Et-045-Pemex-2019 Determinación Del Nivel de Integridad de Seguridad de Los Sistemas Instrumentados de Seguridad

GERENCIA DE INGENIERÍA Y COSTOS - SUBDIRECCIÓN DE PROYECTOS INDUSTRIALES ET-045-PEMEX-2019
20/06/2019 Rev. 0
Especificación Técnica
“Sistemas Instrumentados de Seguridad” Hoja 1 de 89
Especificación Técnica Particular

Proyecto: “Refinería Dos Bocas”
“Sistemas Instrumentados de Seguridad”
Elaboró Revisó Aprobó

Ing. Karina Arzate Velazquez Ing. Fernando Parga Bozada Ing. Olga Marta Monterrubio Chavolla
Ing. Alejandro Morales Silva Subgerente de Instrumentación y Control e Gerente de Ingeniería y Costos
Especialista Instrumentación y Control Ingeniería Eléctrica
Petróleos Mexicanos Todos los derechos reservados Prohibida su reproducción parcial o total sin la autorización por escrito de Petróleos Mexicanos a través de las áreas
Pemex Transformación Industrial - Subdirección de Proyectos Industriales correspondientes
Avenida Marina Nacional #329, Torre Ejecutiva Piso 7
Col. Verónica Anzures, Del. Miguel Hidalgo, C.P. 11300, Ciudad de México.
20/06/2019 Rev. 0

SECCIÓN DE CAMBIOS
Estado de
Hoja No. Descripción Fecha
Revisión
Todas 0 Autorizada para aplicación 20/06/2019
20/06/2019 Rev. 0

ÍNDICE
1 INTRODUCCIÓN ............................................................................................................................................................ 5
2 OBJETIVO. ..................................................................................................................................................................... 5
3 ALCANCE Y CAMPO DE APLICACIÓN. ...................................................................................................................... 5
4 VIGENCIA, ACTUALIZACIONES Y RESGUARDO....................................................................................................... 6
5 REFERENCIAS .............................................................................................................................................................. 6
6 DEFINICIONES .............................................................................................................................................................. 8
7 SÍMBOLOS, ABREVIATURAS Y ACRÓNIMOS.......................................................................................................... 15
8 REQUISITOS ................................................................................................................................................................ 17
8.1 Administración de la seguridad funcional ..................................................................................................................... 18
8.2 Requisitos del Ciclo de Vida de Seguridad ................................................................................................................... 23
8.3 Verificación ................................................................................................................................................................... 26
8.4 Análisis y evaluación de riesgos del proceso ............................................................................................................... 26
8.5 Asignación de funciones de seguridad para capas de protección ................................................................................ 28
8.6 Especificación de los Requisitos de Seguridad-ERS del SIS para paro por emergencia ............................................. 31
8.7 Diseño e ingeniería del equipo del SIS ......................................................................................................................... 34
8.8 Requisitos para los programas de aplicación incluyendo criterios de selección para los programas de utilerías ........ 56
8.9 Pruebas de aceptación en fábrica (FAT) del SIS .......................................................................................................... 72
8.10 Instalación y “comisionamiento” del SIS ....................................................................................................................... 74
8.11 Validación de seguridad del SIS ................................................................................................................................... 76
8.12 Operación y mantenimiento del SIS ............................................................................................................................. 81
8.13 Modificación del SIS ..................................................................................................................................................... 84
8.14 Desmantelamiento del SIS ........................................................................................................................................... 85
8.15 Requisitos de Información y documentación ................................................................................................................ 85

20/06/2019 Rev. 0

9 RESPONSABILIDADES .............................................................................................................................................. 86
9.1 PEMEX Transformación Industrial ............................................................................................................................ 86
9.2 Proveedor y/o contratistas ............................................................................................................................................ 87
10 CONCORDANCIA CON NORMAS MEXICANAS O INTERNACIONALES ................................................................ 87
11 BIBLIOGRAFÍA ............................................................................................................................................................ 87
12 ANEXOS....................................................................................................................................................................... 89
12.1 Formato de matriz lógica de causa y efecto del SIS ..................................................................................................... 89
20/06/2019 Rev. 0

1 INTRODUCCIÓN
Con la creación de Pemex y sus Empresas Productivas Subsidiarias como Empresas Productivas del Estado, dejó de ser
mandatorio el artículo 67 de la Ley Federal sobre Metrología y Normalización, y a su vez las NRF, por ser una disposición
dirigida a dependencias y entidades de la Administración Pública Federal.
Con base en lo anterior, se elaboró la presente especificación con criterios de ingeniería que pretenden reducir los costos y
mejorar el cronograma del proyecto.
Este documento define los requisitos específicos y complementarios de la normatividad nacional e internacional aplicable a
los Sistemas Instrumentados de Seguridad. Las ediciones de las normas, códigos, especificaciones o procedimientos a las
que se hace referencia deben ser las vigentes a la fecha del contrato, incluyendo sus adendas, a menos que se indique otra
edición.
Esta ET se realizó teniendo como sustento:
• Ley de Petróleos Mexicanos y su Reglamento.

• Estatuto Orgánico de Pemex Transformación Industrial
• Disposiciones Generales de Contratación para Petróleos Mexicanos y sus Empresas Productivas Subsidiarias.
En la elaboración de la presente Especificación Técnica participó personal de las siguientes áreas de Petróleos Mexicanos:
• Pemex Transformación Industrial
2 OBJETIVO.
Esta especificación técnica tiene como objetivo establecer los requerimientos técnicos y documentales, que se debe cumplir
en la contratación y/o para la adquisición de los Sistemas Instrumentados de Seguridad aplicables a los Sistemas de Paro por
Emergencia en las instalaciones de procesos industriales de Petróleos Mexicanos, sus Empresas Productivas Subsidiarias y
empresas Filiales. Además, establecer los requisitos técnicos y documentales para: Administración de la seguridad funcional
de los Sistemas Instrumentados de Seguridad.
3 ALCANCE Y CAMPO DE APLICACIÓN.
Esta especificación técnica establece las obligaciones para especificar el diseño, instalación, pruebas, “comisionamiento”,
operación, mantenimiento, modificación y desmantelamiento de los Sistemas Instrumentados de Seguridad aplicables a los
Sistemas de Paro por Emergencia, Sistemas de Protección de Presión de Alta Integridad (HIPPS), y la metodología para
verificar que se cumplan dichos requisitos en los procesos industriales de las instalaciones.
Para el caso de los siguientes sistemas se deben tomar en cuenta:
• Sistemas de control de quemado (BMS) (aplica solo para acciones que generen el paro de emergencia)
• Sistemas de paro neumático (no aplica la parte de resolvedor lógico)
• Sistemas de gas y fuego (no aplica la selección de NIS (SIL)
20/06/2019 Rev. 0

El Sistema deberá ser diseñado en apego al estándar ANSI/ISA-84.00.01 en todas sus partes, así como todos los
componentes que integren el SIS deben cumplir con la IEC 61508.
Esta especificación es de aplicación particular en el proyecto de la Refinería Dos Bocas.
4 VIGENCIA, ACTUALIZACIONES Y RESGUARDO
Esta especificación técnica es vigente durante el ciclo de vida del proyecto de la Refinería Dos Bocas y se debe actualizar si
las sugerencias o comentarios de modificación lo ameritan.
La presente especificación técnica estará disponible para consulta en el portal de intranet de la Subdirección de Proyectos de
PEMEX Transformación Industrial y en el repositorio respectivo del Sistema de Control Normativo de PEMEX. La versión
original, estará a resguardo de la Gerencia de Ingeniería y Costos de la Subdirección de Proyectos Industriales, adscrita a
PEMEX Transformación Industrial.
Las sugerencias y comentarios para la actualización de la presente especificación técnica se deben enviar a la Subgerencia
de Instrumentación y Control e Ingeniería Eléctrica, de la Gerencia de Ingeniería y Costos de la Subdirección de Proyectos
Industriales, ubicada en Avenida Marina Nacional No. 329, Edificio B1, piso 6, colonia Verónica Anzures; Delegación Miguel
Hidalgo, Código Postal 11300, Ciudad de México.
5 REFERENCIAS
El diseño, fabricación y pruebas deben estar de acuerdo a los requerimientos de las normas y códigos aplicables siguientes:
NOM-001-SEDE-2012 Instalaciones Eléctricas (Utilización)
NOM-008-SCFI-2002 Sistema general de unidades de medida
IEC 60654-1:1993 Industrial-process measurement and control equipment - Operating conditions – Part 1:
Climatic conditions. Edition 2.0 (Equipo de medición y control para la industria de proceso
–Condiciones de operación Parte 1 Condiciones climáticas. Edición 2.0)
IEC 60654-3:1983 Operating conditions for industrial-process measurement and control equipment. Part 3:
Mechanical influences. Edition 1.0 (Condiciones de operación para equipo de medición y
control para la industria de proceso. Edición 1.0)
IEC 61000-6-2:2016 Electromagnetic compatibility (EMC) – Part 6: Generic standards – Section 2: Immunity
for industrial environments (Compatibilidad electromagnética (CEM) – Parte 6: Normas
genéricas –Sección 2: Inmunidad en entornos industriales)
IEC 61000-6-4:2018 Electromagnetic compatibility (EMC) – Part 6: Generic standards – Section 4: Emission
standard for industrial environments (Compatibilidad electromagnética (CEM) – Parte 6:
Normas genéricas – Sección 4: Norma de emisiones en entornos industriales)
IEC 61131-2:2017 Programmables controllers – Part 2 Equipment requirements and test (Controladores
programables – Parte 2 Pruebas y requisitos para el equipo)
20/06/2019 Rev. 0

IEC 61131-3:2013 Programmable controllers - Part 3 Programming languages (Controladores programables

– Parte 3 Lenguajes de programación)
IEC 61326-1:2012 Electrical equipment for measurement, control and laboratory use–EMC requirements –
Part 1: General requirements CORRIGENDUM 1 - Edition 1.0 (Equipo eléctrico de
medición, control y para uso de laboratorio –Requerimientos de CEM Parte 1
Requerimientos generales CORRIGENDUM 1 – Edición 1.0)
IEC 61508-1:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems

– Part 1: General requirements (Seguridad funcional de los sistemas eléctricos /
electrónicos / electrónicos programables relacionados con la seguridad - Parte 1:
Requisitos generales)

– Part 2: Requirements for electrical/electronic/programmable electronic safety related
systems (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos
programables relacionados con la seguridad - Parte 2: Requisitos para los sistemas
eléctricos / electrónicos / electrónicos programables relacionados con la seguridad)

– Part 3: Software requirements (Seguridad funcional de los sistemas eléctricos /
Requisitos de los programas “software”)

– Part 4: Definitions and abbreviations (Seguridad funcional de los sistemas eléctricos /
Definiciones y abreviaturas)

– Part 5: Examples of methods for the determination of safety integrity levels (Seguridad
funcional de los sistemas eléctricos / electrónicos / electrónicos programables
relacionados con la seguridad - Parte 5: Ejemplos de métodos para la determinación de
los niveles de integridad de seguridad)

– Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (Seguridad
funcional de los sistemas eléctricos / electrónicos / electrónicos programables
relacionados con la seguridad - Parte 6: Guía de aplicación de la IEC 61508-2 y IEC
61508-3)

– Part 7: Overview of techniques and measures (Seguridad funcional de los sistemas
eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte
7: Descripción de técnicas y medidas)
20/06/2019 Rev. 0

IEC 61511-1:2016 Functional safety - Safety instrumented systems for the process industry sector – Part 1:
Framework, definitions, system, hardware and software requirements. Corrigendum 1
November 2004. (Seguridad Funcional - Sistemas Instrumentados de Seguridad – Para
los Procesos del Sector Industrial – Parte 1: Marco de referencia, definiciones, sistema,
requisitos del software y hardware Corrigendum 1 Nov 2004)
IEC 61511-2:2016 Functional safety – Safety instrumented systems for the process industry sector – Part 2:
Guidelines for the application of IEC 61511-1. (Seguridad Funcional - Sistemas
Instrumentados de Seguridad – Para los Procesos del Sector Industrial – Parte 2: Guía
de aplicación de la IEC 61511-1)
IEC 61511-3:2016 Programmable controllers - Part 3 Programming languages (Controladores programables

– Parte 3 Lenguajes de programación)
IEC TR 61508-0:2005 Functional Safety of electrical/electronic/programmable electronic safety-related

systems– Part 0: Functional safety and IEC 61508. (Seguridad funcional de los sistemas
eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte
0: Seguridad funcional y la IEC 61508)
6 DEFINICIONES
Árbol de fallas. Representación gráfica lógica y organizada de las condiciones ó factores que causan o contribuyen a que
ocurra un evento no deseado definido.
Arquitectura. Arreglo del equipo y/o elementos de programas en un sistema (El arreglo de los subsistemas del Sistema
Instrumentado de Seguridad-SIS, Estructura interna de un subsistema del SIS, Arreglo de programas, entre otros).
Auditoria de la seguridad funcional. Inspección sistemática e independiente para determinar si los procedimientos
específicos de los requisitos de seguridad funcional cumplen con lo establecido en la planeación de forma que sean
implementados eficazmente y que son los requeridos para alcanzar los objetivos especificados.
Calidad. Totalidad de características de una entidad que tienen que ver con su capacidad para satisfacer las necesidades
establecidas e implícitas.
Canal. Elemento o grupo de elementos que desempeñan una función de manera independiente. El término puede ser usado
para describir un SIS completo o una parte de este, como sensores o elementos finales.
Capas de protección. Cualquier mecanismo independiente que reduce el riesgo por control, prevención o mitigación y que
pueden ser entre otros: equipo de proceso, sistema de control básico de proceso, procedimientos administrativos, y/o
respuestas planeadas para protección contra un riesgo inminente.
Ciclo de vida de los programas. Secuencia de actividades durante un período de tiempo que va desde la concepción hasta
el desuso del programa, incluye las fases de requisitos, desarrollo, prueba, integración, instalación y modificación.
20/06/2019 Rev. 0

Ciclo de vida de seguridad. Secuencia de actividades involucradas en la implantación de las funciones instrumentadas de
seguridad desde el diseño conceptual hasta el desmantelamiento de todas las funciones instrumentadas de seguridad.
Cobertura de Diagnóstico-CD. Relación de la tasa de fallas detectadas respecto de la tasa total de fallas de un componente
o subsistema de un Sistema Instrumentado de Seguridad, detectados mediante pruebas de diagnóstico, no incluye las fallas
detectadas mediante pruebas rigurosas. Se utiliza para calcular la tasa de fallas detectadas (λdetectadas) y no detectadas
(λnodetectadas) de la tasa total de fallas (λtasa total de fallas) de la siguiente manera: λdetectadas = CD × λtasa total de fallas y λnodetectadas =
(1-CD) × λtasa total de fallas.
Comisionamiento. Es la verificación y confirmación de que el SIS cumple con las características especificadas en la
documentación del diseño detallado y se encuentra listo para las pruebas de prearranque (cuando PEMEX Transformación
Industrial lo solicite en su proceso licitatorio) y/o validación OSAT
Complejidad. Un indicador del número de grados de libertad al cometer errores.
Comunicación externa. Intercambio de datos entre el SIS y una variedad de sistemas o dispositivos que se encuentran fuera
del SIS. Esto incluye interfaces del operador compartidas, interfaces de ingeniería/mantenimiento, sistemas de adquisición de
datos, entre otros.
Comunicación interna. Intercambio de datos entre diferentes dispositivos dentro de un procesador electrónico programable
dado. Esto incluye conexiones de plano posterior “back plane” del canal de comunicación “bus”, E/S (I/O) del canal de
comunicación “bus” locales o remotas, entre otros.
Confiabilidad. Probabilidad de que un sistema pueda desempeñar una función definida bajo condiciones especificadas para
un periodo de tiempo dado.
Consecuencia. Resultado real o potencial de un evento no deseado, medido por sus efectos en las personas, en el ambiente,
en la producción y/o instalaciones, así como la reputación e imagen.
Daño. Lesiones físicas o en la salud de las personas, ya sea directa o indirectamente, como consecuencia de los daños a la
propiedad o el medio ambiente.
Demanda. Una condición ó evento que requiere que el SIS lleve a cabo una acción requerida para prevenir un evento
peligroso, ó para mitigar sus consecuencias.
Desenergizado para disparo. Circuitos SIS en donde las salidas y dispositivos se encuentran energizados en operación
normal. Cuando se suspende el suministro de energía se produce una acción de disparo.
Desmantelamiento. La remoción completa de un SIS de su servicio activo.
Desmantelamiento parcial. Es un caso particular de modificación, el cual consiste en la remoción de una ó más Funciones
Instrumentadas de Seguridad-FIS (SIF) del SIS.
20/06/2019 Rev. 0

Detectada, revelada. Con relación a las fallas, se refiere a las fallas del equipo y fallos en los programas encontrados por
pruebas de diagnóstico o durante la operación normal.
Disparos en falso. Activación de cualquier Función Instrumentada de Seguridad-FIS (SIF) perteneciente al SIS, sin existir
una demanda real en campo.
Disponibilidad. Probabilidad de que un SIS es capaz de desempeñar un servicio de seguridad bajo demanda (en operación).
Un SIS no está disponible si se encuentra en un estado de falla (seguro o peligroso), o que se encuentre en mantenimiento.
Diversidad. Uso de dispositivos y equipos con diferentes tecnologías o métodos de diseño que desempeñen una función de
seguridad común, de manera que se minimicen las fallas de causa común.
Documento normativo “equivalente”. Es el documento normativo alterno al que se cita en una norma, emitido por una
entidad de normalización, y que se puede utilizar para la determinación de los valores y parámetros técnicos del bien o servicio
que se esté especificando, siempre y cuando presente las evidencias documentales, que demuestren que cumple como
mínimo, con las mismas características técnicas y de calidad que establezca el documento original de referencia.
Eléctrico/Electrónico/Electrónico Programable-E/E/EP. Basado en tecnología eléctrica (E) y/o electrónica (E) y o

electrónica programable-EP.
Electrónica Programable-EP. Componentes electrónicos o dispositivos que forman parte de un Procesador Electrónico
Programable basados en la tecnología de los microprocesadores. El término engloba tanto el equipo como programas y
unidades de entrada y de salida.
Elemento final. Parte de un sistema instrumentado de seguridad que implementa la acción física requerida para lograr un
estado seguro.
Energizado para disparo. Circuitos SIS en donde las salidas y dispositivos se encuentran desenergizados en operación
normal. Cuando a dichos circuitos se les aplica energía se produce una acción de disparo.
Error. Discrepancia entre un valor o condición calculada, observada, o medida y valor o condición teóricamente verdadera,
correcta o especificada.
Error humano. Falla de acción humana o falta de acción que produce un resultado imprevisto.
Especificación de Requisitos de Seguridad-ERS. La que contiene los requisitos de seguridad (funcionales y de integridad)
de las funciones instrumentadas de seguridad y como se deben diseñar e implementar en el sistema instrumentado de
seguridad.
Estado seguro. Estado que debe tener el equipo o proceso bajo control después de la operación requerida del SIS.
Evaluación de la seguridad funcional. Investigación, basada en evidencias, para evaluar la seguridad funcional alcanzada
por una o más capas de protección.
20/06/2019 Rev. 0

Falla. Terminación de la capacidad de una unidad funcional para desempeñar una función requerida.
Falla de causa común. Falla resultado de uno o más eventos, causando fallas a dos o más componentes separados en un
sistema de múltiples componentes, conduciendo a una falla del SIS.
Falla de modo común. Falla de dos o más componentes de la misma manera, provocando el mismo resultado erróneo.
Fallas no detectadas, no reveladas. Se refiere a los fallos de hardware y software no encontrados por pruebas de diagnóstico
o durante la operación normal.
Falla peligrosa. Falla que tiene el potencial de poner el sistema instrumentado de seguridad en un estado peligroso o de falla
en su operación.
Falla segura. Es una falla la cual no tiene el potencial para poner el Sistema Instrumentado de Seguridad en un estado
peligroso o de falla para funcionar.
Fallas sistemáticas. Fallas debido a errores (incluyendo equivocaciones y omisiones) en las actividades del ciclo de vida de
seguridad, las cuáles causan que el SIS falle bajo alguna combinación particular de entradas o bajo ciertas condiciones
ambientales, que sólo pueden ser eliminada por una modificación del diseño o del proceso de fabricación, procedimientos
operacionales, documentación u otros factores relevantes.
Fallo. Condición anormal que puede causar una reducción o pérdida de la capacidad de una unidad funcional para
desempeñar una función requerida.
Fase. Periodo dentro del ciclo de vida de seguridad donde las actividades descritas en esta norma se deben llevar a cabo.
Filosofía de operación. Este documento debe contener la narrativa - diagramas lógicos y narrativa - diagramas causa y
efecto.
Fracción de falla segura. Fracción del total de la tasa de fallas aleatorias del equipo de un dispositivo que resulta en una
falla segura o falla peligrosa detectada.
Función Instrumentada de Seguridad-FIS (SIF). Función de seguridad con un NIS (SIL) específico para lograr la seguridad
funcional y que puede ser una FIS (SIF) de protección o una FIS (SIF) de control.
Función instrumentada de seguridad de control. FIS (SIF) con un NIS (SIL) específico operando en modo continuo que es
requerido para prevenir que surja una condición peligrosa y/o para mitigar sus consecuencias.
Función de seguridad. Función para ser implementada por un SIS, u otros sistemas relacionados con la tecnología de
seguridad los cuales son destinados para lograr o mantener un estado seguro para el proceso, con respecto a un evento
específico peligroso.
Función instrumentada de seguridad en modo bajo demanda. Acción específica que debe tomar una función
instrumentada de seguridad FIS (SIF) en respuesta a las condiciones de demanda del proceso. En presencia de falla peligrosa
20/06/2019 Rev. 0

de la Función Instrumentada de Seguridad FIS (SIF) un peligro potencial solo ocurrirá si existe un evento de falla en el proceso
o en el SCBP (BPCS) o SDMC (Ver definición modo de operación).
Función instrumentada de seguridad en modo continúo. Es aquélla en la cual en presencia de una falla peligrosa de la
Función Instrumentada de Seguridad FIS (SIF) ocurrirá un peligro potencial sin que se presente una falla adicional a menos
que se tome acción para prevenirlo. (Ver definición modo de operación).
Homologar (calibrar). Tomar el criterio de aceptación del riesgo de cada organismo de PEMEX Transformación Industrial o
en su defecto tomar la indicada en la NRF-018-PEMEX-2014.
Intervalo de prueba. Intervalo de tiempo entre pruebas funcionales.
Integridad de seguridad. Probabilidad promedio de que una FIS (SIF) se desempeñe satisfactoriamente bajo las condiciones
y período de tiempo establecidos.
Lenguaje de Variabilidad Completa-LVC (FVL). Lenguaje diseñado para ser comprensible para los programadores de
computadoras y proporciona la capacidad para implementar una amplia variedad de funciones y aplicaciones (A, Pascal,
lenguaje ensamblador, C++, Java, SQL, entre otros).
Lenguaje de Variabilidad Limitada-LVL. Lenguaje diseñado para ser comprensible por los usuarios del sector de proceso,
y proporciona la posibilidad de combinar funciones predefinidas de aplicaciones específicas, de librería, para implementar las
especificaciones de los requisitos de seguridad (de acuerdo con IEC-61131-3).
Lenguaje Fijo de Programación-LFP (FPL). Lenguaje de programación, donde el usuario solo configura algunos parámetros
(rangos, niveles de alarma, entre otros).
Manual de seguridad. Manual que define la forma en que el dispositivo, subsistema o sistema puede ser aplicado bajo
condiciones de seguridad.
Modo de operación. Existen dos modos de operación de un Sistema Instrumentado de Seguridad, dependiendo de la
frecuencia de demanda los cuales son:
• Modo de demanda baja (En demanda). - es el modo en el cual la frecuencia de demandas para la
operación del SIS no es mayor de una por año y no es mayor que el doble de la frecuencia de pruebas.
• Modo de demanda alta (Continuo). - es el modo en el cual la frecuencia de demandas para la operación
del SIS es mayor de una por año o es mayor que el doble de la frecuencia de pruebas.
Modo degradado. Es aquél estado en el cuál el SIS aún está operando satisfactoriamente, pero se encuentra vulnerable con
respecto a fallas posteriores.
Nivel de Integridad de Seguridad-NIS (SIL). Es un nivel discreto para la especificación de los requisitos de integridad de las
funciones instrumentadas de seguridad a ser asignadas a sistemas instrumentados de seguridad. Cada nivel discreto se
refiere a cierta probabilidad de que un sistema referido a seguridad realice satisfactoriamente las funciones de seguridad
requeridas bajo todas las condiciones establecidas en un periodo de tiempo dado.
20/06/2019 Rev. 0

Peligro. Fuente potencial de daño.
Probabilidad de Falla bajo Demanda-PFD. Un valor que indica la probabilidad de que un SIS falle para responder a una
demanda.
Procesador lógico. Sistema o elemento electrónico diseñado para tomar las acciones requeridas sobre la base de una lógica
determinada, estos sistemas incluyen módulos de entrada y salida.
Programas de aplicación. Programa específico para la aplicación del usuario. En general, contiene secuencias de la
lógica, permisivos, límites y expresiones que controlan la entrada, salida, los cálculos, las decisiones requeridas para cumplir
los requisitos de las FIS.
Programas de utilerías. Herramientas del programa para la creación, modificación, y la documentación de los programas de
aplicación. Estas herramientas del programa no son requeridas para el funcionamiento del SIS.
Programas embebidos. Programa que es parte del sistema suministrado por el fabricante y no es accesible para su
modificación por el usuario final.
Prueba en línea. Prueba requerida para confirmar la correcta operación del SIS cuando el equipo o proceso que está bajo su
control, está en operación.
Prueba funcional. Actividad periódica para verificar que el SIS está en operación de acuerdo a la especificación de los
requisitos de seguridad.
Prueba integral. En caso de que el SIS forme parte de un proyecto integral en el cual existan otros equipos que tengan una
interrelación con el SIS, se realizan las pruebas integrales del SIS que confirmen la funcionalidad requerida del sistema
completo, incluyendo la lógica de acuerdo a las especificaciones de los requisitos de diseño. Esta verificación se realiza
después de que las pruebas OSAT del SIS han sido completadas.
Prueba rigurosa. Prueba desarrollada para revelar fallos no detectados en un sistema instrumentado de seguridad a fin de
que, si es requerido, el sistema se pueda restaurar conforme a su funcionalidad de diseño.
Reducción de riesgo objetivo. Reducción requerida del riesgo a un nivel tolerable.
Redundancia. Uso de múltiples elementos o sistemas, para desempeñar la misma función. Puede ser implementada por
elementos idénticos (redundancia idéntica) o por elementos diferentes (redundancia diversa).
Relé. Relevador. Tecnología usada en Sistemas Instrumentados de Seguridad basada en señales lógicas discretas
(encendido/apagado).
Resolvedor lógico. Aquélla parte del SCBP (BPCS) o SIS que desempeña una o más funciones lógicas, pueden ser las
siguientes:
• Sistemas eléctricos lógicos usando tecnología electro-mecánica
20/06/2019 Rev. 0

