Vous êtes sur la page 1sur 511

SEGURIDAD FUNCIONAL EN

INSTALACIONES DE PROCESO
Sistemas Instrumentados de
Seguridad y Anlisis SIL

Coordinadora:
Inmaculada Fernndez de la Calle
Autores:










 







!"#
$%
&'
()*#

'('
+ 

Inmaculada Fernndez de la Calle et al , 2012 (Libro en papel)

Inmaculada Fernndez de la Calle, 2013 (Libro electrnico)

Reservados todos los derechos.


No est permitida la reproduccin total o parcial de este libro, ni su
tratamiento informtico, ni la transmisin de ninguna forma o por
cualquier medio, ya sea electrnico, mecnico, por fotocopia, por
registro u otros mtodos sin el permiso previo y por escrito de los
titulares del Copyright

Ediciones Daz de Santos, S.A.


Albasanz, 2
28037 MADRID
ediciones@editdiazdesantos.com
www.editdiazdesantos.com
ISBN: 978-84-9969-658-4 (Libro electrnico)
ISBN: 978-84-9969-210-4 (Libro en papel)

ACERCA DE LOS AUTORES

COORDINADORA

Inmaculada Fernndez de la Calle


'  '

 
 ' '
M '

N''
  $
'

+ '
'
M '
$'
+O$
6#'
 '
  $'P
'':
#$K 6+L
 '
)  '
O' '
$ $
')6#'
 '
/
$
:
$$
&
Q
R4 '
('
/6   '
'
/


 

  $ 'R
&
Q
'

 
6#'
 '
)S:

/$
$ $$

  #'
*
$ ' 
J$' 



$ 
$'

(
'

& $$
$ 
  6+
J
/' 
$' 
&S
6#'
)*''$'''+ ' &6+
J
)
$' '


$'
$
'$4 '

+
 '

$
&
)
 '$
 
$9K#'
'$

'$ $
#'
L/10K*

 'P
'#'
:6(6L/11
K*'J  $
66

 'L)12K*'J$
66L

AUTORES

Alfonso Camacho Lpez


#'R4 '  '
)  '
O' '
$ $
'/$
$'
')
$G M ' /6'$
 $*'$'&')6'$
$ $

6#'
(P
G$/G
$
G$3 '
) $
- 


VIII

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

%




'
$
&
Q

$' '$'$ $
:
'/'J
'$ $
') $'
  

'#'
%
'
&
#
'
')'' $
Q/
&

)
$


 T$''
 
$
$3 '

G$$ $
') $G 68(
%
 '$
$8K+ $
'$
'$ $
#'
L

Inmaculada Fernndez de la Calle


'  '

 
 ' '
M '

N''
  $
'

 '
'
M '
$'
+O$
6#'
 '
  $'P
'
'#$K 6+L
 '
)  '
O' '
$ $
')6#'
 '
/
$
:
$$
&
Q
R4 '
('
/6/   '
'
/


 

  $ 'R
&
Q
'

 
6#'
 '
)S:

/$
$ $$

  #'
*
$ ' 
J$' 



$ 
$'

(
'

& $$
$ 
  6+
J
/' 
$' 
&S
6#'
)*''$'''+ ' &6+
J
)
$' '


$'
$
'$4 '

+
 '

$
&
)
 '$
 
$9K#'
'$

'$ $
#'
L/10K*

 'P
'#'
:6(6L/11
K*'J  $
66

 'L)12K*'J$
66L

Carlos Javier Gasco Lallave


'  '
 ' '
'

N-+*
 '
'
'
$'
)+O$
N''$
'(#
') $G $'

N''
G'$4 :
'

'
%
 

  '    $ $3 ' /     $ 

6#'
G /  O$6'$
$ $
6#'
)$O/
)  
#'

$''
'
  ''$
')
J

/

'

$''
 $  $UM '

$'
V/
N':
'
('
)S'#''R

#
)
&
')

$
J

6:+
J


Acerca de los autores

+

'


$' '
) $'$
'
  #'
$ $
''$ $'
/#R4 '
('
)
'
$
$'


'  $
'$'$
*9  '
&4'
K+
J
)G$#
L  66
Coach.
 $
 $
&
# '
6#'
 '
#

) $
%
 '$
$2K#'
'/$
)
$'
L/3 K

$ '
'$

' L/14K
$' '$)O$
'66L)15K'P
'
66L

Ana Mara Macas Jurez


+W
Q
 $'##'$'
$'$$R #' <

(/ '
'$
6#'
 '



'$'
  $ '
:
& 3' 
JO' '
''('#G /*$ '
'
 '#'
)
'#
'6&Q$'%
&'

$ #'
)



 $'
$ :684O' %
' 
$' T$' 

 $:
#4$' )
') $#'


 $'$'#
')$ #

4O' 
%
 '$
$5K*'J  $
L)17K
 $' L

 
  
#'
R4 '
$'
/ '
'$
6'6'$
 $)6#'
/O:
$
6#'
 '
 $'P

K 6+L/$
&
Q
BEEX
$
$
 $

$ $
'
*' '#'
:*' 'R4 '

(
%
$
&
Q
+ 
'#
'#'



$' '$4 $' 

 $
 


D=?=
$
D==B+R4 '
('
6D==X

BEEX/
$
$6'$



A$
$'
'Grocesos I$'
)

$
$$ $
') $
%
 '$
$13KR/'$

'/  ''
)
'
'66L

IX

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Gabriela Reyes Delgado


"
6#'
G 
*'''6#'
$'
 /
6#'$'
+ '
'
M '
)R4 ' 6'G '(':
#
&
/ '
'
6#'
/%'#')+# 

%
$
&
Q
 
JBEEE) $
 
'
$

O' '


':

'
 $#
%
KHazard and Operability StudyL)''6



-
$'
-686:6?@ED:D==A+ ADHE?8ADHDD&6#'
 '
/

 

'
'$
 $#
'$'P
''#/) :
$'$

'O'$$
' '
 
 $P/$3 ' 
)#
/)#
 $'$'
/$
$
'
'
  '$
'

*'
O' '
 $
$

  '
&''('#$'
:
/
&'' 
$' '
&+$'%
)''6  /

  &'
'
$ &

$'
'$'$
'$
 '
'


%
 '$
$6K''('#G L/7K$#



:
$ '
'' 6L)16K '

#'
 '
L)
&

Z' $'&

Julio Rivas Escudero



G) $
(P
6 $G$
#' 4 $'  %
 

 

 '
  G$$' $

'$ $
')+ $' '

$' '$)$ $
'
#'
+
J=E') $('$ $
')*'#'$
'
'

P
)
$
' 
 ) $ $


*:

$
$ $

)6'$
G '
(P
6 $
G$
$3' 
JKD==B:BEE>L' &6+
J
/$ '
  '$4
Q $'
$'
J/3$G'$
G)
$U$ $
') $G 68(V

 $6#'
$'

%
 '$
$1K$ '
'$
'$ $
#'
L)
4K$ '
 ' '
'$
'$ $
#'
L 4

$'
'
'&) Q'' '


AGRADECIMIENTOS
M''4

#
 ' #

6+
J
 :
Q/
'')
)3
 '


3$
'&

/
'
#
'3   '
Q$)Q$  #

P

M 
$
3
)6+
J

:

'

$
 $
 ' *
/ )
)'
'

'

#'
- Q
 &

$

''
/
 

3  '
$
&'4
$$'&
N
  ' '


<
/3' 
:
$

/
'
  $)  $


$ 
''
& '

 



$

PRESENTACIN

  $


$'&&6'$
$ $

6#'
/3

' 
''&$4 ' 
J
&'

6 '+
J
6
6/$
$'
6 '$)$
$'/
#
'
''$
'
'
'  /

'
 &'$
'$ $
'/ :
$ )$


$
$'
'

6 '+
J
6D==?)/ 
J/
 $'
$

'
)T 
$''
3
'
/$
3
$


'$4 '
/ 
')$'#'$
$ $
') $G  $'&/'
#


$''

3''

$' 
 $7
' ''&$4 ' 
G



&
'$'&
'

#P #':

 #
O' '


6#'
 '




:
$
  ' '$)O' '
/
3
&
$
  $

''$' ) $' 


% $' 
'&T$'

$'$

6#'
/
$
$ $'
$   '
 )
  '  
 '' 
$
 
67 $
)'#
  ' '$
$4 '


$
$'
'



)

'
 $
&
$4 ' /
 Q:

  ' '$)

'
'
#)
 #


'

'
 $/ 3'
#
 
 $  3
 $'&'
 3 $ '&

)

'

*
 '




/P

&
 '
'#

&
/
$


#
3$'&$#

$''
/  $' T'  )   '
/
 
  $
 
'
  '

$
$)''$'$
$//&


 $' '

[

 ' *
:)
<:

$
&
Q) Q

#
3/P
 $/$'&
)
'


'
)$

&


$) $
+

&  '$&Q$'

 ' 
'
 $'
)
G'$
6 '+
J
6

XIII

PRLOGO

Cuando conocemos, pues, que algo sucede, siempre


estamos presuponiendo que algo antecede y que a ese algo
sigue lo que sucede conforme a una regla
Critica de la Razn Pura- 
\
$.

+$'&#  $


 '
  '$ $
$


J
$
$
)$
'$#
 $G   
6'$
$ $
6#'


#$
'
 '&'$'&/
 ' $3
:
$
&
    '/  
 
 O'
'
 $ /  $

O' '
/


'P $
3

#$
J  '
 $
/)#

$3
$#
 $/ $

$

'P
/$''

+'&$') $
3 


$
 $
 ' '
#'
/&
$
+ :ADHE?
+ :ADHDD)

$'

'

6:?@EEED
 




$'

'
&/
3&'#
  :
' '$)
3  '
$''
 $
G


$'


$ '/
3G/ 4'$
:
'
K
$L/ '$
&'4$'
+$'


#&
 ' '

#'
/'J  :
$
/  $3'#'


$

) $/34'
'
 '
/)  $''

'
'
+$'
'$ 4$
'''#/
  
'#:

'6

'

'$ $
'
)
#'
  $

#'

 '
/$''$ $/'$

'/)
$' '$
*

  
$ DE 
 specicacin de seguridad K6(6L/ ' :
)
$  
/' )
 34'
'& #

3' 'P
'#'

+
$DD' ' $


Funcin instrumentada de seguridadK6L/  'P

6/34
 $
)3 '
'P
:
'/
'$'$

3'$ $
)'] '
$
probabilidad de
fallo en demanda KG*L/disponibilidadKL)abilidad K(L
XV

XVI

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

G

 
$
66/34 '
'
)3$':
J7&
'
/ '
'
&'$
/ '' '
'
 


 T
+
$DX


'$

'/  ''
)

'
'
66/)
4' ' ' '$
 3




 $3

)3  &

+
$D@)DH


$
' $
$&


':
)Q  ' '$
$' '$)
')
#$'

&'66
 ' $
&'4
$&# '
 '
/'$'P


$'':

#$' 
'



#
3  &Q$'
#:
'
 '

+
$D>  

Q  $'  ' '

#'

'



6
$
& ' 
'
P



$  
J
'

$
' $
$7
^
^

W-6+W6G(" R W6
G(-WWS*(

*

 3 
   ' PQ
   ' '$ 3  

 ) 3
 3'$
 '$'
G

P
'
/' )
O7
^
^


'$4 ')
' 
( '
&'&'#P


+$
$'&#&
&6#'
 '
&

$
:
'$
'
)$
'
O' '

Inmaculada Fernndez de la Calle
K '


&
L

NDICE

Acerca de los autores ...................................................................................... VII


Dedicatoria....................................................................................................... XI
Presentacin / 
   

............................................ XIII
Prlogo / Inmaculada Fernndez de la Calle..........................................................XV
1.

Introduccin a los sistemas instrumentados


de seguridad (SIS) / Julio Rivas Escudero ..................................................... 1
1.1. Introduccin .................................................................................................... 1
 eleccin de la ecnoloa a ulizar....................................................... 1
1.1.2. Seleccin de redundancia ...................................................................... 2
1.1.3. Elementos de campo ............................................................................. 2
1.2. Necesidad y mbito de aplicacin de un SIS ................................................... 2
1.2.1. SI  IS .............................................................................................. 4
1.2.2. IEC.......................................................................................................... 5
1.. Terminoloa y deniciones ms importantes................................................. 6
1.3.1. Qu es un Sistema Instrumentado de Seguridad (SIS) ......................... 6
1.3.2. Qu es un ivel Integrado de Seguridad (SI) .................................... 8
1.3.3. Qu es la !ro"a"ilidad de Fallo en #emanda $edia (!F#avg) ......... 8
1.3. 4. Qu es una Funcin Instrumentada de Seguridad (SIF) .................... 9
1.3.5. Qu es Tiempo Medio entre Fallos (MTBF) ..................................... 10
1.3.6. Qu es Fallo Seguro  Fallo !eligroso............................................... 11
1.3.%. &tras de'niciones ................................................................................ 11
Para no olvidar ...................................................................................................... 13
Conse*os prccos ................................................................................................. 14
 

 
  !
/ Carlos Javier +asco allave ........... 15
2.1. Introduccin .................................................................................................. 15
2.2. Anlisis de riesgos de los procesos................................................................ 16
2.2.1. R.#. 12541999 de 16 de *ulio  posteriores modi'caciones. .............. 16
2.2.2. &S, CFR 1910.119 ............................................................................ 19
2.2.3. e 311995- de 8 de noviem"re de Prevencin
de Riesgos a"orales .......................................................................... 20
2.3. Seguridad Funcional ...................................................................................... 21
2.3.1. orma SI......................................................................................... 21
2.3.2. ormas IEC .......................................................................................... 24
XVII

XVIII

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

2.3.3. ormas /E........................................................................................ 28


2.3.4. &tras ormas ...................................................................................... 30
Para no olvidar ...................................................................................................... 34
Conse*os prccos ................................................................................................. 34
Listado de Normas Direcas y Guas................................................................... 35
Tablas Legislacin y normaa para la aaluacin de riesgos ............................... 41
3.

Capas de proteccin en instalaciones de proceso / Carlos Javier


+asco allave ........................................................................................... 45
3.1. Introduccin. Una primera aproximacin al concepto de riesgo .................. 45
3.2. Ejemplo de estrategia de seguridad funcional .............................................. 48
3.3. Podemos minimizar el nmero de escenarios peligrosos asociados
a un proceso? .....................................................................................................49
3.3.1. Seguridad inherente al diseo ............................................................. 49
3.3.2. Operacin de la instalacin ................................................................. 50
3.4. Qu puede iniciar un escenario peligroso?......................................................51
3.4.1.Elemento iniciador................................................................................ 51
3.4.2. Salvaguardias...................................................................................... 52
3.5. Caracterscas de las capas de proteccin independientes
IPL .................. 53
3.6. Tipos de IPL ................................................................................................... 54
3. . Capas picas con funciones protecas ........................................................ 57
3.%.1. Sistemas de control de procesos (BPCS#CS) ...................................... 57
3.7.2. Sistemas de alarmas ........................................................................... 58
3.7.3. Sistemas instrumentados de seguridad (SIS)....................................... 60
3.7.4. SIS vs BPCPS ........................................................................................ 61
3.8. Capas picas con funcin de migacin ....................................................... 61
3.8.1. #isposivos mecnicos de alivio de presin ........................................ 61
3.8.2. Sistemas de contencindispersin ..................................................... 65
3.8.3. Sistemas de :uego  gas ...................................................................... 66
3.8.4. Planes de emergencia ......................................................................... 68
Para no olvidar ...................................................................................................... 69
Conse*os prccos ................................................................................................. 70
4.
4.1.
4.2.
4.3.
4.4.

4.5.

Introduccin al ciclo de vida de los sistemas instrumentados


de seguridad / Julio Rivas Escudero........................................................... 71
Introduccin. ................................................................................................. 71
Diseo conceptual. ........................................................................................ 72
Anlisis y ealuacin de riesgos de proceso. ................................................. 72
Asignacin del SIL de cada funcin de seguridad. ......................................... 76
4.4.1. Metodologas cualitavas ................................................................... 77
4.4.2. Metodologas semicuantavas  cuantavas................................. 77
Desarrollo de la especicacin de seguridad. ............................................... 77

ndice

4.5.1. Re;uisitos comunes <sicos .................................................................. 78


4.5.2. Requisitos comunes funcionales.......................................................... 78
4.5.3. Requerimientos parculares ............................................................... 79
4.6. Diseo conceptual del SIS y ericacin del SIL de cada funcin. ................. 79
4.7. Diseo de detalle del SIS. .............................................................................. 80
4.8. Instalacin, pruebas y comisionado del SIS................................................... 80
4.9. Mantenimiento y explotacin de los SIS. ...................................................... 81
4.10. Modicaciones. ..................................................................................................................82
Para no olvidar ...................................................................................................... 83
Conse*os prccos ................................................................................................. 83
5. Diseo conceptual / na Mara Macas Jurez .......................................... 85
5.1. Introduccin. ................................................................................................. 85
5.2. Diseo conceptual ......................................................................................... 85
5.2.1. Descripcin del proceso o bases de diseo.......................................... 87
5.2.2. Diagrama de =u*o del proceso (PFD)................................................... 87
5.2.3. Balance de materia  energa (,MB) .................................................. 89
5.2.4. Diagrama de tubera e instrumentacin (P&ID).................................. 89
5.2.5. istado o ndice de instrumentos ......................................................... 90
5.2.6. ista de alarmas  disparos ................................................................. 90
5.2.7. Descripcin general del sistema de enclavamientos ........................... 91
5.2.8. Matriz causa  efecto .......................................................................... 91
5.2.9. Plano general de localizacin de eqipos.............................................. 92
5.3. Diseo de detalle ............................................................................................ 92
Para no olvidar ...................................................................................................... 93
Conse*os prccos ................................................................................................. 94
6.
6.1.
6.2.
6.3.

Anlisis de riesgos de procesos / +abriela Rees Delgado ......................... 95


Introduccin al Anlisis de Riesgos. Criterios de aceptabilidad del riesgo .... 95
Tipos de metodologas de anlisis de riesgos ............................................... 97
Metodologas cualitaas ............................................................................. 99
6.3.1. Bases de datos o anlisis histrico de accidentes ............................... 99
6.3.2. nlisis ,?ID o anlisis preliminar de riesgos ................................. 101
6.3.3. nlisis @hat if. .............................................................................. 102
6.3.4. nlisis mediante listas de chequeo o checA list ............................... 104
6.3.5. nlisis de modo de fallo  efectos (FME)....................................... 106
6.3.6. nlisis mediante rbol de fallos (FT). ............................................ 108
6.3.7. nlisis mediante rbol de sucesos. .................................................. 111
6.3.8. Estudios de riesgo  operabilidad (,?OP). ...................................... 113
6.4. Metodologas semicuantaas. ................................................................ 118
6.4.1. nlisis del riesgo con evaluacin del riesgo intrnseco. ................... 119
6.4.2. nlisis de modo de fallo- efectos  consecuencias (FMCE) ............ 120

XIX

XX

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

6.4.3. ndices de riesgo................................................................................ 121


6.5. Metodologas cuantaas. ........................................................................ 122
6.5.1. nlisis cuantavo mediante rbol de fallos. ................................. 124
6.5.2. nlisis cuantavo mediante rbol de sucesos............................... 125
6.5.3. nlisis cuantavo de riesgos en el entorno ................................... 125
6.6. Criterios de seleccin de los mtodos de idencacin de riesgos. ........... 125
6.7. Ejercicio prcco de aplicacin. Estudio de riesgos y
operabilidad
AOP ................................................................................. .129
Para no olvidar .................................................................................................... 143
Conse*os Prccos ............................................................................................... 143
7.

Metodologas para la determinacin del


ndice SIL / +abriela Rees Delgado ........................................................ 145
7.1. Introduccin ................................................................................................ 145
7.2. Metodologas cualitaas ........................................................................... 146
7.2.1. +r'co de riesgo ............................................................................... 146
7.2.2. Matrices de riesgo............................................................................. 147
7.3. Metodologas semicuantaas ................................................................. 150
7.3.1. +r'co de riesgo calibrado. .............................................................. 150
7.4. Metodologas semicuantaas. ................................................................ 155
7.4.1. nlisis OP o anlisis de las capas de proteccin. ......................... 155
7.5. Criterios de seleccin de la metodologa para clculo del ndice SIL. ......... 159
7.6. Ejercicios Prccos de Aplicacin. ............................................................... 160
7.7. Clculo del ndice SIL mediante matriz de riesgo ........................................ 162
Para no olvidar .................................................................................................... 165
Conse*os prccos ............................................................................................... 165
8.

Elementos de campo del sistema instrumentado


de seguridad / lfonso Camacho pez ................................................... 167
8.1. Introduccin. ............................................................................................... 167
8.1.1. Exigencias de diseo para los sensores de campo. ........................... 168
8.1.2. Tecnologas. ...................................................................................... 169
8.2. Medida de caudal. ....................................................................................... 174
8.2.1. Medida de caudal con elemento sensor insertado en la tubera. ..... 174
8.2.2. Reparacin  calibracin de instrumentos medidores
de caudal con sensor insertado en la tubera.................................... 186
8.2.3. Medida de caudal con elemento generador de presin
diferencial insertado en la tubera .................................................... 187
8.2.4. Ventajas e inconvenientes en la medida de caudal. .......................... 188
8.2.5. Medida de caudal por presin diferencial. ........................................ 190
8.2.6. Recomendaciones para medida de caudal por presin diferencial. .. 196

ndice

8.2.7. Conexin de varios instrumentos de presin diferencial. .................. 204


8.3. Medida de presin. ..................................................................................... 208
8.3.1. Conexiones con montaje remoto. ...................................................... 209
8.4. Medida de la temperatura. ......................................................................... 215
8.4.1. Conexiones de temperatura al proceso. ............................................ 216
8.4.2. Termmetros de sistemas trmicos llenos (bulbo  capilar).............. 220
8.4.3. Termorresistencias. ........................................................................... 226
8.4.4. Termopares. ...................................................................................... 229
8.5. Medida de niel........................................................................................... 234
8.5.1. Conexin al proceso de instrumentos de nivel. ................................. 236
8.5.2. Conexin de mGlples instrumentos a recipientes. ........................... 238
8.6. Elementos nales de control. ...................................................................... 254
8.6.1. Elementos 'nales aplicados a funciones de seguridad. .................... 260
8.6.2. Exigencias de 'abilidad para actuacin ante demanda.................... 264
8.6.3. Pruebas de carrera total a los elementos 'nales de control. ............ 269
8.6.4. Prueba de carrera parcial (Paral StroAe Test- PST). ......................... 278
8.7. Cableados para instrumentos de seguridad. ............................................... 282
8.7.1. Criterios generales. ........................................................................... 283
8.7.2. Recomendaciones para circuitos de seguridad. ................................ 286
8.8. Inspeccin y pruebas generales de la instalacin. ...................................... 288
8.8.1. Inspeccin  pruebas mecnicas. ...................................................... 289
8.8.2. Inspeccin  pruebas elctricasH.. .................................................... 292
Para no olvidar .................................................................................................... 294
Consejos prccos ............................................................................................... 294
9.

Lgica del sistema instrumentado de


seguridad / Inmaculada Fernndez de la Calle......................................... 295
9.1. Introduccin. ............................................................................................... 295
9.2. Seleccin de la tecnologa. .......................................................................... 295
9.2.1. Tecnologa elctrica........................................................................... 296
9.2.2. Tecnologa electrnica. ..................................................................... 297
9.2.3. Tecnologa PES. ................................................................................. 298
9.3. Consideraciones del diseo del soare. ................................................... 299
9.3.1. SoKLare integrado. .......................................................................... 299
9.3.2. SoKLare de ulidad. ......................................................................... 299
9.3.3. SoKLare de aplicacin. ..................................................................... 300
9.4. Tamao del sistema..................................................................................... 300
9.5. Complejidad del sistema. ............................................................................ 301
9.6. Comunicaciones con otros sistemas. .......................................................... 301
9.7. Conclusiones. .............................................................................................. 302
Para no olvidar .................................................................................................... 303
Consejos prccos ............................................................................................... 303

XXI

XXII

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

"# $
 

%& 

seguridad (SRS) / Inmaculada Fernndez de la Calle ............................... 305
10.1. Introduccin. .............................................................................................. 305
10.2. Reuerimientos o especicaciones generales............................................ 306
10.3. Especicacin funcional. ............................................................................ 308
10.4. Especicacin de integridad....................................................................... 312
10.5. Integracin de la informacin y documentacin. ....................................... 314
10.6. Ejemplo del formato recomendado de SRS para una SIF ........................... 315
Para no olvidar..................................................................................................... 320
Consejos Prccos. .............................................................................................. 320
Ejemplo del formato recomendado de SRS para una SIF..................................... 313
11.

Diseo conceptual del SIS de cada


funcin / Inmaculada Fernndez de la Calle .............................................. 321
11.1. Introduccin. .............................................................................................. 321
11.2. Denicin y conceptos bsicos. ................................................................. 321
11.3. Modos de fallos y tasas de fallos. ............................................................... 324
11.4. Aruitectura y lgica de otacin............................................................... 326
11.5. Fallos de causa comn. .............................................................................. 329
11.6. Procedimiento para la ericacin y diseo del SIS. .................................. 330
11.7. Mtodos de clculo de la probabilidad de fallo en demanda
PFD ........... 331
11.7.1. rboles de fallos. .............................................................................. 337
11.7.2. Tcnica RBD. ..................................................................................... 349
11.7.3. Modelos de MarAov. ........................................................................ 353
11.8. Diagnscos. .............................................................................................. 355
11.9. Frmulas simplicadas. .............................................................................. 357
Para no olvidar .................................................................................................... 358
Consejos Prccos ............................................................................................... 359
12. Diseo de detalle del SIS / Inmaculada Fernndez de la Calle ................. 361
12.1. Introduccin. .............................................................................................. 361
12.2. Consideraciones generales del ardare................................................... 361
12.3. Consideraciones generales de gesn personal, comunicaciones y
documentacin. ......................................................................................... 366
Para no olvidar .................................................................................................... 367
Consejos Prccos ............................................................................................... 367
13.

FAT, instalacin, comisionado y validacin


del SIS / MN ngeles MarUn ,ernndez.................................................. 369
13.1. Introduccin. .............................................................................................. 369
13.2. Prueba de aceptacin en fbrica. ............................................................... 372

ndice

13.3. Instalacin y comisionado. ......................................................................... 375


13.4. Validacin de seguridad del SIS o pruebas de aceptacin en
campo
pruebas SAT .................................................................................. 376
13.4.1. cvidades generales ...................................................................... 378
13.4.2. Inspecciones de la instalacin .......................................................... 378
13.4.3. Pruebas operacionales ..................................................................... 379
13.4.4. Comprobacin del rendimiento ........................................................ 380
13.4.5. Informe de las pruebas .................................................................... 380
13.4.6. Discrepancias ................................................................................... 381
13.4.7. Pre-puesta en marcha ...................................................................... 382
13.4.8. Pruebas de integracin en planta .................................................... 382
13.5. Ealuacin de la seguridad funcional ......................................................... 383
13.6. Apndices ................................................................................................... 384
pndice 1 X Comprobacin de la documentacin. ................................ 386
pndice 2 X Comprobacin de inventarios del hardLare 
soKLare del SIS. .................................................................................... 387
pndice 3 X Inspeccin mecnica. .......................................................... 387
pndice 4 X Inspeccin del cableado  el conexionado. ......................... 388
pndice 5 X Prueba de puesta en marcha  de funciones
generales del sistema ............................................................................ 389
pndice 6 X Prueba del sistema de alarma. ........................................... 389
pndice 7 X Comprobacin de la redundancia  diagnscos
del hardLare. ........................................................................................ 390
pndice 8 X Visualizacin  operacin. .................................................. 391
pndice 9 X Comprobacin funcional..................................................... 391
pndice 10 X Funciones complejas  modos de operacin. .................... 392
pndice 11 X Integracin de subsistemas. ............................................. 393
pndice B X ista de comprobacin ST.................................................... 394
pndice C X ista de comprobacin SIT .................................................... 395
pndice D X Cer'cado FT ...................................................................... 396
pndice E X Cer'cado ST ...................................................................... 397
pndice F X Cer'cado SIT ....................................................................... 398
pndice + X Cer'cado de aceptacin del sistema .................................. 399
pndice , X ista de Comprobacin de la evaluacin de la seguridad
funcional ............................................................................................... 400
Para no olvidar .................................................................................................... 401
Consejos prccos ............................................................................................... 402
14. Mantenimiento y explotacin del SIS / Carlos Javier +asco allave ........ 403
14.1. Introduccin. .............................................................................................. 403
14.2. Porqu son necesarias las pruebas a los sistemas?.................................. 404
14.3. Establecimiento del interalo de las pruebas a los sistemas...................... 409

XXIII

XXIV

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

14.4. Responsabilidad de las pruebas y la operacin de los sistemas................. 411


14.5. Tipos de pruebas oY-line y on-line. ........................................................... 413
14.5.1. Pruebas oY-line ................................................................................ 413
14.5.2. Pruebas on-line ................................................................................ 416
14.5.3. Consideraciones generales en cuanto a documentacin  registrosZ ..420
14.6. Ejemplos de procedimientos de mantenimiento y operacin del SIS. ....... 421
14.6.1. Ejemplos de procedimientos de mantenimiento .............................. 422
14.6.2. Ejemplos de procedimientos de operacin....................................... 431
Para no olvidar .................................................................................................... 441
Consejos prccos ............................................................................................... 441
"' & 
 *+*/ Carlos Javier +asco allave ............................... 443
15.1. Introduccin. .............................................................................................. 443
15.2. Necesidad de gesonar los cambios. ......................................................... 443
15.3. Procedimientos de gesn del cambio. ..................................................... 444
Para no olvidar..................................................................................................... 445
Consejos prccos. .............................................................................................. 445
16. Gerencia de seguridad funcional / +abriela Rees Delgado ..................... 447
16.1. Introduccin. .............................................................................................. 447
16.2. Factores claes. .......................................................................................... 448
16.2.1. Plani'cacin de la seguridad. .......................................................... 448
16.2.2. Organismos  recursos. .................................................................... 448
16.2.3. Veri'cacin de seguridad funcional. ................................................ 449
16.2.4. Documentacin  cer'cacin de seguridad funcional.................... 450
16.2.5. Bene'cios de la +erencia de Seguridad Funcional. .......................... 452
16.3. Procedimientos para la gesn del ciclo de ida de los sistemas
instrumentados de seguridad. ................................................................... 452
Para no olvidar..................................................................................................... 453
Consejos prccos. .............................................................................................. 454
"- /
% / na Mara Macas Jurez ................................................ 455
17.1. Introduccin ................................................................................................ 455
17.2. Analisis de riesgos mediante AOP ........................................................... 455
17.3. Determinacin del SIL objeo para la funcin idencada ...................... 459
17.4. Especicaciones de los requisitos de seguridad de la SIF ........................... 461
17.5. Diagrama causa efecto del SIS ..................................................................... 464
17.6. Diseo conceptual ....................................................................................... 465
17.6.1. Diagrama a bloques de arquitectura propuesta  tecnologas ........ 466
17.6.2. Clculos de probabilidad de fallo en demanda promedio (PFDavg) ....466

ndice

17.7. Diseo de detalle del SIS ............................................................................. 469


17.8. Instalacin, comisionado y pruebas del SIS................................................. 471
17.9. Procedimientos de operacin y mantenimiento ......................................... 471
Glosario de trminos y acrnimos ................................................................. 475
:; 
<<  &
.............................................................................. 479
=  > .............................................................................................. 483

XXV

INTRODUCCIN A LOS SISTEMAS


INSTRUMENTADOS DE SEGURIDAD (SIS)

Julio Rivas Escudero

SUMARIO: Introduccin. Necesidad y mbito de aplicacin de un SIS. Terminologa y


&

%  

  

1.1. INTRODUCCIN
Cuando un accidente ocurre, es debido normalmente a una serie de causas o sus
combinaciones que producen un evento peligroso.
En la industria estn implementados los Sistemas de Parada de Emergencia
(ESD) para la proteccin a los seres humanos, al medio ambiente y a los equipos. No
es por lo tanto un concepto nuevo, lo que s es novedoso, es la forma de tratarlo, es
decir, los sistemas de parada de emergencia van a disponer de un ciclo de vida, que
 '
  ' S'
6#'
/3 
$

P' '
y acabar en la desmantelamiento.
La variedad de nombres asignados a los Sistemas de Parada de Emergencia parece algo ilimitado: Sistema de Enclavamientos (IS), Sistema Instrumentado de Seguridad (SIS), Sistema de Parada de Emergencia (ESD), etc.
*$
$'
G /&
$ $'T
&'#'P



uno de ellos. Incluso en el Comit ISA SP84 hubo discusiones continuas (y cambios
 $L&
$ '#
/P' ')'#'P


$4minos.
-&$
$
 '
'$'

 
''#'P
/
 $


''J/'$

'/$


/
$' '$/ 'P
'/$ 
de estos sistemas. As, nos encontraremos con muchos ejemplos y preguntas que no
son fciles de responder o que la respuesta no es la misma, dependiendo de la norma,
estndar o persona que la d. A ttulo de ejemplo se exponen algunas dudas tpicas:
1.1.1. SELECCIN DE LA TECNOLOGA A UTILIZAR
Qu tecnologa deber ser usada: rels, estado slido, microprocesador (PLC)?
Depende dicha seleccin de la aplicacin?
Los rels son todava usados en pequeas aplicaciones pero diseara un sistema
de 500 entradas/salidas con rels? Es econmico disear un sistema con 20 entradas/salidas con PLC redundantes?

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

#P
'$
&

$9

'
'#ridad. Es una buena recomendacin?
1.1.2. SELECCIN DE REDUNDANCIA
Cmo de redundante debera ser diseado un sistema instrumentado de seguridad?
Depende de la tecnologa o del nivel de riesgo?
Si la mayora de los sistemas basados en rels son simples, por qu son tan populares, actualmente, los sistemas programables de triple redundancia?
1.1.3. ELEMENTOS DE CAMPO
Deberan los elementos sensores iniciadores ser de tipo transmisor o interruptor
(switch)? Si usamos transmisores, analgicos o digitales?
Redundancia o no en los elementos de campo? Pueden usarse los mismos elementos de campo para enclavamientos y para control?
Frecuencia de prueba de dichos elementos?
N&Q$'$'&$
$

$

$
#$
) 
'Pcar la confusin general que sobre estos sistemas se est produciendo.

