Bienvenidos

Industrial Automation
Bienvenidos
Bienvenidos
Functional
Process
Safety
Process Safety Seminar Copyright Siemens Industry March 2010 1

Primer día
Functional
Process Hora Tópico
Safety
09:00 - 09:30 AM Café bienvenida
9:30 - 10:45 AM Introducción a la Seguridad de Procesos
9:45 - 11:00 AM Peligros y Análisis de Riesgo (HAZOP)
11:00 - 11:15 PM Pausa
11:15 - 13:00 PM Análisis de capas de Protección (LOPA)
13:00 - 13:30 PM Almuerzo
13:30 - 15:00 PM Requerimientos Específicos de Seguridad (SRS)
15:00 - 15:15 PM Pausa
15:15 - 17:00 PM Requerimientos Específicos de Seguridad (Cont.)

Segundo día
Functional
Safety
09:00 - 09:30 AM Café y Repaso
09:30 - 10:45 AM Diseño e implementación
10:45 - 11:00 AM Pausa
11:00 – 12:30 AM Diseño e implementación
13:00 - 15:30 PM Diseño e implementación
15:30 - 15:15 PM Pausa
15:15 - 16:45 PM Diseño e implementación
16:45 - 17:00 PM Conclusión

Tercer día
Functional
Safety
09:00 – 09:15 AM Café y Repaso
09:15 - 09:45 AM Instalación, puesta en servicio y validación
09:45 - 10:00 AM Pausa
10:00 - 11:30 AM Operación y mantenimiento
11:30 – 12:45 PM Modificaciones
14:00 - 15:30 PM Entrega de Diplomas
15:30 - 16:30 PM Despedida

Presentación del Instructor

Functional
Process Luís M. F. García G., C.F.S.E.
Safety
BE Met.& Mat. Science – Liverpool University, UK
Mech. Eng. – Rosario - Argentina
A&D/ PTD Safety System Senior Consultant
SE & A – Houston, Texas
Especialista en Sistemas de Seguridad por mas
de 14 años
Miembro e Instructor de ISA
Instructor de Seguridad Funcional de procesos en
América latina, desarrollando cursos de
entrenamiento.
Varias publicaciones en Seguridad Funcional de
Proceso
CFSE, TÜV Certified Functional Safety Expert
Charter Engineer
CFSE Advisory Board

Que cubriremos en este curso

Functional
Process 9 Introducción a los Sistemas Instrumentados de
Safety
Seguridad - SIS
9 Historia y Tendencias Modernas en BMS como
SISs
9 Normativas y estándares Vigentes
9 El Ciclo de Vida de la Seguridad funcional de
Procesos aplicados a BMSs
9 Terminología
9 Como Modelar de un SIS (Cálculos)
9 LOPA
9 Generalidades sobre las técnicas utilizadas por
Siemens en Seguridad funcional de Procesos
9 Practica en programación - Ejercicios

Finalidad del seminario

Functional
Process
Safety
Discutir, entender y
ejercitarse en las mejores
practicas para seguir el ciclo
de vida de seguridad
funcional de procesos
aplicada a Sistemas de
Supervisión de Quemadores
(BMS)


Functional
Process
Safety
Trabajar con un nuevo juego

de herramientas poderosas
para completar el ciclo de
vida de la seguridad
aplicadas a BMS


Functional
Process
Safety
Aprender sobre Siemens y

PCS7, además de visualizar
como ayudan a minimizar
esfuerzos para cumplir con
las normativas en seguridad
aplicadas a BMSs.

Functional
Process
Safety
Introducción
Introducción
Siemens
Siemens
Seguridad
Seguridad Funcional
Funcional de
Process Safety Seminar de Procesos
Procesos
Copyright Siemens Industry March 2010 10
El Mercado de Seguridad esta Creciendo

Functional
Process
Safety
Los estándares internacionales (IEC), aumentaros la
demanda por sistemas certificados (SIL)
El mercado de seguridad de procesos esta

creciendo el doble del mercado de automatización.
Hay un incremento de demanda por control y

seguridad integradas
Siemens S5-F y S5 (desde 1980)
Siemens QUADLOG & APACS (desde 1995)
Siemens S7-F y PCS 7 (desde 1999)

El Mercado de Seguridad esta Creciendo

Functional
Process
Safety
Seguridad de Proceso por Industria
Otros
Generación
4%
10%
Farmacéutica
Petróleo
3%
44%
Química
21%
Refinación
18%
Fuente: Estudio ARC - 2004

Un BMS es un SIS!
Functional
Process
Safety Porque:
1. Se debe de realizar un análisis de riesgo
identificando y cuantificando los peligros
2. Se debe de hacer selección y verificación de SIL
por medio de cálculos
3. Se debe de verificar y validar la funciones del
BMS
4. PLC genéricos tienen serias limitaciones para
aplicaciones de seguridad funcional de este tipo
5. PLC de seguridad, certificados representan una
mejor opción para este tipo de aplicaciones

Ejemplo: FM 7605 indica

Functional
Process
Safety
Punto 3.2.2 : El sistema debe de cumplir con
un nivel Integral de Seguridad (SIL) de
acuerdo a los requerimientos generales de la
IEC 61508.
Punto 4: Requerimientos de Funcionamiento
4.1 Se requiere exámenes, pruebas y
verificaciones funcionales con referencia
al apéndice C de la IEC 61508
4.2 Para Hardware
4.3 Para Software

Se necesita
Functional
Process
Safety Conocimiento de proceso
Experiencia en BMS
Experiencia con SISs
Certified Functional Safety Experts
- Identificación y evaluación de riesgo
- Selección de SIL
- Cumplimiento con la IEC 61508 e IEC 61511
Entendimiento profundo de las normas:
NFPA 85 & NFPA 86
ANSI /ISA 84
IEC 61508 & IEC 61511

El compromiso de Siemens con la seguridad de proceso
Functional
Process Iniciativa para coordinar recursos de A&D:
Safety
Gestión administrativa de producto
Promoción y Mercadeo
Desarrollo de aplicaciones
Servicios para seguir el ciclo de vida de seguridad funcional
Respaldo al cliente
Interfase a los Centros de competencia de La Industria
Respaldo a los equipos de ejecución de proyectos
Expertos en seguridad de procesos para asistir en:
Desarrollo de negocios
Entrenamiento
Respaldo en proyectos
Respaldo en cuentas importantes

La tradición de Siemens en Seguridad de Procesos

Functional
Process
Safety
S7 F Systems Distributed Safety

S7-400FH / PROFIsafe S7 151F/315F/317F/416F
(1999) (2002/2003)
Safety Matrix
(1999)
QUADLOG
(1995)
SIMATIC S5-
S5-
95F
SIMATIC S5- (1994)
110F
(1980) SIMATIC S5-
115F
(1988)
La Misión de SIEMENS
Functional
Process 9 Herramientas innovadoras para cumplimiento normativo
Safety
9 Servicio del ciclo de vida de seguridad funcional
9 Experiencia en aplicaciones
9 Respaldo a largo plazo en productos existentes
9 Planes y proyecciones para sistemas instalados
9 Valor agregado a través del programa de “solution
providers”
SIS BPCS
Industrial Ethernet
Profisafe Profibus DP
Engineering Station Operator Station
PS
ESD action
Trip Point
Pressure
Alarm high
SV PCV PT1 PT2 Pressure
High Pressure Alarm
Process Control
Normal Pressure
Low level

¿Preguntas antes de empezar?

Functional
Process
Safety

Functional
Process
Safety
Introducción a la Seguridad
Introducción
Funcional de Procesos Continuos
Process Safety Seminar Copyright Siemens Industry Mar 2010 1
Confusión en la industria … (y las respuestas)

Functional
Process
Safety
1. ¿Que nivel de riesgo es tolerable?

¿Ahá ...?
2. ¿Que arquitectura es la mejor?
¿DMR, TMR, QMR o FMR?
3. ¿Como mido el rendimiento de mi
sistema ¿PFD, RRF o Disponibilidad
Segura)?
4. ¿Cuánta integración entre mi SBCP y
mi SIS puedo implementar?
5. ¿Cómo puedo implementar cambios
en mi SIS?

Tópicos Cubiertos en esta sección

Functional
Process
Safety
Introducción a los SIS

Intr. a SIS Historia de los SIS
Historia Tendencias en Seguridad de Procesos

Normativa vigente
Tendencias
Introducción al ciclo de vida de la
Estándares
seguridad funcional
Ciclo de Vida

Sistema Instrumentado de Seguridad (SIS)

Functional
Process Un SIS es un sistema independiente, compuesto de sesores,
Safety
procesadores y elementos finales de control, con la finalidad
de llevar el proceso a un estado seguro cuando ciertas y
predeterminadas condiciones han sido violadas.
Intr. a SIS SIS SBCP

Industrial Ethernet
Historia
Tendencias
Profisafe Profibus DP
Estación de Ingeniería Estación de Operación
Estándares
SP
Acción SPE
Ciclo de Vida Punto de

Disparo
Presión
Alarma Alta
Presion
VS VCP TP1 TP2
Alarma Alta Presión
Control de Proceso
Presión Normal
Bajo Nivel

Definición de una Función Instrumentada de Seguridad FIS

(SIF - Safety Instrumented Function)
Functional
Process
Ejemplo: 2 Sensores – Procesador Lógico – 3 Elementos Finales de Control
Safety
Reactante A
Y Agua A lugar seguro
Posible EFC Reactante B Agitador

Intr. a SIS
Historia
Tendencias
Posible EFC
Estándares Refrigerante Posible Sensor
Drenaje
Ciclo de Vida
Posible Sensor
Producto Final

IEC 61508 - IEC 61511 – ANSI/ISA 84.00.01

Functional
Process Repasemos el concepto de Probabilidad de Falla en Demanda
Safety
Disponibilidad: Probabilidad de ser exitoso
PFD: Probabilidad de que falle en forma peligrosa
PFS: Probabilidad de que falle en forma segura
Intr. a SIS
PFD + PFS + Disponibilidad = 1
Historia
PFS
PFD
Tendencias
Estándares
Disponibilidad
Ciclo de Vida
(RRF) = 1 / PFD

Arquitectura de un SIS en los 70

Functional
Process Arquitectura 1oo2
Safety
•En caso de una falla peligrosa ...
Intr. a SIS
Historia A
T. Entradas CPU T. Salidas
Tendencias
B
Estándares T. Entradas CPU T. Salidas
Ciclo de Vida
Al inyectar una falla
Se convierte en 1oo1


Functional
Process Hagamos las matemáticas Arquitectura 1oo2
Safety
Falla en
demanda A
del sistema
T. Entradas CPU T. Salidas B
Intr. a SIS
Historia SIS Dispara

en Falso
Tendencias Falla en Falla en

Demanda de Demanda de
Estándares A B
Ciclo de Vida A Dispara en B Dispara en

Falso Falso
PFD = (λd x Ti)2

PFS = 2 (λs x Ti)


Functional
Process Arquitectura 2oo3
Safety
•En caso de una falla peligrosa ...
Intr. a SIS A A
Historia
B B
Tendencias T. Entradas CPU T. Salidas
Estándares
Ciclo de VidaT. Entradas CPU T. Salidas

C C
Al inyectar una falla

Se convierte en 2oo2


Functional
Safety
Sistema
Falla en T. Entradas CPU T. Salidas
Demanda
Intr. a SIS T. Entradas CPU T. Salidas
Historia
Tendencias
Estándares
Ciclo de Vida
A Falla en B Falla en B Falla en C Falla en A Falla en C Falla en
Demanda Demanda Demanda Demanda Demanda Demanda
PFD = 3 (λD x Ti)2


Functional
Safety
Sistema T. Entrada CPU T. Salida

Dispara
T. Entrada CPU T. Salida
Intr. a SIS T. Entrada CPU T. Salida
Historia
Tendencias
Estándares
Ciclo de Vida
A Dispara B Dispara B Dispara C Dispara A Dispara C Dispara
en Falso en Falso en falso en Falso en Falso en Falso
PFS = 3 (λS x Ti)2


Functional
Safety
¿Que pasa al degradar después de Input Card CPU Output Card
una falla en demanda? Input Card CPU Output Card
Intr. a SIS
Se convierte en 2oo2 Input Card CPU Output Card
Historia
Tendencias
Sistema
PFD = 2 (λD x Ti)
Falla en
Estándares Demanda
Ciclo de Vida
B Falla en C Falla en
Demanda Demanda


Functional
Process
Safety Asumamos que λD y λS son ambas 0.1, entonces en 1 año:
La más segura Insegura

Intr. a SIS
Historia Degradada después de una falla

Original
Desarrollo peligrosa
Tendencias Arquitectura PFD/PDFU Arquitectura PFD/PDFU
1oo2 0.01 1oo1 0.1
Estándares 1970's
2oo3 0.03 2oo2 0.2
Ciclo de Vida
Muy Segura Peligrosa

1a Generación de Sistemas de Seguridad

Functional
Process Introducido a final de la década de los 80’s
Safety
PLCs especiales de seguridad de proceso introducidos
para mejorar seguridad y disponibilidad
Intr. a SIS Empleaban técnicas de redundancia y votación (2oo3 o
Historia TMR) para incrementar seguridad y disponibilidad
Tendencias Certificados por TÜV, según los estándares DIN/VDE
Estándares (AK1-AK6)
Ciclo de Vida Ejemplos:
Tricon de Triconex
August Systems
Regent de ICS Triplex


Functional
Process La gran “D”
Safety
Lo que realmente se buscaba era:
Mejor disponibilidad que un 2oo3, mejor nivel de seguridad
que un 1oo2, pero con la capacidad de tolerar fallas sin
comprometer el nivel de seguridad
Intr. a SIS
Historia
Esto fue posible gracias al diagn óstico …
diagnóstico
Tendencias
Estándares
… Siempre y cuando el
Ciclo de Vida
diagnóstico se utilice para
proteger las salidas ...
(evitar salidas inseguras)


Functional
Process La gran “D”
Safety
Entonces, debemos preocuparnos solo de aquellas
fallas que el diagnóstico NO PUEDE detectar
Intr. a SIS
Historia PFSU
PFDU PFSD
Tendencias
Estándares
PFDD Disponibilidad
Ciclo de Vida
Depende del Factor de Cobertura “C”


Functional
Process Arquitectura 1oo1D
Safety
Ejemplo: Arquitectura 1oo1 con Diagnóstico (1oo1D)
Si la tasa de falla es λ …
Intr. a SIS
Historia
A
A
Tendencias
λ = λD + λS
Diagnóstico
Diagnóstico
Estándares
Ciclo de Vida
λ = λDD + λDU + λSD + λSU


Functional
Safety
Ejemplo: Arquitectura 1oo1 con Diagnostico (1oo1D)
Intr. a SIS
Historia
A
A
Tendencias
λ = λD + X
λS
Diagnóstico
Diagnóstico
Estándares
Ciclo de Vida
λ = λDD + λDU +X
λSD + λX
SU


Functional
Safety
Intr. a SIS
Historia
A
A
Tendencias
λ = λD + XλS
Diagnóstico
Diagnóstico
Estándares
Ciclo de Vida
λ = λXDD + λDU +X
λSD + λX
SU


Functional
Safety
Intr. a SIS
Historia
A
A
Tendencias
λ = λD + XλS
Diagnóstico
Diagnóstico
Estándares
Ciclo de Vida
λ = λXDD + λDU +X
λSD + λX
SU
λDU = λD (1 – C)


Functional
Process Hagamos las matemáticas Arquitectura 1oo1D
Safety
Sistema
AA
Falla en
Demanda
Diagnóstico
Diagnóstico
Intr. a SIS
Falla en
Historia
Demanda No ... Pero ...
Detectada
Tendencias
λDU = λD (1 – C)
Estándares
Ciclo de Vida
PFD = (λDU x Ti) A medida que C Æ 1; λDU Æ 0
Primeros sistemas 1oo1D, C no
alcanzaba para SIL3.


Functional
Process ¿Como alcanzar SIL 3? Arquitectura 1oo2D
Safety
Sistema
Falla en
A
A
Demanda
Intr. a SIS Diagnóstico

Diagnóstico
Historia
Tendencias B
B
Falla en Falla en
Estándares Demanda No Demanda No Diagnóstico
Diagnóstico
Detectada Detectada
en A en B
Ciclo de Vida
PFD = (λDU x Ti)2 PFD = (λD2 (1 – C)2 Ti)2


Functional
Process
Safety Arquitectura 1oo2D
¿Que pasa a degradar después
de una falla peligrosa?
A
A
Intr. a SIS
Diagnóstico
Diagnóstico
Historia Se convierte en 1oo1D

Tendencias B
B
Estándares Diagnóstico
Diagnóstico
Ciclo de Vida


Functional
Process
Introducidos en la década de los 90’s
Safety Emplean alto nivel de autodiagnóstico (D) acoplado a técnicas
de votación (1oo2D o DMR) para proveer niveles comparables
de seguridad y disponibilidad con mas tolerancia a fallas y
menos costo que los sistemas de la 1a generación
Intr. a SIS
Certificados por TÜV de acuerdo a los estándares DIN/VDE
(AK1-AK6) y a IEC 61508 (SIL1–SIL3)
Historia Herramientas de programación basadas en Windows-IEC
61131-3
Tendencias Mejora en la integración con DCS
Ejemplos:
Estándares
FSC de Honeywell
Ciclo de Vida QUADLOG de Moore
ProSafe-PLC de Yokogawa
Master Safeguard de ABB
H41q/H51q de HIMA

Arquitectura de un SIS en el 2,000

Functional
Process ¿Como mejoramos?
Safety
Después de una falla peligrosa y aleatoria, se degradaba a una
arquitectura certificable
Original Degraded after 1 Dangerous Failure
Development
Architecture SIL Architecture SIL
Intr. a SIS 1970
1oo2 Up to Level 3 1oo1 None
1oo1D Up to Level 2 Shut Down None
Historia 1990
2oo2D Up to Level 3 1oo1D Up to Level 2
Tendencias
Estándares
Ciclo de Vida
¿Existe la posibilidad de degradar y mantener el Nivel Integral de
Seguridad original del sistema?
¿Existe la posibilidad de degradar y mantener el Nivel Integral de

Seguridad original del sistema?