• Sistemas lógicos electrónicos usando tecnología electrónica

• Sistemas lógicos “Electrónico Programable” (EP) usando sistemas electrónicos programables
Así mismo, entre otros, los sistemas pueden ser: eléctricos, electrónicos, electrónicos programables, neumáticos e hidráulicos.
Los sensores y elementos finales no forman parte del resolvedor lógico.
Riesgo. Combinación de la frecuencia de ocurrencia del daño y la gravedad de ese daño.
Riesgo del proceso. Los riesgos derivados de las condiciones del proceso causados por eventos anormales [incluyendo mal
funcionamiento del SCBP (BPCS) o SDMC].
Riesgo tolerable. Riesgo que es aceptado en un contexto determinado sobre la base de los valores actuales de la sociedad.
Seguridad. Libre de un riesgo inaceptable.
Seguridad funcional. Parte de la seguridad total relacionada con el proceso y el SCBP (BPCS) o SDMC que depende del
correcto funcionamiento del SIS y otras capas de protección.
Sensor. Dispositivo o combinación de dispositivos que miden las condiciones del proceso (transmisores, interruptores de
proceso, interruptores de posición, entre otros).
Sistema. Conjunto de elementos, que interactúan de acuerdo a un diseño, un elemento de un sistema puede ser otro sistema,
llamado un subsistema, que puede ser un sistema de control o un sistema controlado y puede incluir el equipo, programas y
la interacción humana.
Sistema de control básico de proceso-SCBP (BPCS) o SDMC. Sistema que responde a señales de entrada del proceso,
sus equipos asociados, a otros sistemas programables y/o un operador y genera señales de salida causando que el proceso
y sus equipos asociados operen en el modo deseado, pero que no desempeña ninguna función instrumentada de seguridad.
Sistemas de paro neumático. Sistema de seguridad que opera con suministro de aire o gas y es aplicable en donde no está
disponible la energía eléctrica.
Sistemas de seguridad. Es todo aquél sistema que implanta las funciones de seguridad requeridas para mantener un estado
seguro en el equipo bajo control.
Sistema Instrumentado de Seguridad-SIS. Es un sistema compuesto por sensores, resolvedores lógicos y elementos finales
que tiene el propósito de llevar al proceso a un estado seguro cuando se han violado condiciones predeterminadas. Otros
términos comúnmente usados son Sistema de Paro por Emergencia (ESD) o Sistema de Seguridad del Proceso o “Interlocks”
de seguridad.
Tasa de demanda. La frecuencia con el cuál un SIS es requerido para realizar su función.
Tasa de fallas (λ). Es la tasa promedio a la cual se espera que ocurran fallas de los componentes del SIS.
20/06/2019 Rev. 0

Tiempo medio de disparo en falso. Tiempo medio para que se presente una falla del SIS que resulta en un paro en falso
del proceso o del equipo bajo control.
Tiempo medio de reparación. El tiempo medio para reparar un elemento del SIS. Este tiempo abarca los tiempos
involucrados desde que la falla ocurre hasta que la reparación se ha completado y el dispositivo ha regresado a operación
normal.
Tolerancia a fallos. Es la capacidad de una unidad funcional para continuar desempeñando una función requerida en la
presencia de fallos o errores.
Tolerancia a fallos de hardware. Es la capacidad de una unidad funcional para continuar desempeñando la función de
seguridad en la presencia de una o más fallas peligrosas en hardware.
Validación. Confirmación por medio de revisión y suministro de evidencia objetiva de que los requisitos particulares para un
uso específico son totalmente cumplidos.
Verificación. Confirmación por medio de revisión y suministro de evidencia objetiva del cumplimiento total de los requisitos
para cada fase del ciclo de vida de seguridad.
7 SÍMBOLOS, ABREVIATURAS Y ACRÓNIMOS.
ACP Análisis de Capas de Protección
ANSI American National Standards Institute (Instituto de Estándares Nacionales Americanos)
BMS Burner Management System (Sistemas de Control de Quemado)
BPCS Basic Process Control System (SCBP Sistema de Control Básico de Proceso)
CD Cobertura de Diagnostico
CNPMOS Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios
E/E/EP Eléctrico/Electrónico/Electrónico Programable
EMC Electromagnetic compatibility (CEM Compatibilidad electromagnética)
EP Electrónicos Programables
FAT Factory Acceptance Test (Pruebas de Aceptación en Fábrica)
FMEA Failure Modes and Effects Analysis (AMFE Análisis de Modos de Falla y Efectos)
20/06/2019 Rev. 0

FPL Limited Variability Language (LFP Lenguaje Fijo de Programación)
FRR Factor de Reducción de Riesgo
FVL Full Variabilty Language (LVC Lenguaje de Variabilidad Completa)
HFT Hardware Fault Tolerance (TFE Tolerancia a Fallos en Equipo)
HIPPS High Integrity Pressure Protection Systems (Sistemas de Protección de Presión de Alta
Integridad)
HMI Human Machine Interface (IHM Interfase Humano Maquina)
IEC International Electrotechnical Commission (Comisión Electrotécnica Internacional)
I/O Input/Output [E/S Entrada(s)/Salida(s)]
ISA International Society of Automation (Sociedad Internacional de Automatización)
LVL Limited Variability Language (Lenguaje de Variabilidad Limitada)
MTTF Mean Time To Failure (Tiempo Medio de Falla)
MTTFs Mean Time to Failure Spurious (Tiempo Medio entre Disparos en Falso)
MTTR Mean Time To Repair (Tiempo Medio de Reparación)
OREDA Offshore Reliability Data (Datos de Confiabilidad Costa fuera)
OSAT On Site Acceptance Test (Pruebas de Aceptación en Sitio)
PEMEX Petróleos Mexicanos, sus Empresas Productivas Subsidiarias y empresas Filiales
PFDprom Probabilidad de falla bajo demanda objetivo promedio
SDMC Sistema Digital de Monitoreo y Control
SFF Safe Failure Fraction (FFS Fracción de Falla Segura)
SIF Safety Instrumented Function (FIS Función Instrumentada de Seguridad)
SILavg Safety Integrity Level average (NISprom Nivel de Integridad de Seguridad promedio)
SIS Safety Instrumented System (Sistema Instrumentado de Seguridad)
20/06/2019 Rev. 0

SRAM Static Random Access Memory (Memoria Estática de Acceso Aleatorio)
SRS Safety Requirement Specification (ERS Especificación de los Requisitos de Seguridad)
TÜV Technischer Uberwachungs Veriein (Entidad de Pruebas Alemana)
λ Tasa de fallas
Para los efectos de esta especificación técnica con relación a símbolos y abreviaturas de las unidades de medida, aplica
NOM-008-SCFI.
8 REQUISITOS
En la mayoría de los procesos industriales, la mejor seguridad se logra por un diseño inherentemente seguro del proceso. Las
capas de protección juegan un papel importante para la reducción de riesgo. En caso de ser requerido, esto se puede combinar
con un sistema de protección para tratar cualquier riesgo residual identificado, tal es el caso de los Sistemas Instrumentados
de Seguridad (SIS) de tecnología electrónica programable.
Los SIS son muy importantes en la administración de riesgos en los procesos industriales debido a que cumplen una función
primordial disminuyendo su probabilidad de los eventos de riesgo o minimizando la severidad al personal, al medio ambiente
y a las instalaciones. Los riesgos se deben prevenir como un objetivo inicial desde el inicio del ciclo de vida de seguridad
funcional y deben ser reducidos a un nivel tolerable aceptable.
Esta especificación técnica tiene dos conceptos que son fundamentales para su aplicación; el Ciclo de Vida de Seguridad y
los Niveles de Integridad de Seguridad; así mismo se describen todas las fases del Ciclo de Vida de Seguridad desde el inicio
conceptual, diseño, implementación, operación y mantenimiento hasta el desmantelamiento de los SIS.
El proveedor o contratista encargado del diseño o suministro de los SIS debe cumplir con esta especificación técnica para la
determinación y aplicación de los SIS para los Sistemas de Paro por Emergencia de las diferentes instalaciones petroleras de
PEMEX Transformación Industrial.
El proveedor o contratista durante el desarrollo de las actividades que contempla esta especificación técnica debe seguir el
esquema de la Figura 1 en la cual se describe la relación entre las funciones instrumentadas de seguridad y otras funciones,
y el esquema de la Figura 2 la cual describe las fases del ciclo de vida de seguridad y las etapas de evaluación de la seguridad
funcional del SIS.
20/06/2019 Rev. 0

Figura 1. Relación entre las funciones instrumentadas de seguridad y otras funciones.
Para lograr la implantación de la seguridad funcional de un SIS se deben contemplar los requisitos establecidos en el ciclo de
vida de la figura 2. PEMEX Transformación Industrial debe determinar cuáles requisitos debe desarrollar el proveedor o
contratista y cuales requisitos proporciona PEMEX Transformación Industrial.
8.1 Administración de la seguridad funcional
El modelo del ciclo de vida indica en su requisito 10, ver figura 2 de esta especificación técnica, que debe existir una
administración de la seguridad funcional y evaluación y auditoria, por lo tanto, PEMEX Transformación Industrial en sus
20/06/2019 Rev. 0

funciones de calidad puede contar con estas actividades que cubran la implantación de la administración o en su defecto tiene
que definir en sus bases de licitación la contratación de estos servicios.
8.1.1 General
El proveedor o contratista si así lo solicitó PEMEX Transformación Industrial debe identificar, evaluar y establecer las políticas
y estrategias para la administración de la seguridad funcional.
8.1.2 Organización y recursos

El proveedor o contratista, si así lo solicitó PEMEX Transformación Industrial debe llevar a cabo las actividades para la
implantación de la administración de la seguridad del SIS y debe identificar e informar las responsabilidades que se han
asignado a las personas, departamentos, organismos u otras unidades que estén encargados de realizar y revisar cada una
de las fases del Ciclo de Vida de Seguridad de los SIS aplicables para Sistemas de Paro por Emergencia.
8.1.3 Evaluación y administración de riesgos

El personal responsable para llevar a cabo la evaluación y administración de riesgos debe tener identificados los peligros,
evaluando los riesgos y haber determinado la reducción de riesgos como se define en 8.4 análisis y evaluación de riesgos de
proceso, en esta especificación técnica.
8.1.4 Planeación
El personal responsable de la implantación de la administración de seguridad funcional debe realizar la planeación de la
misma para definir las actividades que se requieren llevar a cabo en conjunto con las personas, departamentos, organismos
u otras unidades responsables de estas actividades. Esta planeación se debe actualizar cuando así sea requerido por PEMEX
Transformación Industrial durante todo el Ciclo de Vida de Seguridad del SIS.
8.1.5 Implementación y “monitoreo”

Una vez concluidas las actividades de análisis y evaluación de riesgos, Evaluación y Auditoria, Verificación y Validación, el
grupo de trabajo de la implantación de la administración por parte del proveedor o contratista debe elaborar los procedimientos
para garantizar el seguimiento y cumplimiento de las recomendaciones que surgieron relacionadas con el SIS.
Los procedimientos deben evaluar el desempeño de los SIS contra los requisitos técnicos y documentales de esta
especificación técnica y de los requisitos específicos del proyecto para:
a) Identificar y prevenir casos de fallas sistemáticas que pueden poner en peligro la seguridad de la instalación
b) Evaluar si las tasas de fallas peligrosas de los SIS están en conformidad con el diseño
c) Evaluar la tasa de demanda sobre las FIS (SIF) durante la operación real para verificar los requisitos del nivel de
integridad
8.1.6 Evaluación, auditoria y revisiones

El personal responsable para llevar a cabo la evaluación de la seguridad funcional debe contar con procedimientos para
asegurar que todos los requisitos y etapas a evaluar se cumplan de acuerdo al numeral 8.1 de esta especificación técnica.
20/06/2019 Rev. 0

El proveedor o contratista debe incluir al menos un especialista certificado, en seguridad funcional para la validación y la
evaluación funcional de las etapas 1, 2 y 3 del ciclo de vida de seguridad (ver figura 2 de esta especificación técnica) y este
debe ser certificado (como lo establece la Ley Federal sobre Metrología y Normalización) en Seguridad Funcional por Exida
(Certified Functional Safety Expert CFSE) o por TÜV (Functional Safety Expert FSE), quien debe ser una tercería en el equipo
de trabajo para el diseño del proyecto(SIS). El responsable por parte del proveedor o contratista al planear una evaluación de
la seguridad funcional debe considerar:
a) El alcance de la evaluación
b) Quién va a participar
c) Las habilidades, responsabilidades y autoridades del equipo de evaluación
d) La información que se genera como resultado de la evaluación
e) La identidad de cualquier otro organismo de seguridad involucrada en la evaluación
f) Los recursos requeridos para completar la actividad de evaluación
g) El nivel de independencia del equipo de evaluación
h) Los medios por los cuales la evaluación se debe renovar después de las modificaciones
Se deben identificar durante la planeación de la seguridad las etapas del ciclo de vida de seguridad en las cuales se deben
llevar a cabo las actividades de evaluación de la seguridad funcional.
Después de que se haya realizado alguna modificación durante la operación, se deben introducir los nuevos peligros
identificados en las actividades adicionales de evaluación de la seguridad funcional.
Al término de cada una de las siguientes etapas, el proveedor o contratista debe realizar las actividades de evaluación de la
seguridad funcional (ver Figura 2 de esta especificación técnica).
a) Etapa 1. Análisis y evaluación de riesgos, identificación de las capas de protección y la especificación

de los requisitos de seguridad
b) Etapa 2. Diseño del SIS
c) Etapa 3. Instalación, “comisionamiento” y validación final del SIS y desarrollo de procedimientos de
operación y de mantenimiento
d) Etapa 4. Adquisición experiencia en la operación y mantenimiento
e) Etapa 5. Modificación y desmantelamiento de un SIS
Así mismo, al inicio y término de cada una de las etapas, el proveedor o contratista debe cumplir con todos los lineamientos
de seguridad industrial que se tengan establecidos en cada centro de trabajo de Petróleos Mexicanos, sus Empresas
Productivas Subsidiarias y empresas Filiales.
Para determinar el número, el tamaño y el alcance de la evaluación de las actividades de la seguridad funcional se deben
tomar en cuenta los siguientes factores:
a) Tamaño del proyecto

b) Grado de complejidad
20/06/2019 Rev. 0

c) Nivel de Integridad de Seguridad-NIS (SIL)

d) Duración del proyecto
e) Consecuencia en un evento de falla
f) Grado de normalización de las características de diseño
g) Requisitos normativos de seguridad
h) La experiencia previa con un diseño similar.
Figura 2. Fases del ciclo de vida de seguridad y etapas de evaluación de la seguridad funcional del SIS.
20/06/2019 Rev. 0

El personal responsable del proveedor o contratista debe realizar al menos una evaluación de seguridad funcional para
asegurar que los peligros del proceso y equipo asociado estén bajo control. Como mínimo debe realizar una evaluación de la
seguridad funcional antes de que se presenten los peligros identificados (etapa 3). El equipo de evaluación del proveedor o
contratista antes de que se presenten dichos peligros debe confirmar que:
a) Se ha realizado el análisis y evaluación de riesgos (ver 8.4 de esta especificación técnica)

b) Se han aplicado las recomendaciones derivadas del análisis y evaluación de riesgos al SIS
c) Se han ejecutado los procedimientos de cambios al diseño del proyecto
d) Se han atendido las recomendaciones derivadas de la evaluación anterior de la seguridad funcional
e) El SIS está diseñado, construido e instalado de conformidad con la especificación de los requisitos de seguridad
de esta especificación técnica y de los requisitos específicos del proyecto, y se han identificado y resuelto las
diferencias
f) Se encuentran en el sitio de la instalación los procedimientos de seguridad, operación, mantenimiento y
emergencia relativos al SIS, en idioma español
g) Se ha realizado la planeación de la validación del SIS
h) Se ha terminado la capacitación de los empleados y se ha proporcionado al personal de operación y
mantenimiento la información requerida acerca del SIS
Cuando las herramientas de producción y desarrollo se utilicen para cualquier actividad del ciclo de vida de seguridad, se
deben sujetar a una evaluación de la seguridad funcional.
8.1.6.1 Auditoria y revisión

Los resultados de la evaluación, así como toda la información relevante de la seguridad funcional deben estar disponibles
junto con cualquier recomendación procedente de esta evaluación.
El personal responsable de la implantación de la administración de la seguridad funcional por parte del proveedor o contratista
debe definir y ejecutar los procedimientos para cumplir con la auditoria por una tercería, los cuales deben incluir la frecuencia
de las actividades de auditoria y el grado de independencia entre los participantes que realizan el trabajo y los que realizan
las actividades de auditoria además del registro y seguimiento de las actividades.
El proveedor o contratista para la implantación de la administración de la seguridad funcional debe tener en sitio los
procedimientos de modificación para iniciar, documentar, revisar, aprobar y aplicar los cambios en el SIS.
8.1.7 Administración de la configuración del SIS

El proveedor o contratista debe tener disponibles para la consulta de PEMEX Transformación Industrial los procedimientos
para la administración de la configuración del SIS durante las fases del Ciclo de Vida de Seguridad de los programas y del
SIS, en particular debe especificar lo siguiente:
a) La etapa de implementación del control formal de la configuración

b) Los procedimientos autorizados que se deben utilizar para la identificación única de todas las partes
que constituyen una partida de equipo y programas, en idioma español
20/06/2019 Rev. 0

c) Los procedimientos autorizados para prevenir la entrada de servicio de las partidas no autorizadas, en
idioma español
8.2 Requisitos del Ciclo de Vida de Seguridad
El proveedor o contratista previo a la primera etapa del ciclo de vida de seguridad del SIS y para el caso de esta especificación
técnica debe contar con el diseño conceptual del proceso incluyendo las filosofías de operación, los diagramas de tubería e
instrumentación y diagramas de flujo de proceso, planos de localización general del equipo, las hojas de datos del equipo de
proceso y la especificación técnica del sistema básico de control del proceso, tomando en consideración las condiciones
ambientales del lugar.
El proveedor o contratista debe aplicar el Ciclo de Vida de Seguridad el cual debe comprender las actividades para la
implantación de los Sistemas Instrumentados de Seguridad (SIS) desde la concepción inicial hasta el desmantelamiento (ver
Figura 2 de esta especificación técnica). Sin embargo, las primeras etapas del Ciclo de Vida de Seguridad, marcadas con
línea intermitente en la Figura 2 de esta especificación técnica, el análisis y evaluación de riesgos de proceso y la asignación
de funciones de seguridad para las capas de protección, se encuentran fuera del alcance de los requisitos específicos de la
presente especificación técnica. Los resultados de estas etapas son datos de entrada al desarrollo de esta especificación
técnica, por lo anterior, la eficacia y eficiencia en la aplicación de esta especificación técnica depende de la confiabilidad y
exactitud de dichos datos.
El proveedor o contratista debe cumplir con los objetivos de este numeral para lo cual debe definir las fases, establecer los
requisitos, y organizar las actividades del Ciclo de Vida de Seguridad; así mismo asegurar que exista una planeación que
asegure que los SIS deben cumplir los requisitos de seguridad de esta especificación técnica y los requisitos específicos del
proyecto.
El proveedor o contratista debe definir durante la planeación de seguridad que se incorporen los requisitos de esta
especificación técnica en el Ciclo de Vida de Seguridad.
Cada fase del Ciclo de Vida de Seguridad se debe definir en términos de entradas, salidas y actividades de verificación,
conforme a la Tabla 1 de esta especificación técnica:
20/06/2019 Rev. 0

Fase o actividad del Ciclo de

Requisitos
Vida de Seguridad
Objetivos numeral Entradas Salidas
Figura 2 de esta ET.
Titulo
numero
1 Análisis y Determinar los peligros y 8.4 Diseño de proceso, Una descripción de
evaluación de eventos peligrosos del proceso y planos de los peligros, de la
riesgos los equipos asociados, la distribución de función de
secuencia de eventos que personal, objetivos seguridad
condujeron al evento peligroso, de seguridad, estas requerida y de la
los riesgos asociados del metas las debe reducción de los
proceso con el evento peligroso, suministrar PEMEX riesgos asociados.
los requisitos para la reducción Transformación
de los riesgos y las funciones de Industrial y de
seguridad requeridas para lograr acuerdo al proyecto
la reducción de riesgo objetivo. que esté
desarrollando.
2 Asignación de Asignación de las funciones de 8.5 Una descripción de Descripción de la
funciones de seguridad para las capas de las FIS (SIF) asignación de los
seguridad para las protección y para cada FIS, el requeridas y los requisitos de
capas de NIS (SIL) asociado. requisitos de seguridad (ver 8.5
protección. integridad de de esta
seguridad especificación
asociados técnica)
3 Especificación de Especificar los requisitos para 8.6 Descripción de la Requisitos de
los requisitos de cada SIS, en términos de las FIS asignación de los seguridad de los
seguridad del SIS (SIF) y su integridad de requisitos de SIS; requisitos de
seguridad asociada, a fin de seguridad (ver 8.5 seguridad de los
lograr la seguridad funcional de esta programas
requerida. especificación
técnica)
4 Diseño e Diseñar el SIS para satisfacer 8.7 y 8.8.4 Requisitos de Diseño del SIS en
ingeniería del SIS los requisitos de las FIS (SIF) y seguridad del SIS conformidad con los
la integridad de seguridad. requisitos de
Requisitos de seguridad del SIS,
seguridad de los planeación para
programas pruebas de
integración del SIS
5 Instalación, Integrar y probar el SIS Validar 8.8.3, 8.10 Diseño del SIS Plan Funcionamiento
“comisionamiento” que el SIS cumple en todo y 8.11 de pruebas de completo del SIS de
y validación del respecto de los requisitos de integración del SIS conformidad con los
SIS seguridad en términos de FIS resultados del
(SIF) y de integridad de Requisitos de diseño de SIS de
seguridad requerida. seguridad del SIS las pruebas de
integración del SIS
Plan para la Resultados de las
validación de la actividades de
seguridad del SIS instalación,
“comisionamiento”
y validación.
20/06/2019 Rev. 0

Fase o actividad del Ciclo de

Vida de Seguridad Requisitos
Objetivos numeral Entradas Salidas
Figura 2 Titulo de esta ET.
numero
6 Operación y Garantizar que la seguridad 8.12 Requisitos del SIS Resultados de las
mantenimiento del funcional del SIS se actividades de
SIS mantiene durante la Diseño del SIS operación y
operación y mantenimiento. mantenimiento.
Plan para
operación y
mantenimiento del
SIS
7 Modificación delHacer correcciones, mejoras 8.13 Requisitos de Resultados de la
SIS o adaptaciones al SIS, seguridad del SIS modificación del SIS.
garantizar que el NIS (SIL) revisados.
objetivo es alcanzado y
mantenido
8 Desmantelamiento Garantizar la correcta 8.14 Requisitos de FIS (SIF) puesta
revisión, organización del seguridad e fuera de servicio.
sector, y garantizar que las información del
FIS (SIF) permanezcan. proceso como
quedaron
Construidos.
9 Verificación del Probar y evaluar los 8.3, 8.8.7 Plan para la Resultados de la
SIS resultados de una fase verificación del SIS verificación del SIS
proporcionada para para cada fase. para cada fase.
garantizar la exactitud y
consistencia con respecto a
los productos y normas
establecidas, como entrada
a esa fase
10 Evaluación de la Investigar y llegar a una 8.1 Planeación para la Resultados de la
seguridad decisión sobre la seguridad evaluación de la evaluación de la
funcional del SIS funcional alcanzada por el seguridad funcional seguridad funcional
SIS del SIS Requisitos del SIS
de seguridad del
SIS.
Tabla 1. Vista general del Ciclo de Vida de Seguridad
El proveedor o contratista debe llevar a cabo la planeación de seguridad para todas las fases del Ciclo de Vida de Seguridad,
y debe definir los criterios, técnicas, medidas y procedimientos, para:
20/06/2019 Rev. 0

a) Garantizar que los requisitos de seguridad del SIS se han alcanzado para todos los modos relevantes del proceso,
esto incluye las funciones de seguridad y la integridad de seguridad
b) La correcta instalación y “comisionamiento” del SIS
c) La integridad de la seguridad de las FIS (SIF) después de la instalación
d) Mantener la integridad de la seguridad durante la operación
e) La administración de los riesgos durante las actividades de mantenimiento del SIS
8.3 Verificación
El proveedor o contratista debe demostrar por medio de una revisión, análisis y/o pruebas que las salidas requeridas cumplen
con los requisitos definidos para todas las fases requeridas (Figura 2 de esta especificación técnica) del Ciclo de Vida de
Seguridad identificadas por la planeación de la verificación.
Durante la planeación de la verificación, el proveedor o contratista debe definir todas las actividades requeridas para la
verificación de la fase requerida del Ciclo de Vida de Seguridad. La verificación debe cumplir con esta especificación técnica
y con lo siguiente:
a) Las actividades de verificación

b) Los procedimientos, medidas y técnicas que se deben usar para la verificación incluyendo la implementación y
resolución de las recomendaciones
c) El programa para llevar a cabo estas actividades
d) Establecer las personas, departamentos y organizaciones responsables de estas actividades incluyendo los
niveles de independencia
e) Identificar los puntos a verificar
f) Determinar cómo manejar las No-Conformidades
g) Indicar las herramientas y análisis de apoyo
La verificación se debe realizar de acuerdo con lo planeado.
Los resultados del proceso de verificación deben estar disponibles en todo momento para PEMEX Transformación Industrial.
8.4 Análisis y evaluación de riesgos del proceso
Si así lo determina PEMEX Transformación Industrial, el proveedor o contratista debe ser el responsable de realizar el Análisis
y evaluación de riesgos, y debe conformar un equipo multidisciplinario integrado por ingenieros de proceso, especialistas de
análisis y evaluación de riesgos (seguridad funcional), instrumentistas, entre otros, así como al administrador de seguridad y
debe cumplir con los requisitos estipulados en la NRF-018-PEMEX-2014. El análisis y evaluación de riesgos debe contemplar
el análisis de capas “NO SIS y capas SIS de acuerdo al 8.5 del modelo del ciclo de vida y comprendido en la figura 2 de esta
especificación técnica.
20/06/2019 Rev. 0

