debe ser considerada en CPU y falla segura, la decisión
de optar por redundancia adicional solo dependerá del requerimiento de "safety availability" que ha
sido establecido en 0.999 (SIL 3).

El sistema ofrecido también debe incluir fuentes y conexiones de red dual redundantes.

Disponibilidad y Confiabilidad

El sistema ofrecido debe diseñarse para una disponibilidad de al menos 99.9% en los modos
"fail-safe" y "fail-danger" de acuerdo con la siguiente definición de disponibilidad:

Availability % = 1- PFD (Probability of Failure of Demand) (IEC 61508)

EL VENDEDOR debe incluir en su oferta las cifras de disponibilidad correspondientes al

sistema ofrecido, indicar el método de cálculo usado, establecer claramente todos los supuestos
realizados, e indicar la fuente de la cual obtuvo los valores adoptados para las ratas de falla. Para
propósitos de realizar sus cálculos, EL VENDEDOR debe considerar un MTTR de 8 horas.

El sistema ofrecido debe ser tolerante a fallas intermitentes, transientes y permanentes; y la

ocurrencia de una falla sencilla del ESD no debe degradar la seguridad, ni la funcionalidad del
sistema, ni tener impacto en la operación del proceso.

49
Procesadores

Cada CPU debe contar con dos microprocesadores síncronos, cada uno con su propia memoria
RAM; memoria Flash EPROM para almacenamiento del sistema operativo y los programas de
aplicación; memoria de datos NVRAM; procesador de comunicaciones y "safe watchdog".

Cada CPU debe ejecutar rutinas cíclicas de auto-prueba de los procesadores, memorias,
"watchdog" (WD), y conexiones internas con las E/S asociadas - "I/O bus".

En caso de que los datos en los microprocesadores no sean idénticos, o alguna de las rutinas de
auto-prueba arroje un resultado negativo, automáticamente el controlador debe dejar de evaluar las
entradas y debe proceder a des energizar las salidas.

Módulos de Entradas

Los módulos de entradas relacionadas con seguridad deben quedar sujetos a estrictas rutinas
de auto-prueba ejecutadas cíclicamente durante la operación del sistema para monitorizar el
funcionamiento seguro de los módulos.

Además de los LEDs de diagnóstico en los módulos, se requiere que el controlador envíe
señales de estatus al programa de aplicación para evaluación y detección de errores en los módulos.

Las señales digitales de entrada deben ser leídas una vez por ciclo, sus valores almacenados
internamente y, para asegurar el funcionamiento seguro del módulo, se debe ejecutar una rutina
cíclica de auto-prueba.

Algunas señales digitales de entrada tendrán que ser implementadas usando módulos de
señales análogas de entrada, en los cuales se realizará el ajuste de los valores correspondientes a los
niveles alto (H) y bajo (L) de las respectivas señales digitales, mediante una apropiada
parametrización.

Los módulos de Entrada Discretas deben ser sencillos (no redundantes) capaces de leer
contacto seco de 24Vdc y aisladas.

Las señales análogas de entrada deben ser convertidas a valores enteros con precisiones
relacionadas con seguridad, que serán utilizados por el programa de aplicación.

Los módulos de Entrada Analógicos deben ser sencillos (no redundantes) capaces de leer
señales de 24Vdc de 4-20mA alimentadas o no por el lazo y alimentadas externamente de forma
configurable o seleccionable durante el conexionado. Si es requerido.

50
Módulos de Salidas

Las señales de salida relacionadas con seguridad deben ser escritas una vez por ciclo, sus
valores nuevamente leídos y luego, para asegurar el funcionamiento seguro del módulo, se debe
ejecutar una rutina cíclica de auto prueba que los compare con los datos de salida especificados.

Los módulos de señales de salida deben estar provistos de mecanismos seguros de disparo
para realizar la desconexión segura de los canales defectuosos. Los módulos de Salida Discretos
deben ser sencillos (no redundantes) capaces de manejar señales de 24Vdc y 500mA aisladas.

Módulos de Comunicación Ethernet TCP/IP

El Controlador del ESD debe comunicarse con la Consola de Operación a través de la Red de
Planta Ethernet TCP/IP (Estándar IEEE-802.3), utilizando módulo de comunicaciones duales o
redundantes.

Considerando que la red Ethernet debe ser redundante, los módulos de comunicaciones del
controlador ESD (GCE-76001) deben estar conectados a ambos conmutadores de datos (Switches A
y B) en el Gabinete de Red de Planta (GCN-76001).

El sistema ofrecido debe poder intercambiar señales con el sistema de control BPCS en forma
de lectura o escritura, mediante enlaces de comunicación dual a la red Ethernet TCP/IP con puertos
RJ45, basado en protocolo Modbus-TCP compatible con OPC. En todos los casos se implementará
la dual redundancia de la comunicación para mejorar su disponibilidad.

Gabinete Auto soportado

EL VENDEDOR debe montar todo el equipo en gabinetes industriales estándar, apropiados

para instalación en ambiente seguro, con certificación de grado de protección NEMA 12, con
ventiladores para enfriamiento de los componentes electrónicos, y alumbrado interno.

EL VENDEDOR es responsable del cableado interno de los gabinetes y de los cables de

interconexión entre equipos del sistema.

Todos los cables deben segregarse por tipo de señales y niveles de voltaje.

A continuación se indican los códigos de colores de los cables que deben usarse para los
circuitos de suministro de energía eléctrica:

Figura: 4.3 Todos los cables deben identificarse mediante un "ID Tag" en ambos extremos.
51
 Los gabinetes a ser instalados dentro del Cuarto de Control Central (CCR) deben poseer las
siguientes características:

• Tipo industrial, doble acceso, auto soportado, NEMA 12, cumplir con IP55, con los
accesorios completamente montados y con materiales que sean adecuados al área de
trabajo asignada.
• El gabinete de la unidad deberá estar construido de láminas de acero galvanizado,
recubiertas en caliente con acabado de esmalte al horno sobre todas las superficies
expuestas a la intemperie. Los gabinetes serán pintados según el estándar del
fabricante, pero como mínimo se requiere que las pinturas sean del tipo acabado
industrial con base epóxica a prueba de intemperie.
• Los gabinetes deben tener placas de identificación permanente fijas al frente de cada
gabinete.
• Las puertas de los gabinetes deben ser con bisagra y desmontables.
• Debe contar con lámpara para iluminación interna (activada al abrir la puerta).
• Todos los gabinetes de equipo deben contar con dispositivos para conexiones de los
sistemas de tierras de seguridad y de instrumentos apegadas a las recomendaciones de
los fabricantes de los equipos e instrumentación de campo los cuales incluirán todos
los accesorios necesarios para aceptar cable calibre 14 AWG.
• Acometidas de cables por el piso falso por la parte inferior del gabinete.
• Durante el transporte y almacenaje deben contar con inhibidor de humedad, no tóxico,
de larga duración (mínimo de 2 años).
• Tendrá orejas de izaje y toda la tornillería debe ser de acero Inoxidable 316 para la
fijación de los equipos del sistema en el interior del gabinete.
• Dimensiones consideradas para los gabinetes en mm (alto x ancho x fondo)
aproximadamente :(2000mm.x800mm.x800mm.)
• Mesa plegable a una de las puertas para colocar equipo portátil (por ejemplo: PC
Laptop, multímetro, cautín, etc.) y un bolsillo para documentos y planos.

Interfaz hombre máquina

Será responsabilidad de EL VENDEDOR del Sistema de Parada de Emergencia (ESD)

proveer toda la ingeniería, drivers del Servidor OPC, configuraciones sobre los drivers OPC
incluidos y la Asistencia Técnica necesaria para facilitar al proveedor del BPCS la labor de integrar
ambos sistemas.
El proveedor del Sistema de Paro de Emergencia (ESD) es corresponsable junto al proveedor
del BPCS de la integración del ESD con el Sistema de Control BPCS.

Estación de Ingeniería y Mantenimiento

El Hardware de la Estación de Ingeniería y Mantenimiento (ETI-76001) será provisto por EL

VENDEDOR del Sistema de Control BPCS. Esta es una estación basada en Windows XP o
Windows Vista, con conexión a la red Ethernet TCP/IP. EL VENDEDOR del ESD es responsable
del:

52
 • Software de Comunicación y Configuración necesarias a instalar en esta estación.
• Cualquier cable o tarjeta especial necesaria para interconectar al Controlador del ESD
en caso que el medio de comunicación sea distinto a la red Ethernet TCP/IP.

Configuración

EL VENDEDOR desarrollará la aplicación con la información suministrada por EL

COMPRADOR, la cual incluye entre otros documentos, las matrices de causa-efecto, los diagramas
lógicos y algunas descripciones narrativas de las funciones instrumentadas de seguridad que deben
ser implementadas.

El sistema ofrecido debe incluir un paquete de software certificado para aplicaciones de

seguridad con niveles hasta de SIL-3, para el desarrollo y documentación de la configuración y
programación de la aplicación y de las comunicaciones del ESD, con funciones de diagnóstico,
compatible con los sistemas operativos de Microsoft Windows XP y/o Windows Vista.

El software debe permitir el uso de las funciones y variables relacionadas con seguridad
definidas en IEC 61131-3.

La programación debe ser completamente gráfica, usando la función "drag & drop". Las
funciones lógicas deben poder programarse mediante el uso de diagramas de bloques de funciones-
FBD certificados para seguridad y reutilizables, o mediante el uso de cartas de funciones
secuenciales-SFC, entre otros. La programación debe hacer uso de referencias cruzadas que
relacionen los "ID Tags" con los bloques de funciones de la aplicación y debe identificar fácilmente
el código modificado.

El software debe permitir la operación segura del sistema, la simulación "offline", la prueba
"online" de las funciones lógicas y el ajuste forzado de los valores de las señales, sin que sea
necesario el conocimiento especializado del hardware o de los temas de seguridad.

Configuración Base de Datos del Sistema

El proveedor debe considerar la siguiente tabla de número de señales de entradas y salidas

requeridas para dimensionar los módulos del ESD.
Adicionalmente, deben incluirse los porcentajes de reserva instalada establecidos para
crecimiento a futuro (20%).

El proveedor debe revisar la arquitectura del Sistema, así como todos los documentos de
ingeniería entregados para verificar el número y tipo de entradas y salidas.

Hay Entradas Analógicas alimentadas por el lazo y alimentadas externamente, por lo que EL
VENDEDOR deberá tomar esto en cuenta para la selección de los módulos.

Todas las Entradas Discretas y Salidas Discretas alimentan el instrumento conectado en el lazo
(24Vdc).

53
 El Proveedor deberá considerar la carga de los instrumentos de campo en el dimensionamiento
de las fuentes de alimentación incluyendo el porcentaje de reserva instalada establecido para
crecimiento a futuro (50%).

Señales Cableadas de Campo

Figura: 4.4 Señales de campo.

Señales Panel de Botoneras ESD

Figura: 4.5 Panel de Botoneras.

Estructura del Sistema

El SIS será distribuido geográficamente basado en el diagrama de la configuración del

sistema.

La estación de ingeniería es requerida en áreas específicas del diagrama de configuración del

sistema.

54
 Códigos y Estándares

El sistema y los componentes deberán de cumplir con las secciones aplicables de las siguientes
normas y reglamentos:

IEC61511 Seguridad funcional.- Sistemas instrumentados de seguridad para la

Industria de procesos.

IEC61131 Control Programable.

IEC61508 Seguridad funcional y eléctrica / Sistemas electrónicos programables de

Seguridad.

IEEE802.3 Sistema de proceso de información – red de área local (LAN).

CSA C22.2 No. 1010.1 (100-120V AC especificación de fuente de alimentación).

EN61010-1 220-240V AC, 24V DC especificación de fuente de alimentación.

Compatibilidad electromagnética (EMC) deberá ser de acuerdo con EN61000-6-2/4 y

EN61000-3-2/3

El Hardware deberá Cumplir con los Siguientes Estándares:

Estándar de PLC EC 61131-2 (*1, *2, *3)

Estándar Funcional de Seguridad EC 61508
Estándares de aplicación (*1) EN 54 (*4), EN 298 (*3, *5),
EN 50156-1, IEC 61511-1,
NFPA85, NFPA72
Estándares de Seguridad (*6) CSA C22.2 No.61010-1-04
(for the 100-120 V AC power
supply specification)
[CE Mark] Low Voltage Directive
EN 61010-1 (220-240 V AC and
24 V DC power supply specifications)
(*7) Conformidad de estándares EMC
(*1, *2, *6) [CE Mark] EMC Directive
EN 55011 Group 1 Class A equivalent
(220-240 V AC and 24 V DC power
supply specifications)
(*8) EN 61000-6-2 (220-240 V AC and
24 V DC power supply specifications)
(*1) EN 61000-3-2 (220-240 V AC power
supply specification)
(*9) EN 61000-3-3 (220-240 V AC power
supply specification)
(*10) [C-Tick Mark] AS/NZS CISPR 11
55

Estándar para equipo en áreas peligrosas (*11) [FM Non-Incendive]
[Type “n”] (*12)
Estandares Marinos (*11)
La última edición de las normas y códigos, incluyendo los apéndices, suplementos y
revisiones se aplicarán siempre.
(220-240 V AC and 24 V DC power
supply specifications)
Class I Division 2 Groups A, B, C and
D Temperature Code T4
FM Standard Class Number 3600
FM Standard Class Number 3611
FM Standard Class Number 3810
For 100-120 V AC, 220-240 V AC
and 24 V DC power supply
II 3G Ex nC[nL] II C T4
EN 60079-15: 2005
IEC 60079-0: 2004
IEC 60079-11: 1999
For 24 V DC power supply
ABS (American Bureau of Shipping)
BV (Bureau Veritas)
Lloyd’s Register

Requisitos Eléctricos

Fuente de alimentación:

Los gabinetes del sistema serán alimentado por UPS V __± %, Hz ± % 2 dos
alimentadores en paralelo en cada sistema.

Todos los voltajes de alimentación que se requiera por el sistema internamente generan la
tensión.

El sistema de distribución interna de alimentación será en el perímetro de aplicación del SIS.

La alimentación para el funcionamiento de las válvulas solenoides (preferentemente EEx

válvulas de solenoide) es de 24VDC y se alimentan del SIS.

Las UPS no pertenecerán al alcance del SIS (suministro independiente).

Sistema de Tierras

Todos los recintos deberán estar provistos con 2 aislamientos y barreras tierra aislados. El
sistema de tierras debe de tener como mínimo terminación de 30 puntos.

Las pantallas en el interior del SIS, estarán conectados a las barreras de tierra aislada. El
proveedor deberá describir el sistema de tierras.

56
Requisitos Eléctricos Para Ambientes Peligrosos

La protección contra explosiones para los equipos de seguridad intrínseca se logra mediante el
uso de aisladores de señal certificada y fuentes de alimentación y estos componentes deberán estar
dentro del alcance del SIS.

El cableado entre los componentes de protección contra explosiones y los módulos de E/S es
parte de la integración del SIS.

Certificación

El sistema deberá ser diseñado por los ingenieros especializados que trabajan en un sistema de
seguridad funcional y la organización del proveedor que deberá estar certificado por organismos de
reconocido prestigio como TÜV para estar en cumplimiento a la norma IEC 61511.

En las pruebas FAT estas deberán demostrar que el sistema cumpla con las especificaciones y
los requisitos de seguridad suministrada con esta especificación.

Los siguientes componentes como mínimo de un PLC utilizan como sistema SIS deberá estar
certificado por su uso en una aplicación por SIL 3 de acuerdo con de acuerdo con IEC61508
sección 1-7.

Unidad de Procesamiento Central

Controlador del ESD GCE-76001:

La Consola de Operación del BPCS (ETO-76001/ETO-76002) contendrá la base de datos y

los esquemáticos (por el proveedor del BPCS) de proceso con señales de ESD y el esquemático de
Bypass del Sistema de Parada de Emergencia (ESD) del BOP (GCE-76001), por medio de una red
Dual Modbus TCP/IP. El proveedor del ESD será responsable de facilitar a tiempo la información
requerida (listado de señales con dirección Modbus, parámetros de comunicación, etc.) para la
oportuna labor de configuración por parte del proveedor del BPCS y prestar toda la colaboración
requerida durante la construcción para integrar el sistema provisto a la Red de Planta.

Principios de Diseño de Hardware

El hardware utilizado para este fin deberá ser diseñado con componentes probados y pruebas
de rutinas para asegurar el reconocimiento de cualquier mal funcionamiento y establecer los
resultados a su estado predefinido de "estado seguro".

El sistema en modo simple (no redundante) es decir, de un CPU y de salida sencilla de

módulos será suficiente para proporcionar la necesaria protección de seguridad SIL 3.

El sistema no será de condición " one leg fault ", incluso cuando hay un fallo en la CPU o en
los módulos de E/S redundantes. La redundancia de cada par de módulos deberá ser independiente
de otro par.

57
 El sistema no se degrada con el "crippled mode " incluso cuando hay un fallo del sistema
múltiple de las CPU’s y de los módulos de E/S, cuando éstos producen fallos en las diferentes áreas
del sistema y no en un par de módulos redundantes.

No hay ninguna restricción de seguridad en el sistema en términos de tiempo cuando el

sistema produzca de fallos apagado. Sin embargo, el sistema necesita ser reparado lo antes posible
con el fin de reponer el nivel de disponibilidad del sistema.
Las ranuras vacías "hot standby" no son aceptables ya que estos slots no son continuos y
podría haber problemas de contacto cuando haya necesidad de usarlos.

El funcionamiento del SIS tendrá que cumplir con los siguientes criterios.

• Los circuitos de contacto cerrado para todas las señales de entrada en estado, "activo",
señales en proceso de proximidad en el caso de señales analógicas.

• Fallas de seguridad en los módulos de E/S para las funciones del SIS, el auto prueba,
es decir, en función del ciclo probado por un dispositivo interno integrado en cada
módulo.

• El debido cuidado y atención en el diseño deberá facilitar la intercambiabilidad de los

equipos y la facilidad de mantenimiento módulos de entradas/salidas.

• Los módulos de E/S deben de tener una densidad no mayor a 16 canales por modulo,
para minimizar el efecto de la falla en la tarjeta.

• Todos los módulos de campo de E/S del SIS tendrán aislamiento galvánico de campo
en el sistema.

• Cada módulo E/S tendrá un "indicador" o "LED" para indicar algún fallo en el módulo.

• Esto evita que en campo se dañen más de un modulo de E/S.

• La entrada y salida se debe de configurar por separado en tarjetas de similares y no

mixta.

• Las entradas y salidas estarán conectado de tal manera que los daños en un módulo no
tiene ninguna influencia sobre los otros módulos. Las señales de entrada/salida serán a
prueba de cortocircuitos.

• Las señales de seguridad intrínseca no podrán ser accionadas por el sistema, pero
tienen una separación en el suministro de alimentación externa (por ejemplo,
medidores de flujo magnético, analizadores, válvulas de solenoide) deberán estar
suministrados con aisladores de señal certificada.

• Los estándar de E/S de los cables de tableros terminales deben proteger a estos
aisladores de señal, y no debería ser necesarios las tablas separadas para los aisladores.
58
 • Las entradas y salidas analógicas de las zonas clasificadas, deberán estar diseñadas
bajo seguridad intrínseca. Certificado de aisladores de señal o de aislamiento en las
fuentes de alimentación se utiliza para obtener el aislamiento eléctrico de las entradas y
salidas.

• Todas las entradas analógicas desde el campo serán estándar de 4 a 20 mA o 1-5V (1-
10V). Los módulos de entrada analógica permite 0-25mA o 0 - ± 30V de entrada. La
mayoría de los módulos de entrada analógica estarán alimentados por el sistema SIS.

• Todos los transmisores de campo estarán conectados al SIS por medio de 2-

conductores .htm

Seguridad/Bus de Control

El bus de seguridad se refiere al vínculo de comunicación entre múltiples controladores de

seguridad SIS, que se aplican en los sistemas SIS y se ajustará a las siguientes tareas bajo el sistema
de requerimientos específico.

Seguridad de comunicación para la transmisión de datos críticos de seguridad entre los

controladores.

La comunicación entre los controladores de seguridad y la estación de ingeniería, para el

mantenimiento y la vigilancia, la descarga de aplicaciones y pruebas.

Comunicación de seguridad de punto a punto y multicast.

Especificaciones de Transmisión de la Red de Trabajo

Número de estaciones: Máximo 64 estaciones.

Se considera una distancia máxima 40 km entre estaciones del mismo dominio.

Estructura de red de trabajo: bus.

Transmisión por canal redundante: dual-redundante

Velocidad de la red de trabajo: 128 Mbits/sec.

Todos los módulos de entrada y salida analógica deberá indicar el fallo del módulo en el caso
de un circuito abierto o pérdida del transmisor.

La entrada analógica tendrá una aplicación de 1-23 mA o 0,1-11V para detectar anomalías del
transmisor.

Para los módulos de acondicionamiento de señales de preferencia de la misma marca aplica

también para el DCS. La elección final de fabricante y el tipo dependerá del proveedor.

59
 Todas las entradas digitales serán señales de los interruptores de proximidad o contactos libres
de potencial.

El seguimiento en línea para todas las entradas digitales se proporcionan para vigilar
problemas de configuración para cada entrada. Será posible distinguir entre los mensajes de corto
circuito y circuito abierto en los detalles de la línea de falla.

El monitoreo de las línea para todas las salidas digitales se proporcionan para vigilar
problemas de ajuste para cada salida. Será posible diferenciar entre corto circuito y circuito abierto
en los detalles de la línea de los mensajes de error.

Las señales de entrada digital no se conectara un cable por dentro.

Los módulos de salida digital serán de 24 V DC / DC 48V / 120V AC capaz de conducir hasta
2 A / 0,6 A / 0,5. Si se utilizan válvulas de solenoide u otros actuadores de mayor tensión o de
intensidad, el resultado será un contacto libre de potencial a través de un relé de indicación (este
deberá estar certificado por TÜV).

El SIS se dedica a un sistema integrado para el DCS a través de un bus de control de 10Mbps
de velocidad mínima / seguridad común.

Comunicación con el DCS

Deberá ser posible para el bus de control de seguridad utilizar la comunicación del DCS.

Este enlace será redundante y el fallo de un enlace no tendrá ningún efecto sobre la capacidad
del sistema de seguridad para realizar su función de protección.

El SIS se integrarán con el bus de comunicación del DCS el cual hará posible tener todos los
datos importantes del sistema SIS disponible en la interfaz del operador o HMI del DCS para que el
funcionamiento del sistema SIS puede ser observado por el operador de el DCS sin necesidad de un
operador dedicado a un interfaz de operación del SIS.

Será posible transmitir la siguiente información de la HMI del DCS.

• Todos los valores analógicos.

• Los valores límite establecido para las señales analógicas.
• Estado de las señales de entrada binaria.
• Estado de las señales de salida binaria de las válvulas de solenoide.
• Eventos en el orden de su ocurrencia con marca de tiempo con una resolución de 1 ms.
• Todas las alarmas para el proceso de una HMI integrados por el DCS.
• Todas las alarmas de diagnóstico del sistema para el HMI integrada por DCS.
• Todos los eventos.

60
 El estado del sistema en la medida en que el operador en la sala de control es capaz de ver que
la tarjeta tiene un fallo y el tipo de error, información del sistema como el nivel de seguridad, el
número de E/S, tiempo del ciclo, versión del programa, etc.

Intervenciones de operación que se llevarán a cabo desde la HMI mediante una contraseña
para reemplazar los bloques o por interruptores separados en la consola del operador (certificado por
TUV).

El bus de seguridad deberá ser certificado (por TÜV) para ser libre de interferencia. No se le
permite tener acceso por medio del DCS para escribir en el SIS.

Los datos del SIS pueden ser leídos por el DCS. El DCS deberá ser capaz de extraer los datos
del SIS por medio de un aviso de identificadores comunes sin la necesidad de la aplicación de lógica
de las etiquetas en ambos lados.

Se podrá configurar en la HMI, marcar etiquetas, tendencias, gráficos, etc. utilizando datos de
seguridad de acceso etiquetando el nombre al SIS.

En ningún caso, el hecho de que el enlace de comunicación falle las funciones del SIS se verán
afectadas.

Comunicación con Otros Sistemas

La comunicación Modbus entre el controlador del sistema de seguridad y otros estarán

disponibles para el modo de maestro y esclavo.

Función de esclavo (estándar).

Que el SIS pueda comunicarse como una estación esclavo (Máximo 2 módulos).así como con
un estación maestra SIMULTANEAMENTE.

Que tenga la opción de Función Maestro.

Usar el modulo de interface serial libre, El ProSafe-RS puede comunicarse como una estación
maestra (Máximo 4 módulos).

Número máximo de dominios: 16

Transmisión entre cualquiera de los dominios con relay máximo: 250 msec.

El cliente OPC puede acceder a la información de diagnóstico, eventos, proceso y datos de

alarma del controlador de seguridad.

El SIS tendrá la función de comunicación HART entre el sistema y dispositivos de campo.

61
Tiempos de Ciclo

El proceso de las funciones del sistema es cíclica. Los Tiempos de ciclo no será superior a 300
milisegundos para el SIS, a fin de poder cumplir el tiempo de reacción de fallos.
Mantenimiento

Es posible realizar un reemplazo de los insumos del SIS, la HMI a través bus de control de
seguridad. Esta función debe ser certificada por TÜV y tienen una adecuada protección de
contraseña de seguridad.

Sólo cuando el MOS-interruptor se encuentra en la posición habilitada, el MOS-OVR debe

ser aceptado en la lógica de protección en el SIS. Debido a que el MOS-es permitirá cambiar el
cableado, el operador tiene la posibilidad de desactivar cualquier enlace de comunicación cuando se
produce un error. En caso de que el bus de comunicación falle, el reemplazo se queda en el estado
que se encontraba antes de la falla y cuando la relación se restablezca no habrá cambio en el estado.

MOS no se aplicarán a:
- Manual de ESD.
- Botón RESET, keyswitches.
- Todas las salidas.

Estación de Ingeniería

La estación de ingeniería sirve para la configuración y el mantenimiento del PLC utilizados

para el SIS y como una indicación de las funciones de los sistemas de autodiagnóstico.

Requerimientos mínimos de la PC que deberá de cumplir:

CPU: Core2 Duo 2,13 GHz

La memoria principal: 2GB.
Disco duro: 20 GB de espacio disponible en disco del usuario.
Resolución de pantalla: 1280 × 1024.
Memoria de vídeo: 128 MB.
Monitor: 17 pulgadas.
Puerto serie: Un puerto RS-232C (cuando se utiliza un UPS).
Puerto paralelo: Un puerto (cuando se utiliza una impresora).
Puerto Ethernet: Un puerto.
Ranura de extensión: Una ranura PCI.
Unidad de CD-ROM: Uno.
FDD: Uno de 3,5 pulgadas.
SO: Windows Vista Business Edition SP1.

También se utiliza como una estación de monitoreo con fines de mantenimiento. Además, se
podrá leer "en tiempo real" el diagnóstico de fallas del SIS, en la unidad de programación a la
medida en que los fallos del sistema tendrán mensajes de error detallados publicados en la estación
de ingeniería.

62
 La estación de ingeniería también se indicará el estado actual del SIS, en las zonas de tiempo
del ciclo, base de datos, el número de E/S, nivel de seguridad, el porcentaje de tiempo de inactividad
de la CPU, etc.

Consola Auxiliar

El proveedor deberá suministrar la consola auxiliar como el botón ESD, interruptor de

bloqueo, interruptor de arranque manual, interruptor de selección, etc.El botón ESD, interruptor de
bloqueo, interruptor de arranque manual, interruptor de selección estarán, etc. conectados por medio
de cableado de E/S al gabinete del SIS.

Certificación

El sistema deberá ser diseñado de acuerdo a la causa y efectos Matrices. El sistema para el
solucionador de la lógica deberá ser certificada por TÜV IEC 61508 para aplicaciones SIL 3.

• La función de este sistema es reducir los riesgos e identificarlos para ser evitados.
• Lesiones graves a las personas.
• Daños al medio ambiente.
• Mayor pérdida de bienes.

Todas las instalaciones de seguridad se llevarán a cabo por el SIS, que deberá ser diseñado
como controladores de lógica programable a prueba de fallas. La HMI del DCS se puede extraer
alarmas, eventos y mantenimiento del sistema de información del SIS, a través del bus común. La
comunicación entre los diferentes sistemas del SIS (en lo sucesivo, comunicación de seguridad)
deberán ser certificados por TÜV para la aplicación.

Tanto la HMI y el DCS deberá ser certificada por TÜV para tener ningún consecuencia en el
SIS o en la comunicación de seguridad, que se lleva a cabo en el mismo bus.Todas las señales que se
manejan en el SIS, se estima en un estudio HAZOP y se clasifican según las especificaciones de
seguridad.

El sistema deberá cumplir con las siguientes tareas en tiempo real las condiciones de:
• Leer las señales de transmisión de la medición de campo.
• Generar los valores de umbral de los valores analógicos de entrada.
• Realizar el control de la lógica binaria y de las funciones de control de secuencia.
• Auto de ejecución permanente de las funciones de diagnóstico.
• Lista de eventos en el orden de su ocurrencia con marca de tiempo con una resolución
de 1 milisegundo o mejor.
• Enviar todas las alarmas para el proceso de la IPM en el DCS integrados.
• Enviar todas las alarmas de diagnóstico del sistema para el HMI del DCS integrado.
• Enviar todos los eventos a la HMI del DCS.
• Permitir que el HMI lea el estado del SIS en la medida en que el operador en la sala de
control sea capaz de identificar qué módulo está fallando y el tipo de error,
información del sistema como el nivel de seguridad, el número de E / S, tiempo de
ciclo, versión del programa, etc.
63
REQUISITOS DE DISEÑO PARA HARDWARE
El hardware cumple con los siguientes estándares:

Estándar de PLC
IEC 61131-2 (*1, *2, *3)
Estándar Funcional de Seguridad
IEC 61508
Estándares de aplicación (*1)
EN 54 (*4), EN 298 (*3, *5), EN 50156-1, IEC 61511-1, NFPA85, NFPA72
Estándares de Seguridad (*6)
[CSA]
CSA C22.2 No.61010-1-04 (for the 100-120 V AC power supply specification)
[CE Mark] Low Voltage Directive
EN 61010-1 (220-240 V AC and 24 V DC power supply specifications) (*7)
Conformidad de estándares EMC (*1, *2, *6)
[CE Mark] EMC Directive
EN 55011 Group 1 Class A equivalent (220-240 V AC and 24 V DC power supply
specifications) (*8)
EN 61000-6-2 (220-240 V AC and 24 V DC power supply specifications) (*1)
EN 61000-3-2 (220-240 V AC power supply specification) (*9)
EN 61000-3-3 (220-240 V AC power supply specification) (*10)
[C-Tick Mark]
AS/NZS CISPR 11 (220-240 V AC and 24 V DC power supply specifications)
Estándar para equipo en áreas peligrosas (*11)
[FM Non-Incendive]
Class I Division 2 Groups A, B, C and D Temperature Code T4
FM Standard Class Number 3600
FM Standard Class Number 3611
FM Standard Class Number 3810
For 100-120 V AC, 220-240 V AC and 24 V DC power supply
[Type “n”] (*12)
II 3G Ex nC[nL] II C T4
EN 60079-15: 2005
IEC 60079-0: 2004
IEC 60079-11: 1999
For 24 V DC power supply
Estandares Marinos(*11)
ABS (American Bureau of Shipping)
BV (Bureau Veritas)
Lloyd’s Register

64
Especificaciones de Hardware del ESD

Esta sección describe las especificaciones de Hardware de los equipos principales y

componentes del ESD utilizados para este proyecto.

El Paro por Emergencia de la planta Alberto Lovera será un ProSafe-RS marca Yokogawa
instalado en una red de control Vnet/IP. Se utilizará la configuración dual redundante en
procesadores con dos buses de datos dual redundantes denominado Bus 1 & Bus 2. El Sistema se
compone de los equipos principales siguientes:

Estación de Trabajo de Ingeniería

Una estación de trabajo de ingeniería (EWS) será instalada con paquetes de software para
aplicaciones de ingeniería, mantenimiento y diagnóstico. La EWS será suministrada con un monitor
estándar, un teclado estándar, mouse óptico USB y una tarjeta de interfaz de red Vnet/IP. La red de
control del sistema estará conectada con la EWS por medio de la tarjeta de interfaz. Las siguientes
son las funciones del ESW:

• Aplicación de Ingeniería.
• Mantenimiento estándar y función de monitoreo.
• Capacidad para la modificación de la lógica en línea y de desplegar el estado de los
diagramas lógicos.
• Almacenamiento de SOE y los archivos de diagnóstico de eventos a nivel local.
• Estación de Control de Seguridad (SCS)
• El SCS ofrece una función de control de la seguridad, función de almacenamiento de
Secuencia de Eventos (SOER)
• El SCS se compone de una Unidad de Control de Seguridad (SCU) y de Unidades
Nodo de Seguridad de (SNU). La SCU se conectara con la SNU a través del Bus ESB.
Los módulos de I/O pueden ser instalados tanto en la SCU como en la SNU.

Figura: 6.1 Configuraciones típicas del SCS

65
 La SCU como una unidad completa es instalada en un rack dentro del gabinete del SCS, junto
con los SNUs locales. Para este proyecto la SCU es proporcionada con hardware redundante para
alta confiabilidad y disponibilidad.

En el modo de configuración redundante, los módulos Controladores CPU, unidades de

suministro de energía, tarjetas de interfaz Vnet/IP y tarjetas de interface de Bus ECB son
redundantes. Cada módulo Controlador CPU tendrá su propia unidad de batería para respaldar la
memoria. La SCU se conecta a las SNU´s por medio del Bus ESB. La SCU y la SNU tienen
unidades individuales de suministro de energía, las cuales son redundantes.

Tabla: 6.1 Especificación del Hardware de la Unidad de Control de Seguridad (Controlador)

Concepto Especificación
Modelo SSC50D-S2111
Procesador MIPS R5000
Memoria Principal 32 M Byte
interface Vnet/IP Dual-Redundante 100 Mbps
interface Bus ESB Dual-Redundante
Especificación de Conexión CAT6e UTP Conector RJ45
Conexión de entrada
Fuente de Alimentación 100-120 V AC, 50/60
doble

Unidad de Nodo de Seguridad (SNU)

La Unidad de Nodo de Seguridad está conectada a la Unidad de Control de Seguridad.

La unidad de nodo de la seguridad tiene una función de interfaz para transmitir las señales de
entradas y salidas de campo a la Unidad de Control de Seguridad a través del Bus ESB. Esta unidad
también tiene una función de suministrar energía a módulos de I/O. La Unidad de Nodo de
Seguridad es instalada con módulos de suministro de energía, módulos de Bus de interfaz y módulos
I/O.

Tabla: 6.2 Especificación de hardware de la Unidad de Nodo de Seguridad

Concepto Especificación
Tipo Para montaje en Rack de 19”
Fuente de Alimentación y
Modelo SNB10D-213
Bus ESB dual-redundantes.
Fuente de Conexión de entrada
100-120 V AC, 50/60
Alimentación doble

66
Tarjeta de Interfaz para el Bus de Control

La tarjeta de interfaz Vnet/IP (Modelo: VI701) es una tarjeta de comunicaciones de red

instalada en las estaciones SENG / EWS. La tarjeta VI701 se utiliza para la comunicación de control
y de propósito general en la red Ethernet. Existen dos puertos (Bus 1 y Bus 2), la configuración de la
comunicación de control redundante se realiza por estos dos puertos. En condiciones normales el
Bus 1 se utiliza para la comunicación de control; Bus 2 se utiliza para la comunicación abierta. En
caso de error en el Bus 1, la comunicación de control se realiza por medio del Bus 2.

Tabla: 6.3 Especificación de Hardware de la Tarjeta de Interfaz de Control Bus.

Concepto Especificación
Modelo VI701
Velocidad de Comunicación 1000 Mbps Full Dúplex
Especificación de Conexión CAT 6e UTP
Conector RJ45
Especificación PCI PCI-X Slot

Switches Nivel 3.

Los Switches de Nivel 3 se utilizan para conectar equipos dentro del dominio de la Vnet/IP y
equipos de terceros.

Tabla: 6.4 Especificación de Hardware de Switches Nivel 3 (24 puertos).

Concepto Especificación
Modelo VI701
Factor de Forma Para montaje en Rack de 19”
24 puertos Ethernet auto-sensing puertos
No. de Puertos
10/100/1000 con 4 ranuras SFP.
RAM 64 MB
Memoria Flash 8 MB
Periodo de Conmutación 20 micras para tramas de 64 bytes
MTBF 58,300 horas
Tensión Nominal 100 a 240V AC
Frecuencia Nominal 50 a 60 Hz
Consumo Eléctrico 42.9W máximo

Monitoreo de línea para las Entradas Digitales

Para todas las Entradas Digitales se realizará monitoreo de corto circuito y circuito abierto en
el cableado.

67
 Para entradas digitales individuales que se conectarán directamente a los módulos SDV144,
para comprobar el cableado se instalarán los adaptadores Yokogawa SCB100 Y SCB110 será
instalado en las inmediaciones de los equipos de campo.

Para detectar tanto circuito cerrado como circuito abierto, los módulos SCB100 y SCB110
serán conectados en paralelo y serie respectivamente a los contactos de salida de los equipos en
campo, como se muestra en la siguiente figura:

Figura: 6.2 Monitoreo de línea para Entradas Digitales.

Fuente de Alimentación para I/O de Campo

Las señales analógicas se obtienen por medio del módulo de SAI143 (modo de conexión 2-
hilos). El módulo SAI143 de Entradas Analógicas recibe 24 VDC del SCU o de la tablilla de
conexiones del SNU. En el modo de 4 hilos la alimentación para campo es suministrada por el
propio instrumento o por una fuente de alimentación externa.

Para entradas y salidas digitales, para el acondicionamiento y conversión de voltaje se

suministraran fuentes de alimentación de 120 VAC a 24 VCD. Se utilizarán fuentes de alimentación
Phoenix Contact Quint.

Las fallas en las Fuentes de Alimentación serán supervisadas por un circuito de potencia común.

Módulos de I/O

Esta sección describe las especificaciones de detalle y la filosofía de conexión de la señal de

módulos I/O utilizados en el proyecto.

Módulo de Entrada Analógica

Este módulo tiene entradas de 4-20mA para los transmisores de campo del Sistema de
Seguridad. Se utiliza con una tablilla terminal de conexiones Yokogawa SEA4D.

68
Tabla: 6.5 Especificaciones de Hardware del Modulo AI

Concepto Especificación
Modelo SAI143
Número de Canales de Entrada 16
Señal de entrada 4-20 mA
Corriente de Entrada Admisible 0-25 mA
Impedancia de Entrada (Encendido) 250 Ω
Impedancia de Entrada (Apagado) 500 kΩ mínimo
Precisión ± 16 μA
Frecuencia de actualización de datos 40 ms
16.6 V min. @ 20 mA
Fuente de Alimentación para
26.4 V máx. @ 0 mA
Transmisores
(Corriente de salida limitada: 25 mA)
5 Volts: 320 mA,
Consumo de Corriente máximo
24 Volts: 550 mA
Cable del Sistema KS1
Instalación Instalación en SNU o SCU
Configuración dual-redundante Disponible

Módulo de Entrada Digital

Este módulo recibe las señales de contacto o sensor de voltaje de campo. Se utiliza en
conjunto con la tablilla de conexión terminal Yokogawa SED4D.

Tabla: 6.6 Especificaciones de Hardware del Modulo DI

Concepto Especificación
Modelo SDV144
Número de Canales de Entrada 16, aislamiento colectivo
Contacto sin Voltaje
Señal de entrada ON: 1 kΩ máximo
OFF: 100 kΩ máximo
6 mA ± 20%
Corriente de Entrada Admisible (Fuente de alimentación externa, 24VDC @
0Ω de entrada)
Tiempo de Respuesta de Entrada 40 mS máximo
290 mA máximo (5 VDC)
Consumo de Corriente máximo
140 mA máximo (24 VDC)
Cable del Sistema AKB331
Instalación Instalación en SNU o SCU
Configuración dual-redundante Disponible

69
Módulo de Salida Digital

Este modulo envía a campo el estado de señales digitales por medio de contactos de
transistores. Se utiliza en conjunto con la tablilla de conexión terminal Yokogawa SED4D.

Tabla: 6.7 Especificaciones de Hardware del Modulo DO

Concepto Especificación
Modelo SDV144
Número de Canales de Salida 16, aislamiento colectivo
voltaje de Salida 24 VCD
Caída de voltaje máxima en la Salida 1 V máximo
0.2 A / salida de línea (3.2 A en el total de la
Corriente Máxima de Carga
línea de salida)
Corriente Mínima de Carga 100 mA
Tipo de Salida Fuente de Corriente
Tiempo de Respuesta en la Salida 30 ms
300 mA máximo (5 VDC)
Consumo de Corriente máximo
150 mA máximo (24 VDC)
Cable del Sistema AKB331
Instalación Instalación en SNU o SCU
Configuración dual-redundante Disponible

Tablilla Terminales de Conexión

Todos los módulos de I/O están conectados con cables estándares a las tablillas terminales de
conexión. Dependiendo del tipo de I/O (analógica o digital) se suministran diferentes tablillas
terminales de conexión, como se indica abajo.

Tabla: 6.8 Especificaciones de Hardware para Tablillas Terminales de Conexión

Tipo de Señal Tipo de Tablilla Terminal (Modelo/Fabricante)

Entrada Analógica SEA4D / Yokogawa
Entrada Digital SED4D / Yokogawa
Salida Digital SED4D / Yokogawa

En general los cables de campo de I/O son conectados a las terminales.

Sistema de Cables del ESD

Esta sección describe las especificaciones de varios cables para el ProSafe-RS ESD utilizados
en el proyecto.

70
Cable de Red

Todos los cables conectados al Bus 1 y Bus 2 de la Vnet/IP están clasificados como cables de
red. Estos cables son de tipo IEEE802.3 CAT 6 equipadas con conectores RJ45 en ambos extremos.
Estos cables se utilizan para conectar los controladores SCS y EWS a los switches nivel 3.

Tabla: 6.9 Especificaciones de Hardware de Cables de Red

Concepto Especificación
Modelo 1000BaseT CAT 6 con conector RJ45
Rojo para Bus 1
Color Azul para Bus 2
Gris para comunicación abierta
Distancia máxima 100 metros

Cables del Sistema

Todos los cables para las conexiones entre los módulos de I/O y las tablillas terminales de
conexión se clasifican como Cables del Sistema. Los circuitos de I/O del sistema SCS están
conectados a la Tablilla Terminal de Conexiones por medio de cables Yokogawa. Estos cables están
provistos de un conector para ser conectado a las Tablillas Terminales de Conexión.

Tabla: 6.10 Especificaciones de Hardware para Cables del Sistema

Concepto Especificación
Modelo KS1 AKB331
Tipo Cable para AI Cable para DI/DO
Tablilla de Conexiones Yokogawa SEA4D Yokogawa SED4D
Modulo de I/O SAI143 SDV144, SDV541
Color Gris Gris
Distancia máxima 15 metros 15 metros

Cableado

Esta sección describe el detalle de los cables utilizados para la fabricación de gabinetes en el
proyecto.

Codificación de colores y diámetro del Cable

El código de color para el cableado será como se indica a continuación:

71
 Tabla: 6.11 Código de Colores

Concepto Especificación
Señal + (si aplica) - (si aplica)
Alimentación AC Negro (Vivo) Blanco (Neutro)
Tierra de Seguridad Verde
Tierra de Instrumentos Verde / Amarillo
Alimentación 24 VCD Rojo Negro

Los tamaños del cable para los gabinetes y consolas serán seleccionados para adaptarse a la
corriente de carga, los requisitos mínimos son los indicados a continuación:

Tabla: 6.12 Tamaño de Cableado

Concepto Especificación
Tipo de Cable Tamaño
Distribución de Corriente Alterna
4 mm², 2.5 mm²
(AC)
Líneas de Tierra 4 mm², 2.5 mm²
Distribución 24 VCD 4 mm², 2.5 mm²

Segregación y Agrupación de I/O

Esta sección describe la segregación de I/O y la filosofía de agrupación del Sistema

Instrumentado de Seguridad ProSafe-RS.

Requisitos de Diseño

El SIS se compone de una Estación de Control de Seguridad ProSafe-RS. La estación de

control de seguridad estará dedicada al Sistema de Paro por Emergencia de la Planta Alberto
Lovera.

Requerimientos de Segregación

No existen requisitos de segregación más allá de aquellos inherentes a la arquitectura del

sistema.

Los puntos de I/O de equipos paralelos dentro de una unidad de proceso serán asignados a
tarjetas de I/O diferentes cuando esto sea posible. Para las señales con votación 1oo2 y 1oo3, se
asignará a tarjetas de I/O diferentes cuando esto sea posible.

Especificaciones Generales de Gabinetes

Esta sección describe las especificaciones generales para los gabinetes del sistema SCS utilizados en
el proyecto.

72
Filosofía de diseño para Gabinete SCS

El gabinete SCS está diseñado para albergar la Unidad de Control de Seguridad (SCU) y la
Unidad de Seguridad de Nodo (SNU). Los nodos SCU ó SNU contienen módulos I/O en
configuración simple ó redundante. El SCU se monta en la parte superior del gabinete. Los SNUs se
montan por debajo de los SCU. El lado frontal del gabinete tendrá típicamente 1 SCU y un máximo
de 4 SNUs. Si los SCUs tienen más de 4 SNUs conectados, la parte posterior del gabinete puede ser
utilizado para instalar del 5to al 9no SNU.

Los cables del SCS para los módulos de I/O que han sido montados en los SNUs serán
conducidos a través de los conductos montados en los laterales de los gabinetes. Los detalles del
arreglo de montaje, distribución de energía, ruta de cableado y otros aspectos asociados serán
proporcionados en el paquete de planos del sistema.

Filosofía de Puesta a Tierra.

El sistema ESD incluyendo los equipos asociados, gabinetes, consolas, etc. deben estar
conectados por separado del sistema de tierra eléctrica.Los tipos de tierra para el sistema EDS son
los siguientes:

• Tierra de Protección (no aislada).

• Tierra de Instrumentos (aislada).

Las siguientes son las definiciones de los tipos de tierra:

La tierra de protección es para la seguridad de los equipos y el personal que operan en el

sistema. Corresponde a la puesta a tierra de la estructura del gabinete, puertas, consola, etc.

La tierra instrumento se destina para la conexión a tierra de los equipos del ESD, tales como
son SCU, SNU, cables del sistema, pantallas de los cables del instrumento, etc.

El Gabinete del SIS será equipado con una barra de tierra de protección y una barra de instrumentos
en tierra.

Conexión a tierra de protección (tierra de seguridad)

Cada barra de tierra de protección en los gabinetes tendrá un tornillo para la conexión al
sistema de tierra de protección.

Todos los equipos metálicos dentro del gabinete (incluidos los marcos de gabinete, puertas, y
los paneles laterales) estarán conectados a la barra de tierra de protección del gabinete.

Todas las conexiones a la barra de tierra de protección deberán ser realizadas a través de
terminales de cable de tipo anillo. El color de los cables será de color verde.
Cada barra de tierra de protección en los gabinetes deberá tener un cable conectado
directamente al sistema de tierra de protección en el cuarto.

73
Conexión a la tierra de instrumento (tierra de señal)

Cada barra de tierra de instrumentos en los gabinetes tendrán un tornillo para la conexión al
sistema de tierra de instrumentos.
Todas las barras de la tierra de instrumentos estarán aisladas de la estructura del gabinete y de
la tierra de protección. Los nodos SCU y SNU se conectará a la barra de tierra de instrumento del
gabinete.

Todas las conexiones a la barra de tierra de instrumentos deberán ser realizadas a través de
terminales de cable de tipo anillo. El color de los cables será de color verde/amarillo.

Cada barra de tierra de instrumentos en los gabinetes deberá tener un cable conectado
directamente al sistema de tierra de instrumentos en el cuarto.

Fusibles de protección.

Los circuitos de distribución de AC estarán protegidos contra sobre corriente con fusibles
instalados en las terminales de distribución de AC. Los valores de los fusibles será el siguiente:

• Distribución de energía para SCU – 5A

• Distribución de energía para SNU - 3A
• Distribución de energía en terminales de reserva – 1A

Convenciones de Nomenclatura

Esta sección se describe los componentes de la filosofía de numeración para los gabinetes,
consolas, computadoras y diverso hardware utilizado en el proyecto.

Identificación de Gabinetes

Todos los gabinetes se le asignarán un número de componentes para identificación. La

numeración del gabinete será única en el proyecto y será de la siguiente forma:

• AL-xxx-nnn
• AL: Alberto Lovera.
• xxx: Esto corresponde a los siguientes tipos de equipo:
• ESD/F&G = Gabinete del Sistema de Paro por Emergencia ó Fuego y Gas
• nnn: Esto corresponde al número secuencial asignado:
• nnn = número secuencial asignado.

Inspección y pruebas

Esta sección define la inspección del proyecto y la filosofía de pruebas. El delineamiento de

actividades y requerimientos confirman que los sistemas SIS son fabricados de acuerdo a los
requerimientos y especificaciones del proyecto.
74
 La fase de pruebas interna del sistema será realizada después del ensamble del proyecto y la
fase de implementación de acuerdo a la fase de proyecto que usa como modelo por Yokogawa.

La verificación de los entregables toma lugar como una parte integral del modelo del
proyecto de Yokogawa. Para la mayor parte de los componentes del proyecto (como lo son
aplicaciones de módulos de software, especificación de típicos del proyecto de HW/SW).

Pruebas internas e Inspección (Pre-Fat)

Durante las Pre-Fat todo el hardware y software del SIS fabricado por Yokogawa será sujeto
a un 100% de pruebas internas e inspección por el equipo del proyecto de acuerdo al plan de calidad
de Yokogawa. El resultado de estas pruebas e inspecciones será registrada y estará disponible
durante la ejecución de las FAT.