Arquitectura de un SIS en el 2,000

Functional
Process Nuevo desarrollo de comienzos del siglo XXI
Safety
Original Degraded after 1 Dangerous Failure

Development
Architecture SIL Architecture SIL
Intr. a SIS 1970
1oo1D Up to Level 2 Shut Down None
Historia 1990
2oo2D Up to Level 3 1oo1D Up to Level 2
FMR 1oo1 Up to Level 3 Shut Down None
2000
Tendencias FMR 2oo2 Up to Level 3 FMR 1oo1 Up to Level 3
Estándares Concepto FMR, con C > 99% (SFF > 99% permite SIL 3 para
arquitecturas 1oo1 según limitantes arquitecturales en IEC
Ciclo de Vida 61508)
Donde:
SFF =
λSD + λSU + λDD (una indicación del nivel de C)
λTotal

Flexible Modular Redundancy ™

Functional
Process Máxima flexibilidad para poder
Safety
acomodar el nivel de redundancia
que satisfaga la Función
Instrumentada de Seguridad
Intr. a SIS Funcional.
DO
DO
DI
AI
AI
Historia
Tendencias Dual Mezcle arquitecturas para alcanzar

los requerimientos de la aplicación.
Estándares
DO
DO
DI
AI
AI
Ciclo de Vida Simplex Los equipos de campo pueden ahora

tener arquitecturas que alcancen el
AI
nivel deseado de seguridad y de

Triple
disponibilidad.
Process Safety Seminar Copyright Siemens

La CPU asíIndustry
como los módulos Mar 2010
tienen 27
Flexible Modular Redundancy ™

Functional
Process Según la IEC 61508
Safety
Higher Coverage Factor

Intr. to SIS
DO
DO
DI
AI
AI
History Maximum SIL allowed

Architecture Safe Failure Fraction (SFF)
Trends
(Fault Tolerance)
Dual
From 60 % to 90 % From 90 % to 99 % More than 99 %
From 0 % to 60 %
1oo1 (0) Not Allowed SIL 1 SIL 2 SIL 3
Standards
DO
DO
DI
AI
AI
1oo1D (0) Not Allowed SIL 1 SIL 2 SIL 3

1oo2 (1) SIL 1 SIL 2 SIL 3 SIL 4
SLC 2oo2 (0) Not Allowed Simplex SIL 1 SIL 2 SIL 3
2oo3 (1) SIL 1 SIL 2 SIL 3 SIL 4
AI
2oo2D (0) Not Allowed SIL 1 SIL 2 SIL 3

1oo2D (1) SIL1 SIL 2 SIL 3 SIL 4
1oo3 (2) TripleSIL 2 SIL 3 SIL 4 SIL 4


Functional
Process Introducidos temprano en el año 2000
Safety Emplea altísimo nivel de diagnostico (D) para alcanzar altos niveles de
seguridad funcional
Redundancia opcional para alcanzar alta disponibilidad
Altamente modular y escalable
Intr. a SIS Certificados por TÜV de acuerdo a los estándares IEC 61508 (SIL1–
SIL3)
Historia Ofrecen alta integración con DCSs
Tendencias Algunos ofrecen herramientas avanzadas de programación

Algunos ofrecen seguridad periférica
Estándares Algunos ofrecen tecnología de bus de campo
Ejemplos:
Ciclo de Vida
SIMATIC S7-F/FH de Siemens
Delta V SIS de Emerson
ProSafe-RS de Yokogawa
800xA (solo SIL 2) de ABB

Tendencias del mercado en Seguridad de Procesos

Functional
Process
Safety Integración mas sólida con los sistemas de control
Mas enfocados a la seguridad integral
Mas y mejores funciones de control

Intr. a SIS
Requerimientos de flexibilidad y escalabilidad
Historia
Tendencias
Estándares
Ciclo de Vida
Referente: “Trends in Process Safety”, Asish Ghosh, ARC Advisory Group, July 2004

Levels of Integrated Control & Safety

Functional
Process
Safety
ENLAZADO ENG HMI ENG
Intr. a SIS DCS INTERFACE SIS
Historia
INTEGRADO
ENG HMI
Tendencias
Estándares DCS SIS

Ciclo de Vida
ENG HMI
COMUN
DCS
DCS SIS
SIS

Levels of Integrated Control & Safety

Functional
Process
Safety
ENLAZADO ENG HMI ENG

SIMATIC S7-400FH
INTERFACE
Intr. a SIS DCS INTERFACE SIS
Historia
INTEGRADO
SIMATIC PCS 7
ENGES & OS HMI SIMATIC S7-400FH
Tendencias
Estándares DCS SIS

Ciclo de Vida
SIMATIC PCSENG
7 HMI
SIMATIC S7-400FH
COMUN
ES & OS
DCS
DCS SIS
SIS
Std. I/O

Estándares en la Industria
Functional
Process
Safety 1993 - AIChE CCPS; Guidelines for
Safe Automation of Chemical
Processes
1996 - ANSI/ISA 84; Application of
Intr. a SIS Safety Instrumented Systems for the
Process Industries
Historia
1999 - IEC 61508; Functional safety
Tendencias
of electrical/electronic/programmable
electronic safety-related systems
Estándares 2003 - IEC 61511; Functional safety:
Safety Instrumented Systems for the
Ciclo de Vida process industry sector
2004 - ANSI/ISA-84.00.01-2004 (IEC
61511-1 Mod); Functional safety:
Safety Instrumented Systems for the
process industry sector

Safety Integrity Levels (SIL)

Functional
Process
Disponibilidad Probabilidad de Falla en Factor de Reducción de
Safety Nivel (SIL) Demanda (PFDpromedio)
Segura (Operación en Modo Demanda)
Riesgo (FRR)
SIL 4 99.99 – 99.999 0.0001 - 0.00001 10000 a 100000
Intr. a SIS
SIL 3 99.9 – 99.99 0.001 - 0.0001 1000 a 10000
Historia
Tendencias SIL 2 99 – 99.9 0.01 - 0.001 100 a 1000
Estándares
SIL 1 90 - 99 0.1 - 0.01 10 a 100
Ciclo de Vida
PFSD PFSN
PFDN
PFDD Disponibilidad
Disponibilidad
Segura
Modos de Falla
Functional Con todo sistema de seguridad, la preocupación NO debe de ser
Process
Safety como el mismo opera; sino mas bien como el mismo falla.
Los modos de falla son básicamente dos:
Intr. a SIS
Fallas Seguras Fallas Peligrosas
• Iniciante • Inhibidora
Historia
• Evidente • Oculta
Tendencias
• En falso • Peligrosa
Estándares • Costo en paradas • Debe encontrarse con
Ciclo de Vida exámenes
DxN=

Pérdidas Mundiales por accidentas en la Industria Petrolera
Functional
Process ¿Que hay en común?
Safety
44% Especificaciones 20% Cambios Después
De arranque
08 01
15 0.
C 6 .0 IEC
Intr. a SIS
84
IE Factor Humano 615
11
S A
Historia I
IIS/A S
Tendencias
N S P 84
A .01 15% Mantenimiento
Estándares y Operación
6% Instalación
Ciclo de Vida 15% Diseño e y Arranque
Implementación
Fuente: “Out of Control” un compendio de accidentes que envuelve fallas en

sistemas de control. - Publicado por UK HSE
The IEC 61511 (ISA S84) Safety Lifecycle

Functional Estructura y Análisis de Riesgo y diseño de capas de Protección Verificación
Gerencia y
Process Avaluó de
Avalúo Planeamiento
Planeamient Sub-Cláusula 8
odel
delCiclo
Ciclo
Safety Seguridad
de Vida de
Funcional
Seguridad
Asignación de funciones de Seguridad a SIS u
otros medios de reducir Riesgo
Sub-Cláusula 9
Especificaciones de Requerimientos
Intr. a SIS de Seguridad para el SIS
Sub-Cláusula 10
Historia
Diseño y Desarrollo Diseño y Desarrollo
de un SIS de otros medios de
Tendencias Sub-Cláusula 11 reducir Riesgo
Sub-Cláusula 9
Estándares Instalación, Puesta en Servicio y Validación

Sub-Cláusula 14
Ciclo de Vida
Operación y Mantenimiento
Sub-Cláusula 15
Modificación
Sub-Cláusula 15.4
Sub-Cláusula Sub-Cláusula Retiro de Servicio Sub-Cláusula

5 6.2 Sub-Cláusula 16 7, 12.7

Ciclo de Vida Simplificado

Functional Fase de Análisis Fase de Ejecución Fase de Operación
Process
Safety
Análisis de Riesgo
y peligros
Intr. a SIS
Historia
Asignación de FIS Diseño y
a capas Desarrollo del
Tendencias
de protección SIS
Estándares
Ciclo de Vida Requerimientos Instalación Operación

Específicos de Arranque y y
Seguridad del SIS Validación Mantenimiento
Modificación,
Soporte y
Documentación
Functional
Process
Safety Introducción aa la
Introducción la Seguridad
Seguridad Funcional
Funcional de
de
Sistemas
Sistemas de
de Supervisi ón de
Supervisión de Quemadores
Quemadores
(BMS)
(BMS)


Functional
Process
Safety
T Un quemador es fuego dentro de su

¿Ahá ...? planta. Por tanto puede:
1. Extenderse y hacerse mas grande
2. Apagarse y permitir que

combustible se acumule
3. No re-encienda en forma apropiada
4. Sea inestable con frecuentes

pequeñas explosiones indicando
fallas en su BMS


Functional
Process
Safety
¿Cuanto puedo confiar en mi sensores
de llama?
¿Ahá ...?
¿Que tan confiable es mi controlador?
¿Es el temporizador de purga confiable?
¿Se cerrará la válvula herméticamente en
demanda?
¿Trabajan correctamente mis sensores
de presión de combustible?
¿Trabajan correctamente mis sensores
de caudal de aire?
¿Están las protecciones de las FIS en
bypass?


Functional
Process
Safety
Introducción a BMS
Normativa vigente
Intr. a BMS Introducción al ciclo de vida de la

seguridad funcional para un BMS
Estándares
Ciclo de Vida

Sistema de Supervisión de Quemadores - BMS

Functional
Nombres Alternativos: Sistema de Seguridad de Quemadores,
Process
Safety Sistema de Control de Quemadores, Seguridad de Combustión,
Sistema de Seguridad de Llama, Sistema de paradas de Seguridad,
Sistema de Seguridad del Horno, Sistema de Seguridad de la
Caldera, Procedimiento de Parada de Emergencias, etc.
Intr. a BMS
Estándares
Ciclo de Vida


Functional
Process Definición Antigua:
Safety
Un BMS es un equipo para monitorear y
controlar equipos que quemen combustibles
durante su arranque, parada y condiciones
de operación bien sea estables o
cambiantes.
Intr. a BMS
Misión:
Estándares
• No permitir el arranque en condiciones
Ciclo de Vida inseguras
No permitir operación insegura o el ingreso
de combustible en cantidades inapropiadas
al horno
Proveer al operador con información del
estatus del proceso
Parar el proceso si existen condiciones
inseguras


Functional
Process
Safety
Definición Moderna:
Es el Sistema de Control
dedicado a la seguridad de
Hornos y Calderas, además de
servir de asistencia al operador
… El truco es pensar fuera de la
Intr. a BMS Caja de Fuego (Fire Box o Wind
Box)!
Estándares
Ciclo de Vida Misión:
La lógica del BMS debe de ser

diseñada de manera tal que la
falla de un componente no
prevenga la parada del sistema
en forma apropiada.

Componentes en un BMS
Functional
Los Ventiladores contienen ahogadores (Damper) para regular caudal
Process
Safety Chimenea
Economizador
Aire Inyectado
Intr. a BMS
Ventilador de
Tiro Forzado
Estándares Hogar
Ciclo de Vida
Ventilador de
Tiro Inducido
Combustible Caja De Viento (Carburación)

Aire Caja de Fuego (Combustión)
Primario
Estadísticas y Estándares
Functional
Process
Safety Según “The National Board of Boiler and Pressure Vessel
Inspectors” se han producido 1058 accidentes en USA entre
1997 y 1999. ¡Son 529 accidentes por año!
Intr. a BMS
Estándares
Ciclo de Vida
73 Heridos Graves
12 Muertes

Functional
Process
Safety Los estándares que cubren BMS
son:
NFPA
FM - Factory Mutual
UL – Underwriters Lab
Intr. a BMS
ISA – 84.00.01 - 2004
IEC – 61508/61511
Estándares CGA – Canadian Gas Association
Ciclo de Vida
National Fire Protection Association (NFPA),

Estándar 85 es probablemente el más reconocido a
nivel mundial para sistemas de protección de
Calderas y Sistemas de Combustión. Este estándar
prescribe extensamente, con requerimientos
específicos de diseño

Statistics & Standards

Functional
Process
Safety Los estándares que cubren BMS
son:
NFPA
FM - Factory Mutual
UL – Underwriters Lab
Introduction
ISA – 84.00.01 - 2004
IEC – 61508/61511
Standards CGA – Canadian Gas Association
SLC for BMS
Sirve también de base para la NFPA 86 y cubre:

- Single Burner
- Multiple Burner (Previously 85C)
- Pulverized Fuel
- Fluidized Bed Boilers
- Ovens & Furnaces

Functional
Process
Safety NFPA 85 – Boiler and Combustion
Systems Hazards and Code - 2007
Edition
Introduction NFPA 86 – Standard for Ovens and

Standards Furnaces - 2007 Edition
SLC for BMS
ISA TR 84.00.05 (technical report -

2010) Guía para la identificación de FIS en
Sistema de Supervisión de Quemadores

Functional
Process
Safety Los estándares fueron preparados para evitar
malas operaciones de los hornos y calderas.
Las consecuencias de una mala operación en un
horno o en una caldera pueden ser:
1. Explosión de el o los domos o las tuberías
Intr. a BMS 2. Explosión de una nube de vapores de
combustible (VCE) o de polvo de carbón como
Estándares
residuo
Ciclo de Vida 3. Fuego por derrame de combustible
4. Implosión del hogar (típicamente no es
considerado como parte de la seguridad
funcional de proceso)
5. Dependiendo de las circunstancias pueden
haber perdida de vidas humanas

Functional
Process
Safety Igual que antes, las estadísticas nos indican
que los errores humanos son el factor
principal de explosiones en Hornos y
Calderas
Los errores son el resultado de:
Intr. a BMS 1. Falta de entendimiento o seguimiento de
los procedimientos adecuados, sistemas
Estándares
y equipos
Ciclo de Vida 2. Características operacionales
desfavorables
3. Falta de coordinación de los diferentes
componentes de los equipos
Todo lo anterior justifica el apagado

automático de los quemadores.

Functional
Process
Safety Los estándares, tales como NFPA 85 cubren gran
parte del ciclo de vida de un BMS:
Diseño
Instalación
Operación
Mantenimiento
Intr. a BMS Se hace también referencia a la IEC61508 por lo que se
complementa en el contexto de la IEC 61511 y/o ANSI/ISA
Estándares 84.00.01 – 2004
Ciclo de Vida Las FIS deben de ser consideradas en dos grupos:

Enclavamientos: Condición y acción tomada para llevar en
calentador a un estado seguro cuando hay un peligro
presente (aberración en el proceso)
Permisivos: grupo de condiciones que deben de cumplirse
antes de tomar una acción determinada (Secuencia de
purga)


Functional Fase de Análisis Fase de Ejecución Fase de Operación
Process
Safety
NFPA 85
Análisis de Riesgo
y peligros
Intr. a BMS
Estándares
de protección SIS
Ciclo de Vida
Requerimientos Instalación Operación

Modificación,
Soporte y
Documentación
¿Preguntas antes de continuar?