El análisis y evaluación de riesgos debe identificar los peligros de proceso, y llevar a cabo su valoración
(frecuencia/consecuencia) y posteriormente determinar si ese riesgo es tolerable o no, basándose en los criterios de
aceptación del riesgo específico para el sistema y/o instalación definidos por PEMEX Transformación Industrial.
Para el caso de las FIS (SIF), los resultados del análisis y evaluación de riesgos deben constituir los datos de entrada para la
determinación del NIS (SIL) “objetivo” para cada función instrumentada de seguridad y deben cumplir con IEC 61511-3. Por
otro lado, las técnicas que se deben usar para determinar el NIS (SIL) “prom” (avg) de las FIS (SIF) propuestas o diseñadas
deben cumplir con cualquiera de los siguientes documentos: ISATR84.00.02 - Part 2, ISA-TR84.00.02 - Part 3; ISA-
TR84.00.02 - Part 4 o equivalentes.
En esta etapa inicial, el proveedor o contratista debe determinar:
• Los peligros y eventos peligrosos del proceso y equipo asociado como SCBP (BPCS) o SDMC
• La secuencia de eventos que conducen al evento peligroso
• El riesgo de proceso asociado con el evento peligroso
• Cualquier requisito de reducción de riesgo
• Las funciones de seguridad requeridas para lograr la reducción de riesgo objetivo
• Las funciones instrumentadas de seguridad (ver 8.5 de esta especificación técnica)
El proveedor o contratista durante el Análisis y Evaluación de Riesgos debe realizar y proporcionar lo siguiente en el proceso
y su equipo asociado, entre otros el SCBP (BPCS) o SDMC:
a) Una descripción de cada evento peligroso identificado y los factores que contribuyen a este (Incluyendo errores
humanos)
b) Una descripción de las consecuencias y probabilidades de los eventos
c) La consideración de las condiciones como operación normal, arranque, paro, mantenimiento, distorsión del
proceso, y paro de emergencia
d) La determinación de los requisitos para la reducción de riesgo objetivo adicional, para lograr la seguridad requerida
e) Una descripción de las referencias para información de las medidas tomadas para reducir o eliminar los riesgos y
peligros
f) Una descripción detallada de las hipótesis hechas durante los análisis y evaluación de riesgos incluyendo la
probabilidad de tasas de demanda y las tasas de fallas del equipo, y de cualquier consideración tomada para
restringir las operaciones o intervenciones humanas
g) Asignación de las funciones de seguridad a las capas de protección tomando en cuenta la reducción potencial en
la protección efectiva debido a las fallas de causa común entre las capas de seguridad y entre las capas de
seguridad y el SCBP (BPCS) o SDMC (ver 8.5 de esta especificación técnica) Identificación de aquellas funciones
de seguridad aplicadas como funciones instrumentadas de seguridad (ver 8.5 de esta especificación técnica)
La tasa de falla peligrosa de un SCBP (BPCS) o SDMC que impone una demanda sobre una capa de protección, operando
en modo de demanda alta (continuo) no se debe asumir como mejor que 10-5 por hora conforme a la tabla 3 de esta
20/06/2019 Rev. 0

especificación técnica y operando en modo de demanda baja (en demanda), la probabilidad de falla bajo demanda no se debe
asumir mejor que 10-1 conforme a la tabla 2 de esta especificación técnica.
Cuando el SCBP (BPCS) o SDMC sea considerado como una capa independiente de protección cumpliendo con los criterios
de capa independiente de protección no se le debe dar una frecuencia de falla menor de 10-5 en el caso de operación modo
continuo ni una probabilidad de falla menor a 10-1 en el caso de modo de operación de demanda Baja (En demanda). Esto
no significa que el SCBP (BPCS) o SDMC sea considerado como un SIS.
La Identificación y análisis de peligros y eventos peligrosos para un proceso y la evaluación del nivel de riesgo, se debe
registrar de modo tal que la relación entre los puntos anteriores sea clara y trazable.
Los requisitos arriba mencionados no son mandatarios para que el riesgo y los objetivos de reducción de riesgo se tengan
que asignar con un valor numérico. Sólo para la etapa de Selección de NIS (SIL) “objetivo”, se pueden usar métodos gráficos
siempre y cuando PEMEX Transformación Industrial lo requiera, pero estos gráficos deben ser invariablemente homologados
(calibrado) para la aplicación según la instalación de PEMEX Transformación Industrial; para ello ver IEC61511-3.
8.5 Asignación de funciones de seguridad para capas de protección
El proveedor o contratista diseñador del SIS debe:

a) Asignar funciones de seguridad a las capas de protección
b) Determinar las FIS (SIF) requeridas
c) Determinar para cada FIS (SIF) el NIS (SIL) asociado
El proveedor o contratista no debe determinar el NIS (SIL) de manera global para un proceso o instalación.
El proveedor o contratista diseñador del SIS en el proceso de asignación debe:
a) Asignar las funciones de seguridad para capas de protección específicas, para el propósito de prevención, control
o mitigación de peligros del proceso y sus equipos asociados
b) Asignar la reducción de riesgo objetivo para las FIS
Para establecer el NIS (SIL) del SIS, el proveedor o contratista debe considerar los siguientes parámetros:
a) La severidad de las consecuencias si el sistema de seguridad falla al operar bajo demanda
b) La probabilidad de que el personal sea expuesto al riesgo
c) Medidas de mitigación para reducir las consecuencias del evento de riesgo
d) La frecuencia con la cual el sistema de seguridad se requiere que actúe
e) Probabilidad de ocurrencia del evento peligroso
El proveedor o contratista debe seleccionar un NIS (SIL) objetivo y especificar la reducción de riesgo objetivo, es decir, la
diferencia entre los niveles de riesgo existente y tolerable, en términos de NIS (SIL). El proveedor o contratista debe solicitar
a PEMEX Transformación Industrial los criterios de riesgo tolerable.
20/06/2019 Rev. 0

Independientemente de la naturaleza del método a usar, el proveedor o contratista debe considerar la evaluación de dos
componentes del riesgo (la probabilidad del evento de peligro y la severidad de la consecuencia). La asignación del NIS (SIL)
objetivo se debe realizar basándose en un proceso que lleve el riesgo del proceso a un nivel tolerable, de acuerdo con la
NRF-018-PEMEX-2014.
El proveedor o contratista debe especificar el NIS (SIL) objetivo de acuerdo con la Tabla 2 de esta especificación técnica,
para cada FIS (SIF) operando en modo bajo demanda. Cuando se usa la Tabla 3 de esta especificación técnica, entonces no
se deben usar en la determinación del NIS (SIL) el intervalo de prueba rigurosa ni la tasa de demanda.
Para cada FIS (SIF) operando en modo continuo, el NIS (SIL) objetivo se debe especificar de acuerdo con la Tabla 3 de esta
Modo de operación demanda baja (En demanda)

Nivel de Integridad de seguridad Probabilidad de Falla bajo Demanda
Reducción de riesgo objetivo
NIS (SIL) objetivo promedio PFDprom
3 ≥10-4 a < 10-3 >1000 a ≤ 10000
2 ≥10-3 a < 10-2 >100 a ≤ 1000
1 ≥10-2 a < 10-1 >10 a ≤ 100
Tabla 2. Niveles de integridad de seguridad: probabilidad de falla bajo demanda
Modo de operación de demanda alta (continuo)

Nivel de Integridad de seguridad Probabilidad de Falla bajo Demanda objetivo promedio
NIS (SIL) PFDprom
3 ≥10-4 a < 10-3
2 ≥10-3 a < 10-2
1 ≥10-2 a < 10-1
Tabla 3. Niveles de Integridad de Seguridad: frecuencia de fallas peligrosas de la FIS (SIF)
El proveedor o contratista debe definir el NIS (SIL) numéricamente a fin de proporcionar una meta objetiva para comparar
diseños y soluciones alternativos.
La frecuencia requerida de las fallas peligrosas por hora para un modo continuo de la FIS (SIF) se debe determinar por el
riesgo (en términos de tasa de peligro) causado por la falla de la FIS (SIF) actuando en modo continuo, junto con la tasa de
fallas de otros equipos que conducen a la misma situación de riesgo, teniendo en cuenta las contribuciones de otras capas
de protección.
Se debe soportar técnicamente bajo consideración de PEMEX Transformación Industrial, el usar varias funciones de menor
NIS (SIL) para satisfacer la necesidad de una función de mayor nivel [entre otros, utilizando un sistema con NIS (SIL) 2 y uno
20/06/2019 Rev. 0

con NIS (SIL) 1 juntos para satisfacer la necesidad de una función con NIS (SIL) 3] siempre y cuando la reducción de riesgo
alcanzada con dos o más FIS (SIF) es mayor o igual a la reducción de riesgo requerida por la FIS (SIF) con NIS (SIL) 3.
8.5.1 Requisitos en el SCBP (BPCS) o SDMC como una capa de protección

El SCBP (BPCS) o SDMC se puede identificar como una capa de protección, como se muestra en Figura 3 de esta
especificación técnica; siempre y cuando no sea la causa del peligro la falla del SCBP (BPCS) o SDMC lo que se pretenda
prevenir con la FIS (SIF).
El Factor de Reducción de Riesgo-FRR para un SCBP (BPCS) o SDMC usado como capa de protección debe ser menor de
10.
Si se requiere un FRR para un SCBP (BPCS) o SDMC mayor de 10, entonces se debe diseñar y cumplir con los requisitos
de esta especificación técnica.
Figura 3. Métodos típicos de reducción de riesgo encontrados en plantas de proceso
20/06/2019 Rev. 0

8.5.2 Requisitos para prevenir fallas de causa común, modo común y dependientes
El proveedor o contratista debe evaluar las capas de protección mediante un Estudio de Análisis de Capas de Protección
(ACP) para asegurar que la probabilidad de falla de causa común, modo común y dependientes entre las capas de protección,
sean bajas en comparación al total de requisitos de integridad de seguridad de las capas de protección.
La evaluación debe considerar lo siguiente:
a) La independencia entre las capas de protección

b) La diversidad entre las capas de protección
c) La separación física entre las diferentes capas de protección
d) Las fallas de causa común entre las capas de protección, y entre las capas de protección y los SCBP (BPCS) o
SDMC.
8.6 Especificación de los Requisitos de Seguridad-ERS del SIS para paro por emergencia
Una vez determinado que se requiere un Sistema Instrumentado de Seguridad-SIS y establecido el NIS (SIL) objetivo para
cada FIS, el proveedor o contratista debe desarrollar y/o aplicar según le corresponda la ERS para el sistema conforme a las
restricciones que PEMEX Transformación Industrial imponga. La ERS del SIS se debe expresar y estructurar de tal modo que
los requisitos sean claros, precisos, verificables, sostenibles, factibles y escritos de modo que puedan ser comprendidos y
aplicados.
El proveedor o contratista y PEMEX Transformación Industrial deben elaborar los diagramas de causa-efecto también
conocidos como Matriz lógica de causa y efecto del SIS para documentar la ERS de un SIS. Estos diagramas se deben
desarrollar de acuerdo con el anexo 12.1 de esta especificación técnica y se deben usar para documentar los requisitos
funcionales y de integridad. Deben ser documentos claros para todas las disciplinas.
Los diagramas lógicos se deben usar además de los diagramas causa-efecto para funciones complejas y basadas en tiempo,
así como para secuencias complejas que no pueden ser descritas fácilmente mediante un diagrama de causa-efecto y deben
cumplir con ISA-5.2 o equivalente.
La ERS debe constituir la guía para definir los requisitos de diseño, por esta razón, se debe incluir toda la información requerida
como un paquete completo y debe contener:
a) La función del sistema o componente del sistema

b) Las acciones que el sistema o componente debe realizar bajo circunstancias establecidas (especificación
funcional)
c) La integridad requerida (confiabilidad y disponibilidad) para operar en dichas circunstancias (especificación de
integridad)
d) Los requisitos de sobrevivencia una vez que un incidente mayor ha sucedido (especificación de sobrevivencia).
20/06/2019 Rev. 0

El proveedor o contratista debe usar el NIS (SIL) de cada FIS (SIF) del SIS para establecer una arquitectura del sistema para
lograr el nivel de desempeño, seguridad e integridad requerida para que el SIS ejecute las funciones de seguridad.
Se deben identificar en el Análisis y Evaluación de Riesgos las especificaciones de sobrevivencia cuando exista un requisito
específico de que un SIS permanezca operando durante o después de un incidente mayor.
Para el desarrollo de la ERS el proveedor o contratista debe tener disponible la siguiente información:
a) La lista de las FIS (SIF) requeridas y el NIS (SIL) de cada FIS (SIF)
b) Los Diagramas de Flujo de Proceso-DFP y Diagramas de Tubería e Instrumentación-DTIs, hojas de datos de
proceso, hoja de especificaciones de instrumentos
c) La información del proceso (filosofía de operación, elementos finales, entre otros) e información del análisis
cuantitativo de riesgo (causa y secuencia de cada evento potencial de peligro que requiera un SIS)
d) Las consideraciones de falla de causa común del proceso tales como corrosión, taponamiento, entre otros.
e) Los requisitos regulatorios que impactan al SIS
f) Las consideraciones de confiabilidad, calidad y ambientales
g) La lista de consideraciones operacionales y de mantenimiento.
Los requisitos de seguridad del SIS deben incluir la definición de los siguientes parámetros:
a) La descripción de todas las FIS (SIF) para lograr la seguridad funcional requerida y el NIS (SIL) para cada una de
ellas.
b) Los requisitos para identificar y tomar en cuenta las fallas de causa común.
c) Las acciones a tomar en caso de pérdida de la(s) fuente(s) de energía del SIS.
d) La respuesta de acción a cualquier falla detectada.
e) Los requisitos de interfase humano máquina.
f) La importancia de las interacciones de los componentes físicos del sistema/programas, e identificar y documentar
cualquier restricción para dichas interacciones. De acuerdo con 8.8.5 de esta especificación técnica.
g) Los requisitos de diagnóstico para lograr el NIS (SIL) objetivo.
h) Los límites de inmunidad electromagnética requeridos para lograr compatibilidad electromagnética, los cuáles
deben ser fijados considerando tanto el ambiente electromagnético como los niveles de integridad de seguridad
requeridos.
i) La iniciación manual de funciones protectoras sustituye en muchos casos a la iniciación automática, por esta razón
en funciones iniciadas manualmente se debe considerar la confiabilidad humana, ya que la integridad de los
componentes físicos “hardware” de la iniciación manual no debe ser menor a aquélla de la iniciación automática.
j) Los requisitos de mantenimiento y prueba para lograr el NIS (SIL) objetivo (intervalo mínimo de prueba).
k) La definición del estado seguro del proceso para cada FIS (SIF) identificada.
l) La definición de cualquier estado individual de proceso seguro, que cuando ocurra, conjuntamente se desarrolle
un peligro separado (sobrecarga de un tanque de almacenamiento de emergencia, relevos múltiples al sistema
de desfogue, entre otros).
m) Las fuentes de demanda consideradas y la tasa de demanda en la FIS.
20/06/2019 Rev. 0

n) Los requisitos para los intervalos de prueba rigurosa.

o) Los requisitos para el tiempo de respuesta del SIS para llevar el proceso a un estado seguro.
p) El NIS (SIL) y modo de operación (demanda/continuo) para cada FIS.
q) La descripción de las variables de proceso del SIS y sus puntos de disparo.
r) La descripción de las acciones de salida hacia el proceso a través del SIS y de los criterios para la operación
exitosa, los requisitos para el cierre hermético de válvulas, entre otros.
s) La relación funcional entre las entradas y salidas del proceso, incluyendo las funciones lógicas, matemáticas y
cualquier permisivo requerido representado en los diagramas lógicos o diagramas de causa-efecto.
t) Los requisitos para el paro manual.
u) Los requisitos relativos a la desenergización para disparar. Las aplicaciones para el SIS aplicable para Sistemas
para Paro por Emergencia se deben diseñar en el modo desenergizar para disparar.
v) Los requisitos para restablecer el SIS después de un paro.
w) El proveedor o contratista debe solicitar a PEMEX Transformación Industrial el criterio mínimo de la máxima tasa
de disparos en falso permitida.
x) Los modos de fallas y respuestas deseadas del SIS (alarmas, paros automáticos, entre otros).
y) Los requisitos específicos relativos a los procedimientos para el arranque y restablecimiento arranque del SIS.
z) Todas las interfaces entre el SIS y cualquier otro sistema [incluyendo el SCBP (BPCS) o SDMC y operadores].
aa) La descripción de los modos de operación de la instalación (arranque automático, manual, y semiautomático;
estado estacionario, estado estacionario de no operación, restablecimiento, paro, mantenimiento) e identificación
de las FIS (SIF) requeridas para operar dentro de cada modo.
bb) Los requisitos de seguridad de los programas de aplicación listados o enumerados en el 8.8.5 de esta
cc) Requisitos para sobreponer/inhibir/desviar incluyendo como deben ser desactivados.
dd) La especificación de cualquier acción requerida para lograr o mantener un estado seguro en el evento de detección
de fallas en el SIS. Cualquier acción se debe resolver tomando en cuenta todos los factores humanos relevantes.
ee) El tiempo medio para reparación factible para el SIS, tomando en cuenta el tiempo de transporte, ubicación, partes
de repuesto, contratos de servicios y restricciones ambientales.
ff) La identificación de las combinaciones peligrosas de los estados de salida del SIS que se requieren evitar
gg) Se deben identificar todas las condiciones ambientales extremas a las que pueda estar sometido el SIS. Esto
puede requerir de las siguientes consideraciones: temperatura, humedad, contaminantes, puesta a tierra,
Interferencia Electromagnética/Interferencia por Radiofrecuencia - IEM/IRF, choque/vibración, descarga
electrostática, clasificación de área eléctrica, inundación, rayos y otros factores relacionados.
hh) Se deben Identificar en conjunto los modos normal y anormal de operación para la instalación (entre otros,
arranque de la instalación) y un procedimiento individual operacional de la instalación (entre otros, mantenimiento
de equipo, calibración del sensor y/o reparación). Se pueden requerir FIS (SIF) adicionales para apoyar estos
modos de operación.
ii) La definición de los requisitos para cualquier FIS (SIF) requerida para sobrevivir a un evento de accidente
importante, entre otros, tiempo requerido para que una válvula permanezca operando en caso de fuego.
20/06/2019 Rev. 0

La ERS de los programas, se deben derivar de la ERS indicados en 8.6 de esta especificación técnica y de la arquitectura
seleccionada del SIS.
Una vez terminada la ERS, esta se debe revisar por PEMEX Transformación Industrial. Una vez revisada la especificación no
deben existir cambios a menos que estén debidamente justificados por el proveedor o contratista y revisados por PEMEX
Transformación Industrial. La especificación debe llevar el registro del número de revisión correspondiente cuando se realicen
cambios durante el curso del proyecto.
8.7 Diseño e ingeniería del equipo del SIS
El proveedor o contratista debe diseñar uno o más SIS para procesar la(s) FISs (SIFs) y cumplir con el o los NIS (SIL) objetivos.
El proveedor o contratista debe definir las características técnicas para la realización y mantenimiento bajo estándares de los
Sistemas Instrumentados de Seguridad SIS.
El proveedor o contratista debe desarrollar un diseño conceptual del SIS para verificar que se cumpla con los requisitos de
seguridad y de operación del NIS (SIL). Debe seleccionar una tecnología, configuración (arquitectura), intervalo de prueba
conceptual, entre otros. Posteriormente debe proceder a la verificación cuantitativa para ver si el sistema propuesto cumple
los requisitos de operación.
El diseño de los SIS para sistemas de prevención como los Sistemas de Paro por Emergencia debe estar constituido por los
siguientes elementos:
a) Elementos primarios (Sensores)

b) Resolvedor lógico
c) Elementos finales
d) Equipo “Hardware”, cuando aplique Programas “Software” adicionales requeridos para el correcto funcionamiento
del SIS.
El proveedor o contratista durante el diseño del SIS se debe apegar a la ERS, tomando en cuenta todos los requisitos de 8.7
de esta especificación técnica.
El SIS debe incluir solamente FIS (SIF) y el EP debe ser de un nivel NIS (SIL) certificado (que cubra el NIS (SIL) más alto de
cualquier FIS (SIF) que forme parte de este, considerando lo siguiente:
a) Las FIS (SIF) deben estar separadas de las funciones instrumentadas de no seguridad
b) La independencia significa, que ninguna falla en las funciones instrumentadas de no seguridad, ni en el acceso
programado a las funciones del programa de no seguridad deben causar una falla peligrosa en las FIS (SIF).
Cuando se tengan FIS (SIF) de diferentes NIS (SIL), entonces el equipo y la programación compartidos o comunes del SIS
deben cumplir con el NIS (SIL) más alto a menos que se demuestre que las FIS (SIF) del NIS (SIL) más bajo no afectan
negativamente a las FIS (SIF) de los NIS (SIL) más altos.
20/06/2019 Rev. 0

Cualquier dispositivo usado para desempeñar parte de una FIS (SIF) no se debe usar para propósitos del control básico de
proceso, a menos que se realice un análisis para confirmar que el riesgo total es aceptable.
8.7.1 Independencia del SIS con otros sistemas

El proveedor o contratista durante el diseño del SIS debe tomar en cuenta todos los aspectos de independencia y dependencia
entre el SIS y SCBP (BPCS) o SDMC, y el SIS y otras capas de protección.
El SCBP (BPCS) o SDMC se debe diseñar separado e independiente del SIS para no comprometer la integridad funcional del
SIS.
La separación puede ser idéntica o diversa considerando los siguientes puntos:
a) La separación idéntica debe constar de dos o más unidades o componentes idénticos e independientes entre sí.
b) b) La separación diversa debe constar de dos o más unidades o componentes diferentes (con diferente tecnología,
configuración, entre otros factores) e independientes entre sí, además este tipo de separación reduce la
probabilidad de fallas sistemáticas y fallas de causa común.
La separación entre el SCBP (BPCS) o SDMC o y SIS se debe considerar y evaluar para cumplir con la funcionalidad de
seguridad y los requisitos de integridad en los siguientes elementos:
a) Sensores
b) Elementos finales
c) Resolvedor lógico
d) Comunicación entre SIS y el SCBP (BPCS) o SDMC u otro equipo
En los sensores de campo, para NIS (SIL) 1 y NIS (SIL) 2, se requiere la separación idéntica entre el SCBP (BPCS) o SDMC
y el SIS para alcanzar el NIS (SIL) objetivo y para NIS (SIL) 3, la separación puede ser idéntica o diversa entre el SCBP
(BPCS) o SDMC y el SIS, para cumplir con la integridad de seguridad requerida.
En los elementos finales, para NIS (SIL) 1, se puede usar una sola válvula para ambos sistemas SCBP (BPCS) o SDMC y
SIS, con la condición de que la tasa de falla, cumpla los requisitos de integridad de seguridad. El diseño debe asegurar que
las acciones del SIS prevalezcan sobre las acciones del SCBP (BPCS) o SDMC. La falla del elemento final del SCBP (BPCS)
o SDMC no debe ser la causa del peligro que se pretende prevenir con la FIS (SIF). Para NIS (SIL) 2, se requiere la separación
idéntica entre SCBP (BPCS) o SDMC y SIS, para cumplir el NIS (SIL) objetivo. El uso de una sola válvula para SCBP (BPCS)
o SDMC y SIS requiere un análisis y revisión de seguridad, ya que de lo contrario puede no cumplirse la integridad de
seguridad requerida. Para NIS (SIL) 3, la separación debe ser idéntica o diversa entre el SCBP (BPCS) o SDMC y SIS para
alcanzar la integridad de seguridad requerida.
Se deben tomar en cuenta las siguientes consideraciones adicionales para determinar los requisitos de una válvula:
a) Los requisitos de cierre

b) La experiencia de confiabilidad con la válvula
c) Los modos de falla de la válvula
d) Procedimientos operativos que contribuyan a que la válvula sea menos efectiva
20/06/2019 Rev. 0

En el procesador lógico EP, para NIS (SIL) 1, la separación entre el SCBP (BPCS) o SDMC y SIS debe ser idéntica o diversa.
Para NIS (SIL) 2, se requiere separación diversa entre el SCBP (BPCS) o SDMC y el SIS. Para NIS (SIL) 3, debe existir una
separación diversa entre el SCBP (BPCS) o SDMC y el SIS, para cumplir con el NIS (SIL) objetivo.
8.7.1.1 La comunicación entre el SCBP (BPCS) o SDMC, el Sistema de Gas y Fuego y el SIS
El proveedor o contratista para efectos de esta especificación técnica debe distinguir dos tipos de comunicación del SIS,
interna y externa. La comunicación interna debe estar formada por la red de control industrial y se da al interior de los
procesadores lógicos EP y está en función de la tecnología con la que fueron construidos. La comunicación externa se debe
considerar aquella que se lleva a cabo entre un SIS y uno o más sistemas independientes para efectuar intercambio de
información de “monitoreo” (lectura) y de comandos de acción (escritura), el proveedor o contratista debe verificar que esta
comunicación no debe comprometer el NIS (SIL) del SIS, por lo que el diseño de esta comunicación debe considerar los
requisitos para comunicación de datos de cada FIS, de acuerdo con la serie IEC 61508.
En algunos casos se requiere comunicación entre el SIS y el SCBP (BPCS) o SDMC, esta debe ser unidireccional con
comunicación únicamente del SIS hacia el SCBP (BPCS) o SDMC.
Las formas básicas de comunicación externa entre SCBP (BPCS) o SDMC, Sistema de Gas y Fuego y el SIS aceptadas por
esta especificación técnica son:
a) No debe existir comunicación externa del SCBP (BPCS) o SDMC o Gas y Fuego para propósitos de escritura
hacia el SIS, la comunicación entre estos sistemas únicamente puede ser para propósitos de lectura.
b) La comunicación a través de una red de comunicaciones entre el SCBP (BPCS) o SDMC y el SIS, se acepta para
NIS (SIL) 1 y NIS (SIL) 2, pero el uso de este método para NIS (SIL) 3 requiere del análisis y revisiones de
seguridad adicionales y de certificación de la red para ese propósito.
c) Sólo lectura en la comunicación externa del SIS al SCBP (BPCS) o SDMC. Este tipo de comunicación es aceptable
para todos los NIS (SIL) siempre y cuando la revisión y el análisis aseguren que no se compromete a la FIS. Las
medidas para protección de la escritura de la función de seguridad deben incluir:
• Clave de acceso “password” para limitar el acceso a la escritura.
• La aplicación de la FIS (SIF) del SIS en memoria de solo lectura ROM Read Only Memory (Memoria de Sólo
Lectura).
d) Comunicaciones externas lectura/escritura con protección a la escritura de la FIS (SIF). Este tipo de comunicación
es aceptable para NIS (SIL) 1 y 2, pero el uso de este método para NIS (SIL) 3 se requiere de un análisis y
revisiones adicionales de seguridad. Las medidas para lograr protección a la escritura de la FIS (SIF) deben incluir:
• Un límite de tiempo para acceder a la escritura.
• Un interruptor de los programas “software”, entre otros, una clave de acceso, para limitar el acceso a la
escritura.
e) Comunicación externa de lectura/escritura con protección limitada o sin protección a la escritura de la FIS.
El Uso de este método para NIS (SIL) 2 requiere análisis y revisiones de seguridad adicionales. No se debe usar este método
para NIS (SIL) 3
20/06/2019 Rev. 0

8.7.1.2 Sistema de Control Básico de Proceso-SCBP.

El proveedor o contratista debe minimizar la probabilidad de que cualquier falla simple en el SCBP (BPCS) o SDMC lleve a
una demanda del SIS. Todos los modos de fallas previsibles deben ser identificados de modo que se consideren en el diseño
del SIS.
En instalaciones de producción se pueden implantar funciones de protección poco críticas (con base en el análisis y evaluación
de riesgos) en el SCBP (BPCS) o SDMC siempre que se cumpla que la integridad de seguridad no sea tan elevada como
para implantar un SIS.
8.7.1.3 Sistema de gas y fuego.