1.2. NECESIDAD Y MBITO DE APLICACIN DE UN SIS


Los accidentes industriales raramente suceden por una sola causa. Lo normal es que
sean consecuencia de una combinacin de eventos poco comunes que se piensa son
independientes y que no deberan suceder al mismo tiempo. Tomad, como ejemplo,
el peor accidente qumico ocurrido hasta la fecha que tuvo lugar en Bhopal (India)
en una planta de pesticidas. Unas 3.000 personas murieron de inmediato y al menos
12.500 fallecieron en las semanas posteriores por inhalar gas y beber agua contaminada. Desde entonces se estima que unas 25.000 personas han perdido la vida por las
secuelas y unos 150.000 estn afectados de alguna manera.
Ocurri de esta manera:
El material que fug en dicha planta fue isocionato de metilo (MIC). Dicha
fuga (del orden de 40 toneladas) se produjo en un tanque de almacenamiento que
contena ms cantidad de lo que establecan los procedimientos de seguridad de la
compaa.
Los procedimientos de operacin establecan asimismo usar un sistema de refrigeracin para mantener la temperatura en el producto de dicho tanque en 5 C
disponiendo de una alarma cuando la temperatura subiese de 11 C.
El sistema de refrigeracin estaba desconectado, el MIC se haba almacenado a
una temperatura cercana a los 20C y se haba reajustado la alarma a 20 C.
N$
&
Q
  ''




 
#

$&
)P$3
encontraban obstruidos. El agua pas al tanque de almacenamiento del MIC a travs

Introduccin a los sistemas instrumentados de seguridad (SIS)

de la fuga de una vlvula producindose una reaccin violenta con gran produccin
de gases.
Los medidores de presin y temperatura del tanque que indicaban la situacin
anormal no fueron tenidos en cuenta al pensar que eran imprecisos.
El separador/lavador de venteo de gases a antorcha que poda haber neutralizado
la fuga estaba fuera de servicio por estar suspendida la produccin de MIC y pensar
que no era por tanto necesario.
Asimismo la propia antorcha que podra haber quemado parte de dichos gases
estaba fuera de servicio por mantenimiento.
Finalmente hubo una serie de acontecimientos y errores en los planes de emergencia que completaron el fatal escenario de dicho accidente.
Por lo explicado anteriormente, queda claro que los accidentes suelen ser una
combinacin de raros eventos que se suelen asumir como independientes y de difcil
coincidencia en el tiempo. Uno de los mtodos de protegerse contra ellos es implementando mltiples e independientes capas de proteccin que hagan ms difcil que
dichos eventos deriven a condiciones peligrosas.
Es por tanto fundamental que desde el inicio de un proyecto y en su etapa de explotacin y mantenimiento se dispongan de dichas capas de proteccin perfectamente estructuradas, sujetas a procedimientos y mantenidas con una idea muy simple:
No poner todos los huevos en la misma cesta.
En el Captulo 3 de este libro se explicarn con detalle cada una de las capas de
Proteccin tanto las de tipo preventivo como las de mitigacin.
De manera general, las primeras son aqullas diseadas para prevenir y anticiparse a que un determinado peligro pueda ser efectivo y llegue a darse. Son las que se
aplican en primer lugar, y las ms importantes son:
^
^
^
^

Diseo de planta.
Sistemas de control.
Sistemas de alarmas.
Sistemas Instrumentados de Seguridad (SIS).

Las segundas son aqullas que se disean para paliar o limitar las consecuencias
de un suceso una vez que este realmente ha sucedido. Las ms importantes son:
^
^
^

Sistemas de fuego y gas.


Sistemas de contencin.
Planes de emergencia.

Como se puede constatar, los Sistemas Instrumentados de Seguridad constituyen


la ltima capa de seguridad preventiva y ah radica su gran importancia y necesidad
dentro de la Seguridad Industrial de las Industrias de Proceso.

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

'/&$
$/ 
'P

' '
O'$$$3&'gado cumplimiento por ley y lo que es una buena prctica de diseo y trabajo reco#' 'P
'/$
)
R
&'4 '33
obligatorio en un pas (ejemplo: EE UU), puede no serlo en otros o viceversa. Esto
se ver con detalle en el Captulo 2, pero incluimos aqu algunas ligeras pinceladas.
En la Unin Europea y como es lgico en Espaa, lo obligado por ley se recoge
en Directivas y su transposicin a reales decretos.
Un ejemplo (entre muchos) es la Directiva 96/82 CE (9/12/96) llamada Seveso II y
su traslado al RD 1254/1999 (16 Julio 99) de Prevencin de accidentes graves en los
que intervienen sustancias peligrosas. Tambin est en este caso la Directiva ATEX.
Referente a los sistemas instrumentados de seguridad (SIS) no hay ninguna
directiva ni RD que obligue a su cumplimiento (pero s que existen estndares europeos, como por ejemplo la EN-746-2 que obliga a un determinado SIL en algunos
lazos de seguridad, estableciendo adems el intervalo de pruebas y la arquitectura
que debe ser implementada).
Existen estndares y normas cuyo cumplimiento se considera recomendable y
''$& $'
G) $)'P
'
)
3/  $
/P
 $

 
' $'
3&'#

cumplimiento.
Centrndonos en el tema de los SIS, como hemos anticipado, se cubrirn en el
Captulo 2, de forma detallada, todo lo relativo a legislacin y normativas existentes.
A modo de prembulo, y para completar este apartado, se describe lo ms relevante
de los dos organismos internacionales que disponen de los estndares que son la base
de todo lo relacionado con los SIS:
1.2.1. ANSI/ISA
En primer lugar est la ISA (Sociedad Internacional de Automatizacin). El estndar
de ISA relacionado con los SIS es el ANSI/ISA 84.01, denominado Aplicacin de
SIS para las Industrias de Proceso.
El ISA SP84 (Comit de estndares y prcticas n 84) ha trabajado muchos aos
en la elaboracin y desarrollo de este estndar. Inicialmente, estaba dirigido direccionado solo a los sistemas que efectuaban las funciones lgicas y con posterioridad
se incluyeron los elementos de campo. El documento ha sufrido muchos cambios
a lo largo del tiempo y su futuro a largo plazo est condicionado al desarrollo del
estndar IEC 61511.
El primer documento fue editado en 1996 (actualmente est el de 2004) y ya que
dentro de la IEC est representando a EE UU el ANSI (Instituto Nacional de Estandarizacin Americano), este Instituto soportar el estndar IEC 61511 y podr reemplazar al ANSI/ISA S84.01. En cualquier caso, al da de hoy el ISA 84.01/2004 es
bsicamente idntico al IEC 61511 con la inclusin de una clusula de salvaguarda
(abuelo-grandfatherL3
 $

 'P
''$

'O'$$)3
bsicamente dice lo siguiente:

Introduccin a los sistemas instrumentados de seguridad (SIS)

Para los sistemas instrumentados de seguridad existentes (SIS), diseados y


construidos de acuerdo con los cdigos, normas, prcticas con anterioridad a la
emisin de esta norma (por ejemplo, ANSI/ISA 84.01-1996), el propietario / operador de la planta debe determinar y documentar que el equipo est diseado, mantenido, inspeccionado, probado y funciona de una manera segura.
1.2.2. IEC
IEC (International Electrotechnical Commission) tiene dos estndares relacionados
con los sistemas instrumentados de seguridad:
^

^

IEC 61508 Seguridad Funcional: sistemas relacionados con la seguridad


que afecta a todo tipo de industrias y que se usa bsicamente por fabricantes
y suministradores. IEC form posteriormente un grupo de trabajo para de

  $ P 66

 $
'$'

proceso y aplicable, no solo a fabricantes y suministradores, sino tambin a
diseadores, integradores y usuarios. El estndar se denomin IEC 61511
Seguridad Funcional: SIS para el Sector de la Industria del Proceso que
debe ser usado como complemento del IEC 61508.
IEC 61511 es una norma tcnica que establece las prcticas en la ingeniera
de sistemas que garantizan la seguridad de un proceso industrial mediante el
uso de la instrumentacin. Estos sistemas se denominan sistemas instrumentados de seguridad. El ttulo de la norma es seguridad funcional - sistemas
instrumentados de seguridad para el sector de la industria de procesos.

El sector de la industria de procesos incluye muchos tipos de procesos de fabrica '/$


  P
/$3 '
/3 '
/

4$'

$
)
/
energa, etc. El estndar del sector proceso no se aplica a las instalaciones de energa
nuclear o reactores nucleares. IEC 61511 cubre el uso de equipos elctricos, electrnicos y electrnicos programables. Mientras IEC 61511 es aplicable a los equipos
3$''
'$
 ''  $' 


'
 $P
/
estndar no cubre el diseo e implementacin de la lgica neumtica o hidrulica.
+$

P3''$#'
 '
$
& '



IEC 61508 en el sector de las industrias de proceso. IEC 61511 centra la atencin
en un tipo de sistema instrumentado de seguridad utilizado en el sector de proceso,
el denominado Sistema Instrumentado de Seguridad (SIS). La Norma no establece
requisitos de otros sistemas de seguridad instrumentados, tales como sistemas contra
incendios y de gas, sistemas de alarmas, etc.
El organismo europeo de normalizacin, CENELEC, ha adoptado la norma como

+-ADHDD+$'#'P
3

$
 ' &
N'
Europea, la norma se publica como una norma nacional. Por ejemplo, en Gran Bretaa, que es publicado por el organismo nacional de normalizacin segn la norma
BS EN 61511. El contenido de estas publicaciones nacionales es idntico a la de la

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Norma IEC 61511. Debe tenerse en cuenta, sin embargo, que la IEC 61511 no est
armonizada como directiva de la Comisin Europea hasta la fecha (ao 2011).
+ '$
  #$'  66 & P'    '$
'8
 $'
'$ '

/'J
/'P
/'$

/
'
/
/
$) Q

continuamente sus SIS. Las funciones esenciales del personal asignado a la gestin
66&$
 $ 

)&'P'
 ' '$/#T
cesario, para apoyar la ejecucin coherente de sus responsabilidades.
ISA 84.01/IEC 61511 utiliza un orden de magnitud mtrica, el SIL, para establecer el objetivo necesario. Un anlisis de riesgos operativo es parte del ciclo de
'


'$'P

 '#'
 
'
)
 ''#
respecto a determinados eventos peligrosos. Las funciones de seguridad asignadas
al SIS son las funciones instrumentadas de seguridad (SIF), la reduccin del riesgo,
atribuido a cada una de ellas, se relaciona con el SIL. La base de diseo y operacin
se ha desarrollado para garantizar que el SIS cumple con el SIL requerido. Los datos
de campo se recogen a travs de actividades programadas para evaluar el rendimiento real del SIS. Cuando los rendimientos no se cumplen, deben tomarse medidas para


&
/
#
 '
'$#)P
&

1.3. TERMINOLOGA Y DEFINICIONES MS IMPORTANTES


S

#
$ '#
)P' ' 

7
1.3.1. QU ES UN SISTEMA INSTRUMENTADO DE SEGURIDAD (SIS)?
Un sistema instrumentado de seguridad (SIS) es un nuevo trmino usado en los
estndares que normalmente tambin ha sido y es conocido por la mayora como:
sistema de parada de emergencia (ESD), sistema de parada de seguridad, sistema
de enclavamientos, sistema de disparos de emergencia, sistemas de seguridad, etc.
R
&'4
P'  
T$'


#'
$'



3''$
 $)

$
'
'P '$)
canzan niveles de variables predeterminados que no deben superarse bajo ningn
concepto, debe disponerse de un sistema que de forma automtica realice las acciones oportunas (paradas parciales o totales de equipos y plantas) para as evitar
el peligro.
Estos sistemas instrumentados de seguridad estn normalmente separados e independizados de los sistemas de control, incluyendo la lgica, los sensores y vlvulas
de campo y a diferencia de los sistemas de control, que son activos y dinmicos, los
SIS son bsicamente pasivos y dormidos por lo que normalmente requieren un alto
grado de seguridad y de diagnsticos de fallos, as como prevenir cambios inadvertidos y manipulaciones y un buen mantenimiento.

Introduccin a los sistemas instrumentados de seguridad (SIS)

H*+K+*HW[#"& \ *+*]


n sistema compuesto por sensores, lgica y elementos nales con el propsito de
llevar el proceso a un estado seguro cuando determinadas condiciones preestablecidas son violadas.
[

#
#$
7M4$
#P'   7
El estado que consigue un sistema cuando se alcanza la seguridad, es decir
cuando el sistema est libre de un riesgo inaceptable.
Por lo tanto el objetivo de un SIS es llevar a los sistemas a un estado de riesgo
tolerable.
+/^_"'""& \ *+*]
Un sistema instrumentado usado para implementar una o ms funciones instrumentadas de Seguridad (SIF) y se compone de una o ms combinaciones de sensores, lgica y elementos nales
+'$
'$ $
#'
K66LP'$
$  

combinacin de una o ms funciones instrumentadas de seguridad.
S #P
$
'#
DD

Figura 1.1. Sistema instrumentado de seguridad.

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...



6$


'' '
/#'
) $P
)$
'#nado un SIL
1.3.2. QU ES UN NIVEL INTEGRADO DE SEGURIDAD (SIL)?
La integridad de la seguridad indica la disponibilidad de un sistema de seguridad.
Es decir La probabilidad de que un sistema relacionado con la seguridad ejecute de
forma satisfactoria las funciones de seguridad requeridas en todas las condiciones
 'P

'$'  'P
V
+ 'P

'$#'

#'
 '$P'343
&
'$
#'
/'$
&'4 'P

&
 
 

dicho sistema debe llevar a cabo su funcin.
El SIL es el nivel de integridad de la seguridad asociado y exigible a un sistema de
#'
6P
$
 
$''$#'

#'
/'
4 posee el grado ms elevado de integridad de la seguridad y el nivel 1 el ms bajo.
SIL

<Disponibilidad Segura <

90,00 99,00%

99,00 99,90%

99,90 99,99%

> 99,99%

En la determinacin de la integridad de seguridad se deben incluir todas las cau


  
 3  
  $
 '#7  
 
9
 K$
$ 


$'  '$ $' L/
' '$9
)
&'dos a las perturbaciones elctricas. Aunque algunos de estos tipos de fallos se pueden

$'P
K$''
 '
  
$



&
&''


funcionamiento a la demanda), la integridad de la seguridad depende tambin de
 
$3 
$'P
  ''/'3
considerar de forma cualitativa.
1.3.3. QU ES LA PROBABILIDAD DE FALLO EN DEMANDA MEDIA (PFDavg)?
Para calcular de una forma numrica el SIL uno de los parmetros ms utilizados
es la PFDavg. Este parmetro indica la probabilidad media de fallo al ejecutar, bajo
demanda, la funcin para la cual ha sido diseado.
Supongamos una funcin de seguridad: cierre de la vlvula de vapor al calentador
de fondo cuando se detecta alta presin en la cabeza de la torre. La PFDavg es la
probabilidad de que cuando haya alta presin en la cabeza de la torre, el sistema no
cierre efectivamente la vlvula de vapor.
La relacin de la PFDavg con los SIL es la siguiente:

Introduccin a los sistemas instrumentados de seguridad (SIS)

SIL

<Disponibilidad Segura <

<PFDavg<

90,00 99,00 %

10-2 10-1

99,00 99,90 %

10-3 10-2

99,90 99,99 %

10-4 10-3

> 99,99 %

10-5 10-4

Matemticamente, el clculo de la PFDavg es muy complejo si se intenta hacer


sobre la funcin de seguridad en su conjunto.
G

' 'P
/3
'#'$7
^
^
^

Descomponer dicha funcin de seguridad en sus elementos principales.


Calcular la PFDavg de cada elemento.
Realizar la suma de las PFDavg de todos los elementos.

Por ejemplo, para el caso citado se calcularan las PFDavg de la parte sensora, la
parte del operador lgico y la parte actuadora. La suma de todas ellas sera la PFDavg de la funcin de seguridad (Figura 1.2).

Figura 1.2. Clculo de la PFDavg de un Sistema.

1.3. 4. QU ES UNA FUNCIN INSTRUMENTADA DE SEGURIDAD (SIF)?


Una Funcin Instrumentada de Seguridad es aquella formada por sensores (iniciaL/#'
) $P



3O'#$ '
''$gridad.
Los elementos que forman una SIF son, como hemos apuntado en el prrafo
anterior, el sensor (compuesto a su vez por un conjunto de uno o ms elementos de

10

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

'
L/  '$
 #'  K
 $ '$
   G L )   $ P

(compuesto generalmente por una o ms vlvulas).
+66O'$'63  
$
'' '
P
)
 ' pre compartirn la lgica.

Figura 1.3. Seleccin de las SIF de un SIS.

1.3.5. QU ES TIEMPO MEDIO ENTRE FALLOS (MTBF)?


El tiempo medio entre fallos (del ingls mean time between failure) es la suma del
tiempo medio de fallo (MTTF) ms el tiempo empleado en reponerlo (MTTR).
Normalmente el fabricante debera dar el MTTF (mean time to fail) aunque a
veces se da el MTBF como si fuera el MTTF. Realmente, los tiempos de deteccin y
reparacin son despreciables con respecto al MTTF por lo que no existe demasiada
diferencia entre el MTBF y el MTTF.
En esencia:
MTBF=MTTF+MTTR
donde:
^
^
^

MTBF: Tiempo medio entre fallos (mean time between failure).


MTTF: Tiempo medio de fallos (mean time to fail).
MTTR: Tiempo medio de reposicin (mean time to restore).

Introduccin a los sistemas instrumentados de seguridad (SIS)

1.3.6. QU ES FALLO SEGURO Y FALLO PELIGROSO?


Conocer la diferencia entre estos dos tipos de fallos es esencial para el uso correcto
de las frmulas empleadas en los clculos de la probabilidad de fallo en demanda.
Se dice que un fallo de un determinado instrumento es seguro cuando como resultado del mismo, el proceso va a una condicin segura.
Si dicho fallo posibilita que, ante la necesidad o demanda de la correspondiente
funcin de seguridad, el sistema no acte correctamente y deja al proceso en condiciones de riesgo intolerable, dicho fallo se denomina peligroso.
6P  $


#&
KL 
3''$ $

'

MTTF, es decir:

1
MTTF


$


#&
$'

''#
KLKdangerous) y otra segura
KLKsafe).
Como se ver ms adelante en el Captulo 11, esta diferencia es bsica a la hora
de los clculos de la probabilidad de fallo en demanda
1.3.7. OTRAS DEFINICIONES
 Arquitectura
 ' ' $
9
)8$9
'$
G
ejemplo:
Composicin de los subsistemas del sistema instrumentado de seguridad (SIS).
Estructura interna de un subsistema SIS.
  ' '#

$9

 
  
 
 
Lo conforman todas aquellas actividades necesarias involucradas en la implementacin de las funciones instrumentadas de la seguridad que se producen
durante un periodo de tiempo.
Se inicia en la fase conceptual del proyecto y concluye cuando todas las
funciones instrumentadas de seguridad ya no estn disponibles para su uso
(desmanteladas).
 Componente
Una de las piezas de un sistema, subsistema o dispositivo que ejecuta una
 ' P
6'' '
/
#'
) $
P

6
 

 
Parte de un sistema instrumentado de seguridad que implementa la accin
fsica necesaria para lograr un estado seguro.

11

12

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Los ejemplos comprenden vlvulas, dispositivos de conmutacin, motores


con sus elementos auxiliares incluidos, por ejemplo, una vlvula solenoide y
un actuador si estn involucrados en la funcin instrumentada de seguridad.
  
Accin que reduce la(s) consecuencia(s) de un evento peligroso.
 MooN
Indica la votacin de un sistema que est formado por N canales independientes, que estn conectados de tal manera que basta activar M canales
para que se ejecute la funcin instrumentada de seguridad (M out of N).
 


Accin que reduce la frecuencia con que se produce un evento peligroso.
 

   
Funcin asignada al diseo del sistema con el objeto de evitar la prdida de
activos.
 
  
Pruebas realizadas con el objeto de revelar defectos no detectados en un sistema instrumentado de seguridad de manera que, si fuera necesario, se puede
volver a ajustar el sistema a su funcionalidad de diseo.
 



+
 
$'P
''#3$ 3O'#'






tolerable.
 


La parte del SIS que realiza una o ms funciones lgicas.
 

    

Resolvedor lgico electrnico y programable, para usos generales, de grado
'$'
/3$ P#
 P
$

$''
'
'
ciones de seguridad de acuerdo con la clusula 11.5. de la Norma IEC61511-I.
+$
P' 'O )
$
Q$
$

)
'
)
'P
+Q plos son los rels electromecnicos y las unidades centrales de proceso (CPU)
de los sistemas electrnicos programables (PLC en general).
 



El riesgo que surge de las condiciones del proceso causado por hechos anormales (incluido el mal funcionamiento del BPCS).
 
  
La parte de la seguridad general relacionada con el proceso y el BPCS que
depende del funcionamiento correcto de los SIS y otros sistemas protectores.

Introduccin a los sistemas instrumentados de seguridad (SIS)

 
 
Dispositivo o combinacin de dispositivos, que miden la condicin del proceso (por ejemplo: transmisores, transductores, interruptores de proceso, interruptores de posicin).
En el caso de las funciones instrumentadas de seguridad el concepto de
sensor (tambin llamado elemento iniciador) incluye a las tarjetas de entrada
y los rels de entrada al resolvedor lgico.
  
 

Sistema que responde a las seales de entrada del proceso y/o de un operador
y genera seales de salida que hacen que el proceso opere en la forma deseada.
+'$
 $' )''$'$

) $P
les y puede ser un BPCS o un SIS o una combinacin de ambos.
  
 
   
 
   
  ! 
 "
#
Un sistema que responde a las seales de entrada del proceso, de su equipo
asociado, de otros sistemas programables y/o de un operador y genera seales
de salida haciendo que el proceso y su equipo asociado operen de la manera
deseada pero que no se utilizan para funciones instrumentadas de seguridad.
 $  
La actividad de demostrar que la funcin o las funciones instrumentadas de
la seguridad y el sistema o los sistemas instrumentados de seguridad bajo
consideracin despus de la instalacin cumplen en todos los aspectos con

 'P
'3''$#'
G$
$
'
66
 $
 
La actividad de demostrar respecto de cada fase del ciclo de vida pertinente,
'
$
'')8&
/3
$

)

'
 P
  plen en todos los aspectos con los objetivos y requisitos establecidos para


 P
G$
$'P


 ' '

seguridad.
PARA NO OLVIDAR


Los sistemas instrumentados de seguridad (SIS) son la formalizacin de las


llamadas uenas Prccas.

13

14

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

CONSEJOS PRCTICOS




Familiarizarse con los conceptos y deniciones incluidos en los estndares.


Conseguir una visin global del sistema de seguridad que queremos estudiar.
Saber idencar las SIF que forman parte del SIS.

LEGISLACIN, ESTNDARES Y NORMATIVAS

Carlos Javier Gasco Lallave

SUMARIO: Introduccin. Anlisis de riesgos de los procesos. Seguridad funcional. Para no


o
ar ono ro Listado  
 !
j>
k <
q

  ! % ! j  



2.1. INTRODUCCIN
'$
#'
$'J



 ' ' P

de cada instalacin, buscando siempre la prevencin o mitigacin de sucesos
peligrosos.
Las diferentes directivas/normativas describen los requisitos para un correcto
diseo, operatividad y mantenimiento de dichos sistemas. Muchas veces estos
3''$Q
&')$'  T/' &
#/P'
'$
 'P
'/ '$ #
/'
 '
/
3'$ $

componentes, intervalos de pruebas, etc., no es tarea tan obvia.
Estas directivas/normativas han sido redactadas para ayuda de aquellos que, en
los diferentes procesos industriales, tienen responsabilidad directa en cualquier fase
del ciclo de vida de un sistema de seguridad, desde el anlisis conceptual del riesgo
asociado a una instalacin, hasta la operacin y mantenimiento de la misma, incluyendo, por supuesto, el diseo de tales sistemas.
Seguir los requisitos de estos estndares es una condicin mnima para quien
pretende implementar instalaciones seguras, sin embargo, no existe la seguridad o
certeza de que respetndolos se obtenga un proceso totalmente seguro. Lo que s es
seguro es que cuanto ms respetemos estos requisitos ms aseguraremos la calidad
de nuestra seguridad.
Es importante conocer la diferencia entre Directiva y Normativa, daremos una
breve descripcin sin entrar en mucho detalle:


Directiva: documento de obligado cumplimiento elaborado por instituciones


legales representantes de las diferentes naciones que lo componen (en el caso
de la Unin Europea es el Parlamento Europeo). La transposicin de una
directiva al rgimen jurdico de un estado da como resultado las leyes y los
reales decretos.
Norma: documento elaborado por un comit compuesto de expertos con representacin generalmente de diferentes mbitos y funciones, a saber, inge-

16

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

'
/
&'
$/
'P
K 'L/$ 


obligado cumplimiento en el diseo o fabricacin de cualquier producto, pero
facilitan sustancialmente estos procesos.
(Nota: una norma no es obligada, pero pasa a serlo para aquellas personas/
 
8'$'$ '3&
$
&
Q
 'P
'3
#

referencia a tal norma cosa que suele ser muy habitual.)


Norma armonizada:  $ 'P


'$4 '

'
 

' $'
/
$

#
' P '

'
'. Mantiene su
carcter de voluntariedad, aunque el cumplimiento de la misma proporciona
la presuncin de conformidad respecto a los requisitos esenciales de la directiva aplicable relacionada. Por tanto, constituyen el mejor medio de prueba
del cumplimiento de estos requisitos.


 $

    P
)$


3
' $'vas, facilitando sustancialmente su seguimiento. Sin embargo hoy en da existen tal
cantidad y variedad de normas, que se hace imposible conocerlas todas en detalle
y difcil incluso buscar aquellas que nos puedan ser de ayuda, de forma especP

Intentaremos facilitar dicho ejercicio comentando las directivas y normativas
ms relevantes relacionadas con el anlisis de riesgos y la seguridad funcional.

2.2. ANLISIS DE RIESGOS DE LOS PROCESOS


2.2.1. RD 1254/1999 DE 16 DE JULIO Y POSTERIORES MODIFICACIONES
Real Decreto por el que se traspuso al rgimen jurdico espaol la conocida Directiva
Seveso II (Directiva 96/82/CE del Consejo Europeo, de 9 de diciembre).
*P
 '
 $'#' $

'$#

los que intervienen sustancias peligrosas.
G$' $ 'P
(
* $DD=8BEEH/@&)
Real Decreto 948/2005, de 29 de Julio (basado en la Directiva 2003/105/CE conoci
  6/3 'P
) Q


$'*' $'
=A8?B8 +L
Evolucin de esta legislacin:
Seveso I
Como vimos en el Captulo 1, el accidente de Seveso produjo un antes y un despus
en la concienciacin general sobre la seguridad industrial, si bien, anteriormente a
este suceso, en la localidad de Flixborough (Reino Unido, 1974), el escape de ms
de 40 Tm de ciclohexano en una planta industrial dedicada a la produccin de caprolactama y la explosin posterior a causa de este escape ocasion la muerte de 29
trabajadores y cientos de heridos.

Legislacin, estndares y normavas

La fuerte presin social provocada por los desastres qumicos antes abordados,
unido a los elevados costes econmicos y ambientales que los mismos ocasionaron,
motiv el inicio de una actuacin legislativa en la Unin Europea para abordar la
prevencin y el control de los accidentes que se pudieran producir en aquellas actividades con presencia de sustancias qumicas peligrosas.
Los reglamentos para la prevencin y control de estos accidentes existentes en
los distintos pases de la entonces llamada Comunidad Econmica Europea se recogern y sintetizarn en la primera norma que dar lugar a lo que hoy se conoce como
normativa Seveso. La primera norma en este contexto, conocida como Directiva
Seveso I, fue la Directiva 82/501/CEE.
El Real Decreto 886/1988, de 15 de julio, sobre prevencin de accidentes mayores
$ '


$''
'$'
/ 'P
(
* $=HB8D==E/
de 29 de julio, incorpor al ordenamiento jurdico espaol la Directiva 82/501/CEE,
del Consejo, de 24 de junio, relativa a los riesgos de accidentes graves en determina

$''
'$'
/
   'P
'
*' $'
?>8BDA8
CEE y 88/610/CEE, de 19 de marzo y de 24 de noviembre, respectivamente.
Seveso II y III
Tras ms de diez aos de experiencia en la aplicacin de la Directiva 82/501/CEE, y
tras el anlisis de cerca de 130 accidentes que han tenido lugar durante ese periodo
de tiempo en la Unin Europea, la Comisin Europea consider conveniente realizar una revisin fundamental de la Directiva, que contemplara la ampliacin de
su mbito y la inclusin de algunos aspectos ausentes en la Directiva original, que
mejoraran la gestin de los riesgos y de los accidentes. Ello condujo a la aprobacin
de la Directiva 96/82/CE (Directiva Seveso II), del Consejo, de 9 de diciembre,
relativa al control de los riesgos inherentes a los accidentes graves en los que intervengan sustancias peligrosas, que tiene como objetivo la obtencin de un alto nivel
de proteccin para las personas, los bienes y el medio ambiente ante accidentes graves, mediante medidas orientadas tanto a su prevencin como a la limitacin de sus
consecuencias y que, entre otras novedades, plantea la necesidad de tener en cuenta

&'
'
'$

'

'P
'&
$'

La Directiva 96/82/CE del Consejo, de 9 de diciembre de 1996, relativa al control de los riesgos inherentes a los accidentes graves en los que intervengan sustancias peligrosas, fue incorporada a nuestro ordenamiento jurdico mediante el
Real Decreto 1254/1999, de 16 de julio, por el que se aprueban medidas de control
de los riesgos inherentes a los accidentes graves en los que intervengan sustancias
peligrosas.
Con posterioridad, la Comisin Europea inici un procedimiento de infraccin
contra las autoridades espaolas por disconformidad con la citada transposicin de
la directiva de referencia, que dio lugar a la emisin de un dictamen motivado, como
paso previo a interponer la correspondiente demanda ante el Tribunal de Justicia de
las Comunidades Europeas.

17

18

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Aunque una parte de las objeciones manifestadas por la Comisin Europea qued
$

 
*' $'&'
$ ' ''

 $)
'P
'
ante el riesgo de accidentes graves en los que intervienen sustancias peligrosas, aprobada por el Real Decreto 1196/2003, de 19 de septiembre, quedaron pendientes otras
cuestiones que exigieron una reforma del Real Decreto 1254/1999, de 16 de julio,
y este, precisamente, fue uno de los objetivos del Real Decreto 119/2005, de 4 de
febrero.
El 31 de diciembre de 2003, se public en el Diario Ocial de la Unin Europea
la Directiva 2003/105/CE del Parlamento Europeo y del Consejo, de 16 de diciembre
BEEX  '
  6/
3 'P

*' $'
=A8?B8 +
Consejo, de 9 de diciembre de 1996, relativa al control de los riesgos inherentes a los

'$#
3'$#
$
 '
'#
/3P

los siguientes aspectos:
^

En primer lugar, la ampliacin del mbito de aplicacin, de acuerdo con las


lecciones aprendidas de algunos accidentes industriales recientes y los estudios sobre carcingenos y sustancias peligrosas para el medio ambiente
efectuados por la Comisin a instancia del Consejo. Ejemplos de estos accidentes son:
- El vertido de cianuro que contamin el Danubio tras el accidente de Baia

/  (
'
/    BEEE/ 3  
'P$ 3
gunas actividades de almacenamiento y tratamiento de la minera, en
especial las instalaciones de evacuacin de residuos, incluidos los diques
o balsas de residuos, podan tener consecuencias medioambientales muy
graves.
- El accidente pirotcnico de Enschede, en Holanda, ocurrido en mayo de
BEEE/3
'P$3


'$)

&'
'
sustancias pirotcnicas y explosivas conlleva riesgos graves de acciden$G '#'$/ '
 
'P
)' 'P

P' '
de estas sustancias en la Directiva 96/82/CE.
- La explosin que tuvo lugar en una fbrica de fertilizantes de Toulouse,

 '
/$' &BEED/$
&'4
'P$'#
que supone el almacenamiento de nitrato de amonio y de abonos a base
de nitrato de amonio, en particular de materiales desechados durante la
fabricacin o devueltos al fabricante (denominados materiales fuera de
 'P
'VLG '#'$/&
'


$

$#ras de nitrato de amonio y de abonos a base de nitrato de amonio de la
D' $'
=A8?B8 +

' '
$'
U
 'P
'V
Asimismo, los estudios efectuados por la Comisin en estrecha cooperacin con los Estados miembros abogaron por ampliar la lista de car '# 
$'
 &

 

)&
Q
'#'P
$'
$
las cantidades umbral asignadas a las sustancias peligrosas para el medio
ambiente en la Directiva 96/82/CE.

Legislacin, estndares y normavas

^

^

^

En segundo lugar,
'$ '
 ' 


$'P
ciones y la elaboracin de las polticas de prevencin de accidentes graves,
los informes de seguridad y los planes de emergencia, en el caso de los establecimientos existentes que vayan a entrar con posterioridad en el mbito de
aplicacin de la Directiva 96/82/CE.
En tercer lugar, la consideracin de la experiencia y los conocimientos del
personal especializado del establecimiento a la hora de elaborar los planes
de emergencia. El reforzamiento de la obligacin de que todas las personas
del establecimiento, as como de las personas que puedan resultar afectadas,
hayan de ser convenientemente informadas de las medidas e iniciativas en
materia de seguridad.
En cuarto lugar, la matizacin de algunos extremos de la Directiva 96/82/
CE, como los relativos al efecto domin, al contenido del informe de seguridad y a la ordenacin territorial.
Finalmente, la aplicacin de forma independiente de la regla sumatoria para


'##

'
 
$O' '
/
']

&''

y la ecotoxicidad, as como las aclaraciones y matizaciones de algunas notas
del anexo I.

G '#'$/ 'P (


* $DBH@8D===/DAQ'/



tarlo a la citada Directiva 2003/105/CE del Parlamento Europeo y del Consejo, de 16
de diciembre de 2003 (Seveso III) con el Real Decreto 948/2005.
2.2.2. OSHA CFR 1910.119
En 1970 el Congreso de los EE UU cre la Occupational Safety and Health Administration para garantizar condiciones de trabajo seguras y saludables para los
hombres y mujeres mediante la creacin y aplicacin de normas y mediante la capacitacin, divulgacin, educacin y asistencia. Actualmente es un organismo con
representacin tambin en la UE.
En 1992 cre el estndar denominado 29 CFR - 1910, Cuyo apartado 119: Process safety management of highly hazardous chemicals, for General Industry tiene

P
'
&'#


'$

'  $3 ' '#

tener procedimientos para garantizar la seguridad en sus operaciones.
El reglamento describe catorce elementos clave (Participacin del empleado;
Informacin de Seguridad del Proceso; Anlisis del Peligro del Proceso; Procedimientos Operacionales; Entrenamiento; Contratistas; Revisin de Seguridad
previa al Start-Up; Integridad Mecnica; Permisos de Trabajo; Manejo del Cambio; Investigacin de Incidentes; Planes de Emergencia y Respuesta; Auditoras
de Cumplimiento de la Seguridad y Condencialidad Comercial) para ayudar a las
personas involucradas en sus esfuerzos para prevenir o mitigar emisiones de tales
productos qumicos que podran conducir a una catstrofe. Adems dispone los
siguientes apndices:

19

20

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

:
-

App A - List of Highly Hazardous Chemicals, Toxics and Reactives (Mandatory).


<:< 9*'
#

6' 'PG 9*'
#
K-mandatory).
App C - Compliance Guidelines and Recommendations for Process Safety
Mngmt (Nonmandatory).
App D - Sources of Further Information (Nonmandatory).