Functional
Process
Safety
Intr. a SIS
Historia
Tendencias
Estándares
Ciclo de Vida
Intr. a BMS
Estándares
Ciclo de Vida

Automation and Drives
Peligros y Análisis de Riesgo (HAZOP)

Seguridad
Funcional de
Procesos

Seguridad
Funcional de
Procesos
Introducción a “nuestro proceso” ejemplo

Discusión sobre los peligros
Recomendaciones sobre las protecciones
PAS Process Safety Seminar Copyright Siemens SE&A May 2009 2


Seguridad Fase de Análisis Fase de Ejecución Fase de Operación
Funcional de
Procesos
Análisis de Riesgo
y peligros

de protección SIS

Modificación,
Soporte y
Documentación
Revisando el Proceso - Secuencia

Seguridad 1 – Ventilador Prende
Proceso
Funcional de 2 – No hay Fugas
El PROCESO:
7 – Temperatura se alcanza
Procesos
Una empresa Petroquímica
3 – Purga Comienza ha desarrollado un proceso para lo cual
BMS
8 – Producto circula
necesita4calentar hidrocarburos
– Purga Termina a una temperatura de 120 Grados
Fahrenheit. Para ello
5 – Enciendo Pilotoutiliza un horno con quemadores de gas.
6 – Abre Gas Principal
C
A
A
C C
A
A
C
A
C C
A
Revisando el Proceso - ¿Que nos dan? OCI
A Liberado
Descripción Fecha
01/01/2010
Nombre
JB
MV11 MAV002
B
Seguridad PI D
Aire de Instrumentación FIC

002
Funcional de 100
Procesos >
<
> >
FIC
FIC FIC 101
104 102
PTD
R3 FIC FIC
O2
T405 101 401
FT FT PTD
102 R6 R4
Merei VC101 XV100
PTD FIC FIC
R5 101 401
ZS ZS
FIC PT O C
BV123
104
TT TT
BV10 BV20 T101 T800
PI ZS ZS ZS ZS
MGV001
001
PT PT O C O C
P104 R1 BV30
MV21
ZS
BEL
Purga C
S3
VC401 BEL
ZS ZS
S2 T M
O C
Gas PT
D 401
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT PT
P401 P800
ZS ZS MGV60 ZS ZS
O C O C
ZS Aire Primario FIC

Purga C
401
Calentador de Petróleo de
s
ACME CORP
Quemador Simple a Gas Tamaño FSCM No Plano No:
Rev.: PROCESS DEVELOPMENT
1A-LLTO-022 FACILITY
Dibujado: Luis Garcia 7.1
PI&D OIL HEATER
Liberado: Noviembre 2009 Esc.: 1:1 RBC ENGINEERING Pág..: 1 de 1

A Liberado
Descripción Fecha
01/01/2010
Nombre
JB
MAV002
MV11
Control de Proceso y Combustión B
Seguridad PI D

002
Funcional de 100
Procesos >
<
> >
FIC
FIC FIC 101
104 102
PTD
R3 FIC FIC
O2
T405 101 401
FT FT PTD
102 R6 R4
Merei VC101 XV100
PTD FIC FIC
R5 101 401
ZS ZS
FIC PT O C
BV123
104
TT TT
BV10 BV20 T101 T800
PI ZS ZS ZS ZS
MGV001
001
PT PT O C O C
P104 R1 BV30
MV21
ZS
BEL
Purga C
S3
VC401 BEL
ZS ZS
S2 T M
O C
Gas PT
D 401
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT PT
P401 P800
ZS ZS MGV60 ZS ZS
O C O C

Purga C
401
s
ACME CORP
PI&D OIL HEATER

A Liberado
Descripción Fecha
01/01/2010
Nombre
JB
MAV002
MV11
Seguridad PI
Mantenimiento D

002
Funcional de 100
Procesos >
<
> >
FIC
FIC FIC 101
104 102
PTD
R3 FIC FIC
O2
T405 101 401
FT FT PTD
102 R6 R4
Merei VC101 XV100
PTD FIC FIC
R5 101 401
ZS ZS
FIC PT O C
BV123
104
TT TT
BV10 BV20 T101 T800
PI ZS ZS ZS ZS
MGV001
001
PT PT O C O C
P104 R1 BV30
MV21
ZS
BEL
Purga C
S3
VC401 BEL
ZS ZS
S2 T M
O C
Gas PT
D 401
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT PT
P401 P800
ZS ZS MGV60 ZS ZS
O C O C

Purga C
401
s
ACME CORP
PI&D OIL HEATER

A Liberado
Descripción Fecha
01/01/2010
Nombre
JB
MAV002
MV11
Seguridad PI
Mantenimiento D

002
ESD
Funcional de 100
BMS >
Procesos <
> >
FIC
FIC FIC 101
104 102
PTD
R3 FIC FIC
O2
T405 101 401
FT FT PTD
102 R6 R4
Merei VC101 XV100
PTD FIC FIC
R5 101 401
ZS ZS
FIC PT O C
BV123
104
TT TT
BV10 BV20 T101 T800
PI ZS ZS ZS ZS
MGV001
001
PT PT O C O C
P104 R1 BV30
MV21
ZS
BEL
Purga C
S3
VC401 BEL
ZS ZS
S2 T M
O C
Gas PT
D 401
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT PT
P401 P800
ZS ZS MGV60 ZS ZS
O C O C

Purga C
401
s
ACME CORP
PI&D OIL HEATER

A Liberado
Descripción Fecha
01/01/2010
Nombre
JB
Seguridad
BMS & ESD
D
Funcional de
Procesos
PTD
R3
FT PTD
R6 R4
Merei VC101 XV100
PTD
R5
ZS ZS
PT O C
BV123
TT
BV10 BV20 T800
ZS ZS ZS ZS
PT O C O C
R1 BV30
ZS
BEL
Purga C
S3
BEL
S2 T M
Gas PT
D 401
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT
P800
ZS ZS MGV60 ZS ZS
O C O C
Purga
ZS
C
Aire Primario
s
ACME CORP
PI&D OIL HEATER

Revisando el Proceso - ¿Que nos dan?

Seguridad
Funcional de Veamos Primero el BMS
Procesos
¿Están los diagramas correctos?

Hazop: NFPA 85C (Gas) y 86 (Furnaces) – TR 84.00.05
1. Secuencia de Apagado – Enclavamientos - FIS:
BMS y Parada Maestra del Quemador
(Master Fuel Trip)
¿Es necesario Tres Válvula (doble bloqueo y
Purga)?
2. Secuencia de encendido
Verificación de fugas
Purga y Secuencia de Llama


Seguridad
Funcional de Veamos Primero el BMS – Secuencia de Apagado
Procesos
NFPA85
Gas presenta problemas especiales:
1. No huele y es incoloro
2. El peligro se incrementa dentro de las
construcciones
3. Es difícil el detectar mala carburación
(Relación Aire-combustible)
4. Contaminantes presentes en el gas pueden
tapar quemadores o apagar llama
5. Diferentes composiciones en el gas con
diferentes poderes caloríficos
6. Descarga de venteo en Válvulas
7. Mantenimiento y reparación de equipos


Seguridad
Funcional de Veamos Primero el BMS – Secuencia de Apagado
Procesos
NFPA85
Condiciones para Parada Maestra del
quemador :
1. Perdida de llama en el Piloto
2. Presión de Gas fuera de Rango en el Piloto
3. Perdida de Ventilador (Tiro Forzado)
4. Caudal de Aire Fuera de Rango
5. Presión en el Hogar fuera de Rango
6. Presión de Gas Quemador fuera de Rango
7. Perdida de llama en Quemador
8. Llama Inestable
9. Parada Maestra Manual Activada


Seguridad
Funcional de Veamos Primero el BMS – Sellado Hermético de cierre
Procesos
NFPA85
¿Válvulas de Doble Bloqueo y Purga? :
Ford Rouge Power Plant (caso de Estudio)
Un estudio del accidente nos indica que
durante operaciones de mantenimiento, una
fuga en el sellado de la tubería de los
quemadores del lado Este, acumulo gas en el
MV11 BV10 BV20
PS
hogar. Una chispa en el Precipitado
AT200B
BV30
Electrolítico (un equipo para controlar la
contaminaciónToambiental
Vent en la chimenea de la
Caldera)
Gas origino la explosión donde murieron
varias personas. Los inspectores estatales
MV21
concluyeron que un arreglo de válvulas de

MGV40 MGV50
Doble Bloqueo y Purga hubiera evitado el

MGV60
accidente.
To Vent


Seguridad Veamos Primero el BMS – Secuencia de Encendido
Funcional de
Procesos NFPA85 … y Fabricante del Horno
Todas las válvulas de bloqueo de todos los quemadores y
pilotos están cerradas y todas las válvulas de purga están ¿NO? PARADA
abiertas. Todas en posición correcta sin fugas y No hay MAESTRA
llama en el Horno
El Ventilador esta prendido y funcionando

(*) Single BMS
El volumen de Aire (tasa) es suficiente-70% Max. Carga (*)
Se esperó el tiempo apropiado para que el horno purgue Define

residuos de combustible (Gas) – 8 Volúmenes ó 5 minutos
Lo mayor (*). Para este ejercicio simularemos 1.5 Minutos
Permisivos
RESET
Se mandó la señal al transformador para originar Chispa

de encendido por Diez segundos
3 segundos después, en el Piloto, se abrió las válvulas de

bloqueo y se cerró la de purga
Hay llama en el Piloto y las válvulas están en posición
En el Quemador Principal, se abrió las válvulas de bloqueo

y se cerró la de purga
Hay llama en el Quemador y las válvulas están en posición

¿SI? CONTINUE


Seguridad
Funcional de Veamos Ahora El Proceso
Procesos
1. De pasar Hidrocarburo muy Frío al

reactor, se taparía ocasionando
perdidas de producción y equipos
por US $ 50.000,00
2. De pasar el Hidrocarburo muy
Caliente al reactor se podría dañar
las empacaduras del mismo con
posibilidad de dañar parte del
equipo por un valor de US$
100.000,00 y perdidas de
producción por un valor de US$
50.000,00
3. De ser el flujo muy bajo, el
producto puede “Coquizarse”


Seguridad
Funcional de BMS – NFPA 85C
Procesos CI DESVIACIÓN CAUSAS CONSECUENCIAS PROTECCIÓN REF. No RECOMENDACIONES
Impurezas en el Gas, Piloto La falta de llama en el piloto Instalar el BMS según la NFPA 85C.
corroído o bloqueado, origina acumulación de gas Utilizar equipos certificados según la
Perdida /
Llama en el Piloto Falta de gas, Presión en el hogar con posible BMS 1 IEC 61508. Calcular el SIL necesario
inestabilidad
inadecuada Gas/Aire explosión al encontrar una siguiendo la IEC 61511, ANSI/ISA
incorrecta fuente de ignición 84.00.01 - 2004
La falta de llama en el
Impurezas en el Gas, Instalar el BMS según la NFPA 85C.
Quemador origina
Quemador corroído o Utilizar equipos certificados según la
Perdida / Llama en el acumulación de gas en el
bloqueado, Falta de gas, BMS 2 IEC 61508. Calcular el SIL necesario
inestabilidad Quemador hogar con posible
Presión inadecuada siguiendo la IEC 61511, ANSI/ISA
explosión al encontrar una
Gas/Aire incorrecta 84.00.01 - 2004
fuente de ignición
El nivel de presión de Gas
en la línea de gas, puede
ocasionar perdidas de llama Instalar el BMS según la NFPA 85C.
en el quemador o el piloto. Utilizar equipos certificados según la
Fuera de Fallas en el regulador o en
Presión de Gas Dichas perdidas de llama BMS 3 IEC 61508. Calcular el SIL necesario
Rango el suministro de Gas
originan acumulación de siguiendo la IEC 61511, ANSI/ISA
gas en el hogar con posible 84.00.01 - 2004
fuente de ignición
La falta de un buen caudal

de Aire o la perdida del
mismo, puede ocasionar
perdidas de llama en el
quemador o el piloto o peor Instalar el BMS según la NFPA 85C.
Falla del Conjunto Motor- aun, combustión Utilizar equipos certificados según la
Perdida /
Ventilación Forzada Driver, Mala regulación del incompleta. Ambos BMS 4 IEC 61508. Calcular el SIL necesario
Inadecuada
Damper fenómenos pueden causar siguiendo la IEC 61511, ANSI/ISA
acumulación de gas en el 84.00.01 - 2004
hogar con posible
fuente de ignición bien sea
primaria o secundaria.
Todos los componentes del

horno fueron calculados y Instalar el BMS según la NFPA 85C.
Fallas en el Damper o
fabricados para soportar los Utilizar equipos certificados según la
Presión en la inadecuada regulación del
Inadecuada esfuerzos de diseño. Si el BMS 5 IEC 61508. Calcular el SIL necesario
chimenea mismo al tratar de
nivel de presión en el siguiendo la IEC 61511, ANSI/ISA
optimizar relación aire-gas
mismo no es el correcto el 84.00.01 - 2004
horno puede colapsar.


Seguridad
Funcional de Proceso - HAZOP
Procesos
CI D ESVIACIÓN C AUSAS C ONSEC UENCI AS PROTECC IÓN REF. N o R ECOMEN DACIO NES
Alarmas en el
equipo de
Agregar una FIS para parar el
Fallas en la regulación de control.
Daños al reactor (aguas proceso si la temperat ura del
Temperatura en el caudal por fallas en el Operador
Inadecuada abajo) o al mismo horno. 6 producto sale de rango o si hay una
producto sistema de control de reacciona
Perdidas de Producción Parada Maestra del BMS. Utilizar
caudal de producto corrigiendo el
LOPA para Calcular el nivel SIL.
caudal en forma
manual
Alarmas en el
equipo de
Agregar una FIS para parar el
Fallas en la regulación de control.
proceso si el caudal se sale de rango
caudal por fallas en el Coquización con daños Operador
Bajo Caudal de Producto 6 o si hay una Parada Maestra del BMS.
sistema de control de serios al horno reacciona
Utilizar LOPA para Calcular el nivel
caudal de producto corrigiendo el
SIL.
caudal en forma
manual
Pregunta:
¿Podemos poner el BMS y el ESD en el mismo PES?
¿En la misma caja?
Respuesta:
¿Son todas FIS?

HAZOP ANALYSIS 1 (Perdida de Llama en Piloto)

Seguridad
Funcional de
Procesos
CLAVE Perdida / inestabilidad

DESVIACION Llama en el Piloto
Impurezas en el Gas, Piloto corroído o
CAUSAS bloqueado, Falta de gas, Presión
inadecuada Gas/Aire incorrecta
La falta de llama en el piloto origina
acumulación de gas en el hogar con posible
CONSECUENCIAS
explosión al encontrar una fuente de
ignición
PROTECCION BMS
REFERENCIA No 1
Instalar el BMS según la NFPA 85C.
Utilizar equipos certificados según la IEC
RECOMENDACIONES
61508. Calcular el SIL necesario siguiendo
la IEC 61511, ANSI/ISA 84.00.01 - 2004
Realizado Por Juan Bimba

FIS para Perdida de Llama en Piloto

Seguridad
Funcional de
Procesos OCI
A Liberado
Descripción Fecha
01/01/2010
Nombre
JB
1 1
PTD
R3
FT PTD
R6 R4
Merei VC101 XV100
PTD
R5
ZS ZS
PT O C
BV123
TT
BV10 BV20 T800
PT
ZS
O
ZS
C
ZS
O
ZS
C
1
R1 BV30
ZS
BEL
Purga C
S3
BEL
S2 T M
Gas D 401
PT
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT
P800
ZS ZS MGV60 ZS ZS
O C O C
Purga
ZS
C
Aire Primario
s
ACME CORP
1A-LLTO-022 7.1 FACILITY
Dibujado: Luis Garcia
PI&D OIL HEATER

HAZOP ANALYSIS 2 (Perdida de Llama en Quemador)

Seguridad
Funcional de
Procesos
CLAVE Perdida / inestabilidad

DESVIACION Llama en el Quemador
Impurezas en el Gas, Quemador corroído o
CAUSAS bloqueado, Falta de gas, Presión
inadecuada Gas/Aire incorrecta
La falta de llama en el Quemador origina
CONSECUENCIAS
ignición
PROTECCION BMS
REFERENCIA No 2
RECOMENDACIONES
la IEC 61511, ANSI/ISA 84.00.01 - 2004

FIS para Perdida de Llama en Quemador

Seguridad
Funcional de
Procesos OCI
A Liberado
Descripción Fecha
01/01/2010
Nombre
JB
2
PTD
R3
FT PTD
R6 R4
Merei VC101 XV100
PTD
R5 2
ZS ZS
PT O C
BV123
TT
BV10 BV20 T800
ZS ZS ZS ZS
PT O C O C
R1 BV30
ZS
BEL
Purga C
S3
BEL
S2 T M
Gas D 401
PT
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT
P800
ZS ZS MGV60 ZS ZS
O C O C
Purga
ZS
C
Aire Primario
s
ACME CORP
PI&D OIL HEATER

HAZOP ANALYSIS 3 (Presión de Gas)

Seguridad
Funcional de
Procesos
CLAVE Fuera de Rango
DESVIACION Presión de Gas
Fallas en el regulador o en el suministro de
CAUSAS
Gas
El nivel de presión de Gas en la línea de
gas, puede ocasionar perdidas de llama en
el quemador o el piloto. Dichas perdidas de
CONSECUENCIAS
llama originan acumulación de gas en el
hogar con posible explosión al encontrar
una fuente de ignición
PROTECCION BMS
REFERENCIA No 3
RECOMENDACIONES
la IEC 61511, ANSI/ISA 84.00.01 - 2004

FIS para Perdida de Presión de Gas

Seguridad
Funcional de
Procesos OCI
A Liberado
Descripción Fecha
01/01/2010
Nombre
JB
3 3
PTD
R3
FT PTD
R6 R4
Merei VC101 XV100
PTD
R5
ZS ZS
PT O C
BV123
TT
BV10 BV20 T800
3
ZS ZS ZS ZS
PT O C O C
R1 BV30
ZS
BEL
Purga C
S3
BEL
S2 T M
Gas D 401
PT
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT
P800
ZS ZS MGV60 ZS ZS
O C O C
Purga
ZS
C
Aire Primario
s
ACME CORP
PI&D OIL HEATER