El procedimiento de aprobación de las FAT junto con el plan de calidad para el proyecto
estará basado en las Pre-FAT. La serie de pruebas que son descritas en el procedimiento FAT serán
ejecutadas para probar y verificar que el sistema cumpla con los requerimientos y especificaciones
del proyecto. Todos los problemas registrados serán solucionados antes de las FAT,

El propósito de esta prueba internas para Yokogawa es verificar que todos los elementos
estén dentro de un sistema (hardware y aplicaciones de software) operen conscientemente y
correctamente, y que el sistema ha sido construido de acuerdo al documento de diseño y los
estándares de calidad de Yokogawa.

Las pruebas internas y las inspección será realizadas y registrada en cada (sub) sistema del
total de sistemas en el alcance, como se menciona en los parágrafo anteriores.

En resume esto incluye:

Una verificación básica de la construcción del sistema, como son las mediciones y revisiones
de la continuidad del cableado y la resistencia de aislamiento con respecto a las fuentes de poder y la
diversidad de tierras.

Revisión del hardware y software de la estación EWG.

Interconexión de gabinetes (si aplica), instalación y construcción de software y configuración,

revisando la correcta instalación/configuración así como la verificar de los parámetros de software
/hardware.
Medir un punto de uso y regular algunos de los dispositivos si fuera el caso (fuentes de poder
y convertidores).Las funcionalidad de las I/O de campo generalmente son verificadas por las
introducción de una señal o midiendo las terminas de I/O de campo. La medición y el registro de los
parámetros del rendimiento del ProSafe-RS (Memoria libre, tiempo libre, redundancia etc.)

Se realizaran pruebas funcionales para confirmar que no haya degradación en la funcionalidad

que haya sido causada por la integración de sistema y en caso de sistemas con múltiples
procesadores, se realizaran para probar todas las transacciones entre los procesadores.
75
 Se deberá conservar un archivo de la prueba para mantener el registro de cualquier defecto,
este archivo estará disponible si es requerido.

Pruebas de Aceptación en fábrica

Las pruebas FAT serán dirigidas por el fabricante y esta incluirá las pruebas y la aceptación
tanto de hardware como software en las secciones de SIS. El objetivo de la realización de las FAT
es demostrar al cliente que el rendimiento funcional de la ingeniería del SIS cumple con las
especificaciones del proyecto.

El procedimiento para la aprobación de las FAT para el proyecto estará basado en las formas
básicas de las pruebas de FAT. Serán realizadas la serie de pruebas que son descritas en el
procedimiento de las FAT y los resultado será registrados.

Durante las pruebas de aceptación de fábrica será requerida la firma del cliente y sus iníciales
para registrar si la prueba es aceptada o si existen deficiencias en la prueba ejecutada, lo anterior
será necesario en los siguientes documentos:

Registrar las pruebas - Pruebas de Aceptación en Fabrica.

Lista de Resultados FAT (si aplica).

En resumen, las pruebas de aceptación en fábrica cubren:

• Verificación por el cliente la base de datos (documentación), particularmente los

niveles de las revisiones del cliente que hayan sido emitidos previamente hacia
Fabricante como “Para construcción” para asegurar de esta forma que el diseño,
construcción y pruebas han sido realizadas con las últimas emisiones.
• Inspección visual. Aspectos mayores mecánicos y eléctricos de construcción.
• Pruebas sobre aspecto de redundancia de los elementos de los sistemas u otros sistemas
con característica especifica en el proyecto del contrato.
• Prueba del 10% de las I/O (Integridad de Hardware y software, parámetros, etc.).
• Prueba del 100% de la aplicación lógica. Se probara la aplicación específica del
proyecto contra Matrices de Causa y Efecto, narrativas, etc.
• Secuencia de eventos de manera tal que se compruebe que los eventos ocurren para
todo tipo de señales (si es aplicable).
• Verificación de la lista de materiales (BOM).

En la terminación de las pruebas, los registros de las pruebas son firmados e incluidos en el
libro del proyecto. La lista de I/O, dibujos lógicos, Matrices de Causa y Efecto y los gráficos
impresos serán remarcados con una línea amarilla y estos serán firmados por todas las partes como
evidencia de las pruebas.

Una vez concluidas estas pruebas y en completa satisfacción de algún defecto, será requerida
la firma el cliente en el Certificado de Pruebas de Aceptación en Fabrica, que señala que las FAT´s
ha sido completadas y que el sistema está aprobado para ser embarcado.
76
Descripción general de la red

Especificaciones de la Vnet/IP

El ProSafe-RS utiliza la estructura de la red Vnet/IP. La Vnet/IP es una red que cumple con
los estándares de comunicación IEEE802.3, UDP/IP y TCP/IP y soportan una velocidad de
transmisión de 1 Gbps. Este tiene dos caminos independientes de comunicación, el canal de
comunicación de control (Bus1) y el de comunicación abierta (Bus2).

La comunicación de control está basada en UDP/IP, en la cual la comunicación es para

transferencia de datos de control. La comunicación abierta está basada en TCP/IP en la cual la
comunicación es conducida usando varios estándares de protocolos Ethernet.

La Vnet/IP está diseñada como una red dual redundante con un Bus dual redundante. El Bus 1
es usado solamente para comunicaciones de controlar mientras el Bus 2 es usando para la
comunicación abierta. Si ocurre alguna falla en el Bus 1, la comunicación de control es respaldada
por el Bus 2. Aunque la comunicación de control se cambie al Bus 2, está asegurada suficiente
ancho de banda para el control y la comunicación abierta, de manera que no existe ningún efecto en
cualquiera de los Bus de comunicaciones. En caso de una falla en el Bus 2 la comunicación de
control cambia al Bus 1 y la comunicación abierta falla.

La topología de las conexión Vnet/IP será tipo árbol. Los dispositivos dentro de los dominios
esta conectados usando L3SW.En una red Vnet/IP dual-redundante tanto el Bus 1 y el Bus 2 son
independientes en sus sub mascaras. Dos rutas de comunicación independientes existen para cada
bus.

Pueden ser conectadas hasta 64 estaciones por dominio Vnet/IP. Si más de 64 estaciones
Vnet/IP fueran conectadas, pueden separar los dominios para incrementar el número de estaciones
Vnet/IP conectadas.

Conexiones para el ProSafe-RS

La EWS es una estación dentro la red Vnet/IP. Esta es una estación Vnet/IP que es conectada
a la red Vnet/IP por medio de una tarjeta VI701. La tarjeta VI701 contiene dos puertos de conexión
para los cables de comunicación Vnet/IP con lo cual soportar la dualidad de los buses de Vnet/IP.
EL SCS-IP (SSC50D) es una estación de control de seguridad conectada en la red Vnet/IP. La
transmisión de velocidad del SCS-IP es 100Mbps.

Redundancia dual de la Vnet/IP

La comunicación de una estación Vnet/IP determina el estatus del trayecto de la comunicación

para la trayectoria de información, y elige un Bus normal (healthy) para trasmitir la información
requerida. Si la comunicación es normal en ambos buses, el Bus 1 es seleccionado para la
comunicación de control. Si un problema ocurre en el Bus 1, el Bus 2 será usado. Si el Bus 1 se
recupera este vuelve a tomar el control. Por defecto el Bus 1 siempre es el Bus de control.

77
 Los cambios en el Bus esta representados en cada destino de la comunicación. En la siguiente
figura, si un error de comunicación ocurre en el cable entre L2SW y la estación Vnet/IP (C), el Bus
1 es usado entre la estación Vnet/IP (A) y la estación (B) y el Bus 2 es usando entre las estaciones
Vnet/IP (A) y (C).

La figura abajo muestra la trayectoria de comunicación con el Bus1 en error.

Figura: 6.3 Trayectoria de trasmisión entre las estaciones Vnet/IP A y C

Si el L2SW en el Bus 1 está en falla. El Bus 2 será usado entre las estaciones Vnet/IP A y B y
entre las estaciones Vnet/IP A y C. Si el L2SW en falla regresa a la normalidad, el Bus 1 queda
disponible y es usado nuevamente.

La figura de abajo muestra el trayecto de comunicación cuando el Bus 1/L2SW está en falla.

Figura: 6.4 Trayecto de comunicación con el Bus 1 L2SW/L3SW en falla.

78
Configuración del Sistema con Comunicación Abierta

Los dispositivos de comunicación basada en Ethernet serán conectados en el Bus 2 de las

Vnet/IP del sistema. Las impresoras de red serán conectadas en el Bus 2

En el sistema Vnet/IP, un ancho de banda de 500 Mbps en la comunicación de control está

disponible en el Bus 1 y el Bus 2, un ancho de banda de 500 Mbps está disponible para la
comunicación abierta en el Bus 2. Además del ancho de banda de 500 Mbps en Bus 2 para
comunicación abierta, 200 Mbps de ancho de banda son utilizados para la comunicación entre las
estaciones HIS (Centum CS300) y las EWS, los 300 Mbps de ancho de banda restantes son
reservadas para comunicación abierta general.

Si existen dispositivos de propósito general basado en una comunicación abierta conectados en

el lado del Bus 2, el ancho de banda para la comunicación abierta de la Vnet/IP estará dentro de los
300 Mbps para cada dominio, de manera que la comunicación de control operara bajo un estado
estable.

La figura de abajo muestra la disponibilidad del ancho de banda del Bus 1 y Bus 2

Figura: 6.5 Ancho de banda con comunicación abierta

Especificaciones de direcciones Vnet/IP

Direcciones IP utilizadas para el sistema Vnet/IP

La clase de direcciones A y B son usadas para el sistema Vnet/IP en el Bus 1 (Sub mascara
255.255.0.0) y direcciones clase C en el Bus 2 (Sub mascara 255.255.255.0).

Las direcciones de red están determinadas por un número de dominio como se muestra:

79
 Tabla: 6.13 Direcciones de Red Vnet/IP

Línea de Bus Dirección de red

Bus 1 176.16. (Numero de dominio). (Numero de estación)
Bus 2 192.168.128 + (Numero de dominio). 129+(Numero de estación)

Tabla. 6.14 Las siguientes direcciones IP serán asignadas al controlador ProSafe-RS.

Controlador BUS Dirección de red

SCS01051 (Puerto 1 en ambos módulos) 1 172.16.1.1
SCS01051 (Puerto 2 en ambos módulos) 2 192.168.129.130

Direcciones IP para Comunicación de Control

Una dirección IP para el control de comunicación será automáticamente colocada dentro del
rango de 1 a 129 para el dominio y del número de estación. El dominio y número de estaciones será
colocado por medio de los DIP switches en las tarjetas VI701 para la estaciones de ingenierías y
servidores EXAOPC, y con el DIP Switch ubicado en el chasis de los controladores del ProSafe-RS.

Direcciones IP para la Comunicación Abierta

Las dirección IP para la comunicación abierta en una estación Vnet/IP, así como las de
propósito general, los dispositivos basado en comunicación abierta y los dispositivos de red no son
automáticamente asignadas. Las direcciones de red deberán ser colocadas conforme a la dirección
del sistema para la red de comunicación de control. Las direcciones del 1 al 129 son para la
comunicación de control, de las direcciones 130 a la 253 serán usadas como servidores de
direcciones para comunicación abierta y la 254 será usada como servidor de tiempo.

(1 a 29) para comunicación de (130 a 253) para comunicación Para Servidor de

control abierta Tiempo (254)

80
 REQUISITOS DE DISEÑO DE SOFTWARE
Abreviaturas y Acrónimos
La siguiente terminología, definiciones y abreviaturas se utilizan en los requisitos de diseño
para software y hardware.
Tabla: 7.1 Terminología
Terminología
Propietario
Contratista
Tabla: 7.2 Definición
Definición
Des-energizado para activar
Energizado para activar
Falla – Estado Seguro
Interface Humano - Máquina
Integridad del Sistema
Sistema ESD
Sistema ProSafe-RS
Solucionador de Lógica
Sitio
Ubicación
Descripción
Pacific Rim Energy
Controval
Descripción
Principio según el cual el cierre u otra acción de
seguridad relacionada se inicia por una des-energización de
la entrada ó del circuito de salida.
Principio según el cual el cierre u otra acción de
seguridad relacionada se inicia por una energización de la
entrada ó del circuito de salida.
Un modo de falla, que no tiene el potencial de poner
sistemas de seguridad relacionados en un estado peligroso
ó en un estado de función de falla.
Instalación centralizada que proporciona información
del estado y del control de las funciones para el proceso.
La probabilidad de que el sistema ejecute
satisfactoriamente las funciones de seguridad necesarias en
todas las condiciones establecidas en un periodo de tiempo
establecido.
El sistema completo, dentro del alcance, para todas
las funciones de seguridad.
Parte del sistema de seguridad que contiene el
controlador ProSafe-RS y los correspondientes módulos de
entradas y salidas.
El modulo procesador del ProSafe-RS con la función
de controlador.
Área del proyecto con uno ó más edificios de
sistemas.
Localización del edificio de sistemas en el sitio.
81
Tabla: 7.3 Abreviaturas

Abreviatura Descripción
1oo1 Uno de uno.
1oo1D Uno de uno con diagnostico.
1oo2 Uno de dos.
1oo2D Uno de dos con diagnostico.
2oo2 Dos de dos.
2oo3 Dos de tres.
2ooN Dos de N.
AI Entrada analógica.
AMS Sistema de Gestión de Alarmas.
AOF Alarmas Apagadas.
BDV Válvula de purga (Blowdown Valve).
BPCS Sistema Básico de Control de Proceso.
CCM Centro de Control de Motores
CCP Cuarto de Control de la Planta
C&E Causa y efecto.
CB Interruptor de Circuito.
DCS Sistema de Control Distribuido.
DI Entrada Digital.
DO Salida Digital.
DTI Diagrama de Tubería e Instrumentación.
DTS Des-energizar para seguridad
EDP Despresurización de Emergencia.
EOL Final de la línea (cableado).
EPC Ingeniería, Procura y Construcción
ESD Sistema de Paro por Emergencia
ESDV Válvula de Paro por Emergencia (Emergency Shutdown Valve)
ETA Energizado para acción.
ETS Energizado para seguridad.
EWS Estación de Trabajo de Ingeniería.
ExaOPC Paquete de interfaz OPC de Yokogawa.
FAS Sistema de Alarma de Incendio.
FAT Prueba de Aceptación en Fábrica.
FB Bloque de Funciones.
FCS Estación de Control de Campo (Centum CS3000 ó Centum VP).
FDS Especificación de Diseño Funcional.
FHT Prueba de Hardware en Fábrica.
FIT Prueba de Integración en Fábrica.
FTA Tablilla Terminal de Conexión de Campo.
GPS Sistema de Posicionamiento Global.
Protocolo HART (Highway Addressable Remote Transducer). Estándar
HART mundial para enviar y recibir información digital a través de los cables entre
dispositivos analógicos inteligente y sistemas de control ó monitoreo.
82
HIS Estación de Interfaz con el Humano.
HMI Interface Humano - Máquina
HSE Salud, Seguridad y Medio Ambiente
I/O Entrada / Salida
IEC Comisión Electrotécnica Internacional
IFAT Prueba Integral de Aceptación en Fábrica.
IPF Función de Protección Instrumentada.
IPS Sistema de Protección Instrumentado.
ES Intrínsecamente seguro.
ISAT Prueba Integral de Aceptación en Sitio.
ISO Organización Internacional de Normalización.
L2SW o L2S Switch nivel 2.
L3SW o L3S Switch nivel 3.
LAN Red de Área Local.
LED Diodo Emisor de Luz.
NTP Network Time Protocol.
MAC Contratista Principal de Automatización.
MAN Manual
MTBF Tiempo Promedio entre Fallas.
MTTR Tiempo Promedio para Reparación.
NIS No intrínsecamente seguro
OPC OLE for Process Control
PC Personal Computer
PE Tierra de Protección
PRM Administrador de Recursos de Planta de Yokogawa.
SAT Pruebas de Aceptación en Sitio.
SCS Estación de Control de Seguridad (ProSafe-RS)
SCU Unidad de Control de Seguridad (ProSafe-RS)
SENG Estación de Trabajo de Ingeniaría para Seguridad.
SIL Nivel de Integridad de Seguridad.
SIS Sistema Instrumentado de Seguridad.
SIT Prueba Integral en Sitio.
SNU Unidad de Nodo de Seguridad.
SOE Secuencia de Eventos.
SOER Registrador de Secuencia de Eventos.
SVP Validación del Plan de Seguridad.
TB Bloques Terminales.
Transmission Control Protocol / Internet Protocol.
TCP/IP Conjunto de protocolos de comunicación utilizados para Internet y otras
redes similares
TUV Technischer Überwachung Verein
UDFB Bloques de Funciones definidos por el usuario.
UPS Fuente de Poder Ininterrumpible.
Es una red que cumple con los estándares de comunicación IEEE 802.3
Vnet/IP
y TCP/IP.
83
Software de Configuración

La estación de ingeniería deberá ser suministrada con todas las herramientas que son
necesarias para la configuración y programación del sistema.

La función de programación de la configuración es claramente diferente de la función normal

de operación. El umbral especificado de valores formados en el sistema sólo podrá ser cambiado en
la función de configuración

En la configuración de función de la programación, es obligatorio tener las E/S con fines de

prueba.

Será posible hacer pruebas fuera de línea con una configuración en la estación de ingeniería
sin los controladores del SIS.

Será posible notificar el error implícito en la programación.

Será posible notificar las diferencias entre el programa modificado y el anterior.

La función de auto documentación deberá permitir las impresiones completa de la base de

datos actualmente instalados, a fin de incluir una tabla de contenidos, diagramas de lógica con
detalles y descripciones de los servicios (hasta 36 caracteres), los parámetros de E/S, direcciones
Modbus (si procede), la prioridad de alarma y la lista de las hojas del programa.

Es posible ejecutar la prueba para el SIS, incluidas las comunicaciones de seguridad y la

prueba de integración con el DCS en una sola PC.

Es posible llevar a cabo la integración de una planta de un sistema operativo integrado en la

formación para el SIS y el DCS en una sola PC.

Función en línea

Es posible realizar cambios en línea lógica de menor importancia al SIS en modo de

funcionamiento, a lo largo de las directrices establecidas TÜV.

Deberá ser posible para evitar enlaces falsos causados por errores de programación.

El SIS seguirán operando con normalidad su función de seguridad durante la descarga en

línea.

Software de Aplicación

El software suministrado con el SIS se compone de aplicación necesarios para el

funcionamiento del SIS y cumplir con las tareas necesarias para controlar y supervisar el proceso de
la planta.

84
 Los módulos de función estándar o de la lógica de escalera o una combinación de ambos se
utilizarán para el desarrollo de la aplicación de software.

Deberá ser posible obtener los valores de umbral ajustable en todas las señales analógicas de
entrada. Las tareas tienen que ser especificadas por el cliente, para llevarse a cabo con la ayuda de
las funciones especiales y estándar de los programas, etc.

Las secciones de los programas de procesamiento de la instalación de funciones que no son de

seguridad pertinentes deberán estar claramente separadas de las secciones del programa empleados
para dispositivos de seguridad adecuados. Las modificaciones en una sección del programa no
pueden afectar a la otra sección.

Lenguaje de programación será según la norma IEC 61131-3.

El software específico para el proyecto será preparado por el proveedor y deberá incluir:

• Configuración del sistema de funciones.

• Configuración de las entradas / salidas.
• Aplicación de diagramas funcionales de programas específicos en los proyectos.
• La preparación del software del usuario para las funciones descritas anteriormente es
parte integral del SIS.
• El software de aplicación una vez cargado en el SIS se almacenará la memoria de las
CPU del SIS, de manera indefinida con la memoria flash.

Funciones de Auto diagnóstico

El firmware debe ofrecer un auto-diagnóstico de todos los componentes. Se han de garantizar

que un fallo u avería de un componente del sistema se limitará solamente a este componente.

En caso de fallo del sistema, todas las señales de salida deben adoptar un estado seleccionado
previamente definido

Un sistema de fallo de un componente no debe crear fallos posteriores en el sistema de otros

componentes o en el sistema de bus común.

En el caso de componentes redundantes, el componente de copia de seguridad se hará cargo de

todas las funciones del componente que falla sin restricciones en el proceso. Hacerse cargo de las
funciones de los componentes redundantes que se registrarán como el fallo del sistema con la
excepción de cambio regular recurrente de los componentes del bus por ejemplo.

Todos los fallos del sistema o de actividades se anunciarán en la HMI y se registraran en la

impresora de alarma.

85
Función del Secuenciador de Eventos

Alarma y lista de secuencia de eventos con una resolución de marca de tiempo para señales
digitales de 1 milisegundo que se generan y se imprimen. La resolución deberá ser independiente del
tiempo de exploración de la CPU.

Marcación del tiempo de alarma y los eventos se llevarán a cabo dentro del sistema de
recepción y trasladado al DCS.

Las alarmas servidor y los eventos se incluirán en los resúmenes de alarma común en la
consola del operador.

La visualización de las alarmas DCS y los eventos se fusionarán en una sola ventana.

Los datos del servidor se respaldaran en de la batería durante 6 meses.

Seguridad

La configuración del software deberá estar asegurado con la protección de contraseña para
evitar el acceso o cambios no autorizados.

La seguridad de las contraseñas por separado estará disponible para los programas de
aplicación para evitar el acceso o cambios no autorizados.

La seguridad de las contraseñas por separado estará disponible para los controladores del SIS
para separar el funcionamiento normal, el mantenimiento y la conexión de descarga de los modos de
operación.

Configuración del Software

La configuración del ProSafe-RS es un conjunto de datos de ingeniería creados por el usuario y

objetos, que en conjunto es denominado como "Proyecto". Se creara un Proyecto para cada
controlador ProSafe-RS, el cual se encuentra en la estación de Control de Seguridad (SCS).

Tipo de proyecto

ProSafe tiene los siguientes dos tipos de jerarquías de proyectos:

Proyecto RS.- Un proyecto de RS es una combinación de varios proyectos de SCS a fin de

empaquetar los datos de ingeniería de proyectos de SCS. Definir el proyecto RS permite el
monitoreo colectivo de la situación de la SCSs con la función de soporte de mantenimiento SCS.

SCS proyecto.- Un proyecto SCS está definido y gestionado por un SCS. Esto permite que la
base de datos que sea guarde y se restaura para cada SCS.

Relación entre proyecto RS y proyecto SCS:

86
 Un proyecto RS debe incluir al menos un proyecto de SCS. Un proyecto de SCS no puede
compartirse con otros proyectos RS y no puede ser incluido en otro proyecto de RS.

Software de Aplicación

La aplicación de software de seguridad está configurada en un proyecto SCS. Las partes

principales del proyecto SCS consisten en lo siguiente:

• I/O Hardware Definición.

• Dictionary.
• I/O Parameter Builder.
• Program Organizational Units (POU).
• User-Defined Functions.
• User-Defined Functions Blocks.

I/O Hardware Definición.- En la aplicación I/O definición hardware se realizan las siguientes
actividades:

• Añadir y eliminar módulos de entrada/salida.

• Especificación de posiciones de montaje de los módulos de entrada/salida.
• Selección de configuración simple y redundante de los módulos de entrada/salida.
• Asignación de variables y canales.

Dictionary.- La vista de Dictionary (diccionario) en el SCS Manager se utiliza para definir las
variables de entrada/salida, las variables internas y los parámetros utilizados en la aplicación lógica.

I/O Parameter Builder.- La aplicación I/O Parameter Builder es utilizado para especificar
parámetros para los módulos de entrada/salida definidos en I/O Hardware Definition.

POU, User-Defined Functions, User-Defined Functions Blocks.- Pou es un nombre genérico

para los programas que contienen bloques de funciones y funciones. Lógica de la aplicación es una
combinación de POUs. Un POU se creará para cada función lógica con la lógica de la aplicación,
tales como el procesamiento de entrada, la lógica de causa y efecto y las fallas del sistema. Múltiple
POU será definido para la lógica de causa y el efecto, divididos en áreas lógicas para permitir el
monitoreo en línea de los elementos más pequeños la lógica.

Programas, bloques funcionales y funciones son definidas mediante un enlace de Arquitectura

y se definen de la siguiente manera:

Programa.- Implementado mediante la combinación de variables, bloques funciónales y

funciones.

Bloque de función. - Implementado mediante la combinación de parámetros entrada/salida,

variables internas, bloques de función y funciones.

87
 Función. - Implementado mediante la combinación de parámetros entrada/salida y funciones.

ProSafe-RS ofrece bloques funcionales estándar y funciones tales como "TON" y "AND",
pero el usuario puede definir bloques funcionales y funciones personalizados para ser
implementados en una lógica comúnmente utilizada en varias aplicaciones. Los bloques funcionales
y funciones definidos por los usuarios son llamados user-defined function blocks y user-defined
functions respectivamente. User-defined function blocks y User-defined functions pueden ser
utilizados en cualquier programa de la misma manera como los bloques funciónales y las funciones
estándar son utilizados.

Típicos Software

Los documentos de entrada de diseño, como causa y efecto, diagramas y descripciones de

control contienen a menudo repetitivos requisitos funcionales que demandan la misma aplicación
lógica para ser utilizada una y otra vez. Un "típico" software se define como un conjunto de
elementos lógicos combinados para realizar la misma función para varias instancias.

El uso de los típicos de software asegura que cada incidencia utilizada a lo largo del sistema
ESD se llevará a cabo en la misma forma, ofreciendo así una operación consistente para las
funciones repetitivas.

Propósito

El propósito de los típicos de software es proporcionar un elemento de programación estándar

para requerimientos funcionales repetitivos, con lo cual se pretende, reducir al mínimo los errores de
programación e interpretación, reducir las pruebas y proporcionar un medio para la modificación
global de las tareas estándar de programación.

Filosofía de Nombres para Tags

Los nombres de los tags para ProSafe serán formados como se indica a continuación:

Los nombres de los tags será exactamente como aparecen en los DTI/Matrices Causa Efectos
sin guiones en la parte de configuración del SIS y con guiones en el HMI.

Las variables de aplicación no pueden iniciar con un número, de iniciar con un número esta
será precedida por un guión bajo "_".

Los nombres de tags tienen las siguientes limitaciones:

Tags de I/O: máximo 16 caracteres;
Variables internas de programación : máximo 16 caracteres;

Los descriptores de los Tags tienen una longitud máxima de 12 caracteres en la primera línea y 12
caracteres en la segunda línea que equivale a 24 caracteres. Los descriptores de eventos tienen una
longitud máxima de 32 caracteres.

88
SOER

Vista General:

SOER (Registrador de Secuencia de Eventos) esta es una función para registrar eventos
detectados por un SCS que serán utilizados en el análisis de un disparo. En ProSafe-RS este puede
ser usado de tal forma que los usuarios pueden analizar causas de un evento basado en la
información del evento obtenida antes y después de un disparo.

Con un SOER, los cambios en entradas/salidas analógicas, entradas/salidas digitales y los

lógicos de aplicación pueden ser colectados y salvados como un evento de información. La
información colectada de los eventos es mostrada en la aplicación SOE Viewer.

Funciones del SOER

• Configuración.
• Colector de eventos.
• Registrador de eventos.
• Visualizador de SOE.
• Relación entre las funciones de SOER.

Figura: 7.1 Relación entre SCS y SENG.

Configuración

La configuración de la función SOER consistirá en los paquetes de visores SOE instalados en

la EWS. La configuración de los puntos SOE será construida en la aplicación con el Workbench en
la EWS. El paquete de visor SOE permitirá al usuario analizar los eventos detectados por el SCS.
Esta aplicación cargara las anotaciones de eventos desde el SCS y las desplegara como mensajes de
eventos.
89
Colección de eventos

Un SCS permite guardar entradas discretas específicas, salidas discretas y variables de

aplicaciones lógicas como eventos de información. Los siguientes tipos de eventos serán colectados
por los SCS.

Cambios en las Señales Discreta en los Módulos de Entrada

La información de los eventos del SOE será colectada por instrumentos discretos que son
iniciadores de disparos. El tiempo estampado para estos puntos DI serán colectados por el modulo.

El colector SOER para cada canal está definido en el IO Parameter Builder.

Alarmas en datos de Entradas Analógicos y Recuperación

La información de los eventos del SOE será colectada comparando los valores de salida con
los parámetros de alarmas colocados en el bloque de entrada analógica. Los iniciadores asociados
con los trasmisores analógicos serán colectados en el SOE. El tiempo de generación del evento es el
tiempo actual en el SCS justamente antes de la ejecución del bloque de función.

Cambio en las variables internas en una aplicación lógica

La información de los eventos del SOE será colectada para algunas condiciones de cambio
producidas en la lógica de aplicación. En el caso de una votación lógica, el cambio que se produzca
será colectado en el SOE. El tiempo de generación del evento es el tiempo actual en el SCS
justamente antes de la ejecución del cronometraje del bloque de función.

Almacenamiento de eventos

La información de los eventos es almacenada en la memoria de eventos SOER en el SCS.

Hay dos tipos de archivos donde la información de los eventos puede ser almacenada: en un
archivo de anotaciones de eventos y un archivo de señales de disparo. Un archivo de
almacenamiento de eventos mantiene la última información de los eventos. En los archivo de
señales de disparo, los cambios de señal antes y después de cualquier disparo son almacenados.

Las señal que no se consideraran disparos serán definidos por los proyectos SCS.

Solamente la información de los eventos será almacenada en los archivos de almacenamiento

de eventos. La información de eventos salvada en un SCS no será borrada cuando es leída por la
EWG de esta forma se puede hacer referencia a múltiples visores de SOE.

90
 Figura: 7.2 Flujo de Datos en el Almacenamiento de Información de Eventos.

La información de un evento en un modulo de entrada digital (DI) es automáticamente

almacenado en la memoria de almacenamiento temporal de eventos DI en el CPU, ambos, los
eventos DI de esta memoria y la información de eventos colectadas en la lógica de aplicación es
almacenada en la memoria de almacenamiento de información de eventos SOER.

Especificación de archivos de almacenamiento de eventos

Un archivo de almacenamiento de eventos almacena la última información del evento y el

archivo de almacenamiento es guardado por el SCS.

Hasta 15000 pueden ser guardados en un archivo de almacenamiento.

Si el número de eventos guardados excede el número máximo de ellos, los eventos son
borrados y sobre escritos por nuevos eventos comenzando por el más antiguo.

En cualquier momento que el SCS haya almacenado 12000 eventos en el archivo de

almacenamiento de eventos, este enviara un mensaje de información de diagnostico para advertir al
usuario que respalde el archivo de la EWG.

SOE Viewer

El visor SOE permite al usuario analizar eventos detectados por el SCS. Este carga los
eventos almacenados de un SCS específico y los muestra como mensajes de eventos. El visor de
paquetes de eventos SOE será instalado en cada EWG.

91
 Las funciones del SOE Viewer son las que se muestran:

• Los eventos (Información de Eventos SOE e Información de diagnostico de mensajes)

almacenados en el SCS son cargados para ser mostrados como mensajes de eventos.
• Pueden ser filtrados solamente lo mensajes de eventos que el usuario desee ver.
• Un reporte de disparo puede ser generado. Este puede ser impreso o exportado a un
archivo con formato CSV.

Ventana del SOE Viewer

La Información manejada por el SOE Viewer es desplegada tanto en modo de evento o en

modo disparo. La estructura de la ventana usada en los modos eventos y disparos es la misma. El
cambio de modo es usado cuando las señales de disparo están definidas en la aplicación del
controlador SCS. Las señales que no provoquen disparos son definidas en el proyecto.

Figura: 7.3 SOE Viewer (Modo Evento)

92
 Los aspectos detallados de los eventos son descritos en la siguiente tabla.

Información de Eventos SOE

Elemento del Detalle Información de
Descripción Variable
de Evento DI DO AI Diagnostico
Interna
Fecha y hora
cuando un mensaje es
generado.
El formato de
fecha se especificadas en
las propiedades del SOE
Viewer
Tiempo en el que la
El tiempo es Momento en el que la información de eventos SOE fue
Date (*1) alarma fue generada
mostrado utilizando el generada en el SCS.
en el SCS.
formato hh: mm: ss: ttt,
donde:
hh = hora (24
horas),
mm = minutos,
ss = segundos
y ttt = ms
La sincronización del tiempo de generación de eventos DI se indica utilizando los
siguientes caracteres.

I: asíncrona con el tiempo estándar.

Calidad del tiempo del B: sincronizada con el tiempo estándar, pero las señales de sincronización no se
Quality
evento generado. comunican por alguna razón.
V: asíncrona con el servidor de tiempo SNTP.
<Blank (Normal)>: Sincronizado con éxito con las señales IRIG-B de si está
conectado. O sincronizado con el servidor de tiempo SNTP si conectado a través de
Vnet/IP.
BSYS (Información de
Type Tipo de Mensaje SOER (Información de eventos SOE) Diagnostico del
Mensaje)
Nombre y tipo de
Servidor Nombre de la Estación (SCSddss), donde:dd indicates the domain number and
servidor que muestra el
[Tipo] ss indicates the station number
mensaje
Identificación del EVT_TRUE Message IDalarm
ID
Mensaje EVT_FALSE class(e.g., 0047-2)
Nombre de la estación Nombre de la Estación (SCSddss), donde: dd indicates the domain number and
Resource
del mensaje de referencia ss indicates the station number
Valor del
Valor del
Dato, valor
Dato, valor
Valor del Dato, valor de la cadena
numérico, Cadena de Caracteres
Menssage El propio mensaje numérico de caracteres
BOOL, del Mensaje
(TRUE, FALSE) (por
DINT,
ejemplo
REAL.
HTRP)

93
 PROTECCIÓN CONTRA AMENAZAS INFORMÁTICAS
Los Virus

En la actualidad la informática está presente hoy en día en todos los campos de la vida
moderna; no sólo nos ha traído ventajas sino que también problemas de gran importancia en la
seguridad de los sistemas de información en negocios, hogares, empresas y gobierno.

Entre estos problemas están los virus informáticos cuyo propósito es ocasionar perjuicios al
usuario de computadoras. Pero como para casi todas las cosas dañinas hay un antídoto, para los
virus también lo hay: El antivirus, que es un programa que ayuda a eliminar los virus o al menos a
asilarlos de los demás archivos para que nos los contaminen.

Definición de Virus

Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de
la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan
archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera
intencionada, los datos almacenados en un ordenador, aunque también existen otros más
inofensivos, que solo se caracterizan por ser molestos.

Los Virus informáticos son programas de ordenador que se reproducen a sí mismos e

interfieren con el hardware de una computadora o con su sistema operativo (el software básico que
controla la computadora). Los virus están diseñados para reproducirse y evitar su detección. Como
cualquier otro programa informático, un virus debe ser ejecutado para que funcione: es decir, el
ordenador debe cargar el virus desde la memoria del ordenador y seguir sus instrucciones. Estas
instrucciones se conocen como carga activa del virus. La carga activa puede trastornar o modificar
archivos de datos, presentar un determinado mensaje o provocar fallos en el sistema operativo.

El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un

programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El
código del virus queda residente (alojado) en la memoria RAM de la computadora, aun cuando el
programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los
servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que
sean llamados para su ejecución. Finalmente se añade el código del virus al programa infectado y se
graba en el disco, con lo cual el proceso de replicado se completa.

Las acciones de los virus son diversas, y en su mayoría inofensivas, aunque algunas pueden
provocar efectos molestos y, en ciertos, casos un grave daño sobre la información, incluyendo
pérdidas de datos. Hay virus que ni siquiera están diseñados para activarse, por lo que sólo ocupan
espacio en disco, o en la memoria. Sin embargo, es recomendable y posible evitarlos.

La clave de los virus radica justamente en que son programas. Un virus para ser activado
debe ser ejecutado y funcionar dentro del sistema al menos una vez. Demás está decir que los virus
no "surgen" de las computadoras espontáneamente, sino que ingresan al sistema inadvertidamente
para el usuario, y al ser ejecutados, se activan y actúan con la computadora huésped.

94
Historia

En 1949, el matemático estadounidense de origen húngaro John von Neumann, en el Instituto

de Estudios Avanzados de Princeton (Nueva Jersey), planteó la posibilidad teórica de que un
programa informático se reprodujera. Esta teoría se comprobó experimentalmente en la década de
1950 en los Bell Laboratories, donde se desarrolló un juego llamado Core Wars en el que los
jugadores creaban minúsculos programas informáticos que atacaban y borraban el sistema del
oponente e intentaban propagarse a través de él. Cuatro programadores (H. Douglas Mellory, Robert
Morris, Víctor Vysottsky y Ken Thompson) desarrollaron este un juego el cual consistía en ocupar
toda la memoria RAM del equipo contrario en el menor tiempo posible.

En 1983, el ingeniero eléctrico estadounidense Fred Cohen, que entonces era estudiante
universitario, acuñó el término "virus" para describir un programa informático que se reproduce a sí
mismo. Sin embargo, el término virus no se adoptaría hasta 1984, pero éstos ya existían desde antes.
El primer virus atacó a una máquina IBM Serie 360 (y reconocido como tal). Fue llamado Creeper,
creado en 1972. Este programa emitía periódicamente en la pantalla el mensaje: «I'm a creeper...
catch me if you can!» (¡Soy una enredadera... agárrame si puedes!). Para eliminar este problema se
creó el primer programa antivirus denominado Reaper (cortadora).

Después de 1984, los virus han tenido una gran expansión, desde los que atacan los sectores
de arranque de disquetes hasta los que se adjuntan en un correo electrónico.

En 1985 aparecieron los primeros caballos de Troya, disfrazados como un programa de

mejora de gráficos llamado EGABTR y un juego llamado NUKE-LA. Pronto les siguió un
sinnúmero de virus cada vez más complejos. El virus llamado Brain apareció en 1986, y en 1987 se
había extendido por todo el mundo. En 1988 aparecieron dos nuevos virus: Stone, el primer virus de
sector de arranque inicial, y el gusano de Internet, que cruzó Estados Unidos de un día para otro a
través de una red informática. El virus Dark Avenger, el primer infector rápido, apareció en 1989,
seguido por el primer virus polimórfico en 1990. En 1995 se creó el primer virus de lenguaje de
macros, WinWord Concept.

Actualmente el medio de propagación de virus más extendido es Internet, en concreto

mediante archivos adjuntos al correo electrónico, que se activan una vez que se abre el mensaje o se
ejecutan aplicaciones o se cargan documentos que lo acompañan. Hoy por hoy los virus son creados
en cantidades extraordinarias por distintas personas alrededor del mundo. Muchos son creados por
diversión, otros para probar sus habilidades de programación o para entrar en competencia con otras
personas.

Los Nuevos Virus e Internet

Hasta la aparición del programa Microsoft Outlook, era imposible adquirir virus mediante el
correo electrónico. Los e-mails no podían de ninguna manera infectar una computadora. Solamente
si se adjuntaba un archivo susceptible de infección, se bajaba a la computadora, y se ejecutaba,
podía ingresar un archivo infectado a la máquina.

95
 Hoy en día también existen archivos de páginas Web que pueden infectar una computadora. El
boom de Internet ha permitido la propagación instantánea de virus a todas las fronteras, haciendo
susceptible de ataques a cualquier usuario conectado. La red mundial de Internet debe ser
considerada como una red insegura, susceptible de esparcir programas creados para aprovechar los
huecos de seguridad de Windows y que faciliten el "implante" de los mismos en nuestros sistemas.

El protocolo TCP/IP, desarrollado por los creadores del concepto de Internet, es la herramienta
más flexible creada hasta el momento; permite la conexión de cualquier computadora con cualquier
sistema operativo. Este maravilloso protocolo, que controla la transferencia de la información, al
mismo tiempo, vuelve sumamente vulnerable de violación a toda la red. Cualquier computadora
conectada a la red, puede ser localizada y accedida remotamente si se siguen algunos caminos.

¿Cómo se producen las infecciones?

Los virus informáticos se difunden cuando las instrucciones o código ejecutable que hacen
funcionar los programas pasan de un ordenador a otro. Una vez que un virus está activado, puede
reproducirse copiándose en discos flexibles, en el disco duro, en programas informáticos legítimos o
a través de redes informáticas. Los virus funcionan, se reproducen y liberan sus cargas activas sólo
cuando se ejecutan. Por eso, si un ordenador está simplemente conectado a una red informática
infectada o se limita a cargar un programa infectado, no se infectará necesariamente.

Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta adhesión puede
producirse cuando se crea, abre o modifica el programa legítimo. Cuando se ejecuta dicho programa,
ocurre lo mismo con el virus. Los virus también pueden residir en las partes del disco duro o flexible
que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por lo que dichos virus
se ejecutan automáticamente. En las redes informáticas, algunos virus se ocultan en el software que
permite al usuario conectarse al sistema.

Estrategias de Infección Usadas Por los Virus

Añadidura o empalme.- El código del virus se agrega al final del archivo a infectar,
modificando las escrituras de arranque del archivo de manera que el control del programa pase por
el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas específicas y luego
entregue el control al programa. Esto genera un incremento en el tamaño del archivo lo que permite
su fácil detección.

Inserción.- El código del virus se aloja en zonas de código no utilizadas o en segmentos de

datos para que el tamaño del archivo no varíe. Para esto se requieren técnicas muy avanzadas de
programación, por lo que no es muy utilizado este método.

Reorientación.- Es una variante del anterior. Se introduce el código principal del virus en
zonas físicas del disco rígido que se marcan como defectuosas y en los archivos se implantan
pequeños trozos de código que llaman al código principal al ejecutarse el archivo. La principal
ventaja es que al no importar el tamaño del archivo el cuerpo del virus puede ser bastante importante
y poseer mucha funcionalidad. Su eliminación es bastante sencilla, ya que basta con reescribir los
sectores marcados como defectuosos.

96
 Polimorfismo.- Este es el método más avanzado de contagio. La técnica consiste en insertar el
código del virus en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo
infectado, el virus compacta parte de su código y del código del archivo anfitrión, de manera que la
suma de ambos sea igual al tamaño original del archivo. Al ejecutarse el programa infectado, actúa
primero el código del virus descompactando en memoria las porciones necesarias. Una variante de
esta técnica permite usar métodos de encriptación dinámicos para evitar ser detectados por los
antivirus.

Sustitución.- Es el método más tosco. Consiste en sustituir el código original del archivo por
el del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el virus, para disimular este
proceder reporta algún tipo de error con el archivo de forma que creamos que el problema es del
archivo.

Especies de Virus
Los virus se pueden clasificar de dos formas:
• Por su destino de infección.
• por sus acciones o modo de activación.

Virus por su Destino de Infección

Infectores de archivos ejecutables.- Estos también residen en la memoria de la computadora

e infectan archivos ejecutables de extensiones .exe, .com, .bat, .sys, .pif, .dll, .drv, .bin, .ovl. A su
vez, comparten con los virus de área de boot el estar en vías de extinción desde la llegada de
sistemas operativos que reemplazan al viejo DOS. Los virus de infección de archivos se replican en
la memoria toda vez que un archivo infectado es ejecutado, infectando otros ejecutables. Pueden
permanecer residentes en memoria durante mucho tiempo después de haber sido activados, en ese
caso se dice que son virus residentes, o pueden ser virus de acción directa, que evitan quedar
residentes en memoria y se replican o actúan contra el sistema sólo al ser ejecutado el programa
infectado. Se dice que estos virus son virus de sobre escritura, ya que corrompen al fichero donde se
ubican.

Virus multipartitos (Multi-partite).- Una suma de los virus de área de boot y de los virus de
infección de archivos, infectan archivos ejecutables y el área de booteo de discos.

Infectores directos.- El programa infectado tiene que estar ejecutándose para que el virus
pueda funcionar (seguir infectando y ejecutar sus acciones destructivas).

Infectores residentes en memoria.- El programa infectado no necesita estar ejecutándose, el

virus se aloja en la memoria y permanece residente infectando cada nuevo programa ejecutado y
ejecutando su rutina de destrucción.

Infectores del sector de arranque.- Tanto los discos rígidos como los disquetes contienen
un Sector de Arranque, el cual contiene información específica relativa al formato del disco y los
datos almacenados en él. Además, contiene un pequeño programa llamado Boot Program que se
ejecuta al bootear desde ese disco y que se encarga de buscar y ejecutar en el disco los archivos del
sistema operativo.

97
 La computadora se infecta con un virus de sector de arranque al intentar bootear desde un
disquete infectado. En este momento el virus se ejecuta e infecta el sector de arranque del disco
rígido, infectando luego cada disquete utilizado en la computadora.

Macrovirus.- Son los virus más populares de la actualidad. No se transmiten a través de

archivos ejecutables, sino a través de los documentos de las aplicaciones que poseen algún tipo de
lenguaje de macros. Por ende, son específicos de cada aplicación, y no pueden afectar archivos de
otro programa o archivos ejecutables. Entre ellas encontramos todas las pertenecientes al paquete
Office (Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Access) y también el
Corel Draw. Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el control y
se copia a la plantilla base de nuevos documentos (llamada en el Word normal.dot), de forma que
sean infectados todos los archivos que se abran o creen en el futuro.

Los lenguajes de macros como el Visual Basic For Applications son muy poderosos y poseen
capacidades como para cambiar la configuración del sistema operativo, borrar archivos, enviar e-
mails, etc. Estos virus pueden llevar a cabo, como en el caso de los otros tipos, una gran variedad de
acciones, con diversos efectos.

De Actives Agents y Java Applets.- En 1997, aparecen los Java applets y Actives controls.
Estos pequeños programas se graban en el disco rígido del usuario cuando está conectado a Internet
y se ejecutan cuando la página Web sobre la que se navega lo requiere, siendo una forma de ejecutar
rutinas sin tener que consumir ancho de banda. Los virus desarrollados con Java applets y Actives
controls acceden al disco rígido a través de una conexión WWW de manera que el usuario no los
detecta. Se pueden programar para que borren o corrompan archivos, controlen la memoria, envíen
información a un sitio Web, etc.

De HTML.- Un mecanismo de infección más eficiente que el de los Java applets y Actives
controls apareció a fines de 1998 con los virus que incluyen su código en archivos HTML. Con solo
conectarse a Internet, cualquier archivo HTML de una página Web puede contener y ejecutar un
virus.

Troyanos/Worms.- Los troyanos son programas que imitan programas útiles o ejecutan algún
tipo de acción aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el código
dañino.

Los troyanos no cumplen con la función de auto reproducción, sino que generalmente son
diseñados de forma que por su contenido sea el mismo usuario el encargado de realizar la tarea de
difusión del virus. (Generalmente son enviados por e-mail). Pueden ser programados de tal forma
que una vez logre su objetivo se autodestruya dejando todo como si nunca nada hubiese ocurrido.

Virus por sus Acciones o Modos de Activación

Bombas.- Se denomina así a los virus que ejecutan su acción dañina como si fuesen una
bomba. Esto significa que se activan segundos después de verse el sistema infectado o después de un
cierto tiempo (bombas de tiempo) o al comprobarse cierto tipo de condición lógica del equipo
(bombas lógicas).

98
 Retro Virus.- Son los virus que atacan directamente al antivirus que está en la computadora.
Generalmente lo que hace es que busca las tablas de las definiciones de virus del antivirus y las
destruye.

Virus Lentos.- Los virus de tipo lento hacen honor a su nombre infectando solamente los
archivos que el usuario hace ejecutar por el sistema operativo, simplemente siguen la corriente y
aprovechan cada una de las cosas que se ejecutan. Su eliminación resulta bastante complicada.
Cuando el verificador de integridad encuentra nuevos archivos avisa al usuario, que por lo general
no presta demasiada atención y decide agregarlo al registro del verificador. Así, esa técnica
resultaría inútil.

Virus Voraces.- Alteran el contenido de los archivos indiscriminadamente. Este tipo de virus
lo que hace es que cambia el archivo ejecutable por su propio archivo. Se dedican a destruir
completamente los datos que estén a su alcance.

Sigilosos o Stealth.- Este virus cuenta con un módulo de defensa sofisticado. Trabaja a la par
con el sistema operativo viendo como este hace las cosas y tapando y ocultando todo lo que va
editando a su paso. Trabaja en el sector de arranque de la computadora y engaña al sistema
operativo haciéndole creer que los archivos infectados que se le verifica el tamaño de bytes no han
sufrido ningún aumento en tamaño.

Polimorfos o Mutantes.- Encripta todas sus instrucciones para que no pueda ser
detectado fácilmente. Solamente deja sin encriptar aquellas instrucciones necesarias para
ejecutar el virus. Este virus cada vez que contagia algo cambia de forma para hacer de las
suyas libremente.

Camaleones.- Son una variedad de virus similares a los caballos de Troya que actúan como
otros programas parecidos, en los que el usuario confía, mientras que en realidad están haciendo
algún tipo de daño. Un software camaleón podría, por ejemplo, emular un programa de acceso a
sistemas remotos realizando todas las acciones que ellos realizan, pero como tarea adicional (y
oculta a los usuarios) va almacenando en algún archivo los diferentes logins y passwords para que
posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camaleón.

Reproductores.- Los reproductores (también conocidos como conejos-rabbits) se reproducen

en forma constante una vez que son ejecutados hasta agotar totalmente (con su descendencia) el
espacio de disco o memoria del sistema. La única función de este tipo de virus es crear clones y
lanzarlos a ejecutar para que ellos hagan lo mismo. El propósito es agotar los recursos del sistema,
especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema principal no
puede continuar con el procesamiento normal.

Gusanos (Worms).- Los gusanos son programas que constantemente viajan a través de un
sistema informático interconectado, de computadora en computadora, sin dañar necesariamente el
hardware o el software de los sistemas que visitan. La función principal es viajar en secreto a través
de equipos anfitriones recopilando cierto tipo de información programada (tal como los archivos de
passwords) para enviarla a un equipo determinado al cual el creador del virus tiene acceso. Más allá
de los problemas de espacio o tiempo que puedan generar, los gusanos no están diseñados para
perpetrar daños graves.
99
 Backdoors.- Son también conocidos como herramientas de administración remotas ocultas.
Son programas que permiten controlar remotamente la computadora infectada. Generalmente son
distribuidos como troyanos. Los Backdoors permiten al autor tomar total control de la computadora
infectada y de esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al
usuario, etc.

"Virus" Bug-Ware.- Son programas que en realidad no fueron pensados para ser virus, sino
para realizar funciones concretas dentro del sistema, pero debido a una deficiente comprobación de
errores por parte del programador, o por una programación confusa que ha tornado desordenado al
código final, provocan daños al hardware o al software del sistema.