Los Sistemas de Detección de Gas y Fuego y el SIS deben contemplar arquitecturas independientes, sin embargo, debe
existir comunicación entre ellos. Estas requieren consideraciones de prueba automática, para permitir la detección de fallas
internas del sistema; “monitoreo” en línea, técnicas de votación y diagnóstico para asegurar que el sistema mantiene su
disponibilidad para desempeñar su función. En el caso del Sistema de Gas y Fuego la comunicación digital con el SIS debe
ser solo lectura.
Durante el diseño del SIS se deben considerar los requisitos para la operación, mantenimiento y pruebas para facilitar la
implementación de los requisitos del factor humano en el diseño (instalaciones de desvío para permitir pruebas en línea y
alarmar cuando está en desvío, entre otros).
El diseño del SIS debe tomar en cuenta las capacidades y limitaciones humanas y debe cumplir con la tarea asignada para
el personal de operación y mantenimiento. El diseño de todas las IHM (HMI) debe seguir las buenas prácticas de los factores
humanos y debe considerar la capacitación de los operadores.
El SIS debe ser diseñado de tal forma que una vez que ha puesto el proceso en un estado seguro, debe permanecer en el
estado seguro hasta que se haya iniciado un restablecimiento a menos que se solicite de otra manera en la ERS.
Se deben proporcionar medios manuales (entre otros, botones de paro de emergencia) independientes de los resolvedores
lógicos, para actuar los elementos finales del SIS cuando así se requiera en los requisitos específicos de seguridad del
proyecto.
8.7.1.4 Complejidad.
Los sistemas se deben seleccionar y diseñar para minimizar la complejidad y deben cumplir con esta especificación técnica,
y la serie IEC 61508. Cada elemento del sistema se debe especificar bajo normas de desempeño con la funcionalidad,
integridad de seguridad y sobrevivencia requeridas, y no simplemente al más alto nivel de integridad alcanzable.
8.7.1.5 Concepto y principio de falla segura.

El concepto de falla segura para plantas y equipos es llevar al estado seguro el proceso en caso de falla del resolvedor lógico,
sensores, elementos finales, fuentes de alimentación. Este requisito se debe realizar desenergizando para disparar las salidas
del SIS.
Durante la operación normal, con el proceso en condiciones seguras, las entradas de los sensores de las variables de proceso,
el resolvedor lógico, y salidas a los dispositivos de protección deben estar energizados. El sistema debe interpretar el estado
desenergizado de una entrada como una demanda y se deben desenergizar las salidas requeridas para iniciar un paro seguro.
20/06/2019 Rev. 0

Este diseño debe asegurar también un paro seguro por pérdida del suministro eléctrico a las entradas del sistema, salidas o
lógica del sistema.
Para aquellos subsistemas que a falla del suministro eléctrico no vayan a un estado seguro, se deben cumplir las acciones
siguientes y las indicadas en el 8.7.2 de esta especificación técnica.
a) Se debe detectar la pérdida de integridad del circuito (“monitoreo” al final de la línea, entre otros).
b) Se debe asegurar la integridad del suministro eléctrico usando un suministro de energía confiable proveniente de
un sistema de fuerza ininterrumpible.
c) Se debe detectar la pérdida de suministro de energía al subsistema.
En casos en donde no se aplique el concepto de falla segura por la naturaleza de la aplicación y se requiera energizar alguna
salida para disparo a otro sistema (sistema de gas y fuego) se debe justificar y hacer consideraciones a fin de cumplir la
integridad de seguridad requerida.
Se debe aplicar el principio de falla segura para el SIS de la instalación. El proveedor o contratista debe documentar el tiempo
en que el EP (PE) pueda operar en estado degradado sin comprometer la función de seguridad.
8.7.1.6 Tasas de falla y modos de falla.

El proveedor o contratista debe considerar en el diseño del SIS las tasas de fallas reveladas y no reveladas y su implicación.
Al cuantificar la confiabilidad de un sistema se requiere de valores dentro de un intervalo de confianza del 70 por ciento para
las tasas de fallas de sus componentes. Los datos se deben obtener a partir de registros de la instalación o del sector industrial
o fuentes genéricas o en base a opinión de expertos. La opinión de expertos certificados en seguridad funcional se debe
considerar para el análisis de estos datos.
Integridad del sistema. Se refiere a la capacidad de dichos sistemas para operar bajo circunstancias dadas y está relacionada
con su confiabilidad y disponibilidad. El proveedor o contratista al seleccionar y especificar un sistema debe considerar,
además:
a) Tasas de falla (reveladas y no reveladas)

b) Falla para actuar bajo demanda
c) Tiempo Medio de Reparación Real – MTTR
Se deben emplear intervalos de prueba y tiempos de reparación en los análisis de confiabilidad y disponibilidad (PFDprom); en
el caso de intervalos de prueba los tiempos utilizados en los cálculos no deben ser menores a seis meses ni mayor a dos
años y, para el caso de los tiempos de reparación se debe utilizar en el cálculo un tiempo no menor a ocho horas.
Cuando no se disponga de información específica de los equipos o sistemas de interés, los análisis de confiabilidad y
disponibilidad se pueden basar en análisis de tasas de falla de situaciones comparables o cálculos empleando métodos de
pronóstico, como análisis de árboles de fallas o AMFE (FMEA) y aplicando información como la contenida en la base de datos
OREDA u otras de entidades colegiadas.
Para aplicaciones NIS (SIL) 3, se debe evitar que una falla simple pueda ocasionar la falla de todo el sistema.
20/06/2019 Rev. 0

Para cada FIS (SIF) se debe hacer un análisis de confiabilidad y disponibilidad, y se debe documentar formalmente para
garantizar que se cumpla la integridad de seguridad requerida.
Se deben considerar los efectos de las fallas de causa común al calcular la integridad global del sistema.
El proveedor o contratista debe proporcionar los certificados de cumplimiento conforme lo establece la IEC-61508 emitido por
TÜV, Exida, entre otros, de los elementos que componen al SIS. (Ver punto 8.7.2.4 de esta especificación técnica).
8.7.1.7 Redundancia.
El proveedor o contratista (diseñador) debe determinar los requisitos de redundancia para lograr el NIS (SIL) y PFDprom
requerida de todos los componentes del SIS como son sensores, resolvedores lógicos EP y elementos finales. La redundancia
debe aplicar tanto en los componentes físicos del sistema como en los programas. Además, el proveedor o contratista debe
considerar la Tolerancia a Fallos en Equipo “Hardware” TFE (HFT), la fracción de falla segura FFS (SFF), entre otros, ver
8.7.2.2.2 de esta especificación técnica.
8.7.1.8 Fallas de causa común.

Pueden ser provocadas por un componente único o por errores sistemáticos en los componentes redundantes. Las fallas de
causa común y los errores sistemáticos se deben reducir por el proveedor o contratista durante el proceso de diseño
considerando lo siguiente:
a) Proporcionar al proveedor o contratista información específica del proceso (códigos, números de modelo, entre
otros)
b) Verificación
c) Separación diversa/ idéntica
d) Redundancia diversa/idéntica
En algunos casos sistemas diferentes pueden compartir el mismo ambiente, cabina, operador, interfaz. Sin embargo, dichos
sistemas deben contar con fuentes de energía y resolvedores lógicos entre otros separados físicamente para evitar fallas de
causa común y a la vez permitir pruebas de mantenimiento o modificaciones, lo cual se debe considerar durante el diseño del
sistema.
8.7.1.9 Consideraciones de diseño de programas “software”.

El proveedor o contratista en el diseño de un SIS debe considerar los siguientes tipos de programas:
a) Programas integrados
b) Programas de aplicación
8.7.1.10 Programas integrados.

Este tipo de programas deben ser parte del sistema proporcionado por el proveedor o contratista y no pueden ser modificados
por el usuario final.
20/06/2019 Rev. 0

El proveedor o contratista debe proporcionar los programas integrados (“software” integrado), los cuales deben ser
transparentes para la preparación de programas de aplicación. Además, debe proporcionar documentación que compruebe
que:
a) Cuenta con un plan de calidad para los programas

b) Está definida la versión de los programas integrados
c) La versión de los programas integrados debe ser la misma para la etapa de configuración, pruebas y puesta en
operación
d) Se revisaron y analizaron todas las ampliaciones o arreglos a la funcionalidad de los programas integrados
contenidos en las nuevas versiones.
8.7.1.11 Programas de aplicación (“software” de aplicación).

Este tipo de programas deben contener la lógica funcional del SIS en el procesador lógico electrónico programable, esto es
las secuencias lógicas, permisivos, límites, expresiones, entre otros, que controlan las salidas, entradas, cálculos, y decisiones
requeridas para alcanzar los requisitos funcionales de seguridad. El proveedor o contratista es el responsable de proporcionar
el programa de aplicación que cumpla con todas las especificaciones de seguridad del sistema.
En el desarrollo del programa de aplicación se debe emplear el diseño modular y debe incluir módulos para pruebas de
diagnóstico.
La herramienta de configuración y los lenguajes de programación deben ser certificados de acuerdo con IEC 61508, para la
aplicación correspondiente. Dichos lenguajes deben estar de acuerdo con la IEC-61131-3, entre otros:
a) Diagramas de escalera
b) Diagrama de bloques
c) Listado de instrucciones
d) Texto estructurado
e) Gráfico
f) Textual
Se deben establecer patrones de programación para fortalecer un estilo consistente entre el equipo de diseño mediante la
aplicación de un plan de calidad de los programas. Para evitar complejidad innecesaria y características que dificulten el
pronóstico del comportamiento del sistema, se debe considerar los siguientes:
a) Los programas deben tener una estructura y un orden definido que garanticen la comprensión de todo lo que
ejecuta el programa en cualquier momento.
b) Cuando se apliquen secuencias anidadas, se debe minimizar el anidamiento.
Para verificar que el diseño de los programas de aplicación cumple con cada uno de los requisitos establecidos en la ERS, el
proveedor o contratista debe realizar:
a) Un análisis que demuestre que cada uno de los requisitos de la ERS se han implementado en el diseño.
20/06/2019 Rev. 0

b) Una revisión conjunta con PEMEX Transformación Industrial de los diseños de las funciones críticas de seguridad.
Para confirmar que los programas de aplicación cumplen con los requisitos establecidos en la ERS bajo todas las condiciones
operativas esperadas, el proveedor o contratista debe:
a) Desarrollar pruebas a los programas para someterlos a condiciones más allá de los límites normales de los datos,
órdenes, entradas por teclado, y otras acciones
b) Desarrollar un módulo de informe de errores y un módulo que permita resolverlos
c) Desarrollar pruebas para los programas de aplicación que permitan determinar su comportamiento en presencia
de fallas de los componentes físicos “hardware”
d) Presentar documentación que respalde cada uno de los puntos anteriores.
8.7.1.12 Agentes externos.

El procesador lógico EP se debe diseñar de modo que el equipo electrónico debe tener inmunidad a la radiofrecuencia
electromagnética, impacto, perturbaciones ambientales que impidan su funcionamiento, entre otras, mismas que deben
cumplir con la IEC 61131-2. Las medidas tomadas deben verificar este requisito y se deben seleccionar de acuerdo a las
consecuencias que se tendrían si el equipo fallara o presentara una degradación en sus funciones, además, el sistema no
debe producir disturbios electromagnéticos que puedan interferir con la operación de otros equipos.
El SIS se debe diseñar de tal forma que las funciones de protección se mantengan bajo todas las condiciones climáticas
requeridas que existen en el lugar en que se instale el SIS. Además de lo que especifique particularmente PEMEX
Transformación Industrial en su base de licitación.
8.7.1.13 Arquitectura.
Se debe indicar el arreglo e interconexiones de los componentes o módulos del SIS. La selección de ésta es una actividad
que se debe desarrollar durante el diseño del sistema. La arquitectura del SIS tiene un impacto directo en su integridad global
de seguridad, influenciando asimismo en su confiabilidad.
El proveedor o contratista durante la selección de la arquitectura del SIS debe incluir las siguientes etapas:
a) Selección de diseño energizado o desenergizado para disparo

b) Selección de redundancia idéntica o diversa para los sensores, resolvedores lógicos y elementos finales del SIS
c) Selección de redundancia para las fuentes de potencia y de suministro de energía al SIS
d) Selección de los componentes de la interfaz con el operador
e) Selección de las interfaces de comunicación entre el SIS y otros subsistemas
8.7.2 Diseño detallado del SIS
8.7.2.1 Requisitos para el comportamiento del sistema en la detección de un fallo

Las fallas no reveladas en el sistema obstruyen su efectividad en seguridad. El proveedor o contratista debe tomar acciones
para eliminar estos modos de falla sobre el diseño o en su caso se debe aplicar un método de pruebas que permita revelar
dichas fallas.
20/06/2019 Rev. 0

La detección de un fallo peligroso (mediante prueba de diagnóstico, prueba rigurosa o por cualquier otro medio) en cualquier
subsistema debe tolerar un fallo de equipo cumpliendo lo siguiente:
a) Lograr o mantener un estado seguro.

b) Una operación segura continua del proceso mientras la parte dañada es reparada. Si la reparación de la parte
dañada no se termina dentro del MTTR asumida se debe realizar una acción específica para lograr o mantener el
estado seguro.
La detección de un fallo peligroso (por prueba de diagnóstico, prueba rigurosa o por cualquier otro medio) en cualquier
subsistema sin tener redundancia y en el cual una FIS (SIF) es completamente dependiente, en el caso que el subsistema se
use solamente para FIS (SIF) operando en modo bajo demanda, debe resultar en:
a) Una acción específica para lograr o mantener un estado seguro; o.

b) Reparar el subsistema dañado dentro del periodo de MTTR asumido en el cálculo de probabilidad de fallas
aleatorias del equipo. Durante este tiempo la seguridad perseverante del proceso se debe reforzar por medidas y
restricciones adicionales. La reducción de riesgo proporcionado por estas medidas y restricciones debe ser al
menos igual a la reducción proporcionada por el SIS en la ausencia de cualquier falla. Las medidas y restricciones
adicionales se deben especificar en los procedimientos de operación y mantenimiento del SIS. La reparación se
debe llevar dentro del tiempo medio para reparación especificado para alcanzar o mantener un estado seguro.
La detección de un fallo peligroso (por prueba de diagnóstico, prueba rigurosa o por cualquier otro medio) en cualquier
subsistema sin redundancia y en el cual una FIS (SIF) es completamente dependiente, en el caso que el subsistema se use
solamente para FIS (SIF) operando en modo continuo, debe resultar en una acción específica para alcanzar o mantener un
estado seguro.
El proveedor o contratista debe especificar en la ERS la acción específica (reacción al fallo) requerida para alcanzar o
mantener un estado seguro. Esto puede consistir, del paro seguro del proceso, o esa parte del proceso del cual depende,
para la reducción del riesgo, en el subsistema dañado, u otra planeación de la mitigación especificada. El tiempo total para
detectar el fallo y ejecutar la acción debe ser menor que el tiempo para que ocurra el evento peligroso.
Cuando las acciones específicas para lograr o mantener el estado seguro en cualquier subsistema (que tolere un fallo, sin
redundancia en el cual la FIS (SIF) es completamente dependiente operando en modo bajo demanda o continuo), dependen
de un operador notificando mantenimiento para reparar un fallo del sistema en respuesta a una alarma de diagnóstico, esta
alarma de diagnóstico debe ser parte de un SCBP (BPCS) o SDMC pero debe ser sujeta a una prueba rigurosa y a la
administración del cambio junto con el resto del SIS.
8.7.2.2 Requisitos para el equipo tolerante a fallos
Para FIS (SIF), los sensores, resolvedores lógicos y los elementos finales deben tener un mínimo de equipo tolerante a fallos.
Para los procesadores lógicos EP, la mínima tolerancia a fallos de equipo “hardware” debe ser como se muestra en la Tabla
4 de esta especificación técnica.
20/06/2019 Rev. 0

Mínima tolerancia a fallos de equipo “hardware”

NIL (SIL)
FFS < 60 por ciento FFS 60 a 90 por ciento FFS > 90 por ciento
1 1 0 0
2 2 1 0
3 3 2 1
Tabla 4. Mínima tolerancia a fallos en equipo de los Procesadores Lógicos EP
Para todos los subsistemas (sensores, elementos finales y resolvedores lógicos no electrónicos programables, entre otros)
excepto los procesadores lógicos EP, la tolerancia mínima a fallos en el equipo debe ser como se indica en la Tabla 5 de esta
especificación técnica, de tal manera que el modo de falla dominante sea para el estado seguro o que las fallas peligrosas
sean detectadas (ver 8.7.2.1 de esta especificación técnica), de otra forma la tolerancia a fallo debe ser incrementada por uno
(ver 8.7.2.2.5 de esta especificación técnica).
Para todos los subsistemas (sensor, elementos finales y resolvedores lógicos, entre otros) excluyendo procesadores lógicos
EP la tolerancia mínima a fallo especificada en la tabla 5 de esta especificación técnica, se puede reducir en uno si los
dispositivos usados cumplen con todo lo siguiente:
a) El equipo del dispositivo se selecciona sobre la base de uso previo

b) El dispositivo permite ajustes únicamente de los parámetros del proceso, entre otros, rango de medición, dirección
de falla escala hacia arriba o hacia abajo
c) El ajuste de los parámetros relacionados con el proceso se encuentra protegido, entre otros de puentes, con clave
de acceso
d) La función tiene un requisito de NIS (SIL) de menos de 4 NIS (SIL)
Tolerancia mínima a fallo de equipo “hardware” (ver 8.7.2.2.3 y 8.7.2.2.4

NIS (SIL)
de esta especificación técnica)
1 0
2 1
3 2
Tabla 5. Tolerancia mínima a fallo de equipo de los sensores y elementos finales y resolvedores lógicos no-EP
En el caso de que el valor de la tolerancia mínima a fallo en equipo calculada con las tablas 4 y 5 de esta especificación
técnica, sea menor que las calculadas en las tablas 2 y 3 de la IEC 61508-2, debe prevalecer la IEC 61508-2. Por lo tanto, el
proveedor o contratista debe efectuar y entregar a PEMEX Transformación Industrial los dos cálculos.
8.7.2.3 Requisitos para la selección de componentes y subsistemas

El proveedor o contratista debe especificar los requisitos para la selección, integración y los criterios de aceptación de
componentes o subsistemas que se deben usar como parte de las FIS (SIF) de un SIS.
20/06/2019 Rev. 0

Los componentes y subsistemas seleccionados para uso como parte de un SIS para aplicaciones NIS (SIL) 1 a NIS (SIL) 3
deben cumplir con IEC 61508-2 y IEC 61508-3, o también deben estar de acuerdo con 8.7.2.2, 8.7.2.3.2 al 8.7.2.3.5 de esta
Los componentes y subsistemas seleccionados deben demostrar su conveniencia de uso a través de la documentación del
fabricante del equipo y los programas embebidos.
Los componentes y subsistemas deben ser consistentes con la ERS del SIS.
Diversidad. Se debe emplear para evitar que ocurran fallas de causa común, ya que el empleo de la misma tecnología en los
elementos físicos “hardware” o programas “software” puede producir fallas de causa común. En aplicaciones SIS la diversidad
se debe aplicar en elementos redundantes, sólo si esta es requerida para alcanzar los requisitos de integridad de seguridad.
En el diseño de un SIS se debe considerar la diversidad al momento de seleccionar elementos físicos “hardware”, programas
“software” de aplicación y utilitarios.
En el caso de los elementos físicos para implementar diversidad se debe emplear:
a) Tecnología diferente
b) Componentes de fabricantes o vendedores diferentes
c) Productos diferentes del mismo fabricante
En el caso de programas “software” la diversidad debe considerar lo siguiente:
a) Programación de aplicaciones por diferentes programadores

b) Empleo de algoritmos diferentes
c) Empleo de tipos de datos, estructuras de datos y técnicas de almacenamiento de información diferentes
d) Empleo de subrutinas de manejo de excepciones y/o errores diferentes
e) En el caso de emplear librerías y subrutinas ya codificadas, se deben utilizar al menos dos librerías y subrutinas
que realicen la misma función con diferente código
f) Rutinas con cambio del orden de operaciones aritméticas en conversiones y operaciones
g) Rutinas con cambio en la secuencia de operaciones entrada y salida de información E/S, (I/O)
Procesador lógico EP. El proveedor o contratista debe diseñar e integrar el procesador lógico EP de acuerdo a lo solicitado
por esta especificación técnica y cumplir con el NIS (SIL) correspondiente.
• Características mínimas a cumplir por el EP:
Debe estar diseñado conforme al concepto y principio de falla segura; en caso de pérdida de energía o bien cuando falla el
sistema o alguno de sus componentes clave.
El procesador lógico EP y sus módulos deben contar con autodiagnóstico. La lógica interna de cada procesador lógico EP
debe tener incorporadas rutinas de autodiagnósticos y de prueba automática en línea, y detección de fallas para determinar
el estado de cada módulo o del subconjunto que está dentro del sistema. La unidad de control debe funcionar de acuerdo a
20/06/2019 Rev. 0

los parámetros climáticos propios del sitio de instalación, ser resistente a los golpes, vibración, descargas electrostáticas,
“surge” eléctrico e interferencia electromagnética y radiofrecuencia.
El procesador lógico EP debe cumplir por si solo íntegramente con la serie IEC-61508 y contar con la certificación
correspondiente para aplicaciones en el nivel de integridad requerido, además la configuración y el software debe contar con
características de seguridad a través de una llave física que asegure la integridad de la configuración.
La unidad de control debe permitir mantenimiento en línea sin perder la protección. Los diagnósticos en línea deben identificar,
localizar y reportar las siguientes fallas:
a) Permanentes en las cuáles un componente del sistema o algún módulo sufre una falla irreversible
b) Temporales al azar en los cuáles los defectos sucesivos están interrelacionados
c) Intermitentes donde aparecen funcionamientos defectuosos con algún grado de periodicidad
d) De circuitos con detección de fallas
e) De memoria, todas las funciones RAM - Random Access Memory (Memoria de Acceso Aleatorio) y ROM – Read
Only Memory (Memoria de Sólo Lectura)
f) De procesador lógico EP
g) De comunicación
h) De direccionamiento e interfaz de entrada y salida
i) De módulo de entrada y salida
j) De suministro de energía
k) Problemas de sensor de campo (donde aplique)
l) Circuitos de E/S (entradas/salidas) (I/O) abiertos o en corto circuito
m) Alambres desconectados, bobinas de relé, contactos, terminales y fusibles de E/S (I/O) abiertos
El proveedor o contratista debe suministrar los manuales de instalación, programación, operación y mantenimiento del equipo
propuesto, en idioma español.
La unidad de control programable debe contar con memoria con capacidad de almacenamiento de datos para la captura de
secuencia de eventos, la cual debe mantenerse íntegra aún en el caso de falla de energía; la memoria del programa debe ser
del tipo no volátil o respaldada por batería. Se deben suministrar los medios para tener acceso local a la información contenida
en este elemento de memoria y direccionar esta base de datos de eventos a un nivel superior de un sistema informático, si
éste existe, a indicación de PEMEX Transformación Industrial, bajo las características de compatibilidad total (protocolo de
comunicación, interfaz humano máquina y demás características del sistema informático).
El procesador lógico EP debe contar con los módulos de entrada/salida para recibir y transmitir las señales analógicas y
discretas de/hacia los dispositivos de campo, que conformen el sistema.
Se puede aplicar cualquier tecnología para desvíos de entradas debiendo el proveedor o contratista soportar sus
procedimientos de acuerdo a lo indicado en el manual de seguridad “Safety manual” del procesador EP.
20/06/2019 Rev. 0