HAZOP ANALYSIS 4 (Ventilación)

Seguridad
Funcional de
Procesos
CLAVE Perdida / Inadecuada
DESVIACION Ventilación Forzada
Falla del Conjunto Motor-Driver, Mala
CAUSAS
regulación del Damper
La falta de un buen caudal de Aire o la
perdida del mismo, puede ocasionar
perdidas de llama en el quemador o el
CONSECUENCIAS piloto. Dichas perdidas de llama originan
ignición.
PROTECCION BMS
REFERENCIA No 4
RECOMENDACIONES
la IEC 61511, ANSI/ISA 84.00.01 - 2004

FIS para Perdida de Ventilación

Seguridad
Funcional de
Procesos OCI
A Liberado
Descripción Fecha
01/01/2010
Nombre
JB
4 4
PTD
R3
FT PTD
R6 R4
Merei VC101 XV100
PTD
R5
ZS ZS
PT O C
BV123
TT
BV10 BV20 T800
ZS ZS ZS ZS
PT O C O C
R1 BV30
ZS
BEL
Purga C
S3
BEL
S2 T M
Gas D 401
PT
BV123
Damper V 401
FS
MGV40 MGV50 S4
ZS ZS
C
MGV60 ZS ZS
PT
P800 4
O O C
Purga
ZS
C
Aire Primario
s
ACME CORP
PI&D OIL HEATER

HAZOP ANALYSIS 5 (Presión de Combustión)

Seguridad
Funcional de
Procesos
CLAVE Inadecuada
DESVIACION Presión en la chimenea
Fallas en el Damper o inadecuada
CAUSAS regulación del mismo al tratar de optimizar
relación aire-gas
Todos los componentes del horno fueron
calculados y fabricados para soportar los
CONSECUENCIAS esfuerzos de diseño. Si el nivel de presión
en el mismo no es el correcto el horno
puede colapsar.
PROTECCION BMS
REFERENCIA No 5
RECOMENDACIONES
la IEC 61511, ANSI/ISA 84.00.01 - 2004

FIS para Presión de Combustión

Seguridad
Funcional de
Procesos OCI
A Liberado
Descripción Fecha
01/01/2010
Nombre
JB
5 5 5
PTD
R3
FT PTD
R6 R4
Merei VC101 XV100
PTD
R5
ZS ZS
PT O C
BV123
TT
BV10 BV20 T800
ZS ZS ZS ZS
PT O C O C
R1 BV30
ZS
BEL
Purga C
S3
BEL
S2 T M
Gas D 401
PT
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT
P800
ZS ZS MGV60 ZS ZS
O C O C
Purga
ZS
C
Aire Primario
s
ACME CORP
PI&D OIL HEATER

HAZOP ANALYSIS 6 (Temperatura del Producto)

Seguridad
Funcional de
Procesos
CLAVE Inadecuada
DESVIACION Temperatura de Producto
Flujo de Producto muy alto (baja
CAUSAS temperatura) o muy bajo (alta temperatura)
o el fallas en el BMS - Parada Maestra
Daños al reactor (aguas abajo) o al mismo
CONSECUENCIAS
horno. Perdidas de Producción
Alarmas en el equipo de control. Operador
PROTECCION reacciona corrigiendo el caudal en forma
manual
REFERENCIA No 6
Agregar una FIS para parar el proceso si la
temperatura del producto sale de rango o si
RECOMENDACIONES
hay una Parada Maestra del BMS. Utilizar
LOPA para Calcular el nivel SIL.

FIS para Temperatura del Producto

Seguridad
Funcional de
Procesos OCI
A Liberado
Descripción Fecha
01/01/2010
Nombre
JB
6 6 6
PTD
R3
FT PTD
R6 R4
Merei VC101 XV100
PTD
R5 6
ZS ZS
PT O C
BV123
TT
BV10 BV20 T800
ZS ZS ZS ZS
PT O C O C
R1 BV30
ZS
BEL
Purga C
S3
BEL
S2 T M
Gas D 401
PT
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT
P800
ZS ZS MGV60 ZS ZS
O C O C
Purga
ZS
C
Aire Primario
s
ACME CORP
PI&D OIL HEATER

HAZOP ANALYSIS 7 (Coquización)

Seguridad
Funcional de
Procesos
CLAVE Bajo
DESVIACION Caudal de Producto
Fallas en la regulación de caudal por fallas
CAUSAS en el sistema de control de caudal de
producto
CONSECUENCIAS Coquización con daños serios al horno
Alarmas en el equipo de control. Operador
PROTECCION reacciona corrigiendo el caudal en forma
manual
REFERENCIA No 7
Agregar una FIS para parar el proceso si el
caudal se sale de rango o si hay una
RECOMENDACIONES
Parada Maestra del BMS. Utilizar LOPA
para Calcular el nivel SIL.

FIS para Coquización

Seguridad
Funcional de
Procesos OCI
A Liberado
Descripción Fecha
01/01/2010
Nombre
JB
7 7 7
PTD
R3
FT PTD
R6 R4
Merei VC101 XV100
PTD
R5
ZS ZS
PT O C
BV123
TT
BV10 BV20 T800
ZS ZS ZS ZS
PT O C O C
R1 BV30
ZS
BEL
Purga C
S3
BEL
S2 T M
Gas D 401
PT
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT
P800
ZS ZS MGV60 ZS ZS
O C O C
Purga
ZS
C
Aire Primario
s
ACME CORP
PI&D OIL HEATER

Ejercicio 1 - HAZOP
Seguridad
Funcional de
Procesos Verifique Todas las FIS e indique cualquier modificación
necesaria … Ayuda: Para su validación se necesitan
Tres (3) Modificaciones.
Modificaciones:
____________________
____________________
____________________
____________________
____________________
____________________
____________________

Ejercicio 1 - HAZOP
Seguridad
Funcional de
Procesos s .
Punch List - Lista de Verificación
b i o
am
Actividad Solicitado Realizado /
Descripción del Cambio / Acción OCI No Soporte Validado Status
No por Verificado
1
s c
2
r l o
eja
3
an
4
a m
5
p a ad o
r
6
n a ren
ter n t
7
in el e
a
ad rio d
8
9
d
n ite
10 e
m cr
o A
ec
11
12 R
n ta
13
i e
14
r ram
He
15
Validacion Final
Fecha Nombre Firma

Ejercicio 1 - HAZOP - Solución

Seguridad
Funcional de
Procesos OCI
A Liberado
Descripción Fecha
01/01/2010
Nombre
JB
PTD
R3
FT PTD
R6 R4
Merei VC101 XV100
PTD
R5
ZS ZS
PT O C
BV123
TT
BV10 BV20 T800
ZS ZS ZS ZS
PT O C O C
R1 BV30
ZS
BEL
Purga C
S3
BEL
S2 T M
Gas D 401
PT
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT
P800
ZS ZS MGV60 ZS ZS
O C O C
Purga
ZS
C
Aire Primario
s
ACME CORP
PI&D OIL HEATER


Seguridad
Funcional de
Procesos
FIS 1 Sin Llama en el Piloto
FIS 2 Sin Llama en el Quemador
FIS 3A Presion de Gas Muy Alta
FIS 3B Presion de Gas Muy Baja
FIS 4 Presion de Aire muy Baja (Caudal)
FIS 5A Presion en La Chimenea Muy Alta
FIS 5B Presion en La Chimenea Muy Baja
FIS 6A Temperatura del Producto muy Baja
FIS 6B Temperatura del Producto muy Alta
FIS 7 Caudal Producto Muy Bajo
FIS 8 Ventilador Apagado


Seguridad
Funcional de Su lista de verificación debe de verse ….
Procesos
Punch List - Lista de Verificación

No por Verificado
1
La válvula XV100 debe de cerrarse en todas las FIS del
BMS
N/A Safety Guy HAZOP JB Pendiente
2
Algunas FIS deben de dividirse en acciones por valor
bajo y por valor alto
N/A Safety Guy HAZOP JB JM O.K.
3 Ventilador Apagado debe de apagar el BMS N/A Safety Guy NFPA 85/86, HAZOP JB Pendiente

Algunas herramientas comerciales para

hacer estudios HAZOP
Seguridad
Funcional de
Procesos PHA-Pro® de Dyadem
PHAWorks de Primatech
SILHazop™ de Asset Integrity Management (AIM)
Encuesta:
¿Utiliza su compañía alguna herramienta o
software para hacer estudios de HAZOP o PHA?
Si es así: ¿Cual utiliza?
PIPER-ALPHA

¿Preguntas antes de Continuar?

Seguridad
Funcional de
Procesos

Análisis de capas de Protección (LOPA)

Seguridad
Process
Funcional de
Automation
Procesos

Seguridad
Funcional de
Procesos
Discusión de Modelos de propagación de fallas

Introducción a LOPA
Ejemplos de cálculos
Ejercicio de grupo


Funcional de
Procesos
Análisis de Riesgo
y peligros

de protección SIS

Modificación,
Soporte y
Documentación
¿Que es LOPA?
Seguridad
Funcional de
Procesos
LOPA (Layer of Protection Analysis) o análisis de capas de
protección, es una variación de la técnica de análisis por
árboles de eventos, solo que un poco mas estructurada.
El evento Inicial arranca una cadena de eventos
Las ramas son capas de protección
Solo hay dos posibles resultados: accidente o no hay evento

Modelos de Propagación de Fallas

Seguridad
Funcional de
Procesos Análisis por
Árbol de Fallas
Análisis de
Markov
Análisis por λDU
Árbol de Eventos
Diagrama de Bloques

¿Que es Análisis por árbol de eventos?

Seguridad
Un árbol de eventos es solo un ejemplo de un modelo de propagación
Funcional de
Procesos de fallas
El árbol de eventos comienza con un evento iniciante único y se
propaga con múltiples posibles resultados a través de las ramas
La probabilidad de ocurrencia de cada resultado es obtenida por la
multiplicación de las probabilidades de ocurrencia de cada evento que
Termina en
interviene en el resultado respectivo. accidente
Evento Inicial Ramal 1 Ramal 2 Resultado

Medido en
Frecuencia R2,1 Resultado 1
R1,1
R2,2 Resultado 2
Evento Inicial R1,2 Resultado 3
R1,3 R2,3 Resultado 4
R2,4 Resultado 5
Múltiple Capas de Protección

Seguridad
Funcional de
Procesos
Respuesta de Emergencia de la comunidad
Respuesta de Emergencia de Planta
Protección Física (diques)
Protecció
Protección Fí
Física (mecanismos de alivio)
Sistemas Instrumentados de Seguridad
Alarma, Operador Interviene
Control Básico de Proceso
Proceso

Consideraciones de las Ramas

Seguridad
Funcional de
Procesos
En LOPA cada Rama es una capa de Protección
En LOPA todas las ramas son eventos complementarios

La Rama de probabilidad de falla es de hecho Probabilidad de Falla
en Demanda (PFD) de una capa de Protección
La Rama de probabilidad de éxito es el complemento de la PFD, o

sea: 1-PFD

¿Que significa “Capas Independientes?

Seguridad
Funcional de
Procesos Una capa de protección debe de tener las siguientes
características para poder ser acreditada:
1. Debe de ser especifica (estar bien definida)

2. Debe de ser Independiente de otras
capas
3. Debe de poderse depender de su
accionamiento
4. Debe de poderse auditar

Consideraciones de los resultados

Seguridad
Funcional de
Procesos 1. Solo nos interesa evaluar la ocurrencia del accidente
2. Aquellas ramas donde las capas de protección son

exitosas acaban en la terminación del análisis
Riesgo Tolerable (ƒ) ≥ Riesgo Inherente (f) x PFD todas las capas
Nivel de Riesgo
Riesgo Inherente al
Tolerable Proceso
Otras Mecanica SIS Alarmas SBCP
Proceso
Riesgo
Árbol de Eventos modificado para hacer

Análisis de capas de Protección
Seguridad Evento Iniciante Capa de Capa de Capa de Resultado
Funcional de Riesgo inherente Protección 1 Protección 2 Protección 3 Final
Procesos
CP3 Falla Accidente Ocurre
CP2 Falla
CP1 Falla
Evento Inicial
CP3 actúa Sin Impacto
1. Comience ha hacer un árbol de eventos, pero solo calcule las

probabilidades de ocurrencia de el evento.
2. El accidente tiene tendrá una frecuencia igual al producto entre

la frecuencia inherente (o evento iniciante) y las probabilidades
de que todas las capas fallen

Ejemplo FIS 1 – Sin llama en el Piloto

Seguridad
Funcional de Realice un análisis LOPA de la situación siguiente:
Procesos
Se trata de un accidente cuyas consecuencia es evaluada como extensiva, dado
que se trata de una explosión debida a una acumulación de Gases en el Hogar,
por falta de llama en el piloto, y la existencia de una fuente de ignición.
El personal, mayormente de mantenimiento pero ocasionalmente de operaciones,
se calcula ocupa el área unos 45 días/hombre en el año
El área de la explosión se ha definido como sigue, colocando una valla que impide
el acceso al área por personal no autorizado:
50 Mts. Zonal Fatal:
120 Mts. Vallas de acceso


Seguridad
Funcional de
Procesos Cuantificación de la frecuencia del accidente
Base de datos (Oreda, exida, etc.)
Perdida de llama por contaminación del gas (Ejemplo Agua):

- 1 vez cada 10 años
- Frecuencia de falla: 0.1 / Año
PFD de las Capas de Protección:

- Estudios del fabricante del horno demuestran que las
probabilidades de que haya una fuente de ignición por diseño son
de 0.141 (Interna o externa)
- La zona fatal no esta ocupada, excepto por 45 días/hombre en el
año.
Ocupancia: (45 x 24) / 8760 = 0.123


Seguridad
Funcional de
Procesos
Vento Inicial CP #1 CP #2 CP #3 Resultado

Elementos
Contaminantes en el Gas Diseño Ocupancia N/A Explosión
Apagan la Llama
Ingresando la data …


Seguridad
Funcional de
Procesos

Elementos
Contaminantes en el Gas Diseño Ocupancia N/A Explosión
Apagan la Llama
1.73 x 10-3
0.123
0.141
0.1 por Año
ƒ = 0.1 / A x 0.141 x 0.123 = 1.73 x 10-3/ A
¡¡¡ Significa una muerte cada 578 Años !!!

¿Es este un buen resultado?

Conozca su riesgo aceptable

Seguridad
Funcional de
Procesos Riesgo Tolerable (ƒ) ≥ Riesgo Inherente (f) x PFD todas las capas
Especifico de las corporaciones o los Gobiernos: Para nuestro ejemplo:
Definición
Consecuencia Frecuencia Tolerable
Personal Equipo
Al menos cinco
Una o mas veces mayor a las -5
Extensiva 10
Fatalidades consecuencias
severas
Hasta US$ 1,000,000
en perdida de
producción y daños
Múltiples heridos de a equipos en el área -4
Severa 10
hospital o hasta US$
5,000,000 fuera del
área si no se tomas
acciones mitigantes
Hasta US$ 50,000 en
Heridos leves o
perdida de -3
Menor efectos reversibles 10
producción y daños
sobre la salud
a equipos

Calcule el SIL requerido

Seguridad Nivel
Extensivo
Funcional de
Riesgo
Procesos
Tolerable
1.0x10-5
Riesgo de
Fuga de Gas
Frecuencia anticipada de
explosiones con
1.73x10-3 por perdida
de llama en el
perdidas humanas
Piloto
0.1
Diseño Área
FIS (en este Caso BMS) Hogar Desocupada
Proceso
Riesgo

Calculo del SIL requerido por la FIS

Seguridad
Funcional de
Sabemos que la frecuencia del evento con todas las protecciones
Procesos anteriores es: 1.73x10-3
Pero sabemos que el nivel de riesgo aceptado por la corporación
es: 1x10-5
Para calcular el SIL-Meta:
PFD = Riesgo Tolerable / Riesgo anticipado
PFD = 1x10-5 / 1.73x10-3 = 0.0058
FRR = 1/PFD = 1/0.0058 = 172
Esto significa que necesitamos una FIS que llegue a SIL 2

Notas:
1 - La FIS no solo debe de ser SIL 2, sino estar tener un FRR por encima o igual a
172
2 – Los datos estadísticos utilizados en estos ejercicios son únicamente
ilustrativos y no deben de emplearse en la vida real

Ejercicio 2 - LOPA
Seguridad
Funcional de
Procesos Termine el análisis LOPA Todas las demás FIS
Ayuda para validar FIS 6A, 6B y 7:

Revise ANSI / ISA 84.00.01/2004- Primera Parte - punto 8.2.2 pagina 47

Ejercicio 2, LOPA Sin llama en el Quemador – FIS 2

Seguridad
Funcional de
Procesos
1. Complete el LOPA (arriba) para Perdida de Llama en el Quemador
2. Calcule la frecuencia anticipada del evento indeseado basado en:
a) Evento iniciante ocurre Una vez cada diez años:
Frecuencia = __________
a) Personal en área 45 días/hombre al año. PDF = _________
b) 14.1% de estos diseños anti-ignición fallan. PDF = _________

Ejercicio 2, LOPA Sin llama en el Quemador – FIS 2

Seguridad
Funcional de
Procesos
3. Considerando que el evento ha sido clasificado como “Extenso”, determine

el RRF para esta FIS.
a) ¿ Cual es el nivel tolerable de Riesgo? ________________
b) ¿ De la pagina anterior, cual es la frecuencia anticipada?