Virus de MIRC.- Al igual que los bug-ware y los mail-bombers, no son considerados virus.
Son una nueva generación de programas que infectan las computadoras, aprovechando las ventajas
proporcionadas por Internet y los millones de usuarios conectados a cualquier canal IRC a través del
programa Mirc y otros programas de chat. Consisten en un script para el cliente del programa de
chateo. Cuando se accede a un canal de IRC, se recibe por DCC un archivo llamado "script.ini". Por
defecto, el subdirectorio donde se descargan los archivos es el mismo donde está instalado el
programa, esto causa que el "script.ini" original se sobre escriba con el "script.ini" maligno. Los
autores de ese script acceden de ese modo a información privada de la computadora, como el
archivo de claves, y pueden remotamente desconectar al usuario del canal IRC.

Virus Falsos (Hoax).- Un último grupo, que decididamente no puede ser considerado virus.
Se trata de las cadenas de e-mails que generalmente anuncian la amenaza de algún virus
"peligrosísimo" (que nunca existe, por supuesto) y que por temor, o con la intención de prevenir a
otros, se envían y re-envían incesantemente. Esto produce un estado de pánico sin sentido y genera
un molesto tráfico de información innecesaria.

Los Antivirus

Existen numerosos medios para combatir el problema. Ante este tipo de problemas, están los
softwares llamados antivirus. Estos antivirus tratan de descubrir las trazas que ha dejado un software
malicioso para detectarlo o eliminarlo, y en algunos casos contener o parar la contaminación
(cuarentena). Los antivirus son una herramienta simple cuyo objetivo es detectar y eliminar virus
informáticos. Nacieron durante la década de 1980.

Funcionamiento

El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se

basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o
vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia un
ordenador. Adicionalmente, muchos de los antivirus actuales han incorporado funciones de
detección proactiva, que no se basan en una lista de malware conocido, sino que analizan el
comportamiento de los archivos o comunicaciones para detectar cuáles son potencialmente dañinas
para el ordenador, con técnicas como heurística, HIPS, etc.

100
 Usualmente, un antivirus tiene uno o varios componentes residentes en memoria que se
encargan de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y
transmitidos en tiempo real, es decir, mientras el ordenador está en uso. Asimismo, cuentan con un
componente de análisis bajo demanda (los conocidos scanners, exploradores, etc.) y módulos de
protección de correo electrónico, Internet, etc.

El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas

informáticas que puedan afectar un ordenador y bloquearlas antes de que la misma pueda infectar un
equipo, o poder eliminarla tras la infección.

Métodos de protección y tipos

Los métodos para disminuir o reducir los riesgos asociados a los virus pueden ser los
denominados activos o pasivos.

Activos

Antivirus: Son programas que tratan de descubrir las trazas que ha dejado un software
malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar la contaminación. Tratan
de tener controlado el sistema mientras funciona parando las vías conocidas de infección y
notificando al usuario de posibles incidencias de seguridad.

Filtros de ficheros: Consiste en generar filtros de ficheros dañinos si el ordenador está

conectado a una red. Estos filtros pueden usarse, por ejemplo, en el sistema de correos o usando
técnicas de firewall. En general, este sistema proporciona una seguridad donde no se requiere la
intervención del usuario, puede ser muy eficaz, y permitir emplear únicamente recursos de forma
más selectiva.

Tipos de vacunas

• Sólo detección: Son vacunas que solo detectan archivos infectados sin embargo no
pueden eliminarlos o desinfectarlos.
• Detección y desinfección: son vacunas que detectan archivos infectados y que pueden
desinfectarlos.
• Detección y aborto de la acción: son vacunas que detectan archivos infectados y
detienen las acciones que causa el virus
• Comparación por firmas: son vacunas que comparan las firmas de archivos
sospechosos para saber si están infectados.
• Comparación de signature de archivo: son vacunas que comparan las signaturas de los
atributos guardados en tu equipo.
• Por métodos heurísticos: son vacunas que usan métodos heurísticos para comparar
archivos.
• Invocado por el usuario: son vacunas que se activan instantáneamente con el usuario.
• Invocado por la actividad del sistema: son vacunas que se activan instantáneamente por
la actividad del sistema Windows xp/vista.

101
Pasivos

• Evitar introducir a tu equipo medios de almacenamiento extraíbles que consideres que

pudieran estar infectados con algún virus.
• No instalar software "pirata", pues puede tener dudosa procedencia.
• Evitar descargar software de Internet.
• No abrir mensajes provenientes de una dirección electrónica desconocida.
• No aceptar e-mails de desconocidos.
• Copias de seguridad: Mantener una política de copias de seguridad garantiza la
recuperación de los datos y la respuesta cuando nada de lo anterior ha funcionado.
• Planificación: Consiste en tener preparado un plan de contingencia en caso de que una
emergencia de virus se produzca, así como disponer al personal de la formación
adecuada para reducir al máximo las acciones que puedan presentar cualquier tipo de
riesgo.
• Consideraciones de software: El software es otro de los elementos clave en la parte
de planificación. Se debería tener en cuenta la siguiente lista de comprobaciones:
• Tener el software imprescindible para el funcionamiento de la actividad, nunca menos
pero tampoco más. Tener controlado al personal en cuanto a la instalación de software
es una medida que va implícita.
• Disponer del software de seguridad adecuado. Cada actividad, forma de trabajo y
métodos de conexión a Internet requieren una medida diferente de aproximación al
problema.
• Métodos de instalación rápidos. Para permitir la reinstalación rápida en caso de
contingencia.
• Asegurar licencias. Determinados softwares imponen métodos de instalación de una
vez, que dificultan la reinstalación rápida de la red.
• Buscar alternativas más seguras. Existe software que es famoso por la cantidad de
agujeros de seguridad que introduce.
• Consideraciones de la red: Disponer de una visión clara del funcionamiento de la red
permite poner puntos de verificación filtrado y detección ahí donde la incidencia es
más claramente identificable.
• Centralizar los datos: De forma que detectores de virus en modo batch puedan
trabajar durante la noche.
• Realizar filtrados de firewall de red: Eliminar los programas que comparten datos,
como pueden ser los P2P; Mantener esta política de forma rigurosa, y con el
consentimiento de la gerencia.
• Reducir los permisos de los usuarios al mínimo: De modo que sólo permitan el
trabajo diario.
• Controlar y monitorizar el acceso a Internet: Para poder detectar en fases de
recuperación cómo se ha introducido el virus, y así determinar los pasos a seguir.

102
Eliminación

La eliminación de un virus implica extraer el código del archivo infectado y reparar de la

mejor manera el daño causado en este. A pesar de que los programas antivirus pueden detectar miles
de virus, no siempre pueden erradicar la misma cantidad, por lo general pueden quitar los virus
conocidos y más difundidos de los cuales pudo realizarse un análisis profundo de su código y de su
comportamiento. Para muchos el procedimiento correcto sería eliminar completamente el archivo y
restaurarlo de la copia de respaldo. Si en vez de archivos la infección se realizó en algún sector
crítico de la unidad de disco rígido la solución es simple, aunque no menos riesgosa. Hay muchas
personas que recomiendan reparticionar la unidad y reformatearla para asegurarse de la desaparición
total del virus, cosa que resultaría poco operativa y fatal para la información del sistema. Como
alternativa a esto existe para el sistema operativo MS-DOS / Windows una opción no documentada
del comando FDISK que resuelve todo en cuestión de segundos.

Para el caso de la eliminación de un virus es muy importante que el antivirus cuente con
soporte técnico local, que sus definiciones sean actualizadas periódicamente y que el servicio
técnico sea apto para poder responder a cualquier contingencia que nos surja en el camino.

Comprobación de Integridad

Como ya habíamos anticipado los comprobadores de integridad verifican que algunos sectores
sensibles del sistema no sean alterados sin el consentimiento del usuario. Estas comprobaciones
pueden aplicarse tanto a archivos como al sector de arranque de las unidades de almacenamiento.

Para poder realizar las comprobaciones el antivirus, primero, debe tener una imagen del
contenido de la unidad de almacenamiento desinfectada con la cual poder hacer después las
comparaciones. Se crea entonces un registro con las características de los archivos, como puede ser
su nombre, tamaño, fecha de creación o modificación y, lo más importante para el caso, el
checksum, que es aplicar un algoritmo al código del archivo para obtener un valor que será único
según su contenido (algo muy similar a lo que hace la función hash en los mensajes).
Si un virus inyectara parte de su código en el archivo la nueva comprobación del checksum
sería distinta a la que se guardó en el registro y el antivirus alertaría de la modificación.

Los TSR

Estos programas residentes en memoria son módulos del antivirus que se encargan de impedir
la entrada del cualquier virus y verifican constantemente operaciones que intenten realizar
modificaciones por métodos poco frecuentes. Estos, se activan al arrancar el ordenador y por lo
general es importante que se carguen al comienzo y antes que cualquier otro programa para darle
poco tiempo de ejecución a los virus y detectarlos antes que alteren algún dato.

Según como esté configurado el antivirus, el demonio (como se los conoce en el ambiente
Unix) o TSR (en la jerga MS-DOS / Windows), estará pendiente de cada operación de copiado,
pegado o cuando se abran archivos, verificará cada archivo nuevo que es creado y todas las
descargas de Internet, también hará lo mismo con las operaciones que intenten realizar un formateo
de bajo nivel en la unidad de disco rígido y, por supuesto, protegerá los sectores de arranque de
modificaciones.
103
 Las nuevas computadoras que aparecieron con formato ATX poseen un tipo de memoria
llamada Flash-ROM con una tecnología capaz de permitir la actualización del BIOS de la
computadora por medio de software sin la necesidad de conocimientos técnicos por parte del usuario
y sin tener que tocar en ningún momento cualquiera de los dispositivos de hardware. Esta nueva
tecnología añade otro punto a favor de los virus ya que ahora estos podrán copiarse a esta zona de
memoria dejando completamente indefensos a muchos antivirus antiguos. Un virus programado con
técnicas avanzadas y que haga uso de esta nueva ventaja es muy probable que sea inmune al
reparticionado o reformateo de las unidades de discos magnéticos.

Aplicar Cuarentena

Es muy posible que un programa antivirus muchas veces quede descolocado frente al ataque
de virus nuevos. Para esto incluye esta opción que no consiste en ningún método de avanzada sino
simplemente en aislar el archivo infectado. Antes que esto el antivirus reconoce el accionar de un
posible virus y presenta un cuadro de diálogo informándonos. Además de las opciones clásicas de
eliminar el virus, aparece ahora la opción de ponerlo en cuarentena. Este procedimiento encripta el
archivo y lo almacena en un directorio hijo del directorio donde se encuentra el antivirus.

De esta manera se está impidiendo que ese archivo pueda volver a ser utilizado y que continúe
la dispersión del virus.

Como acciones adicionales el antivirus nos permitirá restaurar este archivo a su posición
original como si nada hubiese pasado o nos permitirá enviarlo a un centro de investigación donde
especialistas en el tema podrán analizarlo y determinar si se trata de un virus nuevo, en cuyo caso su
código distintivo será incluido en las definiciones de virus.

Tácticas Antivíricas

Preparación y prevención.- Los usuarios pueden prepararse frente a una infección viral
creando regularmente copias de seguridad del software original legítimo y de los ficheros de datos,
para poder recuperar el sistema informático en caso necesario. Puede copiarse en un disco flexible el
software del sistema operativo y proteger el disco contra escritura, para que ningún virus pueda
sobrescribir el disco.

Detección de virus.- Para detectar la presencia de un virus se pueden emplear varios tipos de
programas antivíricos. Los programas de rastreo pueden reconocer las características del código
informático de un virus y buscar estas características en los ficheros del ordenador. Como los
nuevos virus tienen que ser analizados cuando aparecen, los programas de rastreo deben ser
actualizados periódicamente para resultar eficaces. Algunos programas de rastreo buscan
características habituales de los programas virales; suelen ser menos fiables.

Los únicos programas que detectan todos los virus son los de comprobación de suma, que
emplean cálculos matemáticos para comparar el estado de los programas ejecutables antes y después
de ejecutarse. Si la suma de comprobación no cambia, el sistema no está infectado. Los programas
de comprobación de suma, sin embargo, sólo pueden detectar una infección después de que se
produzca. Los programas de vigilancia detectan actividades potencialmente nocivas, como la sobre
escritura de ficheros informáticos o el formateo del disco duro de la computadora.
104
 Los programas caparazones de integridad establecen capas por las que debe pasar cualquier
orden de ejecución de un programa. Dentro del caparazón de integridad se efectúa automáticamente
una comprobación de suma, y si se detectan programas infectados no se permite que se ejecuten.

Contención y recuperación.- Una vez detectada una infección viral, ésta puede contenerse
aislando inmediatamente los ordenadores de la red, deteniendo el intercambio de ficheros y
empleando sólo discos protegidos contra escritura. Para que un sistema informático se recupere de
una infección viral, primero hay que eliminar el virus. Algunos programas antivirus intentan
eliminar los virus detectados, pero a veces los resultados no son satisfactorios. Se obtienen
resultados más fiables desconectando la computadora infectada, arrancándola de nuevo desde un
disco flexible protegido contra escritura, borrando los ficheros infectados y sustituyéndolos por
copias de seguridad de ficheros legítimos y borrando los virus que pueda haber en el sector de
arranque inicial.

105
 ESTUDIO TÉCNICO- ECONÓMICO

El ProSafe-RS es un sistema de seguridad certificado por la organización alemana

Technische Überwachungs-Verein (TÜV). Cumple con un Nivel de Integridad de Seguridad (SIL) 3
conforme a lo especificado en la norma IEC 61508.

El sistema de seguridad basado en ProSafe-RS se compone de por lo menos una Estación de

Control de Seguridad (SCS), una Estación de Trabajo de Ingeniaría para Seguridad (SENG) y un
Bus de control orientado a redes denominado Vnet/IP por medio del cual se conectan la SCS, la
SENG, las Unidades de Nodo de Seguridad (SNU) y el resto del hardware que integran el sistema
ProSafe-RS.

ProSafe-RS cuenta con una arquitectura dual única y excelente que se basa en la tecnología
sumamente confiable del Sistema de Control Distribuido de Yokogawa. El SIS tiene un diseño
modular y se aplica una arquitectura dual dentro de cada módulo procesador así como en los
módulos de entradas y salidas (E/S) que a su vez se pueden instalar en una configuración redundante
dual. Esto es controlado por el SIS y es totalmente transparente para el usuario. Este método
maximiza la seguridad y la disponibilidad, de forma independiente y simultánea. Esta configuración
flexible del sistema permite al usuario configurar la redundancia en un solo módulo logrando de esta
forma la disponibilidad requerida en cada componente del sistema.

Utilizando las últimas técnicas de diseño electrónico y ensamble de componentes, los

diseñadores de Yokogawa han tenido éxito en la miniaturización de los circuitos de control de
seguridad. Cada procesador ProSafe-RS, módulo de entrada y el módulo de salida presenta una
nueva arquitectura interna dual, proporcionando nivel de protección SIL3 en una sola tarjeta.

Esta arquitectura es simple de entender, diseñar, instalar y mantener.

Cuando un mayor nivel de disponibilidad del sistema y de tolerancia a fallos es requerido,

ProSafe-RS puede ser diseñado con redundancia dual con tan sólo insertar una tarjeta adicional. Esta
capacidad se denomina "Redundancia Modular Versátil" (VMR - Versatile Modular Redundancy).
Debido a que las funciones de I/O y de procesamiento de ProSafe-RS son modulares, la redundancia
se puede aplicar exactamente donde se necesita, a la entrada, salida y los módulos del procesador.

Cualquier combinación de redundancia dual puede ser configurada.

Al tener una configuración totalmente redundante con su robustez extrema, es posible

mantener SIL3 incluso cuando se producen los siguientes casos:

• Falla en el Módulo de Entrada.

• Falla en el Procesador.
• Falla en el Módulo de Salida.

A diferencia de sistemas que se basan enteramente en la redundancia para conseguir la

seguridad y disponibilidad, el sistema VMR no tiene un modo de degradación, ni impone
limitaciones de tiempo de reparación.
106
 Filosofía del sistema

Bases de Diseño

Parte de los requisitos del estándar IEC 61508 son los pasos a seguir para la realización de
un proyecto los cuales son denominados Administración Funcional de Seguridad (FSM). FMS
registra la ejecución de todos los pasos en el ciclo de ejecución del proyecto, los cuales pueden ser
verificados y controlados en cualquier momento.

Los pasos relevantes para las fases de procura y construcción se muestran en la Figura 9.1.
Se asume que el cliente final y el contratista son responsables de la especificación de los
Requerimientos de Seguridad. Las Matrices de Causa y Efecto, la especificación del proyecto y la
Filosofía de Paro por Emergencia serán producto de la Especificación de Requerimientos de
Seguridad y serán las bases durante la fase de procura y construcción.

Figura: 9.1 Fuente: IEC 61508 Diagrama de la fase de Procura y Construcción.

Debido a que las normas IEC 61508 y 61511 tienen diferentes ciclos de vida de seguridad,
Yokogawa ha decidido seguir la norma IEC 61508 que es la más extensa.

107
 Principios de Redundancia

El sistema ProSafe-RS será configurado bajo las siguientes arquitecturas:

• Controlador Par Redundante (1oo2D).

• Módulos de I/O simples (1oo2D).

La denominación de la arquitectura 'D' refleja las capacidades extensivas de autodiagnóstico

dentro de cada canal y un camino secundario que incluye un elemento secundario de control para
diagnóstico.

La implementación 1oo2D (con controladores simples/redundantes o módulos de I/O) es

elegible para aplicaciones de riesgo SIL 3.

La configuración 1oo2D es para aplicaciones SIL 3 según la norma IEC 61508.

El ProSafe-RS está diseñado como un sistema des-energizado para activar, lo cual define el estado
de seguridad de todas las salidas como des-energizado y el estado de activación para todas las
entradas como des-energizado.

Respecto a la disponibilidad del sistema y la tolerancia a fallas, el sistema ESD está

configurado para redundancia dual, manteniendo SIL3 simplemente con la conexión apropiada a la
tarjeta de I/O. Puesto que las funciones de los I/O ó las funciones de procesamiento del ProSafe-RS
tiene una modularidad que se extiende hasta el nivel de función, la redundancia se puede aplicar
exactamente donde se necesita, a la entrada, a la salida ó en los módulos de procesador. Esta
flexibilidad permite cualquier combinación de redundancia dual para ser configurado como una
entrada simple y salida redundante ó una entrada redundante y de salida simple.

El sistemas ESD funcionará según el principio 1oo2D a fin de cumplir el requisito de

seguridad y disponibilidad.

Solucionador de Lógica

El ESD seguirá el principio de des-energizar para seguridad (DTS). Esto significa que para el
ESD bajo condiciones saludables, la lógica es energizada y las salidas envían 24V (alimentación
externa) a los dispositivos de campo.

Niveles de apagado y Filosofía de Reset

En general, los sistemas de Paro por Emergencia funcionan para aislar las corrientes de
hidrocarburos entrantes ó salientes de los equipos de la planta así como de las instalaciones,
retiraran el suministro de calor hacia los calefactores y recalentadores y detener todos los equipos
rotativos asociados.
El SIS normalmente opera como un sistema independiente con la intervención manual
posterior para propósitos de puesta en marcha, según sea necesario.

108
 En el caso de una situación de emergencia (un proceso fuera de control que no se puede poner
dentro de límites controlables ya sea automáticamente ó por la intervención manual), la planta
deberá ser parcial ó totalmente parada de una manera controlada.

Para lograr esto, se deberán utilizar distintos niveles de Paro por Emergencia para la
disminución potencial de riesgo. A fin de lograr una estructura jerárquica y geográfica para el
sistema ESD, se deberá utilizar el principio de los niveles de Paro por Emergencia.

La jerarquía del sistema ESD operará en tres niveles:

Nivel 1: Paro por Emergencia Total.

Nivel 2: Paro por Emergencia de un Equipo/Unidad (inicio manual y/o automático).
Nivel 3: Una acción de nivel 3, puede poner fuera de operación una sección grande de la
planta.

El sistema ESD será diseñado bajo un principio de cascada, de tal manera, que cuando se
inicie el Paro por Emergencia inmediatamente iniciará el paro en todos los niveles subordinados,
según lo definidito en la Matriz de Causa y Efecto.

Secuencia de reinicio después del Paro por Emergencia:

• Borrar todas las condiciones de disparo.

• Realizar restablecimientos locales (si procede).
• Aplicar la puesta en marcha en forma manual, en caso de ser necesario.
• Reiniciar el proceso desde el Cuarto de Control, detener el quipo, abrirlo, cerrarlo, etc.

Principio de votación

Los principios de típicos de votación utilizados para este proyecto serán:

1oo2

Esto significa que cuando uno de cada dos transmisores/dispositivos está en condiciones de
disparo se inicia la ejecución de una acción.
2oo2

Esto significa que cuando dos de cada dos transmisores/dispositivos está en condiciones de
disparo se inicia la ejecución de una acción.

2oo3
Esto significa que cuando dos de cada tres transmisores/dispositivos está en condiciones de
disparo se inicia la ejecución de una acción.

109
Función de Primer Disparo

La función de Primer Disparo se basará primeramente en los grupos definidos por el cliente (si
estos son definidos). Las condiciones de disparo de los iniciadores de entrada son monitoreadas en
la transición de normal a disparo.

Cuando una de las entradas adquiere la condición de disparo la función de Primer Disparo es
activada y marcara esta entrada como la primera causa del disparo. La marca del primer disparo será
reestablecida cuando el correspondiente grupo de Primer Disparo sea restablecido. Este reset solo
será posible cuando la señal causante del primer disparo ha regresado a condiciones normales.
La utilización de la función de Primer Disparo deberá ser definida por el cliente.

Asignación de I/O

Reglas de segregación a observar:

• I/O se asignarán de manera que la disponibilidad de la planta sea optimizada y al
mismo tiempo se logre una ocupación eficiente de los módulos de I/O.
• Para las I/O de equipos paralelos se utilizaran tarjetas separadas, en la medida que el
diseño lo permita.
• Las Entradas Analógicas de 4 a 20 mA se asignarán a los módulos de SAI143.
• Las Entradas Digitales serán asignadas a los módulos SDV144.
• Salidas digitales serán asignadas a los módulos SDV541.
• Los dispositivos de entrada 1oo2 y 2oo3 serán cableados hacia módulos separados de
I/O, en la medida que el diseño lo permita.
• La asignación será realizada basándose en la distribución de Nodo/Slot/Canal definida
por el cliente y en la base de datos de entradas y salidas también suministrada por el
cliente.
• Diagnóstico del Sistema
• Los propósitos de los diagnósticos del SCS son:
• Notificar a los operadores de funcionamientos erróneos en es SCS ó fallas en el
cableado de las I/O.
• Cambio automático en la configuración dúplex.
• Apagado automático de canal o módulo si se detecta una falla peligrosa.

Debido a las acciones adoptadas por diagnóstico de una falla peligrosa detectada, este tipo de
fallas no resultará en una degradación del nivel SIS bajo demanda.El Procesador y módulos de I/O
utilizados por el ProSafe-RS están clasificados como intrínsecamente seguros. De forma tal que no
son permitidos fallas peligrosas no detectadas.

• El diagnóstico de amplia cobertura del SCS incluye:

• Módulos Procesadores.
• Módulos de entrada.
• Módulos de salida.
• Diagnóstico de cableado de campo con dispositivos de EOL (si aplica).
• Comunicación de seguridad interna entre SCS´s.

110
 Las descripciones detalladas de la función de gestión y diagnóstico así como de los Mensajes
de Diagnostico se puede encontrar en la Estación de Control de Seguridad.

Algunas de las características de diagnóstico de canales I/O pueden ser activadas ó

desactivadas por medio de los parámetros de I/O en el software de aplicación.

El EWS será utilizado para supervisar el sistema ESD con las herramientas de diagnóstico
siguientes:

• SCS Status Overview

• SCS State Management
• SCS Diagnostic Information

En la ventana SCS Status Overview mostrará una lista de los procesadores del SCS en sus
respectivas ubicaciones.

Además de las condiciones actuales de funcionamiento de cada uno de los SCS, esta ventana
también mostrará mensajes con información de las funciones de diagnóstico de cada uno de los
procesadores del SCS. Será posible identificar rápidamente si alguno de los procesadores del SCS
tuviera fallas de sistema.

Figura: 9.2 Ventana SCS Status Overview.

La ventana SCS State Management muestra la información detallada sobre el estado de

operación de los módulos procesadores y los módulos de entradas/salida para un solo controlador de
SCS. Si una falla del sistema está presente, el equipo en falla será mostrado en un color diferente.
Esta ventana también mostrará si existen algunos mensajes que hayan sido reconocidos. La ventana
SCS State Management también es utilizada para las siguientes funciones.

111
 Figura: 9.3 Ventana SCS State Management.

La ventana Diagnostic Information mostrará mensajes de información de diagnóstico en un

formato de lista de un controlador SCS seleccionado.

La ventana Diagnostic Information es accesible desde la ventana SCS Status Overview ó la

ventana SCS State Management. Sólo los mensajes de información de diagnóstico relacionados con
el dispositivo seleccionado son mostrados en la ventana Diagnostic Information.

Hasta cinco ventanas Diagnostic Information pueden ser mostradas al mismo tiempo, cada
ventana mostrará la información de una estación individual, un módulo de entradas/salidas, etc.

Figura: 9.4 Ventana Diagnostic Information.

112
Reporte de Fallas

La aparición de un error de diagnóstico en cada SCS estará alarmado en la interfaz del

operador. En la EWS por medio de la herramienta State Management se puede obtener información
detallada sobre la causa del error.

Detección de fallas en Cableado

Las entradas de campo digitales y analógicas así como las salidas analógicas serán
configuradas para detectar condiciones de falla en el cableado (circuito abierto y/o corto circuito).

Nivel de Seguridad en el SCS

Tres niveles de seguridad se proporcionan para el SCS del ProSafe -RS: nivel 2, 1 y 0.

El SCS controla los niveles de seguridad para una operación segura del sistema.

Durante la operación normal, el nivel de seguridad se establece en el nivel 2 para proteger el

SCS contra acceso ilegal.

El SCS tiene que ser fijado en un nivel de seguridad 1 para mantenimiento y en nivel 0 para
operación fuera de línea (off-line).

Para evitar cambios erróneos del nivel de seguridad, es necesaria la autorización por
contraseña. Diferentes contraseñas deben ser asignadas para la autorización de los niveles
individuales de seguridad y SCS.

Control de acceso a la EWS

La aplicación de seguridad almacenada en la EWS protegida con contraseña, de modo que

sólo al usuario autorizado se le permite operarla y modificarla. Cada proyecto SCS consiste en un
controlador ProSafe-RS y su aplicación asociada.

Interfaces de operación

El software de ingeniería y mantenimiento del sistema ESD está instalado en la estación de

trabajo de ingeniería (EWS). El EWS es un Microsoft Windows instalado en una PC que soporta el
paquete de software Yokogawa ProSafe-RS. Esta PC será cargada con el paquete de software del
ProSafe-RS junto con el Manual Electrónico de Instrucciones (Electronic Instruction Manual). La
EWS tendrá las siguientes capacidades:

Workbench: Esta herramienta se utiliza para generar la lógica de seguridad relacionada con la
aplicación, utilizando los siguientes lenguajes normados por la IEC 61131.
• Diagramas de lógica de escalera.
• Diagramas de bloques funcionales
• Texto estructurado.

113
 SCS Status Overview: Esta herramienta se puede utilizar para supervisar el estado/operación
del controlador SCS.

SOE Viewer: Esta herramienta se utiliza para configurar/monitorear el SOE (Secuencia de

Eventos).

Implementación

Las matrices de causa y efecto suministradas por el cliente serán consideradas como el
documento maestro para propósitos de configuración por encima del resto de documentos.
Narrativas de control (si procede) se utilizarán para apoyar las Matrices de causa y efecto.

En resumen, los pasos en la aplicación del SIS son los siguientes:

• Asignación de I/O.
• Definición de típicos y la asignación de Hardware para I/O.
• Definición de típicos y la asignación de Software para I/O.
• Programación de configuración usando bloques de función según IEC 61131.
• Pruebas internas contra matrices de causa y efecto para comprobar el correcto
funcionamiento.

Información General del Equipo

Organización del Sistema

El componente principal del SCS es la Unidad de Control de Seguridad (SCU), que consiste
en un nodo con los módulos Controladores y fuentes de alimentación. El programa de aplicación en
el Controlador ejecutará diagnósticos y recogerá el estado de las I/O. Los módulos I/O están
conectados al Controlador por medio del Bus ESB. Este Bus se puede extender a otros nodos de
unidades de seguridad, que se componen de nodos con fuentes de alimentación y módulos de
interfaz de Bus ESB y ofrece ranuras adicionales para módulos de I/O.

Por medio de cables del sistema se proporciona la conexión desde los módulos de I/O hasta
las Tablillas de Conexiones de Campo (FTA) donde se conectarán los lazos de los circuitos de
campo.

La Vnet/IP (IEEE 802.3 Bus orientado a redes) es la red de control de procesos, conectando
todos los componentes activos del ProSafe -RS. La red Vnet/IP es utilizada para transferir
información de configuración y datos de las aplicaciones de seguridad. El SCS del ProSafe-RS está
conectado a la red de control y seguridad a través de una interface Vnet/IP en el SCU.
Dentro de los componentes básicos de la PC destinada para ser EWS, se incluirá una tarjeta
de interfaz Vnet/IP que se utiliza para la comunicación segura y confiable en la red.

114
Descripción del sistema

Sistema ESD

Un (1) Sistema ESD: Solución basada en un sistema ProSafe-RS con los módulos de I/O no
redundantes y procesadores redundantes (1oo2D), incluyendo dos fuentes de alimentación con
redundancia dual y todas las tarjetas de interfaz necesarias así como el cableado dentro del sistema.

Materiales comunes

Una (1) Estación de Trabajo de Ingeniería (EWS), para el desarrollo de programas y

procedimientos de mantenimiento: PC de escritorio.

Configuración Interna del sistema

Para cualquier proyecto el SCS puede tener una configuración parcial ó completamente
dúplex. Cada Controlador ProSafe-RS, módulo de entradas ó salidas, presenta una arquitectura dual
que proporciona protección a nivel SIL 3 en una sola tarjeta.

El SCS en la configuración de dúplex tiene redundancia dual en los módulos I/O y

redundancia dual en los controladores, pero también es posible cualquier combinación de módulos
simples y redundantes. Como ejemplo, dos de las configuraciones populares se muestran en las
siguientes figuras. Cabe señalar que la combinación de una I/O simple ó redundante y las
configuraciones del Controlador y el rack pueden ser diseñadas para adaptarse a la disponibilidad
requerida.

Figura: 9.5 ProSafe-RS con Arquitectura interna dual, configuración de un solo módulo SCS

115
 La configuración de un solo módulo consiste en un módulo de control y un conjunto de
módulos de I/O.

Figura: 9.6 ProSafe-RS Arquitectura interna dual, configuración redundante completa.

La configuración de hardware dúplex se compone de dos módulos de control y dos juegos

idénticos de módulos I/O que residen en las ranuras adyacentes en el mismo rack.

Los módulos Controladores CPU y módulos I/O son diagnosticados por el hardware y el
software periódicamente. Los errores en la comunicación entre el módulo Controlador y módulos
I/O y en la comunicación entre SCS pueden ser detectados por las distintas mediciones.

Cuando se detecta un error, el valor de estado-seguro en caso de fallos es utilizado como el

valor de salida y un mensaje de información de diagnóstico es emitido. El mensaje de información
de diagnóstico es entregado a la EWS por medio de la Vnet/IP, es útil para identificar los detalles y
la causa del error.

En la configuración redundante, el otro módulo Controlador que está funcionando

normalmente toma el control para continuar la operación. El mensaje de información de diagnóstico
que se emite al mismo tiempo ayuda a identificar la ubicación de error.

Acciones de falla-segura pueden ser configuradas en el sistema cuando se detecte un fallo en

un módulo I/O.

De acuerdo a sus requerimientos de la especificación solicitada para la implementación de un

sistema instrumentado de seguridad de la Planta Termoeléctrica Alberto Lovera que comprende el
BOP

116
Alcance

Suministro e instalación de un Sistema Instrumentado de Seguridad basado en equipos de la

familia ProSafe-RS los cuales cuentan con certificación TUV Nivel de Integridad SIL 3,
procesamiento Pair & Sapre, tecnología Hot-Swap, votación 1oo2D y sin degradación para el
sistema el Sistema de Parada de Emergencia (ESD), asociado a los Sistemas de Procesos que
constituyen el "Balance de Planta" - BOP, en la Planta Termoeléctrica Alberto Lovera (PAL),
ubicada Refinería de Puerto La Cruz (PDVSA), Puerto La Cruz Edo. Anzoátegui, de la República
Bolivariana de Venezuela.

Suministro del hardware de campo necesario para llevar a cabo la correcta integración del
sistema propuesto como son controladores, bastidores, módulos de entradas, salidas, módulos de
comunicación, etc.

Suministro del Software de control necesario en cumplimento con la especificación técnica

para llevar a cabo la Operación, Ingeniería.

Suministro de los dispositivos necesarios para la implementación de una red de control

Vnet/IP para establecer la comunicación entre todos los elementos pertenecientes al Sistema
Propuesto.

Suministro del hardware informático necesario para la integración de las interfaces hombre-
máquina y en cumplimiento con lo solicitado en la especificación técnica como son estaciones de
ingeniería, estaciones de operación.

Suministro, ensamble e instalación de los gabinetes, materiales eléctricos y misceláneos

necesarios para el alojamiento, interconexión e identificación de los equipos a suministrar.

Para que el proyecto se apegue lo más posible a las necesidades del usuario final y a la vez se
ejecute en el menor tiempo posible y de forma segura, se requieren de algunos puntos particulares
que se detallan a continuación:

• Narrativa de control.
• Relación de las señales de campo.
• Diagramas de tubería e instrumentación.
• Especificaciones de los equipos existentes.
Nota:Se incluyen estos documentos en el anexo C,F y G.

También se requiere tener un recurso del cliente dedicado exclusivamente al proyecto de

automatización. Entre sus principales funciones se encuentran las siguientes:

• Coordinar con el personal necesario para que cada una de las señales de campo puedan
ser llevadas hasta el pie de gabinete.
• Estar presente durante todas las pruebas intermedias del proyecto además de que
participe activamente durante la puesta en operación de la planta...

117
 • El cliente será responsable también de administrar las direcciones IP asociadas tanto al
equipo de control como a la estación HMI.

Dimensionamiento del sistema

Para poder ofrecer un sistema que cumpla con las expectativas del usuario final y se apegue lo
más posible a las especificaciones técnicas, el primer paso a llevar a cabo es el dimensionamiento
del mismo, esto con la finalidad de poder saber exactamente la cantidad de controladores y nodos de
E/S, tarjetas de señales de entradas y salidas analógicas y digitales, módulos de comunicación, etc.
que se requerirán para la correcta implementación del Sistema propuesto.

Para este fin elaboraremos tablas de señales las cuales nos servirán para comprender de mejor
manera el por qué de la cantidad de tarjetas a emplear ya que en dicha tabla se contemplan las
señales requeridas según la especificación técnica, sumario de señales o índice de instrumentos que
nos haya sido proporcionado para la elaboración de la oferta además de las señales SPARE que se
hayan solicitado.

Nomenclatura de tablas de señales

Señal: Tipo de señal.

Requeridas: Cantidad de señales requeridas según las especificación
Reserva: Cantidad de señales de reserva
R+R: Cantidad de señales totales al sumar las requeridas y las de reserva
PPM: Cantidad de puntos por modulo
Módulos: Cantidad de módulos a suministrar
Modelo: Modelo de módulos a suministrar

Tablas de señales del SIS

Señales Spare del Cantidad de

Tipo de Señal
Requeridas 20% Módulos
DI 24VDC 69 14 SDV144
DO 24VDC 23 5 SDV541
AI 4-20 32 7 SAI143

Una vez que ya sabes la cantidad de módulos de cada tipo que se emplearan podemos
determinar la cantidad de Controladores, nodos, estaciones y demás dispositivos que emplearemos
hablando directamente del sistema YOKOGAWA propuesto los cuales mencionamos a
continuación:

118
Equipo de campo

CONTROLADORES 2
NODOS LOCALES 2
NODOS REMOTOS 0
MODULOS DE ENTRADA ANALOGICA 3
MODULOS DE ENTRDA DIGITAL 6
MODULOS DE SALIDA DIGITAL 4

Segregación del sistema

Ahora que ya tenemos definida la cantidad de elementos que compondrán nuestro sistema,
mostraremos la segregación propuesta, la cual podría llegar a cambiar conforme a necesidades
encontradas en campo, requerimientos del usuario final en la junta de arranque y/o conforme a la
ingeniería básica autorizada por el cliente.

Segregación del nodo SCS sistema de paro por emergencia

SLOT DESCRIPCION MODELO

1 Entrada analógica SAI143
2 Entrada analógica SAI143
3 Entrada analógica SAI143
4 Entrada digital SDV144
5 Entrada digital SDV144
6 Entrada digital SDV144
7 ESB Bus SEC401
8 ESB Bus SEC401

Segregación del nodo I/O local 1 sistema de paro por emergencia

SLOT DESCRIPCION MODELO

1 Entrada digital SDV144
2 Entrada digital SDV144
3 Entrada digital SDV144
4 Salida digital SDV541
5 Salida digital SDV541
6 Salida digital SDV541
7 Salida digital SDV541
8 Tapa para ranura vacía SDCV01

119
Segregación del nodo I/O local 2 sistema de paro por emergencia

SLOT DESCRIPCION MODELO

1 Tapa para ranura vacía SDCV01
2 Tapa para ranura vacía SDCV01
3 Tapa para ranura vacía SDCV01
4 Tapa para ranura vacía SDCV01
5 Tapa para ranura vacía SDCV01
6 Tapa para ranura vacía SDCV01
7 Tapa para ranura vacía SDCV01
8 Tapa para ranura vacía SDCV01
Comunicaciones

HART

El protocolo HART (High way-Addressable-Remote-Transducer) es un protocolo de

comunicación inteligente sobrepuesto en una señal analógica de 4-20mA, esto es debido a que la
información digital se agrupa sobre la señal analógica esto gracias a que la señal digital utiliza dos
frecuencias de forma individual las cuales son 1200 y 2200 Hz las cuales representan los dígitos 1y
0 y en conjunto forman una onda sinusoidal que se superpone a la señal de 4-20 mA.

La velocidad de transmisión de este protocolo es de 1.2k el cual viaja en un cable par trenzado
en una comunicación tipo Maestro-Esclavo logrando tener un máximo de 15 dispositivos por
segmento. Debido a que la mayoría de la instrumentación de campo funciona haciendo uso de
señales analógicas de 4-20 mA el protocolo HART es uno de los más utilizados en los actuales
sistemas de control.

VNET/IP

Se considera la implementación de una red de control denominada Vnet/IP la cual es una red
de control de tipo redundante la cual corre sobre un medio físico Ethernet en el cual al red principal
es 100% una red de control y la red secundaria es una red mixta ya que además de poseer la
características de control de la red principal también cuenta con las características de una red
TCP/IP abierta con lo cual podemos conectar a nuestra red de control dispositivos periféricos
necesarios en el cuarto de control como lo pueden ser impresoras de reportes, etc. Esta red alcanza
un rate de transferencia hasta de 1GB y corre ya sea sobre cable UTP o lo que es lo mismo el cable
de red convencional alcanzando una distancia máxima hasta de 150mts con cable UTP CAT.6 o
pudiendo extender aun mas la distancia haciendo uso de Fibra Óptica, esta red cumple con una
topología tipo estrella.

120
 ESB BUS

ESB BUS es un bus de comunicación de señales de entrada y salida (I/O) que puede trabajar
de modo redundante, mediante este bus se comunica los procesadores de la Estación de Control de
Seguridad (SCS) con los nodos de expansión de señales de entradas y salidas. Los nodos conectados
mediante el ESB BUS son denominados Nodos locales y normalmente se instalan en el mismo
gabinete que la SCS, mediante este bus podemos conectar hasta tres 9 nodos locales, la velocidad de
trasmisión es de 128 Mbps, la topología usada es de tipo BUS sobre cable coaxial modelo YCB301
y se puede alcanzar una distancia máxima hasta de 50Kms.

Hardware de control SIS

CONTROLADOR “SCS” (SSC50)

El controlador de campo es mejor conocido como SCS que quiere decir
Safety Control Station o en español Estación de Control de Seguridad,
La SCS puede ser simple o redundante y los modelos son SSC50S y
SSC50D donde la letra terminal determina si la SCS es sencillo “S” o
redundante “D”. La SCS esta compuesta por un bastidor en el cual las
primeras dos ranuras están destinadas a fuentes de alimentación, las
siguientes dos ranuras son utilizadas por los procesadores dejándonos 8
ranuras libres para montaje de tarjetas de señales o comunicación,
cuando necesitemos hacer uso de nodos de expansión locales debemos
instalar en las ranuras 7 y/u 8 dependiendo el arreglo “S” o “D”
(ranuras que siguen a los procesadores) las tarjetas de comunicación del ESB BUS (SEC401). En
este nodo máximo podemos hacer uso de 3 módulos de señales analógicas trabajando de manera
sencilla o en su defecto un total de 4 trabajando de manera redundante.

(La FCS incluye el bastidor y dependiendo del arreglo “S” o “D” la o las fuentes y el o los
procesadores)
NODO LOCAL (SNB10)

El nodo local puede ser simple o redundante y los modelos son

SNB10S y SNB10D donde la letra terminal determina si la SCS es
sencillo “S” o redundante “D”. El nodo esta compuesto por un
bastidor en el cual las primeras dos ranuras están destinadas a fuentes
de alimentación, las siguientes dos ranuras son utilizadas por módulos
de comunicación ESB BUS dejándonos 8 ranuras libres para montaje
de tarjetas de señales o comunicación. En este nodo máximo podemos
hacer uso de 5 módulos de señales analógicas trabajando de manera
sencilla o en su defecto un total de 6 trabajando de manera redundante.

De este tipo de nodos de E/S podemos utilizar como estándar

hasta un máximo de 9 nodos locales.

De este tipo de modos existen dos que debemos utilizar en nuestra arquitectura, uno con
terminación CU2N y otro con terminación CU2T, técnicamente ambos son iguales con la única
diferencia que el modelo con terminación CU2T se utiliza para terminar la comunicación FIO
121
 MODULO DE COMUNICACIÓN ESB BUS (SEC401)

Para establecer una comunicación mediante ESB BUS se deben montar dependiendo
del arreglo ya sea “S” o “D” en las ranuras 7 y/u 8 de la FCS o de los nodos remotos
módulos modelo EC401.
Estos módulos se comunican con los montados en el ANB10 mediante cable coaxial
modelo YCB301

MODULO DE ENTRADAS DIGITALES 24 VCD (SDV144)

Este modulo Discreto cuenta con 16 canales de entradas de 24 VCD en formato

sink/source, puede ser seleccionado con contador de pulsos o con captura para Secuencia de
Eventos (SOE), su voltaje de entrada encendido es de 18 a 26.4 VCD y apagado de 5.0
VCD o menor, el tiempo de respuesta de la entrada es de 8ms o menor por estatus de
entrada, el tiempo de detención mínimo de encendido es de 20 ms por entrada de botón de
pulsación , el ciclo máximo de encendido/apagado es de 25hz por botón de pulsación y su
consumo máximo es de 500mA (5VCD), este modulo puede recibir las señales de campo
directamente mediante bornera frontal o indirectamente mediante tarjeta terminadora y
cable multiconductor modelo AKB331.

MODULO DE SALIDAS DIGITALES(SDV541)

Este modulo Discreto cuenta con 16 canales de salidas de 24 VCD en formato sink, su
voltaje de carga es de 24 VCD, 50mA, el rango de voltaje de l fuente de alimentación
externa es de 20.4 a 26.4 VCD, valor máximo de voltaje de salida 2 VCD, carga de
corriente máxima, tiempo de respuesta de salida 3ms o menos para estatus de salida y 10 ms
o menos para estatus mixto de salida de pulso, corriente máxima de consumo 700mA (5
VCD) o 60 mA, este modulo puede recibir las señales de campo directamente mediante
bornera frontal o indirectamente mediante tarjeta terminadora y cable multiconductor
modelo AKB331.

MODULO DE ENTRADAS ANALOGICAS (SAI143)

Este modulo Analógico cuenta con 16 canales aislados de entrada de 4-20mA,

corriente de entrada permisible 24 mA, voltaje soportado entre entrada y sistema de 1500
VCA por un minuto, resistencia de entrada en encendido 270 Ω (20 mA) to 350 Ω (4 mA) y
en apagado 500 k Ω o mas, exactitud de ± 10 µA, periodo de actualización de datos de 10
ms, ajuste de transmisión en 2 y 4 hilos, máximo consumo de corriente, 230mA (5 VCD) ,
540 mA (24 VCD), a estos módulos se les puede sobreponer un protocolo digital HART,
este modulo puede recibir las señales de campo directamente mediante bornera frontal o
indirectamente mediante tarjeta terminadora y cable multiconductor modelo KS1.

122
 TARJETA DE COMUNICACIÓN VNET/IP PARA ESTACIONES (VI701 y VI702)

Esta tarjeta es la encargada de realizar la interface entre los diferentes tipos de

estaciones (operación, ingeniería, servidores, etc.) y la red de control Vnet/IP, se instalan en
equipos de computo convencionales con ranura PCI (VI701) o PCI Express (VI702), cuenta
con dos puertos de comunicación RJ45 y cuenta con una velocidad de transmisión de 1Gbps
totalmente redundante, la transmisión es en cumplimiento con 1000Base-T con una distancia
máxima de transmisión de 100 metros con cable UTP CAT5 o hasta 150 metros con cable
UTP CAT6., su consumo de corriente máxima es de 2.5

TECLADO DE OPERACIÓN DE TIPO MEMBRANA CON FUNCIONES (AIP827)

Este teclado de operación es usado para las HIS, por

tratarse de un teclado de tipo industrial es de uso rudo y
cuenta con tecas de tipo membrana , además de ser una
herramienta valiosa que nos ayuda a simplificar aun más la
operación de nuestro sistema puesto que cuenta con diversos
grupos de teclas de funciones que nos facilitan el acceso a
ciertas ventanas de interés para el operador las cuales serán
configuradas a solicitud de los usuarios y del cual a continuación se muestra un figura con la
disposición de teclas.

Licenciamiento

En esta sección se indican los tipos de licencias que se consideran suministrar para la
implementación del proyecto, el licenciamiento principalmente se divide en 4 principales grupos que
se mencionan a continuación.

Licencias de controlador: Son aquellas licencias que se cargaran directamente en los

controladores y son sobre todo aquellas que tienen que ver con comunicaciones.

Licencias de desarrollo: Son aquellas licencias que se instalaran en la estación de ingeniería

y que nos sirven para el desarrollo de lógica de control, construcción de pantallas, etc.(también
pueden ser instaladas en configuradores portátiles).

Licencias de operación: Estas licencias se instalan en las estaciones de operación y no solo

tienen que ver con nuestro sistema sino que pueden ser clientes OPC y recibir información desde un
Servidor OPC de otro sistema.

Existen tres tamaños de licencia, el llamado Entry Class que soporta hasta 8000 tags, la
versión estándar que soporta hasta 100,000 tags y mediante una expansión podemos soportar hasta
1,000,000 de tags. En la actual propuesta se considera el suministro de licencias tipo ENTY
CLASS.

123
 ESTACIONES DE OPERACIÓN (HIS)

La estaciones de operación son mejor conocidas dentro de

los sistemas de control YOKOGAWA como HIS que quiere
decir Human – Machine – Interface o en español Interface –
Humano – Maquina y son ellas las encargadas de llevar la
información de proceso a los operadores para que ellos puedan
llevar a cabo las acciones necesarias para el correcto desarrollo
del proceso o lo que es lo mismo estas estaciones son las encargadas de llevar a cabo el monitoreo y
la operación del sistema.

Las HIS son equipos de cómputo de uso comercial de tipo Workstation y dentro de sus
características mínimas cuentan con:

Tipo estación de trabajo mini torre

Procesador Dual -Core 2.33 GHz/1333 MHz
Windows ultima versión (XP o Vista Profesional)
Tarjeta de video de 128 MB
2GB Memoria en RAM
Unidad de almacenamiento masivo 16X DVD+/-RW
Floppy Drive 1.44 MB
Teclado USB
Mouse óptico USB
Disco duro de 140 GB

A estas estaciones se les coloca una tarjeta VI701 o VI702 para su interconexión con la red de
control Vnet/IP, mediante esta tarjeta las estaciones contarán con un doble puerto de comunicación,
cada puerto se conectará a los switches de la red 1 o de la red 2 para garantizar una redundancia en
canales de comunicación.

ESTACIONES DE INGENIERIA (ENG)

La estaciones de ingeniería son las encargadas de la

construcción y desarrollo de pantallas, gráficos dinámicos,
tendencias, reportes y demás visualización grafica que se
presentara en las estaciones de monitoreo, así mismo también
se desarrolla la ingeniería de los controladores de campo como
seria la secuencia lógica, etc. Además de también poder llevar
acabo de ser necesarias las funciones de una HIS dependiendo
del licenciamiento con el que cuente, además de servirnos
también para la realización de mantenimiento del sistema.

Las estaciones de ingeniería al igual que las HIS son equipos de computo de uso comercial
pero a diferencia de las de estaciones de operación, la de ingeniería es un equipo tipo servidor ya
que al poder relazar las funciones de una HIS además de las de ingeniería, es necesario un equipo
con mayor robustez pero sin dejar a un lado la confiabilidad y dentro de sus características mínimas
cuentan con:
124
 Tipo estación de trabajo mini torre
Procesador Quad -Core Opteron 2.33 GHz, 1 GHz Hyper Transpor
Windows ultima versión (XP o Vista Profesional)
Tarjeta de video de 128 MB
4GB Memoria en RAM
Unidad de almacenamiento masivo 16X DVD+/-RW
Floppy Drive 1.44 MB
Teclado USB
Mouse óptico USB
Disco duro dual de 80 GB

A estas estaciones se les coloca una tarjeta VI701 o VI702 para su interconexión con la red de
control Vnet/IP, mediante esta tarjeta las estaciones contarán con un doble puerto de comunicación,
cada puerto se conectará a los switches de la red 1 o de la red 2 para garantizar una redundancia en
canales de comunicación.