'  P
 & $ $

    #
'  #

puede encontrarse en:
$$788999
#88
9&89
 
  
$)6R-*(*6$ D)
D=DE
2.2.3. LEY 31/1995, DE 8 DE NOVIEMBRE, DE PREVENCIN DE RIESGOS
LABORALES
El artculo 40.2 de la Constitucin Espaola encomienda a los poderes pblicos,
como uno de los principios rectores de la poltica social y econmica, velar por la
seguridad e higiene en el trabajo.
Este mandato constitucional conlleva la necesidad de desarrollar una poltica de
proteccin de la salud de los trabajadores mediante la prevencin de los riesgos derivados de su trabajo y encuentra en la presente Ley su pilar fundamental.
+
 '
 P#

 #
3
&



distintas acciones preventivas, en coherencia con las decisiones de la Unin Europea
que ha expresado su ambicin de mejorar progresivamente las condiciones de trabajo y de conseguir este objetivo de progreso con una armonizacin paulatina de esas
condiciones en los diferentes pases europeos.
La Ley 31/1995 tiene por objeto promover la seguridad y la salud de los trabajadores mediante la aplicacin de medidas y el desarrollo de las actividades necesarias
para la prevencin de riesgos derivados del trabajo.
A tales efectos establece los principios generales relativos a la prevencin de
los riesgos profesionales para la proteccin de la seguridad y de la salud, la eliminacin o disminucin de los riesgos derivados del trabajo, la informacin, la
consulta, la participacin equilibrada y la formacin de los trabajadores en materia
preventiva.
G

  ' '$' P/
)#


$
'



por las administraciones pblicas, as como por los empresarios, los trabajadores y
sus respectivas organizaciones representativas.
Las disposiciones de carcter laboral contenidas en esta Ley y en sus normas
reglamentarias tienen en todo caso el carcter de derecho necesario mnimo indisponible, pudiendo ser mejoradas y desarrolladas en los convenios colectivos.

Legislacin, estndares y normavas

Evolucin y adaptacin
Efectuando un anlisis histrico del Ordenamiento Jurdico espaol, se aprecia que el
objetivo de mejora de la seguridad y la salud de los trabajadores en el trabajo, directa
o indirectamente, ya se hallaba contemplado en nuestra legislacin, entre otros, en la
Ordenanza General de Seguridad e Higiene en el Trabajo (1971), en la Constitucin
Espaola (1978), en el Estatuto de los Trabajadores y en su texto refundido (1980/95),
en el Convenio 155 de la OIT (1985) y en el Acta nica Europea (1986).
En 1997 tiene lugar la publicacin del Real Decreto 39/1997, de 17 de enero, por
el que se aprueba el Reglamento de los Servicios de Prevencin, que constituye
un complemento necesario e imprescindible a la Ley 31/1995 y dota al conjunto con
una misin triple:
^
^
^

En primer lugar trasponer al Ordenamiento Jurdico interno las Directivas


Comunitarias 89/391/CEE, 91/533/CEE, 92/85/CEE y 94/33/CE.
+##
'P
)
$
'


$'


$'

En tercer lugar dotar al Ordenamiento de una regulacin mnima que permita
el posterior desarrollo reglamentario concreto y que sirva de base en la negociacin colectiva.

2.3. SEGURIDAD FUNCIONAL


2.3.1. NORMAS ANSI/ISA
El Instituto Nacional Estadounidense de Estndares (ANSI, por sus siglas en ingls:
American National Standards Institute) es una organizacin sin nimo de lucro que
supervisa el desarrollo de estndares para productos, servicios, procesos y sistemas
en los Estados Unidos. ANSI es miembro de la Organizacin Internacional para la
Estandarizacin (International Organization for Standardization, ISO) y de la Comisin Electrotcnica Internacional (International Electrotechnical Commission, IEC).
La organizacin tambin coordina estndares del pas estadounidense con estndares
internacionales, de tal modo que los productos de dicho pas puedan usarse en todo
el mundo.
Esta organizacin aprueba estndares que se obtienen como fruto del desarrollo
de tentativas de estndares por parte de otras organizaciones, agencias gubernamentales, compaas y otras entidades. Estos estndares aseguran que las caractersticas
y las prestaciones de los productos son consistentes, es decir, que la gente use dichos
productos en los mismos trminos y que esta categora de productos se vea afectada
por las mismas pruebas de validez y calidad.
-6
'$

 #
'
' 3 
'
 $'P
'   $  


 3''$P'$
'$
'

Los programas de acreditacin ANSI se rigen de acuerdo a directrices internacio
 
$

'P
'#&
$
)

''

'
'

21

22

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

La ISA (The International Society of Automation) fue fundada en 1945 y es una


organizacin internacional sin nimo de lucro enfocada a ayudar a sus ms de 30.000
miembros repartidos por todo el mundo y a todos los profesionales del sector a resolver sus problemas, a mejorar sus conocimientos, capacidad de liderazgo y favorecer
en general su desarrollo profesional.
ISA se encarga tambin del desarrollo de estndares relacionados con el mundo
de la instrumentacin, el control y la automatizacin en general. Asimismo, proporciona formacin y publica numerosos libros, revistas y artculos tcnicos para
divulgar el conocimiento en todo el mundo. Tambin organiza ferias y conferencias
internacionales, con el objetivo de destacar las ltimas novedades tecnolgicas, tendencias y soluciones reales a los problemas de ms actualidad en materia de produccin, ingeniera o gestin.
Ms informacin puede encontrarse en:
$$788999
'#8
&$
'8'$ $'8'$ $'
O 'D
$$788999'
:
'#8#

'D
$$788999'
#
En cuanto a Seguridad Funcional de Procesos podemos destacar el estndar ANSI/
ISA S84.01-1996 Aplication of Safety Instrumented Systems for the Process Industries, desarrollado conjuntamente con la ISA a principios de la dcada de los 90, en
paralelo con el desarrollo del proyecto de 1995 de IEC 61508 (llamada entonces IEC
1508, y cuyo enfoque se diriga al fabricante de estos sistemas), y en conformidad
con los principios de la IEC (International Electrotechnical Commission). En efecto,
una caracterstica de la S84 es una clusula que describe las principales diferencias
con la IEC 1508 (cabe sealar que algunas de estas diferencias pueden no aplicar a la
IEC 61508 ya que esta se public unos aos despus, como actualizacin de la 1508).
La similitud entre ambas normativas es evidente ya que ambas tienen la misma
P
'
/' &
#O'$/  #' / '$
' '
3 ' 
esquemticamente en la Tabla 2.1:
Tabla 2.1. Comparava IEC vs ANSI/ISA.
Standard IEC 61508
Nmero de pasos ciclo de
vida

Standard ISA S 84.01


15

Nmero de pasos dentro


del alcance del Standard

16

Mximo SIL

Todas las industrias

Solo procesos industriales

No

Campo de aplicacin
Intervencin humana en SIS

W'$

 

'P
KJ8

'$

'L$$'
sistemas de seguridad tenemos actualmente en vigor la ANSI/ISA S84.00.01-2004,

Legislacin, estndares y normavas

Functional Safety: Safety Instrumented Systems for the Process Industry Sector,
Instrumentation, Systems, and Automation Society, que referencia a la IEC 61511
diferencindose de ella bsicamente por una clusula Grandfather que indica que
para SIS existentes diseados y construidos de acuerdo con cdigos, estndares,
o prcticas antes de la emisin de un estndar aplicable (por ejemplo ANSI/ISAS84.01-1996), el dueo/operadora deber demostrar que el equipo es diseado, mantenido, inspeccionado, probado y operado en una manera segura.
Una evaluacin de la clusula Grandfather requiere una revisin de la informacin existente de seguridad de proceso, registros de integridad mecnica, operacionales, del sistema de gerencia y medicin. Si el resultado de la revisin es satisfactorio, el dueo/operadora puede elegir mantener el equipo existente tal y como se
 $
P ' '
 J)' '

  $
'&
corregidas a travs de planes de accin para cerrar las desviaciones.
La ANSI/ISA S84.00.01-2004 se divide en tres partes:
^
^
^

G
$ D7 
9/ *P'$'/ 6)$ / %
9

 6$9
 (3'ments.
Part 2: Guidelines for the Application of Part 1.
Part 3: Guidance for the Determination of the Required Safety Integrity Levels.

Relacionados con estas normativas existen adems multitud de Guas y Technical


Reports de las que destacamos las siguientes confeccionadas por ISA:
^

^

^

ISA-TR84.00.02-2002, Safety Instrumented Functions (SIF) - Safety Integrity Level (SIL) Evaluation Techniques:
- Part 1: Introduction.
: G
$B7*$ ''#$ 6
6'
6' 'P+3
$'
- Part 3: Determining the SIL of a SIF via Fault Tree Analysis.
- Part 4: Determining the SIL of a SIF via Markov Analysis.
- Part 5: Determining the PFD of SIS Logic Solvers via Markov Analysis.
ISA-TR84.00.03-2002, Guidance for Testing of Process Sector Safety Instrumented Functions (SIF) Implemented as or Within Safety Instrumented Systems (SIS). Una versin actualizada de esta gua ver la luz durante el 2011.
ISA TR84.00.04-2005, Guidelines for the Implementation of ANSI/ISA
S84.00.01-2004 (IEC 61511), Instrumentation, Systems, and Automation
Society:
- Part 1: Guideline on the Implementation of ANSI/ISA 84.00.01 2004.
- Part 2: Example Implementation of ANSI/ISA-84.00.01-2004.
En esta gua se indican los dos pasos esenciales para determinar la aceptabilidad de los equipos existentes bajo la clusula Grandfather:
: P
 3 
''  '# ) '#
 ' 
'
 


determinar cualitativamente o cuantitativamente el nivel de reduccin

23

24

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

^
^

del riesgo requerido para cada funcin instrumentada de seguridad en el


sistema instrumentado de seguridad.
: P

$
4


'3
 ''$ $


seguridad existente ha funcionado acorde al diseo y provee el nivel de
reduccin de riegos necesitado.
-686:=DEEED:BEED/U$'P
$'+ # )6 $96)$ 
and controls that are Critical to Maintaining Safety in Process Industries.
6:R(=DEEEB:BEEX/ U '$'
'$) 
'P
$' ''  $ tation.

2.3.2. NORMAS IEC


La Comisin Electrotcnica Internacional (CEI o IEC por sus siglas en ingls, International Electrotechnical Commission) es una organizacin de normalizacin en
los campos elctrico, electrnico y tecnologas relacionadas. Numerosas normas se
desarrollan conjuntamente con la ISO (normas ISO/IEC).
La CEI, fundada en 1904 durante el Congreso Elctrico Internacional de San
Luis (EE UU), y cuyo primer presidente fue Lord Kelvin, tena su sede en Londres
hasta que en 1948 se traslad a Ginebra. Integrada por los organismos nacionales de
normalizacin, en las reas indicadas, de los pases miembros, en 2003 pertenecan
a la CEI ms de 60 pases.
La misin de la IEC es promover entre sus miembros la cooperacin internacional en todas las reas de la normalizacin electrotcnica a travs de objetivos como:
^
^
^
^
^
^
^

 
 '
 
 '
P '$ $
Promover el uso de sus normas y esquemas de aseguramiento de la conformidad a nivel mundial.
Asegurar e implementar la calidad de producto y servicios mediante sus normas.
Establecer las condiciones de durabilidad y resistencia temporal de sistemas
complejos.
  $

P ' '
 '$'

Contribuir a la implementacin del concepto de salud y seguridad humana.
Contribuir a la proteccin del ambiente.

La participacin activa como miembro de la IEC, brinda a los pases inscritos la


'&''
']'


'
''$
'
/$
do los intereses de todos los sectores nacionales involucrados y conseguir que sean
tomados en consideracin. Asimismo, constituye una oportunidad para mantenerse
actualizados en la tecnologa punta en el mbito mundial.
A la fecha la IEC cuenta con 57 miembros, cada uno de ellos representando a un
pas, y que en conjunto constituyen el 95% de la energa elctrica del mundo. Este
organismo normaliza la amplia esfera de la electrotcnica, desde el rea de potencia

Legislacin, estndares y normavas

elctrica hasta las reas de electrnica, comunicaciones, conversin de la energa


nuclear y la transformacin de la energa solar en energa elctrica.
A la CEI se le debe el desarrollo y difusin de los estndares para algunas unidades de medida, particularmente el gauss, hercio y weber; as como la primera
propuesta de un sistema de unidades estndar, el sistema Giorgi, que con el tiempo
se convertira en el Sistema Internacional de unidades.
En 1938, el organismo public el primer diccionario internacional (International
Electrotechnical VocabularyL '$'P

$ '#
4 $'
/
esfuerzo que se ha mantenido durante el transcurso del tiempo, siendo el Vocabulario
Electrotcnico Internacional un importante referente para las empresas del sector.
Ms informacin puede encontrarse en:
$$788999' 
En cuanto a sus publicaciones referidas a seguridad funcional destacan principalmente las Normativas mencionadas anteriormente: la IEC 61508 y IEC 61511.
El estndar IEC 61508 Seguridad Funcional de Equipos Elctricos, Electrnicos
y Electrnicos Programables es una normativa internacional desarrollada para beP '

' 
$
''$
#/$' $
 4$ '$P :
$4 ' 

 
' 'P
' $


/ Q
'J
'$
 '/
) ''
P' ''#/   '$#'
/P
&''
) $)
)

'



'

 '
)P ' '


')
$' '$
Actualmente existe una Norma Europea, la EN 61508, pero a da de hoy no hay
directiva ni trasposicin al rgimen jurdico.
Las actividades relativas a esta normativa se iniciaron en los aos 80, cuando el
comit IEC ACOS (Advisory Committee of Safety) constituy un grupo de estu'

 '
&

$

'
'$
'P$
sistemas electrnicos programables, ya que por aquel entonces muchos rganos de
estandarizacin no admitan este tipo de sistemas en aplicaciones crticas para la
seguridad.
En los siguientes aos, y denominndose todava como IEC-1508, se fue desarrollando conjuntamente con otras propuestas como la americana ANSI/ISA S84.01 o
la alemana DIN (V) 19250, enfocndose hacia el fabricante de este tipo de sistemas
electrnicos programables.
Unos aos ms tarde qued constituida formalmente como IEC 61508, formada
por siete partes:
^
^
^
^
^

Parte 1: Requisitos generales.


Parte 2: Requisitos para los electrical / electronic / programmable electronic
safety-related systems.
G
$X7(3''$$9

G
$@7*P' ')
&'
$

Parte 5: Ejemplos de los mtodos para la determinacin de los Safety Integrity Levels (SIL).

25

26

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

^
^

Parte 6: Lneas gua para la aplicacin de las partes 2 y 3.


Parte 7: Panormica de las tcnicas y medidas.

Las partes 1, 3, 4 y 5 fueron aprobadas en 1998, las 2, 6 y 7 en febrero de 2000.


En el 2002 hubo una revisin general y la ltima edicin ha visto la luz en el 2010.
Se trata de un estndar de seguridad funcional bastante criticado por la extensa documentacin requerida y por el uso intensivo de tcnicas estadsticas, sin
embargo, representa para muchas industrias un paso adelante importante hacia
condiciones de trabajo ms seguras para las personas y el medioambiente. Exige
examinar los riesgos basados en el diseo de los sistemas de seguridad, determina


' P
  $ ')'
3''$
de la seguridad.
Este estndar es una publicacin de amplio espectro que recoge aspectos basados
no solo en la seguridad funcional de los sistemas, por ejemplo, afecta tambin a la
directiva PED (Pressure Equipment Directive) y al mtodo de proteccin b (control de las fuentes de ignicin) frente a ATEX (atmsferas explosivas) para equipos
no elctricos. En este punto interesa comentar la relacin entre Atex y SIS, recogida
en la Norma UNE-EN 50495:2010. En ella encontramos una descripcin detallada
sobre los aspectos de seguridad funcional de los dispositivos diseados para la pre 'O')PQ
''$#'
K6L

$'$

proteccin en contexto ATEX.
 
$' 
J BEEB  '$Q  
 
  P
7 
 + 
61511 para las industrias de control de procesos y la IEC 62061 para la seguridad de
las mquinas. Ambos estndares hacen referencia directa a la IEC 61508.
El estndar IEC 61511 se public formalmente en 2003, contando varias ediciones el mismo ao, con el ttulo Seguridad Funcional: Sistemas Instrumentados
para el sector de la Industria de Procesos y fue elaborado por el mismo comit que
redact la IEC 61508 para complementar a esta. La edicin ms actualizada, para el
2012, es la 1.0 2003-01.
+$
 P 


'$'
 /''#'

'P
/
)P66' )/ ' '$#' '$
  ' /
 $P
)
$ #
 
3$
'
&'
 
aborda el ciclo de vida de los sistemas de seguridad y los niveles SIL, por lo que, a
pesar de su similitud con la ISA-S84.01, es todava ms amplia.
Est compuesta por tres partes:
^
^
^

G
$D7$ $
/P' '/'$
/3''$
9
)$9

Parte 2: lneas gua para la aplicacin de la parte 1.
Parte 3: ejemplos de mtodos para la determinacin de la integridad de la
seguridad en la aplicacin del anlisis del riesgo y del peligro.

En particular, esta norma:


^

G '
3''$

#

#'
 '
/ 'P

quin es responsable de la aplicacin de los requisitos (por ejemplo, diseaa-

Legislacin, estndares y normavas

^

^
^

^

dores, proveedores, propietario o empresa explotadora, contratista), esta


responsabilidad se asigna a las diferentes partes de acuerdo a la plan'P
'
de la seguridad y reglamentacin estatal;
Aplica cuando el equipo que cumpla los requisitos de la Norma IEC 61508
(o del punto 11.5 de la norma IEC 61511-1) se integra en un sistema global
que se va a utilizar para una aplicacin de seguridad, pero no a los fabricantes que deseen reivindicar que sus dispositivos son adecuados para su uso en
sistemas instrumentados de seguridad para el sector de proceso (vase IEC
61508-2 e IEC 61508-3).
*P

'$+ ADHDD+ ADHE?
'

$9
#'
'$
3$'

'
&''

#

PQ/

&'
$/'J
/'$#
)
'
3

$9
'$#
K$9
'$
Lull variability
languages (vase IEC 61508-3 ).
Aplica a una amplia variedad de industrias en el sector de proceso, inclu) $3 ' /P$/ '$)#
/
pulpa y papel, y generacin de energa no nucleares.
Nota: en el sector de proceso de algunas aplicaciones (por ejemplo, offshore), pueden tener requisitos adicionales que deben ser satisfechos.

^
^

^
^

^

Describe la relacin entre las funciones de seguridad instrumentadas y otras


funciones.
$'P
3''$ '
#'
)
'$#'
K6L

funcin de seguridad instrumentada (SIF), teniendo en cuenta la reduccin
del riesgo alcanzada por otros medios.
+ 'P
3''$



3'$ $
'$
) P#
'

9
/$9

'
''$#
''$

+ 'P
3''$



'
'$9



'
integradores de sistemas instrumentados de seguridad (clusula 12). En particular:
: +$9

'
')
$''
 
'$

ciclo de vida del SIS. Estos requisitos incluyen la aplicacin de medidas y
$4 '
/3$'&Q$'$


$9
) $
: 
'
'
$'



'
'$9
#'
3
pasar a la organizacin durante la integracin del SIS.
: G

'
'
') ' '$
$'
$9
3
necesita el usuario para la operacin y mantenimiento del SIS.
:  ' '$) 'P
'3&  '
#
'
'





& 'P
'$9
#'

Aplica cuando la seguridad funcional se realiza con una o ms funciones de
seguridad instrumentadas para la proteccin del personal, la proteccin del
pblico en general o del medio ambiente.

27

28

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

^
^

^
^

^
^
^
^
^

^
^
^
^

Puede aplicar en funciones de no seguridad, como proteccin de activos.


N
 ' '
#'
)P
'$

$''
3
necesarias para determinar los requisitos funcionales y los requisitos de integridad.
(3'


''#)'#

P'3''$
seguridad funcional y los niveles de integridad de cada funcin de seguridad.

$'P
  4'
$ 
 &
&''
 '
  
  

 ) 

frecuencia de fallos peligrosos por hora para los niveles de integridad de
seguridad.
+ 'P
3''$ ' 


$
 '



9

+ 'P

$4 '
) '
 
'





''$#'
 'P


*P' O' '$#'
K6@L/3#




funcin de seguridad instrumentada siguiendo este estndar.
*P' ' '$#'
K6DL&
Q 
$$dar no aplica.
Proporciona un marco para establecer los niveles de integridad de seguridad,
pero +$&P'#T


'
' P
) '
de seguridad.
+ 'P
3''$

$


$'$
#'
'$ $
/
$
 $P

*P
'
' 
'



 ' '
#'

Requiere que el diseo de una funcin de seguridad instrumentada tenga en
cuenta factores humanos.
No impone requisitos directos al operador individual o personal de mantenimiento.

W$

+ 
$
+ ADHDXU- 
9
$/'$ $
$'
and control for systems important to safety. General requirements for systems, que,
como su nombre indica, est orientada al sector nuclear.
2.3.3. NORMAS UNE
Las normas UNE (Una Norma Espaola) son un conjunto de normas tecnolgicas
creadas por los Comits Tcnicos de Normalizacin (CTN), de los que forman
parte todas las entidades y agentes implicados e interesados en los trabajos del
comit y cuyo mbito de aplicacin es el territorio nacional. Por regla general
estos comits suelen estar formados por fabricantes, consumidores y usuarios, ad ''$
'/
&
$'/ $'$'#
')+-W(K$'
P '

$'P

L
La actividad de AENOR comenz en el ao 1986 cuando, mediante una orden
ministerial que desarrollaba el Real Decreto 1614/1985, fue reconocida como la ni
$'

&






$


'
') $'P
'
nuestro pas.

Legislacin, estndares y normavas

Posteriormente, el Real Decreto 2200/1995 de 28 de diciembre que aprobaba el


Reglamento de la Infraestructura para la Calidad y la Seguridad Industrial en EspaJ
/
$'P  &
'$+-W(  
&

&
'

normas espaolas (Normas UNE) y representante de los intereses espaoles en los
organismos de normalizacin europeos e internacionales.
Tras la creacin de una norma espaola, tiene un periodo de seis meses de prueba

3'

T&'
$/

4
$

P'$'
$
por la comisin, bajo las siglas UNE. Por supuesto, son actualizadas peridicamente.


 
'#'
 
'P
' '
+ '#3'#na una norma est estructurado de la siguiente manera:

En Espaa existen unas 17.000 normas que permiten evaluar todas las reas de
actividad de las empresas, sus productos o servicios, su calidad y sus sistemas.
De las 17.000 normas UNE, unas 10.000 han sido directamente adaptadas de las
propias normas europeas (EN).
Ms informacin puede encontrarse en:
$$788999P'8$' )$8' '


$$788999
8
8
8
8
'
'

Con respecto a la seguridad funcional y tal y como se indic con anterioridad, la
IEC 61508 fue aplicada al mbito europeo mediante la creacin de la Norma Europea EN 61508. Del mismo modo, Espaa hizo suya la misma a travs de la UNE EN
61508, con exacto propsito que la IEC 61508. Igualmente se adapt la IEC 61511
mediante la UNE EN 61511.
Otras normas de inters en cuanto a requisitos de seguridad (no funcional) en la
industria son aqullas relacionadas con ATEX y, por supuesto, la directiva vigente
asociada:
Con carcter industrial:
^
^
^

^

Ley 21/1992 de Industria.


RD 2135/1980 sobre Liberalizacin Industrial y Orden 19/12/1980 por el que
se desarrolla el Reglamento Electrotcnico de Baja Tensin (REBT).
REBT - RD 842/02 y sus Instrucciones Tcnicas, por ejemplo: BT-03 (Instaladores Autorizados), BT-05 (Inspecciones), BT-21(Canalizaciones equipos
mviles) o BT-29 (Prescripciones particulares para instalaciones elctricas de
locales con riesgo de incendio o explosin).
Normas UNE de obligado cumplimiento por referencia de la IT BT-29:
- UNE-EN 60079-10 (reglas zonas Clase I)
- CEI 61241-3 (reglas zonas Clase II)

29

30

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

^

UNE-EN 60079-17 (criterios mantenimiento e inspeccin)


CEI 60079-19 (criterios reparacin)
UNE-EN 6079-14 (emplazamientos Clase I)
EN 50281-1-2 (emplazamientos Clase II)
Sistemas cableado: UNE-EN 50039, UNE-EN 50086-1, UNE 21157,
UNE 21123, UNE 20432-3, UNE 21027, UNE 21150.
RD 400/1996 (Atex100) (Aplicable a aparatos y sistemas de proteccin para
uso en Atex). Se complementa con el Reglamento CE 765/2008 que entr en
vigor el 1 enero de 2010.

Con carcter preventivo:


^
^

)XD8D==H/G '('#
&

(*X=8D==>(#
$6' 'G '
Nota: las anteriores reglamentaciones han sido comentadas en el punto 2.2.3
de este captulo.

^

(*A?D8BEEXK$ODX>L que regula cmo realizar la Evaluacin de Riesgos,


PQ
*  $G$ ' $
+O')$
& 
''ciones mnimas para mejorar la Seguridad.

2.3.4. OTRAS NORMAS


En este apartado y para dar una visin ms completa en cuanto a Normativa asociada a
Seguridad, daremos una breve descripcin de algunas otras normas conocidas:


HSE-PES Programming Electronic Systems in Safety Related Applications, partes 1&2, 1987.
Este documento fue el primero en su clase publicado por la asociacin gubernamental inglesa Health & Safety Executive. A pesar del hecho de que el
  $$'  ' '
P
'
'$
 $' #

bles, los conceptos analizados se pueden aplicar tambin a otras tecnologas.
Trata mtodos cuantitativos y cualitativos de evaluacin junto a muchas tablas
con check lists y se ha usado como referencia para confeccionar muchas normativas vigentes relacionadas con el anlisis de riesgos en ambientes industriales.
DIN (V) 19250 Aspectos fundamentales de la seguridad a considerar para
equipos de medida y control.
Se trata de una pre-norma alemana emitida en 1989 y cuya ltima edicin
se public en 1994. Se tom muy en consideracin en los ejemplos de Anlisis de Riesgos de la IEC 61508 (Parte 5).
Cubre solo parcialmente el ciclo de vida de la seguridad puesto que su in$ '


#


P'
#



'''#
Describe por tanto un proceso de anlisis cualitativo que ha desembocado en

'$'P
' 
 P
 '

\+$

 '-

Legislacin, estndares y normavas



$

3''$#'
K6LP'+ ADHE?)
existe cierta correlacin entre ellos.
 AIChE-CCPS Guidelines for Safety Automation of Chemical Processes,
1993.
El instituto americano de ingenieros qumicos form el Center for Chemical Process Safety (CCPS), inmediatamente despus del grave accidente de
Bhopal, en India, y en el que murieron miles de personas. Desde entonces
este centro ha elaborado numerosos documentos y libros de texto para la
seguridad en la industria de procesos, que tratan el diseo de los DCS (Distributed Control Systems) y de los SIS (Safety Instrumented Systems) desde
$'$

'P

 API RTP 556 Recommended Practice for Instrumentation and Control Systems for Fired Heaters and Stream Generators, 1997.
Desarrollado por el American Petroleum Institute, este documento tiene
secciones que tratan los sistemas de bloqueo (shutdown) para calentadores,
generadores de vapor, turbinas de gas, generadores de vapor de gases calen$
/
' $
3
*''#'' '
 $
Pras, se podra aplicar tambin a plantas qumicas o instalaciones industriales
similares.
 API RP 14C Recommended Practice for Design, Installation and Testing
of Basic Surface Safety Systems for Offshore Production Platforms , 2001.
La misma organizacin redacta este documento basado en proven practices, dirigido tanto a personal de diseo como operativo.
 NFPA 85 Boiler and Combustion Systems Hazard Code, 1997.
Normativa ms reconocida a nivel mundial para la seguridad de los sistemas de combustin, redactada por la National Fire Protection Association.
Revisada en 2004, es referenciada por muchas organizaciones para sus BMS
(Burner Management Systems). El estndar comprende:


Gestin de calderas de un solo quemador.


Calderas con mltiples quemadores.
Sistemas de pulverizacin de combustible.
Gestin de la alimentacin de combustible.
Gestin de las calderas con uidized-bed de presin atmosfrica.
Sistemas de recuperacin de calor en los generadores de vapor.

EN 746-2 Equipos de tratamiento trmico industrial.


Es la versin europea de la NFPA 85, que adems exige un determinado SIL para determinados lazos. Consta de tres ediciones, siendo la ltima
del 2011 (Resolucin de 4 de octubre de 2011, de la Direccin General de
Industria, que publica la relacin de normas UNE aprobadas por AENOR
<W+::BEDD:DA?@AL/P'
G
$B7U(3''$#'




combustin y los sistemas de manejo de combustibles.

31

32

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Seguridad de mquinas e instalaciones




EN 1050 Seguridad de mquinas - Principios para la evaluacin del riesgo.


El objetivo prioritario de este documento es la descripcin de un procedimiento sistemtico para la evaluacin del riesgo que permita elegir medidas
de proteccin adecuadas y coordinadas. La evaluacin del riesgo es un componente esencial del proceso iterativo de la reduccin del riesgo que ha de
continuarse hasta conseguir seguridad.
EN 954 Seguridad de las mquinas - Partes de los sistemas de mando relativas a la seguridad.
La norma describe requisitos tcnicos de seguridad y advertencias referidas a principios de diseo de partes de sistemas de mando relativas a la
#'
G

$

$/P
$#
) '&'

funciones de seguridad. Esto incluye los sistemas programables para toda
clase de mquinas y los dispositivos de proteccin pertinentes.
Vale para todas las partes de controles relacionados con la seguridad, independientemente del tipo de energa utilizado, por ejemplo, elctrica, hidrulica, neumtica, mecnica, y se aplica a todas las mquinas del mbito
industrial y privado. Cuando proceda, puede aplicarse tambin a controles
 $#'
3$'' 

$
P
'
$4 '
 
peligros similares.
EN ISO 12100-1 Seguridad de mquinas; conceptos bsicos, principios generales para el diseo:
- Parte 1: Terminologa bsica, metodologa.
- Parte 2:G' '') 'P
'$4 '

Este documento formula principios tcnicos para ayudar a los diseadores y los fabricantes a integrar la seguridad en el diseo de las mquinas
en instalaciones.Tambin puede aplicarse a otros productos tcnicos que
entraen peligros similares.
EN ISO 13849 Seguridad de las mquinas - Partes de los sistemas de mando relativas a la seguridad.
Con la revisin de la Norma EN 954-1 se pretende obtener una norma sim'P

/

&/3
#
' 
'
Q 
$ $' 
complejos.
Adems de sistemas elctricos, electrnicos y electrnicos programables,
la futura Norma EN ISO 13849-1 seguir contemplando, como hasta ahora,
$
$ #
 $/  Q 
]'

+ &'$
$
'
+-6WDX?@=:D
'P

 '&
' 'mo las posibilidades de aplicar esta norma a sistemas electrnicos programables para funciones de seguridad.
En relacin con el tema validacin se public el actual proyecto de Norma prEN 954-2 como norma armonizada EN ISO 13849-2 en diciembre de
BEEXG
'
'$'
'P
'


/' '
'-

Legislacin, estndares y normavas

^

sis y las pruebas, de las funciones de seguridad y categoras de las partes de


sistemas de mando relativas a la seguridad.
EN IEC 62061 Seguridad de las mquinas - Seguridad funcional de los
sistemas elctricos, electrnicos y electrnicos programables relacionados
con la seguridad.

+-+ ABEAD$




 $ P /&dinada a la EN IEC 61508. En ella se describe la realizacin de sistemas de
control elctricos relacionados con la seguridad de las mquinas. Abarca el
ciclo de vida completo, desde la fase de diseo hasta la retirada de servicio.
La base la forman consideraciones cuantitativas y cualitativas de funciones
 #'
 +$ ''#'

  
'P
/ 'J
 ) 
' 
sistemas de tcnica de seguridad.

+-8+ ABEADP#

'$


 '


*' $'

de mquinas CE, de forma que su aplicacin genera el denominado efecto
efecto de presuncin.

*j   \  |j

EN 60204 Seguridad de las mquinas - Equipo elctrico de las mquinas.


La Norma se aplica a la realizacin del equipo y de los sistemas elctricos y
 $' 
 3'
PQ

'&
$ '
'$/' yendo un grupo de mquinas que trabajan conjuntamente de forma coordinada.
EN 60947-5 Aparataje de baja tensin.
La Norma ofrece informacin detallada sobre la construccin elctrica y
mecnica de dispositivos de parada de emergencia con funcin de enclava '$  '
)&
'P
' ' S


''$'
de mando y elementos de conmutacin utilizados para generar una orden de
parada de emergencia. Tales aparatos pueden estar provistos con su propia
envolvente, o estar montados segn las instrucciones del fabricante.
NFPA 79 Electrical Standard for Industrial Machinery.
La NFPA (National Fire Protection Association) ha desarrollado la NFPA 79,
el equivalente de la EN 60204-1. La Norma NFPA 79 describe requisitos
de los equipos electrnicos de mquinas y es reconocida por ANSI para su
aplicacin a mquinas en Norteamrica. Fue actualizada en 2007 para hacer
referencia a las nuevas normas de seguridad ISO EN 13849 e IEC 62061
cuando se utilizan controladores y redes de seguridad programables.

Estamos seguros de que nuestro esfuerzo no ser en vano.

33

34

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

PARA NO OLVIDAR
Como mencionamos al principio de este captulo, una normava no es de carcter
obligatorio si no se traspone al ordenamiento jurdico o se hace referencia a ella en
una direcva. Sin embargo son la mejor herramienta de consulta cuando una organizacin, empresa, equipo de diseo o un simple operador de produccin o mantenimiento, desea tener la sensacin de estar haciendo bien las cosas, y sobre todo,
con seguridad.
Por supuesto la seguridad total no existe. Siempre habr una cierta probabilidad
de fallo en demanda de estos sistemas, inversamente proporcional a su integridad.
Por ello, cuando nos disponemos a analizar un escenario de peligro, asumimos un
cierto riesgo tolerable, basado en las consecuencias del evento peligroso y la frecuencia con la que se puede producir. Es este un ejercicio complicado, pues al n
y al cabo no solo estamos hablando de afectacin econmica o medioambiental,
estamos hablando tambin de personas afectadas incluso con la prdida de la vida.
Es pues responsabilidad del propietario de las instalaciones donde pueden exisr
estos escenarios de riesgo el hacer un ejercicio de compromiso entre Fiabilidad de
la instalacin (basada en las prdidas econmicas producidas por actuaciones innecesarias de los sistemas de seguridad que pueden llevar a paradas de procesos) y
Seguridad de las mismas (aceptando un cierto Riesgo Tolerable).
Siguiendo las guas que hemos tratado en este captulo, los diferentes tcnicos
cualicados en los que decae la responsabilidad del diseo, operacin y mantenimiento, y en cuyo buen juicio han de conar los mximos responsables de las diferentes organizaciones industriales, encontrarn una inesmable fuente de ayuda
para su quehacer profesional.
Por supuesto, este libro pretende resumir y claricar los conceptos disgregados
en tan numerosa normava, ya mencionada, focalizando en los denominados Sistemas Instrumentados de Seguridad (SIS).
Estamos seguros de que nuestro esfuerzo no ser en vano.