En caso de falla de un canal o módulo de entrada/salida del dispositivo, el procesador lógico EP debe tener la capacidad de
detectar la falla y mostrarla, alarmando por medio de un diodo emisor de luz en el frente del módulo en falla, así como en la
interfase humano máquina.
Los módulos de entrada/salida deben contar con los siguientes diagnósticos y protecciones por canal: diagnóstico y protección
de corto circuito y/o sobrecorriente y diagnóstico de circuito abierto.
Todos los módulos de entrada/salida del procesador lógico EP deben permitir ser reemplazados en línea sin interrumpir la
energía eléctrica y sin requerir herramientas especiales; el reemplazo debe comprender la configuración automática sin que
cause interrupción o disturbios en el “monitoreo”, lógica y actuación del sistema.
En el caso de requerirse, los contactos de salida del sistema lógico deben estar normalmente cerrados.
Es responsabilidad del proveedor o contratista proporcionar datos de MTTF del procesador lógico EP, tasa de fallas del
procesador lógico EP, el listado de los modos de fallas no reveladas y la frecuencia con que ocurren fallas identificadas,
tiempo medio entre disparos en falso (MTTFs), así como especificar el método usado y la fuente de dichos datos.
8.7.2.3.1 Requisitos para la selección de componentes y subsistemas basados en el uso previo
El proveedor o contratista debe tener disponible la evidencia de que los componentes y subsistemas son los requeridos para
su uso en el SIS.
La evidencia de la aplicabilidad debe incluir lo siguiente:
a) Consideración de la calidad y la administración de la configuración de los fabricantes de los sistemas

b) Identificación y especificación de los componentes o subsistemas
c) Demostración del desempeño de los componentes o subsistemas en perfiles operativos y ambientes físicos
similares
d) El volumen de la experiencia operativa
8.7.2.3.2 Requisitos para la selección de componentes y subsistemas programables con LFP (FPL) (entre otros, dispositivos
de campo) basados en el uso previo.
Aplican los requisitos generales, para la selección de componentes y subsistemas basados en el uso previo de 8.7.2.3 y
8.7.2.3.1 de esta especificación técnica.
Se debe identificar la aplicabilidad de las características no usadas de los componentes y subsistemas, y se debe establecer
la improbabilidad de poner en peligro las FIS (SIF) requeridas.
Se debe considerar la configuración específica y el perfil operacional del equipo y de los programas y la evidencia de la
aplicabilidad considerando las:
a) Características de las señales de entrada y salida

b) Modos de uso
20/06/2019 Rev. 0

c) Funciones y configuraciones usadas

d) Uso previo en aplicaciones y ambientes físicos similares
Para aplicaciones con NIS (SIL) 3, se debe realizar una evaluación formal de acuerdo con 8.1.6 Evaluación de seguridad
funcional, de esta especificación técnica, del dispositivo del LFP (FPL) para demostrar que:
a) Los dispositivos con LFP (FPL) tienen una baja probabilidad de que fallen provocando un evento peligroso en el
SIS, debido a las fallas aleatorias del equipo o a fallas sistemáticas en el equipo o programas
b) Cumplen con las normas para equipo y programas conforme a la serie IEC 61508
c) El dispositivo con LFP (FPL) ha sido usado o probado en configuraciones representativas de los perfiles
operacionales requeridos
Para aplicaciones con NIS (SIL) 3 se debe tener disponible un manual de seguridad incluyendo las restricciones para la
operación, mantenimiento y detección de fallas cubriendo las configuraciones típicas del dispositivo de LFP (FPL) y los perfiles
operacionales previstos.
8.7.2.3.3 Requisitos para la selección de los componentes y subsistemas programables con LVL (entre otros, procesadores
lógicos EP) basados en un uso previo.
Los siguientes requisitos se deben aplicar solo a los procesadores lógicos electrónicos programables usados en SIS para FIS
(SIF) con NIS (SIL) 1 o NIS (SIL) 2.
Aplican los requisitos de 8.7.2.3.2 de esta especificación técnica.
Cuando exista alguna diferencia entre los perfiles operacionales y los ambientes físicos de un componente o un subsistema
según previa experiencia, y son utilizados dentro del FIS (SIF) entonces se debe identificar cualesquiera diferencias y realizar
una evaluación basada en análisis y prueba para demostrar que la probabilidad de fallas sistemáticas es baja cuando es
usado en el SIS.
La experiencia operacional debe tomar en cuenta:
a) El NIS (SIL) de la FIS (SIF)

b) La complejidad y funcionalidad de componente o subsistema
Para aplicaciones con NIS (SIL) 1 o 2, se debe usar un procesador lógico EP configurado para seguridad, y debe cumplir con
lo siguiente:
a) Conocer los modos de falla insegura

b) Usar técnicas para la configuración de la seguridad que tratan los modos de falla identificados
c) Con programas embebido con un buen historial en aplicaciones de seguridad
d) Debe tener protección contra modificaciones no autorizadas o involuntarias
Se debe llevar a cabo una evaluación formal del procesador lógico EP usado en una aplicación con NIS (SIL) 2 de acuerdo
con 8.1.6, de esta especificación técnica, para demostrar que:
20/06/2019 Rev. 0

a) Es capaz de desempeñar las funciones requeridas y que el uso previo ha mostrado que hay baja probabilidad de
que este falle en un modo el cuál podría conducir a un evento peligroso cuando sea usado como parte del SIS,
debido a las fallas aleatorias del equipo o a los fallos sistemáticos en el equipo o programas.
b) Se deben implementar las medidas para detectar los fallos durante la ejecución del programa e iniciar las
siguientes:
• “Monitoreo” de la secuencia del programa
• Protección de código contra modificaciones o la detección de falla por “monitoreo” en línea
• Afirmación de la falla o programación diversa
• Verificar el rango de las variables o comprobar la credibilidad de los valores
• Enfoque modular
• Usar normas de codificación para los programas embebidos y de utilerías
• Este ha sido probado en configuraciones típicas, con casos de prueba representativos de los perfiles
• operacionales previstos
• Han sido usados módulos y componentes que han sido verificados
• El sistema ha sido objeto de un análisis dinámico y pruebas
• El sistema no usa inteligencia artificial ni reconfiguración dinámica
• Se han realizado pruebas documentadas de inserción de fallos
Para aplicaciones con NIS (SIL) 2 se debe tener disponible un manual de seguridad incluyendo las restricciones para la
operación, mantenimiento y la detección de fallos para cubrir las configuraciones típicas del procesador lógico EP y los perfiles
operacionales previstos.
8.7.2.3.4 Requisitos para la selección de los componentes y subsistemas programables con LVC (FVL) (procesadores lógicos
EP, entre otros)
Cuando las aplicaciones son programadas usando un LVC (FVL), el procesador lógico EP debe cumplir con IEC 61508-2 y
IEC 61508-3
8.7.2.4 Dispositivos de campo
En caso de requerirse algún componente (relevadores, barreras de seguridad intrínseca, aisladores galvánicos, arrancadores)
adicional al sensor o al elemento final en la FIS (SIF), este debe cumplir con el nivel NIS (SIL) requerido.
El proveedor o contratista debe seleccionar e instalar los dispositivos de campo para reducir al mínimo las fallas que pueden
resultar en información inexacta debido a las condiciones que presentan el proceso, las condiciones ambientales, la corrosión,
congelamiento de fluidos en las tuberías, sólidos en suspensión, polimerización, temperaturas y presiones extremas, entre
otras, si así lo especifica PEMEX Transformación Industrial en sus bases de licitación.
Los circuitos discretos de entrada/salida que se requieren energizar para disparar deben asegurar la integridad al circuito.
Cada dispositivo de campo individual debe tener su propio alambrado dedicado de entrada/salida del SIS, excepto en los
siguientes casos:
20/06/2019 Rev. 0

a) Cuando los múltiples sensores discretos se conectan en serie hacia una entrada sencilla y todos los sensores
monitorean la misma condición de proceso (sobrecargas del motor, entre otros).
b) Cuando se utilice un canal de comunicación “bus” digital que cumpla con el desempeño de seguridad y los
requisitos de integridad del FIS (SIF) y tenga una certificación emitida por TÜV para el NIS (SIL) correspondiente
conforme lo establece la IEC 61508
c) Cuando múltiples elementos finales estén conectados a una única salida. Para dos válvulas conectadas a una
única salida, ambas válvulas requieren cambiar de estado al mismo tiempo para todas las FIS (SIF) que utilicen
este mismo par de válvulas.
Los dispositivos de campo localizados en el proceso, pertenecientes a los SIS se deben identificar de acuerdo con la
P.2.0401.02 con etiquetas o rótulos permanentes que los diferencie de los otros dispositivos de campo de otros sistemas
[SCBP (BPCS) o SDMC o sistema de gas y fuego].
8.7.2.4.1 Sensores.
Cuando se especifique sensores inteligentes estos deben cumplir con lo siguiente:
Los sensores inteligentes deben estar protegidos contra escritura para prevenir la modificación inadvertida desde una posición
remota, a menos que la revisión de la seguridad permita el uso de lectura/escritura. La revisión debe considerar los factores
humanos tales como falla al seguir los procedimientos.
Cuando se usen sensores del tipo inteligentes, se deben establecer los procedimientos que aseguren el correcto uso del
modo de salida forzada y que nunca se dejen en ese mismo modo de manera permanente, así como también se deben de
establecer procedimientos para realizar cambios en la configuración/calibración de dichos transmisores con el uso de claves
de acceso.
Los requisitos generales para operación a falla segura que se deben cumplir en los sensores son:
a) Durante una operación normal de proceso los contactos de los sensores deben estar cerrados y energizados.
b) En el caso de falla de energía, las señales de los transmisores deben ir a un estado seguro.
c) En el caso de usar transmisores electrónicos de 4-20 mA, se deben configurar de tal forma que se pueda
aprovechar la señal de fuera de rango que normalmente ofrecen los transmisores.
d) Cuando se requieran más de dos sensores, el proveedor o contratista debe realizar conexiones separadas a
proceso para cada sensor, las señales de entrada al procesador lógico EP las debe hacer en módulos de entrada
diferentes (separados) o un módulo de entrada analógica que garantice la reducción de fallas de causa común y
cumpla con el nivel de la integridad requerida.
e) En el caso de sensores del tipo interruptores, el proveedor o contratista debe llevar a cabo los arreglos y cálculos
requeridos para realizar la supervisión de los lazos correspondientes a estos sensores, la supervisión debe proveer
la siguiente información: interruptor activado, interruptor desactivado, circuito abierto y corto circuito.
8.7.2.4.2 Válvulas.
Las válvulas de bloqueo de emergencia (de corte o cierre) se deben seleccionar de acuerdo a las condiciones específicas del
proceso y la función deseada y deben cumplir con los requisitos técnicos y documentales de la ET-204-PEMEX-2019 y para
20/06/2019 Rev. 0

la prueba de carrera parcial PEMEX Transformación Industrial indicará alguno de los métodos indicados en la ANSI/ISA-
TR96.05.01 o equivalente. El proveedor o contratista debe asegurar que sean bridadas e instaladas de tal forma que cada
brida de la válvula sea conectada a la contrabrida de tubería correspondiente, evitando así la presencia de espárragos que
vayan de lado a lado de la válvula.
Otros factores a considerar son los requisitos de corte, la experiencia que se tenga con las válvulas, modos de falla de la
válvula, procedimientos operativos que disminuyan su efectividad, requisitos de pruebas, requisitos de diagnóstico, requisitos
de indicadores de posición o interruptores de posición, entre otros.
Estos factores junto con: la tasa de fallas, el material del cual está fabricada, entre otros deben ser claramente documentados.
Las válvulas se deben llevar a una posición segura en caso de falla de suministro de energía.
Cuando aplique y de acuerdo al diseño en particular de ciertas instalaciones se requiera contar con válvulas de desvío y de
bloqueo, sobre todo en aquellas válvulas del SIS que cierran a falla de aire/energía y que en otras ocasiones al probarse en
línea han causado serios problemas operacionales, se requiere proveer a la válvula del SIS sólo con bloqueos (entre otros,
en válvulas que a falla abren). En los casos donde se requiera contar con desvío y bloqueos, se debe considerar la instalación
de dos válvulas de purga/venteo (dependiendo del servicio en la línea) instaladas entre las válvulas de bloqueo corriente
arriba y corriente abajo de la válvula del SIS, en este caso, se deben usar interruptores de posición que alarmen en el cuarto
de control del SIS cuando la válvula de desvío sea abierta o cuando alguna de las válvulas de bloqueo sean cerradas. Las
válvulas de desvío “by pass” y de bloqueo deben ser mecánicamente enclavadas a fin de evitar que las válvulas de corte del
SIS puedan ser desviadas o bloqueadas respectivamente de forma inadvertida.
Cuando se requieran más de dos válvulas, el proveedor o contratista debe realizar conexiones a proceso y eléctricas
separadas e independientes para cada válvula (ya sea que se requieran dos válvulas para el SIS o una para el SIS y otra
para el SCBP (BPCS) o SDMC, las señales de salida del procesador lógico EP deben ser de módulos de salida separados o
un módulo de salida que garantice la reducción de fallas de causa común.
8.7.2.4.3 Actuadores.
Deben contar con un indicador local que muestre la posición de la válvula. En caso de pérdida de señal o suministro de aire
la válvula debe tomar una posición segura y emitir una señal de alarma.
Dependiendo del NIS (SIL) se debe determinar el empleo de actuadores sencillos de retorno por resorte o actuadores de
doble acción operados neumática o hidráulicamente, o bien actuadores hidráulicos, de acuerdo con la ET-152-PEMEX-2019.
8.7.2.4.4 Materiales.
El proveedor o contratista debe garantizar que los materiales de los dispositivos de campo suministrados cumplan con lo
especificado en el diseño en cuanto a resistencia al medio de proceso, las condiciones de operación, el tiempo de vida y el
estrés mecánico que acompaña a la operación requerida y deben cumplir con la ET-204-PEMEX-2019 y en caso de que el
diseño lo requiera debe cumplir con los requisitos de sobrevivencia.
Diagnóstico de válvulas. Se debe introducir cobertura de diagnóstico para cumplir con el criterio de confiabilidad y con el
propósito de incrementar los intervalos de prueba. El diagnóstico asociado a válvulas debe considerar dos condiciones
establecidas: operación normal y diagnóstico activo.
20/06/2019 Rev. 0

El diagnóstico de la válvula durante operación normal debe considerar pruebas en línea, el uso de alarmas en caso de que la
válvula cambie de estado sin una señal lógica, entre otros.
Para el diagnóstico activo de la válvula se deben instalar transmisores de posición o interruptores de límite para retroalimentar
al procesador lógico EP indicando si la válvula operó correcta o incorrectamente, además se debe llevar a cabo considerando
la secuencia del paro de emergencia.
Panel de control local de válvulas. Para funciones de seguridad críticas en caso de requerirse un panel de control local de
válvulas, el acceso a éste, debe restringirse a fin de evitar el accionamiento inadvertido o no autorizado de las válvulas.
8.7.2.4.5 Válvulas solenoides.

Deben cumplir con los siguientes requisitos:
a) El arreglo de las válvulas solenoides debe cumplir con el NIS (SIL) requerido para cada FIS (SIF).
b) Estas válvulas solenoides deben ser de accionamiento para estado seguro, es decir, no se permiten mecanismos
de accionamiento manual.
c) La instalación o montaje debe asegurar la posición con respecto al concepto de falla segura de la válvula
solenoide, cuando esté operando en línea en un servicio crítico o cuando forme parte del accionamiento del
elemento final.
d) Cuando las válvulas solenoides se instalen dentro de un gabinete, éste debe estar protegido con recubrimiento a
prueba de fuego por un tiempo de 30 minutos. La instalación del recubrimiento a prueba de fuego no debe propiciar
el deterioro prematuro de la válvula solenoide por deficiente disipación de calor.
e) Su construcción debe evitar problemas de atoramiento o taponamiento de la válvula, que pongan en riesgo el
elemento final.
f) Las válvulas solenoides deben ser capaces de soportar altas temperaturas incluyendo el calor generado por su
misma operación, así como la radiación calorífica proveniente de hornos de calentamiento, entre otros.
Cableado y transmisión de señales de control electrónicas del SIS. El diseño e instalación del cableado de las señales de
campo al resolvedor lógico pertenecientes al SIS, debe tomar en cuenta los requisitos técnicos indicados del 4 al 19 del API
RP 552 o equivalente.
No se debe compartir un mismo tubo “conduit” para instalar cables del SIS junto con cables de control de proceso SCBP
(BPCS) o SDMC o del sistema de gas y fuego. El número de conductores eléctricos en un tubo “conduit” debe cumplir con el
factor de relleno indicado en la tabla 10-1 del capítulo 10 de la NOM-001-SEDE, según el tamaño nominal del tubo “conduit”
que aparece en la tabla 10-4 del capítulo 10 de la NOM-001-SEDE.
Se debe evitar que las rutas de cables pasen por áreas de alto riesgo o vulnerables. En casos inevitables se requiere previa
autorización de PEMEX Transformación Industrial.
Protección por fuego, onda expansiva, caída de objetos u otros. Cuando se haya especificado (en la ERS) algún requisito de
sobrevivencia, la instrumentación y componentes involucrados tales como, actuadores, cables y cualquier otro dispositivo que
formen parte del SIS se deben especificar con las respectivas protecciones contra fuego, onda de choque, fenómenos
meteorológicos y por caída de objetos sobre ellos.
20/06/2019 Rev. 0

Consideraciones ambientales. En la selección de los dispositivos que conforman el SIS se deben fijar los requisitos
concernientes a calor, escarcha por heladas, protecciones por ingreso de agua contraincendio (agua tratada, de mar, cruda,
entre otros) y/o por ingreso de otros medios de extinción de fuego.
Los dispositivos eléctricos se deben seleccionar para cumplir con la clasificación de áreas peligrosas conforme lo establece
ET-036-PEMEX-2019 y ser consistentes con la filosofía o lineamientos de seguridad de la instalación.
Interfaces. Las Interfaces Humano Máquina – IHM (HMI) y de comunicación al SIS deben incluir las:
a) Interfaces del operador

b) Interfaces de ingeniería/mantenimiento
c) Interfaces de comunicación
8.7.2.5 Requisitos de la interfaz del operador
La interfaz del operador sirve para comunicar información al operador tal como una acción de paro a tomar, diagnóstico del
sistema (sensor, procesador lógico EP, estado del elemento final), pérdida de energía que impacte la seguridad, entre otros.
La operación del sistema, sin embargo, no debe depender de la interfaz, ya que no siempre puede estar funcionando o estar
disponible.
Cuando la interfaz del operador del SIS se realiza vía la interfaz de operador del SCBP (BPCS) o SDMC, se debe tomar en
cuenta las fallas que pueden ocurrir en la interfaz de operador del SCBP (BPCS) o SDMC.
En el diseño se debe tomar en cuenta las fallas de la interfaz del operador del SIS, dando los medios como alternativas para
que el operador lleve al proceso a un estado seguro y que las funciones automáticas del SIS no estén comprometidas. PEMEX
Transformación Industrial debe definir con base en sus necesidades si la interfaz del SIS es independiente de la del SCBP
(BPCS) o SDMC o si dicha interfaz se integra a la del SCBP (BPCS) o SDMC.
El diseño del SIS debe reducir al mínimo la necesidad al operador de seleccionar opciones y desviar el sistema mientras que
la unidad está operando. Si el diseño requiere el uso de las acciones del operador, debe incluir la protección contra error del
operador. Los controles se deben localizar asegurando que sólo el personal autorizado mediante claves de acceso puede
cambiar datos o acceder a los programas.
Los interruptores de desvío se deben proteger por llave física o claves de acceso para prevenir el uso no autorizado.
Debe estar disponible la información del estado del SIS que es crítica para mantener el NIS (SIL) como parte de la interfaz
del operador. Esta información debe incluir:
a) El proceso en estado real

b) Indicación de que la acción de protección del SIS ha ocurrido
c) Indicación de que una función de protección esté desviada
d) Indicación de acción(es) automática(s) tal como la degradación de la votación y/o manejo de fallas ha ocurrido
e) El estado de los sensores y de los elementos finales
f) La pérdida de energía donde impacta a la seguridad
20/06/2019 Rev. 0

g) Diagnósticos
h) Falla del equipo de aire acondicionado
i) Histórico de alarmas y secuencia de eventos
j) Pantallas operativas de mantenimiento periódico
k) Registro para control y auditoria del mantenimiento del sistema
l) Guías de operación para procedimientos críticos
El diseño de la interfaz del operador del SIS debe prevenir cambios al programa de aplicación del SIS. Cuando se requiere
enviar información de “monitoreo” de seguridad del SIS al SCBP (BPCS) o SDMC no se debe comprometer la funcionalidad
de la seguridad del SIS.
La interfaz del operador se debe diseñar usando principios de ergonomía. La presentación de la información al operador debe
ser clara y precisa. El volumen de alarmas y mensajes que se presenten al operador en una situación delicada de la instalación
debe ser administrado y revisada.
El proveedor o contratista debe asegurar que no existan botones configurados para desencadenar el paro de emergencia.
Los requisitos basados en el control de la información presentada en pantalla se deben oficializar y registrar, para asegurar
que se cumplan dichos requisitos.
El proveedor o contratista debe proporcionar las estaciones industriales para interfaz humano máquina y equipo de cómputo,
de acuerdo a las especificaciones de la licitación.
La interfaz del operador se debe usar para comunicar información entre el SIS y el operador y debe incluir los siguientes
componentes.
a) Interfaz humano máquina para desplegados de pantalla

b) Tableros que contengan luces indicadoras, estaciones de botones, indicadores, e interruptores
c) Anunciadores (alarmas audibles y visibles)
d) Impresoras
e) Cualquier combinación de éstos
La Interfase Humano Maquina – IHM (HMI) para desplegados gráficos de pantalla. En caso de que lo requiera PEMEX
Transformación Industrial, los desplegados gráficos de pantalla pueden ser compartidos por una misma
Interfase humano máquina para las funciones de control de proceso y de seguridad funcional de un SCBP (BPCS) o SDMC,
a través de los desplegados gráficos normales de operación.
Cuando se utilice la IHM (HMI) del operador de un sistema asociado SCBP (BPCS) o SDMC para proporcionar
automáticamente información relacionada con la seguridad del proceso, registrando en archivos históricos los eventos y
funciones de alarmas. Las condiciones anotadas deben incluir los eventos del SIS (como el disparo y eventos previos al
disparo).
20/06/2019 Rev. 0

Cuando se tenga una IHM (HMI) dedicada para el SIS, se deben presentar los desplegados gráficos dinámicos de vista
general que proporcionen la información requerida en tiempo real del estado dinámico del proceso y que permita la interacción
del operador con el SIS. Estas pantallas de desplegados gráficos dinámicos de vista general deben desplegar el diagrama de
flujo de la seguridad del proceso que muestre de manera esquemática cada uno de los equipos principales y la instrumentación
del sistema de seguridad funcional del proceso, cabezales y tuberías debidamente identificados mediante etiquetas mostrando
el estado dinámico del proceso, indicando los valores de operación en tiempo real de las variables de la seguridad funcional
del proceso. El diseño de los desplegados gráficos dinámicos de vista general y de detalle se debe mostrar los diferentes
instrumentos debidamente identificados y codificados mediante colores conforme a la ET-226-PEMEX-2019.
8.7.2.5.1 Alarmas y eventos.

Toda alarma debe ser anunciada de manera sonora y visible de modo continuo y automático hasta que sea reconocida por el
operador. Los desplegados gráficos de alarmas se deben presentar de manera visible e intermitente con un color codificado
el aviso de alarma correspondiente, para poder distinguir entre diferentes alarmas prioritarias. Las alarmas del SIS deben ser
fácilmente visibles para el operador y deben ser reconocidas fácilmente con respecto a otras alarmas. El operador debe ser
capaz de ver siempre mediante desplegados gráficos del interfaz humano maquina lo que está pasando en el SIS aun cuando
falle el SCBP (BPCS) o SDMC. Por tanto, las alarmas para el SCBP (BPCS) o SDMC y para el SIS deben estar separadas
físicamente para minimizar fallas de modo común en los subsistemas de alarmas y se afecte la operación tanto del SIS como
del SCBP (BPCS) o SDMC. Todo el diseño y desarrollo de alarmas y eventos en la IHM (HMI) debe ser conforme a la ET-
226-PEMEX-2019.
8.7.2.5.2 Impresora(s).
Las impresoras conectadas al SIS no deben comprometer ninguna función de seguridad del SIS en caso de presentarse
alguna falla en la impresora.
Los SIS pueden ser conectados a una misma interfaz humano maquina compartida con un SCBP (BPCS) o SDMC usando
así los mismos recursos de interfaz humano máquina para realizar sus funciones de registro relacionados con la seguridad y
el informe de las funciones de seguridad.
Las Impresoras deben documentar la secuencia de los eventos, la información, los diagnósticos, y otros eventos relacionados
con la seguridad y alarmas del SIS, registrados con el tiempo en el cual ocurrió, la fecha y el número de identificación
correspondiente. La impresión de alarmas y eventos debe llevarse a cabo mediante una impresora dedicada exclusivamente
para este propósito, imprimiendo cada alarma de manera continua. La impresora de reportes puede ser compartida con otro
sistema.
8.7.2.6 Requisitos de la interfaz de ingeniería/mantenimiento
El diseño de la IHM (HMI) de ingeniería/mantenimiento del procesador lógico EP del SIS debe asegurar que cualquier falla de
esta interfaz no debe afectar adversamente la capacidad del SIS llevar el proceso a un estado seguro. Esto puede requerir el
desconectar las interfaces de ingeniería/mantenimiento, tales como los tableros de programación, durante la operación normal
del SIS.
La IHM (HMI) de ingeniería/mantenimiento debe proporcionar las siguientes funciones de acceso de protección segura para:
20/06/2019 Rev. 0

a) El modo de operación del SIS, programa, datos, medios de deshabilitar la comunicación de alarmas, pruebas,
desvíos, mantenimiento
b) El diagnóstico del SIS, servicios de manejo de fallas y votación
c) Adicionar, borrar, o modificar el programa de aplicación
d) Los datos necesarios para solucionar problemas en el SIS
e) Cuando se requiera de desvíos, se deben instalar tal que las alarmas y paros manuales de instalaciones no sean
deshabilitados
La IHM (HMI) de ingeniería/mantenimiento no se debe usar como la interfase del operador.
El permitir e inhabilitar el acceso de lectura/escritura se debe realizar solamente por una configuración o proceso de
programación usando la interfaz de ingeniería/mantenimiento con medidas de seguridad requeridas (claves de acceso).
8.7.2.7 Requisitos de la interfaz de comunicación
El diseño de la interfaz de comunicación del SIS debe asegurar que cualquier falla de la interfaz de comunicación no debe
afectar la capacidad del SIS de llevar al proceso a un estado seguro.
El SIS debe ser capaz de comunicarse con el SCBP (BPCS) o SDMC y los periféricos que no impacten en la FIS (SIF).
La interfaz de comunicación debe soportar la interferencia electromagnética del medio ambiente incluyendo sobrecargas
eléctricas sin causar alguna falla peligrosa en las FIS (SIF) de acuerdo con la IEC 61000-6-2 y IEC 61000-6-4
8.7.3 Cálculo de PFDprom de las FIS (SIF).
La probabilidad de falla en demanda promedio de cada FIS (SIF) se debe verificar mediante cálculos comparados con el
objetivo de medición de fallas cumpliendo lo especificado en las especificaciones de los requisitos de seguridad. Se puede
referir al Anexo A de la IEC 61511-2 para las técnicas disponibles para asegurar que el diseño del SIS satisface el desempeño
relacionado a las fallas de equipo aleatorias.
La probabilidad de falla calculada de cada FIS debido a fallas del equipo debe tomar en cuenta:
a) La arquitectura del SIS para cada FIS.