CONFIGURADOR PORTATIL

El configurador portátil contara con todas las capacidades de

una estación de ingeniería por lo cual podrá realizar construcción y
desarrollo de pantallas, gráficos dinámicos, tendencias, reportes y
demás visualización grafica que se presentara en las estaciones de
monitoreo, así mismo también se desarrolla la ingeniería de los
controladores de campo como seria la secuencia lógica, etc. además
de poder ser usada por ende también como herramienta para llevar a
cabo mantenimientos del sistema. Una de las principales ventajas de ese configurador es que no es
necesario estar físicamente junto a la FCS sino que podemos conectarnos en cualquier puerto donde
haya un switch de nuestra Vnet/IP.

Procesador Intel Core 2 Duo T7250 (2.00GHz 800MHz, 2M L2 Cache) Dual Core
Pantalla ancha de 15.4 pulgadas
Windows ultima versión (XP o Vista Profesional)
Tarjeta de video de 512 MB
2GB Memoria en RAM
Unidad de almacenamiento masivo 16X DVD+/-RW
Teclado y Touch Pad integrados
Disco duro dual de 120 GB

125
EXTENSION PARA RANURA PCI

A estas estaciones se les coloca una tarjeta VI701 o VI702

para su interconexión con la red de control Vnet/IP, mediante esta
tarjeta las estaciones contarán con un doble puerto de
comunicación, cada puerto se conectará a los switches de la red 1
o de la red 2 para garantizar una redundancia en canales de
comunicación y debido a que ambos modelos de tarjetas
anteriormente mencionadas son PCI o PCI Express, es necesario
considerar el uso de un sistema de expansión de ranuras PCI, este
sistema cuenta con una interface que se conectara al configurador
portátil mediante PCMCIA y con esto tendremos disponible una
ranura PCI para insertar nuestra tarjeta VI701.

PANTALLAS

Monitores equipados con Matriz Activa TFT LCD, sirve

para mostrar imágenes de texto y gráficos con una resolución
máxima de hasta 1600x1200 píxeles mientras que su contraste
genera imágenes más nítidas y claras, el amplio ángulo visual
permite que el usuario vea la pantalla desde diversas
posiciones sin demeritar la calidad de la imagen. Cuenta con
un rango de escaneo horizontal de 30Hz x 81kHz y vertical de
56Hz x 76kHze, cuenta con una base de altura ajustable, el
tiempo de respuesta estándar es de 16ms, brillo de 300 nits
común, contraste de 800 a 1 y con bajo nivel de consumo
eléctrico ya que cumple con el concepto de energy star.

IMPRESORAS

Impresoras láser de alto desempeño ya sea

monocromática o cromática, conectividad a red
mediante puerto RJ-45, resolución hasta de 1200 x 1200
puntos por pulgada, volumen de impresión típico
recomendado de 1000 a 7000 paginas por mes pero con
capacidad de hasta un máximo de 60,000 paginas por
mes, lenguaje de impresión PCL 6, interface de conexión
Ethernet 10/100 BaseT, USB 2.0 de alta velocidad ,
Puerto paralelo IEEE 1284, velocidad de impresión de
hasta 20 paginas por minuto, memoria RAM expandible
hasta 1GB y charola de auto alimentación hasta de 40
hojas.

126
 GABINETES

Los gabinetes que serán empleados son fabricados

en chapa de acero al carbón calibre 4 y como parte
integral del gabinete incluyen puerta con troquel en
retícula de 25 mm para la fijación de canaletas, pupitres,
mazos de cables, porta esquemas, etc. placas de montaje
galvanizadas canto lateral en C, ajustables en
profundidad, equipamiento interior universal, perfiles de
bastidor troquelados de 25 mm, dos niveles de montaje
vertical galvanizadas con gado de protección IP55/
NEMA 12. Dimensiones estándar utilizadas de
2000x800x600.

127
Lista de materiales propuestos para la implementación de Sistema de paro por emergencia en
la Planta Alberto Lovera correspondiente al área del balance de planta (BOP).

SISTEMA DE PARO POR EMERGENCIA

Partida Modelo Descripción Cantidad
Unidad Controladora de Campo Dúplex con
redundancia en fuentes de alimentación,
procesadores y red de control Vnet/IP; Con
1 SSC50D-S2111//ATDOC//GPS 1
protección ISA Estándar G3; Fuente de
Alimentación 100-120V AV; CFS1100 Licencia;
IRIG (GPS) Interfaz (Modelo:S9161FA)
Modulo de comunicación ESB BUS para montaje;
2 SEC401-11 2
Con protección ISA Estándar G3
3 YCB301-C100 Cable para comunicación ESB BUS de 1 metro 2
Cable para comunicación ESB BUS de 20
4 YCB301-C020 2
centímetros
Nodo de E/S con redundancia en fuentes de
5 SNB10D-213//CU2N//ATDOC 1
alimentación y comunicación ESB BUS.
Nodo de E/S con redundancia en fuentes de
6 SNB10D-213//CU2T//ATDOC alimentación y comunicación y terminador ESB 1
BUS.
Modulo de entrada Analógica (16 canales,
7 SAI143-H33//A4S00 4
aislamiento)
Modulo de Entrada Digital (16-canales,
8 SDV144-S33/CCC01 aislamiento colectivo) Con adaptador de la interfaz 8
para la señal de cable.
Modulo de salida digital (8-canales); Con adaptador
9 SDV541-S33//PRP 6
de la interfaz para la señal de cable.
10 SRM54D-000/BR4 Relevador de contacto seco de 19 in. 1
Tarjeta terminadora para señales digitales
11 SEA4D-01 (Individual y Doble-redundancia, 16x2 canales), 2
Con protección ISA Estándar G3.
Cable de señal (50-50 pins) (para la conexión
12 KS1-10 entre SDV144 / 4
SDV531/SDV541 y Terminal Board)
Cable de señal (50-50 pins) (para la conexión
13 AKB331-M050 entre SDV144 / 14
SDV531/SDV541 y Terminal Board)
14 AEP7D-11 Unidad Distribuidora de Alimentación Principal 1
15 SDCV01 Tapa para ranuras vacías 4
Teclado de uso industrial de membrana para
16 API827 1
estación de operación

128
SOFTWARE PARA ESTACION DE OPERACIÓN Y DE INGENIERIA
Sistema de seguridad generación y mantenimiento de
24 CHS5100-V11 paquetes 1
[Modelo Medio: CHSKM02-C11]
25 CHS5200-V11 Ingeniería de Integración de paquetes 1
27 LHM1101-V11//N0005 Operación Estándar y monitoreo de función 1
28 CHS5400-V11 Manual electrónico 1
29 CHSKM02-V11 Software media 1
30 CHSPJT1-V11 Licencia de identificación del proyecto 1
EQUIPO COMPLEMENTARIO
GABINETES
31 8808500 Gabinete NEMA 12 Tipo 1, 2 u 8 2
32 S/N Material eléctrico 2
33 560586 9 Arreglo de distribución 120 VAC 1
Fuente de alimentación Para FTA's de 24 VCD a 20
34 560408 2 2
amperes
RED DE TRABAJO
35 (O) T3535-BB6Z03-BA-150FT UTP Patch Cable CAT5e, color rojo, el 49,4 metros 4
36 (O) T3535-BB6Z06-BA-150FT UTP Patch Cable CAT5e, color azul, el 49,4 metros 6
37 (N) T3G3G-BB7XX-BA-100FT Ethernet UTP Cable Cat5e 2
38 GSM7224 Switch etherrnet capa 2 8
39 LE604A-R4 Convertidor de Fibra óptica 4
40 JPM370A-R2 Patch Panel Fibra óptica 4
EQUIPOS INFORMATICOS
Workstation para estación de operación y estación de
41 T3400
ingeniería 2
42 Dell 2208WFP Dell 22 " Wide Flat panel HD 2
43 E2600 Impresora de reportes 1
44 CS44N Impresora de alarmas 1

129
Consideraciones técnicas de la propuesta

Se muestran a continuación algunas consideraciones realizadas para este proyecto:

• Se contempla que todo el software necesario para la puesta en marcha y operación del
Sistema de Parada de Emergencia.
• Para las entradas analógicas, se está considerando el suministro de tarjetas con protocolo
Hart.
• Se considera un 20% de Spare.
• Se considera el suministro de un controlador de campo con ventilador integrado para
soportar temperaturas hasta de 70 grados centígrados
• Para la puesta en operación del sistema, se consideran Clemas, fusibles y cables. No se
considera el suministro de tarjetas de entrada/salida para este propósito.
• Para el caso de salidas analógica se contempla el suministro de tarjetas de dos tipos.
• Tarjetas con salidas de 200 mA por canal (16 puntos)
• Tarjetas con salida de 500 mA por canal (8 puntos) para las luces piloto en el panel de
botoneras.
• Se excluye el suministro y tendido de fibra óptica.
• Se excluye el suministro de botoneras y dispositivos de alarmas.
• Se asume que existe una fuente de alimentación de 120 VAC.
• Se contempla la realización de pruebas FAT hasta por 3 días
• Se contempla la realización de pruebas SAT hasta por 2 días

130
Porque sistema instrumentado de seguridad PROSAFE-RS marca YOKOGAWA

El ProSafe-RS es un sistema de seguridad que es certificado por la organización alemana

Technische Überwachungs-Verein (TÜV) El cual cumple con un Nivel de Integridad de Seguridad
(SIL) 3 conforme a lo especificado en la norma IEC 61508, además de contar con tecnología Hot
Swap y un arreglo de procesadores 1oo2D (1 de 2 con diagnostico).

El alto nivel de redundancia disponible en la Estación de Control de Seguridad (SCS) está en

el más alto orden tanto es así que los siguientes componentes son duplicados y permiten un
intercambio en línea para proporcionar una alta confiabilidad:

• Procesadores de Control de Estación

• Fuentes de poder de procesador de control
• Bus de comunicación de I/O remotas
• Comunicación con todos los módulos I/O
• Unidades de interface de nodo
• Bus de control conforme al estándar IEEE 802.3. La velocidad de este bus es de 1
Gbps. La Vnet/IP es un bus de configuración redundante.
• ProSafe-RS puede comunicarse con otros sistemas a través de comunicación Modbus

Los diseñadores de Yokogawa han empleado el estado de las técnicas de diseño y arte
electrónico de componentes miniatura de circuitos de control de seguridad. Cada procesador
ProSafe-RS, proporcionando a los usuarios SIL3 con protección de nivel en una sola tarjeta. Esta
arquitectura es simple misma comprende el diseñar, instalar y mantener. Además, el diseño tiene un
alto factor de diagnóstico de cobertura de más del 99%, proporcionando a los usuarios un medio
rápido de detección de fallas que puede permitir a las reparaciones que se efectuarán dentro de un
plazo razonable con un impacto mínimo en el proceso.

Si se requiere la disponibilidad de un sistema aún mayor y la tolerancia a fallos, ProSafe-R se

pueden configurado para obtener redundancia doble con tan sólo insertar la tarjeta adicional
apropiada.

Debido a que la E / S funciones del proceso de ProSafe-RS tiene una modularidad que se
extiende a hasta el nivel de función, la redundancia se puede aplicar exactamente donde sea
necesario a la entrada, la producción o los módulos de procesador proporcionar una combinación de
seguridad. Esta flexibilidad permite cualquier combinación de redundancia dual para ser
configurado: como una sola entrada y una salida redundante, o una entrada redundante y una sola
salida

La miniaturización de las tarjetas de ProSafe-RS no sólo tiene los beneficios de la

configuración del sistema, sino que también proporciona un avance en el SIS y el tamaño del
gabinete. La arquitectura de ProSafe-RS hace muy probable que los usuarios del SIS puedan
aprovechar los ahorros importantes de espacio en comparación con el PLC de seguridad de otros
131
proveedores en el mercado que se ofrecen hoy en día. Ofrece los beneficios para todos los usuarios,
pero será particularmente beneficioso en cualquier aplicación en donde el espacio o el peso es un
factor importante como en las salas de equipos de plataforma mar adentro, o en los equipos remotos
en las estaciones en las plantas de proceso de mayor escala.

Yokogawa ocupa el segundo lugar en la seguridad desde 1997 con el establecimiento de

Sistemas de seguridad Industrial Yokogawa una organización de seguridad de instrumentación con
la propiedad intelectual de productos.Para los niveles de seguridad y la estrategia de control para un
proceso en particular, puede haber confusión. ProSafe-RS aporta claridad. Es intrínsecamente
seguro, proporcionando SIL3 esta calificación de seguridad para hacer frente a la mayoría de los
requisitos exigentes relacionados con la seguridad. Con ProSafe-RS, la capacidad de SIL3 se
presenta en un solo módulo. Combinado con el hecho de que el sistema de funcionamiento en la red
DCS común y es construido utilizando la arquitectura del sistema mismo, ProSafe-RS puede reducir
drásticamente el tiempo y el costo requeridos para seleccionar y aplicar el SIS.

Una mayor eficiencia operativa precisa.

• Menor costo para el control y ahorro en la arquitectura de la red y los gastos generales de
mantenimiento.

• Yokogawa presenta un innovador controlador de seguridad diseñado a través de la selección de

las complejidades del SIS y de la configuración, proporcionando la capacidad de SIL3 en un solo
módulo.

La clave de la arquitectura unificada del SCD- SIS, es altamente robusto el protocolo

desarrollado por Yokogawa específicamente para apoyar la seguridad relacionado con la
comunicación en los datos comunes del SCD. Esta segrega el protocolo de comunicaciones SCD-
SIS lógicamente, para garantizar la integridad de las comunicaciones de seguridad ProSafe-RS en la
red compartida (V net) esta red ya implementa la redundancia doble para no detener la fiabilidad de
la red del DCS. Este avance para el mundo de control de procesos y ha sido independientemente
probado y aprobado para proporcionar la garantía de dicha integridad.

ProSafe-PLC es un PLC de seguridad modular que puede ser configurado para proporcionar
protección SIL3 (certificaciones TÜV AK1-6). ProSafe-SLS de estado sólido soluciona la lógica al
brindar prueba a fallos esta integridad necesarias es para satisfacer las más altas necesidades de
seguridad.

Los técnicos de la planta tradicionalmente tienen la capacitación requerida en el de

configuración, mantenimiento y reparación de dos los sistemas independientes del hardware. Un
control unificado del sistema puede hacer una contribución sustancial a la reducción de los gastos de
mano de obra en procesos de grandes plantas.

El certificado de TÜV no menciona restricciones para que el Prosafe RS sea utilizado en

cualquier tipo de aplicación

132
 Flexibilidad – Alta disponibilidad por opciones de “Redundancia” de un lazo múltiples lazos
Flexibilidad – Entradas y Salidas pueden estar en diferentes nodos o racks
Escalabilidad - 50 a 100,000 tags

Resumen Económico- Comercial

Planta de Generación Eléctrica Alberto Lovera

Sistema de Paro por Emergencia del BOP.
Partida Descripción Venta USD

1 Sistema de paro por emergencia Hardware y Software $170,650.00

2 Servicios de Configuración, Ingeniería y Puesta en Marcha $81,350.00

Gran Total $251,000.00

(Doscientos cincuenta y dos Mil Dólares Americanos 00/100)

• Este costo se encuentra expresado en Dólares Americanos.

• Se excluyen el impuesto de importación y servicios locales.
• El tiempo estimado de ejecución del proyecto será de 4 – 5 meses.
• Este costo es un estimado de acuerdo al alcance que se tenga.
• Para los efectos de esta propuesta favor de tomar en consideración las exclusiones y
clarificaciones de la propuesta técnica.
• Este costo es estimado.

133
 CONCLUSIONES.
El sistema de seguridad será por lo menos tan seguro como los sistemas alambrados. Una
mejora en la seguridad es deseable, desde que muchos de los sistemas alambrados no funcionaban
cuando eran requeridos; debido a la falta de una línea de diagnóstico y la comprobación periódica de
exanimación fuera de línea.

Deben reducirse el número y frecuencia de fallas o disparos de sobre corriente o tensión

causados por el sistema de seguridad. La reducción de fallas puede mejorar la seguridad global del
proceso cuando se reduce el número de paros y arranques subsecuentes que arriesgan el sistema. La
reducción de fallas también puede mejorar dramáticamente la productividad del proceso y puede
ahorrar centenares de miles de dólares por año.

El sistema debe ser fácil de mantener y de solucionar los problemas. El diagnóstico en línea
del sistema de seguridad debe proporcionarse para eliminar la necesidad del mantenimiento especial
durante los paros de planta. Deben proporcionarse los módulos de diagnóstico. Debe ser posible que
los diagnósticos se extiendan al alambrado y los dispositivos del campo.

El sistema debe ser fácil de programar y documentar. Simple, deben ser fáciles de entender los
idiomas de programación para reducir la posibilidad cometer errores de programación.

El sistema debe ser fácil al reconfigurar para que se puedan realizar los cambios del proceso.

El sistema debe poderse comunicar con los puestos de trabajo de los operadores y otros los
sistemas de computación. Esto permite el personal que opera supervise el estado del sistema de
seguridad. Entradas puenteadas o salidas forzadas deben alarmar los sistemas para alertar al
operador de condiciones que pueden afectar el funcionamiento correcto del sistema de seguridad.
También deben desplegarse estados de diagnóstico del sistema de seguridad para facilitar los
elementos de mantenimiento la reparación rápida en el sistema de seguridad.

El sistema debe protegerse de los cambios no autorizados. Deben proporcionar hardware y

software de protección para controlar el acceso al sistema de seguridad.

El historial de disparos y/o el reporte de eventos deben estar disponibles para imprimir la
causa del paro. Esto permite el problema que causó el paro pueda ser reparado rápidamente para que
el proceso pueda ponerse en línea en un tiempo muy corto.

Se debe de aplicar y cumplir con los objetivos de cada una de las etapas del ciclo de vida de
seguridad SIS, buscando ante todo la funcionalidad del sistema; se deben de valorara toso los
beneficios que se obtienen al realizarlo de esta manera contra las pérdidas de funcionalidad, tiempo ,
recursos tecnológicos y costos.

Es necesario verificar que cada etapa se está cumpliendo con el objetivo que el resultado está
de acuerdo a los requerimientos solicitados y que no se dejan huecos que efectuaran en la siguiente
fase del sistema.

134
 IMPLEMENTACION DE LOS SISTEMAS INTRUMENTADOS DE
SEGURIDAD AL PARO SEGURO ASOCIADO A LOS SISTEMAS DE
PROCESO QUE CONSTITUYEN EL BALANCE DE PLANTA (BOP) EN UNA
PLANTA TERMOLECTRICA.

Anexo “A” Glosario.

 BIBLIOGRAFÍA

• GUIA GENERAL PARA LA SELECCIÓN Y APLICACIÓN DE TECNICAS DE

EVALUACION DE RIESGOS INDUSTRIALES. Carlos Roberto Jacobo Vargas et. Al
México, Facultad de Química. 1997.

• SAFETY INSTRUMENTED SYSTEMS: DESIGN ANALYSIS AND JUSTIFICATION,

2nd EDITION, Paul Gruhn, Harry L. Cheddie. ISA, USA, 2006.
• SAFETY INTEGRITY LEVEL SELECTION, Ed MArszal, Eric Sharpf, ISA, USA, 2002.

• SAFETY INSTRUMENTED SYSTEMS, VERIFICATION, William M. Gobble, Harry

Cheddie, ISA, USA, 2005.

• MAINTAINABILITY AND MAINTENANCE MANAGEMENT, 2nd EDITION Joseph D.

Patton, ISA, USA, 1988.

• GUIDELINES FOR PROCESS SAFETY DOCUMENTATION, Center for Chemical

Process Safety, USA, American Institute of Chemical Engineers, 1995.

• PROCEDIMIENTO PARA REALIZACION DE ANALISIS DE RIESGO, No. PEP-437.

PEMEX Exploración y Producción, Febrero de 1999.

• THE MANAGEMENT OF CONTROL SYSTEMS, JSTIFICATION AND TECHNICAL

AUDITING. Bill Battikha, ISA, USA, 1992.

• SAFETY EQUIPMENT RELIABILITY HANDBOOK, 2nd EDITION, EXIDA, Sellersville

PA, USA, 2005.

• HTTP.//WWW. SYMANTEC,COM

135
 ANEXO “A”

IEC 61508 Parte “4”: Abreviaturas y definiciones

La parte 4 del estándar contiene las abreviaturas y definiciones usadas en todo este
documento. Es importante comprender bien el significado de las definiciones para poder
interpretar correctamente el propio estándar: son estas:

A.1 Términos de seguridad

A efectos de esta Norma Internacional, se aplican las definiciones y las abreviaturas
presentadas en la tabla.

Abreviatura Expresión entera Definición y/o

explicación del
término
ALARP Tan bajo como sea razonablemente Anexo B de la
practicable parte 5
E/E/PE Electrónico 5.2.6
Eléctrico/Electrónico/Programable
E/E/PES Sistema Electrónico 5.3.3
Eléctrico/Electrónico/Programable
EUC Equipo controlado 5.2.3
PES Sistema electrónico programable 5.3.2
PLC Controlador lógico programable Anexo C de la
parte 6
SIL Nivel de integridad de la Seguridad 5.5.6
Tabla: Abreviaturas usadas en la IEC 61508

Harm (daño): Lesión física o daño a la salud de personas físicas, ya sea directa o
indirectamente, como resultado de un daño a una propiedad o al ambiente.
Hazard (peligro): fuente potencial de daño.
Nota: el término incluye los peligros para las personas, tanto si suceden en un breve
periodo de tiempo (explosión) como si tiene un efecto a largo plazo sobre la salud de las
personas (emisiones de sustancias toxicas).
Hazardous situation (Situación de peligro): Circunstancia en la que una persona
está expuesta al peligro/s.
Hazardous event (Suceso de peligro): Situación de peligro que causa un daño.
Risk (Riesgo): Combinación entre la probabilidad de que un daño se produzca y la
gravedad del mismo.
Tolerable risk (Riesgo tolerable): Riesgo aceptado en un determinado contexto,
basado en los valores existentes de la sociedad.
Residual risk (Riesgo residual): Riesgo remanente después de haber tomado
medidas de protección.
Safety (Seguridad): Ausencia de riesgo inaceptable.
Functional safety (Seguridad funcional): La parte de la seguridad global relativa al
EUC y a los sistemas de control de EUC, que depende del funcionamiento correcto de los
sistemas safety-related E/E/PE, de sistemas safety-related de otras tecnologías y los
dispositivos externos de reducción del riesgo.
Safety state (Estado de seguridad): Estado dl EUC en el que la seguridad es
alcanzada y mantenida. Nota: Al pasar de una condición potencialmente peligrosa a un
estado definitivo de seguridad, el EUC puede pasar por algunos estados intermedios de
seguridad. Para algunas situaciones, el estado de seguridad persiste mientras el EUC esté
continuamente bajo control. El control continuo puede durar un periodo de tiempo breve o
indefinido.
Reasonably foreseeable misuse (Uso erróneo razonablemente previsible): Uso de
un producto, proceso o servicio, en condiciones o para una finalidad no pretendida/deseada
por el fabricante, pero que puede ocurrir inducido por el producto, proceso o servicio en
combinación con, o como resultado de un comportamiento humano normal.

A.2 Equipos y dispositivos

Functional unit (Unidad funcional): entidad de hardware o software, o de ambos,

capaz de llevar a cabo un determinado objetivo.
Software: creación intelectual que comprende programas, procedimientos, datos,
reglas y toda documentación relativa y pertinente a las operaciones del sistema de proceso
de datos.
Nota: El software es independiente del medio en el que es memorizado.
EUC Equipment under control (Equipo controlado): equipo, maquinaria, aparato o
instalación usada para producción, proceso, transporte, uso médico u otras actividades.
EUC risk (Riesgo EUC): Riesgo proveniente de la EUC o de sus interacciones con el
sistema de control EUC.

Nota 1: el riesgo en este contexto es el que se asocia a un especifico suceso de peligro

en el cual los sistemas safety-relates E/E/PE, los sistemas safety-related de otras
tecnologías y los medios externos de reducción del riesgo deben ser usados para obtener la
reducción del riesgo necesaria (por ejemplo el riesgo asociado a la seguridad funcional).

Nota 2: el riesgo EUC se indica en la figura A.1 de la parte 5 del estándar. El objetivo
principal de indicar el riesgo EUC es establecer un punto de referencia para el riesgo sin
tomar en consideración los sistemas safety-related, los safety-related de otras tecnologías y
los equipos/medios externos de reducción del riesgo.

Nota 3: la verificación del riesgo incluirá los resultados de distintos factores

humanos.

Programmable electronic (Electrónico programable): basado en tecnología de

microprocesador que puede incluir hardware, software y unidades de entrada y salida.

Nota: este término comprende los dispositivos microelectrónicos basados en una o

varias CPU con las memorias asociadas, etc.

Ejemplos de dispositivos programables:

• Microprocesadores.
 • Microcontroladores.
• Controladores programables.
• Circuitos integrados para aplicación especifica ASIC.
• Otros dispositivos basados en tecnología de ordenador como sensores smart,
transmisores, accionadores, etc.
Electrical/electronic/programable electronic E/E/PE (Eléctrico/electrónico/electrónico
programable): basado en tecnología eléctrica (E) y/o electrónica (E) y/o electrónica
programable (PE).
Nota: con este término se pretende definir cualquier dispositivo o sistema que opere
en principios eléctricos.

Ejemplos:
• Dispositivos electromecánicos (eléctricos).
• Dispositivos electrónicos no programables de semiconductores (electrónicos).
• Dispositivos electrónicos basados en tecnología de ordenador (electrónicos
programables).

Limited variability language (Lenguaje de variabilidad limitada): lenguaje de

programación del software, tanto de texto como grafico, para controladores electrónicos
programables, comerciales e industriales, con una gama de posibilidades limitadas a su
aplicación.

Ejemplos de lenguajes usados en PLC:

• Ladder diagram: lenguaje grafico que consiste en una serie de símbolos input
(como contactos NA-NC) conectados por líneas (para indicar el flujo de
corriente) con símbolos de output (como relés).
• Algebra booleana: lenguaje de bajo nivel basado en operadores booleanos
como AND, OR y NOT con la capacidad de añadir algunas instrucciones
mnemónicas.
• Diagrama de bloques funcionales: añadido a los operadores Booleanos,
permite el uso de funciones más complejas como file transfer datos,
transferencia de bloques de lectura y escritura, instrucciones de registros de
deslizamiento y de secuenciación.
• Gráfico de funciones secuenciales: una representación gráfica de un programa
secuencial que consiste en fases de conexión, acciones, conexiones directas en
condiciones de transición.

A.3 Sistemas en general

Sistema: conjunto de elementos que interactúan según un proyecto, donde un
elemento del sistema puede ser también otro sistema, llamado subsistema, que puede ser un
sistema de control o un sistema controlado y puede comprender hardware, software e
interacción con un operador.
Nota: una persona puede ser parte del sistema.
 Programmable electronic system PES (Sistema electrónico programable): sistema de
control, protección o seguimiento, basado en uno o varios dispositivos electrónicos
programables, incluidos todos los elementos del sistema como alimentadores, sensores y
otros dispositivos de input, data highways y otras vías de comunicación y accionadores y
otros dispositivos de salida (figura 76).

Figura: 12.1 PES, estructura y terminología

Programmable electronic system E/E/PES (Sistema eléctrico/electrónico/electrónico

programable): sistema de control, protección o seguimiento, basado en uno o varios
dispositivos electrónicos programables, incluidos todos los elementos del sistema como
alimentadores, sensores y otros dispositivos de input, data highways y otras vías de
comunicación y accionadores y otros dispositivos de salida (figura 77).
 Figura: 12.2 E/E/PES, estructura y terminología.

EUC Control system (Sistema de control): sistema que responde a señales de entrada
desde el proceso y/o desde un operador y genera señales de salida que inducen al EUC a
comportarse de la manera deseada.
Architecture (Arquitectura): configuración especifica de elementos hardware y
software en un sistema.
Module (Módulo): secuencias de instrucciones (rutinas), componentes discretos o un
set funcional de rutinas encapsuladas o componentes discretos que son un conjunto.
Software module (Modulo software): una elaboración formada por procedimientos
y/o declaraciones de datos que, además pueden interactuar con otras elaboraciones.
Channel (Canal): elemento o grupo de elementos que independientemente realizan
una función (es).
Diversity (Diversidad): medio distinto para realizar una función requerida.
Nota: la diversidad puede ser alcanzada mediante métodos físicos distintos o distintos
métodos de proyecto.
Redundancy (Redundancia): medios de una unidad funcional, añadidos a los
medios que podrían ser suficientes, para cumplir una función requerida o para suministrar
datos que representan información.

A.4 Sistemas de seguridad Safety Related.

Safety – related systems (Sistema safety – related): sistema de seguridad diseñado de

manera que:
• Implemente las funciones de seguridad necesarias para alcanzar o mantener
un estado seguro para el EUC
• Pueda alcanzar, sólo o con otros sistemas E/E/PE safety-related, sistemas
safety-related de otras tecnologías o con otros medios de reducción de los
riesgos externos, la integridad de la seguridad necesaria para las funciones de
seguridad requeridas.
 Other technology safety-related system (Sistemas safety-related de otras tecnologías):
sistemas safety-related basados en una tecnología distinta de los sistemas E/E/PR safety-
related (ejemplo, una válvula de desfogue).

External risk reduction facility (Medio externo de reducción del riesgo): medida
destinada a reducir o mitigar los riesgos que son separados y distintos, y no usan, de
sistemas E/E/PE safety-related o sistemas safety-related de otras tecnologías (ejemplo, un
medio de drenaje, un muro antillamas, etc.).

Low complexity E/E/PE system (Sistemas E/E/PE de baja complejidad): sistema

safety-related E/E/PE en el que:

• Los modos de fallo de cada uno de los componentes estén bien definidos y
• El comportamiento del sistema en condiciones de avería puede ser
completamente determinado.
•
Logic system (Sistema lógico): porción de un sistema que desempeña la función
lógica pero que excluye sensores y elementos finales.

Nota: en este estándar se toman en consideración solo los siguientes sistemas lógicos:
los eléctricos, electrónicos y con electrónica.
Watchdog: Combinación de dispositivos diagnósticos y de salida (normalmente un
contacto) para vigilar el correcto funcionamiento de un dispositivo electrónico programable
y que intervenga al detectar una condición de funcionamiento no correcta.

A.5 Funciones de seguridad e integridad de la seguridad.

Safety function (Función de seguridad): función que debe ser implementada por un
sistema E/E/PE safety-related, sistemas safety-related de otras tecnologías o medios de
reducción del riesgo externo, concebida para alcanzar o mantener un estado de seguridad
para el EUC respecto a un suceso peligroso especifico.

Safety integrity (Integridad de la seguridad): probabilidades de un sistema safety-

related de cumplir satisfactoriamente las funciones de seguridad requeridas en todas las
condiciones establecidas y dentro de un determinado periodo de tiempo.

Software safety integrity (Integridad de seguridad del software): medida que expresa
la posibilidad del software en un sistema electrónico programable de cumplir las funciones
de seguridad, en todas las condiciones establecidas y dentro de un determinado periodo de
tiempo.

Systematic safety integrity (Integridad de seguridad sistemática): parte de la

integridad de seguridad de los sistemas safety-related que se refiere a fallos sistemáticos en
un modo de fallo peligroso.
 Hardware safety integrity (Integridad de seguridad de hardware): parte de la
integridad de seguridad de los sistemas safety-related que se refiere a los fallos casuales de
hardware en un modo de avería peligroso.

Safety integrity level SIL (Nivel de integridad de la seguridad SIL): nivel

diferenciado (uno entre cuatro posibles) para especificar los requisitos de integridad de la
seguridad de funciones de seguridad a asignar a los sistemas safety-related E/E/PE, donde
el SIL 4 es el nivel más alto de integridad de la seguridad y el nivel 1 es el más bajo.

Software safety integrity level (Nivel de integridad de seguridad del software): nivel
diferenciado (uno entre cuatro posibles) para especificar los requisitos de integridad de la
seguridad del software en un sistema safety-related.

Safety requirements specification (Especificaciones de los requisitos de seguridad):

especificaciones que contienen los requisitos de las funciones de seguridad que deben ser
realizadas por los sistemas safety-related.

Safety functions requirements specification (Especificaciones de los requisitos

funcionales para la seguridad): especificaciones que contienen todos los requisitos para las
funciones de seguridad que deben ser realizadas por los sistemas safety-related.

Safety integrity requirements specification (Especificaciones de los requisitos de

integridad de la seguridad): especificaciones que contienen los requisitos de integridad de
seguridad de las funciones de seguridad que deben ser realizadas por los sistemas safety-
related.
Safety-related software (Software safety-related): Software que se usa para
implementar las funciones de seguridad en un sistema safety-related.

Mode of operation (Modo de funcionamiento): modo en el que se pretende usar un

sistema safety-related respecto a la frecuencia de las solicitudes de intervención realizadas
al mismo con relación a la frecuencia de comprobación (proof check frequency). Puede ser:

• Low demand mode (modo operativo de baja demanda): donde la frecuencia de

las demandas de intervención realizadas a un sistema safety-related no es
significativamente mayor que la frecuencia de control de prueba (meses o
años).
• High demand o continous mode (Modo operativo de demanda alta o
continua): donde la frecuencia de las demandas realizadas a un sistema safety-
related es significativamente mayor que la frecuencia de comprobación
(minutos u horas).
A.6 Avería, fallo y error

Figura 12.3 Puntos de vista IEC (A,B, C&D)

 Fault (Avería): condición (estado) anormal que puede causar en una unidad
funcional una reducción o una pérdida, de capacidad al ejecutar una función requerida.

Fault avoidance (evitar una avería): técnicas y procedimientos que pretenden evitar
la introducción de averias durante cualquier fase del ciclo de vida de seguridad del sistema
safety-related.

Fault tolerance (Tolerancia a la avería): capacidad de una unidad funcional de

continuar ejecutando la función requerida en presencia de averías o errores.

Failure (Fallo): el final de la capacidad de una unidad funcional de ejecutar la

función requerida, o un comportamiento no concordante con los requisitos específicos.

Nota: por fallo la norma entiende la ausencia de intervención de la acción de

protección que constituye la función de seguridad.

Random hardware failure (Fallo funcional casual de hardware): avería que se

produce casualmente y que deriva de uno o varios mecanismos de posible degradación en el
hardware.
Systematic failure (Fallo funcional sistemático): avería vinculada de manera
determinada a una cierta causa, que solo puede ser eliminado con una modificación del
proyecto o del proceso de producción, de los procedimientos operativos, de la
documentación o de otros factores relevantes.

Dangerous failure (Fallo funcional peligroso): avería que puede conducir al

sistema safety-related a condiciones peligrosas o a un estado de avería funcional. Es decir,
una avería que puede causar una ausencia de intervención de la función de seguridad en el
sistema safety-related.

Safe failure (Fallo funcional seguro): avería que no tiene la potencialidad de

conducir al sistema safety-related en condiciones peligrosas o a un estado de fallo
funcional.

Dependent failure (Fallo funcional dependiente): avería cuya probabilidad no

puede ser expresada como el simple producto de la probabilidad incondicionada de cada
uno de los sucesos que la han causado.

Common cause failure (Fallo funcional de causa común): avería que es el

resultado de uno o varios sucesos que causan averias coincidentes en dos o más canales
separados, en un sistema multicanal y que conducen a una avería del sistema.

Error (Error): discrepancia entre un valor calculado, observado, medido o detectado

efectivamente y el valor especificado o teóricamente correcto.

Human error (Error humano): error, acción humana u omisión de acción que
provoca un resultado no deseado.
 Target failure measure (Medida del target de fallo): probabilidad prevista de que
se obtengan modos de avería peligrosos a alcanzar respecto a los requisitos de integridad de
la seguridad, especificados en términos de:

• Probabilidad media de avería al ejecutar la función proyectada de intervención

en demanda (para un modo operativo low-demand).
• Probabilidad de una avería peligrosa por hora (para un modo operativo high
demand o para un modo operativo continuo).

Neccesary eisk reduction (Necesaria reducción del riesgo): reducción del riesgo que
debe ser obtenida por los sistemas E/E/EP safety-related, sistemas safety-related de otras
tecnologías y equipos de reducción del riesgo externos para alcanzar un nivel de riesgo
tolerable.

A.7 Actividad de los ciclos de vida.

Safety lifecycle (Ciclo de vida de seguridad): actividades necesarias implicadas en

la implementación de los sistemas safety-related, que se verifican durante un periodo de
tiempo que empieza desde la fase conceptual de un proyecto y termina cuando todos los
sistemas E/E/EP safety-related, sistemas safety-related de otras tecnologías y equipos de
reducción del riesgo externos ya no son utilizables.
Software lifecycle (Ciclo de vida del software): actividades que se verifican durante
un periodo de tiempo que empieza cuando el software es concebido y termina cuando el
software ya no es utilizable.

Configuration management (Gestion de la configuración): actividades de gestión

y de identificación de los componentes de un sistema en evolución con el fin de controlar
los cambios de esos componentes y de mantener la continuidad y la trazabilidad a través de
los ciclos de vida.

A.8 Confirmación y medida de la seguridad.

Verification (Comprobación): confirmación, obtenida mediante el examen y las

pruebas objetivas, de que los requisitos han sido plenamente satisfechos.

Validation (Validación): confirmación, obtenida mediante el examen y las pruebas

objetivas, de que los requisitos especiales requeridos para el uso específico han sido
plenamente satisfechos.

*Nota 1: la comprobación es un control de corrección. La validación es un proceso

documentado en que se confirma (valida) que lo que se ha hecho es lo que se tenía que
hacer.
 *Nota 2: en este estándar hay tres fases de validación:

• Validación de la seguridad global.

• Validación E/E/PES.
• Validación del software.

Nota 3: la validación es el proceso de demostración de que el sistema safety-related

en cuestión, antes o después de la instalación, satisface todos los aspectos y las
especificaciones requeridas de seguridad para el sistema safety-related. Por eso, por
ejemplo, la validación del software significa confirmar mediante exámenes y calificaciones,
con pruebas objetivas, que el software satisface las especificaciones requeridas del sistema
de seguridad.

Functional safety assessment (Verificación de la seguridad funcional):

investigación, basada en pruebas, para juzgar la seguridad funcional alcanzada por uno o
varios sistemas safety-related E/E/PE, sistemas safety-related de otras tecnologías y medios
de reducción del riesgo externo.

Functional safety audit (Auditoria de la seguridad funcional): examen sistemático

e independiente para determinar si los procedimientos específicos de los requisitos de
seguridad funcional son conformes a las disposiciones planificadas, están implementados
eficazmente y son adecuados para alcanzar los objetivos especificados.

Nota: la auditoria de seguridad funcional puede ser realizada como parte de la

verificación de la propia seguridad funcional.

Poof test (Intervalo pruebas periódicas): test periódico realizado para descubrir las
averías o malfuncionamientos en un sistema safety-related de manera que, si resulta
necesario, el sistema pueda ser restablecido en unas condiciones “como nuevo” o en unas
condiciones lo más cercanas posibles a esto último.

Diagnostic coverage (Cobertura diagnostica): porcentaje de las averías hardware

peligrosas localizadas mediante tests diagnósticos automáticos.

Diagnostic test interval (Intervalo de test diagnostico): intervalo entre los tests
efectuados con el sistema en funcionamiento ön-line” para localizar errores en un sistema
safety-related que tiene una cobertura diagnostica especifica.

Detected (Detectado): localizado; latente; con relación al hardware, detectado

mediante tests diagnósticos, mediante tests de prueba, mediante intervenciones del operador
(Por ejemplo: inspección física y tests manuales) o mediante el funcionamiento normal.

Undetected (No detectado): no localizado; latente; con relación al hardware, no

detectado mediante tests diagnósticos, mediante tests de prueba, mediante intervenciones
del operador (Por ejemplo: inspección física y tests manuales) o mediante el
funcionamiento normal.
 Independent person (Departamento independiente): departamento que,
independiente y diferenciado de los departamentos responsables de las actividades que
tienen lugar durante la fase global del safety lifecycle del software de E/E/PES, se encarga
de la verificación o validación de la seguridad funcional.

Independent organization (Organización independiente): organización que,

independiente y diferenciado de la gestión y de otros recursos y de la organización
responsable de las actividades que tienen lugar durante las fases especificas globales del
safety lifecycle del software del E/E/PES, se encarga de la verificación o validación de la
seguridad funcional.

Animation (Animación): operación simulada por el software del sistema (o por

algunas partes significativas del sistema) par amostrar aspectos significativos del
comportamiento del sistema, aplicados a una especificación de los requisitos, en un formato
apropiado o en una representación apropiada de alto nivel del proyecto del sistema.

Dynamic testing (Testing dinámico): ejecución de una unidad funcional de software

o activación de una unidad funcional de hardware, de manera controlada y sistemática, para
demostrar la eficacia del comportamiento requerido y la ausencia de comportamientos no
deseados.

Test harness (Aparato de prueba): recurso capaz de simular (en un grado útil) el
ambiente operativo de un software en desarrollo, aplicando casos de prueba al software y
registrando la respuesta.

Impact analysis (Análisis de impacto): actividad de identificación del efecto que un

cambio de una función o de un comportamiento en un sistema tendrá sobre otras funciones
o sobre otros componentes en ese sistema, así como en otros sistemas.
 IMPLEMENTACION DE LOS SISTEMAS INTRUMENTADOS DE
SEGURIDAD AL PARO SEGURO ASOCIADO A LOS SISTEMAS DE
PROCESO QUE CONSTITUYEN EL BALANCE DE PLANTA (BOP) EN
UNA PLANTA TERMOLECTRICA.

Anexo “B” Presentación de las IEC 61508 e IEC 61511 y de otras

normativas y disposiciones legales sobre la
seguridad funcional.
 ANEXO “B”

Presentación de las IEC 61508 e IEC 61511 y de otras normativas y

disposiciones legales sobre la seguridad funcional

Los sistemas de seguridad para la protección de instalaciones o procesos industriales

se instalan donde, en caso de avería o malfuncionamiento de la instalación, existe un
peligro potencial para las personas o para el medio ambiente. Estos sistemas no forman
parte del control de proceso y son independientes del mismo, teniendo como finalidad hacer
segura la instalación en caso de mal funcionamiento.

Hasta hace algún tiempo, estos sistemas de seguridad, por ejemplo los ESD
(Emergency Shut-Down) que efectúan el bloqueo de la instalación en caso de avería de la
misma, eran diseñados conforme a varios estándares sobre la materia existentes en los
distintos países, sin referencia a una única normativa.

Esta situación está cambiando ahora con la introducción de la IEC 61508 y de la IEC
61511. Con estas normativas, los beneficios más importantes para el utilizador final de la
instalación son:

• Un método más técnico y científico para la formulación de las

especificaciones y para el diseño;
• Una definición del riesgo más precisa;
• Un diseño de los sistemas de prevención más valido
• Una demostración más fácil de que soluciones menos costosas son igualmente
eficaces;
• Una evaluación más fácil de la necesidad y de la eficacia de las operaciones
de mantenimiento.

El número de fabricantes de equipos conforme a este estándar va a crecer. La

información suministrada por los fabricantes para estos productos, permiten al utilizador y
al encargado del mantenimiento su integración en sistemas “safety related” (N.d.r.; termino
que se ha considerado conveniente mantener en lengua inglesa, sinónimo de sistemas “de
seguridad”).

El estándar IEC 61508 es una normativa internacional para la seguridad funcional de

equipos eléctricos, electrónicos o electrónicos programables. En el momento de la
redacción de este documento no ha sido promulgada una norma europea EN 61508, todavía
no recogida en una directiva y aun no disponible en lengua italiana. Así pues, se comentara
la versión en lengua inglesa, también por que las siglas de abreviaturas usadas se refieren a
dicha edición.

Las actividades relativas a esta normativa se iniciaron en los años 80, cuando el
comité IEC ACOS (Avisory Committe of Safety) constituyo un grupo de estudio para
considerar el problema de la estandarización puesto de manifiesto por los sistemas
electrónicos programables (PES, Programmable Electronic Systems).
 Por aquel entonces, muchos órganos de estandarización no admitían el uso de
sistemas electrónicos programables en aplicaciones críticas para la seguridad.
El estándar IEC 61508 está compuesto por siete partes, que se pueden adquirir en el
Comité Electrotécnico Italiano.

Las primeras tres partes son “normativas” (obligatorias), las cuatro restantes son
“informativas”. Es decir, facilitan información adicional y de guía para el uso de las tres
primeras. Brevemente, se enumeran del modo siguiente:

Parte 1: Requisitos generales. (Normativa).

Parte 2: Requisitos para los “electrical/electronic/programable electronic safety-
related systems” (Normativa).
Parte 3: Requisitos del software (Normativa).
Parte 4: Definiciones y abreviaturas (Normativa).
Parte 5: Ejemplos de los métodos para la determinación de los “Safety Integrity
Levels” (SIL) (Informativa).
Parte 6: Líneas guía sobre las aplicaciones de las Partes 2 y 3 (Informativa).
Parte 7: Panorámica de las técnicas y medidas (Informativa).

Las partes 1, 3, 4 y 5 fueron aprobadas en 1998. Las partes 2, 6 y 7 fueron aprobadas

en febrero de 2000. Los requisitos técnicos se presentan en las partes 1, 2 y 3 con
información de soporte en las partes 4, 5, 6 y 7 según se indica en la figura 1.

A pesar de que este estándar ha sido criticado por “la extensa” documentación
requerida y el uso intensivo de técnicas estadísticas, representa para muchas industrias un
paso adelante hacia condiciones de trabajo más seguras para las personas y para el
ambiente. Exige examinar los riesgos basados en el diseño de los sistemas de seguridad,
determina una realización más eficaz incluso con relación a los costes y profundiza en los
requisitos de la seguridad.

Debido a estas consideraciones y a la extendida aceptación a nivel internacional,

muchos operadores del sector de la seguridad opinan que este estándar representa un
importante paso adelante en el mundo de la técnica.

Nuestra experiencia en el diseño de hardware y software SIL 2 y SIL 3 nos ha

enseñado que las técnicas recomendadas en este estándar son una guía segura para reducir
las “averías peligrosas no detectables”; el camino adecuado para la seguridad de cualquier
equipo que opere en los sistemas denominados safety-related.
 Figura: 13.1 Requisitos técnicos de la normativa IEC 61508

1.1 Objetivos de la IEC 61508 y de otros estándares de seguridad.

Existe una seguridad primaria (que concierne a los riesgos, como las descargas
eléctricas generadas por un equipo eléctrico) y una seguridad funcional (a la cual se refiere
más específicamente este estándar), que depende de las medidas de reducción del riesgo
adoptadas en el sistema bajo control o EUC (Equipment Under Control). Por último, hay
una seguridad derivada que concierne a las consecuencias indirectas de un EUC que no
funciona como debería (por ejemplo, produciendo un fármaco con una receta errónea que
en lugar de curar podría matar).

Sin embargo, los principios de este estándar se pueden aplicar generalmente también
a otros aspectos de la seguridad que no sea específicamente aquella funcional. La IEC
61508 es una publicación básica de seguridad de la IEC (International Electrotechnical
Comission). Como tal, es un documento “de amplio espectro” que afecta a muchas
industrias y aplicaciones. Por ejemplo, afecta a la directiva PED (Pressured Equipment
Directive) y al método de protección “b” para los equipos no eléctricos del ATEX
(mecánica), además de a la nueva normativa (aun sin aprobar) ATEX EN 50495 (Safety
devices required for safe functioning of equipment with respect to explosión risks), en la
cual por primera vez en el contexto ATEX se fijan los niveles de integridad de la seguridad
funcional (niveles SIL) para un sistema de protección.
La finalidad principal de la normativa IEC 61508 es facilitar las bases para la
preparación de normas específicas de seguridad para instalaciones o sectores industriales.
Un segundo objetivo del estándar es permitir el desarrollo de sistemas de seguridad safety-
related E/E/PE (electrical/electronic/programable electronic) allí donde no existían
estándares específicos de sector.
En el campo de la instrumentación existen otros estándares, inherentes a la
problemática de la IEC 61508, que vale la pena mencionar. Entre los principales se
encuentran el alemán DIN (V) 19250, elaborado incluso antes de la IEC 61508 y el
americano ISA-S84.01.

A partir del 2002 se introdujeron dos nuevas normas especificas: la IEC 61511 para
las industrias de control de procesos y la IEC 62061 para la seguridad de las maquinas.
Ambos estándares hacen referencia directamente a la IEC 61508.

Seguidamente y con el fin de formar una visión más completa, vamos a presentar
brevemente el resto de disposiciones normativas que tratan el problema de seguridad.

1.1.1 HSE-PES

“Programming Electronic Systems In Safety Relates Applications”, Parte 1 & 2,

1987. Este documento fue el primero de su clase publicado por la asociación gubernamental
inglesa Health & Safety Executive. A pesar del hecho de que el documento tiene como
principal finalidad los sistemas electrónicos programables, los conceptos analizados se
pueden aplicar también a otras tecnologías. Trata métodos cuantitativos y cualitativos de
evaluación junto a muchas tablas con cuestionarios específicos (checklists). Este excelente
documento estaba dirigido principalmente a ingenieros de proyectos, aunque no parece que
fuera muy conocido fuera del Reino Unido.

Sin embargo, considerando los temas tratados, parece que los mismos han sido
usados como fundamento para algunas de las normativas más recientes a la hora de analizar
la seguridad en ambientes industriales

1.1.2 DIN (V) 19250

Este estándar es una pre-norma alemana titulada “Aspectos fundamentales de la

seguridad a considerar para equipos de medida y control” emitida en 1989 y cuya última
edición se publico en 1994. Con toda seguridad, ha sido tomado en consideración en los
ejemplos de análisis del riesgo en la IEC 61508 (Parte 5). Este estándar cubre solo
parcialmente los ciclos de vida de la seguridad o “safety lifecycle” que, en cambio, son
tratados detenidamente en la IEC 61508. La intención del DIN (V) 19250 era dar líneas
guía para definir las reglas para el análisis de riesgo. Describe un proceso de análisis
cualitativo del riesgo que ha desembocado en la identificación de clases específicas
llamadas AK. Estas clases de riesgo son de la misma naturaleza que los niveles SIL de la
IEC 61508.