______________
c) ¿ Que PDF requiere la nueva FIS = Tolerable/Anticipada =

________________
d) ¿ Cual es el Factor de Reducción de Riesgo (RRF)?

__________________
e) ¿ Cual es el nivel SIL Meta de esta FIS? ¿ Alguna observación en el

resultado?
___________________________________________________________

Ejercicio 2, LOPA Presión de Gas inapropiada – FIS 3

Seguridad
Funcional de
Procesos
1. Complete el LOPA (arriba) para Presión de Gas Inapropiada
a) Evento iniciante ocurre una vez cada diez años: Frecuencia = _____
b) Personal en área 45 días/hombre al año. PDF = _________
c) 14.1% de estos diseños anti-ignición fallan. PDF = _________
d) Planta de gas (Muy Confiable) reacciona a las alarma y corrige el

problema. Histórico: 9 de cada 10 alarmas. PDF = _________
Ejercicio 2, LOPA Presión de Gas inapropiada – FIS 3

Seguridad
Funcional de
Procesos


______________

________________

__________________

resultado?
___________________________________________________________

Ejercicio 2, LOPA Caudal de Aire muy Bajo – FIS 4

Seguridad
Funcional de
Procesos
1. Complete el LOPA (arriba) para Caudal de Aire muy Bajo
a) Evento iniciante ocurre una vez cada diez años: Frecuencia = _____
d) Operador (altamente entrenado), Calibra combustión reacciona a las

alarma y corrige tendencia. PDF = Nunca mejor a 0.1 (Por norma)
Ejercicio 2, LOPA Caudal de Aire muy Bajo – FIS 4

Seguridad
Funcional de
Procesos


______________

________________

__________________

resultado?
___________________________________________________________

Ejercicio 2, Presión Chimenea fuera de Rango – FIS 5

Seguridad
Funcional de
Procesos
1. Complete el LOPA (arriba) para presión en la Chimenea fuera de rango
a) Evento iniciante ocurre una vez cada dos años: Frecuencia =

_____
b) Operador (altamente entrenado), Calibra combustión reaccionando

a las alarma y corrige tendencia. PDF = Nunca mejor a 0.1 (Por
norma)
Ejercicio 2, Presión Chimenea fuera de Rango – FIS 5

Seguridad
Funcional de
Procesos
3. Considerando que el evento ha sido clasificado como “Menor”, determine


______________

________________

__________________

resultado?
___________________________________________________________

Ejercicio 2, Temperatura Fuera de Rango – FIS 6

Seguridad
Funcional de
Procesos
1. Complete el LOPA (arriba) para Temperatura del Producto fuera de

rango
a) Evento iniciante ocurre una vez cada diez años: Frecuencia = ____
b) Operador (altamente entrenado), Calibra flujo reaccionando a las


Ejercicio 2, Temperatura Fuera de Rango – FIS 6

Seguridad
Funcional de
Procesos
3. Considerando que el evento ha sido clasificado como “Menor”, determine


______________

________________

__________________

resultado?
___________________________________________________________

Ejercicio 2, Caudal Producto Muy Bajo – FIS 7

Seguridad
Funcional de
Procesos
1. Complete el LOPA (arriba) para Efecto de Coquización
a) Evento iniciante ocurre una vez cada Veinte años: Frecuencia =

____
b) Operador (altamente entrenado), Calibra flujo reaccionando a las


Ejercicio 2, Caudal Producto Muy Bajo – FIS 7

Seguridad
Funcional de
Procesos
3. Considerando que el evento ha sido clasificado como “Severo”, determine


______________

________________

__________________

resultado?
___________________________________________________________

Ejercicio 2, Ventilador Apagado – FIS 8

Seguridad
Funcional de
Procesos
1. Complete el LOPA (arriba) para Perdida de Ventilador
a) Evento iniciante ocurre una vez cada diez años: Frecuencia = ____

Ejercicio 2, Ventilador Apagado – FIS 8

Seguridad
Funcional de
Procesos


______________

________________

__________________

resultado?
___________________________________________________________

Algunas herramientas comerciales para hacer

estudios LOPA
Seguridad
Funcional de
Procesos SILect de exida e ida
SILLopa™ de Asset Integrity Management (AIM)
Encuesta:
software para hacer estudios LOPA?


Seguridad
Funcional de
Procesos

Requerimientos Específicos de Seguridad (SRS)

Seguridad
Funcional de
Procesos

Seguridad
Funcional de
Procesos
Aprender que se incluye en un SRS

Discutir-repasar funciones de seguridad
Demo para verificar SIL
Ejercicio de aplicación


Funcional de
Procesos
Análisis de Riesgo
y peligros

de protección SIS

Modificación,
Soporte y
Documentación
SRS
Seguridad
Funcional de
Objetivos:
Procesos
Especificar todos los requerimientos específicos
del SIS que se necesiten para la ingeniería de
detalle e información pertinente a la seguridad
funcional del proceso.
Tareas:
¾ Identificar y describir las funciones instrumentadas de
seguridad FIS
¾ Documentar el SIL
¾ Documentar las acciones tomadas - lógica – causa y efecto,
etc...
¾ Documentar parámetros asociados – tiempos, requerimientos
de “bypass” para mantenimiento – arranque, etc...

SRS
Seguridad
Funcional de
Procesos
Del Ejercicio de análisis de deficiencias (Gap) hemos
encontrado que:
Frecuencia
Consecuencias
FIS Iniciante FRR SIL Meta Notas
Clase
(Eventos/año)
1 0.1 Extensiva 172 2 Por encima de 172
3A 0.1 Extensiva 17 1 Por encima de 17
3B 0.1 Extensiva 17 1 Por encima de 17
5A 0.5 Menor 50 2
5B 0.5 Menor 50 2
6A 0.1 Menor 10 1
6B 0.1 Menor 10 1
7 0.1 Severo 100 2

SRS - BMS
Seguridad
Funcional de OCI Descripción Fecha Nombre
Procesos A
B
Liberado 01/01/2010 JB
PTD
R3
FT PTD
R6 R4
Merei VC101 XV100
PTD
FIS 1 – SIL 2 R5
ZS ZS
PT O C
BV123
TT
BV10 BV20 FIS 2 – SIL
T8002
ZS ZS ZS ZS
PT O C O C
R1 BV30
ZS BEL
Purga C
S3
BEL
S2 T M
Gas D 401
PT
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT
P800
ZS ZS MGV60 ZS ZS
O C O C
Purga
ZS
C
Aire Primario
s
ACME CORP
PI&D OIL HEATER

SRS - BMS
Seguridad
Procesos A
B
PTD
R3
FT PTD
R6 R4
Merei VC101 XV100
PTD
R5
FIS 3A/B
PT
– SIL 1 ZS
O
ZS
C
BV123
TT
BV10 BV20 T800
ZS ZS ZS ZS
PT O C O C
R1 BV30
ZS BEL
Purga C
S3
BEL
T
FIS 4 – SIL 1 M
S2
Gas D 401
PT
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT
P800
ZS ZS MGV60 ZS ZS
O C O C
Purga
ZS
C
Aire Primario
s
ACME CORP
PI&D OIL HEATER

SRS - BMS
Seguridad
Procesos A
B
PTD
R3
FT PTD
R6 R4
Merei FIS 5A/B – SIL 2
VC101 XV100
PTD
R5
ZS ZS
PT O C
BV123
TT
BV10 BV20 T800
ZS ZS ZS ZS
PT O C O C
R1 BV30
ZS BEL
Purga C
S3
BEL
S2 T M
Gas D 401
PT
BV123 FIS 8 – SIL 2 Damper V 401
FS
MGV40 MGV50 S4
PT
P800
ZS ZS MGV60 ZS ZS
O C O C
Purga
ZS
C
Aire Primario
s
ACME CORP
PI&D OIL HEATER

SRS - Proceso
Seguridad
Procesos A
B
FIS 7 – SIL 2 D
PTD
R3
FT PTD
R6 R4
Merei VC101 XV100
PTD
R5
ZS ZS
PT O C
BV123
TT
BV10 BV20 T800
PT
R1 BV30
ZS
O
ZS
C
ZS
O
ZS
C FIS 6A/B – SIL 1
ZS BEL
Purga C
S3
BEL
S2 T M
Gas D 401
PT
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT
P800
ZS ZS MGV60 ZS ZS
O C O C
Purga
ZS
C
Aire Primario
s
ACME CORP
PI&D OIL HEATER

SRS - Proceso
Seguridad
Funcional de Su lista de verificación debe de verse ….
Procesos Punch List - Lista de Verificación
No por Verificado
La válvula XV100 debe de cerrarse en todas las FIS del
1
BMS
Algunas FIS deben de dividirse en acciones por valor
2
bajo y por valor alto
3 Ventilador Apagado debe de apagar el BMS N/A Safety Guy NFPA 85/86, HAZOP JB JM O.K.
Validación Final
Fecha Nombre Firma

SRS
Seguridad
Funcional de
Procesos
Del Ejercicio de análisis de deficiencias (Gap) hemos
encontrado que: Debemos verificar el FRR exacto
Frecuencia
Consecuencias
FIS Iniciante FRR SIL Meta Notas
Clase
(Eventos/año)
3A 0.1 Extensiva 17 1 Por encima de 17
3B 0.1 Extensiva 17 1 Por encima de 17
5A 0.5 Menor 50 2
5B 0.5 Menor 50 2
6A 0.1 Menor 10 1
6B 0.1 Menor 10 1
7 0.1 Severo 100 2

Documentando las Acciones

Seguridad Necesitamos documentar los requerimientos “funcionales”
Funcional de
Procesos del sistema.
1. Lógica escalera
2. Narración del control
3. Bloques de Funciones
4. Etc.
A C
A B
C B
D
Aquí es donde indicamos que las FIS 1, 2, 3A, 3B, 4, 5A, 5B y 8,

cierran la Válvula de proceso XV100, para evitar baja temperatura en
el producto. Si se considera como FIS aparte, ? ¿Qué SIL nos daría?


Seguridad
Funcional de
Procesos


Seguridad
Funcional de
Procesos
Primero necesitamos verificar si las Funciones

Instrumentadas de seguridad alcanzan los Niveles
Integrales de seguridad requeridos.
Al hacer este tipo de cálculos se debe tener en

cuenta:
- Estándares (IEC 61511 ANSI/ISA 84.00.01- 2004)
- Arquitecturas y Limitaciones arquitecturales
- Efectos tales como Causa Común,
Inspecciones 100%, factores de
cobertura y tiempo entre inspecciones,
tiempo de vida etc.

Documentando los cálculos del SIL de una FIS

Seguridad
Funcional de Ejemplo: FIS Temperatura
Procesos
La FIS fallaría si falla el
transmisor de
temperatura, o si falla el
modulo de entradas Sistema
analógicas, o falla el Falla en
CPU, o falla el I/O bus, o Demanda
falla el modulo de
salidas discretas o falla
la válvula de cierre de
vapor.
Transmisor Modulo de CPU Falla Bus de Modulo de Válvula

de Temp. Entradas en Entradas y Salidas Falla en
Falla en Analógico Demanda Salidas Falla en Demanda
Demanda Falla en Falla en Demanda
Demanda Demanda
… Utilizando el principio de eventos complementarios, simplificamos a: …
PFDSIS = 1 – ((1 – PFDT) . (1 – PFDME) . (1 – PFDCPU) . (1 – PFDPB) . (1 – PFDMS) . (1 – PFDV))


Seguridad
Funcional de Si tomamos tanto para el sensor como para el elemento final de control
Procesos
MTTFD = 100 Años – Tiempo Medio entre Fallas en Demanda
La Tasa de Falla (λD) = 1 / MTTFD (Mean time to Failure on Demand)
PFDPromedio = λD x Ti/2 (Donde Ti es el tiempo entre inspecciones)
Para un tiempo de 12 meses (1 año)
PFDPromedio = 5 x 10 -3
Similarmente:
PFDMEPromedio = 4,96 x 10 -8
PFDCPUPromedio = 1,24 x 10 -4
PFDPBPromedio = 1,00 x 10 -5
PFDVPromedio = 6,97 x 10 -6
PFDSIS = 1 – ((1 – PFDT) . (1 – PFDME) . (1 – PFDCPU) . (1 – PFDPB) . (1 – PFDMS) . (1 – PFDV))
= 1 – ((0,995) . (0,999) . (0,999) . (0,999) . (0,999) . (0,995))
= 1 – 0,986 = 0,014 Æ SIL 1 FRR = 1/PFDSIS = 1/ 0,014 = 71.42 Æ SIL 1


Seguridad
Funcional de
… O simplemente prepare su hoja de Excel, con su respectivo reporte
Procesos
Overall SIF PFD(avg): 1.01E-02 RRF: 98.61 SIL1
Proof Test Interval (Ti): 12 months
Temp F-AI F-CPU Profisafe F-DO Solenoid

Transmitter 1oo1D Valve
PFD(avg): PFD(avg): PFD(avg): PFD(avg): PFD(avg): PFD(avg):

5.00E-03 4.96E-08 1.24E-04 1.00E-05 6.97E-06 5.00E-03
PFD(avg):
Overall SIF PFDavg = PFDTT+ PFDAI + PFDCPU + PFDCom + PFDDO + PFDValve
For Sensors and actors evaluation: For SIF

Pressure transmitter: MTTF = 100 years IEC61508 specifies: λd = (λdu + λdd) = λ/2
Failure rate (λ) = 1 / MTTF (mean time to failure) Dangerous failure rate λd = half of the total failure
rate (λ)
PFDavg = λdt/2
RRF (Risk Reduction Factor) = 1/PFDavg


Seguridad
Funcional de
Procesos Pero no hemos incluido todavía:
- Arquitecturas y Limitaciones arquitecturales

- Causa Común,
- Inspecciones 100%, (Mission time)
- Factores de cobertura (Arquitecturas “D”
Solo hemos considerado tiempo entre inspecciones.
Solución: Se puede utilizar Software desarrollado para

tal fin
Ejemplo Utilizando Software especializado
exSILentia.lnk


Seguridad
Funcional de
Procesos
Sensores


Seguridad
Funcional de
Procesos
Procesador
Lógico


Seguridad
Funcional de
Procesos
Elemento Final
de Control


Seguridad
Funcional de
Procesos
Resultados
Finales

Ejercicios en clase - Verificación de SIL

Seguridad
Funcional de
Procesos 3. Utilización del Software de Verificación de SIL
4a. Familiarización con el concepto de Causa-Efecto a

través de Simatic Safety Matriz para FIS
4b. Importar una Matriz desde exSILentia
5. Crear los permisivos con la Matriz Causa-Efecto

Ejercicio 3 – Uso de exSILentia

Seguridad Meta: Los estudiantes comprobaran que tan simple es una
Funcional de
Procesos
herramienta de verificación de SIL y lo sencillo que es trabajar
con la misma. Una vez el instructor active la llave:
Abra la herramienta desde

el “Desktop” de su PC,
haciendo “clic” en: Start-
>Programs ->exida-
>exSILentia, o haga doble “
en el icono


Seguridad Abra (Open) el proyecto:
Funcional de
Procesos “Training ON_BMS_Ejercicio”, que esta
en la carpeta ”BMS Training On” en
1
My Documents
Clic en “Open”
Para abrir el
proyecto 4


Seguridad
Funcional de
Procesos
Seleccione la Función Instrumentada de Seguridad FIS 1- “Llama

Piloto” - con doble “Clic”
La misma resalta en amarillo cuando se abre


Seguridad
Funcional de
Procesos
2
Para editar el diseño, debe de elegir la orejera de Verificación
Fíjese que tienes problemas en el diseño


Seguridad
Funcional de
Procesos
Problema
Note que el 70.68% del problema es debido a los elementos finales


Seguridad Note también que el eslabón mas débil es la válvula de proceso al hacer “click” en
Funcional de
Procesos “Final Element”


Seguridad
Funcional de Para poder editar el diseño, debe hacer clic en el componente. En este
Procesos
caso en la válvula de cierre de Producto
Agregue pruebas parciales con un 70% de factor de cobertura primero y,

aumente hasta alcanzar SIL 2. Debe primero remover “Equipment Data”
Haga “Clic” en el lápiz para recalcular


Seguridad ¿Que hemos hecho?
Funcional de Modos de Falla de una Vá
Válvula y el “Partial Stroke Test”
Test”
Procesos
Modo de Falla Efecto Con PST
Tamaño del Actuador es Válvula no Cierra (o abre) No se prueba

inapropiado para operar en
condición de Emergencia
Empacaduras se dañan Válvula no Cierra (o abre) Reporta movimiento limitado
Empacaduras muy apretadas Válvula se pone lenta para cerrar o Velocidad de actuación es reportada como
para abrir. un evento
Perdida del Aire de Válvula se pone lenta para cerrar o Velocidad de actuación es reportada como
Instrumentación para abrir. un evento
Bloqueo de la línea de aire Válvula no cierra ni abre – No se

Con pruebas 100 %
Reporta movimiento limitado
mueve
Vástago de engripa. Válvula no cierra ni abre – No se Reporta movimiento limitado

mueve
Asiento se daña o deforma Válvula presenta fugas No se prueba – Necesario prueba 100%
con medición de fugas.
Asiento se ensucia Válvula presenta fugas No se prueba – Necesario prueba 100%

con medición de fugas.
Asiento se endurece por residuos Válvula presenta fugas No se prueba – Necesario prueba 100%
o polimerización - Cristalización con medición de fugas.