CONSEJOS PRCTICOS
Existen innidad de normavas, documentacin,
n, guas, escritos y referencias relacionadas con los Anlisis de Riesgos y la Seguridad Funcional. Lo complicado es
idencar y encontrar aquella que podamos necesitar para una aplicacin concreta. Para facilitar al lector esta tarea, presentaremos a connuacin un listado con
las normavas y direcvas ms relevantes mencionadas en este captulo, y algunas otras que las complementan, en relacin a su aplicacin, a modo de resumen.
Adems aadiremos una tabla, confeccionada por el Instuto Nacional de Seguridad e Higiene en el Trabajo, que recoge una lista con aquella Legislacin Espaola de Seguridad y Salud que precisan e incluyen procedimientos de evaluacin
de riesgos y otra tabla con normas o guas aplicables.

Legislacin, estndares y normavas

LISTADO DE NORMAS, DIRECTIVAS Y GUAS

ANLISIS DE RIESGOS
Seveso I: Directiva 82/501/CEE, de la Com. Econ. Europea, de 24 de junio.
 RD 886/1988, de 15 de julio, (prevencin de accidentes mayores en deter '


$''
'$'
L/ 'P
RD 952/1990, de 29 de
julio, incorpora esta directiva al oredenamiento jurdico espaol.
Seveso II: Directiva 96/82/CE del Consejo Europeo, de 9 de diciembre.
 RD 1254/1999 de 16 de julio y RD 1196/2003, de 19 de septiembre (medidas de control de los riesgos inherentes a los accidentes graves en los que
'$'$
 '
'#
L/ 'P
RD 119/2005, de 4 de
febrero, incorporan esta directiva al oredenamiento jurdico espaol.
Seveso III: Directiva 2003/105/CE del Consejo y Parlamento Europeo, de 16 de
diciembre.
 RD 948/2005 de 29 de julio, incorporan esta directiva al ordenamiento jurdico espaol.
29 CFR - 1910, apartado 119: Process safety management of highly hazardous
chemicals, for General Industry de OSHA.
^ Informacin en:
 $$788999
#88
9&89
 
  
$)6R-*(*6$ D)
D=DE
Ley 31/1995, de 8 de noviembre, Prevencin de Riesgos Laborales.
RD 39/1997, de 17 de enero, Reglamento de los Servicios de Prevencin, se
trasponen las Directivas Comunitarias 89/391/CEE, 91/533/CEE, 92/85/CEE y
94/33/CE al Ordenamiento Jurdico Espaol.

SEGURIDAD FUNCIONAL
ISA:



ANSI/ISA S84.01-1996 Aplication of Safety Instrumented Systems for the


Process Industries.
ANSI/ISA S84.00.01-2004, Functional Safety: Safety Instrumented Systems
for the Process Industry Sector, Instrumentation, Systems, and Automation
Society.
ISA-TR84.00.02-2002, Safety Instrumented Functions (SIF) - Safety Integrity Level (SIL) Evaluation Techniques.

35

36

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...




ISA-TR84.00.03-2002, Guidance for Testing of Process Sector Safety Instrumented Functions (SIF) Implemented as or Within Safety Instrumented
Systems (SIS).
ISA TR84.00.04-2005, Guidelines for the Implementation of ANSI/ISA
S84.00.01-2004 (IEC 61511), Instrumentation, Systems, and Automation
Society.
ANSI/ISA-91.00.01-2001,U$'P
$'+ # )6 $96)$ 
and controls that are Critical to Maintaining Safety in Process Industries.
ISA-TR91.00.02-2003,U '$'
'$) 
'P
$'''$ $
tion.

Informacin en:
$$788999
'#8
&$
'8'$ $'8'$ $'
O 'D
$$788999'
:
'#8#

'D
$$788999'
#
IEC:



IEC 61508 Seguridad Funcional de Equipos Elctricos, Electrnicos y


Electrnicos Programables. ltima edicin 2010.
IEC 61511 se public formalmente en 2003, contando varias ediciones el
mismo ao, con el ttulo Seguridad Funcional: Sistemas Instrumentados
para el sector de la Industria de Procesos. ltima edicin 2012.

UNE:




UNE - EN - IEC 61508.


UNE - EN - IEC 61511.
UNE-EN 481.$ 
#
$
&
Q*P' '

'
por el tamao de las partculas para la medicin de aerosoles. AENOR, Madrid, Espaa, 1995.
UNE-EN 482. Atmsferas en el lugar de trabajo. Requisitos generales relativos al funcionamiento de los procedimientos para la medicin de agentes
qumicos. AENOR, Madrid, Espaa, 1995.
UNE-EN 689. Atmsferas en el lugar de trabajo. Directrices para la evaluacin de la exposicin por inhalacin de agentes qumicos para la comparacin con los valores lmite y estrategia de la medicin. AENOR, Madrid,
Espaa, 1996.

Normas UNE referenciadas en la IT BT-29:





UNE-EN 60079-10 (reglas zonas Clase I).


CEI 61241-3 (reglas zonas Clase II).

Legislacin, estndares y normavas





^

UNE-EN 60079-17 (Criterios mantenimiento e inspeccin).


CEI 60079-19 (Criterios reparacin).
UNE-EN 6079-14 (emplazamientos Clase I).
EN 50281-1-2 (emplazamientos Clase II).
Sistemas Cableado: UNE-EN 50039, UNE-EN 50086-1, UNE 21157, UNE
21123, UNE 20432-3, UNE 21027, UNE 21150.

OTRAS:

















HSE-PES Programming Electronic Systems in Safety Related Applications, partes 1&2, 1987.
DIN (V) 19250 Aspectos fundamentales de la seguridad a considerar para
equipos de medida y control.
AIChE-CCPS Guidelines for Safety Automation of Chemical Processes,
1993.
API RTP 556 Recommended Practice for Instrumentation and Control Systems for Fired Heaters and Stream Generators, 1997.
API RP 14C Recommended Practice for Design, Installation and Testing
of Basic Surface Safety Systems for Offshore Production Platforms , 2001.
NFPA 85 Boiler and Combustion Systems Hazard Code, 1997.
EN 746-2 Equipos de tratamiento trmico industrial.
EN 1050 Seguridad de mquinas - Principios para la evaluacin del riesgo
EN 954 Seguridad de las mquinas - Partes de los sistemas de mando relativas a la seguridad.
EN ISO 12100-1 Seguridad de mquinas; conceptos bsicos, principios generales para el diseo.
EN ISO 13849 Seguridad de las mquinas - Partes de los sistemas de mando
relativas a la seguridad.
EN IEC 62061 Seguridad de las mquinas - Seguridad funcional de los sistemas elctricos, electrnicos y electrnicos programables relacionados con
la seguridad.
EN 60204 Seguridad de las mquinas - Equipo elctrico de las mquinas
EN 60947-5 Aparataje de baja tensin.
NFPA 79 Electrical Standard for Industrial Machinery.

OTRA LEGISLACIN ESPAOLA COMPLEMENTARIA





Orden de 31.10.1984 (Ministerio de Trabajo y Seguridad Social, BOE


7.11.1984). Reglamento sobre el trabajo con riesgo de amianto.
( $'P

7
- Orden de 7.11.1984 (Ministerio de Trabajo y Seguridad Social, BOE
22.11.1984).

37

38

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...




'P

7
- Orden de 26.7.1993 (Ministerio de Trabajo y Seguridad Social, BOE
5.8.1993).
Completada por:
- Orden de 7.1.1987 (Ministerio de Trabajo y Seguridad Social, BOE
15.1.1987).
- Orden de 22.12.1987 (Ministerio de Trabajo y Seguridad Social, BOE
29.12.1987).
- Resolucin de 20.2.1989 (Ministerio de Trabajo y Seguridad Social,
BOE 3.3.1989)
Real Decreto 665/1997 de 12.5. (Ministerio de la Presidencia, BOE
24.5.1997). Proteccin de los trabajadores contra los riesgos relacionados
con la exposicin a agentes cancergenos durante el trabajo.
'P
7
- Real Decreto 1124/2000, de 16.6. (Ministerio de la Presidencia, BOE
17.6.2000).
Orden de 9.4.1986 (Ministerio de Trabajo y Seguridad Social, BOE 6.5.1986).
Reglamento para la prevencin de riesgos y proteccin de la salud por la presencia de cloruro de vinilo monmero en el ambiente de trabajo.
Orden de 12.1.1963 (Ministerio de Trabajo, BOE 13.3.1963). Normas regla $
'
 4'


  ' '$/'
#$' )
'P
'

enfermedades profesionales.
Completada por:
- Orden de 15.12.1965 (Ministerio de Trabajo, BOE 17.1.1966).
Real Decreto 1995/1978 de 12.5. (Ministerio Trabajo, Sanidad y Seguridad
Social, BOE 25.8.1978). Cuadro de enfermedades profesionales.
'P
7
- Real Decreto 2821/1981 de 27.11. Ministerio Trabajo, Sanidad y Seguridad Social, BOE 1.12.1981).
Real Decreto 863/1985 de 2.4. (Ministerio de Industria y Energa, BOE 12.6.
1985, rect. 18.12.1985). Aprueba el reglamento general de normas bsicas de
seguridad minera.
'P
7
- Real Decreto 150/1996 de 2.2. (Ministerio de Industria y Energa, BOE
8.3.1996).
Completado por:
- Disposiciones que incluyen las Instrucciones Tcnicas Complementarias
ITC MIE, entre ellas:
* ITC 04.08.01: Condiciones ambientales de lucha contra el polvo;
publicada en la Orden 13.9.1985 (Ministerio de Industria y Energa,
BOE 18.9., rect. 23.11.1985).
* ITC 07.1.04: Condiciones ambientales; publicada en la Orden
16.10.1991 (Ministerio Industria y Comercio, BOE 30.10.1991).

Legislacin, estndares y normavas

Real Decreto 1389/1997 de 5.9. (Ministerio de Industria y Energa, BOE


7.10.1997). Aprueba las disposiciones mnimas destinadas a proteger la seguridad y salud de los trabajadores en las actividades mineras.
Real Decreto 783/2001 de 6.7. (Ministerio de la Presidencia, BOE 26.7.2001).
Aprueba el Reglamento sobre proteccin sanitaria contra radiaciones ionizantes.
Real Decreto 363/1995 de 10.3. (Ministerio de la Presidencia, BOE 5.6.1995).
(#
$&$'P
'$
 '

) 
'P
'/


y etiquetado de sustancias peligrosas.
'P
7
- Orden de 13.9.1995 (Ministerio de la Presidencia, BOE 19.9.1995).
- Anexo I.
- Orden de 21.2.1997 (Ministerio de la Presidencia, BOE 10.3.1997).
- Anexo I.
- Real Decreto 700/1998 de 24.4. (Ministerio de la Presidencia, BOE
8.5.1998).
- Orden de 30.6.1998 (Ministerio de la Presidencia, BOE 6.7.1998).
- Anexos I,III, V y VI.
- Orden de 11.9.1998 (Ministerio de la Presidencia, BOE 17.9.1998). Anexos I y VI.
- Orden de 8.1.1999 (Ministerio de la Presidencia, BOE 14.1.1999).
- Orden de 16.7.1999 (Ministerio de la Presidencia, BOE 27.7.1999). Anexos I y V.
- Orden de 5.10.2000 (Ministerio de la Presidencia, BOE 10.10.2000).
Prlogo, Anexos I, III, IV y VI.
- Orden de 5.4.2001 (Ministerio de la Presidencia, BOE 19.4.2001). Anexo
I, IV, V, VI y IX.
- Real Decreto 507/2001 de 11.5. (Ministerio de la Presidencia, BOE
12.5.2001).
Real Decreto 1078/1993 de 2.7. (Ministerio de Relaciones con las Cortes,
<W+==/ $D=DDD==XL(#
$& 
'P
'/

)$'quetado de preparados peligrosos.
Actualizado por:
- Orden de 20.2.1995 (Ministerio de la Presidencia, BOE 23.2, rect.
5.4.1995).
'P
7
- Real Decreto 363/1995 de 10.3. (Ministerio de la Presidencia, BOE
5.6.1995).
- Real Decreto 1425/1998 de 3.7. (Ministerio de la Presidencia, BOE
4.7.1998).
Real Decreto 485/1997 de 14.4. (Ministerio de Trabajo y Asuntos Sociales,
BOE 23.4.1997). Disposiciones mnimas en materia de sealizacin de seguridad y salud en el trabajo.

39

40

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...





Real Decreto 486/1997 de 14.4. (Ministerio de Trabajo y Asuntos Sociales,


BOE 23.4.1997). Disposiciones mnimas de seguridad y salud en los lugares
de trabajo.
Real Decreto 773/1997 de 30.5. (Ministerio de la Presidencia, BOE 12.6.,
rect. 18.7.1997). Disposiciones mnimas de seguridad y salud relativas a la
utilizacin por los trabajadores de equipos de proteccin individual.
Real Decreto 1254/1999 de 16.7. (Ministerio de la Presidencia, BOE 20.7
rect. 4.11.1999). Se aprueban medidas de control de los riesgos inherentes a
los accidentes graves en los que intervengan sustancias peligrosas.
Real Decreto 379/2001 de 6.4. (Ministerio de Ciencia y Tecnologa, BOE
10.5., rect. 19.10.2001). Aprueba el Reglamento de almacenamiento de productos qumicos y sus instrucciones tcnicas complementarias MIE-APQ-1,
MIE-APQ-2, MIE-APQ-3, MIE-APQ-4, MIE-APQ-5, MIE-APQ-6 y MIEAPQ-7.
Real Decreto 1435/1992 de 27.11. (Ministerio de Relaciones con las Cortes,
BOE 11.12.1992). Dicta las disposiciones de aplicacin de la Directiva del
Consejo 89/392/CEE, relativa a la aproximacin de las legislaciones de los
Estados miembros sobre mquinas.
Real Decreto 1215/1997 de 18.7. (Ministerio de la Presidencia, BOE 7.8.1997).
Se establecen las disposiciones mnimas de seguridad y salud para la utilizacin por los trabajadores de los equipos de trabajo.
Decreto 2413/1973 de 20.9. (Ministerio de Industria, BOE 9.10.1973). Reglamento electrotcnico de baja tensin.
'P
7
: WDXDD=??
3 'P

R <REBA
Real Decreto 1942/1993 de 5.11. (Ministerio de Industria y Energa, BOE,
14.12.1993, rect. 7.5.1994). Reglamento de instalaciones de proteccin contra incendios.
'P
7
- Orden de 16.4.1998 (Ministerio de Industria y Energa, BOE 28.4.1998).
Desarrollado por:
- Orden de 21.12.1999 (Ministerio de Industria, BOE 25.1.2000).
Real Decreto 400/1996 de 1.3. (Ministerio de Industria y Energa, BOE
8.4.1996). Dicta las disposiciones de aplicacin de la Directiva del Parlamento Europeo y del Consejo 94/9/CE, relativa a los aparatos y sistemas de
proteccin para uso en atmsferas potencialmente explosivas.
Real Decreto 786/2001 de 6.7. (Ministerio de Industria y Energa, BOE
30.7.2001). Reglamento de seguridad contra incendios en los establecimientos industriales.
Resolucin de 30.1.1991 (Ministerio del Interior, BOE 6.2., rect. 8.3.1991).
Publicacin del Acuerdo del Consejo de Ministros por el que se aprueba la
directriz bsica para la elaboracin y homologacin de los planes especiales
del sector qumico.

Legislacin, estndares y normavas

TABLAS
Legislacin y Normativa para Evaluacin de Riesgos
LISTA DE LEGISLACIN DE SEGURIDAD Y SALUD EN LA QUE SE DEFINEN
PROCEDIMIENTOS DE EVALUACIN
TTULO

DIRECTIVA

TRASPOSICIN

Lugares de Trabajo

89/654/CEE

RD 486/1997

Sealizacin

92/58/CEE

RD 485/1997

Construccin

92/57/CEE

RD 1627/1997

Canteras y minas

92/104/CEE

RD 1389/1997

Sondeos

92/91/CEE

RD 150/1996

Pesca

93/103/CEE

RD 1216/1997

Equipos de trabajo

89/655/CEE

RD 1215/1997

PVD

90/270/CEE

RD 488/1997

Agentes qumicos

98/24/CE

Pendiente trasposicin.

Valores lmite

91/322/CEE
96/94/CE

No exigible su trasposicin. Pendiente de trasposicin. Documento sobre


lmites de exposicin profesional para
agentes qumicos.

Plomo

82/605/CEE

OM 9.4.1986

Benceno

Convenio OIT 97/42/CE Resolucin M.T. BOE 11/3/77. Pendiente trasposicin.

Agentes cancergenos

90/394/CEE

RD 665/1997

Prohibicin agentes
especcos. Amianto

88/364/CEE

RD 88/1990

83/477/CEE
CEE

91/382/ OM31.10.84 O.M.7.11.84


OM 26.7.93

Cloruro de vinilo

78/610/CEE

OM 9.4.86

Ruido

86/188/CEE

RD 1316/1989

Radiaciones ionizantes 8 0 / 8 3 6 / E U R AT O M RD 53/1992


8 4 / 4 6 7 / E U R AT O M
9 0 / 6 4 1 / E U R AT O M x RD 413/1997Redmill (2001). A pa96/29/EURATOM
per on what is necessary for using
IEC 61508.
x HSE (1999). Health and Safety ExecuveZ Reducing RisAs- Protecng
People. Discussion Document- HSE
BooAs.

41

42

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

TTULO

DIRECTIVA

TRASPOSICIN
x Summers Angela and Zachary Bryan
^Improve Facility SIS Perfomance
and Reliability_ Sis-Tech. SoluonsHouston. Published Hydrocarbon
Processing- October 2002.
x Summers Angela. Ph D. ^High Integrity Protecve Systems for Reacve Processes_ Sis-Tech Soluons.
Published in Chemical ProcessingMarch 2004.
x C.E. Directrices para la evaluacin
de riesgos en el lugar de trabajo
(1996). uxemburgoZ O'cina de Publicaciones de las Comunidades Europeas .
x pez Muoz- +. (coord.) `y
otros (1994). kxito en la gestin
de la salud y de la seguridad.
I..S.H.7Z.1994.
x +ua Tcnica para la Evaluacin y
Prevencin de los Riesgos presentes en el lugar de trabajo relacionados con Agentes Qumicos. R.D.
3742001- de 6 de abril- BOE n{ 104de 1 de mayo. ISHT. ISB.Z 84 7425 - 560- 0.
Pendiente trasposicin

Agentes biolgicos

90/679/CEE 93/88/CEE
95/30/CE
97/59/CE
97/65/CE

RD 664/1997
OM de 25 de marzo 1988

Ulizacin EPI

89/656/CEE

RD 773/1997

Reglamento de acvidades molestas, insalubres, D 2414/61


nocivas y peligrosas
BOE 30/11/61
BOE 7/3/62
Manipulacin manual
de cargas

90/269/CEE

RD 487/1997

Legislacin, estndares y normavas

LISTA DE ALGUNAS NORMAS O GUAS APLICABLES A LA EVALUACIN DE


DISTINTOS TIPOS DE RIESGOS
MATERIA

TTULO

NORMA O GUA

Estrs trmico

Ambientes calurosos. Esmacin del estrs UNE-EN 27243


trmico del hombre en el trabajo basado
en el ndice WBGT (temperatura hmeda y
temperatura de globo).
Ambientes trmicos. Instrumentos y mto- UNE-EN 27726
dos de medida de los parmetros sicos.

Estrs trmico
por fro

Evaluacin de ambientes fros. Determina- UNE-EN ISO 11079


cin del aislamiento de la vesmenta requerido (IREQ).

Confort trmico

Ambientes trmicos moderados. Determi- UNE-EN ISO 7730


nacin de los ndices PMV y PPD y especicaciones de las condiciones para el bienestar trmico.

Vibraciones mano Vibraciones mecnicas. Directrices para la UNE-ENV 25349


brazo
medida y evaluacin de la exposicin humana a las vibraciones transmidas por la
mano.
Respuesta humana a las vibraciones. Instru- UNE-ENV 28041
mentos de medida.
Vibraciones cuerpo completo

Evaluacin de la exposicin del cuerpo hu- ISO 2631-1


mano a las vibraciones. Requisitos generales.
Respuesta humana a las vibraciones. Instru- UNE-ENV 28041
mentos de medida.

Campos electromagncos

Exposicin humana a campos electromag- UNE-ENV 50166-1


ncos de baja frecuencia (0 Hz a 10 Hz) y UNE-ENV 50166-2
alta frecuencia (10 Hz a 300 GHz).

Radiacin pca
(UV,visible,IR)

TLV ACGIH ICNIRP


Guidelines para
visible-IR, 1997 INIRC/
IRPA
Guidelines para UV
1991, conrmadas por
ICNIRP en 1996

Radiacin pca
lser

UNE-EN 60825-1/A11
ICNIRP Guidelines
1996

Ultrasonidos

TVL ACGIH

43

44

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

MATERIA

TTULO

NORMA O GUA

Recomendacin
para la valoracin
de la exposicin
a contaminantes
qumicos

Atmsferas en el lugar de trabajo. Directri- UNE-EN 689


ces para la evaluacin de la exposicin por
inhalacin de agentes qumicos para la comparacin con los valores lmites y estrategia
de la medicin.

Requisitos generales relavos al


funcionamiento
de los procedimientos para la
medicin de agentes qumicos

Atmsferas en el lugar de trabajo. Requisi- UNE-EN 482


tos generales relavos al funcionamiento de
los procedimientos para medicin de agentes qumicos.

}
~<  < 
]


^

^

http://www.cepis.org.pe/eswww/toxicolo/basesfac.html
En esta pgina se encuentran enlaces a varias bases de datos para la bsqueda de informacin de sustancias qumicas. Entre ellas: ATSDR (Agency
for Toxic Substance and Disease Registry), CCOHS (Canadian Centre for
Occupational Health and Safety), EXTOXNET (The Extension Toxicology
-$9L/+GK# '
G$ ' &'$
+$
N'L/
IARC (International Agency for Research on Cancer), ICSCs (Fichas inter
'
#'
3 '
LRW-+RKRO' #)*
$
-$9L
http://www.insht.es/portal/site/Insht/menuitem.a82abc159115c8090128ca10
060961ca/?vgnextoid=db2c46a815c83110VgnVCM100000dc0ca8c0RCRD
En esta pgina se encuentran todas las NTP citadas en las publicaciones del
INSHT.
http://www.msc.es/ciudadanos/saludAmbLaboral/prodQuimicos/home.htm
Informacin sobre productos qumicos del Ministerio de Sanidad, Servicios
Sociales e Igualdad.

CAPAS DE PROTECCIN EN INSTALACIONES DE


PROCESO

Carlos Javier Gasco Lallave

SUMARIO: Introduccin. Una primera aproximacin al concepto de riesgo. Ejemplo de


estrategia de seguridad funcional. Podemos minimizar el nmero de escenarios peligrosos
asociados a un proceso? j\ %j   j 
  %  
 /  >

 

  %
  %  %
 +} k%
  +} / %
 %
  ;j

% !
/ %
picas con funcin de mitigacin. Para no o
ar ono ro.

3.1. INTRODUCCIN. UNA PRIMERA APROXIMACIN AL


CONCEPTO DE RIESGO
Dnde est el riesgo?

Figura 3.1. Riesgo en todo lo que nos atrae.

^

^

Nos gusta surfear entre las olas, aun sabiendo que en ciertas zonas podemos
encontrar tiburones que pueden darnos un mordisco o incluso comernos; aun
as, aceptamos el riesgo pues la diversin nos compensa.
Conducir una moto a gran velocidad nos proporciona una sensacin que muchos encuentran apasionante, sin embargo la probabilidad de caer, lesionarse,
e incluso morir es muy considerable.

46

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

^

Divertido tambin es jugar un partido de ftbol, tenis o cualquier deporte,


ms o menos extremo, aunque muchas veces volvemos a casa con alguna que
otra magulladura

As podramos seguir con innumerables ejemplos, pero seguro que a estas alturas
se entiende ya el concepto. Pongamos uno ms:
^

En la fabricacin de productos qumicos se corre el riesgo de sufrir un incendio, explosin o escape txico. Pero todo avance tecnolgico requiere de
procesos qumicos y por tanto de unidades de proceso.

Reduciendo el riesgo

Figura 3.2. Riesgo donde uno menos se lo espera.

Dos frases interesantes:





El riesgo no siempre est donde se espera que est y


Las buenas cosas ocurren siempre de forma planeada, sin embargo las malas ocurren por s mismas

Viajar en avin es mucho ms seguro que ir en coche, sin embargo no lo creeramos de no ser por las estadsticas, ya que tenemos muy presente las consecuencias de
un posible accidente. Por ello, al embarcar, solemos acordarnos de ellas
* '  /)

 P

 '$
$
 '
basada en datos, debemos

P$'

 
'$



'
)8 ''&
tros procesos qumicos, a menudo de gran complejidad.

Capas de proteccin en instalaciones de proceso

En el mundo empresarial, para mantenerse en un mercado de continua competencia, las empresas deben comprometer y balancear sus tres pilares fundamentales:
1. Crecimiento de Negocio.
2.   $<P '
3. Gestin del Riesgo.
En cuanto al tercero, que es el que nos atae, la empresa debe comprender sus
riesgos, y el esfuerzo necesario para desarrollar esta comprensin depender de:
^
^

la cantidad de informacin que posee la organizacin sobre potenciales incidentes y



 ' $
 '
  P
 3 P 
  '
  
 #
'
'
para una mejor informacin sobre sus riesgos.

En cualquier caso, los responsables en esta disciplina primero deben utilizar su


experiencia e intuicin para comprender el riesgo al que sus organizaciones se enfrentan en la operacin de una instalacin:
ENTENDER EL RIESGO

j\% < <  

j\%j 

Cules son las consecuencias?

Depender de la propia organizacin, de su experiencia, competencia, conocimiento y rigurosidad en la aplicacin de los procesos de trabajo y operacin, que
esta bsqueda de entender el riesgo requiera de herramientas sencillas de evaluacin
y gestin del riesgo o de tcnicas analticas ms complejas, a menudo basadas en
evaluacin de la prediccin del riesgo e importancia de las consecuencias.
Nota: de estas tcnicas hablaremos en profundidad en el Captulo 6.
Entendido el concepto de riesgo, pasemos a buscar soluciones.
Lo primero que tenemos que hacer es entender de qu recursos disponemos y
cmo aplicar la tecnologa para proteger nuestras instalaciones y, por supuesto, nuestra gente
Instrumentacin:
 Control bsico
 Sistemas de seguridad
Procedimientos:
 Crco
 Emergencia
Disposivos mecnicos:
 Disposivos de alivio
 Sistemas de proteccin contra explosiones
 ...
 ...

FUNCIONES
PROTECTIVAS

47

48

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

y el momento adecuado para ejecutar estas funciones.


Decidir cmo interactan estas funciones se denomina Estrategia de Seguridad
Funcional.
Veamos un ejemplo en el siguiente punto.

3.2. EJEMPLO DE ESTRATEGIA DE SEGURIDAD FUNCIONAL


Idealmente un proceso es controlado mediante un sistema bsico de control (BPCS,
DCS) que lo mantiene dentro de un intervalo de operacin segura.
Si existe una causa que desestabilice el sistema y la variable de proceso se descontrola superando los Set Points (o puntos de consigna) se disparar una Alarma. El
Operador actuar en consecuencia y devolver el sistema a su estado de equilibrio
y operacin normal.
Por diferentes motivos (tiempo de respuesta, mala ejecucin) puede que el
Operador no sea capaz de llevar el sistema a su posicin segura, por lo que entra en
accin una funcin protectiva del Sistema de Control. El lazo acta de la siguiente
manera: los sensores detectan la condicin insegura en el proceso y envan la seal a
travs del transmisor de forma electrnica (analgica o digital) al sistema de control,
quien realiza una serie de operaciones programadas en concordancia con la funcin
protectiva diseada (comparando el valor medido con el set point establecido) y en


8 $8P
8
K
 $
/ $
bombas, compresores, etc.) para su actuacin.
Sin embargo esta funcin protectiva tambin puede fallar, por lo que acta ahora
el sistema instrumentado de seguridad (SIS). Del mismo modo que el BPCS del
paso anterior, su funcin protectiva se ejecutar a travs de un lazo instrumentado.
6'$'
4O'$/P
 $

$
dispositivo de alivio de presin,
en caso que estemos considerando un escenario de sobrepresin, previniendo el peligro, pero produciendo una prdida de contencin primaria (loss of primary containment) traducindose en un derrame de producto, emisin de producto a atmsfera,
retorno a proceso, o envo a antorcha
Otras medidas para minimizar las consecuencias del escenario pueden ser planes
de emergencia adecuados que protejan las personas, las instalaciones y el medio
ambiente.
En la Figura 3.3 podemos ilustrar este ejemplo de la siguiente manera:

Capas de proteccin en instalaciones de proceso

Figura 3.3. Ejemplo estrategia funcional, actuacin de protecciones.

Estamos introduciendo conceptos que empiezan a sonarnos: alarmas, operador


BPCS o DCS, SIS Pero profundicemos un poco ms.

3.3. PODEMOS MINIMIZAR EL NMERO DE ESCENARIOS PELIGROSOS


ASOCIADOS A UN PROCESO?
Antes de pasar a pensar en cmo protegernos frente a un escenario de peligro considerando una Estrategia de Seguridad Funcional, Salvaguardias, IPL, tal y como
veremos a continuacin en este captulo, tengamos en cuenta que lo primero es minimizar al mximo la generacin de posibles escenarios de riesgo. Cmo?
3.3.1. SEGURIDAD INHERENTE AL DISEO
El requisito principal de un proceso industrial es que el mismo sea seguro. Para ello
se ha de contar con estndares de diseo y procedimientos de trabajo exigentes buscando siempre la simplicidad sin comprometer la calidad. Muchas veces la opcin
ms segura es la ms sencilla, lo que conlleva tambin una reduccin de costes.
En un diseo enfocado hacia la seguridad se suelen tener en consideracin los
siguientes aspectos sobre la instalacin:
^
^
^
^


 
'P
')'$'& '
 
Instalaciones de almacenaje.
Instalaciones de produccin.
Depsitos de sustancias peligrosas.

49

50

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

^
^
^
^
^

Fluidos calientes/fros.
Instalaciones elctricas.
Fluidos auxiliares.

'P
'reas peligrosas (Atex).
Estructura organizativa y futuro uso de la instalacin.

Lgicamente los responsables principales en esta capa son los diferentes ingenieros pertenecientes a las distintas disciplinas, Tuberas, Instrumentacin, Electricidad,
Equipos Mecnicos y Rotativos, Civil, Procesos, y por supuesto los responsables
de coordinar las mismas y la gestin del capital, a saber, ingenieros de proyecto y
directores.
Los sectores de aplicacin competen a diferentes mbitos de la industria: qumicos, petroqumicos, farmacuticos, alimentarios, cementeros, ciclos combinados,
etc.
Organizaciones de renombre disponen de herramientas que ayudan en el diseo
de una instalacin, suelen funcionar a base de procesos de trabajo establecidos y
guas de diseo, estndares propios (basados siempre en reglamentacin y normativa exterior, de ellas hemos hablado en el captulo anterior) y a veces cuentan con
metodologas externas que ayudan a eliminar o minimizar los errores o defectos en
tales procesos, a base de reducir la variabilidad. Tal es el caso de la metodologa Six
Sigma.
3.3.2. OPERACIN DE LA INSTALACIN
En la rutina de la operacin de una planta encontramos variedad de actuaciones no
automatizadas que requieren de una gestin importante de recursos, tiempo y, por
supuesto, seguridad. Una ejecucin manual siguiendo un protocolo a travs de un
procedimiento que cumple una serie de caractersticas, como su confeccin por un
equipo de expertos en el proceso, revisin peridica y contemplacin de alternativas
de seguridad, margen temporal, ayuda instrumentada etc., puede incrementar considerablemente la seguridad del proceso.
Algunos ejemplos de actuaciones de este tipo pueden ser las siguientes:
^
^
^

^

Una disciplina operativa que asegure una disponibilidad mnima de espacio


en un tanque de almacenaje antes de la descarga de producto al mismo.
Un mantenimiento y limpieza exhaustivos que prevenga la creacin de polvos explosivos residuales.
Una entrega a operaciones (RTO, del ingls Return to Operations) de una
instalacin que ha pasado por tareas de mantenimiento basadas en procedimientos y listas de chequeo que prevengan posibles fugas y derrames.
Una poltica de restriccin de acceso a reas con posibles peligros, etc.

Capas de proteccin en instalaciones de proceso

3.4. QU PUEDE INICIAR UN ESCENARIO PELIGROSO?


Es importante conocer los escenarios peligrosos asociados a un proceso, para ello
debemos hacer un estudio en profundidad de las consecuencias de que se produzca y
las causas que lo pueden generar, puesto que para un mismo escenario pueden existir
diferentes causas o elementos iniciadores. Entendamos qu son:
3.4.1. ELEMENTO INICIADOR
Cuando hacemos un estudio (por ejemplo usando LOPA) de un determinado escenario peligroso debemos seleccionar la/s causa/s que lo producen y su frecuencia,
normalmente expresada en nmero de eventos por ao.
$
  '
/)

' 'P
  
$ $' /
'#

un factor equivalente mediante una trasposicin logartmica. De tal forma, encontramos referencias como la de la Tabla 3.1, en la que se asignan diferentes factores a
diferentes tipos de posibles elementos iniciadores.
Tabla 3.1. Frecuencia de los elementos iniciadores.

FRECUENCIA DEL E.I.


(AOS)

FACTOR

Fallo de lazo de control BPCS

1.E-01

Fallo de sensor BPCS

1.E-01

Fallo de logic solver BPCS

1.E-02

Fallo de vlvula de control

1.E-01

Fallo de regulador de aire

1.E-01

Fallo en la accin del operador (>1 vez cada


3 meses)

1.E-01

Fallo en la accin del operador (=<1vez cada


3 meses)

1.E-02

Prdida de caudal por ruptura de bomba

1.E-01

Ruptura de sello mecnico de bomba (nico)

1.E-01

Ruptura de sello mecnico de bomba (doble


y con alarma de fallo)

1.E-02

Fallo de agua de refrigeracin

1.E-01

Fallo elctrico, prdida de suministro

1.E-01

Fallo de servicios generales

1.E-01

Rayo elctrico como EI

1.E-03

ELEMENTO INICIADOR

51

52

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

FRECUENCIA DEL E.I.