El objetivo de las clases es identificar el nivel de riesgo que debe ser reducido y
definir la fiabilidad de las funciones que deben realizar esta reducción. Se puede trazar una
cierta correspondencia entre los niveles SIL y las clases AK. El citado estándar DIN ha sido
ahora sustituido por la IEC 61508.
 1.1.3 AlChE – CCPS

“Guidelines for Safe Automation of Chemical Processes”, 1993. El instituto

americano de ingenieros químicos formo el “Center for Chemical Process Safety” (CCPS),
inmediatamente después del grave accidente de Bhopal, en India. Desde entonces, este
centro ha elaborado muchos documentos y libros de texto para la seguridad en la industria
de procesos, que tratan el diseño de los DCS (Distributed Control Systems) y que los
asistentes de seguridad SIS (Safety Interlock Systems o Safety Instrumented System).
Todos los autores procedían de industrias que operaban como utilizadores finales y ninguno
de ellos procedía de industrias suministradoras de instrumentos o componentes de sistemas
de seguridad.

1.1.4 ISA-SP84.01

Titulo de este estándar americano “Aplicaciones de seguridad en sistemas

instrumentados para la industria de procesos”. Es un estándar específico para la industria de
procesos y, por tanto, se dirige a los SIS. Fue desarrollado en los años 90 (1996)
paralelamente a las IEC 61508, entonces denominada IEC 1508. Dado que se dirige solo a
los SIS y no a los EUC, este estándar no cubre todos los lyfecycles de la IEC 61508. En
cualquier caso, hay que recordar que este estándar presenta ejemplos de determinación de
los niveles SIL, como en la IEC 61508, en un anexo. En su prefacio se manifestaba que
tenía que ser revisado cada cinco años, pero posteriormente el comité de redacción decidió
sumarse a la IEC 61511.

1.1.5 API RTP 556

“Recomended Practice for Instrumentation and Control Systems for Fired Heaters
and Stream Generators”, American Petroleum Institute, 1997. Este documento tiene
secciones que tratan los sistemas de bloqueo (shutdown) para calentadores, generadores de
vapor, turbinas de gas, generadores de vapor de gases calentados, tanto alimentados por
quemadores como no. El documento estaba dirigido principalmente a refinerías, pero se
podría aplicar sin modificaciones también a plantas químicas o instalaciones similares.

1.1.6 NFPA 85

“Boiler and Combustion Systems Hazard Code”. (Primera edicion 1997) National
Fire Protection Association, 2004. El NFPA 85 es la normativa más reconocida a nivel
mundial para la seguridad en los sistemas de combustión. El estándar comprende:

Gestión de calderas de un solo quemador.

Calderas múltiples quemadores.
Sistemas de pulverización de combustible.
Gestión de la alimentación combustible.
Gestión de las calderas con “fluidized-bed” de presión atmosférica.
Sistemas de recuperación de calor en los generadores de vapor.
 El objetivo del NFPA 85 es suministrar una operatividad segura con el fin de prevenir
incendios incontrolados, explosiones e implosiones. Muchos países y sociedades exigen la
conformidad con este estándar para sus BMS (Burneo Management System). La normativa
NFPA 85 no trata los niveles de integridad de la seguridad SIL.

1.1.7 IEC 61511

Este estándar internacional llamado “Seguridad Funcional: Sistemas de Seguridad

Instrumentados para el sector de la industria de procesos” ha sido elaborado por el mismo
comité de la IEC 61508 y publicado por primera vez en 2003. Especifico para la industria
de procesos, en el contexto de la IEC 61508, trata aquello que se refería concretamente a la
ISA-S84.01.

Define los SIS incluyendo los sensores, los circuitos lógicos de interfaz con los
mismos, los elementos finales y la tecnología con la que estos han sido fabricados. Por eso,
esta normativa es mucho más amplia de la ISA-S84.01.

La IEC 61511 sigue los “lifecycles” de seguridad y los niveles SIL de la IEC 61508.
En resumen, se podría decir incluso que es como la IEC 61508 para el sector especifico en
la industria de procesos. La última edición de esta norma es de 2004.

La IEC 61511 está compuesta por tres partes:

Parte 1: Estructura, definiciones sistemas, requisitos hardware y software.

Pare 2: Líneas guía para la aplicación de la IEC 62511-1.
Parte 3: Ejemplos de métodos para la determinación de la integridad de la seguridad
en la aplicación de análisis de riesgo y del peligro.

1.1.8 API RP 14C

“Recomended Practice or Design, Installation and Testing of Basic Surface Safety

Systems for Offshore Production Platforms”, American Ptroleum Institute, 2001. Esta
norma recomendada se basa en las que “proven practices” y trata sobre el diseño,
instalación y prueba de los sistemas de seguridad en las plataformas offshore. Se dirige
tanto a los proyectistas como al personal operativo.

1.1.9 Consideraciones generales sobre las distintas normativas.

Los sistemas de seguridad están diseñados para responder a condiciones específicas

de cada instalación, que podría ser peligroso en sí mismo o bien, sin una adecuada
actuación de protección, originar un suceso peligroso. Estos sistemas generan mandos
precisos destinados a prevenir o mitigar un suceso peligroso. Las distintas normativas
anteriormente citadas describen los requisitos para un correcto diseño y operatividad de
dichos sistemas. Sin embargo, los requisitos son obvios y de sentido común; pero definir
las especificaciones, seleccionar tecnologías, niveles de redundancia, intervalos de pruebas
funcionales, etc. no es tarea siempre fácil y sin obstáculos.
 Las distintas normativas han sido redactadas para ayudar a aquellos que, en los
procesos industriales, tienen la responsabilidad directa del diseño, mantenimiento y
operatividad de los sistemas correspondientes a la seguridad.
Seguir los requisitos de los estándares en una condición mínima, no necesariamente la
máxima para la realización de instalaciones seguras. De hecho, no existe seguridades ni
certeza de que, si se respetan los estándares, se obtendrá un proceso seguro. Pero no
respetándolas, o siguiéndolos aproximadamente, tendremos sin duda procesos no seguros.

1.2 Finalidad del estándar IEC 61508: Premisas para una lectura fácil

Como ya se ha mencionado, la IEC 61508 no es solo una guía técnica; su finalidad

principal es gestionar la seguridad funcional y es en este sentido que afronta los problemas
técnicos del diseño y desarrollo de los sistemas de seguridad “safety-related”.

El estándar concierne a los sistemas “safety-related” que incorporan dispositivos

eléctricos/ electrónicos programables (E/E/PE). En concreto, se refiere a los posibles
“peligros” que se podrían crear al verificarse un “fallo”, es decir la no intervención de la
acción de protección que constituye la función de seguridad asignada a dichos sistemas.
Estos dispositivos pueden comprender desde simples relés eléctricos, interruptores, hasta
controladores electrónicos programables y ordenadores usados en los sistemas de
seguridad.

El programa global de acción para garantizar que el sistema safety-related E/E/PE

conduce a un estado de seguridad, cuando se espera que lo haga, es denominado “función
de seguridad”.

La IEC 61508 no concierne a otros problemas de seguridad como shocks eléctricos,

áreas con peligro de explosión, etc. Estos son tratados en normativas específicas como las
ATEX. Tampoco se refiere a los sistemas E/E/PE de baja seguridad, en los que un único
sistema E/E/PE es capaz de suministrar la reducción necesaria del riesgo y el nivel SIL
(Nivel de integridad de la seguridad) exigido es inferior a 1.

La normativa IEC 61508 concierne a aquellos sistemas de seguridad E/E/PE cuyas

averías o “fallos” podrían tener un impacto sobre la seguridad de las personas y/o del
ambiente. Sin embargo, es sabido que los métodos de la IEC 61508 pueden ser aplicados
también a la protección de la actividad comercial o de los bienes instrumentales.

Nota:
Se han encontrado dificultades en la primera lectura del estándar, que requiere
atención y empeño, aptitudes no siempre disponibles al terminar una jornada de trabajo
muy intensa. Asimismo ha resultado útil la lectura de la Parte 4 (Definiciones y
abreviaturas) antes de iniciar la lectura del estándar. Por esta razón se han traducido todos
los significados, que se encuentran en el Apéndice A, con el fin de facilitar su
interpretación cuando aparecen en la lectura del estándar. De hecho, para las definiciones
no es necesario un diccionario sino el estándar.
 1.2.1 Seguridad

Es un proceso industrial es ampliamente conocida la existencia de un riesgo

inherente a su operatividad. A veces las cosas salen mal. Como ya se ha dicho en varias
ocasiones, la IEC 61508 define la seguridad como “liberación de riesgo o daño
inaceptable”.
En otras partes también se afirma que el nivel de seguridad es el nivel hasta el cual
la seguridad debe ser perseguida en un contexto determinado, con referencia a un riesgo
aceptable basado en los valores habituales de la sociedad. En la valoración de la seguridad,
la frecuencia de un accidente y sus consecuencias (costes) son ambos a tener en cuenta. Por
eso, la valoración de riesgos es siempre una combinación de la frecuencia de los accidentes
y de los costes correspondientes (económicos, personales y ambientales).

A continuación se recogen las 6 primeras definiciones que se encuentran en la parte

4 del estándar:

Hazardous situation (Situación de peligro):

Circunstancia en la que una persona está expuesta a peligro/s.

Hazardous event (Suceso peligroso):

Situación de peligro que causa un daño.
Nota: el termino incluye los peligros para las personas, tanto los que se deben
verificar en un breve periodo de tiempo (e. g. explosión) como aquellos con un efecto a
largo plazo sobre la salud de las personas (e. g. emisión substancias toxicas).
Risk (Riesgo):
Combinación entre la probabilidad de que un daño se verifique y la gravedad del
mismo
Tolerable risk (riesgo tolerable):
Riesgo aceptado en un determinado contexto, basado en los valores de referencia
existentes en la sociedad.
Residual risk (Riesgo residual):
Riesgo restante después de haber adoptado las medidas de protección.
Safety (seguridad):
Liberación de riesgo o daño inaceptable.
Cuando se evalúa la seguridad, deben tomarse en consideración la frecuencia de un
accidente y sus consecuencias, en costes y daños a personas y al ambiente.

En general, el riesgo es el producto de la frecuencia de los accidentes F multiplicada

por sus consecuencias C:
R=FxC
Nota:
El concepto de riesgo inherente alude a una situación carente de protección.

Ejemplo:
 Si las consecuencias de un accidente se valoran en 100 millones de Euros y la
frecuencia estimada de dicho accidente es de uno cada 10 anos (probabilidad de 0.1
accidentes al año), el riesgo inherente es de 10 millones de euros por año (10 =0.1 x 100).
El mundo industrial actual, con la necesidad de producir cada vez más y a costes más
bajos, ha incrementado realmente la probabilidad de accidentes graves. Además de los
daños a personas y al ambiente producidos por un accidente, existen también los costes de
los gastos legales, multas, pérdidas comerciales cansadas por el paro de la instalación y por
la mala reputación, etc. por tanto, es indispensable la reducción de los riesgos.

Nota:
Desde el punto de vista moral se podrían poner objeciones al hecho de que “daños a
cosas” o “muerte de una o varias personas”, como se cita en la IEC 61508, puedan ser
cuantificados en términos económicos. Por esto, además de ser la praxis de las compañías
de seguros, responde a un criterio normativo de homogeneidad para poder generalizar los
métodos de cálculo. La valoración de los recursos humanos y de los factores humanos de
riesgo no es objeto de este estándar.

1.2.2 Partes del estándar IEC 61508: Breve descripción.

Parte 1

La parte “1” del estándar trata sobre los requisitos básicos y los ciclos de vida de
seguridad. Esta sección se considera la más importante porque presenta una visión de los
requisitos, de la documentación, de la conformidad, de la gestión y de la evaluación de la
seguridad funcional. Los anexos conciernen a ejemplos de estructura se la documentación
(Anexo A), valoración de la competencia del personal (Anexo B) y bibliografía (Anexo C).

Parte 2

La parte “2” concierne a los requisitos de los equipos o “hardware” de los sistemas
de seguridad y se considera clave para el desarrollo de los productos para el mercado de la
seguridad. Se ha redactado teniendo en cuenta todas las demás partes del estándar, pero
muchos requisitos son directamente aplicables al desarrollo de productos; trata
detalladamente los “lifecycles” de la seguridad para el hardware, así como la comprobación
de la seguridad funcional del mismo.

También facilita requisitos detallados para las técnicas de control de las averías
durante el funcionamiento, en el anexo A. se examina la tolerancia a las averías en el
hardware, los requisitos de la capacidad diagnostica, limitaciones y argumentaciones
sistemáticas para la seguridad integral del hardware.

El anexo B contiene un listado de “técnicas y medidas” para evitar averías

sistemáticas durante las distintas fases del lifecycle. Esto afecta a las fases de diseño,
análisis y revisión de los procedimientos exigidos por la IEC 61508.
 El anexo C (exigido para la conformidad) examina el cálculo del factor de cobertura
diagnostica, “diagnostic coverage factor”, (fracción de las averías peligrosas identificadas
en el hardware) y de la “Safe Failures Fraction” SFF (fracción de las averías que conducen
más bien a un estado seguro que peligroso). Ver también la parte “6”.

Parte 3

La parte “3” concierne a los requisitos del software para la IEC 61508. Se aplica a
todo software usado en los sistemas de seguridad safety-related o usado para desarrollar
dichos sistemas, llamado “safety related software”. Esta parte facilita detalles sobre los
“safety lifecycles” a utilizar durante la fase de desarrollo, cuando haya que elegir distintas
técnicas en función del nivel SIL.

El anexo B suministra nueve tablas detalladas de desarrollo, estándar de

codificación, técnicas de análisis y de test que hay que utilizar en el desarrollo de los
safety-related software en función del nivel SIL exigido y, en algunos casos, en la elección
del grupo de programadores.

Parte 4

La parte “4” contiene definiciones y abreviaturas usadas en el estándar. Esta parte

resulta de gran utilidad, tanto para las personas que se enfrentan por primera vez al estándar
como a aquellos que ya poseen un conocimiento del mismo, con referencia a los
significados precisos de los términos usados en el estándar. Esta parte está incluida también
en su totalidad en el Apéndice “A”.

Parte 5

La parte “5” comprende los anexos informativos A, B, C, D Y E, correspondientes a

argumentaciones y ejemplos de métodos para el análisis de los riesgos y SIL, riesgos
tolerables, selección SIL mediante métodos cuantitativos y cualitativos. El método
cuantitativo, en el anexo C, se basa en el cálculo de la frecuencia de los sucesos peligrosos,
derivado del análisis de los datos sobre las cuotas de avería o de métodos de predicción
adecuados combinados con comprobaciones de la entidad de las consecuencias comparadas
con el nivel de riesgo que puede ser tolerado en una determinada situación. El método
cualitativo mediante análisis del riesgo, gráficos y matrices de gravedad de los sucesos
peligrosos, se dirige fundamentalmente a la misma frecuencia y entidad que los
componentes, solo con categorías generales más que con números, antes de comparar la
solución con el nivel de riesgo tolerable.

Parte 6

La parte “6” facilita las líneas de guía sobre la aplicación de las partes 2 y 3
mediante los anexos informativos Anexo A, B, C, D Y E.

El anexo A presenta ejemplos de diagramas de flujo o “flowcharts” de

procedimiento detallado para la implementación.
 El anexo B muestra ejemplos de técnicas para el cálculo de las probabilidades de
averías con tablas para la valoración de resultados. Se presentan también las ecuaciones
para el cálculo aproximado de los distintos ejemplos. Los diagramas de bloque para la
fiabilidad que se usan, pueden generar confusión en caso de situaciones con averías
múltiples o “multiple failure mode”.

El anexo C muestra cálculos detallados para el factor cobertura diagnostica, basado

en la técnica FMEDA (Failure Mode, Effect and Diagnostic Analysis – análisis del modo
de las averías, sus efectos y diagnostico), útil, como ya se ha mencionado en la Parte 2, para
el cálculo de SFF, es decir el porcentaje de la cuota de averías peligrosas no detectables,
respecto a la cuota de aquellas totales. A su vez, el valor de SFF sirve para definir, junto al
PFDavg, el nivel SIL del hardware, como se verá detalladamente a continuación.

El anexo D muestra un método para la estimación del efecto de las averías debidas a
causas comunes (factor Beta). Se enumeran los parámetros significativos y se suministra un
método de cálculo.
El anexo E muestra un ejemplo de las tablas del nivel de integridad software de la
Parte 3 para dos casos distintos de software seguro.

Parte 7

La parte “7” contiene abundante información dirigida principalmente a aquellos que

desempeñan un trabajo de desarrollo de productos y dispositivos diseñados para ser
certificados conforme a la IEC 61508.

El anexo A trata de las averías casuales del hardware. Contiene mendoso y técnicas
útiles para prevenir o mantener la seguridad con existencia de componentes defectuosos.

El anexo B habla de cómo evitar averías sistemáticas mediante el uso de ciclos de

vida de seguridad.

El anexo C efectúa una panorámica de conjunto de las técnicas adecuadas para

alcanzar una alta integridad en el software.

El anexo D suministra una aproximación probabilística para la determinación del

nivel SIL de software comprobados y probados.
 IMPLEMENTACION DE LOS SISTEMAS INTRUMENTADOS DE
SEGURIDAD AL PARO SEGURO ASOCIADO A LOS SISTEMAS DE
PROCESO QUE CONSTITUYEN EL BALANCE DE PLANTA (BOP) EN
UNA PLANTA TERMOLECTRICA.

Anexo “C” Especificación del sistema de parada de emergencia

Planta Alberto Lovera.
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

Índice

Página

1.  ALCANCE ................................................................................................................. 4 

1.1.  Controlador del ESD GCE-76001. ............................................................................ 4 
2.  DEFINICIONES ........................................................................................................ 5 
3.  DOCUMENTOS DE REFERENCIA .......................................................................... 6 
4.  DESCRIPCIÓN GENERAL DEL PROYECTO .......................................................... 9 
4.1.  Localización .............................................................................................................. 9 
4.2.  Condiciones Ambientales ......................................................................................... 9 
4.3.  Clasificación Eléctrica ............................................................................................. 10 
4.4.  Energía Eléctrica Disponible ................................................................................... 10 
4.5.  Descripción del Proceso ......................................................................................... 10 
4.6.  Sistema de Control BPCS (Por otros)..................................................................... 11 
4.7.  Sistema de Parada de Emergencia ESD ................................................................ 13 
4.8.  Sistema de Detección de Fuego y Gas F&G (Por otros) ........................................ 14 
4.9.  Sistema Control Eléctrico (suministrado por otros) ................................................. 16 
4.10.  Sistema Control Turbogeneradores (suministrado por Siemens) ........................... 17 
5.  ALCANCE DEL SUMINISTRO ............................................................................... 18 
5.1.  Requerimientos de la Propuesta ............................................................................ 19 
5.2.  Gestión del Proyecto .............................................................................................. 23 
5.3.  Inspección y FAT .................................................................................................... 23 
5.4.  Despacho ............................................................................................................... 27 
5.5.  Instalación .............................................................................................................. 27 
5.6.  SAT y "Pre-commissioning" .................................................................................... 27 
5.7.  Commissioning ....................................................................................................... 28 
5.8.  Repuestos .............................................................................................................. 30 
5.9.  Garantía.................................................................................................................. 30 
6.  REQUERIMIENTOS GENERALES ........................................................................ 31 
6.1.  Capacidad de Expansión ........................................................................................ 31 
6.2.  Redundancia del Sistema ....................................................................................... 31 
6.3.  Disponibilidad y Confiabilidad ................................................................................. 32 
6.4.  Pruebas y Diagnósticos Automáticos ..................................................................... 32 
7.  CONTROLADOR DEL ESD (GCE-76001) ............................................................. 33 
7.1.  Fuentes de Suministro de Energía Eléctrica ........................................................... 33 
7.2.  Procesadores ......................................................................................................... 34 
7.3.  Módulos de Entradas .............................................................................................. 34 
7.4.  Módulos de Salidas ................................................................................................ 35 
7.5.  Módulos de Comunicación Ethernet TCP/IP .......................................................... 35 
7.6.  Relés de Interposición ............................................................................................ 35 
7.7.  Gabinete Autosoportado. ........................................................................................ 36 

2000.01-100-I02-DE-0002 2 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

7.8.  Compatibilidad electromagnética ............................................................................ 37 

7.9.  Requerimientos de terminación .............................................................................. 38 
7.10.  Marshalling ............................................................................................................. 38 
7.11.  Sistema de tierra..................................................................................................... 39 
7.12.  Supresión de ruido.................................................................................................. 39 
8.  INTERFAZ HUMANO MÁQUINA............................................................................ 39 
8.1.  Estaciones de Operación (Por Otros) ..................................................................... 39 
8.2.  Estación de Ingeniería y Mantenimiento (Por Otros) .............................................. 40 
8.3.  Panel de Botonera ESD (Por Otros) ....................................................................... 40 
9.  CONFIGURACIÓN ................................................................................................. 41 
10.  DOCUMENTACIÓN................................................................................................ 42 
11.  ADIESTRAMIENTO ................................................................................................ 43 
11.1.  Curso sobre Configuración ..................................................................................... 45 
11.2.  Curso de Operación................................................................................................ 45 
11.3.  Curso de Mantenimiento ......................................................................................... 46 
12.  SOPORTE A LARGO PLAZO ................................................................................ 46 
12.1.  Obsolescencia ........................................................................................................ 46 
12.2.  Mantenimiento ........................................................................................................ 46 
ANEXO A - DOCUMENTOS DE REFERENCIA ................................................................. 47 
ANEXO B - RESUMEN DE ENTRADAS / SALIDAS ........................................................... 51 
ANEXO C – PLACA DE IDENTIFICACIÓN DEL GABINETE .............................................. 54 

2000.01-100-I02-DE-0002 3 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

1. ALCANCE
Esta especificación técnica cubre la descripción del sistema, define los
requerimientos mínimos de hardware y software, y define los servicios de
soporte de ingeniería que son mandatorios para diseñar, manufacturar, probar,
embalar, transportar, instalar, inspeccionar y poner en servicio el Sistema de
Parada de Emergencia (ESD), asociado a los Sistemas de Procesos que
constituyen el "Balance de Planta" - BOP, en la Planta Termoeléctrica Alberto
Lovera (PAL), ubicada Refinería de Puerto La Cruz (PDVSA), Puerto La Cruz
Edo. Anzoátegui, de la República Bolivariana de Venezuela.

Esta especificación excluye a los equipos y al software asociado que

constituyen el Sistema de Control Básico de Proceso (BPCS) y el Sistema de
Detección de Fuego y Gas - (F&G) del BOP de PAL, así como a los equipos y
al software asociado que se requieren para el control, monitorización y
protección de las Unidades y Equipos Paquete del BOP, los Centros de
Distribución Eléctrica de Media y Alta Tensión, el Turbogenerador, el Sistema
de Compresión de Gas y la Subestación Eléctrica. También se excluyen de
esta especificación la instrumentación de campo y los sistemas auxiliares.

Esta especificación aplica a todos los equipos y al software asociado al Sistema

de Parada de Emergencia (ESD) del BOP, que son requeridos para garantizar
la parada segura y ordenada de los equipos del BOP de PAL, a efectos de
proteger al personal, los equipos e instalaciones y al ambiente, de los riesgos
potenciales presentes en el BOP.

El ESD del BOP de PAL está integrado principalmente por los siguientes
equipos (ver Arquitectura Sistema de Control, Doc. N° 2000.01-100-I02-DT-
0005) instalados en Sala de Control Central (CCR):
1.1. Controlador del ESD GCE-76001.

La Consola de Operación del BPCS (ETO-76001/ETO-76002) contendrá la

base de datos y los esquemáticos (por el proveedor del BPCS) de proceso con
señales de ESD y el esquemático de Bypass del Sistema de Parada de
Emergencia (ESD) del BOP (GCE-76001), por medio de una red Dual Modbus
TCP/IP. El proveedor del ESD será responsable de facilitar a tiempo la
información requerida (listado de señales con dirección Modbus, parámetros de
comunicación, etc.) para la oportuna labor de configuración por parte del
proveedor del BPCS y prestar toda la colaboración requerida durante la
construcción para integrar el sistema provisto a la Red de Planta (GCN-76001).

2000.01-100-I02-DE-0002 4 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

2. DEFINICIONES

A continuación se presentan las definiciones de algunos términos usados en

este documento.

EL VENDEDOR: El Fabricante o Proveedor del Sistema.

EL COMPRADOR: Consorcio Pacific-Rim-Energy – PRE.
EL CLIENTE: Compañía Anónima de Administración y Fomento Eléctrico
CADAFE.

A continuación se presentan las definiciones de algunos acrónimos y siglas

usados en este documento.

AC/CC: Aseguramiento de la Calidad/ Control de la Calidad,

traducción al Español de las siglas QA/QC, Quality
Assurance/ Quality Control.
BPCS: Basic Process Control System, o Sistema de Control Básico
de Proceso.
COM: Component Object Model, tecnología desarrollada por
Microsoft Corporation, incluida en la familia de Sistemas
Operacionales de Microsoft Windows, la cual permite la
comunicación entre componentes de software y es usada
por los desarrolladores para crear componentes re-utilizables
de software y enlazarlos entre sí para construir aplicaciones
y tomar ventaja de los servicios de Windows. La familia de
tecnologías COM incluye a: COM+, Distributed COM -
DCOM, y ActiveX Controls.
CPU: Central Processor Unit, o Unidad Central de Procesamiento
E/S: Entrada/ Salida, traducción al Español de la sigla I/O, Input/
Output.
EMI Interferencia Electromagnética.
FAT: Factory Acceptance Tests, o Pruebas de Aceptación
Funcional, las cuales son realizadas en algunas ocasiones
en la Fábrica o en el Taller de EL VENDEDOR.
F&G: Fire & Gas Detection System, o Sistema de Detección de
Fuego y Gas.
FO: Fiber Optic, o Fibra Óptica Multimodo 62.5/125µm.
HRSG: Heat Recovery Steam Generator. Generación de Vapor por
Recuperación de Calor.
MOS: Maintenance Override Switch, Selector de Bypass para
Mantenimiento.
MTTR: Mean Time To Repair, o Tiempo Medio Para Reparación.
OLE: Object Linking and Embedding, estándar desarrollado por
Microsoft Corporation para documentos compuestos, el cual
2000.01-100-I02-DE-0002 5 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

permite la creación de objetos con una aplicación y

enlazarlos luego desde, o embeberlos dentro de una
segunda aplicación. Los objetos embebidos conservan su
formato original y se enlazan con la aplicación que los creó.
OPC: OLE for Process Control, conjunto de interfaces estándar
basados en la tecnología OLE/COM desarrollada por
Microsoft Corporation, utilizados en aplicaciones de Control
de Procesos.
PES: Programmable Electronic Solver, o Solucionador Electrónico
Programable.
PLC: Programmable Logic Controller, o Controlador Lógico
Programable.
RFI: Interferencia de Radio Frecuencia.
SAT: Site Acceptance Tests, o Pruebas de Aceptación (Funcional)
en Sitio.
ESD: Sistema de Parada de Emergencia.
UPS: Uninterrupted Power Supply, o Suministro Ininterrumpido de
Potencia, generalmente monofásico a 120Vac, 60 Hz.

3. DOCUMENTOS DE REFERENCIA

Los materiales y equipos suministrados de acuerdo con esta especificación

deben cumplir con todos los requerimientos de la última edición de las
publicaciones y documentos de referencia listados a continuación, a menos que
se indique de otro modo.

COVENIN

COVENIN 200 Código Eléctrico Nacional

AMERICAN NATIONAL STANDARDS INSTITUTE (ANSI)

ANSI/ISA 5.1 Instrumentation Symbols and Identification

ANSI/ISA S5.2 Binary Logic Diagrams for Process Operations
ANSI/ISA 5.4 Instrument Loop Diagrams
ANSI/ISA 84.00.01 Application of safety instrumented systems for the
process industries

INSTITUTE OF ELECTRICAL AND ELECTRONIC ENGINEERS

IEEE 802.1d Standard for Local and metropolitan area networks

Media Access Control (MAC) Bridges
2000.01-100-I02-DE-0002 6 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

IEEE 802.3 Standard for information Technology

Telecommunications and information exchange
between system locals and metropolitan area Networks
specific requirements part 3: Carrier Sense Multiple
Access with Collision Detection (CSMA/CD) Access
Method and Physical Layer Specifications

AMERICAN PETROLEUM INSTITUTE (API)

API RP 750 Management of Process Hazards

THE INSTRUMENTATION, SYSTEMS AND AUTOMATION SOCIETY (ISA)

ISA 5.3 Graphic symbols for distributed control/ shared display

instrumentation, logic and computer systems
ISA 5.5 Graphic Symbols for Process Displays Formerly ISA
S5.5 - 1985
ISA RP55.1 Hardware Testing of Digital Process Computers
ANSI/ISA-84.00.01 Functional Safety: Safety Instrumented Systems for the
Process Industry Sector - Part 1: Framework,
Definitions, System, Hardware and Software
Requirements
ANSI/ISA-84.00.01 Functional Safety: Safety Instrumented Systems for the
Process Industry Sector - Part 2: Guidelines for the
Application of ANSI/ISA-84.00.01-2004 Part 1 (IEC
61511-1 Mod) - Informative
ANSI/ISA-84.00.01 Functional Safety: Safety Instrumented Systems for the
Process Industry Sector - Part 3: Guidance for the
Determination of the Required Safety Integrity Levels -
Informative
ISA-TR84.00.02 Safety Instrumented Functions (SIF) Safety Integrity
Level (SIL) Evaluation Techniques, Part 1-5:
Introduction, Determining the SIL of a SIF via Simplified
Equations, Determining the SIL of a SIF via Fault Tree
Analysis, Determining the SIL of a SIF via Markov
Analysis, Determining the PFD of Logic Solvers via
Markov Analysis
ISA-TR84.00.03 Guidance for Testing of Process Sector Safety
Instrumented Functions (SIF) Implemented as or Within
Safety Instrumented Systems (SIS)

2000.01-100-I02-DE-0002 7 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

ANSI/ISA-91.00.01 Identification of Emergency Shutdown Systems and

Controls that are Critical to Maintaining Safety in
Process Industries

ISA-TR91.00.02 Criticality Classification Guideline for Instrumentation

INTERNATIONAL ELECTROTECHNICAL COMMISSION (IEC)

IEC-61131-1 Programmable Controllers, Part 1: General Information

IEC-61131-3 Programmable Controllers, Part 3: Programming
Languages
IEC-61131-4 Programmable Controllers, Part 4: User Guidelines
IEC-61508 Functional Safety: Safety Related systems
ISO/IEC-8802-3 Information Technology-Telecommunications and
Information Exchange Between System Local and
Metropolitan Area Networks Specific Requirements

NATIONAL FIRE PROTECTION ASSOCIATION (NFPA)

NFPA-70 National Electrical Code

ELECTRONIC INDUSTRIES ALLIANCE

TIA/EIA 568-B Commercial Building Telecommunications Cabling

Standard

NATIONAL ELECTRICAL MANUFACTURERS ASSOCIATION (NEMA)

NEMA-250 Enclosures for Electrical Equipment.

La utilización de otras publicaciones de referencia aplicables a los tópicos que

no estén cubiertos por las publicaciones de referencia específicamente
mencionadas en el presente documento; debe ser previamente acordada entre
EL COMPRADOR y EL VENDEDOR.

En caso de discrepancia entre publicaciones que se refieran a un mismo tópico,

prevalecerá aquella cuyos requerimientos sean más estrictos desde el punto de
vista de seguridad.

2000.01-100-I02-DE-0002 8 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

4. DESCRIPCIÓN GENERAL DEL PROYECTO

El proyecto para la construcción de la Planta de Generación Eléctrica

ALBERTO LOVERA es un proyecto energético, desarrollado por el Ministerio
de Energía y Petróleo, a través de CADAFE, para el suministro de la demanda
de energía eléctrica del Estado Anzoátegui y la Refinería Puerto La Cruz.

La Planta de Generación Eléctrica Alberto Lovera se iniciará con la instalación

de dos unidades de generación eléctrica Siemens Westinghouse, modelo
W501F.

El proyecto integral está concebido para ser desarrollado en dos etapas.

• Etapa 1: Esta etapa conformada por dos Turbinas de Combustión de

Generación, capacidad nominal cada una de 150 MW (+20%, -10%), de
ciclo simple. Cada turbina con quemadores tipo dual; es decir,
operatividad con combustible líquido (Diesel N° 2) y gas natural y de baja
emisión de Óxidos de Nitrógeno (Dry Low Nox, DLN). Cada turbina de
combustión de generación tiene una capacidad nominal de 150 MW, para
un total de generación de 300 MW de energía eléctrica en el esquema de
ciclo simple.

• Etapa 2: Futura, constituida por la incorporación de un ciclo combinado, el

cual consiste en la adición de una caldera de recuperación de calor (Heat
Recovery Steam Generator, HRSG) para la producción de vapor de alta
presión por aprovechamiento del calor contenido en los gases de la
combustión producidos en las turbinas de combustión.

El Ciclo Combinado producirá hasta 150 MW adicionales. La capacidad de

generación de energía eléctrica de la Planta; a futuro; será de 450 MW.

4.1. Localización
La Planta de Generación Eléctrica ALBERTO LOVERA estará ubicada en
terreno de la Refinería PDVSA Puerto La Cruz (Estado Anzoátegui). El lote de
terreno con una superficie de aproximadamente 60.500 m2.

4.2. Condiciones Ambientales

Las condiciones ambientales de la planta son las que se indican a continuación:

2000.01-100-I02-DE-0002 9 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

MÁXIMA MÍNIMA PROMEDIO

Temperatura Ambiente: 34°C 17°C 27°C
Humedad Relativa: 83%
Dirección Predominante del
Oeste-Sur-Oeste
Viento:

En general, el Controlador del ESD se instalará en la Sala de Equipos, en la

cual habrá un sistema de aire acondicionado de Precisión, para mantener el
ambiente controlado. Sin embargo, en el diseño y fabricación del Controlador
del ESD, se debe considerar que ante una falla del sistema de aire
acondicionado, los equipos deben operar satisfactoriamente bajo las siguientes
condiciones ambientales:

MÁXIMA
Temperatura: 60°C
Humedad Relativa: 95%

4.3. Clasificación Eléctrica

El ambiente de la Sala de Control no se ha clasificado como peligroso desde el

punto de vista de la clasificación (eléctrica) del área, por lo tanto, los equipos
que serán instalados allí, podrán ser especificados para uso en aplicaciones de
propósito general.

4.4. Energía Eléctrica Disponible

El Sistema de Paro de Emergencia ESD contará con energía eléctrica de UPS
(suministrado por otros) a 120VAC ±5% y 60Hz ± 2%.

El Sistema de Paro de Emergencia (ESD) contará con un circuito de

alimentación de UPS dedicado y un circuito del tablero de servicios esenciales,
de forma de disponer de dos fuentes de alimentación alternativa para
maximizar la disponibilidad del servicio.

4.5. Descripción del Proceso

La Planta PAL estará dividida físicamente en tres grandes áreas diferenciadas

desde el punto de vista del proceso: Isla de los Turbogeneradores (Power
Island), Balance de Planta (Balance of Plant - BOP) y la Subestación de
Transmisión a 230kV.

En la Isla de los Turbogeneradores serán instaladas:

2000.01-100-I02-DE-0002 10 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

1. Las dos Unidades Siemens-Westinghouse, modelo W501F. Las

unidades serán suministradas por Siemens-Westinghouse, incluyendo
sus sistemas de control, monitorización y protección.
2. Los dos transformadores elevadores de 230MVA – 16,5/230kV,
suministrado por Zaporozhtransformator ZTR.
3. Los Centros de Potencia de 4,16kV y 480V de Servicio a ambos
Turbogeneradores, suministrada por Areva, incluyendo sus sistemas de
control, monitorización y protección.
4. El Generador de Vapor por Recuperación de Calor HRSG, la Turbina a
Vapor de generación y sistema de enfriamiento (futuro).

El Balance de Planta (BOP), incluirá todos los servicios industriales que son
requeridos para el funcionamiento de las unidades Turbogeneradoras:

1. Sistema de Compresión y Acondicionamiento de Gas Combustible.

2. Sistema de Aportación y Pretratamiento de Agua.
3. Sistema de Tratamiento y Suministro de Agua de Servicios.
4. Sistema de Tratamiento de Aguas Servidas.
5. Sistema de Manejo y Tratamiento de Efluentes Industriales.
6. Sistema Contra Incendio.
7. Sistema de Aire de Servicio e Instrumentos.
8. Sistema de Tratamiento y Suministro de Agua Desmineralizada (futuro).
9. La Subestación de 4,16kV y 480V de Servicio.
10. Generador de Emergencia.

La Subestación Alberto Lovera tendrá un patio exterior convencional a 230kV

(por CADAFE) con "Barra Principal y Barra de Transferencia", que será
alimentado desde la Planta PAL, y cumplirá las funciones de patio de
transmisión.

4.6. Sistema de Control BPCS (Por otros)

La Planta PAL contará con los siguientes Sistemas de Monitorización y Control

integrados entre sí, que a su vez se integrarán a futuro con el Sistema de
Control Integral de CADAFE en la zona a través del enlace de comunicación
con despacho de carga (ver Arquitectura Sistema de Control, Doc. N° 2000.01-
100-I02-DT-0005):

1. Sistema Básico de Control de Proceso (BPCS), descrito en la

especificación 2000.01-100-I02-DE-0001.
2. Sistema de Parada de Emergencia (ESD), objeto de esta especificación.
3. Sistema de Detección de Fuego y Gas (F&G), descrito en la
especificación 2000.01-183-I03-DE-0001.
4. Sistema de Control Eléctrico, provisto por AREVA.
2000.01-100-I02-DE-0002 11 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

5. Sistema de Control Turbogenerador, provisto por Siemens.

En la Arquitectura propuesta para el Sistema de Control de la Planta, Doc. N°

2000.01-100-I02-DT-0005 se muestran todos los componentes principales del
mismo.

Como se muestra en la Arquitectura del Sistema de Control de la Planta PAL, el

BPCS se encargará de la monitorización y del control de las variables de los
diferentes servicios del BOP y estará compuesto principalmente por:

1. Gabinete de Red de Planta (GCN-76001), en el cual se instalarán los

siguientes componentes:
a. Un patch panel para conexiones a FO.
b. Dos conmutadores de datos redundantes para red Ethernet con
puertos de conexión a FO y puertos de conexión RJ45.
c. Un patch panel para conexiones RJ45.
d. Cables de parcheo de FO y UTP y accesorios.
e. Router del Sistema Eléctrico GTW-76001 provisto por Areva con
Interconexión de Fibra Óptica con la S/E de Transmisión de
CADAFE.
Considerando que la red Ethernet debe ser redundante, los módulos de
comunicaciones de los controladores BPCS, ESD, F&G y las Estaciones
deben estar conectados a ambos conmutadores de datos (Switches A y
B).

2. Gabinete del BPCS (GCC-76001), en el cual se instalarán los siguientes

componentes:
a. Fuente redundante de suministro de energía eléctrica 24 VDC (El
suministro eléctrico será 120VAC desde una unidad de UPS)
b. Chasis de controlador con:
• CPU redundantes y memoria no volátil.
• Módulo dual de conexión a red Ethernet TCP/IP, conector RJ-
45.
• Módulos sencillos de comunicación RS-485 Modbus-RTU.
• Tarjetas de E/S sencillas.
c. Regletas (Marshalling), para la conexión entre los cables
provenientes de campo y el Sistema de Control.

2000.01-100-I02-DE-0002 12 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

3. Consola de Operación, en la cual se instalarán las siguientes estaciones

(incluyendo CPU, monitor, teclado/ teclado de operación, ratón y
software) y periféricos:
a. Las Estaciones de Operación del BPCS (ETO-76001 y ETO-
76002).
b. La Impresora de Reporte y Alarmas (PRO-76001).
c. Botonera ESD (BPE-76001).
d. Las Estaciones de Operación del Sistema Eléctrico (ETO-76003 y
ETO-76004) provistas por Areva.
e. La Estación del Turbogenerador 1 (ETO-76005) provista por
Siemens.
f. La Estación del Turbogenerador 2 (ETO-76006) provistas por
Siemens
g. Las Impresoras Laser y a Color (PRO-76002 y PRO-76003)
provistas por Siemens.
En la Sala de Control de la Planta PAL se dispondrá de dos Estaciones de
Operación (ETO-76001 y ETO-76002) con capacidad de desempeñarse como
Cliente/Servidor OPC, para configuración y operación de las comunicaciones
entre el BPCS y los sistemas de control de las Unidades y Equipos Paquete
con interfaz Ethernet TCP/IP (RJ45 y FO), a efectos de proveer las interfaces
requeridas para la visualización de todas las señales de la Planta PAL desde la
Sala de Control. Estas Estaciones de Operación deberán tener instalado la
interfaz de comunicación Modbus TCP/IP.

4. Una Estación de Ingeniería (ETI-76001) para Mantenimiento y

Configuración de los Sistemas BPCS, ESD y F&G.

4.7. Sistema de Parada de Emergencia ESD

Como se indica en la Arquitectura del Sistema de Control de la Planta PAL

(Doc. N° 2000.01-100-I02-DT-0005), el ESD se encargará de garantizar la
parada segura y ordenada de los equipos del BOP de PAL, a efectos de
proteger al personal, los equipos e instalaciones y al ambiente, de los riesgos
potenciales presentes en el BOP y estará compuesto principalmente por los
siguientes equipos que serán instalados en la Sala de Control:

1. Gabinete del Sistema de Parada de Emergencia (ESD) del BOP (GCE-

76001), en el cual se instalarán los siguientes componentes:

a. Fuente redundante de suministro de energía eléctrica.

2000.01-100-I02-DE-0002 13 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

b. Chasis de "Programmable Electronic Solver" - PES, con CPU

redundantes, módulo dual de conexión a red Ethernet Modbus
TCP/IP, tarjetas de E/S sencillas (no redundantes) y regletas de
conexión a campo y a la Botonera del ESD (marshalling).
c. Relés con contacto seco, libres de potencial, normalmente
abierto, para comando de disparo a controladores de Equipos
Paquete.
El ESD proveerá señales de repetición de alarmas y alarmas de disparos al
BPCS, por vía de comunicaciones de la red dual redundante Ethernet de
control.
4.8. Sistema de Detección de Fuego y Gas F&G (Por otros)

Como también se indica en la Arquitectura del Sistema de Control de la Planta

PAL, el sistema F&G se encargará de proveer alarmas en caso de haberse
detectado un fuego o un escape de gas combustible en alguno de los equipos o
en alguna de las instalaciones del BOP de PAL, a efectos de proteger al
personal, los equipos e instalaciones y al ambiente, de los riesgos asociados
con un incendio o una fuga de gases combustibles en el BOP.

El sistema F&G estará compuesto principalmente por los siguientes equipos:

1. Gabinete Principal del Sistema de F&G (GCF-76001), en el cual se

instalarán los siguientes componentes:

a. Fuente de suministro de energía eléctrica y baterías de respaldo.

b. Chasis de controlador, módulo dual de conexión a red Ethernet
Modbus TCP/IP.
c. Chasis de Módulos de E/S.
d. Generador de Tonos
e. Comunicador para voceo.
f. Botones de Prueba de Alarma Audible y Visible, pulsador
mantenido y luminoso.
g. Botón de Reposición de Alarmas, pulsador momentáneo.
h. Selector con llave para Evacuación.

2. Paneles en Edificios

a. GCF-76004 Panel Convencional Edificio Administrativo, según

Especificación 2000.01-700-I03-DE-0001.
2000.01-100-I02-DE-0002 14 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

b. GCF-76201 Panel Convencional Edificio Taller, según

Especificación 2000.01-700-I03-DE-0001.
c. GCF-76202 Panel Convencional Edificio Almacén, según
Especificación 2000.01-700-I03-DE-0001.
d. GCF-76501 Panel Convencional Caseta de Vigilancia Principal,
según Especificación 2000.01-700-I03-DE-0001.
e. GCF-76502 Panel Convencional Caseta de Vigilancia
Secundaria, según Especificación 2000.01-700-I03-DE-0001.

3. Paneles en Edificios (Por Otros)

a. GCF-xxxx Panel S/E 230KV (provisto por CADAFE).

b. GCF-41001 Panel Turbogenerador #1 (por Siemens).

c. GCF-42001 Panel Turbogenerador #2 (por Siemens).

d. GCF-43001 Panel Turbina a Vapor y HRSG (futuro).

e. GCF-41001SG Panel del CDPC-41001 (Por Areva)

f. GCF-41001CP Panel del CDPD-41001 (Por Areva)

g. GCF-42001SG Panel del CDPC-42001 (Por Areva)

h. GCF-42001CP Panel del CDPD-42001 (Por Areva)

Los Paneles de los edificios generalmente tendrán los siguientes componentes:

a. Batería para respaldo.

b. Fuente de alimentación.
c. Controlador Convencional.
d. Áreas de detección de fuego en base a detectores de humo tipo
iónico, detector térmico y estaciones manuales.
e. Alarma sonora y luminosa de incendio.
f. Gestión de los sistemas de agente limpio (si aplica)
g. Detección de Gas Hidrógeno en los cuartos de batería.
h. Parada del aire acondicionado central y Ventilador de Inyección.

2000.01-100-I02-DE-0002 15 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

i. Apertura de las puertas de control de acceso en caso de un

incendio y Monitoreo puertas de Emergencia.

Adicionalmente, el Panel en la Estación de Bomberos contará con un Panel

Anunciador de alarmas.
El F&G hará interfaz con el BPCS vía comunicaciones de la red dual
redundante Ethernet de control vía Modbus TCP/IP.

4.9. Sistema Control Eléctrico (suministrado por otros)

El Sistema de Control Eléctrico, mostrado en la Arquitectura (Doc. N° 2000.01-

100-I02-DT-0005) será suministrado por Areva y se encargará del monitoreo y
gestión de los Centros de Potencia en 4,16kV y 480V (CDPC-4001/CDPD-
4001/CDPD-6001 y CDPC-5001/CDPD-5001/CDPD-4002).
Para conectar e instalar en Sala de Control Central (CCR) los equipos provistos
por Areva para el Sistema de Control Eléctrico, el proveedor del BPCS deberá
considerar:
• Suficiente capacidad de puertos RJ45 en los Switches Ethernet.
• Suficientes puntos de conexión de FO en el patch panel
• Espacio, Alimentación y Tierra en el Gabinete de Red para el Gateway
GTW-76001.
• Espacio, Alimentación y Tierra en el Gabinete de la Consola para las
Estaciones ETO-76003 y ETO-76004.
El sistema de Control Eléctrico está compuesto por:
1. Estación de Operación con sistema operativo Windows y el Software de
supervisión Monitor Pro (Factory Link) versión 7.8, donde el operador a
través de diagramas mímicos dinámicos puede ver el estado de posición
de los interruptores, cuchillas de puesta a tierra y desde allí poder
ejecutar los comandos tanto de apertura como de cierre de los
interruptores, además a través del sistema adquirirá información de
variables como corrientes, voltajes, potencias y energía de los equipos
de medida representándolas en forma gráfica y en archivos históricos
para su posterior uso.
2. Un PLC en los Centros de Potencia de 4,16kV con Rack de Entradas y
Salidas remotas en los Centros de Potencia de 480V, los cuales son
utilizados para integrar las señales provenientes de los interruptores,
cuchillas de puesta a tierra, de posición de los Taps de los
trasformadores, de los servicios auxiliares, así como la apertura y cierre
de los interruptores con sus correspondientes enclavamientos. El
software utilizado para programación del PLC es Unity Pro.
2000.01-100-I02-DE-0002 16 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

3. Los equipos de protección Multilin y medida ION, cuya información

relacionada se toman a través de los Gateways que convierten el
protocolo de comunicación Modbus RS-485 en Modbus TCP.
4. La comunicación entre los Centros de Potencia CDPC-4001 y CDPC-
5001 con sus respectivas consolas en Cuarto de Control Central (CCR)
se hace a través de fibra óptica redundante.
5. La comunicación entre el DCR de CADAFE y el Sistema de Control se
hará utilizando el protocolo de comunicaciones abierto Modbus TCP y a
través del Router GTW-76001, dedicado para ello.
6. La sincronización en tiempo de los relés de protección Multilín, los
equipos de Medida ION, el PLC y la estación de Supervisión se realizará
utilizando como base el sistema GPS.

4.10. Sistema Control Turbogeneradores (suministrado por Siemens)

El Sistema de Control del Turbogenerador, mostrado en la Arquitectura (Doc.
N° 2000.01-100-I02-DT-0005) será suministrado por Siemens, y se encarga del
monitoreo y gestión de los Turbogeneradores.
Para conectar e instalar en Sala de Control Central (CCR) los equipos provistos
por Siemens para el Sistema de Control del Turbogenerador, el proveedor del
BPCS deberá considerar:
• Suficiente capacidad de puertos RJ45 en los Switches Ethernet.
• Suficientes puntos de conexión de FO en el patch panel.
• Un canal de comunicación RS-485 Modbus-RTU.
• Espacio, Alimentación y Tierra en el Gabinete de la Consola para las
Estaciones ETO-76005 y ETO-76006 y las impresoras PRO-76002 y
PRO-76003.
El sistema de Control de los Turbogeneradores está compuesto por:
1. Estaciones de Operación con dos pantallas, basada en el OM650, desde
donde el Turbogenerador puede ser operado, llevado el registro de los
eventos y almacenaje de datos, con sistema operativo UNIX,
X/Windows, OSF/Motif e INFORMIX como sistema de base de datos.
Adicionalmente integra las capacidades de Estación de Ingeniería,
donde la configuración del AS620 está basado en diagramas
funcionales.
2. Controlador SPPA-T2000, el cual incluye todas las facilidades de
instrumentación y control de los Turbogeneradores. El AS620B “Basic
Automation System” se encarga de las tareas generales de
automatización, protección de la unidad y control de lazo cerrado,
2000.01-100-I02-DE-0002 17 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

basado en el Simatic S5 CPU. El AS620T “Turbine Automation System”

es el controlador de la turbina y otras tareas de alta velocidad, está
basado en el Symadyn-D.
3. La comunicación de los TXP con sus respectivas consolas en el Cuarto
de Control Central (CCR) se hace a través de un anillo de fibra óptica
basada en Industrial Ethernet a 100 Mbit/s mediante Optical Switching
Modules (OSM) instalados en el Gabinete de Control TXP del
Turbogenerador. Industrial Ethernet (antes Sinec-H1 Siemens Network
Communication) es una red de comunicación de igual a igual, basada en
IEEE-802.3, CSMA/CD, que puede ser integrado a sistemas de otros
proveedores.