¿Qué es ¨Partial Stroke Test¨ ?

Seguridad
Funcional de
Procesos Es cerrar parcialmente una válvula de la posición completamente
abierta, para verificar libre movimiento de la misma
Típicamente, este movimiento parcial es de un 10 % a un 15 %

durante operación normal
El movimiento parcial variará dependiendo del tamaño y el tipo de

válvula, el ambiente en que se encuentre y el factor de cobertura del
diagnóstico deseado.
Verifica que la válvula está trabajando sin parar el proceso
No puede confirmar el 100 % de la fallas potenciales
Como la válvula no se cierra completamente, no se puede verificar

fugas en sellos y carrera completa del vástago

Impacto en el SIL
Seguridad
Funcional de Como se hace frecuentemente, reduce las PFDavg
Procesos
A pesar de no cubrir todas las fallas, puede proveer cobertura de
diagnostico de hasta más de un 50 %
PFD(t)
Sin PST Con PST (4x/Año)
IEC61508 1 Año pruebas 100 % = SIL2 1 Año pruebas 100 % = SIL3
SIL 1
SIL 2 PFDAVG
PFDAVG
SIL 3
PST
Intervalo
SIL 4
Intervalo entre Tiempo
inspecciones de
pruebas 100 %
Impacto en el intervalo entre pruebas 100 %

Seguridad
Funcional de El PST puede efectivamente prolongar los intervalos entre pruebas 100 %
Procesos
manteniendo el SIL
PFD(t)
Sin PST Con PST (4x/Año)
IEC61508 1 Año pruebas 100 % = SIL2 2 Años pruebas 100 % = SIL2
SIL 1
SIL 2 PFDAVG
SIL 3
SIL 4
Tiempo
Intervalo
Intervaloentre
entre inspecciones
inspecciones
de pruebas
de 100 %
pruebas 100 %

Seguridad
Funcional de
Nota: Un factor de cobertura de mas del 70% con pruebas parciales NO
Procesos
ES REALISTA. (Incluso, con 99 % se alcanza SIL 2, pero la alarma no
desaparece. Esto es porque a pesar de ser una FIS SIL 2, el FRR es
menor al requerido, o sea 173).
http://www.mokveld.com/en/7/products/products/7/axial-on-off-valve
http://www.lesman.com/unleashd/catalog/valves/valves_8314.html
MOKVELD RZD - X


Seguridad
Funcional de
Eligiendo la combinación adecuada, se puede salir de todos los alertas:
Procesos
Ejemplo: Actuador-Válvula Æ MOKVELD RZD
Final Element Interface Æ ASCO 8314 NC


Seguridad
Funcional de
Y llegar a un FRR por encima del requerido. Criterio del diseñador.
Procesos


Seguridad
Funcional de
Y llegar a un FRR por encima del requerido. Criterio del diseñador.
Procesos
Véalo en la orejera de SILec.


Seguridad
Procesos ¿Cual es la función de los transmisores BV123?

A Liberado 01/01/2010 JB
PTD
R3
FT PTD
R6 R4
Merei VC101 XV100
PTD
R5
ZS ZS
PT O C
BV123
TT
BV10 BV20 T800
ZS ZS ZS ZS
PT O C O C
R1 BV30
ZS BEL
Purga C
S3
BEL
S2 T M
Gas D 401
PT
BV123
Damper V 401
FS
MGV40 MGV50 S4
PT
P800
ZS ZS MGV60 ZS ZS
O C O C
Purga
ZS
C
Aire Primario
s
ACME CORP
PI&D OIL HEATER


Seguridad
Funcional de ¿Se requiere hacer pruebas de cabezal si la tuberías de gas son de ¼” Dia. para el piloto y de 2”
Procesos Dia. Para el quemador ?
OCI Descripción Fecha Nombre
1 - Criterio de Aplicación A Liberado 01/01/2010 JB
2 - Aplicación de estándares apropiados

B
3 - Políticas corporativas D
4 - Políticas Públicas oficiales

PTD
R3
FT PTD
R6 R4
Merei VC101 XV100
PTD
R5
ZS ZS
O C
TT
BV10 BV20 T800
ZS ZS ZS ZS
PT O C O C
R1 BV30
ZS
BEL
Purga C
S3
BEL
S2 T M
Gas D 401
Damper V 401
FS
MGV40 MGV50 S4
PT
P800
ZS ZS MGV60 ZS ZS
O C O C
Purga
ZS
C
Aire Primario
s
ACME CORP
PI&D OIL HEATER


Seguridad
Funcional de ¿Se requiere hacer pruebas de cabezal si la tuberías de gas son de ¼” Dia. para el piloto y de 2”
Procesos Dia. Para el quemador ?

Pregunta, antes de Continuar.

Seguridad
Funcional de Pregunta: ¿En la FIS 5, son
Procesos
necesarios los tres transmisores en
el Hogar para alcanzar SIL 2?
Respuesta: ______________

Ejercicio 4a – Uso de Simatic Safety Matrix

Seguridad Meta: Los estudiantes documentaran las acciones de las FIS
Funcional de
Procesos
del proyecto, definiendo la lógica de parada utilizando Safety
Matrix Editor o Safety Matrix Engineering Tool
Abra Simatic Safety Matrix desde el menú de “Start”
Start -> Simatic -> STEP 7 -> Safety matrix


Seguridad
Abra un nuevo archivo (“File” ->”New”) y Guárdelo con el nombre
Funcional de
Procesos 1 “Referencia” en: “My Documents” Æ “BMS Training On”


Seguridad Desde “View” Æ “Customize” Æ “Layout”, ajuste la matriz a 24 causas por 16
Funcional de
Efectos indicando que muestre: Los SIL, Grupos, Overide TAGs, Direcciones
Procesos
físicas de las E/S y que indique las causas y efectos afectados por una
intersección.

Nota al Margen – Como Se configura?

Seguridad Siga las indicaciones del instructor.
Funcional de
Procesos Haciendo doble-clic en la causa No 6 causa, abrirá una ventana de dialogo, con
varias preguntas o casillas a completar.


Seguridad Puede indicarse Descripción de la causa, tipo de entrada, TAG, Numero de
Funcional de
entradas y Forma de votación (en caso de ser mas de un sensor). Para fines de
Procesos
documentación es bueno indicar el SIL de la FIS
4
2


Seguridad Como el tipo de entrada seleccionada, es analógica, se genera una oreja en la
Funcional de
ventana que nos permite indicar a que valor es el disparo (alto o bajo),
Procesos
incluyendo unidades. También permite definir la histéresis y la máxima
diferencia permitida entre sensores (en caso de haber redundancia como aquí
que hay 2oo3), antes de considerar una señal defectuosa
} 1

Ejercicio 4a – Como Se configura?

Seguridad En la oreja de “Options”, por ahora, solo mencionaremos que seleccionaremos
Funcional de
que se auto-reconocerá esta causa y se dispararía la alarma si se activa además
Procesos
de poderse agruparse en el grupo 1 para secuenciación (SOE). La matriz
permite configurar hasta 15 grupos.
Por otra parte, se

debe decidir si se
permiten hacer
“Bypasses” de 1
Mantenimiento, así
como la exclusión de
simulación
simultanea. Mas
adelante
analizaremos este
punto con mas
detalle, junto con los
2
temporizadores)
3


Seguridad De igual manera los efectos pueden ser configurados. Haciendo
Funcional de
Procesos doble clic en el Efecto No 2 se abre la ventana de configuración


Seguridad De igual manera los TAGs de los efectos pueden ser configurados,
Funcional de
Procesos haciendo clic en los I/Os y seleccionando tipo de entrada real (con
Channel driver). Haga este Efecto Secuencial y Normal


Seguridad En este ejercicio, todavía las opciones (oreja “Options”) no serán configuradas
Funcional de
hasta el siguiente capitulo, sin embargo vamos a configurar los colores de la
Procesos
causas y efectos secuenciales. Nuevamente Configure las Opciones de
visualización y los colores
1
Seleccione un color
Gris-Claro para
‘Sequential’


Seguridad Ahora, haga doble-clic en la intersección. Esto nos permite configurarla.
Funcional de
Procesos
Seleccione una
intercepción “N”
(Not stored)


Seguridad Retome el ejercicio documentando los detalles del proyecto. Haciendo doble-
Funcional de
clic en la zona gris-azulada llene el casillero “General” como corresponda.
Procesos
Y guardando los cambios


Seguridad
Funcional de
Procesos
Siguiendo los ejemplos dados, concluya el ejercicio completando todas

las FIS como se muestra abajo. Con las siguientes consideraciones :
1. Todas las causas y los dos efectos restantes son Estándar (No
secuenciales) y Reales físicamente (con Channel Driver). Las entradas
analógicas deben PRE-anunciar el disparo en Alto al 90% del punto de
disparo, y en Bajo al 50% del punto de disparo en R1, R3, R4;y R5. Por
otro lado use 10% en P800, R6 y TT800. Todas causas tienen rango de 0 a
100% y sin PRE-procesamiento, pero con histéresis de 1% aprox.
2. Todas las causas son grupo 1 de SOER, y debe de permitirse que sean
“by-paseadas” y con auto-reconocimiento.
Guarde los cambios Para obtener ayuda presione F1


Seguridad
Funcional de Pregunta: ¿Qué significa en la
Procesos
matriz cuando las letras están en
Rojo?
Respuesta: ______________

Ejercicio 4b – Integración de exSILentia y

Simatic Safety Matrix
Seguridad
Funcional de
Procesos Pero existen todavía errores de
tipeo que pueden generar
operaciones peligrosas. ¿Como
automatizar más aun, ahorrando
tiempo y evitando errores?
Exportar
Proyecto.exi Proyecto.cem


Seguridad Meta: El estudiante podrá comprobar las ventajas de
Funcional de
Procesos utilizar esta herramienta.
1 - Abra La herramienta de importación

Desde Windows: Start Æ Programs Æ
exSILentia Import Utility V2, o haciendo
Doble-clic en el ícono de “exSILentia
Import Utility” en el escritorio (desktop)


Seguridad
Funcional de
Procesos
A
2 – Explore en “My Documents” Æ “BMS

Training On” Æ “Finales” y abra (Open) el
proyecto Single_BMS


Seguridad 3 - Verifique que es el proyecto en exSILentia que quiere
Funcional de
Procesos importar


Seguridad 4 – Guarde la Matriz importada en “My Documents” Æ “BMS
Funcional de
Procesos Training ON”, con el nombre de “Propagated Single BMS”


Seguridad
Funcional de 5 – Sea notificado del éxito
Procesos
de la operación, haciendo
“clic” en “OK” y cierre el
programa. A


Seguridad 6 – Desde “My Documents” Æ “BMS Training On”, abra
Funcional de
Procesos “Referencia” y “Propagated Single BMS”, haciendo doble clic
en el primero … Arreglándolo en cascada …
A


Seguridad 7 – … haciendo doble clic en el segundo … y arreglándolo
Funcional de
Procesos también en cascada … En arreglo Vertical


Seguridad 8 – … Desde “View” Æ “Options” arregle la Matriz generada
Funcional de
Procesos de igual forma a la de referencia


Seguridad 9 – … Desde “View” Æ “Options” arregle la Matriz generada
Funcional de
Procesos de igual forma a la de referencia


Seguridad 10 – … Haciendo doble-clic en cada causa compare La Matriz
Funcional de
Procesos propagada con la de referencia


Seguridad 11 – … Ordene en forma Horizontal y compare ahora los
Funcional de
Procesos efectos


Seguridad
Funcional de Pregunta: ¿Qué diferencias
Procesos
encontró?
Diferencias:
1 ______________
2_______________
3_______________
4_______________
5_______________
6_______________

Permisivos en Simatic Safety Matrix

Seguridad
Funcional de
Procesos Agenda
1. Introducción y/o Justificación

1. En que se basa la supresión de un SIS
2. Cuestionamiento
2. Secuencias Permisivas – Matriz Causa Efecto
1. Requerimientos
2. Una Herramientas para la Lógica Estática
3. Requerimientos para La Lógica Dinámica
3. Ejemplo de documentación dinámica
4. Ejercicio No 5


Seguridad
Funcional de
Introducción y/o Justificación
Procesos
Veo que cumplen con La Osha 1910.119, dado
que han aplicado la IEC 61511 Modificada o la
Lo que pasa …
ANSI/ISA 84.00.01 – 2004. ¡Estoy impresionado!
Entonces podemos
arrancar, ¿verdad?
¡Claro!
ACME
OSHA
¡Por supuesto,
¿Procedo entonces a como indica el
Bloquear el SIS? manual!
¿… es lo mas aconsejable ?

Seguridad
Funcional de
Procesos
Esto significa … SIS reemplazado por un equipo de HUMANOS …
Gerente de Arranque
ALARMAS
ALARMAS
PRODUCCION ALARMAS
RE
CO
NO
ZC
A
AB
ES OR
TE
CI ON
RA
O PE
VARIABLES
¿Es esto aconsejable?

Industry Sector
PAS Process Safety Seminar Copyright
ARENA Siemens SE&A
MOVEDIZA May 2009 75

Seguridad
Funcional de
Procesos
¿Qué indican los Números?
Para Beneficio de esta discusión,

consideremos el supuesto negado que
solo el 1% del total de accidentes
ocurridos en la Industria se han
producido durante el arranque,
transiciones o paradas de emergencia
planificadas. (Una cifra por demás
conservadora)
Es decir, aceptemos el supuesto negado de que 1 de cada

100 accidentes ocurran durante el arranque de planta.


Seguridad
Funcional de
Procesos
Pero una planta opera en promedio por 5 años

O sea: 5 x 8760 Horas = 43.800 Horas en estado estable
Mientras que se arranca en promedio en dos días

O sea: 2 x 24 Horas = 48 Horas en estado inestable
Las 99 plantas tuvieron una tasa de accidentes de:

99 accidentes / 43.800 horas = 0,00023 accidentes por hora
La tasa de accidentes en arranque fue de:

1 accidente / 48 horas = 0,021 accidentes por hora
¡Dos ordenes de Magnitud mas alto!


Seguridad
Funcional de
Procesos
Mientras que la tasa de fallas operando ha sido bajada

considerablemente … Del orden de 10-3 a 10-5 – (Gracias a los estándares)
AN
5 11
SI
6 1
/IS
C
IE
A
84
¡Muy poco se ha hecho para reducir
la tasa de accidentes en arranque!

Seguridad
Funcional de
Procesos
¿En que se basa la supresión de un SIS en arranque?
Los pretextos son variados:

1. Los periodos de arranque o transitorios son muy
cortos y pueden ser administrados por operarios
2. Hay muy poca similitud entre los procesos
3. Hay muy poca similitud entre el arranque y la
operación en estado estable
4. El proceso de arranque esta mas afectado por la
subjetividad del operador y condiciones
puntuales
5. Por ser las transiciones secuenciales y
dinámicas, cambios en los enclavamientos son
críticos


Seguridad
Funcional de
Procesos
Cuestionamiento
Analicemos uno por uno:

1. Los periodos de arranque o transitorios son muy
cortos y pueden ser administrados por operarios
s o ?
Las transiciones representan el momento mas volátil de la operación
gr o
el i
El SBCP generalmente no es capaz de reaccionar a rápidos
s P comandos manuales
El operador esta sometido a mucha presión por inestabilidad m a de variables
to
nprotección
La falta de “uso” (en este caso) no es capa e de debido a alta demanda
o m
La intervención humana no es una
e lm capa de protección por alta demanda
¿
(no es auditable o confiableEn – que se pueda depender de su accionamiento)
d o?
o í or inaction) as defined by ANSI/ISA 84.00.01 (part 1) or IEC 61511-1 Mod.
Depage 27 Note: ANSI/ISA 84.00.01 Part 2 or IEC 61511-2 Mod Offers guidance on
Nota: Human Error (action
Definitions - ¿
3.2.32
how to include operator’s availability and reliability in SIL calculations.


Seguridad
Funcional de
Procesos
Cuestionamiento

2. Hay muy poca similitud entre los procesos
De acuerdo, y esto hace difícil el uso de SIS durante el arranque. o r ?
d
p era
¿El ser difícil para un SIS, lo hace mas fácil para un operario?
u nO
a r a
Existen estrategias que permiten manejar estas disimilitudes
cilp
o Fá
… Presentamos … p er
n SIS
ar au
il p
ifí c
D
M uy
¿


Seguridad
Funcional de
Procesos
Cuestionamiento

3. Hay muy poca similitud entre el arranque y la
operación en estado estable a l ,
nu
a
n M
A pesar de estar el proceso mas tiempo en condiciónn uestable, IlaS
!
demanda se incrementa en estado inestable. ar
e n S tasa de
e t
npara n u
El SBCP puede no estar entonado
m r e
manejar los cambios.
En vez de gastar tempo eno cu “procedimientos”
escribir
a m a de arranque o durante
transiciones, se puede e D
gastar muchog
o r
mas eficientemente tiempo en crear
u e d
rutinas en el SIS para protegerp r
la planta en condiciones de mucha tensión para
e
los operadores p e d e
¡ S s
i la manera u
pde crear programas avanzados que manejen el arranque
Existe
s e
(como en aplicaciones de BMS), los cuales pueden ser verificados y validados
de acuerdo al resto de los estándares


Seguridad
Funcional de
Procesos
Cuestionamiento

4. El proceso de arranque esta mas afectado por la
subjetividad del operador y condiciones ba jo
puntuales en to
i im
noc sobre “Seguridad”
Aquí otra vez permitimos que “dificultad” tenga prioridad
co al?
El mismo nivel de participación se requiere
e ri r dea n
un u
operario para escribir
s f
nproceso. M
un manual que para automatizar un
tr a u n
e i b r
ique
Prueba es la NFPA 85, NFPA 86 d
ue esc
y los r
BMS se han automatizad
p
lo ara
r s o p
o o
e r ad sión
n Op pre
¿U


Seguridad
Funcional de
Procesos
Cuestionamiento

5. Por ser las transiciones secuenciales y
dinámicas, cambios en los enclavamientos son a l ,
n u
críticos Ma n S!
u I deben de
nde arranque
Es esta la RAZON EXACTA por la cual los procesos
r e
a ANSI/ISA
estar automatizados, siguiendo la IEC 61511 t(Mod),
S
n84.00.01 - 2004
e n n u
u m a r e
o c a m
e D o g r
u e d p r
e p e d e
s u
¡Si se p

Seguridad Introducción y/o Justificación

Funcional de
Procesos
Resumiendo
ANSI/ISA-84.00.01-2004 Part 3 (IEC 61511-3 Mod) Pág. 60
¿Es que acaso tenemos

Sicólogos en el comité?
¿Utilizamos Sicólogos en
los arranques de planta?