b) La razón de fallas estimadas de cada subsistema, que cause una falla peligrosa del SIS las cuales son detectadas
y no detectadas por pruebas de diagnóstico.
c) La susceptibilidad del SIS a fallas de causa común.
d) La cobertura de diagnóstico de cualquier prueba de diagnóstico periódica (determinadas de acuerdo con IEC
61511-2 el intervalo asociado de la prueba de diagnóstico y la confiabilidad por el diagnóstico de las instalaciones.
e) Los intervalos en los cuales se llevan a cabo las pruebas rigurosas.
f) Los tiempos para reparación de las fallas detectadas.
g) La razón estimada de falla peligrosa de cualquier proceso de comunicación en cualquiera de los modos que
causaran una falla peligrosa del SIS (detectadas y no detectadas por pruebas de diagnóstico).
20/06/2019 Rev. 0

h) La razón estimada de falla peligrosa de cualquier respuesta humana en cualquiera de los modos que cause una
falla peligrosa del SIS (detectado y no detectado por las pruebas de diagnóstico).
i) La susceptibilidad a los disturbios de la compatibilidad electromagnética CEM (EMC) (de acuerdo a IEC 61326-1).
j) La susceptibilidad a las condiciones climáticas y mecánicas (de acuerdo a IEC 60654-1 y a IEC 60654-3).
La Probabilidad de Falla en Demanda promedio (PFDprom) de cada FIS debe ser menor o igual que la PFDprom especificada
en el documento Especificación de Requisitos de Seguridad (ERS), esto se debe verificar mediante cálculos.
Los métodos de modelado para cálculo de PFDprom y de otras métricas importantes como el tiempo medio entre Disparos
en Falso (MTTFs) y su elección dependen de la experticia del analista. Los métodos son varios, entre los que se listan: (ver
IEC 61508-6, Anexo B):
- Simulación
- Análisis Causa Consecuencia
- Análisis de Árbol de Fallas
- Modelos Markovianos
- Diagramas de Bloques de Confiabilidad
8.8 Requisitos para los programas de aplicación incluyendo criterios de selección para los programas de utilerías
Se debe considerar alguno de los siguientes programas para su aplicación en los SIS conforme a lo solicitado por PEMEX
Transformación Industrial en los requisitos específicos del proyecto:
a) Programas:
• Programas de aplicación.
• Programas de utilerías, herramientas de programa usadas para desarrollar y verificar los programas de
aplicación, entre otros.
• Programas embebidos, programas suministrados como parte del fabricante del procesador lógico EP, entre
otros.
b) Lenguajes de desarrollo de programas:

• Lenguajes fijos de programas LFP (FPL)
• Lenguajes de variabilidad limitada (LVL)
• Lenguajes de variabilidad completa LVC (FVL)
El desarrollo y la modificación de programas de aplicación o uso de LFP (FPL) o LVL hasta NIS (SIL) 3 debe cumplir con esta
especificación técnica. El desarrollo y la modificación de las aplicaciones de programas utilizando LVC (FVL) deben cumplir
con la serie IEC 61508.
Los programas de utilerías junto con el manual de seguridad del fabricante el cual define la forma en que el procesador lógico
EP puede ser aplicado en condiciones de seguridad se deben seleccionar y aplicar de conformidad con los requisitos de 8.8.6
de esta especificación técnica, la selección de programas embebidos usando LVC (FVL), y deben cumplir con la serie IEC
61508.
20/06/2019 Rev. 0

8.8.1 Requisitos del ciclo de vida de seguridad de los programas de aplicación
Los programas de aplicación usados en el SIS por parte de los fabricantes, proveedores o contratistas deben cumplir con el
ciclo de vida indicado en la Figura 4 de esta especificación técnica, y deben:
a) Definir las actividades requeridas para desarrollar los programas de aplicación para cada subsistema programable
del SIS.
b) Definir cómo seleccionar, controlar y aplicar los programas de utilerías usados para desarrollar los programas de
aplicación.
c) Asegurar de que existe una planeación adecuada a fin de que los objetivos de la seguridad funcional asignados a
los programas de aplicación se cumplan.
Figura 4. Ciclo de vida de seguridad de los programas de aplicación y su relación con el ciclo de vida del SIS
20/06/2019 Rev. 0

El proveedor o contratista del SIS, debe especificar un ciclo de vida de seguridad para el desarrollo de los programas de
aplicación que cumpla con los requisitos de esta especificación técnica y debe ser considerado durante la planeación de
seguridad y estar integrado al ciclo de vida de seguridad del SIS.
Cada fase del ciclo de vida de seguridad de los programas de aplicación se debe definir en términos de sus objetivos y
actividades elementales, que requieren información de entrada y resultados de salida, requisitos de verificación (ver 8.13 de
esta especificación técnica) y responsabilidades (ver Tabla 6 y Figura 5 de esta especificación técnica).
Siempre que el ciclo de vida de seguridad de los programas de aplicación cumpla con los requisitos de la tabla 6, se debe
tomar en cuenta la profundidad, número y tamaño de las fases del modelo V que se deben aplicar de acuerdo a la figura 6
conforme a la integridad de seguridad y la complejidad del proyecto.
El procesador lógico EP que implementa los programas de aplicación, debe cumplir con el NIS (SIL) requerido por cada FIS
(SIF).
Se deben seleccionar y aplicar los métodos, técnicas y herramientas para cada fase del ciclo de vida, a fin de:
a) Minimizar el riesgo de introducir fallas en el programa de aplicación

b) Revelar y remover fallos que ya existen en el programa
c) Asegurar que los fallos remanentes en el programa no conduzcan a resultados inaceptables
d) Asegurar que los programas se mantengan durante el tiempo de vida del SIS
e) Demostrar que los programas tienen la calidad requerida
Cada fase del ciclo de vida de seguridad de los programas de aplicación se debe verificar y deben estar disponibles los
resultados (ver 8.13 de esta especificación técnica).
Si en alguna fase del ciclo de vida de seguridad de los programas de aplicación, se requiere de un cambio debido a una fase
anterior del ciclo de vida de seguridad, entonces esa fase anterior y las siguientes fases se deben reexaminar y, si los cambios
son requeridos se debe repetir y re-verificar.
Los programas de aplicación, los programas embebidos, los programas de utilerías y el equipo en el SIS, se deben sujetar a
la administración de la configuración (ver 8.1. de esta especificación técnica).
Se debe llevar a cabo la planeación de las pruebas, las cuales deben considerar lo siguiente:
a) Las políticas para integrar los programas y el equipo

b) Casos de prueba y datos de prueba
c) Tipos de pruebas a ser desarrolladas
d) Pruebas ambientales incluyendo herramientas, apoyo de los programas y descripción de la configuración
e) Criterio de prueba en el que la terminación de la prueba debe ser juzgada
f) Ubicación física (en fábrica o en el sitio de instalación, entre otros)
g) Dependencia en la funcionalidad externa
h) Personal requerido
i) No conformidades
20/06/2019 Rev. 0

Figura 5. Ciclo de vida de seguridad de los programas de aplicación (en fase de realización.
20/06/2019 Rev. 0

Figura 6. Ciclo de vida del desarrollo de los programas (Modelo V)
20/06/2019 Rev. 0

20/06/2019 Rev. 0

Tabla 6. Vista general del ciclo de vida de seguridad de los programas de aplicación
8.8.2 Especificación de requisitos de seguridad de los programas de aplicación

El proveedor o contratista debe proporcionar la ERS para cada subsistema programable del SIS para implementar las FIS
(SIF) requeridas siendo consistentes con la arquitectura del SIS. Ver la relación entre la arquitectura de los programas y del
equipo de la Tabla 7 de esta especificación técnica.
20/06/2019 Rev. 0

Arquitectura de los subsistemas del SIS EP

Arquitectura del equipo Arquitectura de los programas “software” (consta de los
“Hardware” programas embebidos y los programas de aplicación)
Programas embebidos Programas de aplicación
Características específicas
genéricas y de aplicación en el Incluye, entre otros:
equipo “hardware” • Funciones de
Incluye, entre otros: entrada/salida
Incluye, entre otros: • Controladores de • Funciones derivadas
• Pruebas de diagnósticos comunicaciones (entre otros, verificación
• Procesadores redundantes • Manejo de fallos “errores” del sensor si es que este
• Tarjetas duales de • Programa ejecutable programa de aplicación
entrada/salida no se encuentra
embebido)
Tabla 7. Relación entre el “hardware” y “software” de las arquitecturas de un SIS
Se debe desarrollar la ERS de los programas de aplicación. La ERS de los programas para cada subsistema del SIS debe
incluir:
a) La ERS de las FIS (SIF)
b) Los requisitos resultantes de la arquitectura del SIS
c) Cualquier requisito de planeación de seguridad
La ERS de los programas de aplicación debe detallar el diseño e implementación para alcanzar la integridad de seguridad
objetivo y permitir que se lleve a cabo una evaluación de la seguridad funcional y debe considerar lo siguiente:
a) Las funciones soportadas por los programas de aplicación
b) Capacidad y tiempo de respuesta del desempeño
c) Equipo e interfaces de operador y su operabilidad
d) Los modos relevantes de operación del proceso como se especifica en la ERS del SIS
e) Acción que se lleva a cabo en los fallos en los lazos de control de las variables de procesos como el valor del
sensor fuera de rango, circuito abierto detectado, corto circuito detectado, entre otros
f) Prueba de verificación y pruebas de diagnóstico de dispositivos externos (sensores y elementos finales, entre
otros)
g) “Auto-monitoreo” de los programas (entre otros, incluye la aplicación de vigilancia y validación del rango de datos
h) “Monitoreo” de otros dispositivos dentro del SIS (sensores y elementos finales, entre otros)
i) Permitir pruebas periódicas de las FIS (SIF) cuando el proceso está operando
j) Referencias a los documentos de entrada (especificación de las FIS, configuración o arquitectura de los SIS,
requisitos de integridad de seguridad del equipo del SIS, entre otros)
20/06/2019 Rev. 0

El desarrollador de los programas de aplicación debe revisar la información de la especificación para asegurar que los
requisitos sean claros, consistentes y entendibles. Cualquier deficiencia en la ERS se debe identificar con el desarrollador de
los subsistemas del SIS.
La ERS de los programas se debe expresar y estructurar de manera que:
a) a) Sea clara para aquellos que van a utilizar el documento en cualquier etapa del ciclo de vida de seguridad, debe
usar terminología y descripciones que sean claras y entendibles por los operadores de la planta y de
mantenimiento, así como los programadores de aplicación
b) Sean verificables, comprobables y modificables
c) Tengan respaldo de trazabilidad hacia la ERS del SIS
La ERS de los programas de aplicación debe proveer información que permita la selección de equipo propio y debe considerar
lo siguiente:
a) Las funciones que permitan al proceso lograr o mantener un estado seguro
b) Las funciones relacionadas a la detección, alarma, y manejo de fallos en los subsistemas del SIS
c) Las funciones relacionadas a la prueba periódica de las FIS (SIF) en línea
d) Las funciones relacionadas a la prueba periódica de las FIS (SIF) fuera de línea
e) Las funciones que permiten al SIS ser modificado de modo seguro
f) Las interfaces para las funciones que no están relacionadas con la seguridad
g) La capacidad y el tiempo de respuesta del desempeño
h) Los NIS (SIL) para cada una de las funciones anteriores
Las entradas y las salidas generadas en cada una de las etapas de los programas de aplicación durante su ciclo de vida,
deben cumplir lo indicado en el ciclo de vida de seguridad de los programas de aplicación.
El proveedor o contratista adicionalmente debe incluir los siguientes elementos, si estos son parte del estándar de producto
del procesador lógico EP y los que no sean parte de los programas específicos de aplicación:
a) Sistema operativo
b) Sistema de manejo de comunicación
c) Dispositivos de manejo del procesador lógico EP
La evidencia de que se aplique el aseguramiento de calidad al desarrollo de los programas de aplicación debe ser parte del
plan de calidad de los programas. Los programas de aplicación deben permitir cambios en línea sin inducir condiciones
inseguras.
El plan de calidad de los programas de aplicación debe especificar o referenciar los procedimientos para identificar fallos en
los propios programas de aplicación que hayan encontrado otros usuarios y para incorporar cualquier corrección a los
programas de aplicación.
Los programas de aplicación para los cuales se disponga de datos del buen desempeño en campo se deben emplear para el
desarrollo de programas con altos estándares de aseguramiento de calidad. Sin embargo, la importancia de tales datos de
desempeño en campo se debe evaluar cuidadosamente. La evaluación debe confirmar que la evidencia de campo relaciona
20/06/2019 Rev. 0

aplicaciones similares con la aplicación deseada, y que el programa de aplicación no se ha modificado durante el período en
el cual los datos de campo fueron empleados. La evidencia de campo no debe ser empleada para omitir evidencia de
deficiencias de control en el diseño de los programas.
Los detalles de estándares de desempeño de los programas de aplicación que sean importantes para las especificaciones de
los requisitos totales se deben identificar en el plan de calidad de los programas. Tales requisitos de desempeño deben incluir:
a) Restricciones de tiempo
b) Integridad, rendimiento y retraso de mensajes de comunicación
c) Los estándares de desempeño para degradación bajo condiciones de carga alta
Existe la posibilidad de que versiones subsecuentes de los programas de aplicación no sean compatibles totalmente con
elementos anteriores. La estrategia adoptada para asegurar el NIS (SIL) sobre actualizaciones de los programas de aplicación
se debe contemplar en el plan de calidad.
Los programas de aplicación sujetos a actualizaciones de versión frecuentes pueden incrementar su tamaño de modo que se
requiera actualizar el equipo de soporte. Se deben tomar precauciones en caso de que el soporte del proveedor o contratista
esté disponible por un corto periodo de tiempo a partir de la última actualización de la versión de los programas.
8.8.3 Planeación de la validación de la seguridad de los programas de aplicación
Se debe asegurar el desarrollo de la planeación de la validación de los programas de aplicación.

La planeación de la validación de los programas de aplicación debe cumplir con 8.11 de esta especificación técnica
8.8.4 Desarrollo y diseño de los programas de aplicación
El proveedor o contratista debe cumplir con los siguientes requisitos generales:

Desarrollar una arquitectura de los programas de aplicación que sea compatible con la arquitectura del equipo y que cumpla
la ERS de los programas (ver 8.8.2 de esta especificación técnica).
Examinar y evaluar los requisitos que deben cumplir los programas por la arquitectura del equipo y los programas embebidos
en la arquitectura del SIS. Estos incluyen los efectos secundarios del comportamiento del equipo y los programas del SIS, la
configuración especifica de la aplicación en el equipo del SIS, la tolerancia de fallos inherente del SIS y la interacción de la
arquitectura del equipo y programas embebidos del SIS, con los programas de aplicación para seguridad.
Seleccionar un conjunto adecuado de herramientas (incluyendo los programas de utilerías) para desarrollar los programas de
aplicación.
Diseñar y poner en práctica o seleccionar programas de aplicación que cumplan los requisitos especificados para la seguridad
de los programas (ver 8.8.2 de esta especificación técnica) que sean analizables, verificables y capaces de modificarse de
modo seguro.
Verificar que la ERS de los programas (en términos de los programas requeridos de las FIS) se han alcanzado.
El desarrollo, las pruebas, la verificación y la validación de los programas de aplicación LVC (FVL) deben estar de acuerdo
con la IEC 61508-3
20/06/2019 Rev. 0

El método de diseño debe ser consistente con las herramientas de desarrollo y las restricciones dadas por los subsistemas
del SIS aplicados.
El método seleccionado de diseño y lenguaje de aplicación (LVL o LFP (FPL) debe incluir características que proporcionen lo
siguiente:
a) Modularidad y otras características tales como el control de la complejidad; donde sea posible, los programas se
deben basar en módulos de programas probados que pueden incluir funciones de librería del usuario y reglas bien
definidas para enlazar los módulos de los programas.
b) Expresión de:
• Funcionalidad, idealmente como una descripción lógica o como funciones algorítmicas
• Flujo de información entre elementos modulares de las funciones de aplicación
• Requisitos de secuencia
• Garantía de que las FIS (SIF) operan siempre dentro de las restricciones de tiempo definidas
• Libertad de comportamiento indeterminado
• Garantía de que los datos internos no son erróneamente duplicados, todos los tipos de datos usados
• están definidos y las acciones adecuadas ocurren cuando los datos están fuera de rango o son
• erróneos
• Hipótesis del diseño y sus dependencias
c) Comprensión por los desarrolladores y otros que necesitan entender el diseño, desde entender una aplicación
funcional y el conocimiento de las restricciones de la tecnología.
d) Verificación y validación, incluyendo cobertura de los códigos de los programas de aplicación, cobertura funcional
de la aplicación integrada, la interfase con el SIS y su aplicación específica de la configuración del equipo.
e) Modificación de los programas de aplicación, tales características incluyen modularidad, trazabilidad y
documentación.
El diseño alcanzado debe cumplir con lo siguiente:

a) Incluir las verificaciones de la integridad y la veracidad de los datos
b) Ser trazable a los requisitos
c) Ser comprobable
d) Tener la capacidad para una modificación segura
e) Mantener la complejidad y tamaño de los programas de aplicación de las FIS (SIF) hacia un mínimo
Cuando los programas de aplicación se implementan para FIS (SIF) de diferentes NIS (SIL), todos los programas deben ser
tratados como pertenecientes al NIS (SIL) más alto a menos que la independencia entre las FIS (SIF) de los diferentes NIS
(SIL) puedan ser mostradas en el diseño. La justificación de independencia debe ser documentada, si la independencia es
solicitada o no, el NIS (SIL) buscado de cada FIS (SIF) se debe identificar.
Si las funciones de librería de un programa de cómputo de aplicación son previamente desarrolladas para ser usadas como
parte del diseño, su aplicabilidad en satisfacer la ERS de los programas de aplicación debe ser justificada. La aplicabilidad
debe estar basada en:
20/06/2019 Rev. 0

a) Conformidad con la IEC 61508-3 cuando se usen LVC (FVL), o.

b) Conformidad con la IEC 61511-1 cuando se usen LFP (FPL) o LVL, o.
c) Evidencia de funcionamiento satisfactorio en una aplicación similar que se ha demostrado que tiene una
funcionalidad similar o haber sido objeto de la misma verificación y procedimientos de validación como se espera
para cualquier nuevo desarrollo de programas (8.7.2.3.2 y 8.7.2.3.3 de esta especificación técnica).
Como mínimo, la siguiente información se debe incluir en la documentación de los programas de aplicación o en la
documentación relacionada:
a) Entidad legal (compañía o autor, entre otros)
b) Descripción
c) Trazabilidad para los requisitos funcionales de aplicación
d) Convenciones lógicas usadas
e) Funciones de librería estándar usadas
f) Entradas y salidas
g) Administración de la configuración incluyendo una historia de cambios
8.8.5 Requisitos para la arquitectura de los programas de aplicación
El diseño de la arquitectura de los programas de aplicación se debe basar en la ERS del SIS dentro de las restricciones de la
arquitectura del sistema del SIS. Debe cumplir con los requisitos del diseño del subsistema seleccionado, su conjunto de
herramientas y manual de seguridad.
La descripción del diseño de la arquitectura de los programas de aplicación debe cumplir con lo siguiente:
a) Proveer una descripción entendible de la estructura interna y de la operación de los subsistemas del SIS y de sus
componentes.
b) Incluir la especificación de todos los componentes identificados, y la descripción de conexiones e interacciones
entre los componentes identificados (equipo y programas).
c) Identificar los módulos de programas incluidos en los subsistemas del SIS pero que no son usados en ninguna
FIS.
d) Describir el orden del procesamiento lógico de datos con respecto a los subsistemas de entradas/salidas y la
funcionalidad de los procesadores lógicos EP incluyendo cualquier limitación impuesta por tiempos de barrido.
e) Identificar todas las no FIS (SIF) y asegurar que no afectan la operación de cualquier FIS (SIF).
Se deben identificar y justificar las razones de la elección del conjunto de métodos y técnicas usados para desarrollar los
Los métodos y técnicas usados en el diseño de los programas de aplicación deben ser consistentes con cualquier restricción
identificada en el manual de seguridad del subsistema del SIS.
Se deben describir y justificar las características usadas para mantener la integridad de la seguridad de todos los datos. Tales
datos deben incluir datos de entrada-salida de la planta, datos de comunicaciones, datos de operación, datos de
mantenimiento y datos internos de la base de datos.
20/06/2019 Rev. 0

8.8.6 Requisitos para las herramientas de apoyo, manual del usuario y lenguajes de aplicación
Se debe seleccionar el conjunto de herramientas, incluyendo un subconjunto de aplicaciones del lenguaje de programación,
la administración de la configuración, simulación, herramientas de pruebas, y cuando proceda las herramientas de medición
de prueba automática de cobertura.
Se deben considerar las herramientas correspondientes para suministrar los servicios relevantes a través de todo el tiempo
de vida del SIS.
Se debe identificar el conjunto de procedimientos para el uso de las herramientas tomando en cuenta las restricciones del
manual de seguridad, conociendo las deficiencias como introducir fallos en los programas y cualquier limitación en la cobertura
de la verificación y validación anterior.
El lenguaje de aplicación seleccionado debe cumplir con lo siguiente:
a) Ser implementado usando un compilador/traductor que ha sido evaluado para establecer su adaptabilidad para
ese propósito
b) Estar definido completa y claramente o restringido para características definidas claras
c) Coincidir con las características de la aplicación
d) Contener características que faciliten la detección de errores en programación
e) Apoyar las características que coinciden con los métodos de diseño
Cuando el 8.8.7.4 de esta especificación técnica, no se cumpla, entonces se debe documentar la justificación del lenguaje
usado durante la descripción del diseño de la arquitectura del programa de aplicación (ver 8.8.6 de esta especificación
técnica), la justificación debe detallar la adaptabilidad para el propósito del lenguaje, y cualquier medida adicional que se
refiera a cualquier deficiencia detectada en el lenguaje.
Los procedimientos para el uso de los lenguajes de aplicación deben especificar buenas prácticas de programación, evitar
características genéricas de lenguaje de cómputo no seguras (características de lenguaje no definidas, diseños no
estructurados, entre otros). Se deben identificar las revisiones para detectar fallos en la configuración para especificar los
procedimientos para la documentación de los programas de aplicación.
8.8.7 El manual de seguridad debe abordar los siguientes puntos según proceda:
a) El uso de diagnósticos para desempeñar funciones de seguridad
b) Lista de librerías de seguridad certificadas/verificadas
c) Pruebas mandatarias y lógica de paro del sistema
d) Uso de vigilancia
e) Requisitos y limitaciones para herramientas y lenguajes de programación
f) Los NIS (SIL) para los dispositivos o sistema sean los requeridos
Se debe verificar la aplicabilidad de las herramientas.
8.8.8 Requisitos para el desarrollo de los programas de aplicación

La siguiente información debe estar disponible antes del inicio del diseño de los programas de aplicación:
a) La ERS de los programas (8.8.3 de esta especificación técnica).
20/06/2019 Rev. 0

b) La descripción del diseño de la arquitectura de los programas de aplicación (ver 8.8.6 de esta especificación
técnica) incluyendo la identificación de la lógica de aplicación y la funcionalidad de tolerancia a fallo, una lista de
datos de entrada y salida, los módulos de programas genéricos y las herramientas de apoyo a ser usados, y los
procedimientos para programar los programas de aplicación.
Los programas de aplicación deben ser producidos de un modo estructurado para lograr:
a) Modularidad de la funcionalidad
b) Comprobabilidad de la funcionalidad (incluyendo características de tolerancia a fallos) y de estructura interna
c) La capacidad para modificación segura
d) Trazabilidad y explicación de las funciones de aplicación y las restricciones asociadas
El diseño de cada módulo de aplicación debe direccionar la robustez, incluyendo:

a) Verificación de credibilidad de cada variable de entrada incluyendo cualquier variable usada para proveer datos
de entrada
b) Definición completa de las interfases de entrada y salida
c) Verificaciones de las configuraciones del sistema incluyendo la existencia y accesibilidad del equipo y módulos de
programas requeridos
Se debe especificar el diseño de cada módulo de programas de aplicación y las pruebas estructurales para ser aplicadas a
cada módulo de programas de aplicación.
Los programas de aplicación deben cumplir con lo siguiente:
a) Ser leíbles, entendibles y verificables
b) Satisfacer los principios relevantes de diseño
c) Satisfacer los requisitos relevantes especificados durante la planeación de la seguridad (ver 8.1.4 de esta
especificación técnica)
Los programas de aplicación se deben revisar para asegurar la conformidad del diseño especificado, los principios de diseño,
y los requisitos de planeación de la validación de la seguridad.
8.8.9 Requisitos para la prueba de los módulos de los programas de aplicación

Se debe verificar la configuración de cada punto de entrada a través de la lógica de procesamiento hacia los puntos de salida,
mediante técnicas de revisión, simulación, y prueba para confirmar que los datos de estada/salida son mapeados a la correcta
lógica de aplicación.
Se debe verificar cada módulo de los programas de aplicación mediante técnicas de revisión, simulación, y pruebas para
determinar que las funciones propuestas son correctamente ejecutadas y no se ejecuten las funciones no deseadas.
Se deben realizar pruebas para los módulos específicos que están siendo probados, considerando lo siguiente:
a) Ejercitar todas las partes del modelo de aplicación
b) Ejercitar los límites de los datos
c) Calendarizar los efectos de la secuencia de ejecución
20/06/2019 Rev. 0

d) Implementación de una secuencia propia
Los resultados de las pruebas de los módulos de los programas de aplicación deben estar disponibles.
8.8.10 Requisitos para probar la integración de los programas de aplicación

Las pruebas a los programas de aplicación deben mostrar que todos los módulos de los programas de aplicación y los
componentes/subsistemas interactúan correctamente entre ellos y con los programas embebidos elementales para ejecutar
la función requerida.
Los resultados de las pruebas de integración de los programas de aplicación deben estar disponibles y mostrar lo siguiente:
a) El resultado de las pruebas
b) Si se han cumplido los objetivos y criterios de la especificación de la prueba
Si hay un fallo, se deben reportar los motivos por los que se falló.
Durante la integración de los programas de aplicación, cualquier modificación a los programas se
debe sujetar a un análisis de impacto de la seguridad el cual debe determinar:
a) Los módulos de los programas que son afectados.
b) Las actividades de re-diseño y re-verificación que son requeridas (ver 8.8.12 de esta especificación técnica).
8.8.11 Integración de los programas de aplicaciones con los subsistemas del SIS
El proveedor o contratista del SIS debe demostrar que los programas de aplicación cumplen la ERS de los programas cuando
corren en el equipo y programas embebidos usados en los subsistemas del SIS.
Las pruebas de integración deben ser especificadas tan pronto como sea posible en el ciclo de vida de seguridad de los
programas para asegurar la compatibilidad de los programas de aplicación con el equipo y la plataforma de los programas
embebidos, de manera que los requisitos de desempeño y funcionales de la seguridad se deben cumplir.
Durante la prueba, cualquier modificación o cambio debe estar sujeta a un análisis de impacto de la seguridad, el cual debe
determinar:
a) Los módulos de programas que son afectados
b) Las actividades requeridas de re verificación (ver 8.8.13 de esta especificación técnica)
La siguiente información de la prueba debe estar disponible:

a) Productos de configuración bajo prueba
b) Productos de configuración que apoyan las pruebas (herramientas y funcionalidad externa)
c) Personal involucrado
d) Casos de pruebas y escritos de pruebas
e) Los resultados de las pruebas
f) Si se han cumplido los objetivos y criterios de las pruebas
20/06/2019 Rev. 0

g) Si existe una falla, las razones de la falla, el análisis de las fallas y los registros de la corrección incluyendo la
reprueba y re-verificación (ver 8.8.11 de esta especificación técnica)
8.8.12 Procedimientos de modificación de los programas [LFP (FPL) y LVL]

Asegurar que los programas continúen cumpliendo la ERS de los programas después de su modificación.
Las modificaciones se deben desarrollar de acuerdo con 8.1.6.1 y 8.1.7 y 8.11 de esta especificación técnica, con los
siguientes requisitos adicionales:
a) Antes de la modificación se debe llevar a cabo un análisis de los efectos de la modificación en la seguridad del
proceso y del estado del diseño de los programas y sea usado para dirigir la modificación
b) Debe estar disponible la planeación de la seguridad para la modificación y re-verificación
c) Las modificaciones y re-verificaciones se deben realizar de acuerdo con la planeación
d) Se debe considerar la planeación de las condiciones requeridas durante la modificación y pruebas
e) Toda la documentación afectada por la modificación se debe actualizar
f) Deben estar disponibles todos los detalles de las modificaciones al SIS (registro)
8.8.13 Verificación de los programas de aplicación
Demostrar que la información sea satisfactoria.