Modelo ISO/OSI:
7 Application Layer n/a
6 Presentation Layer n/a
5 Session Layer n/a
4 Transport Layer ISO 8073, class 4, CONS
3 Network Layer
2 Link Layer IEEE 802.2 (LLC)
IEEE 802.3 (MAC)
1 Physical Layer Ethernet

5. ALCANCE DEL SUMINISTRO

El alcance del suministro de EL VENDEDOR incluye, pero no está limitado a

los siguientes ítems:

1. Ingeniería de detalle del ESD.

2. Suministro del hardware y software requeridos del ESD.
3. Suministro de repuestos para arranque del ESD.
4. Suministro de licencias de software del ESD a nombre de CADAFE.
5. Ensamble y conexionado de los gabinetes del ESD.
6. Configuración y programación de la aplicación del ESD.
7. Pruebas de aceptación en fábrica (FAT) del ESD.
8. Embalaje y despacho a planta del ESD.
9. Asistencia técnica para la instalación del ESD.
10. Pruebas de aceptación funcional en sitio (SAT) del ESD.
2000.01-100-I02-DE-0002 18 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

11. Asistencia técnica durante el alistamiento previo a la puesta en servicio

(pre-commissioning) del ESD.
12. Asistencia técnica durante la puesta en servicio (commissioning) del
ESD.
13. Garantía del ESD.
14. Adiestramiento sobre el ESD.
15. Documentación del ESD.
En el Anexo A del presente documento se listan los documentos de referencia
a esta especificación. En el Anexo B se incluye una lista preliminar de las
señales de E/S estimadas para el ESD.
EL VENDEDOR debe suministrar todo el hardware, el software y los servicios
de diseño, configuración y programación requeridos para obtener un ESD
completamente funcional.
También es responsable de proveer el software de Configuración y de
Comunicaciones basado en OPC (Modbus TCP) para integrar su sistema a las
Estaciones de Ingeniería y Operaciones del BPCS.
Así mismo, para facilitar la elaboración de los Despliegues Esquemáticos por el
proveedor del BPCS deberá facilitar en una etapa temprana de su diseño lo
siguiente:
1. Lista de Señales, con la identificación Tag, dirección y parámetros
necesarios para la correcta interfaz con el BPCS.
2. Los drivers y archivos con la configuración en el servidor OPC.
3. La asistencia técnica necesaria para ayudar al proveedor del BPCS a
integrar el ESD a su sistema.
El proveedor del Sistema de Paro de Emergencia ESD es corresponsable junto
al proveedor del BPCS de la integración del ESD con el Sistema de Control
BPCS.
5.1. Requerimientos de la Propuesta

La propuesta de EL VENDEDOR debe cumplir con los siguientes

requerimientos:
5.1.1. Lista de equipos, materiales y servicios
EL VENDEDOR debe cotizar cada renglón, indicando la cantidad, descripción
con marca, modelo y número de parte, precio unitario y precio total.
La cotización debe indicar el precio de todos los equipos, materiales, paquetes
de software, servicios y opciones, que sean identificables independientemente.

2000.01-100-I02-DE-0002 19 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

EL COMPRADOR tendrá la opción de adicionar, disminuir, eliminar o sustituir

cualquier elemento de la lista, y se reservará el privilegio de comprar parcial o
totalmente el sistema ofrecido o de posponer parte de la compra hasta una
etapa posterior del desarrollo de la ingeniería.
5.1.2. Cronograma de despacho e instalación en el sitio del Proyecto
EL COMPRADOR evaluará, discutirá y acordará con EL VENDEDOR el
cronograma final de despacho e instalación de los equipos en el sitio del
Proyecto.
5.1.3. Descripción de cada componente propuesto, indicando sus características
principales
EL VENDEDOR debe incluir en su descripción el alcance del hardware y del
software; el alcance de la comunicación del ESD con el Sistema de Control de
la Planta; el alcance de los servicios; la lista de los cursos de entrenamiento; y
la lista de los documentos ofrecidos.
También debe incluir una lista de los requerimientos a EL COMPRADOR.
5.1.4. Arquitectura ofrecida
Como mínimo, debe indicar con claridad todos los componentes mayores, las
interconexiones y las interfaces de comunicación.
5.1.5. Carta de fiel cumplimiento o lista de excepciones
Es responsabilidad de EL VENDEDOR cumplir con todos los requerimientos
solicitados en esta especificación y el no cumplimiento de alguno de ellos será
suficiente argumento para el rechazo de la oferta.
EL VENDEDOR debe señalar claramente los ítems del suministro que
presenten desviaciones con respecto a algunos de los requerimientos
especificados, y las posibles alternativas sugeridas en la cotización formal,
suministrando la información complementaria que considere pertinente para
fines aclaratorios.
Con el propósito de facilitar la evaluación de la oferta, EL VENDEDOR debe
presentar su cotización utilizando la misma estructura de esta especificación,
para indicar si cada ítem es "Conforme" o "No Conforme" con todos los
requerimientos aquí establecidos, explicando la razón de cada desviación.
En ausencia de excepciones escritas, quedará entendido que la propuesta de
EL VENDEDOR cumple fielmente con todos los requerimientos establecidos en
esta especificación.
5.1.6. Cálculos de consumo de potencia y calor emitido de los gabinetes ofrecidos
Los cálculos deben realizarse considerando que la instrumentación de campo
es energizada por los gabinetes suministrados.

2000.01-100-I02-DE-0002 20 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

EL VENDEDOR debe explicar los procedimientos de cálculo utilizados,

indicando las consideraciones y supuestos hechos para la realización de los
cálculos.
5.1.7. Cálculos de disponibilidad y confiabilidad

EL VENDEDOR debe explicar los procedimientos de cálculo utilizados,

indicando las consideraciones y supuestos hechos para la realización de los
cálculos.
5.1.8. Cálculos de porcentajes de reserva instalada.
EL VENDEDOR debe indicar la capacidad de procesamiento de los
controladores, capacidad de memoria, puntos de E/S, capacidad de los buses
de comunicación, capacidad de los puertos de comunicación, espacio para la
adición de módulos, capacidad de expansión futura y el tiempo máximo de
procesamiento para que un cambio en la entrada se refleje en la salida cuando
toda la capacidad de reserva instalada esté ocupada.
EL VENDEDOR debe explicar los procedimientos de cálculo utilizados,
indicando las consideraciones y supuestos hechos para la realización de los
cálculos.
5.1.9. Certificados, acuerdos y autorizaciones
EL VENDEDOR debe incluir copia del certificado de calidad ISO:9001, junto
con el plan de calidad.
También debe incluir copia de los certificados de conformidad de estándares,
emitidos por Underwriters Laboratories Inc. (UL), Factory Mutual (FM), OPC
Foundation, o por un laboratorio internacionalmente reconocido, según sea el
caso.
Así mismo, debe incluir copia de los acuerdos, autorizaciones y documentos
que lo acrediten como representante, distribuidor, proveedor, integrador o
proveedor de los servicios de marcas de terceros, si fuese el caso.
5.1.10. Cartas de compromiso y de apoyo
EL VENDEDOR debe suministrar con su oferta las cartas de garantía; cartas de
compromiso de no obsolescencia de los equipos; cartas de compromiso de
suministro de tecnologías suficientemente maduras; carta de compromiso de
disponibilidad para proveer asistencia técnica local en Venezuela, indicando su
capacidad de respuesta para asistencia técnica y mantenimiento en menos de
24 horas; y carta de compromiso para el desarrollo de la ingeniería de la
aplicación en Venezuela.
Adicionalmente, EL VENDEDOR debe describir las oficinas de su
representante en Venezuela y proveer una lista de proyectos similares

2000.01-100-I02-DE-0002 21 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

culminados o en progreso en los cuales ha participado, a efectos de tener una

indicación de la posición que ocupa en el mercado el sistema propuesto.
También se requiere que EL VENDEDOR presente con su oferta, el currículo
del personal propuesto tanto para el desarrollo de la ingeniería como para la
asistencia en el arranque.
5.1.11. Muestras de los documentos
EL VENDEDOR debe incluir en su oferta una lista de los documentos que
ofrece, de acuerdo con lo requerido en esta especificación, y suministrar
muestras de los mismos.
5.1.12. Información técnica
EL VENDEDOR debe incluir en su oferta los boletines técnicos de todos los
equipos cotizados.
También debe incluir toda la documentación de soporte necesaria y suficiente
para permitir a EL COMPRADOR realizar una evaluación técnica completa.
Opcionalmente la propuesta podrá incluir información referente a:
1. Características técnicas adicionales
EL VENDEDOR debe indicar las características técnicas y beneficios
adicionales que no han sido específicamente requeridos, pero que están siendo
incluidas en el suministro y afectan el precio del sistema ofrecido.
2. Características técnicas alternas
EL VENDEDOR debe indicar las características técnicas alternas ofrecidas en
el suministro, diferentes a las solicitadas, cuando considere que el uso de una
alternativa brinda alguna ventaja técnica o económica. No obstante, cualquier
alternativa propuesta debe cumplir con todos los requerimientos básicos
especificados.
EL COMPRADOR se reservará el derecho de otorgar o no la buena pro para
las ofertas alternativas.
Para fines de evaluación, conviene que EL VENDEDOR segregue en su
propuesta las listas, las descripciones del sistema, los cálculos y los
documentos solicitados.
EL VENDEDOR debe resaltar en su cotización las capacidades del sistema
propuesto para cumplir con los requerimientos del proyecto.
Para la preparación de su oferta, EL VENDEDOR debe tomar en consideración
que los datos del proyecto contenidos en los anexos, podrán sufrir cambios
menores.

2000.01-100-I02-DE-0002 22 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

5.2. Gestión del Proyecto

Después que el contrato sea adjudicado, EL VENDEDOR debe designar a una

persona calificada en calidad de Gerente del Proyecto, quien actuará como la
única persona autorizada de contacto con EL COMPRADOR.
Después de la firma del contrato se debe realizar una reunión de inicio, a la
cual deben asistir el Gerente del Proyecto y el Ingeniero Líder del Proyecto por
parte de EL VENDEDOR.
EL VENDEDOR será responsable de haber estudiado, antes de la realización
de la reunión de inicio, las últimas revisiones de las especificaciones técnicas y
listas de señales de E/S del ESD, suministradas por EL COMPRADOR.
En la reunión de inicio debe acordarse el cronograma de ejecución del contrato,
indicando los hitos importantes que deben ser considerados. El cronograma
debe mostrar todas las fechas de emisión final de los documentos del proyecto.
Cualquier desviación del cronograma establecido debe contar con la
aprobación de EL COMPRADOR.
EL VENDEDOR debe reportar por escrito a EL COMPRADOR el avance de sus
actividades, en forma periódica, a intervalos regulares de tiempo previamente
definidos por mutuo acuerdo entre EL COMPRADOR y EL VENDEDOR.
Tanto la Gestión del Proyecto como la Ingeniería de la Aplicación del ESD,
deben desarrollarse en Venezuela. Por otra parte, tanto el Ensamble del Equipo
como las Pruebas de Aceptación Funcional FAT, pueden ser realizadas en
Venezuela o en el exterior, según sea más conveniente.
5.3. Inspección y FAT

Las pruebas del sistema deberán estar acorde al procedimiento delineado en

ISA 84.00.01.

EL VENDEDOR debe suministrar con la cotización su procedimiento estándar

de AC/CC de fabricación y pruebas.
Antes de la adjudicación del contrato, EL COMPRADOR podrá, a su discreción,
realizar una auditoría de calidad a EL VENDEDOR.
Después de la adjudicación del contrato, EL COMPRADOR podrá realizar en
cualquier momento inspecciones y exámenes de los materiales, equipos y
trabajos que EL VENDEDOR esté ejecutando, en desarrollo del contrato, en
cualquier lugar donde se encuentren los materiales y equipos o se estén
ejecutando los trabajos, si así se solicita.
EL VENDEDOR debe ofrecer oportunamente todas las facilidades, servicios,
mano de obra, equipos y materiales necesarios para la inspección segura y

2000.01-100-I02-DE-0002 23 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

conveniente, y para la ejecución de todas las pruebas, que deban efectuarse,

de manera que no demoren los trabajos innecesariamente.
EL COMPRADOR tendrá todo el derecho de rechazar los materiales, equipos,
o trabajos que no cumplan con la calidad requerida; y exigir su reposición o
corrección. Los materiales, equipos, o trabajos que no puedan ser corregidos o
reemplazados satisfactoriamente, deben ser sustituidos apropiadamente, sin
que EL VENDEDOR tenga por tal motivo, derecho a reclamación o pago
adicional alguno.
Todos los componentes electrónicos del suministro deben ser probados y
certificados en fábrica. EL VENDEDOR se compromete a suministrar a EL
COMPRADOR, tales certificados de calidad de los componentes electrónicos
que suministrará, antes de proceder con su instalación.
Después del ensamble de todos los equipos según los requerimientos del
Proyecto, éstos deben someterse a una prueba de encendido durante 48 horas,
después de la cual se instalará el software, y luego se someterá el sistema a
una completa prueba interna de aceptación funcional, previa a la realización de
las pruebas FAT, durante el transcurso de la cual se espera detectar cualquier
falla de los componentes del sistema.
Con anticipación a la realización de las pruebas FAT, EL VENDEDOR debe
suministrar a EL COMPRADOR el reporte con los resultados de la prueba
interna Pre-FAT. En caso de que la prueba Pre-FAT haya sido exitosa, o que
las fallas encontradas durante su ejecución hayan sido ya corregidas
satisfactoriamente. EL VENDEDOR podrá invitar a EL COMPRADOR, con
suficiente antelación, a presenciar la realización de las pruebas FAT.
Como requisito indispensable para la realización de las pruebas FAT, EL
VENDEDOR emitirá para revisión y aceptación de EL COMPRADOR, un
documento que incluya los protocolos propuestos para las pruebas FAT, el cual
debe cubrir al menos los siguientes aspectos:
1. Índice del documento.
2. Documentos de referencia.
3. Descripción de cada tipo de prueba, indicando el objetivo, el
procedimiento de prueba propuesto y los resultados esperados.
4. Criterios de aceptación o rechazo de cada tipo de prueba.
5. Formatos por tipo de prueba, con espacios para la fecha de realización
de cada prueba, los nombres de las personas que realizan y atestiguan
la prueba, descripción de la función, e identificación con número de
serie, del equipo sometido a prueba, resultados de la prueba, aceptación
o rechazo de los resultados de la prueba, notas, observaciones y
aclaraciones.

2000.01-100-I02-DE-0002 24 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

6. Formato para Lista de Acciones Pendientes, o "Punch List".

7. Formato para Reporte de No Conformidades, o "Non-conformance
Report".
8. Formato de Acta de Aceptación de las Pruebas FAT.
Las Pruebas FAT deben ser realizadas en los talleres de EL VENDEDOR en
presencia de EL COMPRADOR y/o EL CLIENTE.
EL COMPRADOR y EL CLIENTE designarán a su personal técnico que
participará del desarrollo de las pruebas, y de la consiguiente depuración de los
problemas de hardware y software identificados durante las pruebas, hasta que
los resultados obtenidos sean considerados completamente satisfactorios.
EL VENDEDOR debe ofrecer oportunamente todas las facilidades, servicios,
mano de obra, equipos y materiales necesarios para la ejecución de todas las
pruebas que deban efectuarse.
EL VENDEDOR también debe suministrar al personal técnico de EL
COMPRADOR, designado para las pruebas; soporte logístico y asistencia
técnica, incluyendo espacios de trabajo, escritorios, accesos a servicios de red,
telefónicos y de fax, durante el período de realización de las pruebas.
Las pruebas FAT consistirán, sin limitarse a ello, en lo siguiente:
1. Verificación del sistema de acuerdo con la documentación de EL
VENDEDOR.
a. Se verificará si los documentos de EL VENDEDOR han sido
completados y son consistentes con el hardware ofrecido.
b. Se verificará si los archivos electrónicos contienen los documentos
en la misma revisión que las copias impresas.
2. Pruebas del hardware.
a. Inspección visual de los gabinetes del sistema.
• Distribución del cableado y ejecución de terminaciones de cables.
• Instalación de componentes de acuerdo con la Orden de Compra.
• Funcionamiento de las puertas.
• Acabados libres de defectos.
• Textos de etiquetas y marquillas.

b. Verificación del hardware.

• Verificación de los circuitos de conexión a tierra.
• Verificación de los circuitos de suministro de energía eléctrica.
• Verificación de los circuitos de alarmas de fuentes y ventiladores.
• Verificación de la operación redundante de las fuentes.

2000.01-100-I02-DE-0002 25 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

• Verificación de los componentes electrónicos.

• Verificación de las versiones de firmware de los componentes
electrónicos.
• Verificación de la operación redundante de los componentes
electrónicos con redundancia.
• Verificación de la tolerancia a falla de los componentes
electrónicos con tolerancia a fallas.
• Verificación del despeje de las fallas de los componentes
electrónicos con tolerancia a fallas.
• Verificación de las conexiones de red.
• Verificación de los puertos de comunicación.
• Verificación del correcto funcionamiento de todos los puntos de
E/S del sistema.

3. Verificación del software

a. Versión del software.
b. Utilidades y herramientas del software.
c. Descarga de la aplicación.
d. Revisión de los descriptores, rangos, unidades y puntos de ajuste en
la base de datos.
e. Revisión de los diagramas lógicos de acuerdo con las matrices de
causa-efecto definidas para el sistema.
f. Verificación de los tiempos utilizados por los controladores del
sistema.
g. Verificación de las herramientas de diagnóstico del sistema.

En caso de falla de algún componente durante las pruebas FAT, la prueba

debe ser suspendida mientras se reemplaza el componente en falla y
posteriormente se debe reiniciar la prueba con el componente de reemplazo.
EL VENDEDOR es responsable de registrar y reportar todos los resultados de
las pruebas FAT, utilizando los protocolos previamente acordados con EL
COMPRADOR.
Adicionalmente, EL VENDEDOR es responsable de entregar a EL
COMPRADOR, un Certificado de realización exitosa de las Pruebas FAT, con
el cual certifica el buen funcionamiento del sistema suministrado, de acuerdo
con los requerimientos del Proyecto.
Una vez aceptado el buen funcionamiento del sistema suministrado, EL
VENDEDOR debe actualizar los documentos, la configuración, e incluso la
programación, con los comentarios que hayan surgido durante la realización de
las pruebas FAT.

2000.01-100-I02-DE-0002 26 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

5.4. Despacho

Tras la realización exitosa de las pruebas FAT, EL VENDEDOR debe preparar

el sistema para su despacho al sitio del Proyecto. La integridad del sistema
durante su transporte es responsabilidad de EL VENDEDOR.
EL VENDEDOR debe proveer en la cotización, una descripción del
procedimiento de embalaje y despacho, los pesos y dimensiones brutos
estimados, y cualquier instrucción especial de embarque y almacenamiento
aplicable. EL VENDEDOR debe suministrar pintura de retoque con el sistema,
al momento de su despacho.
Los equipos sólo podrán ser despachados al sitio del Proyecto con la previa
autorización de EL COMPRADOR y la confirmación del recibo a satisfacción de
EL CLIENTE, del reporte de las pruebas FAT, debidamente documentado y
firmado.
5.5. Instalación

EL VENDEDOR deberá prestar asistencia técnica a la instalación cuando sea

solicitado por EL COMPRADOR.
EL VENDEDOR será responsable de todo el cableado y conexionado interno
de los gabinetes por el suministrado, para lo cual deberá designar al personal
técnico calificado, provisto de todas las herramientas y consumibles necesarias
para la ejecución de su labor. EL VENDEDOR será responsable de verificar la
calidad de los servicios de aterramiento y potencia y energizar los equipos.
EL COMPRADOR dejará en punta, bajo el gabinete los cables de aterramiento,
potencia y comunicaciones para ser cableado y conexionado por EL
VENDEDOR. EL COMPRADOR será responsable del cableado y conexionado
de las señales de campo en el marshalling del gabinete ESD y de Botoneras
del ESD, siendo el Marshalling el límite de batería de responsabilidad de EL
VENDEDOR.
5.6. SAT y "Pre-commissioning"
Las pruebas el sistema deberán estar acorde al procedimiento delineado en
ISA 84.00.01.
EL VENDEDOR debe indicar en su cotización el tiempo y el costo requerido
para la realización de las pruebas SAT y las actividades de alistamiento previo
a la puesta en servicio o "Pre-commissioning" del ESD, para lo cual debe
designar personal técnico calificado.
Las Pruebas SAT deben ser realizadas en el sitio del Proyecto en presencia de
EL COMPRADOR y/o EL CLIENTE.

2000.01-100-I02-DE-0002 27 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

EL COMPRADOR y EL CLIENTE designarán a su personal técnico que

participará del desarrollo de las pruebas, y de la consiguiente depuración de los
problemas de hardware y software identificados durante las pruebas, hasta que
los resultados de las pruebas sean considerados completamente satisfactorios.
Como requisito indispensable para la realización de las pruebas SAT, EL
VENDEDOR emitirá para revisión y aceptación de EL COMPRADOR, un
documento que incluya los protocolos propuestos para las pruebas SAT, el cual
debe cubrir prácticamente los mismos aspectos que las pruebas FAT, ya que
uno de los propósitos de las Pruebas SAT consiste justamente en la
comprobación de que el suministro no sufrió daños durante su despacho e
instalación.
En general, las pruebas SAT deben ser conducidas en forma similar a las
pruebas FAT, incluyendo la prueba de integración con el hardware del BPCS.
EL VENDEDOR es responsable de registrar y reportar todos los resultados de
las pruebas SAT, utilizando los protocolos previamente acordados con EL
COMPRADOR.
Adicionalmente, EL VENDEDOR es responsable de entregar a EL
COMPRADOR, un Certificado de realización exitosa de las Pruebas SAT, con
el cual certifica el buen funcionamiento del sistema suministrado, de acuerdo
con los requerimientos del Proyecto.
Una vez aceptado el buen funcionamiento del sistema suministrado, EL
VENDEDOR debe actualizar los documentos, la configuración, e incluso la
programación, con los comentarios que hayan surgido durante la realización de
las pruebas SAT.
EL VENDEDOR también debe proveer asistencia técnica a EL COMPRADOR,
durante el desarrollo de las actividades propias de alistamiento previo a la
puesta en servicio o "Pre-commissioning" del ESD, la cual incluirá las
siguientes actividades:
1. "Loop Check", o Pruebas de los lazos de instrumentos asociados con el
ESD.
2. Verificación de las funciones instrumentadas de seguridad contenidas en
las matrices de causa-efecto del ESD.

5.7. Commissioning

EL VENDEDOR debe indicar en su cotización el tiempo y el costo requerido

para la realización de las actividades de puesta en servicio o "Commissioning"
del ESD, para lo cual debe designar personal técnico calificado y con
experiencia en las actividades de arranque del sistema suministrado.

2000.01-100-I02-DE-0002 28 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

Es muy deseable que el personal designado por EL VENDEDOR para realizar

las actividades de puesta en servicio o "Commissioning" del sistema, haya
estado activamente involucrado en el desarrollo, configuración y programación
de la aplicación del Proyecto.
Como requisito indispensable para el inicio de las actividades de puesta en
servicio o "Commissioning" del ESD, EL VENDEDOR emitirá para revisión y
aceptación de EL COMPRADOR, un documento que incluya los procedimientos
y protocolos propuestos para el arranque inicial, ajuste y puesta en operación
del sistema suministrado.
Para la puesta en operación del ESD se deben haber realizado previamente
todas las conexiones definitivas y resuelto todos los puntos pendientes que
hubieren surgido durante las actividades de construcción.
EL VENDEDOR debe proveer asistencia técnica a EL COMPRADOR, durante
el desarrollo de las actividades propias de la puesta en servicio o
"Commissioning" del ESD, incluyendo los siguientes aspectos:
1. Secuencia de arranque.
2. By-pass de funciones y su restablecimiento.
3. Definición de intervalos de prueba.
4. Pruebas de funcionamiento y simulación de fallas.
5. Solución de problemas de hardware y software detectados durante el
arranque.
6. Entrega del ESD al personal de Operaciones.
Estas actividades deben incluir la verificación de todas las funciones lógicas
contenidas en las matrices de causa-efecto que hayan sido definidas para el
ESD.
Durante la puesta en marcha del ESD se verificará el correcto funcionamiento
de todo el sistema, incluyendo la comunicación con el hardware del BPCS.
EL CLIENTE podrá solicitar pruebas adicionales a las propuestas por EL
VENDEDOR en sus procedimientos previamente acordados.
El ESD será aceptado después de ser completamente probado y haber
operado sin ninguna falla durante 30 días continuos.
Para concluir esta fase, EL VENDEDOR debe emitir un reporte dejando
constancia de que todas las actividades han sido satisfactoriamente
ejecutadas.

2000.01-100-I02-DE-0002 29 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

5.8. Repuestos

EL VENDEDOR debe incluir en su oferta los repuestos necesarios para las

pruebas y arranque del ESD, incluyendo suficientes fusibles para las pruebas
de lazo y de funciones lógicas.
Las listas de repuestos recomendados, suministradas por EL VENDEDOR,
deben incluir los siguientes detalles:
1. Modelo de cada ítem.
2. Descripción de cada ítem.
3. Cantidad total recomendada de cada ítem, considerando las presentaciones
disponibles.
4. Precio unitario de cada ítem, de acuerdo con la presentación indicada.
EL VENDEDOR debe suministrar todos los repuestos necesarios para el
arranque, incluyendo partes de terceros, que según su experiencia pueden
dañarse durante su despacho o instalación y durante la puesta en servicio del
sistema.
Todos los ítems de repuestos suministrados por EL VENDEDOR deben ser
claramente identificados y apropiadamente protegidos y embalados para
soportar el despacho y prolongados períodos de almacenamiento.
Todos los repuestos usados durante el período de garantía, incluyendo partes
compradas a terceros, deben ser reemplazados por EL VENDEDOR a su
costo.
EL VENDEDOR debe incluir en su oferta, la lista de repuestos necesarios para
24 meses de operación del ESD, contados a partir de la entrega del sistema. El
valor de estos repuestos no debe ser incluido en el valor de la oferta base.

5.8.1. Repuestos mínimos requeridos

Fusibles: Proporcionar una cantidad de Fusibles igual al 1% del total de cada

tipo, pero no menor a uno de cada tipo.

5.9. Garantía

EL VENDEDOR debe garantizar que el suministro ofrecido, satisface los

requerimientos de esta especificación y de los acuerdos suscritos con
posteridad, por un período de un año, contado a partir del arranque, o de dos
años contados a partir del despacho, el que ocurra primero.

2000.01-100-I02-DE-0002 30 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

Adicionalmente, EL VENDEDOR debe asegurar que las licencias de software

serán actualizadas durante el primer año después del arranque, sin costo
adicional para EL COMPRADOR.
6. REQUERIMIENTOS GENERALES

EL VENDEDOR debe ofrecer un ESD para una planta con un ciclo de vida
estimado de 20 años, que satisfaga los requerimientos generales indicados a
continuación.

6.1. Capacidad de Expansión

El sistema ofrecido, tipo modular, debe tener capacidad de expansión en el

futuro, realizando modificaciones mínimas en su hardware y en su
configuración de software.

El sistema debe incluir los siguientes porcentajes de reserva:

1. 20% de E/S instaladas, por tipo de señal.

2. 20% de espacios disponibles en chasis para la adición de futuros módulos
de E/S.
3. 40% de la capacidad de procesamiento y memoria disponible, considerando
la utilización del 20% de E/S de reservas instaladas y del 20% de E/S de
reservas futuras. Esto significa que no debe utilizarse más del 60% de la
capacidad de procesamiento y memoria disponible, considerando la
utilización del 40% de E/S de reservas instaladas y futuras.
4. 50% de la potencia consumida. Esto significa que la(s) fuente(s) debe(n)
seleccionarse con capacidad para abastecer el 150% de la carga
consumida por el sistema.
5. 40% de la capacidad disponible en la aplicación de software para incluir las
señales adicionales correspondientes al 40% de E/S de reservas instaladas
y futuras. No obstante, se considera inaceptable el pago de un extra-costo
innecesario en el valor de las licencias de software para contar con mayor
capacidad de señales, mientras no se haga uso de las E/S de reservas
disponibles.
6.2. Redundancia del Sistema

La redundancia del sistema ofrecido debe ser considerada en CPU y falla

segura, la decisión de optar por redundancia adicional solo dependerá del
requerimiento de "safety availability" que ha sido establecido en 0.999 (SIL 3).
El sistema ofrecido también debe incluir fuentes, sistemas de ventilación y
conexiones de red dual redundantes.
2000.01-100-I02-DE-0002 31 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

6.3. Disponibilidad y Confiabilidad

El sistema ofrecido debe diseñarse para una disponibilidad de al menos 99.9%

en los modos "fail-safe" y "fail-danger" de acuerdo con la siguiente definición de
disponibilidad:
Availability % = 1- PFD (Probability of Failure of Demand) (IEC 61508)
EL VENDEDOR debe incluir en su oferta las cifras de disponibilidad
correspondientes al sistema ofrecido, indicar el método de cálculo usado,
establecer claramente todos los supuestos realizados, e indicar la fuente de la
cual obtuvo los valores adoptados para las ratas de falla. Para propósitos de
realizar sus cálculos, EL VENDEDOR debe considerar un MTTR de 8 horas.
El sistema ofrecido debe ser tolerante a fallas intermitentes, transientes y
permanentes; y la ocurrencia de una falla sencilla del ESD no debe degradar la
seguridad, ni la funcionalidad del sistema, ni tener impacto en la operación del
proceso.
6.4. Pruebas y Diagnósticos Automáticos

El sistema ofrecido debe incorporar procedimientos automáticos de pruebas y

auto-diagnósticos extensivos en línea que permitan identificar fallas
intermitentes, transientes y permanentes; y generar las correspondientes
alarmas, sin perturbar el proceso ni reducir la confiabilidad del ESD.
Estos auto-diagnósticos deben permitir la identificación, localización y reporte
de al menos las siguientes fallas o errores:
1. Fallas o errores del procesador
2. Fallas o errores de la memoria
3. Fallas o errores del reloj de tiempo real
4. Fallas o errores de comunicación
5. Discrepancias o inconsistencias en la configuración del hardware, el
programa de aplicación, o el sistema operativo
6. Fallas de los módulos de E/S
7. Discrepancias en señales de E/S
8. Fallas de suministro de energía eléctrica o actuación de los dispositivos
de protección eléctrica
9. Condiciones de sobre-temperatura
El diagnóstico de los módulos de E/S debe permitir la identificación, localización
y reporte de corto-circuitos o circuitos abiertos en los circuitos de señal
asociados a los puntos de E/S.

2000.01-100-I02-DE-0002 32 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

7. CONTROLADOR DEL ESD (GCE-76001)

En lo sucesivo, cuando se haga referencia a la ejecución cíclica de alguna

función, se estará haciendo referencia a una función que se ejecuta durante el
"Cycle Time" o tiempo de ciclo, que es el tiempo que transcurre entre dos
muestreos sucesivos.
En el tiempo de ciclo el controlador debe leer todas las entradas, procesar el
programa de aplicación, escribir todas las salidas, procesar todos los datos de
comunicación y ejecutar todas las rutinas de auto-prueba.
A continuación se describen los requerimientos generales de los componentes
de hardware del ESD.

7.1. Fuentes de Suministro de Energía Eléctrica

Las fuentes del sistema ofrecido deben estar en capacidad de aceptar 120 VAC
± 5% a 60 Hz ± 2% proveniente de un UPS y proveer 24 VDC regulada para
alimentar la electrónica y la instrumentación del campo. Ver en el Anexo B el
estimado de consumo de la instrumentación de campo.
Estas fuentes deben cumplir los requerimientos de "Safety Extra Low Voltage" -
SELV, o "Protective Extra Low Voltage" - PELV.
Las fuentes del sistema ofrecido deben ser redundantes por disponibilidad y no
por capacidad, deben poder energizarse desde al menos dos fuentes diferentes
y deben ser reemplazables en línea sin afectar el proceso.
La capacidad de las fuentes se debe calcular considerando que el sistema
debe energizar también la instrumentación de campo, para lo cual se
considerarán 16mA por entrada discreta, 500mA por salida discreta y 25mA por
señal análoga.
Las fuentes deben tener protección por sobre-temperatura, protección mediante
fusible y LED para indicación de estatus y alarma en caso de falla, además de
un contacto de alarma para indicación remota de falla.

Cada circuito eléctrico a 120VAC o 24VDC, debe ser protegido por un

interruptor termo-magnético.
Todos los sistemas de suministro de energía eléctrica a 120VAC o 24VDC
deben ser apropiadamente rotulados y aislados para evitar contactos
involuntarios.
El controlador del ESD contará con un sistema de supresores de picos y
sobretensiones (Surge Protection).

2000.01-100-I02-DE-0002 33 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

EL VENDEDOR debe incluir un tomacorriente dual de 120VAC para alimentar

Laptops, Herramientas, etc, dentro del gabinete.

7.2. Procesadores

Cada CPU debe contar con dos microprocesadores síncronos, cada uno con su
propia memoria RAM; memoria Flash EPROM para almacenamiento del
sistema operativo y los programas de aplicación; memoria de datos NVRAM;
procesador de comunicaciones y "safe watchdog".
Cada CPU debe ejecutar rutinas cíclicas de auto-prueba de los procesadores,
memorias, "watchdog" - WD, y conexiones internas con las E/S asociadas - "I/O
bus".
En caso de que los datos en los microprocesadores no sean idénticos, o alguna
de las rutinas de auto-prueba arroje un resultado negativo, automáticamente el
controlador debe dejar de evaluar las entradas y debe proceder a desenergizar
las salidas.
7.3. Módulos de Entradas

Los módulos de entradas relacionadas con seguridad deben quedar sujetos a

estrictas rutinas de auto-prueba ejecutadas cíclicamente durante la operación
del sistema para monitorizar el funcionamiento seguro de los módulos.
Además de los LEDs de diagnóstico en los módulos, se requiere que el
controlador envíe señales de estatus al programa de aplicación para evaluación
y detección de errores en los módulos.
Las señales digitales de entrada deben ser leídas una vez por ciclo, sus valores
almacenados internamente y, para asegurar el funcionamiento seguro del
módulo, se debe ejecutar una rutina cíclica de auto-prueba.
Algunas señales digitales de entrada tendrán que ser implementadas usando
módulos de señales análogas de entrada, en los cuales se realizará el ajuste
de los valores correspondientes a los niveles alto (H) y bajo (L) de las
respectivas señales digitales, mediante una apropiada parametrización.
Los módulos de Entrada Discretas deben ser sencillos (no redundantes)
capaces de leer contacto seco de 24Vdc y aisladas.
Las señales análogas de entrada deben ser convertidas a valores enteros con
precisiones relacionadas con seguridad, que serán utilizados por el programa
de aplicación.
Los módulos de Entrada Analógicos deben ser sencillos (no redundantes)
capaces de leer señales de 24Vdc de 4-20mA alimentadas o no por el lazo y
alimentadas externamente de forma configurable o seleccionable durante el

2000.01-100-I02-DE-0002 34 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

conexionado. Si es requerido, EL VENDEDOR deberá suministrar cualquier

resistencia (250 ohm) en todas las Entradas Analógicas disponibles.
Todas las Entradas deben ser opto-aisladas.
7.4. Módulos de Salidas

Las señales de salida relacionadas con seguridad deben ser escritas una vez
por ciclo, sus valores nuevamente leídos y luego, para asegurar el
funcionamiento seguro del módulo, se debe ejecutar una rutina cíclica de auto-
prueba que los compare con los datos de salida especificados.
Los módulos de señales de salida deben estar provistos de mecanismos
seguros de disparo para realizar la desconexión segura de los canales
defectuosos.
Los módulos de Salida Discretos deben ser sencillos (no redundantes) capaces
de manejar señales de 24Vdc y 500mA aisladas.
7.5. Módulos de Comunicación Ethernet TCP/IP

El Controlador del ESD debe comunicarse con la Consola de Operación a

través de la Red de Planta Ethernet TCP/IP (Estándar IEEE-802.3), utilizando
módulo de comunicaciones duales o redundantes.
Considerando que la red Ethernet debe ser redundante, los módulos de
comunicaciones del controlador ESD (GCE-76001) deben estar conectados a
ambos conmutadores de datos (Switches A y B) en el Gabinete de Red de
Planta (GCN-76001).
El sistema ofrecido debe poder intercambiar señales con el sistema de control
BPCS en forma de lectura o escritura, mediante enlaces de comunicación dual
a la red Ethernet TCP/IP con puertos RJ45, basado en protocolo Modbus-TCP
compatible con OPC.
En todos los casos se implementará la dual redundancia de la comunicación
para mejorar su disponibilidad.

7.6. Relés de Interposición

Para el disparo de los Equipos Paquete, ya sea por paro de planta o protección
de los equipos, se deberá disponer en el gabinete del ESD (GCE-76001) de
Relés de Interposición con Contactos Secos (Libres de potencial),
Normalmente Abierto. El ESD disparará los siguientes Equipos:

2000.01-100-I02-DE-0002 35 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

CANT Origen
3 CDPD-5001 Centro de Potencia 480V BOP
4 CDPD-4002 Centro de Potencia Área Generación
2 A-4001 Turbo Generador #1 TXP y Master Trip String
2 A-4002 Turbo Generador #2 TXP y Master Trip String
2 TV Turbina de Vapor TXP y Master Trip String (Futuro)
1 A-54401 Agua Desmineralizada (Futuro)
3 A-55001A/B/C Compresor de Gas
2 Z-4201 Paquete Hidroneumático
4 Reserva 20%
23 Total Relés Contacto Normalmente Abierto

7.7. Gabinete Autosoportado.

EL VENDEDOR debe montar todo el equipo en gabinetes industriales estándar,

apropiados para instalación en ambiente seguro, con certificación de grado de
protección NEMA 12, con ventiladores para enfriamiento de los componentes
electrónicos, y alumbrado interno.
EL VENDEDOR es responsable del cableado interno de los gabinetes y de los
cables de interconexión entre equipos del sistema.
Todos los cables deben segregarse por tipo de señales y niveles de voltaje.
A continuación se indican los códigos de colores de los cables que deben
usarse para los circuitos de suministro de energía eléctrica:

120 VAC 24 VDC

Fase: Negro Positivo: Rojo
Neutro: Blanco Común: Negro
Tierra de Seguridad: Verde/Amarillo
Tierra de Verde
Instrumentación:

Todos los cables deben identificarse mediante un "ID Tag" en ambos extremos.
Los gabinetes a ser instalados dentro del Cuarto de Control Central (CCR)
deben poseer las siguientes características:
• Tipo industrial, doble acceso, autosoportado, NEMA 12, cumplir con
IP55, con los accesorios completamente montados y con materiales que
sean adecuados al área de trabajo asignada.

2000.01-100-I02-DE-0002 36 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

• El gabinete de la unidad deberá estar construido de láminas de acero

galvanizado, recubiertas en caliente con acabado de esmalte al horno
sobre todas las superficies expuestas a la intemperie. Los gabinetes serán
pintados según el estándar del fabricante, pero como mínimo se requiere
que las pinturas sean del tipo acabado industrial con base epóxica a
prueba de intemperie.

• Deben ser proporcionados con ventiladores de bajo ruido y filtros de aire

para extender la vida útil de los componentes.

• Los gabinetes deben tener placas de identificación permanente fijas al

frente de cada gabinete.

• Las puertas de los gabinetes deben ser con bisagra y desmontables.

• Debe contar con lámpara para iluminación interna (activada al abrir la

puerta).

• Todos los gabinetes de equipo deben contar con dispositivos para

conexiones de los sistemas de tierras de seguridad y de instrumentos
apegadas a las recomendaciones de los fabricantes de los equipos e
instrumentación de campo los cuales incluirán todos los accesorios
necesarios para aceptar cable calibre 14 AWG.

• Acometidas de cables por el piso falso por la parte inferior del gabinete.

• Durante el transporte y almacenaje deben contar con inhibidor de

humedad, no tóxico, de larga duración (mínimo de 2 años).

• Tendrá orejas de izaje y toda la tornillería debe ser de acero Inoxidable 316
para la fijación de los equipos del sistema en el interior del gabinete.

• Dimensiones consideradas para los gabinetes en mm (alto x ancho x

fondo) aproximadamente :(2000mm.x800mm.x800mm.)

• Mesa plegable a una de las puertas para colocar equipo portátil (por
ejemplo: PC Laptop, multímetro, cautín, etc.) y un bolsillo para documentos
y planos.

7.8. Compatibilidad electromagnética

El equipo eléctrico y electrónico debe operar satisfactoriamente, tanto en forma

independiente como en conjunto, con cualquier otro equipo que sea situado
cerca.

2000.01-100-I02-DE-0002 37 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

El sistema debe cumplir los requerimientos de compatibilidad electromagnética

- EMC, de acuerdo con el estándar IEC 61131-2, lo cual significa que no debe
verse afectado por interferencia de campos electromagnéticos - EMI, ni por las
señales de radiofrecuencia - RFI, producidas por fuentes externas de
radiofrecuencia - RF, como los equipos portátiles de radio que operan con VHF/
UHF, con 5 Watts de potencia de salida de RF, en las bandas de 150-170, 450-
570 y 800 MHz.
El sistema tampoco debe ser una fuente de interferencia que pueda afectar la
operación de otros equipos cercanos a él.

7.9. Requerimientos de terminación

La terminación de los cables de señal en las tarjetas de E/S, debe hacerse

mediante sistemas y accesorios de aislamiento de las señales, que permitan la
remoción de la tarjeta sin desconexión de los cables en la respectiva bornera
terminal.
Las borneras terminales instaladas en los gabinetes deben ser no-
higroscópicas, los terminales deben ser estañados y claramente identificados, y
los tamaños de los terminales deben ser consistentes con los tamaños de los
cables.
Los tamaños de los cables de los circuitos de suministro de energía eléctrica en
120Vac provistos por EL COMPRADOR son de 10 a 14 AWG.
Los cables de señal serán pares entorchados y apantallados de 16 AWG.
7.10. Marshalling

EL VENDEDOR debe proveer las borneras (regletas) para la conexión entre

los cables provenientes de campo y el Sistema de Control, internamente
cableadas desde las tarjetas de entradas/salidas, e incluidas en el gabinete del
Sistema de Control.
Las borneras deben cumplir al menos con los siguientes requerimientos:
1. Las borneras deben ser tipo “no higroscópicas”, con bornes de tipo
atornillables, para conexión de conductores sin soldadura marca
Weidmuller ó similar.
2. Las borneras serán para cables con calibres desde 24 AWG hasta 14
AWG con un voltaje de aislamiento de 300 V como mínimo.
3. Las borneras tendrán fusibles para todas las entradas/salidas,
adicionalmente el gabinete de control deberá estar provisto de una barra
de aterramiento para la puesta a tierra de las pantallas de los cables.

2000.01-100-I02-DE-0002 38 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

4. El cableado deberá ser correctamente identificado en su base terminal.

Así como también, las borneras (ocupadas y disponibles) y sus puntos
de conexión.
7.11. Sistema de tierra
Los gabinetes del Sistema de Control deben conectarse a un sistema de tierra.
EL VENDEDOR debe indicar los requerimientos particulares del sistema de
tierra para los gabinetes y la consola.
El sistema debe venir con barras de tierra tanto de seguridad como de señales,
debidamente identificadas.
7.12. Supresión de ruido
Los cables de los circuitos de suministro de energía eléctrica deben instalarse
separados de los cables de señal. No obstante, en caso de presentarse cruces
inevitables, éstos deben hacerse en ángulo recto.

8. INTERFAZ HUMANO MÁQUINA

Será responsabilidad de EL VENDEDOR del Sistema de Parada de
Emergencia (ESD) proveer toda la ingeniería, drivers del Servidor OPC,
configuraciones sobre los drivers OPC incluidos y la Asistencia Técnica
necesaria para facilitar al proveedor del BPCS la labor de integrar ambos
sistemas.
El proveedor del Sistema de Paro de Emergencia (ESD) es corresponsable
junto al proveedor del BPCS de la integración del ESD con el Sistema de
Control BPCS.
8.1. Estaciones de Operación (Por Otros)
El Hardware de las Interfaces Humano Máquina al Sistema de Paro de
Emergencia ESD será provisto por EL VENDEDOR del Sistema de Control
BPCS.
Está compuesto por:
1. Estaciones de Operación (ETO-76001 y ETO-76002).
2. Impresora de Reportes y Alarmas (PRO-76001).
3. Panel de Botonera del ESD (BPE-76001).
En las Estaciones de Operación (ETO-76001 y ETO-76002) que se comportan
como clientes OPC sobre Windows XP o Windows Vista, se configurará los
despliegues esquemáticos necesarios para la operación y supervisión del ESD.

2000.01-100-I02-DE-0002 39 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

EL VENDEDOR debe garantizar que mediante el uso de interfaces abiertas

OPC, el sistema ofrecido permitirá realizar, en forma sencilla, visualizaciones
completas, entradas de operador y manejo de datos históricos con registro de
tendencias y procesamiento de alarmas, incluyendo la transmisión de estampas
de tiempo.
En todos los casos se implementará la dual redundancia de la comunicación
Ethernet TCP/IP para mejorar su disponibilidad.
8.2. Estación de Ingeniería y Mantenimiento (Por Otros)
El Hardware de la Estación de Ingeniería y Mantenimiento (ETI-76001) será
provisto por EL VENDEDOR del Sistema de Control BPCS. Esta es una
Estación basada en Windows XP o Windows Vista, con conexión a la red
Ethernet TCP/IP. EL VENDEDOR del ESD es responsable del:
1. Software de Comunicación y Configuración necesarias a instalar en esta
Estación.
2. Cualquier cable o tarjeta especial necesaria para interconectar al
Controlador del ESD en caso que el medio de comunicación sea distinto
a la red Ethernet TCP/IP.
EL VENDEDOR del Sistema de Paro de Emergencia ESD es libre de ofrecer un
Lap-Top o Estación portátil para cubrir las necesidades de Ingeniería y
Mantenimiento si considera que la Estación provista por EL VENDEDOR del
BPCS no cubre sus necesidades.

8.3. Panel de Botonera ESD (Por Otros)

EL VENDEDOR del BPCS proveerá el panel de Botoneras del Sistema de Paro

de Emergencia ESD (BPE-76001) integrado a la consola de operaciones. El
panel de Botoneras ESD permitirá el Paro de Emergencia de las unidades
mayores de proceso, tales como:
• Balance de Planta (BOP)
• Turbogenerador #1,
• Turbogenerador #2,
• Turbina de Vapor y Generación de Vapor por recuperación de Calor para
conformar un Ciclo Combinado 2x1 (futuro).
Además dispondrá de un selector con llave para activar los Bypass para
propósitos de arranque y mantenimiento en las unidades de servicio con luces
piloto de estado.
En la Botonera (BPE-76001) del ESD, se instalarán los siguientes
componentes:
2000.01-100-I02-DE-0002 40 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

• Botón de Paro de Emergencia de la Planta.

• Botón de Paro de Emergencia Turbogenerador #1.
• Botón de Paro de Emergencia Turbogenerador #2.
• Botón de Paro de Emergencia del Compresor A-55001A.
• Botón de Paro de Emergencia del Compresor A-55001B.
• Botón de Paro de Emergencia del Compresor A-55001C.
• Espacio para futuro botón Paro de Emergencia Turbina Vapor.
• Selector con llave del MOS "Bypass" o "Desconocimiento de
Condiciones" para uso en procedimientos de arranque o de
mantenimiento.
• Luz piloto Azul en 24Vdc de MOS activado.
• Luz piloto Amarillo de al menos un instrumento en Bypass.
La interfaz con la Botonera del ESD (BPE-76001) será cableada con señales
discretas 24Vdc.
Todos los instrumentos del panel deberán ser cableados entre la regleta
ubicada en la parte posterior del Panel de Botoneras ESD (BPE-76001) y el
Marshalling del Gabinete del ESD (GCE-76001).
9. CONFIGURACIÓN

EL VENDEDOR desarrollará la aplicación con la información suministrada por

EL COMPRADOR, la cual incluye entre otros documentos, las matrices de
causa - efecto, los diagramas lógicos y algunas descripciones narrativas de las
funciones instrumentadas de seguridad que deben ser implementadas.
El sistema ofrecido debe incluir un paquete de software certificado para
aplicaciones de seguridad con niveles hasta de SIL-3, para el desarrollo y
documentación de la configuración y programación de la aplicación y de las
comunicaciones del ESD, con funciones de diagnóstico, compatible con los
sistemas operativos de Microsoft Windows XP y/o Windows Vista.
El software debe permitir el uso de las funciones y variables relacionadas con
seguridad definidas en IEC 61131-3.
La programación debe ser completamente gráfica, usando la función "drag &
drop". Las funciones lógicas deben poder programarse mediante el uso de
diagramas de bloques de funciones - FBD certificados para seguridad y
reutilizables, o mediante el uso de cartas de funciones secuenciales - SFC,
entre otros.
La programación debe hacer uso de referencias cruzadas que relacionen los
"ID Tags" con los bloques de funciones de la aplicación y debe identificar
fácilmente el código modificado.
El software debe permitir la operación segura del sistema, la simulación
"offline", la prueba "online" de las funciones lógicas y el ajuste forzado de los
2000.01-100-I02-DE-0002 41 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

valores de las señales, sin que sea necesario el conocimiento especializado del
hardware o de los temas de seguridad.
El sistema debe permitir la configuración automática de la red - "plug and play".
10. DOCUMENTACIÓN
Todos los documentos de EL VENDEDOR deben ser identificados de acuerdo
con el sistema de numeración de documentos que EL COMPRADOR le dará a
conocer a EL VENDEDOR después de la firma del contrato.
En la lista de los documentos del proyecto, EL VENDEDOR debe incluir las
copias escaneadas de todas las certificaciones, protocolos y actas firmadas.
Los documentos del proyecto emitidos por EL VENDEDOR para revisión y
aprobación de EL COMPRADOR, deben ser escritos en el idioma Español, y
utilizar el Sistema Internacional de Unidades de Ingeniería.
Los documentos del proyecto emitidos por EL VENDEDOR deben indicar la
revisión, la fecha de emisión, el objeto de la revisión y las iniciales de
elaborador, revisor y aprobador.
Todos los documentos deben ser emitidos al menos una vez "Para Aprobación"
en rev a (y si fuere necesario en sucesivas revisiones b, c,... etc.) y al menos
una vez "Aprobado para Construcción" en rev 0 (y si fuere necesario en
sucesivas revisiones 1, 2, ... etc.).
Además de las copias impresas de los documentos emitidos, EL VENDEDOR
debe suministrar copias de los correspondientes archivos electrónicos en
formato pdf. Adicionalmente, junto con los documentos que se encuentren
Aprobados para Construcción, EL VENDEDOR debe entregar los archivos
electrónicos editables de su última actualización.
La revisión y/o aprobación por parte de EL COMPRADOR, de un documento
emitido por EL VENDEDOR, no lo exime de sus responsabilidades en relación
con el diseño, fabricación y desempeño del sistema suministrado.
La documentación del hardware del ESD que EL VENDEDOR debe suministrar
a EL COMPRADOR debe incluir pero no limitarse a la arquitectura del sistema,
listas de componentes con las descripciones detalladas de todos los equipos
físicos, dibujos dimensionales de los gabinetes con la disposición de sus
componentes, requerimientos de suministro eléctrico y ambientales,
instrucciones y dibujos de instalación, y diagramas de cableado y de conexión
de los circuitos de fuentes, conexiones a tierra, señales, enlaces de red y
comunicaciones.
El paquete de software que sea suministrado para el desarrollo de la aplicación
debe contar con utilidades de auto-documentación de la aplicación en
desarrollo.