Seguridad Secuencias Permisivas – Matriz Causa Efecto

Funcional de
Procesos
¿Cuanto realmente podemos evitar la incertidumbre por factores humanos?
Respuesta fácil: ¡NO permita intervención humana si se puede evitar!
cado ¡Si se puede documentar

er tifi en un Manual de
c
to 3
Es I L Operaciones,
S
definitivamente se puede
programar en un SIS!


Seguridad
Funcional de
Secuencias Permisivas – Matriz Causa Efecto
Procesos A C
Requerimientos A
C
B
B
D
?!?
Para definir secuencias automáticas de
permisivos, se requieren básicamente dos
cosas:
1. Profundo conocimiento del proceso y su
operación
2. Herramientas que permitan la
documentación y programación dinámica
Ambos requerimientos son necesarios para
lograr comunicación fluida entre los
miembros del equipo de trabajo. Tanto
Ingenieros de proceso y programadores
como operadores y personal de planta.


Seguridad
Funcional de
Procesos A C
Requerimientos A
C
B
B
D
?!?
Existen muchas formas de asignar FIS
(Funciones Instrumentadas de Seguridad) a
RES (Requerimientos Específicos de
Seguridad.
1. Narrativa
2. Lógica Escalera
3. Bloques de Funciones
4. Matriz Causa-Efecto, etc.
Nosotros seleccionamos Matriz Causa-Efecto
por ser esta una forma de comunicación
precisamente desarrollada para simplificar
la comunicación:
Usuario-Ingeniero de Sistemas.

Seguridad
Funcional de
Procesos
Una Herramienta para La Lógica Estática
Fue creada en el ámbito del

”American Petroleum
Institute” (API) para facilitar
el entendimiento de la lógica
de enclavamientos
Prácticas Recomendadas
API 14C, para SIS para
plataformas costa afuera
EFECTO
Causa Hoy en día utilizada para el
Análisis de seguridad con
diagrama de evaluación
Luces Indicaban que causa y
que efecto estaban activos
en un panel central


Seguridad
Funcional de
Procesos
¿Como Funciona?
¡Ahhh!
Una Causa es una desviación en el proceso
Un efecto es una respuesta al proceso
La intersección define la relación entre la
causa y el efecto
Company ABC
Master Trip
Causa No
Safety Analysis
Function Evaluation Chart
Plant ID
Hoja 1 of 20
Efecto No 1 2 3 4 5 6
Condición A 1 S
Condición B 2 S
Condición C 3 S
Condición D 4 S
Condición E 5 S


Seguridad
Funcional de
Procesos
¿Como Funciona?
Para documentar apropiadamente necesitamos expandir sobre las
intersecciones un poco mas:
Tipo N o Normales
Tipo S o con memoria
Votación para expander el concepto de “o” de una columna
Company ABC
Master Trip
Botón de
Valvula 1
Valvula 2
Valvula 3
Valvula 4
Valvula 5
Causa No
RESET Safety Analysis
Function Evaluation Chart Reset
Plant ID
Hoja 1 of 20
Efecto No 1 2 3 4 5 6
Condición A 1 N S
Condición B 2 N N S
Condición C 3 2N S
Condición D 4 2N S
Condición E 5 2N S


Seguridad
Funcional de
Procesos
¡Por Esta matriz indica entonces las FIS
Supuesto! asignadas a los RES.
Si las condiciones detallan los puntos de
disparo, no es necesario mas documentos
Company ABC
301 Close
101 Open
501 Open
201 Open
401 Open
Trip
Master Trip
1
2
3
4
5
Cause No
VValvula
VValvula
VValvula
VValvula
VValvula
Safety Analysis
Master
Evaluation Chart
Function Evaluation
Causa
Plant ID
Plant ID
Sheet
Hoja1 of 20 20
1 of
Effect
Efecto NoNo 1 2233 44 55 66
o
Condición A> 120 F
Temperature 11 N S
Pressure > 200
Condición B Psi 22 NN NN SS
Condición
Flow C
< 56 Gal/m 33 2N
2N S
Condición
Flow D
< 56 Gal/m 44 2N
2N S
Condición
Flow E
< 56 Gal/m 55 2N
2N S


Seguridad
Funcional de
Procesos
Requerimientos para La Lógica Dinámica
Para hacer una matriz dinámica, es decir,

que permita secuenciación de arranque,
debemos agregarle:
1. Posibilidad de que los efectos sean
forzados aunque las causas estén
presentes.
1. Con limitantes de tiempo
2. Con intersecciones apropiadas
2. Temporizadores que gobiernen el
accionamiento y duración de las causas
3. Con supervisión de los efectos desde las
causas (retroalimentación o “Feedback”)


Seguridad
Funcional de
Procesos
“Overrides” para forzar las Salidas o efectos
Los “overrides” o Salidas Forzadas deben de actuar cada vez que pasan del
estado des-energizado al estado energizado, en forma similar a los
“resets”.
Se debe limitar su acción al tiempo que los estudias de riesgo arrojen.
Se debe permitir demoras en su accionamiento
Las intersecciones de causas con efectos que puedan ser forzados serán
entonces:
1. Del tipo V o Normal que puede ser Forzada
2. Del tipo R o con memoria que puede ser Forzada
3. Del tipo X V o XR donde se permita votación
Botón de
Override


Seguridad
Funcional de
Procesos
Temporizado de las causas
Las causas por otra parte también deben de tener temporizadores

que gobiernen su acción lógica.
Causa Activada
Causa Normal Causa Normal Sin Tem porizado
Causa Normal Demora Demora Pre-Disparo (PRD)
Causa Normal Demora Demora Post-Disparo (POD)
Causa Normal Demora Causa Normal Desactivada por tiempo (AT)


Seguridad
Funcional de
Ejemplo de documentación dinámica
Procesos
Supongamos el siguiente ejemplo:
En una Petroquímica, se necesita “secar” cierto
hidrocarburo en forma de gas. Para ello se hace circular
el gas por un reactor empaquetado con material
absorbente.
La reacción es exotérmica por lo que se utiliza la
temperatura para evaluar la efectividad de la reacción.
Si la temperatura baja de cierto nivel, (110 oF), es
indicación de que el reactivo se ha gastado el reactor
debe de ser re-empaquetado.
La remoción de humedad del hidrocarburo es critica
puesto que podría causar eventos catastróficos aguas
abajo, por lo que una FIS ha sido calculada como SIL3
en un análisis LOPA.


Seguridad
Funcional de
Procesos
V 110
TT101
V 130
V 120 TT102
TT103
V 210 TT104
TT105
V 230 TT106
V 120


Seguridad
Funcional de
Procesos
La matriz Tradicional (estática) quedaría …
Valvula 210 - Cierra


Valvula 120 - Abre
Valvula 120 - Abre

Company ABC
Causa No
Safety Analysis
Function Evaluation Chart
Plant ID
Hoja 1 of 20
Efecto No 1 2 3 4 5 6
o
Temperatura TT 101 < 110 F 1 4S 4S 4S 4S 4S 4S
Temperatura TT 102 < 110 oF 2 4S 4S 4S 4S 4S 4S
o
o
o
Temperatura TT 106 < 110 oF 6 4S 4S 4S 4S 4S 4S
Si 4oo6 mediciones bajan de 110 oF, se aborta el proceso y Se

necesita un reset de las válvulas

Seguridad
Funcional de
Procesos
Para el arranque, el procedimiento de arranque es:

1. Se abren las válvulas V110, V130, V230. Se mantienen
Cerrada la Válvula V210. Se Cierra la válvula V120 y se
mantiene abierta la válvula V220.
2. Se va aumentando el caudal a razón de 5 Galones por
minuto cada cinco minutos desde el SBCP hasta llegar
30 Galones por minuto.
3. La temperatura del secador debe de alcanzar 110 oF en
los primeros 10 minutos de operación.
4. Se abre la Válvula V230 y se cierra la válvula V220
Normalmente se procedería a colocar el SIS en “Bypass” y
se seguiría los procedimientos de acuerdo a un manual.


Seguridad
Funcional de
Procesos
Tradicionalmente:
1.
C
A A
C
2. B
C
A B
3.
B
C
A
4. B
OPERATOR B
C
A A
C B
A Proceso
Ya vimos como esto produce accidentes


Seguridad
Funcional de
ARRANQUE
Procesos
Una Matriz dinámica evitaría este peligro… … ¿y como funciona?
adb
eole
asqrtu
a
r E
p
an
c Dsrios
eA Company ABC
PB_START Override 10
Override 10
S
n
Override 10
Override 10
oI
segundos
segundos
Output 10
Output 10
rE
PS
Minutos
Minutos
Minutos
Minutos
Tiempo
Delay
Delay
Max
Max
Max
Max
Analisis de Seguridad Funcional
Diagrama de Evaluacion de Funciones
PB_START
PB_START
PB_START
Reset Tag
Override -
MAX 10 MINUTOS
Identificacion de Planta
Valvula 120
Valvula 130
Valvula 210
Valvula 230
Valvula 110
Valvula 220
Hoja 13 de 13
Causa No
Cierra
Cierra
Cierra
Cierra
Abre
Abre
DEMORA 10 S
Effect No Timers 1 2 3 4 5 6
o
Temperatura TT 101 > 110 F POD 20 s 1 4R 4R 4R 4R 4N 4N
o
o
o
o
Temperatura TT 106 > 110 oF POD 20 s 6 4R 4R 4R 4R 4N 4N
Efecto No 1 7 R R R R N N
Ejercicio 5 – Uso de Simatic Safety Matrix

Seguridad Meta: Los estudiantes documentaran los Permisivos según el
Funcional de
Procesos
Fabricante del Horno, Quemador y según la NFPA 86
Cierre “Referencia”. Luego maximice y modifique “Propagated Single
BMS” para que NO tenga diferencias con “Referencia”. O sea agregue
los 6 faltantes encontrados en el ejercicio anterior
Recordatorio: Diferencias (Faltan)
1. Intersecciones
2. Válvulas de Purga
3. Delta, PRE-Alarma e Histéresis en causas analógicas
4. Alta Temperatura del Producto esta repetida. (Borre la
que esta separada).
5. No están Indicados los grupos de SOE
6. No se indica el perfil de las Alarmas ni los Rangos
Nota: Todos los Rangos son 0-100 excepto el de

temperatura, el cual debe de ser de 0-300 (TT T800, no
puede ser ajustado ahora)
Similarmente toda las alarmas son estándar excepto el
efecto 3 que es secuencial (Válvula Bloqueo Piloto)

Seguridad Cierre “Referencia” totalmente. Vamos a trabajar con “Propagated Single
Funcional de BMS”. El paso siguiente consiste en ordenar la matriz un poco, para
Procesos
facilitar la lógica en el diseño de los permisivos.
1 – Colóquese sobre la causa No 1 y haciendo clic en el ratón derecho,
Inserte una línea (Add Row). Acepte la advertencia.

Seguridad
Funcional de 2 – Repita la operación hasta que la matriz aparezca como lo muestra
Procesos la figura

Seguridad
Funcional de 3 – Vamos a agrupar ahora las causas con sus intersecciones. Para
Procesos ello colóquese sobre la causa No 19 y haciendo clic en el ratón
derecho copie la causa (copy), luego párese sobre la causa No 12 y
con el ratón derecho péguela. (paste). Repita el procedimiento con
las intersecciones respectivas.

Seguridad
Funcional de 4 – Vuelva a la causa No 19 y bórrela (Delete)
Procesos
Intersecciones ya
Pegadas
Causa ya Pegada

Seguridad
Funcional de 6 - Repita la operación hasta obtener
Procesos
una matriz con las causas agrupadas
como la de la figura.
7 – De igual forma, copie el efecto No 2
y péguelo en la columna No 9, con
todas las intersecciones. Luego borre
la columna No 2.
8 – Desde File Æ Save, guarde los
cambios

Seguridad
Funcional de
Procesos Hemos definido las condiciones estáticas de
protección (enclavamientos de las FIS)
Debemos ahora definir los permisivos de acuerdo a

una secuencia de arranque del horno
VENT
PURGA
PIL
QMD
VP 100

Seguridad Paréntesis: Repasemos ahora los permisivos
Funcional de
Procesos
En detalle Necesitamos …
¿NO? PARADA
Todas las válvulas de bloqueo de todos los quemadores y
pilotos están cerradas, todas las válvulas de purga están MAESTRA
abiertas y No hay llama en el horno
El volumen de Aire (tasa) es suficiente

Define
Se esperó el tiempo apropiado para que el horno purgue
residuos de combustible (Gas) Permisivos
RESET
Se mandó la señal al transformador para originar Chispa

de encendido por Diez Segundos

Hay llama en el Piloto
En el Quemador Principal, se abrió las válvulas de bloqueo

y se cerró la de purga
Hay llama en el Quemador y por tanto el piloto se apaga ¿SI? CONTINUE

Funcional de
Procesos Todas las válvulas de bloqueo de todos los quemadores y pilotos
están cerradas, todas las válvulas de purga están abiertas y No
hay llama en el horno
Se necesita cortar General de energía a las siete Válvulas.
1. Una señal discreta mantendría las válvulas energizadas. Al

des-energizar dicha señal, las 7 válvulas se des-energizarán
2. El TAG de esta señal es MFT (Master Fuel Trip) o corte
Maestro de combustible
3. El efecto latch (o gancho) lo puede proveer la Matriz, el
Botón de Parada Maestra o ambos. En este caso, es el botón
quien físicamente mantiene ultima posición.
4. En la causa No1 coloque una entrada discreta llamada MFT
como “Corte General de Combustible” como función normal.
No permita bypasses e inclúyalo en el SDE grupo 1.
5. Note que al no ser instrumentada (pues se requiere de un
operador que apriete el botón), NO HAY SIL, pero se alarma
en disparo.
MFT

Funcional de
Vea La figura como queda configurado MFT.

Funcional de
Note que no se permite “Bypass” y que es grupo 1 de SOE.

Funcional de
Y que todas las intersecciones son del tipo N
Por ultimo, Guarde los cambios realizados


Funcional de
Estando las válvulas des-energizadas no debe haber llama en el

horno. Si ha hay, es por rotura de tubería y derrame de
petróleo y de inyectar aire o combustible se puede empeorar la
situación. Por tanto:
1 – En la línea No 2 coloque una causa con descripción: “Llama

indeseable” o “ Vals Quemador Off con Llama”
2 – Ponga a votar en arquitectura 2oo2 al detector de llama del
quemador en modo “energizar para disparar” con la
retroalimentación de las salidas de las válvulas del quemador.
3 – Seleccione la causa como discreta de 2 entradas y secuencial
como muestra la figura

Funcional de

Funcional de
Seleccione una demora (para

evitar disparos por ruido) de 3
segundos, pertenecer al grupo 1
y auto-reconocimiento y NO se
permite “By-pasear”

Funcional de
Todas las intersecciones serán del tipo Normal: “N”.

Funcional de
Copie la causa 2 y péguela en la línea 3,

cambiando solo tres cosas: En descripción
ponga “Piloto” en vez de “Quemador”, BEL
S2 en vez de BEL S3 y cambie la referencia
interna al efecto No 2 Tag No 1

Funcional de
Si la descripción elegida fuese “Llama Indeseable”, la misma no

necesita ser cambiada (solo dos cambios son necesarios)
Copie las intersecciones de la línea 2 y

péguelas en la 3, como muestra la
figura. Luego guarde los cambios.

Funcional de
Procesos
Se necesita Manejar el
Ventilador desde la Matriz, por
tanto proceda de la siguiente
manera:
1. En La columna No 3
genere un efecto con No
de TAG “VT401”,
descripción “Ventilador”
y Acción “APAGAR” con
alarma estándar

Funcional de
Procesos
2. En Las Opciones, indique

un Reset / Override con
No de TAG “VENT”, y fije
el temporizador de la
acción del “override” o
forzamiento a unos
Treinta segundos. Esto
significa que el
ventilador va a ser
forzado por treinta
segundos. Si en ese
tiempo las causas que lo
apagaron desaparecen,
el ventilador quedara
prendido. De no ser así,
se apagara nuevamente.