Demostrar que los resultados de salida satisfagan los requisitos definidos en cada fase del ciclo de vida de seguridad de los
Se debe llevar a cabo la planeación de la verificación para cada fase del ciclo de vida de los programas de aplicación de
acuerdo con 8.3 de esta especificación técnica.
Se deben verificar los resultados de cada fase para cumplir con lo siguiente:
a) La suficiencia de las salidas desde una fase del ciclo de vida en particular contra los requisitos para esa fase
b) La suficiencia de la revisión, inspección y/o prueba de cobertura de las salidas
c) Compatibilidad entre las salidas generadas en diferentes fases del ciclo de vida
d) Corrección de los datos.
La verificación también debe abordar lo siguiente:

a) Comprobabilidad
b) Legibilidad
c) Trazabilidad
Las funciones no seguras y las interfaces de proceso integradas con las funciones y señales relacionadas con la seguridad
se deben verificar para:
a) No tener interferencia con las funciones de seguridad
20/06/2019 Rev. 0

b) Protección contra la interferencia con las funciones de seguridad en el caso de anomalías de las funciones no
seguras
8.9 Pruebas de aceptación en fábrica (FAT) del SIS
Estas pruebas deben ser aplicadas a todos los elementos que forman parte del SIS. Cuando el SIS este diseñado con un
procesador lógico EP, el proveedor o contratista debe cumplir la inspección de la calidad en las instalaciones del fabricante,
se realizará para determinadas actividades conforme al plan de inspección elaborado de acuerdo al programa de fabricación,
con personal designado por la empresa contratada y aprobado por PEMEX Transformación Industrial.
El cumplimiento de las especificaciones establecidas en el contrato, se determina revisando los requisitos y presenciando las
actividades que apliquen, siendo enunciativas más no limitativas las siguientes:
a Las especificaciones contractuales.
b Programa de fabricación.
c Plan de inspección
d La ingeniería aprobada (establecida en el contrato).
e La competencia (formación académica profesional, habilidades y experiencia) del personal que
f intervenga en la fabricación de los bienes.
g Los documentos que demuestren la calibración vigente de los instrumentos de medición.
h Informes de resultados de calidad de la materia prima.
i Los procesos y pruebas de fabricación de los bienes muebles
j Las pruebas durante el proceso de fabricación de los bienes.
k Informes parciales del avance de la fabricación e inspección.
l Las pruebas finales establecidas en el contrato.
m Manuales (operación, mantenimiento y capacitación), memoria técnica del bien y números de parte
n El embalaje de los bienes conforme al contrato.
o La documentación que establece el contrato.
Además de lo anterior el Proveedor y/o Contratista debe cumplir con lo siguiente:
Probar el procesador lógico EP y los programas asociados del SIS para asegurar que cumplen los requisitos definidos en la
ERS e identificar y corregir los errores asociados a la configuración programación del SIS antes de su instalación en la planta
de PEMEX Transformación Industrial.
Especificar la necesidad de una FAT durante la fase de diseño de proyecto del SIS.
Especificar lo siguiente en la planeación de una FAT en el protocolo de pruebas previamente revisado por PEMEX
Transformación Industrial:
a) El proveedor o contratista debe solicitar a PEMEX Transformación Industrial el listado enunciativo más no limitativo
de pruebas que debe cumplir para realizar en el proceso de pruebas (FAT).
b) Los tipos de pruebas a ser desarrolladas incluyendo la prueba de funcionalidad del sistema EP; pruebas de
desempeño (tiempo, confiabilidad y disponibilidad, integridad, objetivos de seguridad y restricciones), las pruebas
ambientales (incluyen compatibilidad electromagnética, tiempo de vida y pruebas de tensión), pruebas de interfaz,
20/06/2019 Rev. 0

pruebas en modos degradado y/o de fallo, pruebas de excepción, aplicación de los manuales de mantenimiento y
operación del SIS. Casos de prueba, descripción de la prueba y los datos de prueba.
c) La dependencia en otros sistemas/interfaces.
d) Herramientas y entorno de la prueba.
e) Configuración del procesador lógico EP.
f) Criterios de prueba en los que la terminación de la prueba debe ser evaluada.
g) Procedimientos para adoptar medidas correctivas en caso de falla de la prueba.
h) Habilidades y función del personal de la prueba.
i) Ubicación física.
Las FAT se deben llevar a cabo con la versión de “hardware” y “software” adquirida con el contrato.
Las FAT se deben llevar a cabo de conformidad con la planeación de las FAT. Estas pruebas deben mostrar que toda la lógica
se desempeñe correctamente.
Para cada prueba realizada, se debe seguir lo siguiente:
a) La versión de la planeación de la prueba que se está usando
b) La característica de desempeño y la FIS (SIF) que se está probando
c) Los procedimientos de prueba detallados y descripciones de las pruebas
d) Un registro cronológico de las actividades de prueba
e) Las herramientas, equipos e interfaces utilizadas
El SIS debe ser completamente probado antes de ser enviado por el proveedor o contratista a PEMEX Transformación
Industrial.
En las pruebas FAT debe participar el personal involucrado en las etapas de diseño, construcción, planeación y verificación
del sistema bajo prueba.
El SIS se debe revisar y probar en un ambiente controlado de temperatura y humedad, de manera que cualquier problema se
pueda resolver y corregir usando los recursos disponibles en el sitio del proveedor o contratista. Las pruebas FAT deben
aclarar y rectificar cualquier duda o error en el desarrollo de la prueba.
El número de participantes depende de la complejidad y del tamaño del EP del SIS. Se deben definir las responsabilidades
de cada persona participante en la FAT y en éstas debe participar el siguiente personal:
a) El proveedor o contratista, es el responsable de conducir y coordinar las pruebas FAT, así como de preparar los
procedimientos (protocolo) de prueba requeridos en esta especificación técnica.
b) Representantes de PEMEX Transformación Industrial.
El proveedor o contratista debe probar y verificar el desempeño del equipo y programas del EP del SIS el cual incluye los
módulos de entrada/salida, las terminales de conexión, el cableado interno, los procesadores lógicos EP, los módulos de
interfase de comunicación y la IHM (HMI), la configuración/programación de los programas (de operación y de aplicación), así
como la redundancia del sistema.
Las pruebas al procesador lógico EP del SIS se deben realizar usando los siguientes criterios:
20/06/2019 Rev. 0

a) Inspección visual
b) Cableado interior de los gabinetes
c) Fuentes de alimentación y su redundancia
d) Simulando entradas, usualmente digitales, pulsos, 4-20 mA, o termopar y observando la respuesta del sistema
e) Probando las salidas, usualmente digitales o de 4-20 mA
f) Creando varios escenarios de falla para probar los sistemas de respaldo
g) Pruebas de la lógica no interactiva, esto es, la lógica que no requiere una retroalimentación de los dispositivos de
campo para operar.
h) Prueba completa de la lógica. Esto es, probar funcionalmente el procesador lógico EP la interfaz del operador,
con simuladores de entrada y salida (discretos y analógicos) que simulen las entradas/salidas de campo. La
prueba se debe realizar verificando la lógica mostrada en las matrices de causa y efecto. En la simulación, se
debe usar la misma interfaz del operador que va a ser usada en el sitio.
i) Se debe probar la lógica del procesador lógico EP al 100 por ciento.
La simulación lógica se debe hacer de manera escrita en el procesador lógico EP, las salidas deben estar ligadas a las
entradas dentro de la simulación, de modo que cuando una salida es enviada desde el procesador lógico EP, debe obtenerse
una confirmación de que el dispositivo de salida ha operado. De este modo, la lógica es interactiva con los dispositivos de
campo.
Todos los equipos usados para la calibración y pruebas deben presentar certificados de calibración vigentes por parte del
proveedor o contratista, emitidos por un organismo de certificación debidamente acreditado por una entidad de acreditación
autorizada en términos de la LFMN y aprobados por la dependencia correspondiente (art.70 de la LFMN), que aseguren la
trazabilidad a patrones nacionales o internacionales reconocidos por la autoridad competente e incluyan información sobre
las medidas realizadas y las incertidumbres asociadas.
Los resultados de las FAT se deben documentar, indicando:
a) Los casos de prueba
b) Los resultados de la prueba
c) Si se cumplieron los objetivos y criterios de la prueba
Si hay una falla durante la prueba, las razones de la falla se deben documentar y analizar y se deben implementar las acciones
correctivas requeridas.
Durante las FAT, cualquier cambio o modificación debe ser objeto de un análisis de seguridad para determinar:
a) El grado de impacto sobre cada función instrumentada de seguridad
b) El alcance de repetición de la prueba debe ser definido y ejecutado
8.10 Instalación y “comisionamiento” del SIS
Cuando PEMEX Transformación Industrial establezca en sus bases de licitación el suministro e instalación del SIS debe
cumplir entre otros con lo siguiente:
20/06/2019 Rev. 0

El embalaje y transportación del equipo es responsabilidad del proveedor o contratista quien debe garantizar la integridad de
los equipos que conforman el SIS. El embalaje y marcado de materiales y equipos para su embarque debe cumplir con los
numerales 8.1.1 al 8.1.2, 8.1.6, 8.1.9 y 8.2 al 8.4 de la P.1.0000.09:2005
En esta etapa, el proveedor o contratista debe asegurar que la instalación del SIS incluyendo los dispositivos de campo estén
de acuerdo con el diseño detallado, los planos y la ERS, así mismo debe llevar a cabo las pruebas de “comisionamiento” del
SIS de modo que esté listo para la validación final del sistema.
En la planeación de la instalación y “comisionamiento” del SIS se deben definir todas las actividades requeridas para éste
propósito. El proveedor o contratista debe proporcionar lo siguiente:
a) Lista de actividades de instalación y “comisionamiento”
b) Los procedimientos, medidas y técnicas que se deben utilizar para la instalación y “comisionamiento”
c) Programa de desarrollo de dichas actividades y tiempos de ejecución
d) Las personas, departamentos y organizaciones responsables de estas actividades
El proveedor o contratista debe integrar en la planeación global del proyecto la planeación de la instalación y
“comisionamiento”.
Todos los componentes del SIS se deben instalar de acuerdo con el plan de diseño e instalación (ver 8.10.3 de esta
especificación técnica).
Se debe cumplir con los siguientes requisitos generales asociados al proceso de instalación:
a) El proveedor o contratista debe considerar la instalación del SIS de manera separada con respecto al trabajo
eléctrico y electrónico de otros sistemas.
b) El proveedor o contratista debe asegurar que el paquete de diseño esté completo.
c) Todos los dispositivos montados en campo deben ser instalados de modo que permitan fácil acceso tanto para el
mantenimiento como para las pruebas en línea que puedan ser llevadas a cabo.
d) Se debe proteger a todos los dispositivos de campo de daño físico o ambiental previo a la instalación.
e) El proveedor o contratista no debe realizar ningún cambio o desviación de los diagramas de diseño sin previa
autorización de PEMEX Transformación Industrial en forma escrita y debidamente registrada.
El “comisionamiento” debe constituir una verificación física que confirme que el SIS y todos los elementos que lo integran se
encuentren físicamente instalados de acuerdo al diseño y listos para las pruebas OSAT. Dicho “comisionamiento” lo debe
realizar el proveedor o contratista bajo la supervisión de PEMEX Transformación Industrial.
El SIS se debe comisionar en conformidad con la planeación en la preparación para la validación final del sistema.
Las actividades de “comisionamiento” deben incluir, pero no se limitan a la confirmación de lo siguiente:
a) El sistema de tierras de instrumentos se ha conectado correctamente
b) Los Sistemas de Fuerza Ininterrumpible – SFI se han conectado correctamente y están en funcionamiento
c) No hay daños físicos presentes
d) Todos los instrumentos han sido debidamente calibrados
e) Todos los dispositivos de campo son operables
20/06/2019 Rev. 0

f) Las señales de entradas/salidas del resolvedor lógico son operables

g) Las interfaces con otros sistemas y periféricos son operables
El proveedor o contratista debe elaborar registros del “comisionamiento” del SIS, indicando los resultados de la prueba y si
se han cumplido los objetivos y criterios identificados durante la fase de diseño. Si hay una falla, se deben registrar las razones
de dicha falla.
Cuando la instalación no se ajusta a la información del diseño se debe evaluar la diferencia por una persona calificada por
parte del proveedor o contratista el probable impacto sobre la seguridad determinada. Si se establece que no se tiene ningún
impacto en la seguridad, la información sobre el diseño se debe actualizar a "como quedo construido". Si la diferencia tiene
un impacto negativo sobre la seguridad, la instalación debe ser modificada para cumplir con los requisitos de diseño.
Pruebas funcionales en línea. Para todas aquellas aplicaciones en las cuales no sea práctico, o sea difícil llevar a cabo
pruebas funcionales fuera de línea, el proveedor o contratista debe proporcionar procedimientos para llevar a cabo pruebas
funcionales en línea. Dichos procedimientos deben incluir las pruebas funcionales de los elementos finales hasta donde sea
posible.
8.11 Validación de seguridad del SIS
Una vez que se ha terminado la instalación y el “comisionamiento”, el proveedor o contratista debe realizar la validación de la
seguridad del SIS (OSAT) y entregarla a PEMEX Transformación Industrial.
Se debe validar a través de la inspección y pruebas, que el SIS instalado y “comisionado” y sus FIS (SIF) asociadas alcancen
los requisitos establecidos en la ERS.
El proveedor o contratista debe presentar el acta de aceptación de las pruebas FAT; así mismo la planeación de la validación
del SIS debe ser entregada a PEMEX Transformación Industrial previamente a definir todas las actividades requeridas para
su validación. Se deben incluir los siguientes puntos:
a) La validación de actividades incluyendo la validación del SIS con respecto a la ERS incluyendo la aplicación y la
resolución de recomendaciones resultantes.
b) La validación de todos los modos relevantes de operación del proceso y su equipo asociado incluyendo:
• La preparación para uso, incluyendo calibración y ajuste
• El arranque, automático, manual, semi-automático, en estado estable de operación
• La re-configuración, paro, mantenimiento
• Las condiciones anormales razonablemente previsibles, entre otros, aquellas identificadas a través de la fase
de análisis de riesgos
c) Los procedimientos, medidas y técnicas usadas para la validación.
d) Cuándo estas actividades se deben llevar a cabo.
e) Las personas, departamentos y organizaciones responsables de estas actividades y los niveles de independencia
de las actividades de validación.
f) La referencia a la información con la que se debe llevar a cabo la validación (Matriz lógica de causa y efecto del
SIS, entre otras).
g) Entre las actividades que se incluyen están prueba de lazos, procedimientos de calibración, simulación de los
programas de aplicación, entre otras.
20/06/2019 Rev. 0

La planeación adicional de la validación para los programas de aplicación de seguridad debe incluir lo siguiente:
a) La identificación de los programas de seguridad que requieren ser validados para cada modo de operación del
proceso antes de comenzar el “comisionamiento”.
b) La información sobre la estrategia técnica para la validación incluyendo:
• Técnicas manuales y automatizadas
• Técnicas estáticas y dinámicas
• Técnicas estadísticas y analíticas
c) De acuerdo con b), las medidas (técnicas) y los procedimientos que se deben usar para confirmar que cada FIS
(SIF) se ajusta a los requisitos especificados para los programas de las FIS (SIF) (ver 8.8.3 de esta especificación
técnica) y los requisitos específicos para la integridad de seguridad de los programas (ver 8.8.3 de esta
d) Las necesidades del entorno en el que las actividades de la validación son llevadas a cabo (para probar esto se
deben incluir herramientas calibradas y equipo, entre otros).
e) El criterio de pasa/falla para el cumplimiento de validación de los programas, incluyendo:
• El proceso requerido y señales de entrada del operador con sus secuencias y valores
• Las señales de salida anticipadas con sus secuencias y valores
• Otro criterio de aceptación, entre otros, el uso de la memoria, tiempo y el valor de las tolerancias
f) Las políticas y procedimientos para la evaluación de los resultados de la validación, en particular las fallas.
Cuando se requiera que la exactitud de la medición sea parte de la validación entonces los instrumentos usados para esta
función deben ser calibrados con una incertidumbre requerida a la aplicación y con trazabilidad hacia patrones nacionales o
internacionales y certificados por un organismo de certificación debidamente acreditado y aprobado de acuerdo con lo indicado
en esta especificación técnica, si no es posible una calibración, se debe usar y documentar un método alternativo.
La validación del SIS y sus FIS (SIF) asociadas deben estar de conformidad con la validación de la planeación del SIS. Las
actividades de validación deben incluir, pero no limitarse a lo siguiente:
a) El SIS debe desempeñarse bajo los modos de operación normal y anormal (arranque, paro, entre otras) que se
señalan en la ERS.
b) Confirmación de que la interacción adversa del SCBP (BPCS) o SDMC y otros sistemas conectados no afectan la
integridad y operación del SIS.
c) Verificar que el SIS se comunica correctamente (en caso requerido), con el SCBP (BPCS) o SDMC o cualquier
otro sistema o red.
d) Los sensores, el resolvedor lógico, y los elementos finales operan en conformidad con la ERS, incluidos todos los
canales redundantes.
e) La documentación del SIS es consistente con el sistema instalado.
f) Confirmación de que la FIS (SIF) opera tal como se especifica en valores no válidos de las variables de proceso
(fuera del rango, entre otros).
g) Que la secuencia de paro activada sea la correcta.
h) El SIS proporciona indicaciones visuales de que está operando de acuerdo a lo requerido.
20/06/2019 Rev. 0

i) Los cálculos que se incluyen en el SIS son correctos.

j) Las funciones de restablecimiento parcial y total del SIS se realizan tal como se definen en la ERS.
k) Las funciones de desvío y restablecimiento del desvío operan correctamente.
l) Los permisivos de arranque operan correctamente.
m) El sistema de paro manual opera correctamente.
n) Los intervalos de pruebas rigurosas están documentados en los procedimientos de mantenimiento.
o) Las funciones de alarma de diagnóstico se realizan de acuerdo a lo requerido.
p) Confirmar que el SIS opera como se requiere cuando se presenta el evento de pérdida de servicios (energía
eléctrica, neumática o hidráulica) y cuando se restablecen los servicios el SIS retorna al estado deseado.
q) Confirmación que la inmunidad a la Compatibilidad Electromagnética - CEM especificada en la ERS (ver 8.6 de
esta especificación técnica), se ha logrado.
La validación de los programas debe mostrar que todos los requisitos especificados de seguridad de los programas (ver el
8.8.5 de esta especificación técnica) se ejecutan correctamente, y los `programas no ponen en peligro los requisitos de
seguridad bajo condiciones de fallo del SIS en un modo degradado de operación o por la ejecución de la funcionalidad de los
programas no definidos en la especificación. La información de las actividades de validación debe estar disponible.
Los resultados de la validación del SIS deben proporcionar la siguiente información:
a) La versión de la planeación de la validación del SIS que está siendo usada
b) La FIS (SIF) bajo prueba (o análisis), junto con la referencia específica al requisito identificado durante la
planeación de la validación del SIS
c) Herramientas y equipo usado, junto con los datos de calibración
d) Los resultados de cada prueba
e) La versión de la especificación de prueba usada
f) Los criterios para la aceptación de las pruebas de integración
g) La versión del equipo y programas del SIS que están siendo probados
h) Cualquier discrepancia entre los resultados esperados y los actuales
i) El análisis hecho y las decisiones adoptadas sobre la conveniencia de continuar con la prueba o emitir una solicitud
de cambio, en el caso de que se produzcan discrepancias
Cuando se producen discrepancias entre los resultados previstos y los reales, el análisis efectuado y las decisiones adoptadas
sobre la conveniencia de continuar con la validación o la emisión de una solicitud de cambio y volver a una etapa anterior del
ciclo de vida de desarrollo, debe estar disponible como parte de los resultados de la validación de seguridad.
Después de la validación del SIS y ya “comisionado” para reducir los peligros identificados (Etapa 3 del modelo del ciclo de
vida, ver figura 2 de esta especificación técnica), se deben llevar a cabo las siguientes actividades:
a) Regresar a su posición normal todas las funciones de desvío (entre otras, el forzamiento del resolvedor lógico y
los sensores forzados, las alarmas deshabilitadas).
b) Verificar que todas las válvulas de aislamiento del proceso cumplan con los requisitos y procedimientos de
arranque del proceso.
c) Retirar todos los materiales de prueba (entre otros, los fluidos).
20/06/2019 Rev. 0

d) Eliminar todos los forzamientos y si aplica eliminar todos los forzamientos inhabilitados.
8.11.1 Validación integral del SIS

En caso de que el SIS forme parte de un proyecto integral en el cuál existan otros sistemas [SCBP (BPCS) o SDMC y Sistema
de gas y fuego] que tengan interrelación con el SIS, el proveedor o contratista debe realizar pruebas integrales del SIS que
confirmen la funcionalidad correcta de todos los sistemas del proyecto integral, incluyendo la lógica de acuerdo a la ERS. Esta
verificación se debe realizar después de que la validación del SIS se ha realizado de manera satisfactoria.
El proveedor o contratista debe presentar lo siguiente antes de iniciar las pruebas integrales:
a) El acta de aceptación de las pruebas de validación OSAT del SIS.
b) El plan de validación (protocolo) de las pruebas integrales revisado por PEMEX Transformación Industrial, el cual
debe contener: las actividades a realizar, responsables, cómo se van realizar, criterios de aceptación y formatos
de registros.
La documentación requerida para soportar las pruebas integrales debe incluir los siguientes puntos:
a) Procedimientos de la verificación completa de las pruebas integrales.
b) Copia de la ERS.
c) Listado impreso del programa de la lógica del resolvedor lógico
d) Un diagrama de bloques del sistema integral
e) Una lista completa de las entradas/salidas
f) Diagramas de flujo de proceso y diagramas de tubería e instrumentación
g) Índice de instrumentos
h) Diagramas de lazos
i) Esquemas eléctricos
j) Matriz lógica de causa y efecto del SIS
k) Planos que indiquen la localización de los equipos principales (PLG)
l) Diagramas de conexiones en gabinetes, diagramas que indiquen la interconexión y las terminales de todos los
cables
m) Diagramas de trayectorias y conducción de “tubings” del sistema neumático
n) Documentación del proveedor del equipo, incluyendo especificaciones, requisitos de instalación, y manuales de
operación
o) La fecha en que se realizó la prueba integral
p) Referencia a los procedimientos usados en la prueba integral
q) Constancia de aceptación por parte de PEMEX Transformación Industrial de que el proveedor o contratista ha
completado de manera satisfactoria la prueba integral
Si se presenta el caso que durante la prueba integral no se cumple con los requisitos establecidos durante el diseño, la
discrepancia debe ser evaluada por el proveedor o contratista y debe informar a PEMEX Transformación Industrial las
implicaciones sobre la integridad del sistema que ocasiona esta discrepancia y si es requerido regresar a alguna etapa anterior
20/06/2019 Rev. 0

en el ciclo de vida de seguridad. Si hay una falla de algún elemento, se deben dar las razones de la falla, registrarse y
corregirse.
8.11.2 Aceptación final del SIS