(AOS)

FACTOR

Fallo en manguera en operacin de carga o


descarga

1.E-01

Fuga en tubera - <100 m

1.E-03

Fuga en tubera - >100 m

1.E-02

Fallo en juntas de expansin

1.E-02

Fuga en intercambiador <100 tubes

1.E-02

Fuga en intercambiador >100 tubes

1.E-01

ELEMENTO INICIADOR

Un elemento iniciador es por tanto cualquier fallo de equipo, control de proceso,


o intervencin humana que inicia la secuencia de eventos que lleva a generar el escenario de peligro.
En un estudio LOPA deben considerarse de forma independiente, uno a uno. Mltiples EI simultneos o secuenciales deben ser tratados con alguna otra herramienta
de evaluacin de riesgos (por ejemplo FTA).
# $'' '
 'P

$
''$
res o de exposicin (por ejemplo, la consideracin de atmsferas pobres en O2 en
escenarios de explosin, o que ese escenario pueda generarse nicamente en determinadas condiciones de operacin, pueden hacer que la frecuencia de ocurrencia del
E.I. para ese escenario se decremente).
P
/$$'
'#
'

$ 'KWGL&  plirse que el factor del E.I. sumado a los crditos IPL ms los factores facilitadores
de exposicin deben igualar o superar el factor de seguridad (process safety target
level) asociado al escenario peligroso y sus consecuencias:
}*k
   +     
K%
/ \
+}
3.4.2. SALVAGUARDIAS
j\
j * ! j    \
Safeguard)
N


#
'
Q $

 '$ '
$
4
9
/
$9

$
' 

K '
$ ' '$ $'
#$'L
+$
 '$ '&P
/ '/

 '

probabilidad de que se produzca el escenario de riesgo o sus consecuencias.
Cuando nos planteamos una Estrategia de Seguridad Funcional, entendida como
se ha explicado anteriormente, hemos de pensar en las Salvaguardias para afrontar
los diferentes escenarios de peligro. Veamos qu deben cumplir Estas para poder

Capas de proteccin en instalaciones de proceso

denominarse capa de proteccin independiente (del ingls IPL, independent protection layer):

3.5 CARACTERSTICAS DE LAS CAPAS DE PROTECCIN


INDEPENDIENTES (IPL)
Denicin por IEC-61511: Un mecanismo independiente que reduce el riesgo a
travs del control, prevencin o mitigacin
Nota: Podra ser un mecanismo de ingeniera de procesos (como el tamao de los recipientes que contienen productos qumicos peligrosos), un mecanismo de ingeniera mecnica
(como una vlvula de alivio), un sistema instrumentado de seguridad o un procedimiento
administrativo (como un plan de emergencia). Estas respuestas pueden ser automatizadas o
iniciadas por la accin humana).

Formalmente fue el CCPS/AIChE en 1993 quien introdujo, como buena prctica


de ingeniera, y a travs de su Guidelines for Safe Automation of Chemical Processes, el concepto de capa de proteccin y su uso para evitar la ocurrencia/reducir la
&
&''
$'#'$'P

Para que una salvaguardia pueda denominarse capa de proteccin independiente
deber cumplir las siguientes caractersticas:


^

Especicidad: una IPL se disea exclusivamente para prevenir o atenuar las


consecuencias de un escenario potencialmente peligroso (por ejemplo, una
reaccin de embalamiento, escape de producto txico, una prdida de contencin, o un incendio). Sin embargo varias causas (elementos iniciadores)
pueden conducir al mismo escenario peligroso, y por tanto, cada una de ellas
debe considerarse al disear una IPL.
Independencia: una IPL debe ser fsica y funcionalmente independiente de
las otras IPLs consideradas para el mismo escenario (y misma causa/elemento iniciador). La actuacin de una de ellas, o su fallo, no debe comprometer
al funcionamiento de las otras.
Algebraicamente: dados dos eventos A y B, sern independientes si:
: 
&
&''
 'P

  '
<)' 

[P(A|B) = P(A) y P(B|A) = P(B)].
- La probabilidad de que ocurran los dos al mismo tiempo es igual al pro $&
&''
''$7GK<LGKLGK<L
Seguridad de funcionamiento/ecacia: se puede contar con ella para que
haga lo que est diseada para hacer. En el diseo se han considerado tanto
fallos aleatorios como sistemticos.
: 6P '$ $U'$'#$VK'#4Smart) capaz de detectar la
condicin insegura.

53

54

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

:

6P '$ $&$


capaz de parar la secuencia de eventos que
nos llevan al escenario peligroso.
: 6P '$ $('
 capaz de parar la secuencia de eventos antes
de que se llegue al escenario peligroso.
Aptitud para ser auditada: est diseada para facilitar la validacin de las
funciones protectoras sin perder su capacidad de proteccin mediante:
- Pruebas peridicas, inspecciones, mantenimiento preventivo
- Documentacin de registros guardada de forma segura pero fcil de localizar.
- Demostrar funcionalidad en cualquier momento.

Adems, es importante considerar tambin durante el diseo de las IPL un Balance entre:






Seguridad (capacidad de llevar el proceso a su estado seguro cuando se le


demande).
Fiabilidad (capacidad de ejecutar la funcin protectiva cuando es necesario).
Coste (capacidad de ahorrar en capital/mantenimiento/pruebas).
Minimizar la complejidad (un sistema sencillo por lo general mejora los puntos anteriores).
Maximizar la diversidad (reduciendo las causas comunes que hacen fallar
mltiples funciones protectivas).

3.6 TIPOS DE IPL


Hemos visto anteriormente que la primera lnea de defensa es minimizar la probabilidad de que se produzca un escenario peligroso a travs de un diseo riguroso y
una operacin estricta que deben cumplir una serie de requisitos. En ambos casos la
misin es minimizar la frecuencia (o anularla) de la causa (elemento iniciador) que
genera el escenario.
Sin embargo, una vez iniciada la causa que genera el escenario de peligro, tendre 3
G  ' P
7
1. Protectivas: estas IPL en juego una vez se ha producido el elemento iniciador
del escenario peligroso (por ejemplo un fallo en una vlvula de control de
nivel) y las condiciones de proceso se han vuelto anormales o estn fuera de
control, pero actan antes de que la cadena de eventos termine en el escenario
peligroso, y por tanto evitndolo (el tanque se presuriza por sobrellenado y
$
L+$
'])
  '
  '

elemento iniciador, pero s en la probabilidad de que se termine generando el
escenario de peligro.
2. Mitigantes: su misin es reducir la gravedad de las consecuencias una vez
producido el escenario peligroso, teniendo en cuenta la seguridad de las personas, las prdidas econmicas y afectacin del medio ambiente.

Capas de proteccin en instalaciones de proceso

Dnde actan?

Figura 3.4. Actuacin de las capas de proteccin.

 /< 
j  
P
$ 
 '$ G   $
  
 

 P#
  

Cebolla. La misma tiene diferentes interpretaciones, pero bsicamente la idea es la
que se expone en la Figura 3.5.

Figura 3.5. La Cebolla de la seguridad.

Existen diferentes herramientas para determinar la necesidad de implementar IPL


para un escenario peligroso dado. Aunque el anlisis de las IPL se detallar en el
Captulo 7, Metodologas para la determinacin del SIL, daremos aqu unas breves
indicaciones en cuanto a:


Asignacin de funciones de seguridad a las IPL

Cuando se estudia un escenario peligroso hay que tener en cuenta las posibles IPL de
las que dispondremos, su factor de reduccin de riesgo (asociado a la probabilidad

55

56

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

de fallo en demanda o tambin a su integridad) y cul es la reduccin de riesgo total


que queremos conseguir. Ello determinar el SIL de la IPL SIS en caso de ser necesaria (normalmente la IPL SIS es la ltima proteccin que consideraremos debido a
su gran cantidad de requerimientos).


Reduccin del factor de riesgo (RRF)

Para cada escenario de peligro se debe contemplar un cierto riesgo tolerable (ojo, el
riesgo cero no existe!) teniendo en cuenta la frecuencia de las causas que lo producen
y tambin las consecuencias de que se genere. A este riesgo que aceptamos se le asigna un factor de seguridad (process safety target level), y segn vayamos aadiendo
protecciones, con sus factores de reduccin de riesgo, iremos acercndonos a este

$#'

$



'#$
& 'P


 
'
de peligro en concreto.
Entre los factores importantes en la evaluacin del riesgo tolerable estn la percepcin y opiniones de los que pueden verse expuestos al escenario peligroso, y en
cualquier caso se debern tener en cuenta factores como:
:


Directrices de las autoridades reguladoras pertinentes.


Los debates y acuerdos con las distintas partes involucradas en la aplicacin.
Estndares de la industria y directrices.
+O' '

'$'
/ QO$) '$P 
Requisitos legales y reglamentarios.

Algunos valores referenciados en ISA-84.00.01 de factores de reduccin de


riesgo (y probabilidad de fallo en demanda PFD equivalente) asociados a
IPL con Funciones protectivas y de mitigacin (Tabla 3.2)

Tabla 3.2. Algunos RRF de IPL (ANSI/ISA-84.00.01-2004 Part (IEC 61511-3) Mod)-Annex F).

IPL
Lazo de control

PFD

RRF
0.1

Hasta 10

Rendimiento humano
(entrenado, sin
estrs)

de 0.01 a 0.0001

Rendimiento humano
(bajo estrs)

de 0.5 a 1

Hasta 5

0.1

Hasta 10

Respuesta del
operador a alarma

Tanque dimensionado
0.0001
para presin y vaco
o mejor si se manene la integridad del
tanque (por ejemplo anlisis de corrosin,
inspeccin y reparacin)

De 100 a 10.000

10.000 o ms

Capas de proteccin en instalaciones de proceso

3.7. CAPAS TPICAS CON FUNCIONES PROTECTIVAS


3.7.1. SISTEMAS DE CONTROL DE PROCESOS (BPCS/DCS)
Tpica capa protectiva. Controla la instalacin para una optimizacin del uso de los
 &$'&/  
  ' )
'
   $ P
 + <G 6 K '#4
basic process control system) mantiene dentro de los mrgenes de seguridad las variables de proceso como presin, temperatura, nivel o caudal. Entindase que sern
aquellas funciones protectivas de este sistema las que protegern al proceso en una
situacin de peligro, de ah que se denomine a la porcin de estos sistemas dedicados
a proteger como BPCPS (basic process control protective system).
Podemos distinguir dos situaciones diferentes de control de estos BPCS, cada una
con su propio propsito y caractersticas:
1. Controlador continuo (por ejemplo, el controlador de proceso que regula un
caudal, una temperatura o presin a un valor de consigna (set-point) introducida por el operador que genera un feedback continuo del comportamiento
del proceso.
2. Controlador de estado (por ejemplo, el controlador de proceso que toma medidas del mismo y ejecuta cambios on-off a indicaciones de alarma y vlvulas de
proceso) que monitoriza las condiciones del proceso y solamente toma accin
de control cuando valores de disparo preasignados se alcanzan. Un fallo en este
tipo de controlador puede no ser detectado hasta que se realice un proof test.
El BPCS es por tanto el sistema de control que monitoriza y controla en continuo
el proceso en el da a da de la operacin de planta y podemos considerar tres funciones de seguridad diferentes asociadas a l que pueden considerarse IPL:
1. Accin de control continua que mantiene el proceso dentro de las condiciones normales de operacin, establecidas por los diferentes set-points, de esta
manera acta contra la progresin de una situacin anormal del proceso que
genere un iniciador de escenario peligroso.
2. Accin de control de estado3'$'P



 )
de informacin al operador (por ejemplo una situacin de alto nivel en un
tanque) para que este tome accin usando un procedimiento y teniendo en
cuenta los requerimientos necesarios para tomar crdito de seguridad (tiempo
de respuesta, fatiga y estrs en la operacin)
Nota: en este ejemplo, si esta actuacin del operador se debe a la respuesta
de una alarma, entenderamos esta capa de proteccin como la explicada en
el punto 3.7.2.
3. Accin de control de estado que ante una anomala del proceso toma accin
automtica con la intencin de llevarlo a sus condiciones normales de operacin. Esta accin normalmente resulta en una parada de proceso, llevndolo
a su estado seguro.

57

58

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

El BPCPS es una IPL relativamente dbil ya que normalmente:


^
^
^
^
^

Tiene poca redundancia en sus componentes.


Su instalacin y conexionado a proceso suele disearse con poco rigor.
En su diseo no suelen contemplarse opciones de testeo.
Tiene limitada seguridad contra cambios no autorizados en la lgica de programacin interna.
Tiene alta probabilidad de afectacin ante error humano.

Segn la IEC 61511 (seccin 9.4.2) se permite un crdito IPL (equivalente a un


factor de reduccin de riesgo (FRR) de hasta 10, o una PFD de 0.1, por escenario
(y causa que lo genera) aunque se acepta un mximo de dos crditos IPL (BPCPS
Accin de Control + BPCPS Alarma y respuesta Operador) si se usan diferentes
logic solvers (controladores).
 
$P
/
&
#
'
' $ 


conocer bien los mismos y la estructura organizativa del sistema de control y sus responsables. Tambin ayudar conocer y distinguir los sistemas de gestin de activos


$
/'$
'P
'/'#'
) '$'
'
3.7.2. SISTEMAS DE ALARMAS
'$



&$
 P#
$

3$ $
 ' ''#
 P '$$'   

#

$'
3
 
acciones correctoras antes de que se alcancen las condiciones de peligro.
Como hemos mencionado al hablar de las caractersticas de las IPL, se acenta
en esta la necesidad de simplicidad. Es comn encontrar salas de control abarrotadas
de alarmas sonando a la vez, a las cuales no se les presta atencin pues han pasado a
ser cotidianas o han perdido veracidad y se les resta importancia. Esto ha generado

'$
' $'
 P

'$

Por tanto es fundamental una buena poltica de gestin de alarmas en planta, la
cual deben conocer todos los operadores y debe ser desarrollada junto con su input.
Debe recoger adems, la manera en que el sistema se mantendr, controlar y calibrar.
A pesar de todo, estudios recientes demuestran que, durante una situacin de
emergencia en la que hay que tomar decisiones en un tiempo muy breve, recurrir
a las personas es lo ltimo que se debe hacer independientemente de la formacin
recibida.
El ser humano introduce un factor de error elevado an hoy, en el clculo de la
probabilidad de fallo en demanda de un sistema de seguridad en el que participa.
Nota: los datos que indicamos a continuacin no han de tomarse como generalidades sino como referencias que entidades de renombre en el mbito qumicoindustrial aplican en sus anlisis LOPA.

Capas de proteccin en instalaciones de proceso

Para poder dar un crdito IPL a esta proteccin (RRF hasta 10, o PFD de 0.1) es
necesario tener en cuenta una serie de requisitos:
^

^

^

^

El operador debe tomar accin siguiendo un procedimiento escrito, que debe


estar fcilmente accesible y debe contener toda la informacin relevante para


 
$
#
P '$)'' '
otros peligros.
El operador debe estar entrenado en el reconocimiento de este tipo de alarmas, que, a su vez, deben diferir (en seal acstica o luminosa) a las normales
generadas por otras circunstancias no asociadas a escenarios de riesgo.
+
&$P '$$' 

$/) #'
el problema antes de que se llegue a una situacin peligrosa. Est establecido
que un ser humano tarda una media de 15 minutos para que su decisin alcan =EP
&''
/ 

$

&$
$'$
El tiempo de respuesta total, desde que se genera la condicin de alarma,
hasta que el operador consigue llevar al proceso a su estado seguro, debe
estar siempre dentro de los mrgenes de seguridad respecto del tiempo de
seguridad de proceso (process safety time) siendo este el tiempo desde que se
produce la condicin insegura en el proceso hasta que la sucesin de eventos
que llevan al escenario de peligro no puede pararse.

En algunos casos podemos dar dos crditos IPL (RRF hasta 100 y PFD de 0.01)
si se cumplen requisitos como:
^

^

^

^

El process safety time del escenario permite disponer de al menos 24 horas


para que el operador lleve al proceso a su estado seguro desde que se genera
la condicin de alarma, y al menos dos personas estn involucradas en resolver el problema.

G*3#




P '$ $&
Q
  
para asegurar su correcto funcionamiento. Para ello las consideraciones del
diseo y la instalacin de los mismos deben asemejarse a los de un SIS, o
tener redundancia fsica en las alarmas (dos sensores diferentes generan dos
alarmas iguales).



 
$
 &     P '$ $ '#
 ) P
&
como para alcanzar una integridad similar a un SIL2 (por ejemplo usando dos
vlvulas independientes que sean capaces de parar el proceso por si mismas).

P
&''

 ''
DH '$$
& '  
tiempo mnimo de respuesta alcanza, por mtodos analizados con rigor, el 99%.

Otra consideracin importante a tener en cuenta es que cuando un operador toma


ms de una accin, se debe asegurar la independencia entre estas acciones, lo cual
implica separacin temporal, espacial, etc. Puede llegar a ser necesario el uso de herramientas de clculo ms complejas (FTA por ejemplo) para documentar la validez
de dichas acciones para un mismo operador.

59

60

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

3.7.3. SISTEMAS INSTRUMENTADOS DE SEGURIDAD (SIS)


Un SIS (del ingls safety instrumented system) es un sistema instrumentado formado
por sensores, logic solver) $P
/

$ $

 ' ''gura en un proceso y llevarlo, de forma completamente automtica, a su posicin de
seguridad, previniendo el escenario de peligro para el cual fue diseado como una
de las capas de proteccin.
Histricamente se ha conocido como sistema de parada de emergencia (ESD),
sistema de enclavamientos, sistema de disparos de emergencia, etc. Sin embargo,

'$
$'

'

 $'$

'P
$4 '
SIS requiriendo de l que cumpla con las exigencias actuales de seguridad funcional.
El SIS constituye la ltima capa de seguridad protectiva. Su correcto diseo, instalacin, operacin, pruebas y mantenimiento; actividades que componen su ciclo
de vida y competen adems su integridad, son la garanta de su adecuado funcionamiento cuando, bajo demanda, se le requiere actuar.
El SIS es un sistema crtico, por tanto es fundamental que las empresas de pro 
3'
   'P   ' '$ 

$'
'#$
relacionadas con los mismos (descritas en el captulo anterior).
Debe ser diseado para cumplir con los requerimientos funcionales (SIF) y los
3' '$'$#'
K6LP'
$
$#'
#'
 '

Esto afecta directamente a decisiones de diseo (que trataremos en profundidad a lo
largo de este libro) como:
^
^
^


 P#
'K' /&$'L
La lgica de seleccin de seal que se utilizar (1oo1, 1oo2, 2oo2, 2oo3).
El tipo de logic solver (plataforma PLC o BPCS con controladores de alta
integridad)

 P#
' $P
K' 
$L
Las frecuencia de testeo de sus componentes.
La capacidad de autodiagnstico de los componentes.
Los requerimientos de tolerancia a fallo de componente (HFT).
La diversidad en la tecnologa para evitar modos de fallo comn, etc.

^
^
^
^
^

La relacin entre Factor de Reduccin de Riesgo, Crdito IPL, PFD y SIL para
esta IPL SIS se muestra en la Tabla 3.3.
Tabla 3.3. Relacin PDF/RRF/SIL para SIS.
SIL

/ \+}

PFD

FRR

de 0.1 a 0.01

de 10

De 0.01 a 0.001

de 100 a 1.000

De 0.001 a 0.0001

de 1.000 a 10.000

Capas de proteccin en instalaciones de proceso

3.7.4. SIS VS BPCPS


Las diferencias fundamentales son:
^

SIS no permite actuacin humana y BPCPS s.

^

Cualquier persona que pueda estar en contacto con un SIS, en cualquier fase
de su ciclo de vida (diseo, instalacin, operacin, mantenimiento, demo' 'L&$
&'
$$

) 
'P


Nota: N


   $
 $
 
'P
' 
 $
4  
 $'P
'
/ '
$$'
''$
'$



/

3

  
J
'& '



 
'P


tcnicos, para que sean competentes en la materia.

^

^

SIS requiere de una documentacin (diseo, operacin y mantenimiento)


   O$
 K+ 'P
'  6#'
/ (#'$ S'P
cin, Comisionado y Validacin de los lazos, Procedimientos Operacionales
y de Mantenimiento) y complicada que BPCPS.
N66
 )P
&/&
$
 

)$
$
exige un esfuerzo extra en mantenimiento.

En una instalacin industrial encontraremos, por lo mencionado anteriormente


mayor nmero de instrumentos dedicados a BPCPS que a SIS.

3.8. CAPAS TPICAS CON FUNCIN DE MITIGACIN


3.8.1. DISPOSITIVOS MECNICOS DE ALIVIO DE PRESIN
Los dispositivos de alivio de presin son elementos de seguridad utilizados en cualquier recipiente (tanques, depsitos, intercambiadores de calor, bombas, compresores, etc.) que contenga gases o lquidos a presiones mayores a la atmosfrica, que
evitan que el recipiente sufra roturas, con el consiguiente peligro que esto puede
implicar, ante elevaciones excesivas de presin, generalmente debido a una falla en
el proceso.
 $T
'&
]'K3'#
L3 ' 



3'
protegido, ya sea a la atmsfera o a un recipiente colector especialmente diseado
para tal funcin.
 #
#
''$'&
$
/
/ '$'

'
]'do del recipiente, a una presin inferior a la de falla del recipiente. Tambin deben
 '$'

Q

]'$
3
# ' '
$
la presin en el recipiente en cualquier condicin de funcionamiento del sistema
de que se trate.

61

62

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Los dispositivos ms empleados en la industria para el alivio de presin son las


vlvulas de seguridad (PSV del ingls pressure safety valve) y los discos de ruptura (PRD del ingls pressure rupture disk), que son los que suelen tomar crdito
como capa de proteccin, y estn sujetos a reglamentacin, aunque adems existen
'P'
''$'  '' '

'
'$
  

cenamiento a baja presin, proteccin de explosiones o subidas bruscas de presin
hidrulica en tuberas de gran longitud. Estos pueden ser: venteos atmosfricos, vlvulas de respiracin para presin y vaco, venteos de emergencia (caso de incendio),
cubiertas dbiles como techo para tanques, sellado con lquido para recipientes a
baja presin, puertas o paneles de explosin, husillos de ruptura, o dispositivos de
alivio de vaco (Figuras 3.6 a 3.8).
Para que un dispositivo de alivio de presin pueda tomar crdito como IPL debe
estar debidamente diseado y tarado a aquella presin capaz de prevenir el escenario
de peligro, adems de mantenido adecuadamente e inspeccionado peridicamente.
Tambin debe cumplir con la reglamentacin vigente a efectos de integridad mecnica.

1. Boca de salida lateral.


2. Caperuza.
3. Sombrerete o bonete.
4. Tornillo de ajuste.
5. R
PQ
'
Q$
6. Palanca de apertura manual.
7. Resorte.
8. Husillo o vstago.
9. Cuerpo.
10. Placa del extremo del resorte.
11. Disco de cierre de la vlvula.
12. R'PQ
'
'
ajuste.
13. Anillo de ajuste del escape.
14. Elemento de guiado en parte inferior.
15. Asiento.
16. Conexin roscada al recipiente.

Figura 3.6. Vlvula de seguridad de accin o presin directa.

Capas de proteccin en instalaciones de proceso

Figura 3.7. Disco de ruptura abovedado convencional.

Figura 3.8. Combinaciones picas de vlvulas de seguridad y discos de ruptura.

Si un dispositivo de este tipo descarga a atmsfera creando un peligro secundario (ya sea a personas, a equipos o al medio ambiente), este nuevo peligro debe ser
considerado un escenario aparte y analizado debidamente. En este caso no podemos dar crdito a esta proteccin a menos que exista un sistema de tratamiento de
]$
 $'
'
 
# Q P#
'$''$'
para que puedan ser IPL sefectivas:

63

64

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

$
%
!

 
^
^

^

^

Dos dispositivos de alivio de presin en serie sin deteccin de presin entre


$'P '$'$#'





 4'$G
Dos dispositivos de alivio de presin en serie con deteccin de presin y
generacin de alarma, puede alcanzar dos crditos IPL (FRR de hasta 100 y
PFD de 0.01) si es debidamente mantenido e inspeccionado peridicamente.
Dos dispositivos de alivio de presin en serie con una PSV pequea entre
ellos, puede alcanzar dos crditos IPL siempre y cuando no se vea afectado
el medio ambiente por su disparo y se mantenga e inspeccione debidamente.
*''$'
'''' $ ''Pciente (no alcanza la integridad de un elemento BPCPS, FRR de 10) puede
alcanzar, como mximo, un crdito IPL (FRR de hasta 10, PFD de 0.1).


&j 

^
^

^

Sistema nico compuesto por un nico dispositivo: puede alcanzar dos crditos IPL en un servicio limpio y debidamente mantenido.
Dos sistemas de dispositivos con lneas diferentes, capaces por s mismos
de prevenir el escenario de peligro. Si en el diseo de los sistemas se han
tenido en cuenta los posibles fallos por causa comn, a saber: errores en la
instalacin, condiciones ambientales, errores de calibracin/tarado/pruebas,
defectos de fabricante y del propio diseo (el clculo de los dispositivos debe
hacerse por dos expertos independientemente), para minimizarlos al mximo, y como en todos los casos, mantenemos la instalacin y la inspeccionamos adecuadamente, podemos conseguir hasta 4 crditos IPL teniendo en
cuenta que han de repartirse de dos en dos, es decir, una IPL sera un sistema
y otra IPL el otro sistema. Por tanto, ambas deben cumplir los requisitos de
' '
/P
'
/
'$
&''
) 'P '

Un nico sistema compuesto por mltiples dispositivos pero en lneas separadas: sistemas que requieren ms de un dispositivo para aliviar el ratio
total de caudal que requiere el escenario de peligro necesitan un estudio ms
profundo, tipo FTA, ya que en este caso, si un dispositivo falla puede que no
seamos capaces de prevenir el escenario.

Normalmente, en el diseo de estos sistemas deben participar expertos que conocen las caractersticas del proceso y del equipo a proteger. Se deben tener en cuenta
aspectos como la localizacin de la descarga (antorcha, depuradora u otras unidades
$
$
'$$4 ' /$
L)

'
)P
'
/$' $


#
K$O' /']

&/' '
&L)

'
''/$ 
Cuando hablamos de discos de ruptura tenemos que tener en cuenta los problemas que generan servicios sucios o polimerizantes, as como los inherentes a la manipulacin de estos dispositivos en su instalacin y traslado, debido a la fragilidad de
la construccin de los mismos. La corrosin y pequeas fugas a travs de pequeos

Capas de proteccin en instalaciones de proceso

'P '&&Q$'
' ')
 $'
  T$'$' 
cierta frecuencia los discos antes de que fallen o entren en accin.
3.8.2. SISTEMAS DE CONTENCIN/DISPERSIN
Contencin
Quiz sea la IPL de mitigacin que acta en primer lugar en caso de producirse el
escenario peligroso. Est concebida para ejecutar las primeras acciones importantes
de mitigacin de los efectos dainos derivados de situaciones circunscritas a la instalacin fuera de control.
Ejemplos de esta capa pueden ser:
^

^

 $'

 $ 3' ']

& &
Q  ''$ 3 
contienen con la intencin de minimizar el rea de exposicin a atmsfera
del producto en caso de rotura del recipiente, reduciendo de esta forma la
 '#
']

&)$
$
&
&''
'#' '
Esta proteccin no suele tomar crdito IPL, pues est diseada para reducir
las consecuencias del escenario peligroso una vez producido ( y normalmente
en este caso se tiene ya en cuenta a la hora de asignarle el factor de seguridad
de proceso (riesgo tolerable) basado en esto mismo, las consecuencias y la
frecuencia de las causas que lo generan). En caso de considerar un escenario
de negocio en vez de seguridad, que pueda tener afectacin medioambiental,
entonces s podemos dar un crdito IPL pues un foso puede reducir la frecuencia del dao medioambiental.
+'P ' $ '/
 $  '#


 
estructura de acero que actan como envolvente a zonas de proceso potencialmente peligrosas, como puede ser un reactor nuclear o un reactor que
trabaje a muy alta presin. En caso de explosin, esta sera contenida en el
interior, o derivada de tal forma que no afectase a las personas que permanecieran en un posible radio de afectacin.
Depende de cul sea el escenario de peligro considerado podemos estar en la
misma situacin que en la de los fosos. Cuando la consecuencia del escenario
 '$'#

'P ' $ ' $ $



hora de analizar el propio escenario y no daramos crdito a esta IPL. Si en la
evaluacin del escenario no se ha tenido en cuenta entonces podemos dar un
crdito IPL.

Dispersin
Se trata de sistemas controlados, como puedan ser antorchas o borboteadores de
lavado, que neutralizan mediante quemado o por mediacin de agentes qumicos
derivas de producto producidos por algn problema del proceso.
Si es un proceso complejo ha de efectuarse un clculo ms detallado para obtener
su PFD y por tanto su RRF y Crdito IPL.

65

66

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

3.8.3. SISTEMAS DE FUEGO Y GAS


Los sistemas F&G (del ingls re and gas) son sistemas de neutralizacin for
  / #'
  $ )  $ P


  $ $
 

combustin de sustancias gaseosas, presencia de txicos, incendios y, en consecuencia, generar una alarma, conducir al proceso a un estado de seguridad o emprender
acciones destinadas a mitigar las consecuencias del suceso peligroso.
Los sensores suelen ser detectores de gas, humo o llamas, y suelen acompaarse por estaciones de comunicacin manuales. Los sistemas lgicos pueden ser PLC,
* 6/G #'
 $
 $': P 

'$

 $P
' ' '$ '$$/'
/$4/'$

de apagado antiincendio, deluge (tipo diluvio), supresin y/o bloqueos para el proceso.
Una particularidad de los sistemas F&G es que, a diferencia de otros sistemas de
seguridad (por ejemplo emergency shutdown, ESD o de parada de planta por emergencia) en los que el estado seguro del sistema se logra con la desenergizacin de las
salidas, los sistemas F&G deben energizar salidas para cumplir con el objetivo de
iniciar las medidas de contencin, extincin o aviso. Por este motivo, es crucial que
el equipo utilizado como controlador del sistema sea capaz de energizar sus salidas




K)$4 $'P


$
$'
'
'L
Para asegurar una proteccin contra F&G adecuada se deben tener en cuenta los
siguientes aspectos:
^
^
^
^
^
^
^
^

Estructuras de contencin.
Instrumentacin de seguridad F&G.
Anlisis de seguridad de contencin.
Sistemas de cableado para F&G.
Sistemas de cmputo y comunicacin para F&G.
Gestin de intervencin.
Gestin de diagnsticos.
Vigilancia y estructura organizativa.

Estos sistemas pueden llegar a ser muy complejos y pueden disearse con un
criterio generalista, como proteccin de una determinada instalacin, pero tambin
con una funcin especP
#'

Es en estos casos cuando podemos asignar un (o ms) crditos IPL, dependiendo
de la integridad que lleguemos a alcanzar en el diseo, o del tipo de sistemas que
$''  
) $'P

$
6X/'J/ ''/
uso y mantenimiento que alcancemos dicha integridad o no.
+O'$   '$
   '  P
/   Q    
ellos hablaremos un poco sobre los sistemas de Supresin de deagracin:
^

6$
$
 4$'

3'$

O'#

y por tanto impide que se lancen al exterior productos no quemados y de
combustin, los cuales pueden ser dainos para las personas y/o el medio
ambiente.

Capas de proteccin en instalaciones de proceso

^

^

^

+  ' &'  '3'' '


  &$'
$'
mente lento, acelerndose con el tiempo (milisegundos), y es este estado inicial
el que ha permitido desarrollar este tipo de sistemas de forma satisfactoria.
N '$
  '  O'
$' $ diseado para actuar,
tras la deteccin de una combustin incipiente, descargando instantneamente agentes extintores que apagan la reaccin de combustin, evitando as el
incremento de la presin por encima de un valor predeterminado.
<'
$ '
'$

$$

7
1. Deteccin, que se consigue mediante componentes activados por la presin o luz, siendo las condiciones del proceso las que determinan el sistema ms apropiado.
2. Iniciacin, como resultado de la deteccin se enva una seal al sistema
de control electrnico indicando que se ha detectado un proceso de combustin. Dicho sistema procesa la seal recibida e inicia la secuencia de
apertura del recipiente que contiene el agente extintor.
3. Supresin, mediante descarga del agente extintor.

Figura 3.9. Esquema de supresin de deagraciones.

67

68

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Para conseguir una respuesta rpida, los recipientes que contienen el agente extintor estn presurizados con nitrgeno y cerrados con un disco de ruptura, el cual
rompe bajo la accin de un iniciador pirotcnico que genera una descarga de presin
primaria.
En la Figura 3.10 se indica un esquema del sistema as como la secuencia de
actuacin.

Figura. 3.10. Secuencia de actuacin de un sistema de supresin de deagraciones.

Este tipo de sistema puede alcanzar dos crditos IPL, y adems puede usarse en
combinacin con otros elementos BPCS, como una vlvula en lnea que cierre por
alta temperatura (en este caso habra de asegurar que dichos elementos alcanzan la
misma integridad).
3.8.4. PLANES DE EMERGENCIA
Los planes de evacuacin de emergencia no estn representados por mitigaciones
'
/'
' ' '$ P /3&&' cidos por todas aquellas personas a las que se requiere proteger. En ausencia de un
$  P O'$
 $
$'#$
$

G3
requiere de revisin y simulacin continua.
En este aspecto podemos diferenciar dos subcapas segn nos centremos en las
personas que trabajan de puertas adentro de una instalacin dada, o si adems cubrimos a la poblacin circundante que pueda verse afectada por un escenario de riesgo
de dicha instalacin.
Para el primer caso, se debe contar con una estructura organizativa interna que,

'4
'O$) '' P /'$#

con urgencia, comunicando al resto del personal mediante sealizacin propia de

Capas de proteccin en instalaciones de proceso

evacuacin (visual y acstica) y organizacin efectiva del transporte de evacuacin,


impidiendo, en todo caso, la propagacin de los efectos fuera de valla.
En caso de los planes de emergencia comunitarios, las diferentes administraciones
deben contar con los mismos conociendo los posibles riesgos inherentes a las diferentes instalaciones. Por ello es de vital importancia que los responsables de las mismas
mantengan una comunicacin directa con las autoridades, manteniendo la coordinacin entre las mismas.
En cualquier caso se debe tener en cuenta:
^
^
^
^
^
^
^

La valoracin del impacto interior y exterior de los diferentes escenarios de


riesgo.
Planos layout de reas de afectacin interna y externa.
Estructura organizativa y diferentes niveles de intervencin.
Dotaciones internas y apoyo externo.
Plan de emergencia interno y externo con detalles de evacuacin.
Simulacros que cubran las diferentes situaciones de emergencia.
Revisiones y auditoras.