Funcional de
Procesos El Ventilador esta prendido y funcionando
3. Para evitar contracciones térmicas severas, la intersección con MFT es tipo

N (solo si el botón MFT esta desactivado el ventilador prendera con VENT)
tampoco se puede prender el ventilador con fuego en el hogar y válvulas
cerradas.
4. La intersección con FS S4 y PT P800 es del tipo R, lo que significa que se
permite “forzar” la salida, pero si el ventilador esta defectuoso o si el
operador tarda mas de 30 segundos en ajusta el “damper”, la operación
sería abortada. Guarde los cambios
Con suficiente Caudal de Aire, el Ventilador queda prendido

Funcional de
Procesos

residuos de combustible (Gas)
Se necesita ahora generar una

señal que Arranque el proceso
de Purga. Estándares obligan a
utilizar un tiempo nunca menor
a cinco minutos. En este
ejercicio usaremos 1.5 Minutos
1. En la columna No 4, cree
un efecto con No de TAG
“PURGANDO” como
conexión externa (Que
va a ser monitoreado por
la causa 19). Acción:
“ARRANQUE” y
descripción “En ciclo de
purga”, como en la
figura.

Funcional de
Procesos

2. En las opciones coloque

un “Reset / Override”
con No de TAG “PURGA”,
y un tiempo máximo de
600 segundos. Esto
obliga a rehacer la purga
si el horno no ha sido
prendido en 10 minutos.

Funcional de
Procesos

3. Coloque las intersecciones con la lógica siguiente:

a. La purga no es posible con el MFT activado, o llama no
deseada, para proteger la infraestructura del horno
contra cambios bruscos de temperatura. Intersección
“N”
b. La falta de llama hace la purga necesaria, pero debe
de poder purgarse antes de que haya llama.
Intersección “R”. (Max 10 minutos)
c. Sin “Aire Primario” y suficiente caudal no es posible
purgar. Intersección “N”
d. La presión en el hogar debe disparar la necesidad de
purga, y al desaparecer debe de poder arrancarse la
purga. Intersección “N”

Funcional de
Procesos

La figura indica como debe de

quedar las intersecciones.
4. Guarde los cambios

Funcional de
Procesos

residuos de combustible (Gas) – t Minutos
Pero se necesita esperar un tiempo de “t” minutos con el

ventilador prendido y con el caudal adecuado para asegurar el
barrido de cualquier vestigio de gas dentro del hogar. Esta
operación (llamada purga) va a resetear el horno. Es decir, si la
purga es necesaria, no se debe permitir el abrir ninguna válvula,
ni producir ninguna fuente de ignición dentro del horno.
1. En La línea 21, cree una causa producto de la retro-alimentación

del efecto 4 . Esto se hace eligiendo una referencia interna al
efecto No4, Tag No 1, colocándole descripción “Purga
Completa”, como lo muestra la figura en la pagina siguiente
2. En Opciones, No se permite “Bypass”, pertenece al grupo 1 de
SOER y se le configura al efecto una demora en desactivarse de
90 segundos (el tiempo “t”, que puede llegar hasta 20 horas en
Simatic Safety Matrix) como se ilustra adelante

Funcional de
Procesos

residuos de combustible (Gas) – 1.5 Minutos
1. Describa la causa
como “Purga
Completa”, discreta y
Normal como se
indica en la figura.

Funcional de
Procesos

2. En las opciones, seleccione

en Time: Demora Post-
Disparo (OFF Delay), con
90 segundos. Seleccione
“Auto Acknowledge” y
subscríbala como
perteneciente al SDE
grupo 1 y alarme en
disparo, pero no permita
“Bypass” como en la
figura.

Funcional de
Procesos

3. Como la causa tendrá una demora de 90 segundos desde su

desactivación, esto nos permite el tiempo de purga.
4. Como se indico’ anteriormente las intersecciones con las
válvulas deben de ser ¨N¨, como lo muestra la figura

Funcional de
Procesos

5. Revise (verifique) y Guarde (valide) los cambios hasta ahora

realizados y desde “View” Æ ”Options” modifique las opciones de la
matriz a 25 causas por 16 efectos y las columnas indicadas en la
figura

Funcional de
Procesos

Por ultimo, revise (verifique) y Guarde (valide) los cambios hasta

ahora realizados. Hasta ahora definimos … Tres botones:
MFT
VENT
MAX 20 SEGUNDOS
PURGA
MAX 10 MINUTOS

Funcional de
Procesos Se mandó la señal al transformador para originar Chispa de
encendido por un minuto

Una vez completa la purga, se puede proceder con el encendido

del Piloto. Hay tres factores a tomar en cuenta en este paso:
a – El encendido del transformador con la bujía debe de
ocurrir 3 segundos antes de abrir las válvulas de bloqueo del
piloto.
b – El transformador solo puede operar por 10
segundos. De no haber llama en 10 segundos, según
especificaciones del fabricante del Horno, debe de volverse a
purgar.
c – Las válvulas de bloqueo del piloto solo pueden estar
abiertas por 10 segundos. De no haber llama en 10 segundos,
debe de volverse a purgar
Nos queda entonces tres variables: Empieza encendido, Termina

encendido y Presencia de llama en este periodo. Todo iniciado
desde un botón (PIL). Empecemos con el transformador.

Funcional de
encendido por 10 segundos

1. En la Columna No 5,
introduzca un efecto con
No de TAG “TRBMS
Debe ser normal, con

descripción : “Señal de
Ignición Bujía” y acción
“DES-ACT” y perfil de
Alarma “secuencial”, como
en la figura.

Funcional de

2. En Opciones,
introduzca un
Reset / Override
con No de TAG
“PIL”, y una
duración Máxima
de 13 segundos
(10 s para que
encienda el
piloto y 3 de
adelanto de
chispa) como lo
indica la figura.

Funcional de

3. Chispa no es permitida si
cualquier causa del BMS hasta
ahora diseñada esta activada
(intersección “N”), pero el Reset-
Overide “R” se permite (por 13
segundos), aunque no haya
llama en el piloto. ¿Y el
quemador?. La figura muestra
las intersecciones.
Nota: No hay Intersección con la
parte de proceso. Si se equivoca,
elimínela. Al eliminar una
intersección aparecerán dos
guiones (ver línea 5)

Funcional de

4. Pero sabemos que el piloto va a

ser apagado una vez encienda el
Quemador, por lo que la causa
seis debe ser modificada para
que se active si AMBOS sensores
de llama indican que no hay
llama.
5. Seleccione entonces votación
“AND” en la Causa No 6

Funcional de

6. La Matriz
debe de
verse como
la figura.
Guarde los
cambios

Funcional de

7. En la columna No2,
en el efecto:
“Válvulas Bloqueo
Piloto”, en
opciones, coloque
el mismo “Reset /
Override” PIL, por
10 segundos, pero
active la demora
por 3 segundos

Funcional de

8. Las intersecciones son

todas Normales, “N”,
excepto la de la llama del
piloto que debe de ser
cambiada a “R”, con lo que
aunque no haya llama en el
piloto las válvulas se
desbloquearán por 10
segundos

Funcional de

9. Sin embargo, si no hay llama en los tiempos estipulados, es

necesario por definición el forzar la purga otra vez más. Para
eso debemos monitorear la acción sobre las válvulas y forzar
la purga en caso de que tengan que cerrarse otra vez por
falta o falla de llama.
En el caso del Quemador es simple. Si no hay llama en el tiempo
estipulado, El múltiple de válvulas se vuelve a cerrar, y esto
puede generar el re-set de la necesidad de purgar.
En el caso del piloto, como el mismo va a apagarse, debemos de
crear una condición donde “No haya llama en el piloto “y” la
válvulas del múltiple del piloto estén cerradas “y” no haya
llama en el quemador para forzar un re-set

Funcional de

a) Cree dos causas en las líneas 23 y

24: “Switch Válvula Quemador
Abriendo” y “Falla de Encendido
Piloto” respectivamente deben
ambas intersectar “En ciclo de
Purga” como “R”
b) Conecte a cualquier salida del
efecto 1 la línea 23 y cualquier
salida del efecto 2 a la línea 24.
c) En la línea 24 ponga los sensores
del Quemador y del Piloto a votar
en arquitectura 3oo3.
d) Ambas causas son secuenciales, no
se permiten “by pasear”, son parte
del grupo 1 de SOE y se auto-
reconocen

Funcional de


Funcional de

Lo siguiente es apagar la chispa de encendido 5 segundos después

de tener llama en el piloto.
Para ello:
1 – Guarde los cambios hechos hasta ahora para evitar confusiones
2 – Inserte una línea encima de la causa 7 como causa BEL S2 y
descripción: “Piloto OK”, secuencial pero “Energizar para disparar”,
auto-reconocible, que no se permite by pasear y que esta en el
grupo de SOE 1
3 - Permita una demora “ON DELAY” de 5 segundos
Note: 5 segundos después de haber llama en el piloto, cualquier

chispa de ignición sería inhibida.

Funcional de

Lo siguiente es apagar la chispa de encendido 5 segundos después

de tener llama en el piloto.
Para ello:
4 – Coloque la Intersección de Piloto OK. con la señal de ignición
como “N”, como muestra la figura.
Otra OCI
Seguridad
Funcional de
Procesos
A estas alturas del análisis, existe una Orden de
Cambio de Ingeniería, La Gerencia ha
determinado que si bien alta temperatura o bajo
caudal de producto debe de forzar la parada del
horno, se debe de permitir hasta 10 horas para
alcanzar el caudal adecuado en el arranque.
Por otra parte una revisión del HAZOP ha

determinado que la baja temperatura del producto
debe de cerrar la válvula de producto, pero no
debe de afectar al BMS:
Esto significa que:

Hay que eliminar las intersecciones de proceso con el
quemador y el piloto
Otra OCI
Seguridad
Funcional de
Procesos Seleccione las intersecciones, bórrelas y acepte
la advertencia y guarde los cambios

Seguridad Paréntesis: Volvamos al BMS …
Funcional de
Procesos Hay llama en el Piloto
En el Quemador Principal, se abrió las válvulas de bloqueo y se

cerró la de purga
Hay llama en el Quemador
Una vez que haya llama en el Piloto, todo lo que se requiere es

desbloquear las válvulas del Quemador. Para ello hay que producir un
“Overide-Reseteable” por un máximos de 10 segundos.
Si en 10 segundos no hay llama en los quemadores, el fabricante

recomienda abortar el encendido, re-hacer la purga y re-iniciar el
proceso como lo hemos configurado. La razón obedece al diseño de la
caja de viento, en la cual hay probabilidades (aunque muy pequeñas),
de que quede gas acumulado, reaccionando a la llama del piloto en
forma indeseable (formación de carbón en las boquillas). El
fabricante recomienda limpiar las boquillas si el encendido de los
quemadores es abortado por esta razón mas de tres veces seguidas.
Nos queda entonces tres variables: Empieza encendido, Termina
encendido y Presencia de llama en este periodo.

Funcional de
Procesos Hay llama en el Piloto
En el Quemador Principal, se abrió las válvulas de bloqueo y se

cerró la de purga
Hay llama en el Quemador
2. En la columna No1, en
el efecto: “Válvulas
Bloqueo Quemador”,
en opciones, coloque
un “Reset / Override”
con el No de TAG:
“QMD”, por 10
segundos.

Funcional de
encendido por un minuto

3. Las intersecciones
son todas
Normales, “N”,
excepto la de la
llama del
Quemador que
debe de ser
cambiada a “R”, con
lo que aunque no
haya llama en el
Quemador, las
válvulas se
desbloquearán por
10 segundos al
activar QMD

Funcional de
Procesos
Por ultimo; una vez que hay llama en el quemador, podemos apagar la
llama del piloto, pero teniendo cuidado de mantener inhibida la
ignición. Para integrar esto en la matriz, proceda de la siguiente
manera:
1. Copie la línea No 5
(BEL S3) y péguela
en la línea 23.
2. Modifíquela para
que sea Secuencial,
energizar para
disparar

Funcional de
Procesos
3. En las Opciones
Seleccione una
Demora PRE-Disparo
(ON Delay) y coloque
el temporizador en 3
segundos como
recomienda el
fabricante
4. Agregue una nota
indicando que esta no
es una función
relacionada con la
seguridad funcional
del BMS

Funcional de
Procesos
5. Finalmente, las intersección son del tipo N, con la columna 5
(DES-ACT) o la de la “Chispa de Ignición Bujía” y 2 “Válvula
Bloqueo del Piloto”
6. Revise (verifique) y Guarde (valide) los cambios hasta ahora
realizados,
Conclusión Ejercicio 5
Seguridad
Funcional de Pregunta: Si la señal para abrir la
Procesos
Válvula de producto tiene un No de
TAG “VP100” y, como se vio se
permite diez horas para que el
producto alcance la temperatura
optima: ¿Como quedaría
configurada la matriz?
Tiempo:
5 minutos

Seguridad
Funcional de La figura muestra la matriz completa
Procesos

Funcional de
Procesos

Tenemos hasta ahora Seis Botones de arranque:

Uno de Parada de Emergencia, cuatro para el BMS y uno de
arranque de planta
MFT PIL
VENT QMD
PURGA VP100
Verificación Ejercicio 5
Seguridad
Funcional de Indique en que orden se debe apretar
Procesos
los botones en el arranque de planta:
MFT (desbloquear) _____

VENT _____
PURGA _____
PIL _____
QMD _____
VP100 _____
Tiempo:
10 minutos
Validación Ejercicio 5
Seguridad
Funcional de Las próximas paginas muestran los
Procesos
reportes impresos generados por
exSILentia de exida y Simatic
Safety Matrix™ de Siemes.
Revíselo e indique:
¿Qué error encuentra en la causa
MFT?
Tiempo:
20 minutos
Algunas herramientas comerciales para documentar

SRS y Verificar SIL de las FIS
Seguridad
Funcional de
Procesos
e ida SIEMENS
Encuesta:
software para documentar SRS y verificar SIL?

Seguridad
Funcional de
Procesos

Bienvenidos

Cargado por

Copyright:

Formatos disponibles

Bienvenidos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Bienvenidos

Cargado por

Copyright:

Formatos disponibles

Industrial Automation

Process Safety Seminar Copyright Siemens Industry March 2010 1

9:30 - 10:45 AM Introducción a la Seguridad de Procesos

9:45 - 11:00 AM Peligros y Análisis de Riesgo (HAZOP)

11:00 - 11:15 PM Pausa

11:15 - 13:00 PM Análisis de capas de Protección (LOPA)

13:00 - 13:30 PM Almuerzo

13:30 - 15:00 PM Requerimientos Específicos de Seguridad (SRS)

15:00 - 15:15 PM Pausa

15:15 - 17:00 PM Requerimientos Específicos de Seguridad (Cont.)

Process Safety Seminar Copyright Siemens Industry March 2010 2

09:00 - 09:30 AM Café y Repaso

09:30 - 10:45 AM Diseño e implementación

10:45 - 11:00 AM Pausa

11:00 – 12:30 AM Diseño e implementación

12:30 - 13:00 PM Almuerzo

13:00 - 15:30 PM Diseño e implementación

15:30 - 15:15 PM Pausa

15:15 - 16:45 PM Diseño e implementación

16:45 - 17:00 PM Conclusión

Process Safety Seminar Copyright Siemens Industry March 2010 3

09:00 – 09:15 AM Café y Repaso

09:15 - 09:45 AM Instalación, puesta en servicio y validación

09:45 - 10:00 AM Pausa

10:00 - 11:30 AM Operación y mantenimiento

11:30 – 12:45 PM Modificaciones

12:45 - 14:00 PM Almuerzo

14:00 - 15:30 PM Entrega de Diplomas

15:30 - 16:30 PM Despedida

Process Safety Seminar Copyright Siemens Industry March 2010 4

Presentación del Instructor

Process Safety Seminar Copyright Siemens Industry March 2010 5

Que cubriremos en este curso

Process Safety Seminar Copyright Siemens Industry March 2010 6

Finalidad del seminario

Process Safety Seminar Copyright Siemens Industry March 2010 7

Finalidad del seminario

Trabajar con un nuevo juego

Process Safety Seminar Copyright Siemens Industry March 2010 8

Finalidad del seminario

Aprender sobre Siemens y

Process Safety Seminar Copyright Siemens Industry March 2010 9

El Mercado de Seguridad esta Creciendo

 El mercado de seguridad de procesos esta

 Hay un incremento de demanda por control y

 Siemens QUADLOG & APACS (desde 1995)

 Siemens S7-F y PCS 7 (desde 1999)

Process Safety Seminar Copyright Siemens Industry March 2010 11

El Mercado de Seguridad esta Creciendo

Fuente: Estudio ARC - 2004

Process Safety Seminar Copyright Siemens Industry March 2010 12

Process Safety Seminar Copyright Siemens Industry March 2010 13

Ejemplo: FM 7605 indica

Process Safety Seminar Copyright Siemens Industry March 2010 14

 Experiencia con SISs

 Certified Functional Safety Experts

- Identificación y evaluación de riesgo

- Cumplimiento con la IEC 61508 e IEC 61511

 Entendimiento profundo de las normas:

El mercado de seguridad de procesos esta

Hay un incremento de demanda por control y

Siemens QUADLOG & APACS (desde 1995)

Siemens S7-F y PCS 7 (desde 1999)

Experiencia con SISs

Certified Functional Safety Experts

Entendimiento profundo de las normas:

NFPA 85 & NFPA 86

IEC 61508 & IEC 61511

Regent de ICS Triplex