El proveedor o contratista en conjunto con PEMEX Transformación Industrial debe verificar a través de la validación, que el
SIS fue construido, instalado y “comisionado” de acuerdo a la ERS y que se encuentra listo para operar, para lo cual se debe
realizar el acta correspondiente.
El proveedor o contratista debe generar y entregar los informes de la validación integral del SIS, indicando los resultados de
las pruebas, si se cumplieron los objetivos y los criterios identificados durante la fase del diseño.
La documentación para la aceptación final del SIS debe estar actualizada. El proveedor o contratista debe suministrar toda la
documentación generada en todas las etapas del proyecto, el manual de operación y la información técnica debe estar en
idioma español y las unidades de acuerdo a lo que establece la Ley Federal sobre Metrología y Normalización y su
Reglamento.
La documentación requerida para la validación integral y que forma parte del proceso de aceptación del SIS debe incluir los
siguientes puntos:
a) La descripción del sistema
b) Especificación funcional del sistema
c) Diagramas de la configuración completa del sistema
d) Memorias de cálculo de la verificación del NIS (SIL)
e) Manual de usuario y licencias de los programas de usuario
f) Protocolos, informes y actas de aceptación de pruebas en fábrica FAT y en sitio OSAT
g) Procedimientos, informe y acta de aceptación de la validación integral
h) Copia de la ERS
i) Listado impreso del programa del procesador lógico EP o el diagrama (lógico, eléctrico, bloques, escalera) del
resolvedor lógico
j) Diagrama de bloques del sistema
k) Lista completa de las entradas/salidas
l) Diagramas de flujo de seguridad de proceso y diagramas de tubería e instrumentación
m) Índice de instrumentos
n) Diagramas de lazos
o) Esquemas eléctricos
p) Matriz lógica de causa y efecto para el SIS
q) Planos que indiquen la localización de los equipos principales (PLG)
r) Diagramas de conexiones en gabinetes, diagramas de alambrado que indiquen la interconexión y las terminales
de todos los cables, diagramas unifilares eléctricos
s) Diagramas de trayectorias y conducción de “tubings” del sistema neumático
t) Documentación del proveedor del equipo, incluyendo especificaciones, requisitos de instalación, y manuales de
operación
u) Pruebas de desempeño
20/06/2019 Rev. 0

La aceptación final del SIS se debe realizar después de que el proveedor o contratista haya demostrado a PEMEX
Transformación Industrial que el SIS opera correctamente con los demás componentes de la instalación interrelacionados con
dicho SIS y entregue la documentación anterior.
8.12 Operación y mantenimiento del SIS
Se debe asegurar que el SIS opere y se mantenga dentro de la seguridad funcional diseñada y debe garantizar que el NIS
(SIL) objetivo de cada FIS (SIF) se mantiene durante las etapas de operación y mantenimiento.
El proveedor o contratista debe realizar la planeación de las actividades de operación y mantenimiento del SIS, y debe incluir
lo siguiente:
a) Actividades para operación normal y anormal
b) Desglose de las actividades de mantenimiento preventivo y de pruebas funcionales y rigurosas
c) Los procedimientos, medidas y técnicas a emplear durante la operación y mantenimiento
d) Verificación de la observancia de los procedimientos de operación y mantenimiento
e) Programas de cuándo se deben llevar a cabo estas actividades
f) Equipos y herramientas requeridas para llevar a cabo las actividades de mantenimiento
g) Las personas, departamentos y organizaciones responsables de estas actividades
h) El grado de capacitación y competencia requerido por el personal que debe llevar a cabo las actividades de
operación y/o mantenimiento
i) Recopilación de información relacionada con la confiabilidad de los componentes del SIS durante la fase de
operación
El proveedor o contratista debe desarrollar en idioma español, los procedimientos de operación y mantenimiento de
conformidad con la planeación de seguridad relevante y debe proporcionar lo siguiente:
a) Acciones rutinarias requeridas para mantener la seguridad funcional del SIS "tal y como se diseñó", entre otros,
fijando intervalos de prueba rigurosa definidos por la determinación del NIS (SIL); para el caso de las válvulas de
bloqueo automatizadas este procedimiento debe utilizar alguno de los métodos de prueba de carrera parcial
indicados en la ANSI/ISA-TR96.05.01-2008 o equivalente, con la supervisión de PEMEX Transformación
Industrial.
b) Acciones y restricciones requeridas para prevenir un estado inseguro y/o reducir las consecuencias de un evento
peligroso durante el mantenimiento o la operación (entre otros, cuando un sistema tiene que estar desviado “by
pass” para la realización de pruebas o mantenimiento, qué pasos adicionales de mitigación se deben
implementar).
c) Información que se debe mantener en la falla del sistema y la tasa de demanda en el SIS.
d) Información que se debe mantener que muestre los resultados de las auditorias y pruebas en el SIS.
e) Procedimientos de mantenimiento a seguir cuando se presenten fallos o fallas en el SIS, incluyendo:
• Procedimientos para el diagnóstico y reparación de fallos
• Procedimientos para la revalidación
• Requisitos del reporte de mantenimiento
• Procedimientos para el seguimiento del desempeño del mantenimiento
20/06/2019 Rev. 0

f) Garantizar que el equipo de prueba usado durante las actividades normales de mantenimiento está calibrado y en
buen estado.
La operación y mantenimiento se deben llevar a cabo en conformidad con los procedimientos anteriores (ver 8.12 de esta
Los operadores deben estar capacitados en la función y operación del SIS en su área. Esta capacitación debe asegurar lo
siguiente:
a) Que comprendan las funciones del SIS (puntos de disparo y las acciones resultantes que son tomadas por el SIS).
b) Los peligros contra los que el SIS está protegiendo.
c) La operación de todos los interruptores de desvío y bajo qué circunstancias estos se deben usar.
d) La operación de cualquier estación manual de paro y la actividad de arranque manual y cuándo estas estaciones
manuales se deben activar.
e) Expectativa en la activación de las alarmas de diagnóstico (entre otros, qué medidas se deben tomar cuando se
activa alguna alarma del SIS, indicando que hay un problema en el SIS).
f) La capacidad de programación o configuración del SIS.
g) La aplicación de la lógica del SIS.
h) Entendimiento de los requisitos operacionales del sistema tanto desde la perspectiva del(os) operador(es) como
desde la perspectiva del(os) ingeniero(s) a cargo del SIS.
i) Entendimiento de los estándares y normas existentes a la fecha referidos al uso de SIS, incluyendo a esta
El personal de mantenimiento se debe capacitar según sea requerido para mantener el pleno desempeño funcional del SIS
(equipo y programas) dirigidos a su integridad.
Para que el personal de operación, instrumentación y mantenimiento de PEMEX Transformación Industrial operen y
mantengan de manera efectiva el SIS, el proveedor o contratista del SIS junto con personal de PEMEX Transformación
Industrial deben identificar el nivel de capacitación de acuerdo al rol y responsabilidades del personal de PEMEX
Transformación Industrial. Para cumplir con lo anterior se deben impartir los siguientes cursos:
a) Configuración de: IHM (HMI), procesador lógico EP, instrumentación de campo y SFI’s
b) Cursos de operación y mantenimiento del SIS. Dichos cursos deben considerar los siguientes temas: filosofía de
operación, mantenimiento preventivo, pruebas de diagnóstico y pruebas rigurosas del SIS, interpretación de fallos
y diagnósticos, instalación y operación de los programas de aplicación, supervisión y alarmas, arranque y puesta
en servicio del SIS. Todos los cursos impartidos deben ser en idioma español.
Por lo tanto, el proveedor o contratista debe dar la capacitación y efectuar la evaluación del personal que opere el SIS. La
capacitación debe considerar lo indicado en el 8.12 de esta especificación técnica.
Las discrepancias entre el comportamiento esperado y el comportamiento real del SIS se deben analizar y, en caso requerido,
las modificaciones se deben realizar de tal manera que la seguridad se mantenga. Debe incluir el “monitoreo” de lo siguiente:
a) Las acciones tomadas siguiendo la demanda en el sistema
20/06/2019 Rev. 0

b) Las fallas del equipo que forman parte del SIS establecido durante las pruebas de rutina o la demanda real
c) La causa de las demandas
d) La causa de los disparos falsos
Los procedimientos de operación y mantenimiento pueden requerir revisión, en tal caso, se debe seguir:
a) Auditorias de seguridad funcional
b) Las pruebas en el SIS
Se deben desarrollar procedimientos escritos en idioma español para llevar a cabo la prueba rigurosa para cada FIS (SIF),
con objeto de revelar fallas peligrosas no detectadas por el diagnóstico. Estos procedimientos escritos de prueba deben
describir cada una de las etapas que se llevan a cabo y deben incluir:
a) La operación correcta de cada sensor y elemento final
b) La acción lógica correcta
c) Las alarmas e indicaciones correctas
8.12.1 Prueba rigurosa e inspección
8.12.1.1 Prueba rigurosa

Las pruebas rigurosas periódicas se deben llevar a cabo mediante un procedimiento escrito (ver 8.12.1.2 de esta
especificación técnica) para revelar fallos no detectados que permitan al SIS funcionar en conformidad con la ERS.
El SIS completo se debe someter a prueba incluyendo los sensores, resolvedor lógico y los elementos finales (entre otros,
cierre de válvulas y paro de motores).
La frecuencia de las pruebas rigurosas se debe decidir usando el cálculo de PFDprom
Todas las deficiencias detectadas durante la prueba rigurosa se deben reparar de una manera segura y oportuna.
En algunos intervalos periódicos (determinados por PEMEX transformación Industrial), la frecuencia de las pruebas se deben
re-evaluar en función de diversos factores, entre ellos los datos históricos de pruebas, la experiencia de la planta, la
degradación del equipo, programas y la confiabilidad de los programas.
Cualquier cambio en la lógica de aplicación requiere una prueba rigurosa completa. Excepciones a esto son permitidas en su
caso si la revisión de la información y las pruebas parciales de los cambios se llevan a cabo para garantizar que los cambios
se implementaron correctamente.
8.12.1.2 Inspección
Conforme a los programas de mantenimiento cada SIS debe ser inspeccionado visualmente para asegurar que no se hayan
realizado modificaciones no autorizadas y no se observe algún deterioro (entre otros: la falta de pernos o cubiertas de
instrumentos, abrazaderas oxidadas, alambres desconectados, tubos “conduits” rotos, trazas de calor rotas, y aislamiento
faltante).
20/06/2019 Rev. 0

Documentación de las pruebas rigurosas e inspección PEMEX Transformación Industrial debe mantener registros que
certifiquen que las pruebas rigurosas e inspección se concluyeron de acuerdo con lo requerido. Estos registros deben incluir
la siguiente información como mínimo:
a) Descripción de las pruebas e inspecciones realizadas
b) Las fechas de las pruebas e inspecciones
c) Nombre de las personas quienes realizaron las pruebas e inspecciones
d) Número de serie u otro identificador único del sistema probado; entre otros, el número de lazo, número de
identificación, número de equipo, y número de FIS (SIF)
e) Los resultados de las pruebas e inspección (entre otros, condiciones de "tal y como se encontró" y "tal y como se
dejó")
8.13 Modificación del SIS
Los proveedores o contratistas deben cumplir con las modificaciones a cualquier SIS siempre y cuando estén debidamente
planeadas y revisadas por PEMEX Transformación Industrial antes de hacer el cambio, y garantizar que la integridad de la
seguridad requerida del SIS se mantiene a pesar de los cambios al SIS.
Antes de llevar a cabo cualquier modificación de un SIS, los procedimientos para autorizar y controlar los cambios se deben
tener en sitio. Los procedimientos deben incluir un método entendible para identificar y solicitar el trabajo por hacer y los
peligros que puedan resultar.
Se debe llevar a cabo un análisis para determinar el impacto sobre la seguridad funcional como resultado de la modificación
propuesta. Cuando el análisis muestre que la modificación propuesta pueda impactar la seguridad, entonces se debe regresar
a la primera fase del ciclo de vida de seguridad, afectado por la modificación.
La actividad de modificación no debe comenzar sin la debida autorización de PEMEX Transformación Industrial. La
información adecuada se debe mantener para todos los cambios en el SIS y debe incluir:
a) Una descripción de la modificación o cambio
b) La razón para el cambio
c) Los peligros identificados que pueden ser afectados
d) Un análisis del impacto de la actividad de modificación en el SIS
e) Todas las aprobaciones requeridas para los cambios
f) Las pruebas usadas para comprobar que el cambio se implementó correctamente y el SIS se desempeña de
acuerdo a lo requerido
g) El historial de la configuración
h) Las pruebas usadas para verificar que el cambio no ha afectado negativamente las partes del SIS que no se
modificaron
i) El programa para la ejecución de los cambios
La modificación se debe realizar con personal calificado y capacitado. Todo el personal afectado debe ser notificado de los
cambios y capacitado con respecto a los cambios.
20/06/2019 Rev. 0

Todos los cambios a los procedimientos operativos, información de seguridad del proceso, y documentación general del SIS
se deben verificar y actualizar antes de volver a poner en operación al SIS.
Toda la documentación se debe proteger contra destrucción, pérdida o modificación no autorizada.
8.14 Desmantelamiento del SIS
El proveedor o contratista debe realizar un proceso de revisión del plan de desmantelamiento para garantizar que la remoción
del SIS no impacte al proceso o unidades circundantes y que existan los medios de seguridad para proteger al personal, al
equipo y al medio ambiente durante los trabajos de desmantelamiento bajo una supervisión autorizada por parte de PEMEX
Transformación Industrial.
Antes de llevar a cabo cualquier desmantelamiento de un SIS, se deben tener en sitio los procedimientos elaborados por el
proveedor o contratista y revisados por PEMEX Transformación Industrial y tener el control de cambios revisado por PEMEX
Transformación Industrial.
Los procedimientos se deben basar en los análisis de riesgo de la instalación, identificando y solicitando los trabajos por
realizar e identificar los peligros que puedan resultar.
El proveedor o contratista debe realizar una evaluación del impacto en la seguridad funcional como resultado de la actividad
propuesta de desmantelamiento. Dicha evaluación debe incluir una actualización del análisis y evaluación de riesgos para
determinar el alcance y la profundidad que las fases subsecuentes del ciclo de vida de seguridad que se deben retomar. La
evaluación debe considerar:
a) La seguridad funcional durante la ejecución de las actividades de desmantelamiento

b) b) El impacto en las unidades operativas adyacentes y los servicios auxiliares de la instalación debido al
desmantelamiento del SIS
Durante la administración de la seguridad funcional se deben utilizar los resultados de los análisis de impacto para volver a
activar los requisitos relevantes de esta especificación técnica, incluyendo los de re-verificación y re-validación.
Las actividades de desmantelamiento no se deben iniciar sin la debida autorización de PEMEX Transformación Industrial.
8.15 Requisitos de Información y documentación
El proveedor o contratista debe entregar a PEMEX Transformación Industrial conforme lo requiera en las bases de licitación
toda la documentación que se cita a continuación, además debe garantizar que la información requerida esté disponible y
documentada, a fin de que todas las fases del ciclo de vida de seguridad se puedan desempeñar de manera efectiva, para
que la verificación, validación y evaluación de las actividades de la seguridad funcional se puedan realizar eficazmente. Para
la estructura de la documentación ver el Anexo A de la IEC 61508-1
La documentación requerida por esta especificación técnica debe estar disponible y:
a) Describir la instalación, sistema o equipo y el uso de la misma
b) Ser exacta
c) Ser fácil de entender
20/06/2019 Rev. 0

d) Satisfacer la finalidad para la cual está destinada

e) Estar disponible en una forma accesible y conservable
La documentación debe tener una única identidad por lo que debe ser posible referenciar las diferentes partes.
La documentación debe tener las denominaciones, indicando el tipo de información.
La documentación debe ser trazable a los requisitos de esta norma.
La documentación debe tener un índice de revisión (números de versión) para que sea posible identificar las diferentes
versiones de la información.
La documentación debe ser estructurada para hacer posible la búsqueda de información relevante.
Debe ser posible identificar la última revisión (versión) de un documento.
Toda la documentación relevante debe ser revisada, enmendada, aprobada y estar bajo el control de un esquema de control
de la información.
La siguiente documentación se debe mantener:
a) Los resultados del análisis y evaluación de riesgos y las hipótesis relacionadas
b) Los equipos usados para FIS (SIF) junto con sus requisitos de seguridad
c) La organización responsable del mantenimiento de la seguridad funcional
d) Los procedimientos para lograr y mantener la seguridad funcional del SIS
e) La modificación de información, tal como se define en 8.13 de esta especificación técnica
f) El diseño, implementación, prueba y validación
9 RESPONSABILIDADES
9.1 PEMEX Transformación Industrial
Vigilar la aplicación de los requisitos de esta especificación técnica, en actividades que se lleven a cabo en la determinación
del NIS (SIL) para los SIS en los procesos industriales de las instalaciones de PEMEX Transformación Industrial.
Verificación del cumplimiento de esta especificación técnica, debe ser realizada a través de la constancia de cumplimiento de
los proveedores o contratistas.
Verificar que los licitantes cuenten con personal técnico especializado con experiencia en la determinación del NIS (SIL) para
los SIS en los procesos industriales, conforme a los lineamientos legales vigentes.
Verificar el cumplimiento del contrato establecido incluyendo los anexos técnicos respectivos, los cuales deben cumplir
estrictamente los lineamientos marcados por esta especificación técnica.
Aplicar la Ley Federal de Metrología y Normalización, la Ley de Obras Públicas y Servicios Relacionados con las Mismas, así
como la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público, en lo referente a adquirir, arrendar o contratar
bienes y servicios.
20/06/2019 Rev. 0

Responsabilidad de PEMEX Transformación Industrial con respecto al análisis y evaluación de riesgos. – PEMEX
Transformación Industrial debe proporcionar la información más actualizada posible de sus instalaciones para desarrollar el
análisis y evaluación de riesgos para la determinación del NIS (SIL) objetivo del SIS. En caso de que se cuente vigente por
un período de 5 años el análisis y evaluación de riesgos de la instalación, éste debe ser proporcionado al proveedor o
contratista, para actualizarlo o complementarlo.
9.2 Proveedor y/o contratistas
Cumplir como mínimo los requerimientos especificados en esta especificación técnica.

Considerar dentro del organigrama del personal especialista designado para ejecutar los trabajos materia de un determinado
contrato para ejecución de obra pública y dentro del cual se contemple la aplicación de esta especificación técnica, a un
responsable técnico con experiencia previa en trabajos similares. Las firmas de ingeniería y/o contratistas se comprometan a
mantener durante el desarrollo de los trabajos y hasta su entrega final a un responsable técnico con la finalidad de garantizar
la correcta ejecución de los trabajos en estricto apego a los lineamientos marcados por la especificación técnica y a los
requerimientos de PEMEX Transformación Industrial.
Es responsable de la calidad final de los trabajos, materiales y servicios, ya sean proporcionados por él mismo o por sus
propios proveedores y/o subcontratistas.
Toda la documentación y registros que se generen en los trabajos que competen a esta especificación técnica, antes y durante
el desarrollo de la construcción y/o ingeniería (procedimientos, planos, bitácoras, diagramas, memorias, estudios,
correspondencia, entre otros), se deben entregar a PEMEX Transformación Industrial en idioma español y conforme a la
NOM-008-SCFI (se puede poner entre paréntesis otro idioma o sistema de medidas). Asimismo, dicha entrega se debe realizar
por medios electrónicos e impresos, según los requerimientos de la licitación, y debe estar validada con sello y rúbrica del
responsable de la compañía, proveedor o contratista, fabricante o el que corresponda.
Adicionalmente a lo establecido en esta especificación técnica se debe cumplir y documentar en pruebas FAT y OSAT a
PEMEX lo estipulado en el Manual de seguridad “Safety manual” del equipo según la aplicación.
Cumplir lo estipulado en el artículo 67 de la Ley de Obras Públicas y Servicios Relacionados con las Mismas.
10 CONCORDANCIA CON NORMAS MEXICANAS O INTERNACIONALES
Esta especificación técnica tiene una concordancia parcial de aproximadamente 65 por ciento con la internacional IEC 61511
en el momento de su elaboración.
11 BIBLIOGRAFÍA
ANSI/ISA-84.00.01-2004 Part 1 (IEC 61511-1 Mod) Functional Safety: Safety Instrumented Systems for the Process Industry
Sector - Part 1: Framework, Definitions, System, Hardware and Software Requirements (Seguridad funcional: Sistemas
Instrumentados de Seguridad para el Sector de la industria de proceso – Parte 1: Marco, definiciones, sistema, requisitos del
equipo y programas).
Sector - Part 2: Guidelines for the Application of ANSI/ISA-84.00.01-2004 Part 1 (IEC 61511-1 Mod) – Informative (Seguridad
20/06/2019 Rev. 0

funcional: Sistemas Instrumentados de Seguridad para el Sector de la industria de proceso - Parte 2: Guías para la aplicación
del ANSI/ISA-84.00.01-2004 Parte 1 (IEC 61511-1 Mod) –Informativa).
Sector - Part 3: Guidance for the Determination of the Required Safety Integrity Levels – Informative (Seguridad funcional:
Sistemas Instrumentados de Seguridad para el Sector de la industria de proceso - Parte 3: Guías para la determinación de
los niveles de integridad de seguridad requeridos – Informativa.
ANSI/ISA-TR96.05.01-2008 Partial Stroke Testing of Automated Block Valves (Pruebas de carrera parcial para válvulas de
bloqueo automatizadas).
API RP 552 1994 Transmission Systems. (Sistemas de transmisión).
ISA-5.2-1976 (R 1992) Binary logic diagrams for process operations (Diagramas lógicos binarios para operaciones de
procesos).
ISA-TR84.00.02-2002 - Part 2 Safety Instrumented Functions (SIF) - Safety Integrity Level (SIL) Evaluation Techniques Part
2: Determining the SIL of a SIF via Simplified Equations. (Funcíon Instrumentada de Seguridad (FIS) – Nivel de Integridad de
Seguridad (NIS) Técnicas de evaluación parte 2: Determinación del NIS de una FIS vía Ecuaciones Simplificadas).
3: Determining the SIL of a SIF via Fault Tree Analysis. (Funcíon Instrumentada de Seguridad (FIS) – Nivel de Integridad de
Seguridad (NIS) Técnicas de evaluación parte 3: Determinación del NIS de una FIS vía Análisis de Árbol de Fallas).
4: Determining the SIL of a SIF via Markov Analysis. (Funcíon Instrumentada de Seguridad (FIS) – Nivel de Integridad de
Seguridad (NIS) Técnicas de evaluación parte 4: Determinación del NIS de una FIS vía Análisis de Markov).
P.1.0000.09:2005 Embalaje y marcado de equipos y materiales.
P.2.0401.02:2005 Simbología e identificación de instrumentos.
20/06/2019 Rev. 0

12 ANEXOS
12.1 Formato de matriz lógica de causa y efecto del SIS

Et-045-Pemex-2019 Determinación Del Nivel de Integridad de Seguridad de Los Sistemas Instrumentados de Seguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Et-045-Pemex-2019 Determinación Del Nivel de Integridad de Seguridad de Los Sistemas Instrumentados de Seguridad

Cargado por

Copyright:

Formatos disponibles

GERENCIA DE INGENIERÍA Y COSTOS - SUBDIRECCIÓN DE PROYECTOS INDUSTRIALES ET-045-PEMEX-2019

Especificación Técnica Particular

Elaboró Revisó Aprobó

Especificación Técnica Particular

Todas 0 Autorizada para aplicación 20/06/2019

Especificación Técnica Particular

3 ALCANCE Y CAMPO DE APLICACIÓN. ...................................................................................................................... 5

4 VIGENCIA, ACTUALIZACIONES Y RESGUARDO....................................................................................................... 6

7 SÍMBOLOS, ABREVIATURAS Y ACRÓNIMOS.......................................................................................................... 15

8.1 Administración de la seguridad funcional ..................................................................................................................... 18

8.2 Requisitos del Ciclo de Vida de Seguridad ................................................................................................................... 23

8.3 Verificación ................................................................................................................................................................... 26

8.4 Análisis y evaluación de riesgos del proceso ............................................................................................................... 26

8.5 Asignación de funciones de seguridad para capas de protección ................................................................................ 28

8.7 Diseño e ingeniería del equipo del SIS ......................................................................................................................... 34

8.9 Pruebas de aceptación en fábrica (FAT) del SIS .......................................................................................................... 72

8.10 Instalación y “comisionamiento” del SIS ....................................................................................................................... 74

8.11 Validación de seguridad del SIS ................................................................................................................................... 76

8.12 Operación y mantenimiento del SIS ............................................................................................................................. 81

8.13 Modificación del SIS ..................................................................................................................................................... 84

8.14 Desmantelamiento del SIS ........................................................................................................................................... 85

8.15 Requisitos de Información y documentación ................................................................................................................ 85

Especificación Técnica Particular

9.1 PEMEX Transformación Industrial ............................................................................................................................ 86

9.2 Proveedor y/o contratistas ............................................................................................................................................ 87

10 CONCORDANCIA CON NORMAS MEXICANAS O INTERNACIONALES ................................................................ 87

12.1 Formato de matriz lógica de causa y efecto del SIS ..................................................................................................... 89

Especificación Técnica Particular

• Ley de Petróleos Mexicanos y su Reglamento.

• Pemex Transformación Industrial

3 ALCANCE Y CAMPO DE APLICACIÓN.

Especificación Técnica Particular

4 VIGENCIA, ACTUALIZACIONES Y RESGUARDO

NOM-001-SEDE-2012 Instalaciones Eléctricas (Utilización)

NOM-008-SCFI-2002 Sistema general de unidades de medida

Especificación Técnica Particular

IEC 61131-3:2013 Programmable controllers - Part 3 Programming languages (Controladores programables

IEC 61508-1:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems

IEC 61508-2:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems

IEC 61508-3:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems

IEC 61508-4:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems

IEC 61508-5:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems

IEC 61508-6:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems

IEC 61508-7:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems

Especificación Técnica Particular

IEC 61511-3:2016 Programmable controllers - Part 3 Programming languages (Controladores programables

IEC TR 61508-0:2005 Functional Safety of electrical/electronic/programmable electronic safety-related

Especificación Técnica Particular

Complejidad. Un indicador del número de grados de libertad al cometer errores.

Desmantelamiento. La remoción completa de un SIS de su servicio activo.

Especificación Técnica Particular

Eléctrico/Electrónico/Electrónico Programable-E/E/EP. Basado en tecnología eléctrica (E) y/o electrónica (E) y o

Especificación Técnica Particular

Especificación Técnica Particular

Intervalo de prueba. Intervalo de tiempo entre pruebas funcionales.

Especificación Técnica Particular

Peligro. Fuente potencial de daño.

Reducción de riesgo objetivo. Reducción requerida del riesgo a un nivel tolerable.

Especificación Técnica Particular

• Sistemas lógicos electrónicos usando tecnología electrónica

Riesgo. Combinación de la frecuencia de ocurrencia del daño y la gravedad de ese daño.

Seguridad. Libre de un riesgo inaceptable.

Especificación Técnica Particular

7 SÍMBOLOS, ABREVIATURAS Y ACRÓNIMOS.