PARA NO OLVIDAR
Ante una evaluacin de protecciones para un peligro determinado, es importante
entender dicho peligro, las causas que lo provocan y las posibles consecuencias.
Hemos de abordarlo siguiendo una estrategia de seguridad funcional, involucrando a aquellos expertos que puedan ayudarnos y teniendo claro los requisitos
fundamentales sobre lo que debe cumplir una salvaguardia para poder usarla
como capa de proteccin independiente, a efectos de especicidad, independencia, ecacia y auditabilidad.
Segn la cricidad del escenario considerado, teniendo en cuenta la frecuencia de las causas que lo inician y las consecuencias de que se produzca, se asignar un factor de seguridad, asumiendo siempre un cierto riesgo tolerable. En
funcin de este factor tendremos que considerar ms o menos IPL, siendo la IPL
SIS la que por lo general ene un mayor nmero de requerimientos debido a su
capacidad de alta integridad (o alto factor de reduccin de riesgo) y por tanto
suele dejarse como lma capa de seguridad a considerar.

69

70

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

CONSEJOS PRCTICOS
Algo importante que debemos tener en cuenta cuando describimos un escenario
de peligro es aportar la mayor candad de informacin posible, describiendo
analcamente qu puede ocurrir y cmo. Ello ayudar a posteriori a idencar
las IPL ms adecuadas. Para ello existen diversas herramientas de simulacin en
el mercado que pueden ser de gran ayuda.
En dicha descripcin se ha de tener en cuenta factores como su process safey
me (PST), las candades mximas de fuga a travs de una vlvula cuando el escenario requiere que esta cierre (esto condicionar la clase de la misma a efectos
de estanqueidad) y por tanto los requerimientos de las pruebas de fuga que se
le tendr que hacer durante el proof test (pruebas manuales) para mantener su
integridad, indicar claramente los instrumentos involucrados tanto en los elementos iniciadores (causas que generan el escenario) como en las propias IPL a
efectos de idencar problemas de independencia sica entre las mismas, los
empos de respuesta especcos mximos para cada IPL, etc.

INTRODUCCIN AL CICLO DE VIDA DE LOS


SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Julio Rivas Escudero

SUMARIO: Introduccin. Diseo conceptual. Anlisis y evaluacin de riesgos de proceso.


H
  *+  ;j
j  $
  
%& 
j  $
%j  *+*! &  *+  ;j$
  
SIS. Instalacin, pruebas y comisionado del SIS. Mantenimiento y explotacin de los SIS.
& 
Para no ol idar onseos rccos

4.1. INTRODUCCIN
+$
$@'$$


'
#
 Q$
3 Pguran el llamado Ciclo de vida de un SIS con el objetivo de introducir al lector en
este concepto de una manera sencilla y progresiva.
G$' $/
$ P /$
$
 $$



estos pasos.
El ciclo de vida de un SIS es uno de los conceptos bsicos tanto de la IEC-61508
como de la IEC-61511. Segn se cita en ellas, el ciclo de vida de seguridad comprende aquellas:
Actividades necesarias implicadas en la instalacin de sistemas relacionados con la seguridad que se presentan durante un periodo de tiempo. Comienza en la fase de diseo conceptual de un proyecto y termina cuando todos los
sistemas relacionados con la seguridad ya no se encuentran disponibles para
su utilizacin, es decir se han desmantelado.
Incluye, por tanto, todas las actividades relacionadas con un SIS desde la concepcin del proceso o del propio SIS hasta su desinstalacin.
Como un sistema de seguridad no es un componente simple, requiere la participacin de un equipo multidisciplinar y de una sistemtica precisa para minimizar los
fallos. Lo que la IEC intenta es que el objetivo de la seguridad gue todas las fases
del diseo, la construccin, la operacin y el mantenimiento de un proceso. Los datos demuestran que aunque esta sistemtica aumenta los costes iniciales, a la larga
produce un sistema ms seguro y por lo tanto un aumento en la produccin.
Segn ANSI/ISA S84.01 (IEC-61511), el ciclo de vida contempla, de forma resumida, las fases indicadas en la Figura 4.1, que son las que analizaremos, de manera
general, a continuacin.

72

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 4.1. Fases que contempla el ciclo de vida.

4.2. DISEO CONCEPTUAL


El objetivo de esta fase es disear una planta que sea inherentemente segura. Para
 
'   /3')$P '$didad. En general, esta fase suele quedar fuera del alcance del especialista en control
y depende fundamentalmente del especialista en procesos. Este paso es tratado en el
Captulo 5.

4.3. ANLISIS Y EVALUACIN DE RIESGOS DE PROCESO


El primer objetivo de esta fase es entender todos los riesgos asociados al proceso, ya
tengan impacto sobre el personal, la produccin, los equipos el medio ambiente o la
imagen de la compaa.
+#&Q$'$



'#'$'P

''
anterior para establecer un ranking. La evaluacin de los riesgos puede ser:
^
^
^

Cualitativa.
Semicuantitativa y
Cuantitativa.

Existen varias tcnicas de anlisis de riesgos de un proceso (PHA) tales como:


What-if, LOPA, HAZOP, etc., siendo la denominada HAZOP (Hazard and Operability) la ms utilizada en las industrias de proceso. En castellano se suele traducir por
anlisis funcional de operatibilidad (AFO).

Introduccin al ciclo de vida de los sistemas instrumentados de seguridad

Aunque este paso se tratar de forma detallada en el Captulo 6 se adelantan en


esta introduccin algunos aspectos relevantes relativos al mtodo HAZOP.
Los estudios HAZOP son un mtodo probado y bien estructurado, basado en el
$
&
Q3'/

'$'P
'#O'$$'J 

 'P
'3$
' 
+'$

'
O

 '
 )
 'P
'

'
'$

'
)
O'$$/ P

'#$ '
 '
miento al margen de las intenciones de su diseo o de averas de partes concretas
de los equipos y los efectos que Estas pudieran tener sobre el conjunto de las instalaciones.
Los estudios HAZOP son dirigidos por un coordinador con experiencia. Para los
proyectos en el sector de los hidrocarburos, en el equipo siempre participa personal
de Procesos, Instrumentos, Maquinaria, Ingeniera de Proyectos y Operaciones, pudiendo ser necesaria la participacin de tcnicos de procesos, especialistas en medio
ambiente y de los responsables de la empresa de seguridad e higiene y medio ambiente (HSE).
El mtodo surgi en 1963 en la compaa Imperial Chemical Industries, ICI, que
utilizaba tcnicas de anlisis crtico en otras reas. Posteriormente, se generaliz y
formaliz, y actualmente es una de las herramientas ms utilizadas internacional $
'$'P
''#
'$

''$'

La realizacin de un anlisis HAZOP consta de las etapas que se describen a
continuacin:
1. Denicin del rea de estudio
Consiste en acotar las reas a las cuales se aplica la tcnica.
En una determinada instalacin de proceso, considerada como el rea
&Q$$'/P'


)  '
)' 'P
'/

serie de subsistemas o lneas de proceso que corresponden a entidades funcionales propias, como por ejemplo: lnea de carga a un depsito, separacin
de disolventes, reactores, etc.
2. Denicin de los nodos
+

$&'$

&'$'P

'
nodos o puntos claramente localizados en el proceso. Por ejemplo, tubera
de alimentacin de una materia prima a un reactor, impulsin de una bomba,
depsito de almacenamiento, etc.


&'$'P
) 
 
$'
$$
cada subsistema y en el sentido del proceso para mejor comprensin y comodidad. La tcnica HAZOP se aplica a cada uno de estos puntos. Cada nodo
vendr caracterizado por variables de proceso: presin, temperatura, caudal,
nivel, composicin, viscosidad, etc.

73

74

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...


 
''
  $''
'  $
 $4 '
 3' ]Q
  3

' 'P
'
#

]Q$&'$
 '
)
posicin exacta.
El documento que acta como soporte principal del mtodo es el diagrama
]Q /$&
'$ $/G*
3. Aplicacin de las palabras gua
Las palabras gua se utilizan para indicar el concepto que representan a


P'
$' $3$

mento determinado. Se aplican tanto a acciones (reacciones, transferencias,
$ L  

 $ P K'/

/$ 
$
/$ L
La Tabla 4.1 (en la pgina siguiente) presenta algunas palabras gua y
'#'P
/'
$
  Q 3 $

Captulo 6.
4. Denicin de las desviaciones a estudiar
Para cada nodo se plantea de forma sistemtica todas las desviaciones que
implican la aplicacin de cada palabra gua a una determinada variable o actividad. Para realizar un anlisis exhaustivo, se deben aplicar todas las combinaciones posibles entre palabra gua y variable de proceso, descartndose
durante la sesin las desviaciones que no tengan sentido para un nodo determinado.
Paralelamente a las desviaciones se deben indicar las causas posibles de
estas desviaciones y posteriormente las consecuencias de estas desviaciones.
En la Tabla 4.1 se presentan algunos ejemplos de aplicacin de palabras
gua, las desviaciones que originan y sus causas posibles.
5. Sesiones HAZOP
Las sesiones HAZOP tienen como objetivo la realizacin sistemtica del
proceso descrito anteriormente, analizando las desviaciones en todas las lneas o nodos seleccionados a partir de las palabras gua aplicadas a determinadas variables o procesos. Se determinan las posibles causas, las posibles
consecuencias, las respuestas que se proponen, as como las acciones a tomar.
Toda esta informacin se presenta en forma de tabla que sistematiza la
entrada de datos y el anlisis posterior.
Los formatos de presentacin de los resultados del HAZOP se desarrollan
en el Captulo 6.

Introduccin al ciclo de vida de los sistemas instrumentados de seguridad

Tabla 4.1. Palabras gua.


PALABRA
GUA
NO

SIGNIFICADO

EJEMPLO DE
DESVIACIN

Ausencia de la variable a la cual se aplica

No hay ujo en una


lnea

Ms ujo (ms
caudal)
MS

Aumento cuantavo
de una variable
Ms temperatura

Menos caudal
MENOS

Disminucin cuantava de una variable


Menos temperatura

INVERSO

Analiza la inversin
en el sendo de la
variable. Se obene
el efecto contrario al
que se pretende

Flujo inverso

ADEMS
DE

Aumento cualitavo.
Se obene algo ms
que las intenciones
del diseo

Impurezas o una
fase extraordinaria

PARTE DE

Disminucin cualitava. Parte de lo que


debera ocurrir sucede segn lo previsto

Disminucin de la
composicin en una
mezcla

Acvidades disntas
DIFERENTE
respecto a la operaDE
cin no-mal

Cualquier acvidad

EJEMPLO DE CAUSAS
ORIGINADORAS
Bloqueo; fallo de bombeo;
vlvula cerrada o atascada;
fuga; vlvula abierta; fallo de
control.
Presin de descarga reducida;
succin presurizada; controlador saturado; fuga; lectura
errnea de instrumentos.
Fuegos exteriores; bloqueo;
puntos calientes; explosin en
reactor; reaccin descontrolada.
Fallo de bombeo; fuga; bloqueo parcial; sedimentos en
lnea; falta de carga; bloqueo
de vlvulas.
Prdidas de calor; vaporizacin; venteo bloqueado; fallo
de sellado.
Fallo de bomba; sifn hacia
atrs; inversin de bombeo;
vlvula anrretorno que falla
o est insertada en la tubera
de forma incorrecta.
Entrada de contaminantes del
exterior como aire, agua o
aceites; productos de corrosin; fallo de aislamiento; presencia de materiales por fugas
interiores; fallos de la puesta
en marcha.
Concentracin demasiado baja
en la mezcla; reacciones adicionales; cambio en la alimentacin.
Puesta en marcha y parada; pruebas e inspecciones;
muestreo; mantenimiento; acvacin del catalizador; eliminacin de tapones; corrosin;
fallo de energa; emisiones indeseadas, etc.

75

76

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...


!
 \
El mtodo, principalmente cubre los objetivos para los que se ha diseado, y adems:
^
^
^

Es una buena ocasin para contrastar distintos puntos de vista de una instalacin.
Es una tcnica sistemtica que puede crear, desde el punto de vista de la seguridad, hbitos metodolgicos tiles.
No requiere prcticamente recursos adicionales, con excepcin del tiempo
de dedicacin.

Los principales inconvenientes, pueden ser:


^

^

^
^

Al ser una tcnica cualitativa, aunque sistemtica, no hay una valoracin real
de la frecuencia de las causas que producen una determinada consecuencia,
'$
 
 
$'P
'

 
 '


 'P
' 3
)
 3 
'
  
 $ '

 '$

'
como consecuencia de un HAZOP, deben analizarse con mayor detalle adems de otros criterios, como los econmicos.
Los resultados que se obtienen dependen en gran medida de la calidad y capacidad de los miembros del equipo de trabajo.
Depende mucho de la informacin disponible, hasta tal punto que puede omitirse un riesgo si los datos de partida son errneos o incompletos.

4.4. ASIGNACIN DEL SIL DE CADA FUNCIN DE SEGURIDAD


+&Q$'$

P'63'



6

 #'

adecuada reduccin del riesgo hasta un nivel aceptable y ser tratado pormenorizadamente en el Captulo 7.
El clculo del SIL requerido no es por tanto una medida directa del riesgo del
proceso, sino una medida de la reduccin del riesgo que hay que aplicar a un sistema





'#$
&/ ''#3  PQ
  
$
&
Es seguramente una de las fases ms complejas de realizar.
Los mtodos tpicos de asignacin del SIL requerido son:
^
^

mtodos cualitativos, o
mtodos semicuantitativos.

Esta fase tpicamente se realiza inmediatamente despus de la anterior (anlisis


de riesgos) por lo que estn implicados los integrantes del mismo equipo interdisciplinar.

Introduccin al ciclo de vida de los sistemas instrumentados de seguridad

4.4.1. METODOLOGAS CUALITATIVAS


Se tratan de tcnicas de anlisis crtico que no recurren al anlisis numrico. Su obQ$'' '
'$'P
7
^
^
^

Riesgos.
Efectos: incidentes y accidentes cuando se materializan los riesgos.
Causas: orgenes o fuentes de los riesgos.

Dado que los anlisis cualitativos sirven, muchas veces, como base para otros
semicuantitativos o incluso cuantitativos, es importante la calidad de los primeros.
4.4.2. METODOLOGAS SEMICUANTITATIVAS Y CUANTITATIVAS
Se trata de tcnicas de anlisis crticos que emplean ndices globales del potencial de
riesgo estimados a partir de las estadsticas. Estas pueden ser de disposicin general
o procedente de la experiencia de las compaas en el diseo y la operacin de plantas semejantes a las que se trata de enjuiciar.
Son tcnicas de anlisis crticos que incluyen estructuras y clculos para establecer la probabilidad de sucesos complejos (siniestros) a partir de los valores individuales de la probabilidad de fallo que corresponde a los elementos (equipo y
humanos) implicados en los procesos (industriales en nuestro caso), analizando las
capas de proteccin que vimos en el Captulo 3.
*$
 $#



 
' 6]Q

$

y normativas IEC 61508/61511 y ANSI-ISA-S84, el anlisis de la capas de proteccin se presenta como la tcnica ms exhaustiva.
Dicha tcnica constituye un anlisis objetivo de las distintas capas de proteccin
de que dispone un proceso, evaluando el riesgo del mismo y comparndolo con el
'$'  '# $
& P'  
 '
/ 

  '' ' 


 
proteccin son adecuadas o, por el contrario, si es necesario mejorar las existentes o
introducir capas adicionales. Por todo ello, el anlisis LOPA se presenta como una
tcnica que permite una comparacin directa de la contribucin de las distintas capas
de proteccin del proceso a la reduccin del nivel global de riesgo.

4.5. DESARROLLO DE LA ESPECIFICACIN DE SEGURIDAD


Una vez completada la determinacin del nivel integrado de seguridad ( SIL ) de
cada una de las funciones instrumentadas de seguridad (SIF) se debe realizar el diseo conceptual del SIS correspondiente.
Previamente, el diseador (generalmente la ingeniera de detalle) deber disponer

 'P
'3' '$#'
K6(6L3'&''$
realizar dicho diseo conceptual y posteriormente el diseo de detalle.

77

78

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

El detalle de todos los puntos que debe comprender una SRS se darn en el Captulo 10. Aqu se adelantan algunos aspectos de tipo general.
Dicha SRS deber como mnimo, contemplar aspectos de tipo general al conjunto
66K  
$

6L) P 


''
 

'tos y/o SIFs.
Sin carcter excluyente se exponen a continuacin los requisitos generales ms
comunes que como mnimo debera incluir la SRS dividindolo en dos apartados uno
relativo a los aspectos fsicos (no funcionales) y otro a los puramente funcionales:
4.5.1. REQUISITOS COMUNES FSICOS
6P
3''$  ' ) '
3
'

/
#'
) $P
'$#
$ '
666 $ 

$
otros aspectos tales como:
^
^
^
^

^
^
^

^
^
^

Pruebas.
Repuestos.
Estndares y reglamentos de aplicacin.
%
9
)$9
667

' $/$'#'
KG /4/
etc.), fuentes de alimentacin, entradas y salidas, cableados, redundancias,
respuestas a fallos, etc.
$
 '$
 $/
/#P /


/$ 
Condiciones medioambientales de los instrumentos del exterior y de los
PLC.
Preferencia en la seleccin de los elementos iniciadores. Ejemplos: sensores
de contacto versus transmisores, transmisores inteligentes con capacidad de
autodiagnstico, etc.
Tipo de lgica: reles, PLC, etc.
N'$ $
 '

 $P


 '
$


de fallos; por ejemplo, partial stroke test en vlvulas.
(3' '$

&'
$8 ''$
 $'P
6

4.5.2. REQUISITOS COMUNES FUNCIONALES


Como requisitos comunes funcionales a todas la SIF se detallarn, entre otros:
^

^

Exigir que el diseo no solo contemple la cumplimentacin del SIL sino tam&'4&'P
3
 P#
'#'
   $' 3
 P
  '
 '$ $' K'L  
 3 & PQ


cada SIF.
El modo de proteccin por disparo no deseado debe ser fail safe (fallo seguro)

Introduccin al ciclo de vida de los sistemas instrumentados de seguridad

^
^

^
^

^

estando los contactos normalmente cerrados y los reles/bobinas energizadas.


Si se requieren pulsadores para realizar parada manual, estos sern cableados
fsicamente al ESD.

 '
&
'

$' '$) P#
'7'
aplicar al grupo completo de votacin, si debe tener alarma de activacin
en el SDC, etc.
Detallar la poltica de rearmes: manuales, automticos, en vlvulas solenoides, etc.
+#
) $P

''$
de los de control y la lgica se realizar con PLC redundante que cumplimente SIL 3.
Fijar una gua de partida para el diseo del SIS.

4.5.3. REQUERIMIENTOS PARTICULARES


Asimismo, la SRS debe contemplar los requisitos particulares para cada familia de
enclavamientos y/o SIF de manera particular, muchos de los cuales se obtienen durante las sesiones de anlisis de riesgo/asignacin de SIL.

4.6. DISEO CONCEPTUAL DEL SIS Y VERIFICACIN DEL SIL DE CADA


FUNCIN
El objetivo de esta fase, que ser tratado en el Captulo 11, es desarrollar un diseo
inicial del SIS que cumpla con los requisitos de seguridad y alcance el SIL requerido o establecido como objetivo. Asimismo, dicho diseo deber cumplimentar los
requerimientos del tiempo prescrito de disparo intempestivo (espurio) no deseado.
G

$
 P#
''$ $



6$ $
$
datos contemplados en la SRS.
Durante esta fase, por tanto, se seleccionar la tecnologa, la arquitectura, los intervalos de prueba, etc., teniendo en cuenta factores tales como el presupuesto, el tamao de la aplicacin, la complejidad, la velocidad de respuesta, la poltica de puenteos (baipases), los requisitos de comunicaciones, la interfaz con el operador, etc.
Esta fase entra de lleno en la responsabilidad del especialista de instrumentacin
de la Ingeniera de detalle.
' ' &
'
$

 ' '
66
'P
'
3'J  $


 '
6 'P





6[  &
3' 'J$
 $' P'
de disparo intempestivo (espurio). Para ello existen frmulas adecuadas de clculo
de probabilidad de fallo en demanda para comprobacin del cumplimiento del SIL
y otras de tiempo medio entre fallos (MTTF y MTBF) para el disparo intempesti*'$''$ $ '
)
 P#
'

79

80

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

elegida se utilizar la frmula que corresponda para el clculo existiendo programas


 '
'
) $'P
#
' ''$
)
 ' 

4.7. DISEO DE DETALLE DEL SIS


Durante el mismo se deben realizar una serie de tareas, por parte de la Ingeniera de
$
/3 
P
 $
'$ 
'


'zar el montaje e instalacin.
En principio se debern revisar las listas de instrumentos para asegurarse que
$ ' ' $   
'  
 P#
'  66 6 '
 
P&Ids para actualizarlos y se realizarn las requisiciones y rdenes de compra de
todos los instrumentos y materiales necesarios de acuerdo a la SRS y al resto de
 'P
'
'
&
El diseo, asimismo, debe incluir al menos la siguiente informacin:
^
^
^
^
^

*  $ P#
'3'
Documentos de prueba de los equipos (FAT Y SAT).
Documentos de cableado e instalacin de los equipos.
Documentos de operacin/mantenimiento de los equipos.
*  $'P
'3'

Esta fase es responsabilidad del especialista de instrumentacin de la ingeniera


de detalle.

4.8. INSTALACIN, PRUEBAS Y COMISIONADO DEL SIS


El primer objetivo de esta fase es asegurar que el sistema se comporta conforme a
3''$
 'P
'#'
G

/&
'

'guientes pruebas:
Pruebas FAT (factory acceptance test). Tpicamente sern pruebas del operador
lgico y de la interfase del operador con independencia del tipo de tecnologa que
se est utilizando. Incluso si la lgica del sistema se hace con rels o consiste en un
PLC de cientos de entradas/salidas dicho sistema debera ser probado en la fbrica
del suministrador antes de ser enviado a planta. El FAT se considera parte de la fase
de instalacin ya que las personas involucradas en el montaje y pruebas son las que
deberan realizar dicho FAT.
Normalmente las pruebas se realizan como mnimo:
^

R
9

#'
'$
/' ) 8W/$minales de entrada/salida, cableado interno, mdulos de comunicacin, interfase de operador, etc.

Introduccin al ciclo de vida de los sistemas instrumentados de seguridad

^
^

Redundancia.
6$9
$
$
'  
'
'

La instalacin cubre el montaje en planta de todos los equipos asociados con el


SIS y la realiza el contratista de montaje de instrumentos/electricidad. Se incluye los
/ $P
/
&

/
Q
')'
'/
&'
/G /'$

/


/) 
3'$
9

 '

66
Durante la fase de Ingeniera de detalle se habrn generado los documentos y

/


 'P
'3

'
&)

6(6/3'
al contratista para realizar adecuadamente su trabajo.
Terminada la instalacin propiamente dicha y antes del SAT deben realizarse una
serie de chequeos de dicho montaje. Estos chequeos nos asegurarn que el SIS se ha
'$


 PQ

#'
$
)$




el SAT.
Esta parte la puede completar el contratista o un grupo de trabajo independiente.
Una vez completados los chequeos anteriores se debe realizar el SAT (site acceptance test).
Tpicamente sern pruebas del sistema completo (sensores, operadores lgicos,
actuadores, servicios, etc.) en la propia planta.
IEC-62381 describen el SAT, como un test que posibilita una completa prueba de
la total funcionalidad del SIS de acuerdo a la SRS.
Para la realizacin del SAT se requieren una serie de documentos que depender
de la complejidad de dicho SIS. Es esencial disponer de un procedimiento detallado
para la realizacin de dicho SAT.
La ejecucin de esta fase compromete a recursos del suministrador del sistema

  
 
'' $
Q)' '$P
)
tratada con detalle en el Captulo 13.

4.9. MANTENIMIENTO Y EXPLOTACIN DE LOS SIS


Para lograr un funcionamiento correcto, cada sistema instrumentado de seguridad
requiere un mantenimiento peridico mediante inspecciones, pruebas y chequeos
que deben estar procedimentados y documentados.
Como se describe en los Captulos 8 y 14, la mayor prioridad es la realizacin de
las pruebas funcionales on line del conjunto de todos los elementos de cada funcin
instrumentada del SIS. Este tipo de test es la actividad ms crtica de un buen mantenimiento preventivo.

  '
'
&
 '
66PQ

$'J
' '
 ' )
 'P

 P#
'


 ''$ $

#'
)' 6 'P






Como se ha visto con anterioridad, un SIS constituye la ltima capa de prevencin de Seguridad. Si esta capa no responde a los requerimientos de su diseo se

81

82

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

produce el evento indeseado de fuga, incendio, explosin, etc., con los riesgos que
esto puede conllevar en la seguridad personal, medio ambiente y daos industriales
(mantenimiento y produccin).
Al igual que en el resto del mantenimiento de equipos de planta, se debe garantizar una disponibilidad funcional del conjunto de los elementos que conforman cada
una de las funciones instrumentadas de seguridad (SIF) en estricto acuerdo con el
''$#
#'
K6L 'P






$


determinacin del SIL (segundo paso del ciclo de vida de un SIS).
Cuando se disea un SIS, no existe una nica solucin que satisfaga el SIL de
cada funcin. Normalmente se trata de encontrar una solucin que equilibre adecuadamente el coste de la inversin inicial con la exigencia de realizacin frecuente de
pruebas funcionales en operacin normal (on line) lo que conllevara a un esfuerzo
y costos elevados de mantenimiento.
La prueba funcional peridica de cada funcin instrumentada de un SIS es una
actividad esencial para garantizar la integridad de un SIS, ya que constituye el nico
camino para asegurar que el nivel SIL de cada SIF se mantiene en el tiempo. El test
$'3' '

$$
'
'$
3'#'P
&
/#'
/
 $P
/
  
&
)



 '


&'$
3$

prueba se realice simultneamente a todos los elementos, aunque no es estrictamente
necesario, pudiendo hacerlo por partes en tiempos diferentes que deben ser tenidos
en cuenta en las frmulas correspondientes. Asimismo dichas pruebas funcionales
debern basarse en procedimientos escritos con objetivos y responsabilidades per $
$ 
)P'
N &P '
 '
  
 
'
'  $
 &
  
   ' mento del conocimiento de cada SIS por parte del personal de Mantenimiento y
Operacin.
De la misma manera, la necesidad de estas pruebas funcionales on line para comprobar la correcta operacin del SIS, es cumplimentar los requerimientos de organismos competentes en el tema tal como ISA, IEC y OSHA.
Este paso ser tratado en el Captulo 14.

4.10. MODIFICACIONES
El objetivo de esta fase es asegurar que todo cambio en el SIS se realiza siguiendo
el mismo procedimiento que en la primera implementacin. La gestin del cambio
implicar que ante cada cambio, se deber volver a la fase adecuada en el ciclo de
vida del SIS.
Todo cambio ser debidamente documentado. Por ello es fundamental tener un
estricto control de toda la documentacin.

3' 'P
' )8 

' 
'

   66 
 
 
'zacin de la correspondiente prueba funcional. Este paso se ver con detalle en el
Captulo 15.

Introduccin al ciclo de vida de los sistemas instrumentados de seguridad

PARA NO OLVIDAR





Los sistemas de seguridad son mulcomponentes, por lo que en todas


las etapas de su ciclo, se requiere la parcipacin de equipos muldisciplinares.
Se requiere de una sistemca precisa para minimizar los fallos.
El objevo de los estndares de seguridad es guiar las fases del sistema:
diseo, construccin, operacin y el mantenimiento de un proceso.

CONSEJOS PRCTICOS


Los datos demuestran que aunque la sistemca del ciclo de vida de seguridad aumenta los costes iniciales, a la larga produce un sistema ms
seguro y por lo tanto un aumento en la produccin.

83

DISEO CONCEPTUAL DEL PROCESO

Ana Mara Macas Jurez

SUMARIO: Introduccin. Diseo conceptual. Diseo de detalle. Para no olvidar. Consejos


rccos.

5.1. INTRODUCCIN
En este captulo se intenta dar una idea general de la importancia de la etapa de diseo en el xito de un nuevo proyecto de seguridad funcional dentro de una instalacin
industrial. Ya que los documentos generados en esta etapa sern los documentos de
entrada a la primera tarea del ciclo de vida de la seguridad funcional correspondiente
a la evaluacin del riesgo y determinacin de posibles funciones instrumentadas de
seguridad.
G

'' '

'J) $ 'P

#
O'$$/ )' $
$$&'P'

 )3' '$
seguridad y produccin del proceso, los cuales sern solicitados al departamento
'#'
  $$K# 'L
'P
/&'



 
'$
 

 ' '$
  Q$'P
 
 '' 
'$
 +$  
administrador deber investigar y asegurarse de que la inversin ser rentable y los
peligros inherentes a los procesos aceptables.
Una vez que se tiene conceptualizada la idea del proyecto el diseo de una planta
comienza con la generacin de documentos preliminares (ingeniera conceptual) en
donde un grupo de especialistas desarrollan las bases de la ingeniera apoyndose en
documentos mster y posteriormente se realizan los documentos de detalle.

5.2. DISEO CONCEPTUAL


El objetivo de esta fase es disear una planta que sea inherentemente segura y renta&G

 
'   /3')$P 'te profundidad cumpliendo con estndares internacionales y nacionales. Esta etapa
depende fundamentalmente de un grupo multidisciplinario de especialistas entre los
que se encuentran las siguientes disciplinas: procesos, instrumentos, elctricos, mecnicos electrnico, por citar algunos. El especialista que toma el papel de lder en
este grupo es fundamentalmente el ingeniero de procesos.

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 5.1. Flujo de proyecto industrial pico.

86

Diseo conceptual del proceso

Estadsticamente en el ciclo de vida de un proyecto de sistemas de control y sistemas de seguridad, se tiene tpicamente que el 15% de los fallos y errores se generan

$

'J  $
/@H
$

 'P
' 'nalidad e integridad (normalmente generadas desde la omisin de conceptos dentro
del diseo), el 20% en la etapa de cambios despus del comisionamiento, 5% en la
instalacin y comisionamiento y 15% en operacin y mantenimiento, dando como
resultados desviaciones y accidentes en la industria de procesos (vase Figura 5.2).

j ']Grca de desviaciones y accidentes causados en las fases del ciclo de vida de
un proyecto.

Dentro del ciclo de vida de la seguridad funcional una de las capas primordiales
es el diseo inherentemente seguro de un proceso, de tal forma que los documentos
generados en esta etapa son fundamentales para el xito de proyectos de sistemas
de instrumentacin y control relacionados con la produccin y la seguridad de una
planta de procesos. Dichos documentos se incluyen y desarrollan en la etapa conceptual de ingeniera y sern los datos de entrada en el ciclo de vida de la seguridad
funcional para dar inicio a la evaluacin de riesgos descrito en el Captulo 6 de este
libro.
^
^
^
^
^
^
^
^
^
^

Descripcin del proceso.


*'
#

]QKG*L
Balance de materia y energa (HMB).
Diagramas de tubera e Instrumentacin (P&ID).
Listado de instrumentos.
Sumario de alarmas y disparos.
Matrices causa y efecto.
Descripcin de sistemas de enclavamientos.
Plano general de localizacin de equipos.
Listados de sustancias peligrosas involucradas.

87

88

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Es fcil comprender que aqu se encuentra el ncleo ingenieril del desarrollo de


un proyecto y que las consideraciones y decisiones relativas a la seguridad que se
hagan en esta etapa van a trascender a las etapas siguientes del propio proyecto.
Todos los documentos desarrollados en esta etapa debern ser debidamente llevados a cabo bajo un sistema de gestin de la calidad, en el cual se contemple la
trazabilidad del control de las revisiones. En el caso de las funciones instrumentadas
de seguridad los documentos generados debern estar perfectamente documentados
en el plan de seguridad.
5.2.1. DESCRIPCIN DEL PROCESO O BASES DE DISEO
En este documento los ingenieros involucrados describirn a detalle la intencin del
diseo cumpliendo con normas y cdigos relacionados con el proceso y la seguridad,
Q /-G/G/-6/6+/ '$

#
/P' 


  '/$
 '
' 

/ 'P
'
$'

de construccin por secciones de la planta, condiciones de operacin, medidas de
proteccin requeridas para el potencial de riesgos de incendio y explosin o nubes
txicas y relacin con el entorno ambiental.
5.2.2. DIAGRAMA DE FLUJO DE PROCESO (PFD)
+$
  
 $
' 3 $'
  
 P#
'  '
  '$

Tambin permiten describir la secuencia de los distintos pasos o etapas del proceso
y su interaccin mostrando qu y qu tanto de cada sustancia o producto trabajara
el sistema, cantidades y tipos de materias primas que son necesarias para lograr los
productos, las condiciones crticas del proceso (presiones, temperaturas, etc.), lneas
principales y los equipos del proceso (vase Figura 5.3).
'
#

]Q 
3''J) $$'
$'&''
)P' '

 
'
'
sarrollo de la ingeniera de detalle y estn estrechamente relacionados con los balan 
$'
)#
+$  $


 '''
)P '$
materia prima y equipamiento para que un proyecto proceda. Es importante dejar en
claro que no existe ningn estndar o norma que regule el desarrollo y contenido del
PFD. Consecuentemente algunos PFD muestran un mnimo de detalle mientras otros
' '$
'#'P
$'7


PFD con opcin de detalles mnimos:



3'
#

]Qceso sea efectivo el proceso es mostrado en un pequeo espacio tan prctico
como sea posible, mostrando las corrientes principales y secundarias del mismo, sin considerar el balance de materia y energa.
PFD con opcin de detalles adicionales:$'
#

]Q 
muestra detalles como la instrumentacin y control en una fase inicial del
proyecto. Tambin se suelen incluir detalles como puntos de medicin prin-

Diseo conceptual del proceso

cipales, mtodos de control, vlvulas de control y analizadores de proceso


y normalmente los balances de materia y energa del sistema. Los PFD son
usados como una gua en el desarrollo de los diagramas de tubera e instrumentacin (P&ID).

Figura 5.3. Diagrama pico de ujo del proceso.

5.2.3. BALANCE DE MATERIA Y ENERGA (HMB)


+$  $' '

'
#

]Q O $3%< tiene informacin adicional concerniente a la fsica del proceso. El dibujo comienza
con un diagrama de ujo del proceso mostrando los equipos mayores y sus tuberas,


#
 
/ $

  ]Q ) #
 3'
 
 

 ) 



$  $+$  $ $''
'
 $ 
'P


  P '
)3$#


P
'#'

diseo detallado del proyecto.

89

90

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

5.2.4. DIAGRAMA DE TUBERA E INSTRUMENTACIN (P&ID)


Este documento, como ya se menciono en prrafos anteriores, es desarrollado a par$''
#

]Q + $ $'' ''
'3$'
mente la responsabilidad primaria del departamento de procesos pero es compartido
con los departamentos mecnicos, instrumentacin y elctricos. Este contiene al menos lo siguiente.
^
^
^
^
^

Equipos y vlvulas.
Dimetros de tuberas.
+ 'P
'
$'
$&

Accesorios de tuberas.
Informacin de instrumentacin y lazos de control.

Estos documentos son realizados de acuerdo a normas como ISA 5.1 y prcticas
recomendadas por Proccess Industry Practices (PIP).
+ 
 '#'
  'J  $
  & '$'P
 $
 
 '&
funciones de seguridad y otras capas de proteccin que llevarn al proyecto a lograr
un proceso inherentemente seguro.

Figura 5.4. Diagrama de tubera e instrumentacin (P&ID).