2000.01-100-I02-DE-0002 42 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

La documentación del software del ESD que EL VENDEDOR debe suministrar

a EL COMPRADOR debe incluir pero no limitarse al documento con los
reportes impresos de configuración y programación de todas las funciones
lógicas y todos los enlaces de comunicación implementados, incluyendo los
diagramas lógicos, las matrices de causa-efecto y las asignaciones y mapas de
memoria; indicando los "ID Tags" de EL COMPRADOR con descriptores,
referencias cruzadas y comentarios de usuario; las asignaciones y
configuraciones de E/S; y una completa y detallada descripción de las
funciones lógicas y enlaces de comunicación que le permita al usuario realizar
fácilmente modificaciones a la aplicación desarrollada.
EL VENDEDOR debe entregar un original y tres copias de la última emisión de
todos los documentos del proyecto con estatus de "Aprobado para
Construcción" o "Aprobado para FAT", con suficiente anticipación a la
realización de las pruebas FAT.
Si durante la realización de las Pruebas FAT se realizaren modificaciones que
afectaren documentos con estatus de "Aprobado para FAT", éstos deben ser
actualizados y re-emitidos con estatus de "Aprobado para Construcción" o
"Aprobado para SAT" antes de la instalación del sistema.
EL VENDEDOR debe despachar, junto con el sistema, tres copias impresas
(preferentemente en idioma Español), del conjunto de manuales estándar de
instalación, operación y mantenimiento del sistema suministrado; incluyendo los
equipos de terceros que hayan sido integrados al sistema.
Después de la aceptación final del sistema, EL VENDEDOR debe re-emitir
todos los documentos "Como Construido", indicando todas las modificaciones
que hubieren sido realizadas.
EL VENDEDOR debe entregar dos copias impresas firmadas de la última
emisión de todos los documentos originales del proyecto.
EL VENDEDOR debe llevar un registro de los cambios hechos a los
documentos del proyecto durante el desarrollo de las actividades realizadas,
incluyendo la realización de las pruebas FAT y SAT. El registro debe incluir una
breve descripción del cambio, su justificación y su implementación.
11. ADIESTRAMIENTO

EL VENDEDOR debe incluir en su oferta los servicios de entrenamiento de

ingenieros y técnicos de EL CLIENTE, en configuración, operación y
mantenimiento del sistema ofrecido.
EL VENDEDOR debe diseñar los programas de entrenamiento ofrecidos para
cumplir el objetivo de proveer a ingenieros y técnicos de EL CLIENTE,
responsables de la operación y mantenimiento del ESD, los conocimientos y

2000.01-100-I02-DE-0002 43 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

habilidades necesarios para operar y mantener apropiadamente el sistema

suministrado.
EL VENDEDOR debe tener en consideración los siguientes aspectos sobre los
cursos de entrenamiento que ofrezca:
1. Los cursos se deben impartir preferiblemente en idioma Español, o en su
defecto, se deben ofrecer los servicios adicionales de traducción
simultánea.
2. Los cursos se deben impartir preferiblemente en las instalaciones de la
Planta Termoeléctrica Alberto Lovera - PAL, ubicada Refinería de Puerto
La Cruz (PDVSA), Puerto La Cruz Edo. Anzoátegui, de la República
Bolivariana de Venezuela. En caso de ser necesario un cambio del
lugar, EL VENDEDOR debe informarlo a EL COMPRADOR para que
decida oportunamente si lo aprueba.
3. En cada curso, EL VENDEDOR es responsable de proveerle un juego
completo de material didáctico, preferiblemente en idioma Español, a
cada uno de los asistentes.
4. Para la realización de cada curso, EL VENDEDOR es responsable de
proveer, transportar y custodiar los equipos y materiales requeridos.
5. Los cursos deben ofrecer una sólida base de conocimientos detallados
sobre el ESD, complementada con una amplia variedad de ejercicios
prácticos, de modo que los asistentes alcancen un alto grado de
experticia sobre el sistema y la aplicación desarrollada para el proyecto.
6. Los instructores asignados a los cursos, deben contar al menos con
cinco años de experiencia comprobable, impartiendo cursos de
entrenamiento en sistemas similares.
7. Para la realización de cada curso, EL VENDEDOR es responsable de
coordinar con EL COMPRADOR los recursos logísticos requeridos.
EL VENDEDOR debe indicar los siguientes aspectos en su oferta:
1. Número de cursos ofrecidos.
2. Número de participantes considerados para cada curso ofrecido.
3. Material didáctico requerido por cada asistente a cada curso ofrecido.
4. Número de instructores asignados a cada curso ofrecido.
5. Currículo de los instructores asignados a cada curso ofrecido.
6. Objetivos, temas y ejercicios específicos propuestos para cada curso
ofrecido.
7. Duración e intensidad horaria propuestas para cada curso ofrecido.

2000.01-100-I02-DE-0002 44 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

8. Recursos logísticos requeridos para la realización de cada curso

ofrecido.
11.1. Curso sobre Configuración
El curso de Configuración debe incluir al menos los siguientes tópicos:
1. Arquitectura del ESD.
2. Especificaciones e Instalación de cada componente de hardware del
ESD.
3. Tolerancia a fallas del hardware del ESD.
4. "Watchdogs".
5. Interfaz humano-máquina – HMI.
6. Sistema operativo y paquete de software del ESD.
7. Procedimiento de creación de una aplicación.
8. Asignación de E/S.
9. Asignación de direcciones y tablas de memoria.
10. Implementación de criterios de votación.
11. Ajustes de valores de alarmas y disparos.
12. Sincronización de relojes y Estampado de tiempo.
13. Configuración de secuencias de eventos – SOE.
14. Implementación de las matrices de causa-efecto.
15. Opciones y lenguajes de programación.
16. Implementación de las funciones lógicas de seguridad y
enclavamientos.
17. Configuración de parámetros de comunicaciones seriales.
18. Asignación de direcciones de nodos.
19. Implementación de mapas de bits y mapas de memoria.
20. Asignación de direcciones IP e integración a las redes Ethernet TCP/IP.
21. Configuración y generación de reportes.

11.2. Curso de Operación

El curso de Operación debe incluir al menos los siguientes tópicos:

2000.01-100-I02-DE-0002 45 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

1. Visualización, interpretación y control de variables por medio de la

interfaz humano-máquina y las herramientas disponibles en el sistema.
2. Selección de los modos de operación automático-manual o local-remoto,
accionamiento de selectores de "by-pass" para ignorar señales de
alarma y de disparo durante operaciones de arranque y mantenimiento,
cambio en línea de valores de ajuste de alarmas y disparos,
reconocimiento de alarmas, solicitud e impresión de reportes.
3. Manejo de dispositivos periféricos.
11.3. Curso de Mantenimiento

El curso de Mantenimiento debe incluir al menos los siguientes tópicos:

1. Herramientas de diagnóstico del sistema.

2. Alarmas del sistema.
3. Procedimientos de "Troubleshooting".
4. Procedimientos de mantenimiento preventivo.
5. Procedimientos de reemplazo "en caliente" de componentes del
hardware.
12. SOPORTE A LARGO PLAZO
EL VENDEDOR debe indicar en su oferta si está en condiciones de proveerle a
EL CLIENTE un apropiado servicio de soporte a largo plazo, especialmente en
relación con la obsolescencia y mantenimiento del sistema ofrecido.
12.1. Obsolescencia
EL VENDEDOR debe ofrecer una garantía razonable de que los equipos del
sistema que eventualmente fueren suministrados, y el correspondiente soporte
requerido, estarán disponibles durante los próximos 10 años. Cuando presuma
que algunos componentes del sistema ofrecido, pudieren ser eventualmente
retirados, EL VENDEDOR debe adquirir el firme compromiso de ofrecer
servicios de reparación o sustitución por productos equivalentes, al menos
durante los diez años siguientes a su retiro.
12.2. Mantenimiento
EL VENDEDOR debe ofrecer completo soporte de mantenimiento del sistema
en Venezuela, incluyendo disponibilidad de repuestos y asistencia en campo
antes de veinticuatro horas.
EL VENDEDOR debe brindar detalles de sus instalaciones de mantenimiento y
una lista con precios de los equipos de prueba y herramientas especiales con
los que cuenta. Además, debe estimar en forma aproximada sus tiempos de
respuesta para la reparación o sustitución de componentes defectuosos.
2000.01-100-I02-DE-0002 46 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

ANEXO A - DOCUMENTOS DE REFERENCIA

2000.01-100-I02-DE-0002 47 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

A.1 Listado de Documentos de Referencia

DOCUMENTO
2000.01-100-I01-DT-0008
2000.01-100-I01-DT-0002
2000.01-100-I01-DT-0004
2000.01-100-I01-DT-0003
2000.01-100-I02-DT-0005
2000.01-183-I03-DT-0002
TITULO
LISTA DE CARGAS ELÉCTRICAS
INSTRUMENTACIÓN
LISTA DE INSTRUMENTOS
MATRIZ CAUSA-EFECTO
LISTA DE SEÑALES SISTEMA DE
CONTROL
ARQUITECTURA SISTEMA DE
CONTROL BPCS Y ESD
ARQUITECTURA SISTEMA DE
DETECCIÓN DE GAS Y FUEGO

2000.01-100-I02-DE-0002 48 de 55 PRE-ST-DOCUMENTO
 PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

A.2 Listado de Planos de Referencia (DTI)

PLANO TITULO

2000.01-550-P04-PP-0001 Sistema de Acond. de gas Combustible – Separador de Líquidos V-55002

2000.01-550-P04-PP-0002 Sistema de Acond. de gas Combustible – Paquetes de compresión A-55001A/B/C

2000.01-550-P04-PP-0003 Sistema de Acond. de gas Combustible – Separador de Líquidos V-55001

2000.01-550-P04-PP-0004 Sistema de Acond. de gas Combustible – Filtros de Partículas FIL-55001A/B

2000.01-550-P04-PP-0005 Sistema de Acond. de gas Combustible – Filtros de Partículas FIL-55001C/D

2000.01-550-P04-PP-0006 Sistema de Acond. de gas Combustible – Entrada Unidad de Generación

2000.01-551-P04-PP-0002 Sistema de Alivio, Venteo y Recolección de Condensado

2000.01-542-P03-PP-0002 Sistema de Aire comprimido – Compresores y Acumulador de Aire

2000.01-542-P03-PP-0003 Sistema de Aire comprimido – Unidad de Secado

2000.01-542-P03-PP-0004 Sistema de Aire comprimido – Acumulador de Aire de Instrumentos

2000.01-542-P03-PP-0005 Sistema de Aire comprimido – Distribución de Aire de Servicio

1123-04-30-P03-107 Sistema de Aire comprimido – Distribución de Aire de Instrumentos

2000.01-540-P04-PP-0001 Recepción y Suministro de Agua Potable

2000.01-540-P04-PP-0002 Sistema de Agua de Servicio

2000.01-540-P04-PP-0003 Paquete de Filtración de Agua Potable

1123-04-30-P03-204 Sistema Hidroneumático

1123-04-30-P03-205 Sistema de Agua Potable y Servicios – Paquete Biocida

1123-04-30-P03-206 Sistema de Agua Potable y Servicios – Distribución de Agua Potable y de Servicio

2000.01-547-P04-PP-0001 Sistema de Recolección de Efluentes – Fosa de recolección de Drenajes Aceitosos

2000.01-547-P04-PP-0002 Separador de Placas Corrugadas

2000.01-100-I02-DE-0002 49 de 55 PRE-ST-DOCUMENTO
 PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

2000.01-547-P04-PP-0003 Paquete de Inyección de Demulsificante

2000.01-547-P04-PP-0004 Sistema de Recolección de Efluentes – Fosa de Lavado de Compresor A-3001

2000.01-547-P04-PP-0005 Sistema de Recolección de Efluentes – Fosa de Lavado de Compresor A-3002

2000.01-548-P04-PP-0001 Sistema de Tratamiento de Aguas Servidas

Sistema de Almacenamiento de Agua Desmineralizada

Sistema de Distribución de Agua Desmineralizada

2000.01-100-I02-DE-0002 50 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

ANEXO B - RESUMEN DE ENTRADAS / SALIDAS

2000.01-100-I02-DE-0002 51 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

B.1 Configuración Base de Datos del Sistema

El proveedor debe considerar la siguiente tabla de número de señales de

entradas y salidas requeridas para dimensionar los módulos del ESD.
Adicionalmente, deben incluirse los porcentajes de reserva instalada
establecidos para crecimiento a futuro (20%).

El proveedor debe revisar la arquitectura del Sistema, así como todos los
documentos de ingeniería entregados para verificar el número y tipo de
entradas y salidas.

Hay Entradas Analógicas alimentadas por el lazo y alimentadas externamente,

por lo que EL VENDEDOR deberá tomar esto en cuenta para la selección de
los módulos.

Todas las Entradas Discretas y Salidas Discretas alimentan el instrumento

conectado en el lazo (24Vdc).

El Proveedor deberá considerar la carga de los instrumentos de campo en el

dimensionamiento de las fuentes de alimentación incluyendo el porcentaje de
reserva instalada establecido para crecimiento a futuro (50%)

B.1.1 Señales Cableadas de Campo

SEÑALES ANALOGICAS SEÑALES DISCRETAS

ALIMENTADA SALIDA CONT. COMENTARIO

ENTRADAS ENTRADAS
EXTERNAMENTE S SECO
4-20mA 4-20mA 24 Vdc 24 Vdc 24 Vdc

TRANSMISORES:
32 Consumo 25mA

SWITCH (CONTACTO
SECO):
36 Consumo 16mA
CAMPO

SOLENOIDES, RELÉS:
Consumo 125
21 27
mA
CAMPO

Consumo
TOTAL 32 36 21 27
7. 376A

2000.01-100-I02-DE-0002 52 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

B.1.2 Señales Panel de Botoneras ESD (BPE-6301)

SEÑALES ANALOGICAS SEÑALES DISCRETAS

ENTRADAS ENTRADAS SALIDAS COMENTARIO

4-20mA 24 Vdc 24 Vdc

SWITCH (CONTACTO
SECO):
6 Consumo 16mA
PushBottom, Switch

LUCES 24Vdc:
2 Consumo 500 mA
Luz Piloto

Consumo
TOTAL 0 6 2
1.096A

2000.01-100-I02-DE-0002 53 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

ANEXO C – PLACA DE IDENTIFICACIÓN DEL GABINETE

2000.01-100-I02-DE-0002 54 de 55 PRE-ST-DOCUMENTO
PLANTA DE GENERACIÓN ELÉCTRICA 2000.01-100-I02-DE-0002
ALBERTO LOVERA Rev. b
ESPECIFICACIÓN DEL SISTEMA DE PARADA DE EMERGENCIA

2000.01-100-I02-DE-0002 55 de 55 PRE-ST-DOCUMENTO
 IMPLEMENTACION DE LOS SISTEMAS INTRUMENTADOS DE
SEGURIDAD AL PARO SEGURO ASOCIADO A LOS SISTEMAS DE
PROCESO QUE CONSTITUYEN EL BALANCE DE PLANTA (BOP) EN
UNA PLANTA TERMOLECTRICA.

Anexo “D” Arquitectura propuesta, y diagramas típicos de

gabinetes
SIMBOLOGIA

NETWORK VNET/IP1
NETWORK VNET/IP2

NOTA:

ARQUITECTURA DEL SISTEMA DE

PARO POR EMERGENCIA (BOP)
ARQ-PAL-001
 800

158.5 483 158.5

72 40
265.9
50
221.5
50
221.5 800

2000
2000

221.5
221

A. CONTROLADOR

100
B. NODO LOCAL
C.
D. VENTILADOR
E. REJILLA DE SALIDA
F.
132
40

0
80
100

GABINETE TIPICO DE
GABINE CON ALIMENTACION A 110 VCA
CONTROLADOR

DE CONTROLADOR
GAB-PAL-001
 800

158.5 483 158.5

40
90
800

2000
2000

NOMECLATURA

A. TERMINAL BOARD

100
B.
358

C. CANALETA PARA CABLEADO

D. VENTILADOR
E. REJILLA DE SALIDA
F.
40

0
80
100

GABINE CON TARJETA TERMINADORA CON FUENTE DE GABINE TIPICO CON

ALIMENTACION A 24 VCD TARJETA TERMINADORA

DE CONTROLADOR
GAB-PAL-002
 IMPLEMENTACION DE LOS SISTEMAS INTRUMENTADOS DE
SEGURIDAD AL PARO SEGURO ASOCIADO A LOS SISTEMAS DE
PROCESO QUE CONSTITUYEN EL BALANCE DE PLANTA (BOP) EN
UNA PLANTA TERMOLECTRICA.

Anexo “E” Diagramas de Tubería e Instrumentación (DTI´s)

Planta Alberto Lovera BOP.
 NIVEL DE PRESION GAS DE 250 psig
Componente % molar
nitrógeno 0,233
CO2 7,132
Metano 84,742
Etano 7,582
Propano 0,301
i-butano 0,01
n-butano 0
i-pentano 0
n-pentano 0
n-hexano 0
n-heptano 0
n-octano 0
n-nonano 0
n-decano 0
n-undecano 0
H2S ppm 10
H2O lb/MMSCF 1

4 7 8 9 10 11 12 13 14 15 16 17
NÚM ERO DE LA CORRIENTE 1 2 3 5 6
SA LIDA GA S CONDENSA DO CONDENSA DO CONDENSA DO CONDENSA DOS CONDENSA DOS
CA B EZA L SEP A RA DOR ENTRA DA A SEP A RA DOR P A QUETES DE SEP A RA DOR
ENTRA DA
ENTRA DA A ENTRA DA DE LIQUIDOS SA LIDA GA S UNIDA DE DE LIQUIDOS COM P RESION DE LIQUIDOS CONDENSA DOS
GA S COM B USTIB LE ENTRA DA DE GA S SA LIDA DE GA S NTRA DA P A QUET SA LIDA GA S
GENERA CION A -
41001/42001 FILTROS DE HA CIA TA NQUE
ENTRA DA P LA NTA SEP A RA DOR A DOR DE LIQUIDOS V P A QUETES DE DE COM P RESIÓN P A QUETE SEP A RA DOR V-55001 FILTROS DE FILTROS DE V-55002 A -55001A /B /C V-55001 UNIDA DES
P A RTICULA S RECOLECTOR
DE LIQUIDOS V- FIL- DE
COM P RESIÓN 55001 P A RTICULA S P A RTICULA S GENERA CIÓN
A LB ERTO LOVERA DE LIQUIDOS V-55002 A -55001A /B /C/D DE COM P RESIÓN 55001A /B /C/D

DESCRIP CIÓN A -55001A /B /C/D FIL-55001A /B /C/D FIL-55001A /B /C/D A -41001/ 42001

FA SE GAS GAS GAS GAS GAS GAS GAS GAS GAS GAS GAS LÍQUIDO LÍQUIDO LÍQUIDO LÍQUIDO LÍQUIDO LÍQUIDO

P E N D IE N T E 2 P E N D IE N T E 2 P E N D IE N T E 2 P E N D IE N T E 2 P E N D IE N T E 2 P E N D IE N T E 2

TEM P ERA TURA °C 26,67 26,67 26,67 26,67 26,67 48,89 48,8 48,67 47,56 47,56 47,22 34 34 34 34 34 34

P RESIÓN barg 17,24 17,24 17,2 16,56 16,53 37,76 37,69 37,36 35,09 34,4 34,34 0,34 0,34 0,34 0,34 0,34 0,34

P ESO M OLECULA R 19,25 19,25 19,25 19,25 19,25 19,25 19,25 19,25 19,25 19,25 19,25 18,02 18,02 18,02 18,02 18,02 18,02
GHV IDEA L kJ/kg 249040 249040 249040 249040 249040 249040 249040 249040 249040 249040 249040 2276,42 2276,42 2276,42 2276,42 2276,42 2276,42
LHV IDEA L kJ/kg 40773 40773 40773 40773 40773 40773 40773 40773 40773 40773 40773 0 0 0 0 0 0
CA LOR ESP ECÍFICO, Cp kJ/kg-°C 2,068 2,068 2,053 2,053 2,053 2,207 2,207 2,205 2,205 2,2 2,194 4,31 4,31 4,31 4,31 4,31 4,31
RELA CIÓN Cp/Cv 1,35 1,35 1,35 1,35 1,35 1,393 1,394 1,393 1,393 1,391 1,389 1,15 1,15 1,15 1,15 1,15 1,15
FA CTOR DE COM P RESIB ILIDA D 0,952 0,952 0,948 0,948 0,948 0,923 0,923 0,923 0,923 0,923 0,926 N/A N/A N/A N/A N/A N/A
DENSIDA D kg/m3 14,93 14,93 14,97 15,21 15,19 30,415 30,42 30,14 30,13 29,58 28,94 1000,58 1000,58 1000,58 1000,58 1000,58 1000,58
DENSIDA D ESTÁ NDA R @ 15 °C, 1atm kg/m3 0,823 0,823 0,823 0,823 0,823 0,823 0,823 0,823 0,823 0,823 0,823 N/A N/A N/A N/A N/A N/A
VISCOSIDA D cP 0,012 0,012 0,012 0,012 0,012 0,0131 0,013 0,013 0,013 0,013 0,013 0,733 0,733 0,733 0,733 0,733 0,733
TEM P ERA TURA DE ROCÍO A LA P RESIÓN P °C -71,44 -71,44 -71,44 -71,11 -71,13 -57,57 -57,57 -57,73 -57,74 -58,05 -58,44 N/A N/A N/A N/A N/A N/A

FLUJO M Á SICO kg/h 81646,6 81646,6 81646,6 81646,6 40823,3 40823,3 81646,6 81646,6 40823,3 40823,3 40823,3 0 0 0 0 0 0
FLUJO M OLA R kgmo l/h 4206,7 4206,7 4206,7 4206,7 4206,7 2103,3 4206,7 4206,7 2103,4 2103,4 2103,4 0 0 0 0 0 0
CA UDA L VOLUM ÉTRICO A CTUA L m3/h 5937 5937 5937 5369 5373 1342,2 2684,5 2709,1 1354,7 1380,3 1410,3 0 0 0 0 0 0
CA UDA L VOLUM ÉTRICO ESTÁ NDA R Sm3/h 99658 99658 99658 97259 97259 49830 0 0 0 0 0 0
 IMPLEMENTACION DE LOS SISTEMAS INTRUMENTADOS DE
SEGURIDAD AL PARO SEGURO ASOCIADO A LOS SISTEMAS DE
PROCESO QUE CONSTITUYEN EL BALANCE DE PLANTA (BOP) EN
UNA PLANTA TERMOLECTRICA.

Anexo “F” Matriz de causa y efecto.

PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA 2000.01-100-I01-DT-0004
Rev. b

MATRIZ CAUSA-EFECTO

Rev. FECHA OBJETO ELABORÓ / BY REVISÓ/ REWD. APROBÓ/APVD.

DATE OBJECT Iniciales/Initials Iniciales/Initials Iniciales/Initials

a 20/01/10 Emisión para Revisión Interna ML FS JJV

b 17/02/10 Incorporación de Comentarios ML FS JJV

Internos

r
do
rra
Bo

2000.01-100-I01-DT-0004_Rev.b.doc//fs/ 1 de 16 PRE-ST-DOCUMENTO
 2000.01-100-I01-DT-0004
JP01-EPC-CT-010
PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA Rev.b
Página:
2 de 16

MATRIZ CAUSA-EFECTO

LISTA DE ENCLAVAMIENTOS Y NOTAS GENERALES

NOTAS GENERALES:

1: Acción del dispositivo activador del enclavamiento: I (En incremento), D (En decremento), A (Contacto Abierto), C (Contacto Cerrado), M (Contacto cerrado INTERRUPTORES PARA MANTENIMIENTO DEL ESD (MANUAL OVERRIDES)
momentáneo)
Interruptores para mantenimiento del ESD Interruptores para mantenimiento del ESD
2: Estado de la Salida: D (Des-energizado), E (Energizado), PH (Pulso activo por 3 Segundos), PD (Pulso inactivo por 3 segundos) , NA (Contacto de Rele Interruptor Instrumento (Entrada) Página
Interruptor Instrumento (Entrada) Página
Normalmente abierto), NC (Contacto de Relé Normalmente Cerrado), I (Salida Interna), 4mA , 20mA
HS-54001A LIT-54001 4 HS-55000DB ZSC-55000D 5
3. Todas las entradas externas generan un contacto de acuerdo a la acción generada y alarma que es enviada al BPCS via serial. HS-54004 PIT-54004 4 HS-55000DC ZSO-55000D 5
HS-54006 PIT-54006 4 HS-55000EB ZSC-55000E 5
4. Todas las señales de entrada de transmisores electrónicos son enviadas al BPCS via serial link. HS-54204A1 PIT-54204A 4 HS-55000EC ZSO-55000E 5
HS-54204B1 PIT-54204B 4 HS-55000FB ZSC-55000F 5

r
5. Función: 1oo2 (Votación 1 de 2), 2oo2 (Votación 2 de 2), XOR (or exclusivo), P (Permisivo) HS-54302 LIT-54302 4 HS-55000FC ZSO-55000F 5

do
HS-54310 LIT-54310 4 HS-55001D ZSC-55001 5
CONSIDERACIONES GENERALES: HS-54402 LIT-54402 4 HS-55001E ZSO-55001 5
HS-54403 PIT-54403 4 HS-55006B ZSC-55006 5
HS-54404 PIT-54404 4 HS-55006C ZSO-55006 5
1: El interruptor de mantenimiento hace by-pass a la señal de entrada para evitar paradas de planta no deseadas, sin embargo, no inhibe la detección y alarma del dispositivo. HS-54407 PIT-54407 4 HS-55007B ZSC-55007 5
HS-54408
HS 54408 PIT-54408
PIT 54408 4 HS-55007C
HS 55007C ZSO 55007
ZSO-55007 5

rra
2: Para cada interruptor de mantenimiento (HS) se enviará una señal de alarma al BPCS via serial (HA). HS-54705 PIT-54705 4 HS-55017B ZSC-55017 5
HS-54707A PIT-54707 4 HS-55017C ZSO-55017 5
HS-54708 LIT-54708 4 HS-55018B ZSC-55018 5
HS-55000A PDIT-55000A 4 HS-55018C ZSO-55018 5
HS-55000B PDIT-55000B 4 HS-55024B ZSC-55024 5
HS-55000C PDIT-55000C 4 HS-55024C ZSO-55024 5
ENCLAVAMIENTOS (INTERLOCK) HS-55000D PDIT-55000D 4 HS-55025B ZSC-55025 5

Bo
HS-55000E PDIT-55000E 4 HS-55025C ZSO-55025 5
Enclavamientos Generales Enclavamientos Generales HS-55000F PDIT-55000F 4 HS-55026B ZSC-55026 5
HS-55005A PDIT-55005A 4 HS-55026C ZSO-55026 5
Tag Descripción Página Tag Descripción Página
HS-55008B LIT-55008B 4
I-00001 Parada Total de Planta 6 I-55007 Válvula de Bloqueo y Venteo BDV-55007 16 HS-55009B LIT-55009B 4
I-00002 Interruptores de Mantenimiento 4,5 I-55008 Separador de Liquidos V-55001 12 HS-55010B LIT-55010B 4
I-41010 Unidad de Generación A-41001 9 I-55009 Camara Inferior Separador de Liquidos V-55002 12 HS-55011B LIT-55011B 4
I-42010 Unidad de Generación A-42001 9 I-55010 Camara Superior Separador de Liquidos V-55002 12 HS-55011C LIT-55011C 4
I-54010 Tanque de Recepción de Agua Potable T-54001 7 I-55011 Camara Superior Filtro de Partículas FIL-55001A 9,12 HS-55012B LIT-55012B 4
I-54011 Tanque de Almac. de Agua de servicios/SCI T-54301 7 I-55012 Camara Inferior Filtro de Partículas FIL-55001A 9,13 HS-55012C LIT-55012C 4
I-54020 Tanque de Recepción de Agua Potable T-54001 7 I-55013 Camara Superior Filtro de Partículas FIL-55001B 9,13 HS-55013B LIT-55013B 4
I-54022 Bomba de Suministro de Agua Potable P-54001A 7 I-55014 Camara Inferior Filtro de Partículas FIL-55001B 9,14 HS-55013C LIT-55013C 4
I-54023 Bomba de Suministro de Agua Potable P-54001B 7 I-55017 Gas de Entrada a Unidad de Medición ME-44001 14 HS-55014B LIT-55014B 4
I-54220 Sistema de Aire Comprimido 6,8 I-55018 Gas de Entrada a Unidad de Medición ME-44002 14 HS-55014C LIT-55014C 4
I-54310 Tanque de Agua Filtrada T-54304 7 I-55019 Gas de Entrada a Unidad de Medición ME-44001 / ME-44002 14 HS-55017 PDIT-55017 4
I-54320 Tanque de Almac. de Agua de servicios/SCI T-54301 7 I-55020 Camara Superior Filtro de Partículas FIL-55001C 9,14 HS-55018 PDIT-55018 4
I-54321 Bomba de Filtración P-54304A 7 I-55021 Camara Inferior Filtro de Partículas FIL-55001C 9,15 HS-55020B LIT-55020B 5
I-54322 Bomba de Filtración P-54304B 7 I-55022 Camara Superior Filtro de Partículas FIL-55001D 9,15 HS-55020C LIT-55020C 5
I-54323 Tanque de Agua Filtrada T-54304 7 I-55023 Camara Inferior Filtro de Partículas FIL-55001D 9,16 HS-55021B LIT-55021B 5
I-54402 Tanque de Agua Desmineralizada T-54401 8 I-55024 Camara Inferior Filtro de Partículas FIL-55001D 16 HS-55021C LIT-55021C 5
I-54403 Bomba de Agua Desmineralizada P-54401A 8 I-55025 Camara Inferior Filtro de Partículas FIL-55001D 16 HS-55022B LIT-55022B 5
I-54404 Bomba de Agua Desmineralizada P-54401B 8 I-55026 Camara Inferior Filtro de Partículas FIL-55001D 16 HS-55022C LIT-55022C 5
I-55000A Entrada de Gas a Paquete de Compresión A-55001A 10 I-55027 Camara Inferior Filtro de Partículas FIL-55001D 16 HS-55023B LIT-55023B 5
I-55000B Entrada de Gas a Paquete de Compresión A-55001B 10 HS-55023C LIT-55023C 5
I-55000C Entrada de Gas a Paquete de Compresión A-55001C 10 HS-55000AB ZSC-55000A 5
I-55001A Paquete de Compresión A-55001A 10 HS-55000AC ZSO-55000A 5
I-55001B Paquete de Compresión A-55001B 10 HS-55000BB ZSC-55000B 5
I-55001C Paquete de Compresión A-55001C 11 HS-55000BC ZSO-55000B 5
I-55005 Entrada de Gas a Separador de Liquidos V-55002 12 HS-55000CB ZSC-55000C 5
I-55006 Válvula de Bloqueo y Venteo BDV-55006 16 HS-55000CC ZSO-55000C 5
 2000.01-100-I01-DT-0004
JP01-EPC-CT-010
PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA Rev.b
Página:
3 de 16

MATRIZ CAUSA-EFECTO

FILOSOFIA DE OPERACIÓN DE LOS

INTERRUPTORES DE BYPASS (MOS)

La operación de los interruptores de Mantenimiento (MOS) será realizada como se indica:

1.- El Supervisor de Mantenimiento autorizará la activación de un MOS a partir del accionamiento de una (1) llave ubicada en el panel de botoneras de sala de control y cableada al Sistema de Parada de Emergencia (ESD). El accionamiento de la llave le
indica al sistema de paro de emergencia que se tiene una solicitud de procedimiento de bypass (MOS), una vez que el sistema da el permisivo para la realización del procedimiento enciende la luz azul identificada como IL-55001B y se prepara para recibir
desde el BPCS el comando del MOS especifico del instrumento para la ejecución del bypass.

r
2.- En el sistema de control debe existir la pantalla de operación para la ejecución del bypass de mantenimiento, con un (1) MOS por cada instrumento que genere paro en el sistema que no sea parte de un sistema de votación 2oo2 ó 2oo3. Para el caso de

do
los instrumentos que formen parte de una votación 2oo2, la activación del procedimiento de bypass (MOS) para cualquiera de los dos instrumentos que formen parte de la votación deberá generar una situación tal que, durante el tiempo en que el bypass
(MOS) se encuentre activado la configuración automáticamente funcione como un sistema 1oo2.

3.-- El operador seleccionará en la pantalla el MOS que aplica al instrumento ha realizarle el mantenimiento,
3 mantenimiento y el ESD procederá a bypasear el instrumento correspondiente y a encender la luz amarilla identificada como IL-55001A que indica que al menos un

rra
interruptor MOS se encuentra activado.

4.- La función de bypass solo inhibe el disparo generado por el instrumento, pero la alarma de disparo deben seguirse reportando en consola

5.- El tiempo de duración del bypass activo es ilimitado, siempre y cuando al llave de activación se encuentre en posición de permisivo

Bo
6.- Únicamente se podrá activar un (1) interruptor de mantenimiento (MOS) a la vez. El BPCS no debe permitir la activación de más de 1 bypass simultáneamente.

7.- Para desactivar el MOS, el operador verificará previamente que la alarma de disparo del instrumento ha retornado a su condición normal, antes de desactivar el bypass. Cuando no esté activo ningún bypass, se apagará la luz amarilla de bypass activo IL-
55001A. Posteriormente se deberá retornar la llave a su posición normal y el ESD apagará la luz azul IL-55001B indicando que no está permitido al operador activar los MOS.

8.- En caso de pérdida de comunicación entre el BPCS y el ESD, el operador podrá desactivar todos los MOS retornando la llave a su posición normal.
 PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA 2000.01-100-I01-DT-0004
Rev.b
Página:
4 de 16
SALIDAS (EFECTO)

2000.01-550-P04-PP-0001 H1

2000.01-550-P04-PP-0001 H1
P&ID
MATRIZ
CAUSE ANDCAUSA-EFECTO
EFFECT MATRIX
INTERRUPTORES
GENERALPARA MANTENIMIENTO
INTERLOCKS

al 1)
Estado Salida
a
(Nota Genera

E
TAG SALIDA

IL-55001B

IL-55001A
ENTRADAS (CAUSA)

Permisivo para Activar Interruptores

Activado al menos un Interruptores

de Mantenimiento - Luz Amarilla
de Mantenimiento - Luz Azul
DESCRIPCION

r
do
INICIADOR
ENCLAV. PUNTO DE AJUSTE DE ACCION (Nota TAG / TAG
TAG ENTRADA ACTIVADO ACTIVACION UNIDAD General 1) P&ID ALARMA DESCRIPCION NOTAS
Activar Interruptores para
HS-55001 I-00002 N/A 550 C 2000.01-550-P04-PP-0001 H1 HS-55001 X P 1
Mantenimiento (MOS)

rra
HS-54001A I-00002 N/A 540 C N/A HS-54001A Activar MOS de LIT-54001 X 1
HS-54004 I-00002 N/A 540 C N/A HS-54004 Activar MOS de PIT-54004 X 1
HS-54006 I-00002 N/A 540 C N/A HS-54006 Activar MOS de PIT-54006 X 1
HS-54204A1 I-00002 N/A 542 C N/A HS-54204A1 Activar MOS de PIT-54204A X 1
HS-54204B1 I-00002 N/A 542 C N/A HS-54204B1 Activar MOS de PIT-54204B X 1
HS-54302 I-00002 N/A 543 C N/A HS-54302 Activar MOS de LIT-54302 X 1
HS-54310 I-00002 N/A 543 C N/A HS-54310 Activar MOS de LIT-54310 X 1

Bo
HS-54402 I-00002 N/A 544 C N/A HS-54402 Activar MOS de LIT-54402 X 1
HS-54403 I-00002 N/A 544 C N/A HS-54403 Activar MOS de PIT-54403 X 1
HS-54404 I-00002 N/A 544 C N/A HS-54404 Activar MOS de PIT-54404 X 1
HS-54407 I-00002 N/A 544 C N/A HS-54407 Activar MOS de PIT-54407 X 1
HS-54408 I-00002 N/A 544 C N/A HS-54408 Activar MOS de PIT-54408 X 1
HS-54705 I-00002 N/A 547 C N/A HS-54705 Activar MOS de PIT-54705 X 1
HS-54707A I-00002 N/A 547 C N/A HS-54707A Activar MOS de PIT-54707 X 1
HS-54708 I-00002 N/A 547 C N/A HS-54708 Activar MOS de LIT-54708 X 1
HS-55000A I-00002 N/A 550 C N/A HS-55000A Activar MOS de PDIT-55000A X 1
HS-55000B I-00002 N/A 550 C N/A HS-55000B Activar MOS de PDIT-55000B X 1
HS-55000C I-00002 N/A 550 C N/A HS-55000C Activar MOS de PDIT-55000C X 1
HS-55000D I-00002 N/A 550 C N/A HS-55000D Activar MOS de PDIT-55000D X 1
HS-55000E I-00002 N/A 550 C N/A HS-55000E Activar MOS de PDIT-55000E X 1
HS-55000F I-00002 N/A 550 C N/A HS-55000F Activar MOS de PDIT-55000F X 1
HS-55005A I-00002 N/A 550 C N/A HS-55005A Activar MOS de PDIT-55005A X 1
HS-55008B I-00002 N/A 550 C N/A HS-55008B Activar MOS de LIT-55008B X 1
HS-55009B I-00002 N/A 550 C N/A HS-55009B Activar MOS de LIT-55009B X 1
HS-55010B I-00002 N/A 550 C N/A HS-55010B Activar MOS de LIT-55010B X 1
HS-55011B I-00002 N/A 550 C N/A HS-55011B Activar MOS de LIT-55011B X 1
HS-55011C I-00002 N/A 550 C N/A HS-55011C Activar MOS de LIT-55011C X 1
HS-55012B I-00002 N/A 550 C N/A HS-55012B Activar MOS de LIT-55012B X 1
HS-55012C I-00002 N/A 550 C N/A HS-55012C Activar MOS de LIT-55012C X 1
HS-55013B I-00002 N/A 550 C N/A HS-55013B Activar MOS de LIT-55013B X 1
HS-55013C I-00002 N/A 550 C N/A HS-55013C Activar MOS de LIT-55013C X 1
HS-55014B I-00002 N/A 550 C N/A HS-55014B Activar MOS de LIT-55014B X 1
HS-55014C I-00002 N/A 550 C N/A HS-55014C Activar MOS de LIT-55014C X 1
HS-55017 I-00002 N/A 550 C N/A HS-55017 Activar MOS de PDIT-55017 X 1
HS-55018 I-00002 N/A 550 C N/A HS-55018 Activar MOS de PDIT-55018 X 1
Notas:

1: El enclavamiento de Parada Total de Planta tiene prioridad sobre cualquier otro enclavamiento.
 PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA 2000.01-100-I01-DT-0004
Rev.b
Página:
5 de 16
SALIDAS (EFECTO)

2000.01-550-P04-PP-0001 H1

2000.01-550-P04-PP-0001 H1
P&ID
MATRIZ
CAUSE ANDCAUSA-EFECTO
EFFECT MATRIX
INTERRUPTORES
GENERALPARA MANTENIMIENTO
INTERLOCKS

(Nota General 1)
1
Estado Salida

E
TAG SALIDA

IL-55001B

IL-55001A
ENTRADAS (CAUSA)

Permisivo para Activar Interruptores

Activado al menos un Interruptores

de Mantenimiento - Luz Amarilla
de Mantenimiento - Luz Azul
DESCRIPCION

r
do
INICIADOR
PUNTO DE AJUSTE DE ACCION (Nota TAG / TAG
TAG ENTRADA ENCLAV. ACTIVADO ACTIVACION UNIDAD General 1) P&ID ALARMA DESCRIPCION NOTAS
Activar Interruptores para
HS-55001 I-00002 N/A 550 C 2000.01-550-P04-PP-0001 H1 HS-55001 X P 1
Mantenimiento (MOS)

HS-55020B I-00002 N/A 550 C N/A HS-55020B Activar MOS de LIT-55020B X 1

HS-55020C I-00002 N/A 550 C N/A HS-55020C Activar MOS de LIT-55020C X 1

rra
HS-55021B I-00002 N/A 550 C N/A HS-55021B Activar MOS de LIT-55021B X 1
HS-55021C I-00002 N/A 550 C N/A HS-55021C Activar MOS de LIT-55021C X 1
HS-55022B I-00002 N/A 550 C N/A HS-55022B Activar MOS de LIT-55022B X 1
HS-55022C I-00002 N/A 550 C N/A HS-55022C Activar MOS de LIT-55022C X 1
HS-55023B I-00002 N/A 550 C N/A HS-55023B Activar MOS de LIT-55023B X 1
HS-55023C I-00002 N/A 550 C N/A HS-55023C Activar MOS de LIT-55023C X 1
HS-55000AB I-00002 N/A 550 C N/A HS-55000AB Activar MOS de ZSC-55000A X

Bo
HS-55000AC I-00002 N/A 550 C N/A HS-55000AC Activar MOS de ZSO-55000A X
HS-55000BB I-00002 N/A 550 C N/A HS-55000BB Activar MOS de ZSC-55000B X
HS-55000BC I-00002 N/A 550 C N/A HS-55000BC Activar MOS de ZSO-55000B X
HS-55000CB I-00002 N/A 550 C N/A HS-55000CB Activar MOS de ZSC-55000C X
HS-55000CC I-00002 N/A 550 C N/A HS-55000CC Activar MOS de ZSO-55000C X
HS-55000DB I-00002 N/A 550 C N/A HS-55000DB Activar MOS de ZSC-55000D X
HS-55000DC I-00002 N/A 550 C N/A HS-55000DC Activar MOS de ZSO-55000D X
HS-55000EB I-00002 N/A 550 C N/A HS-55000EB Activar MOS de ZSC-55000E X
HS-55000EC I-00002 N/A 550 C N/A HS-55000EC Activar MOS de ZSO-55000E X
HS-55000FB I-00002 N/A 550 C N/A HS-55000FB Activar MOS de ZSC-55000F X
HS-55000FC I-00002 N/A 550 C N/A HS-55000FC Activar MOS de ZSO-55000F X
HS-55001D I-00002 N/A 550 C N/A HS-55001D Activar MOS de ZSC-55001 X
HS-55001E I-00002 N/A 550 C N/A HS-55001E Activar MOS de ZSO-55001 X
HS-55006B I-00002 N/A 550 C N/A HS-55006B Activar MOS de ZSC-55006 X
HS-55006C I-00002 N/A 550 C N/A HS-55006C Activar MOS de ZSO-55006 X
HS-55007B I-00002 N/A 550 C N/A HS-55007B Activar MOS de ZSC-55007 X
HS-55007C I-00002 N/A 550 C N/A HS-55007C Activar MOS de ZSO-55007 X
HS-55017B I-00002 N/A 550 C N/A HS-55017B Activar MOS de ZSC-55017 X
HS-55017C I-00002 N/A 550 C N/A HS-55017C Activar MOS de ZSO-55017 X
HS-55018B I-00002 N/A 550 C N/A HS-55018B Activar MOS de ZSC-55018 X
HS-55018C I-00002 N/A 550 C N/A HS-55018C Activar MOS de ZSO-55018 X
HS-55024B I-00002 N/A 550 C N/A HS-55024B Activar MOS de ZSC-55024 X
HS-55024C I-00002 N/A 550 C N/A HS-55024C Activar MOS de ZSO-55024 X
HS-55025B I-00002 N/A 550 C N/A HS-55025B Activar MOS de ZSC-55025 X
HS-55025C I-00002 N/A 550 C N/A HS-55025C Activar MOS de ZSO-55025 X
HS-55026B I-00002 N/A 550 C N/A HS-55026B Activar MOS de ZSC-55026 X
HS-55026C I-00002 N/A 550 C N/A HS-55026C Activar MOS de ZSO-55026 X

Notas:

1: El enclavamiento de Parada Total de Planta tiene prioridad sobre cualquier otro enclavamiento.
 PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA 2000.01-100-I01-DT-0004
Rev.b
Página:
6 de 16
SALIDAS (EFECTO)

2000.01-550-P04-PP-0001 H1
P&ID
MATRIZ
CAUSE ANDCAUSA-EFECTO
EFFECT MATRIX
PARO DE
GENERAL PLANTA
INTERLOCKS

al 1)
Estado Salida
a
(Nota Genera

D
TAG SALIDA

I-00001
ENTRADAS (CAUSA)

DESCRIPCION

Parada Total de Planta

r
do
PUNTO DE ACCION INICIADOR
ENCLAV. AJUSTE DE (Nota TAG / TAG
TAG ENTRADA ACTIVADO ACTIVACION UNIDAD Gen. 1) P&ID ALARMA DESCRIPCION NOTAS
HS-55000 I-00001 N/A 550 A 2000.01-550-P04-PP-0001 H1 HS-55000 Botón Parada de Emergencia X

PIT-54204A PALLL-54204
I-54220 PENDIENTE 542 D 2000 01-542-P04-PP-0003 H1
2000.01-542-P04-PP-0003 Muy Muy Baja Presión de Aire de Instrumentos a Red X
2oo2

rra
PIT-54204B

Bo

Notas:

1: El enclavamiento de Parada Total de Planta tiene prioridad sobre cualquier otro enclavamiento.
 PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA 2000.01-100-I01-DT-0004
Rev.b
Página:
7 de 16
SALIDAS (EFECTO)

2000.01-540-P04-PP-0001 H1

2000.01-540-P04-PP-0001 H1

2000.01-540-P04-PP-0001 H1

2000.01-540-P04-PP-0002 H1

2000.01-540-P04-PP-0002 H1

2000.01-540-P04-PP-0004 H1

2000.01-540-P04-PP-0004 H1

2000.01-540-P04-PP-0003 H1
P&ID
MATRIZ
CAUSE ANDCAUSA-EFECTO
EFFECT MATRIX
SISTEMA DE AGUA
GENERAL POTABLE
INTERLOCKS

eral 1)
Estado Saliida
(Nota Gene

D
TAG SALIDA

XO-54001A

XO-54001B

XO-54304A

XO-54304B

XO-54302A

XO-54302B

XO-54301
SV-54002
ENTRADAS (CAUSA)

Detiene Bomba de Suministro P-54001A

Detiene Bomba de Suministro P-54001B

Detiene Bomba de Filtración P-54304A

Detiene Bomba de Filtración P-54304B

Detiene Bombas Paquete de Filtración

Cierre Válvula de Entrada de Agua a

Detiene Bomba del Hidroneumático

Detiene Bomba del Hidroneumático

DESCRIPCION

r
T-54001 LV-54002

do
P-54301A/B
P-54302A

P-54302B
PUNTO DE ACCION INICIADOR
ENCLAV. AJUSTE DE (Nota TAG / TAG
TAG ENTRADA ACTIVADO ACTIVACION UNIDAD Gen. 1) P&ID ALARMA DESCRIPCION NOTAS
Muy Alto Nivel Tanque de Recepción de Agua Potable T-
LIT-54001 I-54010 3500 mm 540 I 2000.01-540-P04-PP-0001 H1 LAHH-54001 X 1
54001

Muy Bajo Nivel Tanque de Recepción de Agua Potable

LIT-54001 I-54020 610 mm 540 D 2000.01-540-P04-PP-0001 H1 LALL-54001 X X 1

rra
T-54001

Muy Alta Presión en la Linea de Descarga de la Bomba

PIT-54004 I-54022 PENDIENTE 540 I 2000.01-540-P04-PP-0001 H1 PAHH-54004 X 1
P-54001A

Muy Alta Presión en la Linea de Descarga de la Bomba

PIT-54006 I-54023 PENDIENTE 540 I 2000.01-540-P04-PP-0001 H1 PAHH-54006 X 1
P-54001B

Bo
Muy Alto Nivel en Tanque de Almac. Agua de Servicios /
LIT-54302 I-54011 8291 mm 540 I 2000.01-540-P04-PP-0002 H1 LAHH-54302 X X 1
SCI T-54301

Muy Bajo Nivel en Tanque de Almac. Agua de Servicios

LIT-54302 I-54320 5811 mm 540 D 2000.01-540-P04-PP-0002 H1 LALL-54302 X X 1
/ SCI T-54301

Muy Baja Presión en Linea de Succión Bomba de

PIT-54316 I-54321 PENDIENTE 540 D 2000.01-540-P04-PP-0002 H1 PALL-54316 X 1
Filtración P-54304A
Muy Alta Presión en Linea de Descarga Bomba de
PIT-54317 I-54321 PENDIENTE 540 I 2000.01-540-P04-PP-0002 H1 PAHH-54317 X 1
Filtración P-54304A