Diseo conceptual del proceso

5.2.5. LISTADO O NDICE DE INSTRUMENTOS


El listado de instrumentos es un documento en donde se enumeran todos los instrumentos que estn plasmados en el P&ID, en este listado cada instrumento deber ve'
$'$'P
 T $
#  $
3'3$ 
o lnea de proceso, ubicacin en seccin del proceso (nodo), los rangos de operacin
y para qu tipo de servicio estn dedicados. Debemos recordar que estamos en la
etapa de ingeniera conceptual y que estos datos son fundamentales en esta fase, no
debemos confundir este listado de instrumentos (ndice de instrumentos) con la base
de datos de instrumentos ya que el primero pertenecer al segundo en la etapa de
ingeniera de detalle y se estar actualizando continuamente. ISA no cuenta con un
'#3P
 $'
'$
'$ $
5.2.6. LISTA DE ALARMAS Y DISPAROS
En este listado se suele enumerar todas la alarmas y disparos que estn plasmados
en el P&ID, este debe incluir las secciones de proceso en las que estn ubicadas, los
puntos de ajuste, el lazo de control a la que pertenecen y regularmente se encuentra
un vnculo con documentos que sern desarrollados posteriormente como la matriz
causa y efecto de una funcin.
5.2.7. DESCRIPCIN GENERAL DEL SISTEMA DE ENCLAVAMIENTOS
Este documento describe de forma detallada los enclavamientos de proceso (interlocks), es decir, aquellas circunstancias del proceso, que si suceden, provocan acciones sobre otra parte del mismo. El documento puede presentarse como:
^

^

^
^

Una descripcin de cada uno de los sistemas de enclavamiento en los que se


indican seales o instrumentos que desencadenan la accin y los elementos e
instrumentos que ejecutan la misma.
Mediante diagramas de causa-efecto. Son tablas de doble entrada en las que
P
' ) $3
 

'$) lumnas los elementos que realizan la accin de ese enclavamiento.
Son realizados por I&C a partir de la descripcin de enclavamientos proporcionada por proceso.
Mediante diagramas lgicos. En el caso de enclavamientos con cierta complejidad, pueden representarse los mismos mediante diagramas lgicos, en
3O

#P
$


'#'
$mentos que causan los enclavamientos y los efectos o consecuencia de los
mismos.

5.2.8. MATRIZ CAUSA Y EFECTO


+$$'  $$


#P


'3#'
una funcin del control del proceso o bien de una funcin instrumentada de segu-

91

92

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

ridad (SIF). Esta matriz explicar la interrelacin de entradas y salidas de forma


lgica y funcional de cada lazo de control (vase Figura 5.5).

Figura 5.5: Matriz causa y efecto.

5.2.9. PLANO GENERAL DE LOCALIZACIN DE EQUIPOS


Estos son planos de construccin producidos por los departamentos de ingeniera
mecnica y tuberas. El grupo de ingenieros mecnicos comienza colocando los
equipos principales en una vista en planta manteniendo en mente las rutas de acceso,
los cdigos de construccin, consideraciones de peso de los equipos, etc.
Estos dibujos llegarn a ser las bases de arreglos detallados de tubera e isomtricos, as como la implantacin de instrumentos y la implementacin de soluciones de ingeniera relacionadas a las capas de proteccin externas al proceso. En la
elaboracin de este plano se requiere tomar en consideracin normas y cdigos de
espaciamiento internacionales y regionales de acuerdo a cada nacin, factores del
entorno ambiental y riesgos potenciales de incendio o explosin, ya que el no considerar estos puntos fundamentales pudiera ocasionar una mala distribucin de los
equipos de proceso dentro de una planta y con ello resultar en accidentes industriales
' 
$'P
&$
$'&''
$4 '
)  '

) $

5.3. DISEO DE DETALLE


Antes de ser liberados o aceptados los documentos de ingeniera conceptual y pasar
a la siguiente etapa de ingeniera es fundamental que los documentos generados por
el grupo multidisciplinario sean evaluados analizando los posibles riesgos y desviaciones a la intencin original del diseo, esto mediante el uso de tcnicas de anlisis
de riesgos descritas en el Captulo 6 de este libro.

Diseo conceptual del proceso

Una vez que se ha realizado el anlisis de riesgo y se han documentado las observaciones al diseo conceptual y capas de proteccin interna y externa al proceso,
se inicia la etapa de ingenieras de detalle. En esta etapa se generan mltiples docu $  
 'P
'  $)3'/$$


para el caso de ingenieras de instrumentacin y control de procesos los siguientes
documentos, sin ser limitativo este listado:
^
^
^
^
^
^
^
^
^
^
^
^

+ 'P
'  '$
  $ K
3'$ $
/ $ #
/ #P /
etc.).
G
 
'P
'
4 $'

+ 'P
'   '$
  #'
 K
3'$ $
/ $ #
/
#P L
Hojas de datos de los equipos.
Hojas de datos de vlvulas de control.
Plano de localizacin de instrumentos de control.
Hojas de datos de vlvulas de seguridad.
Hoja de datos de los instrumentos.
Tpicos de instalacin y montaje.
Plano de trayectoria elctrica.
Memoria de clculo de conductores.
ndice de entradas y salidas (I/O) del sistema de control.

PARA NO OLVIDAR


Los documentos generados en el diseo conceptual del proceso deben


estar documentados en un plan de calidad y estos deben estar perfectamente elaborados y validados ya que sern los documentos de entrada
en la etapa de evaluacin de riesgos e idencacin de funciones de seguridad, y tambin sern entradas en las especicaciones de seguridad
(SRS).
Para el caso parcular de ingeniera y diseo de funciones instrumentadas de seguridad la etapa de ingeniera conceptual y de detalle se describir dentro del libro SIS en los captulos posteriores a este y en ellos
se describirn los documentos propios de ingeniera de la seguridad funcional.

93

94

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

CONSEJOS PRCTICOS


En el desarrollo de cada documento de ingeniera de diseo conceptual


del proceso es muy importante que exista la revisin cruzada entre los
integrantes del grupo muldisciplinario, y esta revisin se debe validar
con rma de cada parcipante y fecha de la revisin, lo que facilitar mucho la trazabilidad de los documentos que se entregan al departamento
de seguridad funcional para dar inicio a la ingeniera propia del sistema
instrumentado de seguridad.

ANLISIS DE RIESGOS DE PROCESOS

Gabriela Reyes Delgado

SUMARIO: Introduccin al anlisis de riesgos. Criterios de aceptabilidad del riesgo. Tipos


  >
   

  

  >
 j  !
  >

j  !
 >
j  !
/  
%  
  
\

&  

 %  %  
j 

% <  
(HAZOP). Para no olvidar. Consejos rccos.

6.1. INTRODUCCIN AL ANLISIS DE RIESGOS. CRITERIOS DE


ACEPTABILIDAD DEL RIESGO
Las instalaciones industriales que almacenan, procesan y generan sustancias peligrosas, tienen asociado un determinado nivel de riesgo, dado que existe la posibilidad de inducir consecuencias adversas sobre elementos vulnerables (hombre, bienes materiales y medio ambiente), como resultado de los efectos dainos (trmicos,
fsicos y/o qumicos) originados por sucesos incontrolados en sus instalaciones o
actividades.
En este sentido, se entiende por accidente grave cualquier suceso (emisin en
forma de fuga o vertido, incendio o explosin importantes) que sea consecuencia de
un proceso no controlado durante el funcionamiento de cualquier establecimiento
que suponga una situacin de grave riesgo inmediato o diferido, para las personas,
los bienes y el medio ambiente, bien sea en el interior o en el exterior del establecimiento.
Las instalaciones industriales que tienen asociado un determinado nivel de riesgo
deben adoptar estrictos criterios tanto en el diseo de las instalaciones y equipos,
como en la adopcin de medidas de seguridad. Dichas medidas de seguridad se traducen en mltiples capas de proteccin de las instalaciones. Cada capa de proteccin
est compuesta de equipos y/o procedimientos de control que actan conjuntamente
con otras capas de proteccin para controlar y/o mitigar los riesgos de los procesos,
tal y como se analiz en el Captulo 3 del presente libro.
En el presente captulo, se realiza una descripcin de las principales metodologas
 '$'P
'  '#  '$

' '$'
  &Q$  P' 

capas de proteccin ms adecuadas a implementar en las instalaciones de proceso.
No obstante, ser necesario conocer de forma previa el concepto de riesgo y la forma
de establecer los criterios de aceptabilidad del mismo, antes de avanzar de forma
detallada en las distintas metodologas.

96

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

+$$'/'#P  
 '

&
&''
3
materialicen las prdidas econmicas, daos a seres humanos o medioambientales
en trminos de frecuencia y magnitud de las prdidas o daos. Se suele expresar
como el producto de magnitud y probabilidad de las consecuencias de escenario. En
la Figura 6.1 se esquematiza la descripcin del riesgo con ejemplos de las distintas
unidades que puede adoptar en funcin evidentemente de las unidades utilizadas
para la probabilidad y para la severidad.

Figura 6.1. Denicin de riesgo y ejemplos de unidades de riesgo.

Adicionalmente, para la aplicacin de algunas de la metodologas que se analizarn en el presente captulo, ser necesario que las distintas corporaciones de las
 
P
 '$'
$
&''
'#

'$

'/$''
#P
  
''


'#
AB/

P'


el riesgo es aceptable, inaceptable (y por tanto ser necesario adoptar medidas de
seguridad adicionales a las existentes) y ALARP (as low as reasonably practicable,
riesgo susceptible de ser reducido hasta donde razonablemente sea posible), para los
'$'$ 
''$'P


Figura 6.2. Grca de criterios de aceptabilidad del riesgo.

Anlisis de riesgos de procesos

6.2. TIPOS DE METODOLOGAS DE ANLISIS DE RIESGOS


 ' '$'$'P
')
'''#
'
rante todas las fases del proyecto, es decir, durante el diseo, la construccin, la
operacin, as como para otro tipo de requerimientos en instalaciones industriales.

  $
'$'P
')
'''# '$'$P]jo de los aspectos de seguridad propios de la instalacin, sino que adems permitir
' '

3$  ]' $' '
$ '$
$' Q

y evaluacin posterior de la instalacin, hasta obtener un nivel aceptable de riesgo
de acuerdo a los criterios de aceptabilidad establecidos internamente por la propia
corporacin. En la Figura 6.3 se facilita un esquema general en el que se seala la
  '

'$'P
')
'''# '$'


Figura 6.3. Evaluacin predicva del riesgo.

97

98

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Dada la gran variedad de tcnicas que se presentan, no cabe hablar de una tcnica
predominante frente a las dems. La tcnica seleccionada depender de los prop'$#' 
'$'P
')

''#/#
  'miento que se tenga de la unidad, as como de los datos y recursos disponibles.
+ 
3'
/#

 #'

 

'$'P
' narios sin el juicio de expertos en Seguridad Industrial y el apoyo de tcnicos familiarizados con las operaciones y plantas involucradas.
Los objetivos de la $''
'$ 4$'$'P
''#den ser:
^

^

Reconocer las situaciones peligrosas en actividades en las que se manejan


materiales que implican riesgos con objeto de revisar el diseo y establecer
medidas correctoras o preventivas.
$'P
 
''&
'$/ P

)

$'P

'''#


'$'$
$4 '
'$'P
''#
#
$#pos fundamentalmente:
a) Mtodos cualitativos:$'  &Q$'$
& 
'$'P
'
'#'#/
  
$ $
)8  '
 3
'Ptan cuando se convierten en accidente. Se ver ms adelante que realizan un
escrutinio (ms o menos conducido, estructurado y/o secuencial) del proceso
y del equipo, incluidos en la planta o unidad objeto de consideracin. En
ocasiones son preliminares y sirven de soporte estructural para los estudios
cuantitativos.
b) Mtodos semicuantitativos: pretenden mediante la combinacin de unos fac$ #&
 K
'
  &'P
L  '# $
&  ' $
mente el riesgo (R) o la severidad (S). Casi siempre conducen a resultados
globales y relativos que sirven para comparar riesgos procedentes de plantas
industriales diversas pero concretas. Los factores de riesgos y las escalas para
enjuiciarlos proceden de la experiencia en casos similares al que se estudie.
c) Mtodos cuantitativos: tienen como objetivo recorrer completo el tracto de
la evolucin probable del accidente desde el origen (fallos en equipos y/a
operaciones) hasta establecer la variacin del riesgo (R) con la distancia, as
como la particularizacin de dicha variacin estableciendo los valores concretos de riesgo para los elementos vulnerables situados en localizaciones a
distancias concretas.
A continuacin, se describen los principales mtodos cualitativos, semicuantitativos y cuantitativos.

Anlisis de riesgos de procesos

6.3. METODOLOGAS CUALITATIVAS


Se trata de tcnicas de anlisis crtico que no recurren al anlisis numrico. Su obje$'' '
'$'P
7
a) Riesgos.
b) Efectos: incidentes y accidentes cuando se materializan los riesgos.
c) Causas: orgenes o fuentes de los riesgos.
Emplean diferentes herramientas lgicas y auxiliares.
Algunos de ellos establecen estructuras lgicas secuenciales, causas/riesgos/ efec$3/
 '$'P
/'  $




'' ' 
$'$
$'
cuantitativos posteriores.
En otros casos el barrido sistemtico de causas/riesgos/efectos conduce a detectar
parte de los sistemas (de proceso, de instrumentacin de equipo, etc.) que, por ser
complejas y/o delicadas, requieren el anlisis mediante mtodos ms penetrantes o
ms cuantitativos.
Dado que los anlisis cualitativos sirven, muchas veces, como base para otros
semicuantitativos o cuantitativos, es importante la calidad de los primeros.
A continuacin describiremos algunos de los mtodos cualitativos ms frecuentemente utilizados:
6.3.1. BASES DE DATOS O ANLISIS HISTRICO DE ACCIDENTES
Descripcin
N

$4 '
'$'P
'
'$ 
 $$''


las bases de datos de accidentes. Mediante esta tcnica se podr tener acceso a los
accidentes ms frecuentemente ocurridos en relacin con un proceso determinado o
una sustancia peligrosa involucrada, conociendo sus causas y sus consecuencias y
basndose en ellos extraer conclusiones y recomendaciones.

$
$
$

 
$'P

&
&''


cidentes, como para conocer los equipos a los que suelen asociarse fallos, as como
los desarrollos de accidentes ms usuales y de esta forma tomar medidas preventivas
sobre las posibles causas iniciadoras, as como medidas mitigantes de los efectos.
Principales bases de datos
Existen multitud de bases de datos que aportan informacin, bien acerca de los ratios de fallos en equipos, bien en relacin a los accidentes ocurridos en el mundo,
indicando sus causas y consecuencias, as como en relacin a sustancias peligrosas.
Entre ellas, destacan las siguientes:

99

100

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

^
^
^

Bases de datos de accidentes: FACTS (TNO), MARS (CEE), MHIDAS


(UK), etc.
Bases de datos de accidentes: NCSR (UK), IEEE (USA).
Bases de datos sobre sustancias: UMPLIS (G), CHEMDATA (UK), ECDIN
(CEE), R.D. 363/95, RTEC.

El empleo de bases de datos debe plantearse como una tcnica de apoyo, de forma
que una vez conocido el historial de accidentes caracterstico de un tipo de instala '/PQ


 $'+$$'/#
$''

contar con datos de accidentes obtenidos de la propia instalacin, en aquellos casos
en los que sea posible.
Procedimiento de aplicacin
1. Obtener informacin y datos de las bases de datos: informes sobre los accidentes.
2. Discernir qu informes son asimilables a la instalacin que est siendo objeto
de consideracin: seleccin de informes aplicables.
3. Elaboracin estadstica (suele ser corta: medias, frecuencias) que permitan
los informes.
4. Estudio tcnico de cada accidente (y de sus orgenes, frecuencias y consecuencias) para revisar los puntos crticos (de instalacin y operacin) que

'P$
5. Adopcin de medidas tcnicas que neutralicen los riesgos originados en dichos puntos crticos. Se sabe qu medidas se adoptaron en los accidentes
estudiados para evitar su repeticin?
Ventajas de aplicacin de la metodologa
1. Basado en casos reales.
2. Simple y barato.
3. Directo a causas importantes.
Aspectos a considerar en la aplicacin de la metodologa
1. Solo casos reales ms importantes.
2. La documentacin de los casos incluidos puede ser incompleta.
3. Puede haber causas crticas que no se han manifestado en los accidentes estudiados o que no se han detectado.
4. La aplicacin a instalaciones similares, pero diferentes, puede no ser acertada.
5. 
 
$'P
' '
)
G '
$ $ 
'$
$'
6. Es frecuente que no estn claras las causas inmediatas de los accidentes reseados en los bancos de datos.

Anlisis de riesgos de procesos

Idoneidad
1. Evaluacin rpida, directa y econmica de riesgos y causas ms importantes
en instalaciones existentes y en proyecto.
2. 

'$'P
 
'
'$

:j

%

1. Acceso a los bancos de datos (SONATA, TNO, etc.).
2. Equipo profesional experto en diseo, instalacin, operacin normalmente
sin recurrir a expertos ajenos a la organizacin de la compaa que disea y/u
opera la instalacin.
6.3.2. ANLISIS HAZID O ANLISIS PRELIMINAR DE RIESGOS
Introduccin
+ 4$'$'P
' 
'#'++NN/)
'

$
 $
#


/3$
$

'

'$'P
''

de riesgos en la primera fase de diseo, evitando de este modo el costo que supondra
'J 'P
'
$


$


'
La aplicacin del anlisis del riesgo preliminar (preliminary hazard analysis,
PHA) o anlisis HAZID (hazard identication) ser de especial utilidad en aquellos
casos en los que no se tenga informacin detallada sobre el historial de fallos, incidencias o problemas potenciales relativos a seguridad industrial en plantas de proceso, tal como puede suceder con plantas nuevas que empleen procesos industriales no
aplicados hasta la fecha.
Procedimiento de aplicacin
1. Obtener informacin y datos sobre materiales, operaciones previstas.
2. Discernir si se puede aprovechar la semejanza con otros procesos u operaciones experimentados anteriormente. Explorar y explotar tales semejanzas.
3. Exploracin de las operaciones y equipo de las que cabe prever criticidad:
riesgos implicados (toxicidad, corrosividad, carga energtica contenida, etc.).
4. Estudio tcnico de los aspectos crticos que se hayan detectado en 3).
5. Adopcin de medidas tcnicas que disminuyan el riesgo previsto para los
aspectos crticos.
Ventajas de aplicacin de la metodologa
1. Simple y barato.
2. Directo a causas importantes.

101

102

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Aspectos a considerar en la aplicacin de la metodologa


1. No es sistemtico: puede no considerar algunas causas importantes pero poco
aparentes.
2. Depende mucho de los conocimientos y experiencia de los ejecutantes.
3. Absolutamente cualitativo y desestructurado.
Idoneidad
Se usa para instalaciones y procesos en etapas de desarrollo y proyecto: cuando no
hay otro remedio y hay urgencia.
:j

%

Ejecutantes que puedan suplir, con sus conocimientos y experiencia, la falta de informacin real y concreta (sobre riesgos y sus consecuencias) procedente de experiencias concretas anteriores.
Resultados
Se dan en forma de lista o tabla, en la que se incluye:
^
^
^
^

('#'$'P
''#
Causa.
Consecuencias.
Medidas o acciones correctivas.

6.3.3. ANLISIS WHAT IF?


Introduccin
El anlisis What if?/ 4$'$'P
''# ) 


prctica habitual de las industrias qumicas. Trata de llegar a determinar por medio
de preguntas, qu posibles consecuencias se daran ante un determinado fallo.
Descripcin
La cuestin del Qu ocurrira s...? se puede aplicar a los distintos aspectos relacionados con la seguridad industrial, es decir, equipos, instalaciones, sistemas elctricos, materias primas, productos, almacenamientos, procedimiento de operacin,
procedimientos de emergencia, etc. Sin embargo, la utilidad del mtodo depender
en gran medida del grado de conocimiento sobre los procesos desarrollados y la habilidad para encontrar los puntos crticos, de forma que si la experiencia del personal
es escasa, el mtodo generar unos resultados necesariamente incompletos.

Anlisis de riesgos de procesos

Las preguntas comenzarn, por lo general, contemplando un suceso iniciador, a


lo que seguir un anlisis de las consecuencias previsibles, que requerir conocer el
comportamiento del sistema, dando como resultado recomendaciones en forma de
medidas correctoras. Comparte elementos con el Hazop, si bien el anlisis What if?
es menos sistemtico y estructurado.
Ejemplos:
^
^
^
^
^

Qu ocurrira si se introduce una sustancia equivocada en el reactor?


Qu ocurrira si el operario cierra mal la vlvula?
Qu ocurrira si la tubera se obstruye?
Qu ocurrira si la temperatura ambiental supera los 30 qC?
Qu ocurrira si se produce fuego exterior involucrando al tanque?

Procedimiento de aplicacin
1. Se elige un enfoque o alcance para cada parte del estudio (seguridad del propio proceso, seguridad de las personas, seguridad elctrica, DCI o Defensa
Contra Incendios, etc.) o se decide llevar el estudio de manera global con la
sola referencia a la secuencia del proceso.
2. Se explica el funcionamiento del proceso.
3. Empezando por el principio del proceso, avanzando a lo largo de las etapas
 ' 
$
P
/
$
)
$
$

#$
What if?
que se les ocurra a los participantes. No contestarlas durante esta etapa. Puede ser conveniente, despus de lo anterior, revisar estudios What if? anteriores, si hay, para comprobar si hay preguntas What if? adicionales.
4. Contestacin a las preguntas What if?, una por una. Por todo el equipo. Algunas requerirn estudio aparte o la participacin de especialistas (control,
materiales, mantenimiento, etc.).
5. Consideracin, para cada pregunta What if?, de qu medidas existen y cules cabe tomar para prevenir el riesgo, anulndolo o disminuyndolo, en su
origen.
6. Efectuar todo lo anterior para cada una de las partes decididas en 1, o, si se
ha hecho el estudio nico sin partes, reagrupar preguntas, contestaciones y
remedios segn los enfoques que se consideraron all.
7. Redactar informe recogiendo: a) Breve descripcin y esquema del proceso;
b) Preguntas What if?; c) Su anlisis y contestacin; d) Descripcin razonada

 Q
K
$
$'
 'P
'L$


$
'

reducir riesgos.
Ventajas de aplicacin de la metodologa
1. Creativo, espontneo e intuitivo.
2. Variado: considera riesgos de orgenes varios.

103

104

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

3. +  ' $' ) '7


'P$
) '


'recta las consecuencias causas/consecuencia/remedio ms importantes.
4. )T$'

$

$4 ' 
'$'P
''#
5. +P



'' 
'$
$''' '
7 '
'$

$'


$3&&Q$$' '
$ 4$ P$'

Aspectos a considerar en la aplicacin de la metodologa
1. Al ser desestructurado pueden pasar desapercibidos riesgos ocultos.
2. Depende mucho de la experiencia de los intervinientes y del conocimiento de
su seguridad y operacin, no solo de su unidad, sino de otras similares.
3. Como mtodo nico de estudio solo sirve para instalaciones y procesos muy
sencillos.
Idoneidad
Muy til en revamping y duplicacin de plantas ya existentes, ya que se dispone de
personal con experiencia.
:j

%

Grupo profesional poco numeroso (3 o 4), pero con buenos conocimientos del proceso, del equipo y de las operaciones.
6.3.4. ANLISIS MEDIANTE LISTAS DE CHEQUEO O CHECK LIST
Introduccin

'$
 3'$
 
$4 '
'$'P
'
'
ble para la evaluacin de equipos, materiales o procedimientos y utilizable durante
cualquiera de las etapas de desarrollo de un proyecto.
Deben ser preparadas por personal que est familiarizado con el funcionamiento
general de la planta y los procedimientos estndares de la compaa. Una vez que
est preparada, su aplicacin puede corresponder a personal menos experimentado,
siempre que cuente con la supervisin de algn experto.
Las listas de chequeo se ajustan generalmente a unas normas mnimas, de forma
que sean susceptibles de evaluaciones posteriores. Dichas evaluaciones deben ser
realizadas por personal ajeno al que prepare las listas de chequeo y resultarn en

$
'
'/
'
' 'P
'
 '

Descripcin
El mtodo de las listas de chequeo, tal como se ha descrito, consiste en la elaboracin
de una lista de aspectos a comprobar en relacin con la seguridad de una instalacin

Anlisis de riesgos de procesos

industrial y elaborada en funcin de la etapa del proyecto: diseo, construccin,


arranque, operacin y parada.
Dicha metodologa se utiliza igualmente para comprobar el cumplimiento de
determinados reglamentos y normas, en sus aspectos tcnicos y de seguridad ms
relevantes.
Es, por tanto, un mtodo de estructura lineal con lista de cuestiones concretas, relativas a los aspectos de proceso y de riesgo, que cabe plantear para todas las etapas
de un proyecto, de la operacin de la planta, de las paradas, etc.
Las listas deben cubrir todos los elementos de equipo (aparatos, tuberas, vlvulas, instrumentos, controles, alarmas, etc.). Es tpico el empleo de este mtodo en las
auditoras de seguridad que se efectan a procesos y plantas.
Procedimiento de aplicacin
1. Analizar la normativa y estndares de aplicacin o referencia a utilizar.
2. Realizar las listas de chequeo basndose en el punto 1.
3. Realizar los controles y evaluacin de la lista sobre la instalacin objeto de
estudio.
Ventajas de aplicacin de la metodologa
1. Fcil, directo y controlado.
2. Bueno para adiestramiento de evaluadores de riesgos.
3. Proporcionan una demostracin clara del cumplimiento de las regulaciones
de referencia.
Aspectos a considerar en la aplicacin de la metodologa
1. Calidad muy dependiente de la de las listas de comprobacin empleadas;
pueden pasarse por alto riesgos no incluidos.
2. El alcance est muy limitado a las regulaciones de referencia empleadas para
preparar las listas.
Idoneidad
Dentro de sus caractersticas, comentadas antes, las listas de chequeo pueden servir


) $
$

' '


O'$$ 'P
'R
bin sirven como base para enjuiciar, mediante auditora, el cumplimiento o no de
regulaciones de instalaciones existentes. Los casos de no cumplimiento deben origi
  
'

 'P
  $ $
'$

' 
:j

%

Si bien realizar las listas de chequeo es un trabajo riguroso y lento, realizar la comprobacin es un mtodo directo, rpido y barato.

105

106

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

6.3.5. ANLISIS DE LOS MODOS DE FALLO Y EFECTOS (FMEA)


El anlisis de los modos de fallo y efectos (failure modes and effects analysis) tiene
como objetivos los siguientes:
1. Establecer los fallos posibles en todos y cada uno de los elementos de equipo
(de proceso y de control) en una planta.
2. Analizar las consecuencias de los fallos establecidos en el paso anterior para
detectar aqullas que puedan ser origen de accidentes.
3. +$
&  '
$ '3'$
3
'#'P
$'
Descripcin
En general, se parte de un listado de los equipos y componentes de la instalacin
 $'&

/)/



/&'$'P

modos de fallo.
Algunos ejemplos de las desviaciones que se consideran modos de fallo, se pueden ver en la Tabla 6.1.
Tabla 6.1 Desviaciones como fallos FMEA.
DEBE

FALLO

Estar cerrado

Estar abierto

Estar abierto

Estar cerrado

Flujo

No uir

En marcha

Parado

Estanco

Fuga

Seal de indicacin o mando

Falta de seal

Accionamiento

Sin accionamiento

Refrigeracin

Sin refrigeracin

Abrir

No abrir

Cerrar

No cerrar

Sin fuga

Fuga

Etc.

No etc.

El desarrollo del FMEA se facilitar utilizando una tabla del tipo como la que se
muestra en la Tabla 6.2.
Procedimiento de aplicacin
1. Dividir la instalacin en secciones de estudio.
2. $'P
)'$
$ $3'K ) $L
dentro de una seccin del proceso en la planta.

Anlisis de riesgos de procesos

3.
4.
5.
6.

*P' '
'$

 $3'
*P'
'&
*P'
   '

P'
+$
& '
P')
   '
P'

 $

$
 $3'

$3$4 '
+

P
$'
debe trasladarse la parte del anlisis correspondiente al elemento receptor de

'] '


$ '
   '
& ' 
7. Discernir y recomendar medidas preventivas viables que eviten los fallos
P'/3
'#'P
$'
 $#'

8. Registro escrito (informe) del anlisis.
Tabla 6.2. Tabla para anlisis FMEA.

Ventajas de aplicacin de la metodologa


1. Es econmico: va directamente a los fallos importantes procedentes de la
experiencia y del funcionamiento de los aparatos. Requiere pocos analistas
(1-2).
2. Puede servir como base para detectar sistemas, elementos y fallos que deban
ser objeto de anlisis ms profundos.
3. Documentacin bsica sencilla.
4. G 
$'P
&
&''
  '
 
/
ciendo que el anlisis sea semicuantitativo, como veremos ms adelante.
Aspectos a considerar en la aplicacin de la metodologa
1. No es sistemtico, pueden pasarse por alto fallos y consecuencias.
2. No considera combinaciones de fallos coincidentes o en secuencia.

107

108

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Idoneidad
1. Aplicable a distintas etapas de proyecto y a la operacin de plantas existentes.
2. Muy aplicable para el anlisis de sistemas de control de procesos.
:j

%

El equipo deben formarlo de 1 a 3 personas, y es un proceso ms lento que los analizados anteriormente.
6.3.6. ANLISIS MEDIANTE RBOL DE FALLOS (FTA)
Introduccin
El anlisis mediante rboles de fallos (fault tree analysis, FTA) es una herramienta
muy utilizada en los anlisis sobre la seguridad de sistemas o elementos en plantas qumicas. Una de las principales ventajas del mtodo es su sistematizacin, que
permite determinar los diversos factores que contribuyen a los accidentes, si bien
requiere un cierto grado de conocimiento tanto de la planta y del proceso, como del
mtodo en s.
+#

' $'  '$' 'P


 '
&

tareas a realizar.
Descripcin
+ 4$R  '
 
'$'P
'
'$

$'
$K P
top event), se llegan a determinar mediante un proceso inductivo
los sucesos bsicos o iniciadores, as como las diferentes formas secuenciales que
 '$/
$
4
'$'&''
/3
$ ' '$P
$#

lugar.
La interrelacin entre los diferentes sucesos y sus causas se establece de forma
#P
 '
$
' &#
&


&#' /3
''$
''
+ 4$ '$$ '

&
&''
3
$ ' '$P
 
/ '
&
&''
  '
 &' '$'P
dos.
En la Tabla 6.3 se recogen los smbolos lgicos ms empleados en el anlisis
FTA.

Anlisis de riesgos de procesos

Tabla 6.3. Smbolos lgicos ms usuales en FTA.

Procedimiento de aplicacin
D '$
 P
K6L7   Q/

'
/
pero los ms fciles de intuir y de obtener de la experiencia o de un banco
de datos. Ejemplos: explosin de un recipiente a presin (depsito, reactor,
etc.), explosin e incendio en un horno, fallo de un gran compresor, etc. Conviene listarlos todos antes de pasar a sucesos intermedios y bsicos. Cada

109

110

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

SF ser la cabecera de un rbol de fallos independiente. Posteriormente cabe


la posibilidad de agrupar los rboles de fallos tomando como nuevos SF los
accidentes fundamentales (emisin, incendio, explosin, etc.) para componer
la probabilidad (cuando se haga anlisis cuantitativo segn veremos) de cada
uno de dichos accidentes fundamentales.
2. Establecer y listar los sucesos intermedios (SI) y bsicos (SB) mediante el
camino inductivo y las preguntas:
Por qu ocurre el SF?: sucesos intermedios y bsicos; relaciones efectocausa.
Son alternativos?: puertas OR.
Son concurrentes?: puertas AND.
Conviene actuar en pasos cortos para no saltar sucesos intermedios y puertas,
lo que afectara negativamente a la calidad del rbol y de su anlisis.
3. Dibujar el rbol de fallos. Utilizando los smbolos de la tabla 6.3. A efectos
 '



$
K '$ 'P
L 
letras y los sucesos bsicos con nmeros. No conviene ahorrar el empleo de
actividades intermedias: intercalarlas siempre entre puertas. Ser interesante
P'
$4 '
' ' '
 )83'7$''co.
4. Se determinan los conjuntos mnimos de fallos (cmf), mediante el lgebra de
boole o mediante el mtodo matricial y el empleo de ordenadores que facilita
la aplicacin y clculo del rbol.
Ventajas de aplicacin de la metodologa
1. Permite y prepara un anlisis cuantitativo detallado posterior.
2. La preparacin y anlisis de rboles de fallos hace que los analistas obtengan
un conocimiento muy profundo del proceso, as como de sus puntos fuertes y
dbiles en lo relativo a la seguridad.
3. Genera recomendaciones de mejora muy concretas. Facilita el establecimiento de prioridades para proponer y ejecutar mejoras, permitiendo comparar
alternativas.
4. Muy til para el anlisis complejo de un accidente posible, detectado nor
 $
$
4$
$4 '


''$'P
''#
Aspectos a considerar en la aplicacin de la metodologa
1. Requiere mucho tiempo: esto puede aliviarse mediante el empleo de programas de ordenador.
2. Pueden no detectarse fallos (SI o SB) que quedaran sin considerar.
3. Pueden darse errores en la lgica del rbol: no considerar fallos intermedios,
relaciones-causa-efecto y/o puertas incorrectas, etc.
4. Siendo una tcnica binaria (considera posibilidades s/no) no tiene en cuenta

Anlisis de riesgos de procesos

la velocidad a que puedan producirse los acontecimientos, siendo tal velocidad determinante en que un evento sea peligroso o no.
Idoneidad
Al ser un sistema tan complejo y que analiza con tanto rigor el fallo, es especialmente til para el anlisis detallado de accidentes posibles.
:j

%

1. Necesidad del paquete completo de ingeniera bsica y de detalle del sistema.
2. Equipo analista multidisciplinar, incluido un especialista en la metodologa
de anlisis.
3. Se hace de importancia capital el uso de herramientas informticas.
4. El tiempo dedicado por Suceso Final es importante, de forma que analizar todos los posibles accidentes mediante esta tcnica sera muy costoso en tiempo y medios.
6.3.7. ANLISIS MEDIANTE RBOL DE SUCESOS
Introduccin
Los rboles de suceso (event tree, ET) evalan las posibles consecuencias asociadas
al fallo en un equipo o alteracin en el proceso. As como los rboles de fallo utiliza&

$ 'K

$'
'$P
/'$'#

'&

L/
los rboles de suceso utilizan un anlisis que va hacia adelante (a partir de un suceso
bsico iniciador (SB), determinan sus posibles consecuencias).
Los rboles de sucesos establecen los posibles desarrollos de accidente que segui
PQ
/3#
$''


 
'$'P

'&
consecuencias que resultan tras un fallo. Asimismo, su utilizacin permitir conocer
34
'$
'
/
)
$
$P /  #

 
$'
T'  '' '
/3'3 
'

'$'P
'
escenarios.
Procedimiento de aplicacin
1. $'P
' &' '' '
K6<L+$'
 $

los elementos del equipo (de proceso y de control) se contesta a las preguntas
Qu puede fallar de este elemento y de cada una de sus partes? (Ejemplos:
en un compresor: vlvula de seguridad, lubricacin, sellos, accionamiento,
rodete, etc.). Cada suceso bsico iniciador relevante ser la cabeza o suceso
capital de un rbol de sucesos separado.
2. Aplicacin de la disyuntiva (s/no o fracaso/xito) al suceso bsico capital
del rbol.