Muy Baja Presión en Linea de Succión Bomba de

PIT-54318 I-54322 PENDIENTE 540 D 2000.01-540-P04-PP-0002 H1 PALL-54318 X 1
Filtración P-54304B
Muy Alta Presión en Linea de Descarga Bomba de
PIT-54319 I-54322 PENDIENTE 540 I 2000.01-540-P04-PP-0002 H1 PAHH-54319 X 1
Filtración P-54304B

LIT-54310 I-54310 4167 mm 540 I 2000.01-540-P04-PP-0003 H2 LAHH-54310 Muy Alto Nivel en Tanque de Agua Filtrada T-54304 X X 1

LIT-54310 I-54323 679 mm 540 D 2000.01-540-P04-PP-0003 H2 LALL-54310 Muy Bajo Nivel en Tanque de Agua Filtrada T-54304 X X X 1

I-00001 I-00001 N/A 550 A N/A N/A PARADA TOTAL DE PLANTA X X X X X X X X

Notas:

1: El enclavamiento de Parada Total de Planta tiene prioridad sobre cualquier otro enclavamiento.
 PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA 2000.01-100-I01-DT-0004
Rev.b
Página:
8 de 16
SALIDAS (EFECTO)

2000.01-544-P04-PP-0002 H1

2000.01-544-P04-PP-0002 H1

2000.01-542-P04-PP-0002 H1

2000.01-542-P04-PP-0002 H1

2000.01-542-P04-PP-0003 H1
P&ID
MATRIZ
CAUSE CAUSA-EFECTO
AND EFFECT MATRIX
SISTEMAGENERAL
DE AGUAINTERLOCKS
DESMINERALIZADA /
SISTEMA DE AIRE COMPRIMIDO

(Nota General
Estado Salida

N/A
D

E
1)
TAG SALIDA

XO-54401A

XO-54401B

SV-54201B

SV-54201B

PAX-54204
ENTRADAS (CAUSA)

Reposición Válvula de Aire de servicio a

Cierra la Válvula de Aire de Servicio a
Detiene Bomba de Transferencia de

Detiene Bomba de Transferencia de

Agua Desmineralizada P-54401A

Agua Desmineralizada P-54401B

Discrepancia de Alarmas entre

DESCRIPCION

PIT-54204A y PIT-54204B

r
do
Red XV-54201

Red XV-54201
PUNTO DE ACCION
ENCLAV. AJUSTE DE (Nota INICIADOR TAG
TAG ENTRADA ACTIVADO ACTIVACION UNIDAD Gen. 1) P&ID / TAG ALARMA DESCRIPCION NOTAS
Muy Bajo Nivel Tanque de Agua Desmineralizada T-
LIT-54402 I-54402 640 mm 544 D 2000.01-544-P04-PP-0001 H1 LALL-54402 X X 1
54401

Muy Baja Presión en Linea de Succión Bomba de Agua

rra
PIT-54403 I-54403 PENDIENTE 544 D 2000.01-544-P04-PP-0002 H1 PALL-54403 X 1
Desmineralizada P-54401A
Muy Alta Presión en Linea de Succión Bomba de Agua
PIT-54404 I-54403 PENDIENTE 544 I 2000.01-544-P04-PP-0002 H1 PAHH-54404 X 1
Desmineralizada P-54401A

Muy Baja Presión en Linea de Succión Bomba de Agua

PIT-54407 I-54404 PENDIENTE 544 D 2000.01-544-P04-PP-0002 H1 PALL-54407 X 1
Desmineralizada P-54401A
Muy Alta Presión en Linea de Succión Bomba de Agua
PIT-54408 I-54404 PENDIENTE 544 I 2000.01-544-P04-PP-0002 H1 PAHH-54408 X 1
Desmineralizada P-54401B

Bo
PIT-54204A PENDIENTE 542 D 2000.01-542-P04-PP-0003H1 PALL-54204 1
I-54220 Muy Baja Presión de Aire de Instrumentos a Red X
2oo2
PIT-54204B PENDIENTE 542 D 2000.01-542-P04-PP-0003H1 1

PIT-54204A PENDIENTE 542 D 2000.01-542-P04-PP-0003H1 1

PAL-54204
I-54220 Presión Normal de Aire de Instrumentos a Red X
2oo2
PIT-54204B PENDIENTE 542 D 2000.01-542-P04-PP-0003H1 1

PIT-54204A PENDIENTE 542 D 2000.01-542-P04-PP-0003H1 1

PALL-54204
I-54220 Muy Baja Presión Aire Instrumentos a la Red X
PIT-54204B PENDIENTE 542 D 2000.01-542-P04-PP-0003H1 XOR 1

PIT 54204A
PIT-54204A PENDIENTE 542 D 2000 01 542 P04 PP 0003H1
2000.01-542-P04-PP-0003H1 1
PALLL-54204
I-54220 Muy Muy Baja Presión Aire Instrumentos a la Red X
XOR
PIT-54204B PENDIENTE 542 D 2000.01-542-P04-PP-0003H1 1

I-00001 I-00001 N/A 550 A N/A N/A PARADA TOTAL DE PLANTA X X X

Notas:

1: El enclavamiento de Parada Total de Planta tiene prioridad sobre cualquier otro enclavamiento.
 PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA 2000.01-100-I01-DT-0004
Rev.b
Página:
9 de 16
SALIDAS (EFECTO)

VEN326-YS18-MKY-013802

VEN326-YS18-MKY-013802

9727D22

9727D22
SIEMENS

SIEMENS

(64/79)

(64/79)
P&ID

H20

H20

SIEMENS

SIEMENS
MATRIZ
CAUSE ANDCAUSA-EFECTO
EFFECT MATRIX
SISTEMA DE GAS
GENERAL COMBUSTIBLE
INTERLOCKS

(Nota General 1)
Estado Salida

D
XO1T-CC391AD

XO2T-CC391AD
Detiene TXP Turbogenerador 1 A-41001 XO1T-CC391AE

Detiene TXP Turbogenerador 1 A-42001 XO2T-CC391AE

TAG SALIDA

del

del
ENTRADAS (CAUSA)

Circuito Maestro de Disparo

Circuito Maestro de Disparo

DESCRIPCION

Turbogenerador A-41001

Turbogenerador A-42001
PUNTO DE ACCION
ENCLAV. AJUSTE DE (Nota INICIADOR TAG

r
TAG ENTRADA ACTIVADO ACTIVACION UNIDAD Gen. 1) P&ID / TAG ALARMA DESCRIPCION NOTAS

HS-41001A I-41010 N/A 410 A 2000.01-550-P04-PP-0006 H1 HS-41001A Botón Parada Unidad de Generación A-41001 X X 1

do
No Abierta Válvula de Entrada de Gas Combustible a
ZSO-55017 I-41010 N/A 550 C 2000.01-550-P04-PP-0002 H1 ZIO-55017 1
Unidad de Generación A-41001
X X
Cerrada Válvula de Entrada de Gas Combustible a
ZSC-55017 I-41010 N/A 550 A 2000.01-550-P04-PP-0002 H1 ZIC-55017 1
Unidad de Generación A-41001

Muy Alto Nivel en Camara Superior Filtro de Partículas

LIT-55011B I-55011 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1
LAHH-55011
LAHH 55011 FIL-55001A
X X

rra
2oo2 Muy Alto Nivel en Camara Superior Filtro de Partículas
LIT-55011C I-55011 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1
FIL-55001A

Muy Alto Nivel en Camara Inferior Filtro de Partículas FIL-

LIT-55012B I-55012 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1
LAHH-55012 55001A
X X
2oo2 Muy Alto Nivel en Camara Inferior Filtro de Partículas FIL-
LIT-55012C I-55012 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1
55001A

Muy Alto Nivel en Camara Superior Filtro de Partículas

Bo
LIT-55013B I-55013 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1
LAHH-55013 FIL-55001B
X X
2oo2 Muy Alto Nivel en Camara Superior Filtro de Partículas
LIT-55013C I-55013 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1
FIL-55001B

Muy Alto Nivel en Camara Inferior Filtro de Partículas FIL-

LIT-55014B I-55014 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1
LAHH-55014 55001B
X X
2oo2 Muy Alto Nivel en Camara Inferior Filtro de Partículas FIL-
LIT-55014C I-55014 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1
55001B

HS-42001A I-42010 N/A 420 A 2000.01-550-P04-PP-0006 H1 HS-42001A Botón Parada Unidad de Generación A-42001 X X 1

No Abierta Válvula de Entrada de Gas Combustible a

ZSO-55018 I-42010 N/A 550 C 2000.01-550-P04-PP-0002 H1 ZIO-55018 1
Unidad de Generación A-42001
X X
Cerrada Válvula de Entrada de Gas Combustible a
ZSC-55018 I-42010 N/A 550 A 2000.01-550-P04-PP-0002 H1 ZIC-55018 1
Unidad de Generación A-42001

Muy Alto Nivel en Camara Superior Filtro de Partículas

LIT-55020B I-55020 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
LAHH-55020 FIL-55001C
X X
2oo2 Muy Alto Nivel en Camara Superior Filtro de Partículas
LIT-55020C I-55020 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
FIL-55001C

Muy Alto Nivel en Camara Superior Filtro de Partículas

LIT-55021B I-55021 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
LAHH-55021 FIL-55001C
X X
2oo2 Muy Alto Nivel en Camara Superior Filtro de Partículas
LIT-55021C I-55021 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
FIL-55001C

Muy Alto Nivel en Camara Superior Filtro de Partículas

LIT-55022B I-55022 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
LAHH-55022 FIL-55001D
X X
2oo2 Muy Alto Nivel en Camara Superior Filtro de Partículas
LIT-55022C I-55022 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
FIL-55001D

Muy Alto Nivel en Camara Inferior Filtro de Partículas FIL-

LIT-55023B I-55023 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
LAHH-55023 55001D
X X
2oo2 Muy Alto Nivel en Camara Inferior Filtro de Partículas FIL-
LIT-55023C I-55023 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
55001D

I-00001 I-00001 N/A 550 A N/A N/A PARADA TOTAL DE PLANTA X X X X

Notas:

1: El enclavamiento de Parada Total de Planta tiene prioridad sobre cualquier otro enclavamiento.
 PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA 2000.01-100-I01-DT-0004
Rev.b
Página:
10 de 16
SALIDAS (EFECTO)

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1
P&ID
MATRIZ
CAUSE ANDCAUSA-EFECTO
EFFECT MATRIX
SISTEMA DE GAS
GENERAL COMBUSTIBLE
INTERLOCKS

Nota General 1)
Salida

D
E

E
Estado
Es
(N
TAG SALIDA

XO-55001A

XO-55001B
SV-55000D
SV-55003B

SV-55000A

SV-55000A

SV-55004B

SV-55000B

SV-55000B

SV-55000E
Cierre Válvula de Cierre de Emerg. Salida

Cierre Válvula de Cierre de Emerg. Salida

Cierre Válvula de Cierre de Emerg. Línea

Cierre Válvula de Cierre de Emerg. Línea

ENTRADAS (CAUSA)

Apertura Válvula de Cierre de Emerg.

Apertura Válvula de Cierre de Emerg.

A-55000A
Línea de Entrada Gas a A-55000A

A-55000A

Línea de Entrada Gas a A-55000B

A-55000B

A-55000B
Cierre Válvula de Equalización Entrada

Cierre Válvula de Equalización Entrada

Detiene Paquete de Compresión

Detiene Paquete de Compresión

de Gas a A-55000A XVN-55003

de Gas a A-55000B XVN-55004

DESCRIPCION

a
Gas

Gas
de

de
Entrada

Entrada
SDV-55000D
SDV-55000A

SDV-55000A

SDV-55000B

SDV-55000B

SDV-55000E
A-55001A

A-55001B
PUNTO DE ACCION

r
ENCLAV. AJUSTE DE (Nota INICIADOR TAG

Gas

Gas
de

de
TAG ENTRADA ACTIVADO ACTIVACION UNIDAD Gen. 1) P&ID / TAG ALARMA DESCRIPCION NOTAS
X X X

do
HS-55001A I-55001A N/A 550 A 2000.01-550-P04-PP-0002 H1 HS-55001A Botón Parada de Compresor de Gas A-55001A 1

Presión de Entrada de Gas a Paquete de Compresión A-

PDIT-55000A I-55000A 0 Barg 550 D 2000.01-550-P04-PP-0002 H1 PDI-55000A X 1
55001A Equalizada

Abierta Válvula SDV-55000A Entrada del paquete A-

ZSO-55000A I-55000A N/A 550 A 2000.01-550-P04-PP-0002 H1 ZIO-55000A 1
55001A
X
No Cerrada Válvula SDV-55000A Entrada del paquete A-
ZSC-55000A
SC 55000 I-55000A
55000 N/A
/ 550 C 2000.01-550-P04-PP-0002
000 0 550 0 000 H1 ZIO-55000A
O 55000 1
55001A

rra
No Abierta Válvula SDV-55000A Entrada del paquete A-
ZSO-55000A I-55001A N/A 550 C 2000.01-550-P04-PP-0002 H1 ZIO-55000A 1
55001A
X X
Cerrada Válvula SDV-55000A Entrada del paquete A-
ZSC-55000A I-55001A N/A 550 A 2000.01-550-P04-PP-0002 H1 ZIC-55000A 1
55001A

Presión Diferencial Entrada de Gas a Paquete de

PDIT-55000A I-55001A PENDIENTE 550 I 2000.01-550-P04-PP-0002 H1 PDAH-55000A X X X 1
Compresión A-55001A

Bo
Presión Diferencial Salida de Gas de Paquete de
PDIT-55000D I-55001A PENDIENTE 550 I 2000.01-550-P04-PP-0002 H1 PDAH-55000D X X X 1
Compresión A-55001A

No Abierta Válvula SDV-55000D Salida Gas del paquete

ZSO-55000D I-55001A N/A 550 C 2000.01-550-P04-PP-0002 H1 ZIO-55000D 1
A-55001A
X X
Cerrada Válvula SDV-55000D Salida Gas del paquete A-
ZSC-55000D I-55001A N/A 550 A 2000.01-550-P04-PP-0002 H1 ZIC-55000A 1
55001A

HS-55001B I-55001B N/A 550 A 2000.01-550-P04-PP-0002 H1 HS-55001B Botón Parada de Compresor de Gas A-55001B X X X 1

Presión de Entrada de Gas a Paquete de Compresión A-

PDIT-55000B I-55000B 0 Barg 550 D 2000.01-550-P04-PP-0002 H1 PDI-55000B X 1
55001B Equalizada

Abierta Válvula SDV-55000B Entrada del paquete A-

ZSO-55000B I-55001B N/A 550 A 2000.01-550-P04-PP-0002 H1 ZIO-55000B 1
55001B
X
No Cerrada Válvula SDV-55000B Entrada del paquete A-
ZSC-55000B I-55001B N/A 550 C 2000.01-550-P04-PP-0002 H1 ZIC-55000B 1
55001B

No Abierta Válvula SDV-55000B Entrada del paquete A-

ZSO-55000B I-55001B N/A 550 C 2000.01-550-P04-PP-0002 H1 ZIO-55000B 1
55001B
X X
Cerrada Válvula SDV-55000B Entrada del paquete A-
ZSC-55000B I-55001B N/A 550 A 2000.01-550-P04-PP-0002 H1 ZIC-55000B 1
55001B

Presión Diferencial Entrada de Gas a Paquete de

PDIT-55000B I-550010B PENDIENTE 550 I 2000.01-550-P04-PP-0002 H1 PDAH-55000B X X X 1
Compresión A-55001B

No Abierta Válvula SDV-55000E Salida de Gas del

ZSO-55000E I-55001B N/A 550 C 2000.01-550-P04-PP-0002 H1 ZIO-55000E 1
paquete A-55001B
X X
Cerrada Válvula SDV-55000E Salida de Gas del paquete
ZSC-55000E I-55001B N/A 550 A 2000.01-550-P04-PP-0002 H1 ZIC-55000E 1
A-55001B

Presión Diferencial Salida de Gas de Paquete de

PDIT-55000E I-55001B PENDIENTE 550 I 2000.01-550-P04-PP-0002 H1 PDAH-55000E X X X 1
Compresión A-55001B

I-00001 I-00001 N/A 550 A N/A N/A PARADA TOTAL DE PLANTA X X X X X X

Notas:

1: El enclavamiento de Parada Total de Planta tiene prioridad sobre cualquier otro enclavamiento.
 PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA 2000.01-100-I01-DT-0004
Rev.b
Página:
11 de 16
SALIDAS (EFECTO)

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1
P&ID
MATRIZ
CAUSE ANDCAUSA-EFECTO
EFFECT MATRIX
SISTEMA DE GAS
GENERAL COMBUSTIBLE
INTERLOCKS

a General 1)
do Salida

D
E
Estad
(Nota
TAG SALIDA

XO-55001C

SV-55000C

SV-55000C
SV-55005B

SV-55000F
Cierre Válvula de Cierre de Emerg. Salida
Cierre Válvula de Cierre de Emerg. Línea
Cierre Válvula de Equalización Entrada de
ENTRADAS (CAUSA)

Apertura Válvula de Cierre de Emerg.

Línea de Entrada Gas a A-55000C

A-55000C

A-55000C
Detiene Paquete de Compresión
DESCRIPCION

Gas a A-55000C XVN-55005

Gas a

de
Entrada
SDV-55000C

SDV-55000C

SDV-55000F
A-55001C
PUNTO DE ACCION INICIADOR

r
ENCLAV. AJUSTE DE (Nota TAG / TAG

Gas
TAG ENTRADA ACTIVADO ACTIVACION UNIDAD Gen. 1) P&ID ALARMA DESCRIPCION

de
NOTAS

do
HS-55001C I-55001C N/A 550 A 2000.01-550-P04-PP-0002 H1 HS-55001C Botón Parada de Compresor de Gas A-55001C X X X 1

Presión Diferencial Entrada de Gas a Paquete de

PDIT-55000C I-55001C 0 Barg 550 D 2000.01-550-P04-PP-0002 H1 PDI-55000C X 1
Compresión A-55001C Equalizada

Abierta Válvula de Entrada de Gas Combustible a

ZSO-55000C I-55001C N/A 550 A 2000 01-550-P04-PP-0002 H1
2000.01-550-P04-PP-0002 ZIO-55000C 1
Paquete de Compresión A-55001C

rra
X
No Cerrada Válvula de Entrada de Gas Combustible a
ZSC-55000C I-55001C N/A 550 A 2000.01-550-P04-PP-0002 H1 ZIC-55000C 1
Paquete de Compresión A-55001C

Presión Diferencial Entrada de Gas a Paquete de

PDIT-55000C I-55001C PENDIENTE 550 D 2000.01-550-P04-PP-0002 H1 PDAH-55000C X X X 1
Compresión A-55001C

No Abierta Válvula de Entrada de Gas Combustible a

Bo
ZSO-55000C I-55001C N/A 550 C 2000.01-550-P04-PP-0002 H1 ZIO-55000C 1
Paquete de Compresión A-55001C
X X
Cerrada Válvula de Entrada de Gas Combustible a
ZSC-55000C I-55001C N/A 550 A 2000.01-550-P04-PP-0002 H1 ZIC-55000C 1
Paquete de Compresión A-55001C

Presión Diferencial Salida de Gas Combustible de

PDIT-55000F I-55001C PENDIENTE 550 I 2000.01-550-P04-PP-0002 H1 PDAH-55000F X X X 1
Paquete de Compresión A-55001C

No Abierta Válvula de Salida de Gas Combustible de

ZSO-55000F I-55001C N/A 550 C 2000.01-550-P04-PP-0002 H1 ZIO-55000F 1
Paquete de Compresión A-55001C
X X
Cerrada Válvula de Salida de Gas Combustible de
ZSC-55000F I-55001C N/A 550 A 2000.01-550-P04-PP-0002 H1 ZIC-55000F 1
Paquete de Compresión A-55001C

I-00001 I-00001 N/A 550 A N/A N/A PARADA TOTAL DE PLANTA X X X

Notas:

1: El enclavamiento de Parada Total de Planta tiene prioridad sobre cualquier otro enclavamiento.
 PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA 2000.01-100-I01-DT-0004
Rev.b
Página:
12 de 16
SALIDAS (EFECTO)

2000.01-550-P04-PP-0001 H1

2000.01-550-P04-PP-0001 H1

2000.01-550-P04-PP-0001 H1

2000.01-550-P04-PP-0003 H1

2000.01-550-P04-PP-0003 H1

2000.01-550-P04-PP-0001 H1

2000.01-550-P04-PP-0001 H1

2000.01-550-P04-PP-0001 H1

2000.01-550-P04-PP-0001 H1

2000.01-550-P04-PP-0004 H1

2000.01-550-P04-PP-0004 H1

2000.01-550-P04-PP-0004 H1
P&ID
MATRIZ
CAUSE ANDCAUSA-EFECTO
EFFECT MATRIX
SISTEMA DE GAS
GENERAL COMBUSTIBLE
INTERLOCKS

(Nota General 1)
Estado Salida

N/A
D

D
E
TAG SALIDA

SV-55002B

SV-55008B

SV-55008A

SV-55009B

SV-55009A

SV-55010B

SV-55010A

SV-55011A

SV-55011B

LAX-55011
SV-55001

SV-55001

Drenaje

Drenaje

Drenaje

Drenaje
Apertura Válvula de Cierre de Emerg.

Cierre Válvula de Cierre de Emerg. Línea

ENTRADAS (CAUSA)

Línea de Entrada Gas a V-55002

V-55002
Cierre Válvula de Equalización Linea de

Cierre de Válvula de Drenaje LV-55008

Cierre de Válvula de Drenaje LV-55009

Cierre de Válvula de Drenaje LV-55010

Cierre de Válvula de Drenaje LV-55011

Entrada de Gas a V-55002 XVN-55002

de

de

de

de

Discrepancia de Alarmas entre

a
DESCRIPCION

LIT-55011B y LIT-55011C
Válvula

Válvula

Válvula

Válvula
Entrada Gas

Apertura de

Apertura de

Apertura de

Apertura de
SDV-55001

SDV-55001

LV-55008

LV-55009

LV-55010

LV-55011
PUNTO DE ACCION
ENCLAV. AJUSTE DE (Nota Gen. INICIADOR TAG
TAG ENTRADA ACTIVADO ACTIVACION UNIDAD 1) P&ID / TAG ALARMA DESCRIPCION

de
NOTAS

r
Presión de Entrada de Gas a Separador V-55002
PDIT-55005 I-55005 0 Barg 550 D 2000.01-550-P04-PP-0001 H1 PDAL-55005 1
Equalizada

do
ZSC-55006 I-55005 N/A 550 A 2000.01-550-P04-PP-0002 ZIC-55006 Cerrada Válvula de Bloqueo y Venteo BDV-55006 1

No Abierta Válvula de Bloqueo y Venteo BDV-

ZSO-55006 I-55005 N/A 550 C 2000.01-550-P04-PP-0002 ZIO-55006 1
55006

ZSC-55007 I-55005 N/A 550 A 2000.01-550-P04-PP-0003 ZIC-55007 Cerrada Válvula de Bloqueo y Venteo BDV-55007 1

No Abierta Válvula de Bloqueo y Venteo

ZSO-55007 I-55005 N/A 550 C 2000.01-550-P04-PP-0003 ZIO-55007 1
BDV-55007

ZSC-55024 I-55005 N/A 550 A 2000.01-550-P04-PP-0006 ZIC-55024 Cerrada Válvula de Bloqueo y Venteo BDV-55024 X 1

No Abierta Válvula de Bloqueo y Venteo BDV-

rra
ZSO-55024 I-55005 N/A 550 C 2000.01-550-P04-PP-0006 ZIO-55024 1
55024

ZSC-55025 I-55005 N/A 550 A 2000.01-550-P04-PP-0006 ZIC-55025 Cerrada Válvula de Bloqueo y Venteo BDV-55025 1

No Abierta Válvula de Bloqueo y Venteo BDV-

ZSO-55025 I-55005 N/A 550 C 2000.01-550-P04-PP-0006 ZIO-55025 1
55025

ZSC-55026 I-55005 N/A 550 A 2000.01-550-P04-PP-0003 ZIC-55026 Cerrada Válvula de Bloqueo y Venteo BDV-55026 1

No Abierta Válvula de Bloqueo y Venteo BDV-

ZSO-55026 I-55005 N/A 550 C 2000.01-550-P04-PP-0003 ZIO-55026 1
55026

Bo
Abierta Válvula de Entrada de Gas a Planta SDV-
ZSO-55001 I-55005 N/A 550 A 2000.01-550-P04-PP-0002 ZIO-55001 1
55001
X
No Cerrada Válvula deEntrada de Gas a Planta
ZSC-55001 I-55005 N/A 550 C 2000.01-550-P04-PP-0002 ZIC-55001 1
SDV-55001

LIT-55008B I-55008 900 mm 550 I 2000.01-550-P04-PP-0003 H1 LAHH-55008 Muy Alto Nivel en Separador de Líquidos V-55001 X 1

LIT-55008B I-55008 150 mm 550 D 2000.01-550-P04-PP-0003 H1 LALL-55008 Muy Bajo Nivel en Separador de Líquidos V-55001 X 1

Alto Nivel en Camara Inferior de Separador de Líquidos V-

LIT-55009B I-55009 PENDIENTE 550 I 2000.01-550-P04-PP-0001 H1 LAHH-55009B X 1
55002
Muy Bajo Nivel en Camara Inferior de Separador de
LIT-55009B I-55009 PENDIENTE 550 D 2000.01-550-P04-PP-0001 H1 LALL-55009B X 1
Líquidos V-55002

Muy Alto Nivel en Camara Superior de Separador de

LIT-55010B I-55010 PENDIENTE 550 I 2000.01-550-P04-PP-0001 H1 LAHH-55010B X 1
Líquidos V-55002
Muy Bajo Nivel en Camara Superior de Separador de
LIT-55010B I-55010 PENDIENTE 550 D 2000.01-550-P04-PP-0001 H1 LALL-55010B X 1
Líquidos V-55002

Muy Alto Nivel en Camara Superior Filtro de Partículas

LIT-55011B I-55011 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1
LAH-55011 FIL-55001A
X
2oo2 Muy Alto Nivel en Camara Superior Filtro de Partículas
LIT-55011C I-55011 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1
FIL-55001A

Muy Bajo Nivel en Camara Superior Filtro de Partículas

LIT-55011B I-55011 PENDIENTE 550 D 2000.01-550-P04-PP-0004 H1 1
LALL-55011 FIL-55001A
X
2oo2 Muy Bajo Nivel en Camara Superior Filtro de Partículas
LIT-55011C I-55011 PENDIENTE 550 D 2000.01-550-P04-PP-0004 H1 1
FIL-55001A

LIT-55011B PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 LAHH-55011 Muy Alto Nivel en Camara Superior Filtro de Partículas 1
I-55011 X
XOR FIL-55001A
LIT-55011C PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1

LIT-55011B PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 LAH-55011 Alto Nivel en Camara Superior Filtro de Partículas FIL- 1
I-55011 X
XOR 55001A
LIT-55011C PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1

LIT-55011B PENDIENTE 550 D 2000.01-550-P04-PP-0004 H1 LALL-55011 Muy Bajo Nivel en Camara Superior Filtro de Partículas 1
I-55011 X
LIT-55011C PENDIENTE 550 D 2000.01-550-P04-PP-0004 H1 XOR FIL-55001A 1

I-00001 I-00001 N/A 550 A N/A N/A PARADA TOTAL DE PLANTA X X X X X

Notas:

1: El enclavamiento de Parada Total de Planta tiene prioridad sobre cualquier otro enclavamiento.
 PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA 2000.01-100-I01-DT-0004
Rev.b
Página:
13 de 16
SALIDAS (EFECTO)

2000.01-550-P04-PP-0004 H1

2000.01-550-P04-PP-0004 H1
2000.01-550-P04-PP-0004

2000.01-550-P04-PP-0004

2000.01-550-P04-PP-0004

2000.01-550-P04-PP-0004
P&ID

H1

H1

H1

H1
MATRIZ
CAUSE ANDCAUSA-EFECTO
EFFECT MATRIX
SISTEMA DE GAS
GENERAL COMBUSTIBLE
INTERLOCKS

(Nota General
Estado Salida

N/A

N/A
D

D
1)
TAG SALIDA

SV-55012A

SV-55012B

SV-55013B

SV-55013A
LAX-55012

LAX-55013
ENTRADAS (CAUSA)

Drenaje

Drenaje

Cierre de Válvula de Drenaje LV-55013

Cierre de Válvula de Drenaje LV-55012

Discrepancia de Alarmas entre

Discrepancia de Alarmas entre

de

de
DESCRIPCION

LIT-55012B y LIT-55012C

LIT-55013B y LIT-55013C
Válvula

Válvula

r
do
Apertura de

Apertura de
LV-55012

LV-55013
PUNTO DE ACCION
ENCLAV. AJUSTE DE (Nota INICIADOR TAG
TAG ENTRADA ACTIVADO ACTIVACION UNIDAD Gen. 1) P&ID / TAG ALARMA DESCRIPCION NOTAS
Alto Nivel en Camara Inferior Filtro de Partículas FIL-
LIT-55012B I-55012 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1
LAH-55012 55001A
X
2oo2 Alto Nivel en Camara Inferior Filtro de Partículas FIL-
LIT-55012C I-55012 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1
55001A

rra
Muy Bajo Nivel en Camara Inferior Filtro de Partículas
LIT-55012B I-55012 PENDIENTE 550 D 2000.01-550-P04-PP-0004 H1 1
LALL-55012 FIL-55001A
X
2oo2 Muy Bajo Nivel en Camara Inferior Filtro de Partículas
LIT-55012C I-55012 PENDIENTE 550 D 2000.01-550-P04-PP-0004 H1 1
FIL-55001A

LIT-55012B PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 LAHH-55012 Muy Alto Nivel en Camara Inferior Filtro de Partículas 1
I-55012 X
XOR FIL-55001A

Bo
LIT-55012C PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1

LIT-55012B PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 LAH-55012 Alto Nivel en Camara Inferior Filtro de Partículas 1
I-55012 X
XOR FIL-55001A
LIT-55012C PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1

LIT-55012B PENDIENTE 550 D 2000.01-550-P04-PP-0004 H1 LALL-55012 Muy Bajo Nivel en Camara Inferior Filtro de Partículas 1
I-55012 X
LIT-55012C PENDIENTE 550 D 2000.01-550-P04-PP-0004 H1 XOR FIL-55001A 1

Alto Nivel en Camara Superior Filtro de Partículas FIL-

LIT-55013B I-55013 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1
LAH-55013 55001B
X
2oo2 Alto Nivel en Camara Superior Filtro de Partículas FIL-
LIT-55013C I-55013 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1
55001B

Muy Bajo Nivel en Camara Superior Filtro de Partículas

LIT-55013B I-55013 PENDIENTE 550 D 2000.01-550-P04-PP-0004 H1 1
LALL-55013 FIL-55001B
X
2oo2 Muy Bajo Nivel en Camara Superior Filtro de Partículas
LIT 55013C
LIT-55013C I 55013
I-55013 PENDIENTE 550 D 2000 01 550 P04 PP 0004 H1
2000.01-550-P04-PP-0004 1
FIL-55001B

LIT-55013B PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 LAHH-55013 Muy Alto Nivel en Camara Superior Filtro de Partículas 1
I-55013 X
LIT-55013C PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 XOR FIL-55001B 1

LIT-55013B PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 LAH-55013 Alto Nivel en Camara Superior Filtro de Partículas 1
I-55013 X
XOR FIL-55001B
LIT-55013C PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1

LIT-55013B PENDIENTE 550 D 2000.01-550-P04-PP-0004 H1 LALL-55013 Muy Bajo Nivel en Camara Inferior Filtro de Partículas 1
I-55013 X
LIT-55013C PENDIENTE 550 D 2000.01-550-P04-PP-0004 H1 XOR FIL-55001B 1

I-00001 I-00001 N/A 550 A N/A N/A PARADA TOTAL DE PLANTA X X

Notas:

1: El enclavamiento de Parada Total de Planta tiene prioridad sobre cualquier otro enclavamiento.
 PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA 2000.01-100-I01-DT-0004
Rev.b
Página:
14 de 16
SALIDAS (EFECTO)

2000.01-550-P04-PP-0004 H1

2000.01-550-P04-PP-0004 H1

2000.01-550-P04-PP-0004 H1

2000.01-550-P04-PP-0003 H1

2000.01-550-P04-PP-0003 H1

2000.01-550-P04-PP-0003 H1

2000.01-550-P04-PP-0003 H1

2000.01-550-P04-PP-0003 H1

2000.01-550-P04-PP-0003 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0005 H1

2000.01-550-P04-PP-0005 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0002 H1
2000.01-550-P04-PP-0005H1
P&ID
MATRIZ
CAUSE ANDCAUSA-EFECTO
EFFECT MATRIX
SISTEMA DE GAS
GENERAL COMBUSTIBLE
INTERLOCKS

ota General 1)
tado Salida

N/A

N/A
D

D
E

E
Esta
(No
TAG SALIDA

XO-55001C
XO-55001A

XO-55001B

SV-55000D

SV-55000C
SV-55014B

SV-55014A

SV-55015B

SV-55016B

SV-55020A

SV-55020B

SV-55000A

SV-55000B

SV-55000E

SV-55000F
LAX-55014

LAX-55020
SV-55017

SV-55017

SV-55018

SV-55018
Apertura Válvula de Cierre de Emergencia

Cierre Válvula de Cierre de Emerg. Salida

Cierre Válvula de Cierre de Emerg. Salida

Cierre Válvula de Cierre de Emerg. Salida

Cierre Válvula de Cierre de Emergencia

Apertura Válvula de Cierre de Emergencia

Cierre Válvula de Cierre de Emergencia

Drenaje

Drenaje

Cierre Válvula de Cierre de Emerg. Línea

Cierre Válvula de Cierre de Emerg. Línea

Cierre Válvula de Cierre de Emerg. Línea

ENTRADAS (CAUSA)

A-55000A
A-55000A

A-55000B

A-55000C

A-55000C
A-55000C
Cierre de Válvula de Drenaje LV-55020
Cierre de Válvula de Drenaje LV-55014

Detiene Paquete de Compresión

Detiene Paquete de Compresión

Detiene Paquete de Compresión

de

de
Discrepancia de Alarmas entre

Discrepancia de Alarmas entre

Cierre Válvula de Equalización

Cierre Válvula de Equalización

DESCRIPCION

a
LIT-55014B y LIT-55014C

LIT-55020B y LIT-55020C
Válvula

Válvula

Gas

Gas

Gas
de

de

de
de

de

Entrada

Entrada

Entrada
SDV-55000D

SDV-55000C
SDV-55000A

SDV-55000B

SDV-55000E

SDV-55000F
XVN-55015

SDV-55017

SDV-55017

XVN-55016

SDV-55018

SDV-55018

A-55001C
A-55001A

A-55001B
LV-55014

LV-55020
Apertura

Apertura
PUNTO DE ACCION INICIADOR

r
ENCLAV. AJUSTE DE (Nota TAG / TAG

Gas

Gas

Gas
TAG ENTRADA ACTIVADO ACTIVACION UNIDAD Gen. 1) P&ID ALARMA DESCRIPCION

de

de

de
NOTAS
Alto Nivel en Camara Inferior Filtro de Partículas
LIT-55014B I-55014 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1

do
LAH-55014 FIL-55001B
X
2oo2 Alto Nivel en Camara Inferior Filtro de Partículas
LIT-55014C I-55014 PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1
FIL-55001B

Muy Bajo Nivel en Camara Inferior Filtro de Partículas

LIT-55014B I-55014 PENDIENTE 550 D 2000.01-550-P04-PP-0004 H1 1
LALL-55014 FIL-55001B
X
2oo2 Muy Bajo Nivel en Camara Inferior Filtro de Partículas
LIT-55014C I-55014 PENDIENTE 550 D 2000.01-550-P04-PP-0004 H1 1
FIL-55001B

LIT-55014B PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 1

rra
LAHH-55014 Muy Alto Nivel en Camara Inferior Filtro de Partículas
I-55014 X
LIT-55014C PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 XOR FIL-55001B 1

LIT-55014B PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 LAH-55014 Alto Nivel en Camara Inferior Filtro de Partículas FIL- 1
I-55014 X
LIT-55014C PENDIENTE 550 I 2000.01-550-P04-PP-0004 H1 XOR 55001B 1

LIT-55014B PENDIENTE 550 D 2000.01-550-P04-PP-0004 H1 LALL-55014 Muy Bajo Nivel en Camara Inferior Filtro de Partículas 1
I-55014 X
LIT-55014C PENDIENTE 550 D 2000.01-550-P04-PP-0004 H1 XOR FIL-55001B 1

Bo
Presión de Gas Entrada a Unidad de Medición ME-
PDIT-55017 I-55017 0 Barg 550 D 2000.01-550-P04-PP-0003 H1 PDI-55017 X 1
44001 Equalizada
Abierta Válvula de Entrada de Gas a Unidad de
ZSO-55017 I-55017 N/A 550 A 2000.01-550-P04-PP-0002 H1 ZIO-55017 1
Generación A-41001
X
No Cerrada Válvula de Entrada de Gas a Unidad de
ZSC-55017 I-55017 N/A 550 C 2000.01-550-P04-PP-0002 H1 ZIC-55017 1
Generación A-41001

Presión de Gas Entrada a Unidad de Medición ME-

PDIT-55018 I-55018 0 Barg 550 D 2000.01-550-P04-PP-0003 H1 PDAL-55018 X 1
44002 Equalizada
Abierta Válvula de Entrada de Gas a Unidad de
ZSO-55018 I-55018 N/A 550 A 2000.01-550-P04-PP-0002 H1 ZIO-55018 1
Generación A-42001
X
No Cerrada Válvula de Entrada de Gas a Unidad de
ZSc-55018 I-55018 N/A 550 A 2000.01-550-P04-PP-0002 H1 ZIO-55018 1
Generación A-42001

Presión Diferencial Gas Entrada a Unidad de Medición

PDIT-55017 I-55019 PENDIENTE 550 I 2000.01-550-P04-PP-0003 H1 PDAH-55017 1
ME-44001
X X X X X X X X X
Presión Diferencial Gas Entrada a Unidad de Medición
PDIT-55018 I-55019 PENDIENTE 550 I 2000.01-550-P04-PP-0003 H1 PDAH-55018 1
ME-44002

Alto Nivel en Camara Superior Filtro de Partículas FIL-

LIT-55020B I-55020 PENDIENTE 550 I 2000 01-550-P04-PP-0005 H1
2000.01-550-P04-PP-0005 1
LAH-55020 55001C
X
2oo2 Alto Nivel en Camara Superior Filtro de Partículas FIL-
LIT-55020C I-55020 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
55001C

Muy Bajo Nivel en Camara Superior Filtro de Partículas

LIT-55020B I-55020 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
LALL-55020 FIL-55001C
X
2oo2 Muy Bajo Nivel en Camara Superior Filtro de Partículas
LIT-55020C I-55020 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
FIL-55001C

LIT-55020B PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 LAHH-55020 Muy Alto Nivel en Camara Superior Filtro de Partículas 1
I-55020 X
XOR FIL-55001C
LIT-55020C PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1

LIT-55020B PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 LAH-55020 Alto Nivel en Camara Superior Filtro de Partículas FIL- 1
I-55020 X
XOR 55001C
LIT-55020C PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1

LIT-55020B PENDIENTE 550 D 2000.01-550-P04-PP-0005 H1 LALL-55020 Muy Bajo Nivel en Camara Superior Filtro de Partículas 1
I-55020 X
XOR FIL-55001C
LIT-55020C PENDIENTE 550 D 2000.01-550-P04-PP-0005 H1 1

I-00001 I-00001 N/A 550 A N/A N/A PARADA TOTAL DE PLANTA X X X X X X X X X X X X X

Notas:

1: El enclavamiento de Parada Total de Planta tiene prioridad sobre cualquier otro enclavamiento.
 PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA 2000.01-100-I01-DT-0004
Rev.b
Página:
15 de 16
SALIDAS (EFECTO)

2000.01-550-P04-PP-0005 H1

2000.01-550-P04-PP-0005 H1
2000.01-550-P04-PP-0005

2000.01-550-P04-PP-0005

2000.01-550-P04-PP-0005

2000.01-550-P04-PP-0005
P&ID

H1

H1

H1

H1
MATRIZ
CAUSE ANDCAUSA-EFECTO
EFFECT MATRIX
SISTEMA DE GAS
GENERAL COMBUSTIBLE
INTERLOCKS

(Nota General
Estado Salida

N/A

N/A
D

D
1)
TAG SALIDA

SV-55013B

SV-55021A

SV-55022B

SV-55022A
LAX-55021

LAX-55022
ENTRADAS (CAUSA)

Drenaje

Drenaje
Cierre de Válvula de Drenaje LV-55021

Cierre de Válvula de Drenaje LV-55022

Discrepancia de Alarmas entre

Discrepancia de Alarmas entre

de

de
DESCRIPCION

LIT-55021B y LIT-55021C

LIT-55022B y LIT-55022C
Válvula

Válvula

r
Apertura de

Apertura de

do
LV-55021

LV-55022
PUNTO DE ACCION
ENCLAV. AJUSTE DE (Nota INICIADOR TAG
TAG ENTRADA ACTIVADO ACTIVACION UNIDAD Gen. 1) P&ID / TAG ALARMA DESCRIPCION NOTAS
Alto Nivel en Camara Superior Filtro de Partículas FIL-
LIT-55021B I-55021 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
LAH-55021 55001C
X
2oo2 Alto Nivel en Camara Superior Filtro de Partículas FIL-
LIT-55021C I-55021 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
55001C

rra
Muy Bajo Nivel en Camara Superior Filtro de Partículas
LIT-55021B I-55021 PENDIENTE 550 D 2000.01-550-P04-PP-0005 H1 1
LALL-55021 FIL-55001C
X
2oo2 Muy Bajo Nivel en Camara Superior Filtro de Partículas
LIT-55021C I-55021 PENDIENTE 550 D 2000.01-550-P04-PP-0005 H1 1
FIL-55001C

LIT-55021B PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 LAHH-55021 Muy Alto Nivel en Camara Inferior Filtro de Partículas 1
I-55021 X
XOR FIL-55001C
LIT-55021C PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1

Bo
LIT-55021B PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
LAH-55021 Alto Nivel en Camara Inferior Filtro de Partículas FIL-
I-55021 X
XOR 55001C
LIT-55021C PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1

LIT-55021B PENDIENTE 550 D 2000.01-550-P04-PP-0005 H1 LALL-55021 Muy Bajo Nivel en Camara Inferior Filtro de Partículas 1
I-55021 X
XOR FIL-55001C
LIT-55021C PENDIENTE 550 D 2000.01-550-P04-PP-0005 H1 1

Alto Nivel en Camara Superior Filtro de Partículas FIL-

LIT-55022B I-55022 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
LAH-55022 55001D
X
2oo2 Alto Nivel en Camara Superior Filtro de Partículas FIL-
LIT-55022C I-55022 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
55001D

Muy Bajo Nivel en Camara Superior Filtro de Partículas

LIT-55022B I-55022 PENDIENTE 550 D 2000.01-550-P04-PP-0005 H1 1
LALL-55022 FIL-55001D
X
2oo2 Muy Bajo Nivel en Camara Superior Filtro de Partículas
LIT-55022C I-55022 PENDIENTE 550 D 2000.01-550-P04-PP-0005 H1 1
FIL-55001D

LIT-55022B PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 LAHH-55022 Muy Alto Nivel en Camara Superior Filtro de Partículas 1
I-55022 X
LIT-55022C PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 XOR FIL-55001D 1

LIT-55022B PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 LAH-55022 Alto Nivel en Camara Superior Filtro de Partículas FIL- 1
I-55022 X
LIT-55022C PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 XOR 55001D 1

LIT-55022B PENDIENTE 550 D 2000.01-550-P04-PP-0005 H1 LALL-55022 Muy Alto Nivel en Camara Superior Filtro de Partículas 1
I-55022 X
LIT-55022C PENDIENTE 550 D 2000.01-550-P04-PP-0005 H1 XOR FIL-55001D 1

I-00001 I-00001 N/A 550 A N/A N/A PARADA TOTAL DE PLANTA X X

Notas:

1: El enclavamiento de Parada Total de Planta tiene prioridad sobre cualquier otro enclavamiento.
 PLANTA DE GENERACIÓN ELÉCTRICA ALBERTO LOVERA 2000.01-100-I01-DT-0004
Rev.b
Página:
16 de 16
SALIDAS (EFECTO)

2000.01-550-P04-PP-0005 H1

2000.01-550-P04-PP-0005 H1

2000.01-550-P04-PP-0005 H1

2000.01-550-P04-PP-0002 H1

2000.01-550-P04-PP-0003 H1

2000.01-550-P04-PP-0006 H1

2000.01-550-P04-PP-0006 H1

2000.01-550-P04-PP-0003 H1

2000.01-550-P04-PP-0001 H1
P&ID
MATRIZ
CAUSE ANDCAUSA-EFECTO
EFFECT MATRIX
SISTEMA DE GAS
GENERAL COMBUSTIBLE
INTERLOCKS

Nota General 1)
stado Salida

N/A
D

D
(No
Es
TAG SALIDA

SV-55023A

SV-55023B

LAX-55023

SV-55006

SV-55007

SV-55024

SV-55025

SV-55026

SV-55027
ENTRADAS (CAUSA)

Drenaje

Apertura Válvula de Gas de Purga a

Apertura de Válvula de Bloqueo y Venteo

Apertura de Válvula de Bloqueo y Venteo

Apertura de Válvula de Bloqueo y Venteo

Apertura de Válvula de Bloqueo y Venteo

Apertura de Válvula de Bloqueo y Venteo

Cabezal de Alivio y Venteo XVN-55027

Cierre de Válvula de Drenaje LV-55023

Discrepancia de Alarmas entre

de
DESCRIPCION

LIT-55023B y LIT-55023C
Válvula
Apertura de

BDV-55006

BDV-55007

BDV-55024

BDV-55025

BDV-55026
LV-55023
PUNTO DE ACCION

r
ENCLAV. AJUSTE DE (Nota INICIADOR TAG
TAG ENTRADA ACTIVADO ACTIVACION UNIDAD Gen. 1) P&ID / TAG ALARMA DESCRIPCION NOTAS
Alto Nivel en Camara Inferior Filtro de Partículas FIL-

do
LIT-55023B I-55023 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
LAH-55023 55001D
X
2oo2 Alto Nivel en Camara Inferior Filtro de Partículas FIL-
LIT-55023C I-55023 PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
55001D

Muy Bajo Nivel en Camara Inferior Filtro de Partículas

LIT-55023B I-55023 PENDIENTE 550 D 2000.01-550-P04-PP-0005 H1 1
LALL-55023 FIL-55001D
X
2oo2 Muy Bajo Nivel en Camara Inferior Filtro de Partículas
LIT-55023C I-55023 PENDIENTE 550 D 2000.01-550-P04-PP-0005 H1 1
FIL-55001D

rra
LIT-55023B PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1
LAHH-55023 Muy Alto Nivel en Camara Inferior Filtro de Partículas FIL-
I-55023 X
XOR 55001D
LIT-55023C PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 1

LIT-55023B PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 LAH-55023 Alto Nivel en Camara Inferior Filtro de Partículas 1
I-55023 X
LIT-55023C PENDIENTE 550 I 2000.01-550-P04-PP-0005 H1 XOR FIL-55001D 1

Bo
LIT-55023B PENDIENTE 550 D 2000.01-550-P04-PP-0005 H1 LALL-55023 Muy Bajo Nivel en Camara Inferior Filtro de Partículas 1
I-55023 X
LIT-55023C PENDIENTE 550 D 2000.01-550-P04-PP-0005 H1 XOR FIL-55001D 1

Botón de Apertura Remota Válvula de Bloqueo y Venteo

HS-55006 I-55006 N/A 550 A N/A HS-55006 X 1, 2
BDV-55006
Botón de Apertura Local Válvula de Bloqueo y Venteo
HS-55006A I-55006 N/A 550 A N/A HS-55006A X 1, 2
BDV-55006

Botón de Apertura Remota Válvula de Bloqueo y Venteo

HS-55007 I-55007 N/A 550 A N/A HS-55007 X 1, 2
BDV-55007
Botón de Apertura Local Válvula de Bloqueo y Venteo
HS-55007A I-55007 N/A 550 A N/A HS-55007A X 1, 2
BDV-55007

Botón de Apertura Remota Válvula de Bloqueo y Venteo

HS-55024 I-55024 N/A 550 A N/A HS-55024 X 1, 2
BDV-55024
Botón de Apertura Local Válvula de Bloqueo y Venteo
HS-55024A I-55024 N/A 550 A N/A HS-55024A X 1, 2
BDV-55024

Botón de Apertura Remota Válvula de Bloqueo y Venteo

HS-55025 I-55025 N/A 550 A N/A HS-55025 X 1, 2
BDV-55025
Botón de Apertura Local Válvula de Bloqueo y Venteo
HS-55025A I-55025 N/A 550 A N/A HS-55025A X 1,2
BDV-55025

Botón de Apertura Local Válvula de Bloqueo y Venteo

HS-55026 I-55026 N/A 550 A N/A HS-55026 X 1, 2
BDV-55026
Botón de Apertura Local Válvula de Bloqueo y Venteo
HS-55026A I-55026 N/A 550 A N/A HS-55026A X 1, 2
BDV-55026

Cerrada Válvula de Entrada de Gas a Planta

ZSC-55001 I-55027 N/A 550 A 2000.01-550-P04-PP-0002 ZIC-55001 1
SDV-55001
X
No Abierta Válvula deEntrada de Gas a Planta
ZSO-55001 I-55027 N/A 550 C 2000.01-550-P04-PP-0002 ZIC-55001 1
SDV-55001

I-00001 I-00001 N/A 550 A N/A N/A PARADA TOTAL DE PLANTA X X X X X X X

Notas:

1. El enclavamiento de Parada Total de Planta tiene prioridad sobre cualquier otro enclavamiento.
2. Las Válvulas de Bloqueo y Venteo (BDV's) deberán abrir de 30 seg a 1 min. Luego de recibido el comando de apertura, a fin de asegurase que todas las válvulas de Cierre de Emergencia (SDV's) hayan Cerrado.