111

112

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

3. Deduccin del suceso intermedio, sobre cada una de las alternativas de la


disyuntiva, cuando haya lugar (ejemplos: ignicin, rotura de eje, etc.).
4. '
'
$ ' '
$K L3']'&


$nativa de las disyuntivas establecidas en 2 (ejemplos: alarma, intervencin
humana o automtica derivada de aqulla, alivio mediante dispositivo de seguridad, parada de emergencia, etc.).
5. Aplicacin de la disyuntiva (s/no o fracaso/xito) a cada suceso intermedio
y/o factor condicionante dispuesto en secuencia lgica de ocurrencia. [Ejemplo: ignicin (s/no)-deteccin (s/no)-alarma (s/no)-actuacin DCI (s/no)extincin (s/no).]
6. ($
'#P
7 &' K6<L/ '$ 'K6L/
tores condicionantes (FC) formando el rbol de sucesos.
7. +O
' $'
$

')$'
P'


'
) 6
y ms FC que deban tenerse en cuenta en el anlisis. Si aparecen: aplicar 3, 4,
5 y 6 como sea oportuno. Si no aparecen: las disyuntivas ltimas determinan

   '
P

''
8. Establecimiento y anlisis de las consecuencias. Una consecuencia puede
ser: sin consecuencia.
9. Determinacin y registro escrito de las recomendaciones derivadas del anlisis. Las mejoras se traducirn en nuevos FC, o en la eliminacin de FC anteriores, con los que conviene repetir el anlisis para observar la sensibilidad
(resultado, sobre las consecuencias) del rbol a las medidas recomendadas.
Ventajas de aplicacin de la metodologa
1. Permite y prepara un anlisis cuantitativo ulterior.
2. Los analistas ganan conocimiento detallado del equipo y del proceso.
3. Genera recomendaciones de mejora muy concretas (y de alcance medido si
se hace el anlisis cuantitativo).
4. El rbol es ms sencillo de establecer y analizar que los de fallos.
5. Muy til para determinar las diferentes hiptesis de consecuencias a las que
puede dar lugar un accidente determinado.
Aspectos a considerar en la aplicacin de la metodologa
1. Requiere mucho tiempo: esto puede aliviarse mediante el empleo de programas de ordenador (sobre todo cuando el anlisis sea cuantitativo).
2. Puede no detectar fallos (SB, SI, FC) que quedaran sin considerarse.
3. Puede haber errores en la lgica del rbol.
Idoneidad
Sistemas complejos de procesos incluyendo muchos aparatos, instrumentos, equipo
para control y alarma, operadores humanos, etc.

Anlisis de riesgos de procesos

:j

%


Al igual que para el caso de los anlisis mediante rboles de fallos, tanto los medios
materiales como humanos necesarios son abundantes, lo que hace que sean tcnicas
aplicadas a sucesos concretos.
6.3.8. ESTUDIOS DE RIESGOS Y OPERABILIDAD (HAZOP)
Introduccin
Los estudios de riesgo y operabilidad (HAZard and operability studies, HAZOP)
$'$)

$4 '
 $ $



'$'P
'#
 '



$
 R
$
'$'P

'&'
'$

las condiciones de diseo que pueden darse en una planta qumica.

3#'  $4 '
'$'P
''#

 
desconocidos, en los que el diseo o la tecnologa empleada era nueva, su uso se ha
extendido a la mayora de las fases de desarrollo de una instalacin.
El claro desarrollo de su metodologa y su versatilidad a la hora de aplicarse a
cualquier tipo de instalacin industrial, fundamentalmente en el campo de la industria qumica y petroqumica, ha hecho que en los ltimos tiempos sea, sin duda, la
tcnica de anlisis de riesgos en procesos ms utilizada.
El mtodo HAZOP (HAZard and operability study), fue presentado por primera
vez por ingenieros de la ICI Chemicals en el Reino Unido a mediados de los aos 70
y comprende la investigacin de posibles desviaciones frente a las condiciones de diseo para las lneas y elementos pertenecientes a una determinada unidad de proceso.
Descripcin
El equipo sigue, dentro de un proceso de brainstorming, una estructura analtica por
medio de un conjunto de palabras gua para examinar desviaciones de las condiciones normales de proceso en varios puntos clave (en adelante NODOS) a lo largo
del proceso. Estas palabras clave son aplicadas a los parmetros ms relevantes del
proceso (por ejemplo, caudal, temperatura, presin, composicin) con el objeto de
'$'P



)   '

'
'$
 $ 
 $

'$'
 $/
'$'P
'   '

deseadas (o inaceptables) dan como resultado recomendaciones para mejoras del
 +$
' ' 'P
''J/'' ' '$/
'P
'
  $
' '$
/$'
' '
/$ 
Las sesiones HAZOP se recogen en tablas HAZOP, en las que se anotan los distintos NODOS analizados. A continuacin se indican los trminos ms usados en la
metodologa del anlisis HAZOP:


$ P  K$


  3'

L
que se evalan posibles desviaciones del proceso.

113

114

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...













 : descripcin de cmo se espera que se comporte el proceso en
un determinado nodo. Suele describirse cualitativamente como una actividad
(por ejemplo alimentacin, reaccin, sedimentacin) y/o cuantitativamente
por medio de parmetros del proceso, como temperatura, caudal, presin,
composicin, etc.
    forma en que las condiciones del proceso se alejan de su intencin.

 el parmetro relevante para la(s) condicin(es) del proceso; por
ejemplo, presin, temperatura, composicin, etc.
 palabra que representa la desviacin de la intencin.
Las ms usuales son: no, ms alta, ms baja, diferente, parte de, e inverso.
Adems, palabras clave como demasiado pronto, demasiado tarde, en lugar
de, etc., tambin se usan; las ltimas principalmente para procesos de tipo
discontinuo.
Las palabras gua se aplican de manera independiente a los distintos parme$/ &Q$'$'P
'
''

/'&/pecto de la intencin.
 la(s) razn(es) por las que podra ocurrir una desviacin. Pueden
'$'P

'





 '
'
'
    los resultados de la desviacin en caso de que ocurra. Las
consecuencias pueden abarcar tanto riesgos asociados al proceso, como problemas de operatividad, tal como parada de la planta o prdida de calidad del
producto. Pueden asociarse varias consecuencias para una misma causa y, a
su vez, una sola consecuencia puede ser originada por varias causas.
 instrumentos o protecciones del sistema que pueden ayudar a
reducir la frecuencia de ocurrencia de la desviacin o mitigar sus consecuencias. Es posible distinguir, en principio, cinco tipos de protecciones:
1. Medios destinados a detectar la desviacin. Incluyen, entre otros, la instrumentacin de alarma y deteccin o la supervisin por parte de operadores.
2. Instalaciones que compensan la desviacin; por ejemplo, sistemas automticos de control que reducen la alimentacin a un depsito en caso de
sobrellenado (aumento de nivel). Normalmente son una parte integrada
dentro del control del proceso.
3. Instalaciones que previenen que ocurra una desviacin. Un ejemplo para
ello es el establecimiento de un blanketing de gas inerte para el almace
'$$
 '
']

&
4. Instalaciones que previenen un agravamiento de la situacin como consecuencia de la desviacin, tal como el disparo de una actividad. Estas
instalaciones estn a menudo enclavadas con varias unidades del proceso, y controladas por computadores lgicos.
5. Instalaciones que alivian al proceso de la desviacin peligrosa. Comprenden, por ejemplo: vlvulas de seguridad (PSV) y sistemas de venteo.

Anlisis de riesgos de procesos





    
$''
'$'P


$
''%WG


#' '$  ) $
  'P
'  Q
 $4 '
 3
afecten a los sistemas de control, de sealizacin o de emergencia, a las condiciones de diseo de lneas y equipos, o a los procedimientos y documentacin
 '$
/''
  
'$' P $


  cualquier aclaracin a hacer a las recomendaciones o a aspectos surgidos durante las sesiones HAZOP.

Procedimiento de aplicacin
El procedimiento consiste en un estudio sistemtico y estructurado llevado a cabo
por un equipo multidisciplinar de profesionales liderados por un coordinador, de

'$

'3'3')

/ '/$ P 
proceso o NODOS, donde se van a evaluar las correspondientes desviaciones.
Esto se lleva a cabo mediante la aplicacin de una lista de palabras-gua, cuyo
'#'P

R
&
A@/
 Q$
 $ 

analizar, entre los que pueden encontrarse ujo, presin, temperatura, nivel, concentracin, ratio de reaccin, viscosidad, pH, agitacin, fase o tiempo de residencia.
Tabla 6.4. Signicado de las palabras gua.

PALABRAS GUA
NO

SIGNIFICADO
NEGACIN O AUSENCIA DE LAS ESPECIFICACIONES DE DISEO

MS
MENOS

AUMENTO O DISMINUCIN CUANTITATIVA


Se reere a variables de proceso como caudal, presin, temperatura, o a acvidades (calentar, reaccionar, etc.).

MS DE
o
AS COMO

AUMENTO CUALITATIVO
Si bien se realiza la funcin deseada, junto a ella ene lugar una
acvidad adicional.

PARTE DE

DISMINUCIN CUALITATIVA
Se realiza solamente una parte de la funcin deseada.

INVERSO

OPOSICIN A LA FUNCION DESEADA


Ulizable preferentemente para acvidades (ujo de retroceso,
inversin de reaccin qumica, etc.).

DE OTRA FORMA

SUSTITUCIN COMPLETA DE LA FUNCIN DESEADA

De la combinacin de las palabras gua con cada uno de los parmetros se obtienen las desviaciones frente al comportamiento normal que el mtodo pretende
evidenciar.

115

116

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Es necesario precisar que el estudio debe comprender, tal y como se indic anteriormente, todos los estados o modos de funcionamiento de la Unidad, como operacin normal, arranque y parada, por lo que los NODOS deben elegirse de forma que
con ellos queden englobados todos los modos de operacin o intencin.
Establecidas las desviaciones objeto de consideracin, se investigan mediante un
proceso inductivo las causas que pueden provocar esa desviacin en el NODO en ese
modo de operacin o intencin.
Para esa causa, se investigan deductivamente las consecuencias posibles de la
desviacin, as como las salvaguardias que el proceso dispone para evitar la causa
o mitigar las consecuencias. En ese caso, llegaremos a una de las tres posibilidades
siguientes:
^
^
^

Las consecuencias no entraan riesgo: descartar la consideracin de esta desviacin en concreto.


Las consecuencias entraan riesgos menores o medianos: consideracin de
esta desviacin en la etapa siguiente.
Las consecuencias entraan riesgos mayores: consideracin de esta desviacin en la etapa siguiente.

En el caso de que la consecuencia no entrae ningn riesgo, se obviar ms prdida de tiempo, o bien se anotar que no tiene consecuencias.
Ahora bien, para aquellas consecuencias, que aun disponiendo de salvaguardias
impliquen un riesgo, ser necesario adoptar acciones correctoras o recomendaciones
que de alguna forma palien la consecuencia o la causa.
Las recomendaciones deben ser consensuadas entre el grupo de trabajo, y le ser
asignada por el coordinador de estudio a un miembro del equipo de trabajo, que quedar encargado de contestarla e implantarla.
Finalmente, desviaciones, causas, consecuencias, salvaguardias y recomendaciones deben quedar por escrito en un formato como el ilustrado en la Figura 6.4.

Anlisis de riesgos de procesos

Figura 6.4. Modelo de tabla HAZOP.

Esta secuencia operativa deber repetirse con todas las palabras gua, parmetros
y desviaciones, para cada NODO/)P
 $

$NODOS de la Unidad
a analizar.

117

118

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Una secuencia lgica de trabajo puede verse en la Figura 6.5.

Figura 6.5. Secuencia operava de un Estudio Hazop.

6.4. METODOLOGAS SEMICUANTITATIVAS


Se trata de tcnicas de anlisis crticos que emplean ndices globales del potencial de
riesgo estimados a partir de las estadsticas. Estas pueden ser de disposicin general, o procedentes de la experiencia de las compaas en el diseo y la operacin de
plantas semejantes a las que se trata de enjuiciar.
En algn caso (mtodo FMECA) se mezclan la estimacin completamente cuantitativa de la probabilidad con la semicuantitativa (ndices globales) de la severidad.

Anlisis de riesgos de procesos

Estos mtodos suelen conducir a conclusiones comparativas:


^
^
^
^
^

Entre distintas plantas existentes.


+$'$
'/
 '

$
/
$)4 'P
'
ampliaciones.
+$ '$''#'
 ' P
Entre alternativas de diseo dentro de un mismo proceso.
Entre cualquiera de los anteriores y unos valores, tambin procedentes de la
experiencia, que se consideran aceptables.

6.4.1. ANLISIS DE RIESGOS CON EVALUACIN DEL RIESGO INTRNSECO


Introduccin
El objetivo fundamental de esta tcnica es facilitar una auditora sistemtica y semicuantitativa de instalaciones qumicas existentes, solicitando, si fuese preciso, anlisis parciales ms profundos de algunas secciones o determinar qu secciones pueden
ser objeto de mejoras.
Descripcin
Existen varios mtodos de esta naturaleza. Participan del anlisis preliminar de ries# )  
'' '
$ '$
  3  ' 
 P '$
para la elaboracin semicuantitativa de un ndice de riesgo intrnseco que permite
hacer comparaciones relativas entre diferentes plantas o entre diferentes unidades de
una planta.
Hay un mtodo, originado por Gretener, que se emplea para evaluar el riesgo de
' ''P '/
' ' $'$$-
'
6#'
%'#'
Trabajo ha desarrollado y publicado una metodologa de este tipo denominada ndices de procesos qumicos: gua de autoevaluacin.
Dicha gua incluye un cuestionario para informacin o comprobacin de numerosos aspectos relacionados con la seguridad de las instalaciones, como peligrosidad
de las sustancias qumicas, peligrosidad del proceso, y otros muchos.
Posteriormente, se realiza una valoracin semicuantitativa basada en una puntuacin o ndice individual de riesgo, y combinando todos ellos tal y como indica la gua
se llega a obtener los ndices globales de riesgo (IGR) para cada captulo analizado.
Procedimiento de aplicacin
1. Cumplimentar los cuestionarios para evaluacin (Anexo I de la Gua): marcar cuadrados.
2. Asignacin de los ndices individuales (IIR) dados (Anexo II) para los cuadrados marcados.
3. Evaluacin de los ndices globales (IGR), utilizando las ecuaciones dadas
(Anexo II) para cada captulo.

119

120

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

4. Enjuiciamiento por captulos segn criterio establecido.


5. Revisin de los captulos con IGR altos para detectar las contribuciones ms
'#'P
$'

6. *P' ' Q

Ventajas de aplicacin de la metodologa
1.
2.
3.
4.

Simple, barato y controlado.


Directo a causas importantes.
Buen adiestramiento de responsables de seguridad e higiene en las plantas.
Proporcionan demostracin del cumplimiento de las regulaciones de referencia.

Aspectos a considerar en la aplicacin de la metodologa


1. No entra en las entraas de los procesos.
2. Alcance limitado a lo incluido en las comprobaciones.
Idoneidad
Principalmente para el enjuiciamiento, auditora y mejora en plantas existentes.
6.4.2. ANLISIS DE LOS MODOS DE FALLO, EFECTOS Y CONSECUENCIAS (FMCEA)
Los anlisis de modos de fallo, efectos y criticidad (failure mode, effects and criticity
analysis) se harn en los mismos principios que el anlisis ya visto FMEA, desarrollndose de forma similar.
La diferencia fundamental entre ambos mtodos es el tratamiento semicuantitativo que se realiza en el FMECA, ya que a cada modo de fallo se le asigna un nivel
de criticidad.
Los niveles de criticidad se pueden establecer mediante criterios subjetivos del
equipo de trabajo, como el establecido en la Tabla 6.5.
Tabla 6.5. Niveles de cricidad subjevos.
EFECTO

NIVEL DE CRITICIDAD

- Ninguno

- Leves perturbaciones

- Importantes perturbaciones

- Peligro inminente

Anlisis de riesgos de procesos

Otra posibilidad es establecer el ndice de criticidad en funcin de la severidad y


la probabilidad de ocurrencia del fallo, mediante la aplicacin de una matriz como la
mostrada en la Tabla 6.6:
Tabla 6.6. ndice de cricidad.
Severidad

Probabilidad

10

10

10

Donde:
^

^

6'
7
D
$
$P
K
'$#
L
2. Alta (dao nuevo).
3. Media (dao moderado).
4. Bajo (dao ligero).
5. Sin dao.
G&
&''
7
1. Alta.
2. Moderada.
3. Media.
4. Baja.
5. Muy baja.

Evidentemente, la aplicacin de estos modos de evaluacin del ndice de criticidad pueden combinarse con datos probabilsticos de fallos de dichos componentes,
de acuerdo con la bibliografa y los datos existentes, as como el dao causado, expresado este, por ejemplo, en prdidas monetarias.
Los puntos fuertes, dbiles y la idoneidad del FMECA es similar a la de los FMEA.
6.4.3. NDICES DE RIESGO
*$  
 $4 '
  '$'P
'  '#/ $
  #
 ' $
 '

aqullas basadas en los denominados ndices de riesgo. Estos, mediante la utiliza '$ '
 P '$/'$


$$'
'grosidad de las sustancias involucradas, las condiciones de operacin y las medidas
de seguridad instaladas, determinan qu equipos o unidades presentan unos mayores
niveles de riesgo.

121

122

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Las tcnicas ms representativas se corresponden con las siguientes:


^
^
^
^

Z' *9' ')O'


ndice Mond.
Mtodo del grado de peligrosidad, o mtodo Fine.
Mtodo de subseleccin.

El propsito es establecer un ranking relativo del riesgo sobre los equipos de una
instalacin industrial, con objeto de centrar en ellos las medidas de proteccin.
6 $''
'   'J 

 '$'P
 
 
  
& +
operacin, dan informacin sobre qu equipos dan lugar a mayores niveles de riesgo.
' *9) $
 )
 

$

6.5. METODOLOGAS CUANTITATIVAS


Son tcnicas de anlisis crticos que incluyen estructuras y clculos para establecer
la probabilidad de sucesos complejos (siniestros) a partir de los valores individuales
de la probabilidad de fallo que corresponde a los elementos (equipo y humanos)
implicados en los procesos (industriales en nuestro caso).
Las herramientas fundamentales de estos mtodos son:
^
^
^

La lgica matemtica: estructuras lgicas y relaciones entre sus elementos.


+$
$'
  '
  '

)P
&''
3'
Clculos de probabilidades de interacciones entre sucesos.

$ 
% \
j  !

La gran potencia de los mtodos cuantitativos, as como su utilidad para conectar


el origen y destino del accidente, se ve ensombrecida cuando hay que alimentar los
modelos con datos relativos a las probabilidades de fallos. Por una parte hay diversidad de elementos y equipos con caractersticas variadas. Por otra parte hay una
gran diversidad en los tipos de averas. Tales diversidades complican el tratamiento
probabilstico de los datos.
W$
'P $
$'&
/
  $
'$'
3 '
/3
)
mucha cantidad de datos y en que la calidad de los mismos puede verse afectada por
diversidad de criterios a la hora de recogerlos e interpretarlos. No obstante, hay datos
procedentes de otros sectores (nuclear, electrnico, plataformas marinas, etc.) que
cabe aprovechar en nuestro campo de inters.
En la interpretacin de los datos probabilsticos, siempre surgen las mismas preguntas:
^
^

+ '3''#
P
&3 &
&'$' 
  Q
P
&''


 $

$' '$

Anlisis de riesgos de procesos

^

+$ ' '



$P
&''
 
$ $

no desarrollados?

Evidentemente, todo ello no hace ms que ahondar en un mismo hecho: Probablemente los datos estadsticos existentes no sean totalmente aplicables al caso suyo,
  
)P
&3'
k > % < < >
 ; 
La teora probabilstica trata de manera diferente a aquellos elementos que funcionan
de una manera continua frente a los que lo hacen de forma espordica.
A) Elementos o sistemas que funcionan de manera continuada
Para ellos, puede considerarse que todo componente, tras un perodo de tiempo
$ '
/

/P'4$


'#'$  $7
^

^

Funcin probabilidad de fallo, P(t): probabilidad de que un componente


que funciona satisfactoriamente en t=0 falle en el intervalo de tiempo de
0 a t.
 'P
&''
/(K$L7   $
'GK$L/ '/
&
&''dad de que el sistema no falle en el intervalo de tiempo de 0 a t.

^
R(t) = 1 - P(t)
^

Funcin densidad de fallos: f(t)

^

Ratio de fallo, O(t): probabilidad de que un elemento falle en el instante t,


dado que ha funcionado sin fallos hasta ese momento (tambin llamada tasa
media de fallo en un determinado perodo). La distribucin de O(t) frente
al tiempo tiene una forma tpica (Bath-tub curve), de forma que tanto para
componentes electrnicos mecnicos como informticos tienen rangos importantes de O = cte.
As, en la zona de O(t) = cte = O, se tiene:
- Fiabilidad R(t) = e-Ot (Distribucin de Poisson).
- Probabilidad de fallo: P(t) = 1 - e-Ot.
Densidad de fallo: f(t) = Oe-Ot.
Adems, si Ot < 0,001, entonces:
^ GK$L| Ot.
^ G
&K$LG
K$LG&K$L

123

124

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

B) Elementos o sistemas que funcionan de manera espordica


6P
'$
$
  & &

/
#'
/clavamientos, etc. El concepto bsico consiste en la probabilidad de fallo por demanda, Qd: probabilidad de que falle en el momento en el que se solicita la actuacin
del elemento.
/j &  < 
; 

 

'

 
$'P
'&
/
&3 '
'
Estos se componen nicamente de sucesos bsicos, o si por el contrario disponen de
sucesos intermedios, a los que se asocian los modos de fallo caractersticos del rbol:
A) rboles que no contienen sucesos intermedios. Para ellos, se aplican los siguientes criterios:
-

Asociaciones en serie (tipo OR)


P = 1 - (1 - P1) (1 - P2)
R = R1 u R2 (<R1, R2)

Asociaciones en paralelo (tipo AND)

P = P1 u P2 (<P1, P2)
R = 1 - (1 - R1) (1 - R2)
B) rboles de fallos para los que se hayan denido sucesos intermedios. Para Estos,
la probabilidad de fallo del suceso nal se determina en funcin de las probabilidades asociadas a los modos de fallo denidos, considerando para dichos modos de
fallo las reglas anteriores sobre cuanticacin de rboles de fallo.
Una vez enunciadas las herramientas, avancemos qu resultados pueden obtenerse. Cualitativamente podremos: esquematizar cmo se desarrolla un suceso; iden$'P
 $ 4&'  '$
 
$
 ''  'J/ $  '
$ 

' 'P
'/
 /$ '
 

'$

'/

  '
 $' / $  
 
$'P
'/  $
 
$/  '$
determinar la probabilidad de fallo global, el nmero de veces que puede esperarse
que ocurra el suceso en un determinado perodo, etc.
6.5.1. ANLISIS CUANTITATIVO MEDIANTE RBOL DE FALLOS
Se trata evidentemente de una metodologa similar en cuanto a su desarrollo a FTA,
ya analizada con los mtodos cualitativos.
Mediante la aplicacin cuantitativa de los rboles de fallo, y una vez localizadas las probabilidades de ocurrencia de los sucesos bsicos iniciadores, se consigue

$'P
$4 '&
&'$' 
  '
  '
suceso nal.

Anlisis de riesgos de procesos

De la misma forma, el mtodo permite el anlisis probabilstico de los conjuntos


mnimos de fallos (CMF), y basndose en ello determinar cules son crticos para la
instalacin.
6.5.2. ANLISIS CUANTITATIVO MEDIANTE RBOL DE SUCESOS
Tambin en este caso se trata de la misma metodologa ya analizada en los mtodos
cualitativos, pero a la que se incorpora el tratamiento probabilstico a travs de la
aplicacin de las probabilidades de ocurrencia de la disyuntiva de los sucesos bsicos iniciadores, los sucesos intermedios y los factores condicionantes.
6.5.3. ANLISIS CUANTITATIVO DE RIESGOS EN EL ENTORNO
Es evidente que no es lo mismo situar una planta qumica con riesgos en el centro de
una ciudad que en un lugar aislado del campo, ni es lo mismo que el ncleo poblado
ms cercano a la industria est a 100 m o a 500 m.
+ 4$


'$'P
')

''#3
'$
se ha desarrollado una visin que va desde el ncleo del proceso y del equipo hacia
fuera. Ahora es conveniente contemplar los riesgos desde fuera de la interfase planta/
entorno.
El anlisis cuantitativo de riesgos en el entorno se realiza conjugando, para cada
suceso o accidente posible, la probabilidad de ocurrencia del mismo obtenida a travs de sucesos cuantitativos, con la letalidad de la consecuencia del accidente.
Con todo ello se elaboran las lneas de isorriesgo, expresadas en probabilidades
de muertes/ao.
El resultado de tales clculos determinar:
a) La aceptabilidad o inaceptabilidad de los proyectos para instalaciones nue
/ 'P

)8
'


b) Las medidas de autoproteccin, proteccin e intervencin a prever en los
planes de emergencia exterior (PEE).

6.6. CRITERIOS PARA LA SELECCIN DE LOS MTODOS DE


IDENTIFICACIN DE LOS RIESGOS
Los principales criterios de seleccin son los siguientes:
1. Fase de desarrollo de la planta o proceso
Aunque la fase de diseo es esencial en la evaluacin de riesgos, tambin
merecen atencin las fases de arranque, operacin y parada. En muchos ca/   '$  '$'P
  '# ' $
$ $
 $
 
'&/'$
 $'J) 'P
''

-

125

126

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

2.

3.

4.

5.

6.

luacin previa, le seguir un anlisis detallado de la instalacin tan pronto


como se conozcan las condiciones principales y el diseo de las lneas del
proceso.
Niveles potenciales de consecuencias
La evaluacin de la situacin ms desfavorable, dar lugar a los niveles
 
'#/3Q$'P

 '$'
mayor o menor profundidad.
Complejidad de la planta o proceso
El grado de complejidad de la planta o proceso podr condicionar la eleccin de la tcnica seleccionada. Las plantas que desarrollen un proceso de
alta complejidad, y precisen, por tanto, de un complicado sistema de seguridad, requerirn estudios en profundidad. Dichos estudios, en cualquier caso,
sern rentables considerando el costo asociado a dichas medidas de seguridad, al centrarlas en los puntos con mayor nivel de riesgo.
Experiencia del personal: grado de conocimiento de las tcnicas
La experiencia del personal en el uso de una determinada tcnica, resultar
esencial para un buen estudio. En general, ser ms apropiado emplear un
mtodo sencillo bien conocido, que tratar de utilizar un mtodo ms complejo del que no se tenga experiencia.
Informacin y datos requeridos o disponibles
Algunas de las tcnicas requieren un mayor volumen de datos, los cuales
no siempre estarn disponibles. Si un sistema est escasamente documentado, o solo est diseado en su fase preliminar, resultar poco efectivo, y de
difcil realizacin, el intentar aplicar una detallada evaluacin del riesgo.
Requerimientos de tiempo y costo
Aunque el tiempo y el costo no deben ser los factores ms determinantes


'

'$'P
''#/  
&$


#T 
'  $
 'P
'
'$ '
la planta para reducir el riesgo.
A este respecto, la mayora de los estudios resultarn rentables si se realizan o coordinan por analistas con experiencia.

 $'
'$

R
&
A>/
'$$4 '
'$'P
')
evaluacin, as como los atributos en base a los que se deben seleccionar.
Los atributos de seleccin sern:
^




$
 6'$'#'$7
- D: Diseo
- C: Construccin
- A: Arranque
- O: Operacin
- P: Parada

Anlisis de riesgos de procesos

^

^

^

^

^

^

: 7'P
'
G'$'$  7
- T: Fallos tcnicos
- O: Fallos en operacin
- H: Fallos humanos
- C: Grado de consecuencias
R')
$

$
7
- Ql: Cualitativos
- Qn: Cuantitativos
- Rr: Herramienta para reducir riesgos
 Q'
'$
7
- B: Baja
- M: Mediana
- A: Alta
(3' '$
7
- P: Especialistas de planta
- S: Especialistas en seguridad
(3' '$
$7
- G: Globales
- I: Intermedios
- D: Detallados
(3' '$$' ) $7
- B: Bajos
- M: Moderados
- A: Altos

127

Tabla 6.7. Seleccin de las tcnicas de idencacin de riesgos.

128
SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Anlisis de riesgos de procesos

6.7. EJERCICIO PRCTICO DE APLICACIN. ESTUDIO DE RIESGOS Y


OPERABILIDAD (HAZOP)

Figura 6.6. Caso prcco Estudio HAZOP de un botelln de proceso.

129

130

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Anlisis de riesgos de procesos

131

132

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Anlisis de riesgos de procesos

133

134

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Anlisis de riesgos de procesos

135

136

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Anlisis de riesgos de procesos

137

138

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Anlisis de riesgos de procesos

139

140

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Anlisis de riesgos de procesos

141

142

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Anlisis de riesgos de procesos

PARA NO OLVIDAR


Existe un gran nmero de metodologas para la idencacin y evaluacin


de riesgos en instalaciones de proceso. La tcnica seleccionada depender de los propsitos perseguidos con el anlisis, el grado de conocimiento
que se tenga de las instalaciones, as como de los datos y recursos disponibles.
Para obtener una adecuada idencacin de peligros y evaluacin de
riesgos mediante cualquiera de las metodologas presentadas en el presente captulo, es fundamental el juicio de expertos en Seguridad Industrial y el apoyo de tcnicos familiarizados con las operaciones y plantas
involucradas.
La metodologa HAZOP es a da de hoy la ms comnmente aceptada y
est recomendada por las normavas sobre seguridad funcional. Se presenta como una de las tcnicas ms rigurosas y estructurada para la idencacin de los peligros asociados a una planta de proceso. La aplicacin
principal de esta tcnica se encuentra en la idencacin de riesgos en
las primeras etapas del diseo, al ser el mejor momento para introducir
cambios o modicaciones, dado que los resultados son recomendaciones
de mejora que modicarn el diseo nal de los equipos o sistemas.

CONSEJOS PRCTICOS
A la hora de aplicar una metodologa para la idencacin y evaluacin de
riesgos en instalaciones de proceso, es muy importante considerar los tres aspectos bsicos que se indican a connuacin:


Seleccionar la metodologa ms adecuada a aplicar segn las caracterscas de nuestras instalaciones y los objevos que se persigan con el estudio.
Disponer de una documentacin de proyecto (diagramas de tuberas e
Instrumentos o P&ID, matriz causa&efecto o descripcin de enclavamientos, hojas de datos de equipos, etc.) actualizada y acorde a la realidad de
las instalaciones.
Disponer de un equipo de trabajo muldisciplinar con alta experiencia en
plantas similares, en materia de seguridad, procesos e ingeniera.

143

METODOLOGA PARA LA DETERMINACIN DEL


NDICE SIL

Gabriela Reyes Delgado

SUMARIO: + j >


/j  !
 >
*j  !
 >
*j  !
 
} 
H%  /  
* 
la Metodologa para Clculo del ndice SIL. Para no olvidar. Consejos rccos.

7.1. INTRODUCCIN
De acuerdo a lo indicado en el Captulo 4 del presente libro, una de las etapas a
cubrir en el ciclo de vida de un sistema instrumentado de seguridad consiste en el
clculo del ndice SIL (safety integrity level) para todas las funciones instrumentadas
de seguridad (SIF) que integran el SIS de la instalacin.
De esta forma, se debe calcular este ndice de seguridad, no solo para las SIF deP'

'#'
&'
)$
/'$
&'4


3'$ 
nuevas como consecuencia del anlisis de riesgos (tpicamente un estudio HAZOP)
desarrollado para el proyecto en cuestin. El desarrollo de un estudio HAZOP se debe
elaborar, dentro del ciclo de vida del SIS, de forma previa al clculo del ndice SIL.
El clculo del ndice SIL se realiza aplicando una metodologa de anlisis de
riesgos basado en los resultados del estudio HAZOP y siempre de acuerdo a las metodologas que se recogen en la normativa sobre seguridad funcional.
En el presente captulo se describirn las principales metodologas existentes para
el desarrollo de anlisis SIL, las cuales se pueden dividir en:
^

^
^

$#
 
'$
$'
KP '#/#T+ :ADHDDG
$Xxo E y Matriz de riesgo, segn Norma ANSI-ISA-S84 e IEC-61511 Parte 3
Anexo C).
$#
  ' 
'$
$'
 KP   '#
'&
/ #T + :
61511 Parte 3 Anexo D).
Metodologas semicuantitativas (Anlisis de las capas de proteccin, segn
IEC-61511 Parte 3 Anexo F).

Aunque las normativas sobre seguridad funcional recogen varios tipos de metodologas para el clculo del ndice SIL, son las propias normativas las que indican

146

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

que debe ser a nivel de cada compaa donde se determine la metodologa a aplicar
as como los criterios para la seleccin de los distintos parmetros.

7.2. METODOLOGAS CUALITATIVAS


Se tratan de tcnicas de anlisis crtico que no recurren al anlisis numrico. Su obQ$'' '
'$'P
7
^
^
^

Riesgos.
Efectos: incidentes y accidentes cuando se materializan los riesgos.
Causas: orgenes o fuentes de los riesgos.

Dado que los anlisis cualitativos sirven, muchas veces, como base para otros
semicuantitativos/semicualitativos o cuantitativos, es importante la calidad de los
primeros.
A continuacin describiremos dos de los mtodos cualitativos ms frecuentemente utilizados:
7.2.1. GRFICO DE RIESGO


'
'
$ $#
 
#P 3 #
-
+ :ADHDDG
$XO+)3$


'#
>D+'
P#

O
Z' 6



$'



K3 
'P
\D
a AK8).

Figura 7.1. ndice SIL. Grco de riesgo calibrado segn IEC 61511, Parte 3 Anexo E.

Metodologas para la determinacin del ndice SIL

Asimismo, en la Tabla 7.1 se detalla la relacin existente entre el ndice SIL


de acuerdo a dicha normativa, y el correspondiente segn las normativas IEC61508/61511 que consideran el ndice de 1 a 4.
Tabla 7.1. Relacin ndice SIL normava alemana y estndares IEC-61508/61511.
SIL NORMAS IEC-61508/61511

SIL NORMATIVA ALEMANA


AK1

SIL 1

AK2/AK3

SIL 2

AK4

SIL 3

AK5/AK6

SIL 4

AK7
AK8

+' 6$ '




$'' #P /


 
'$
tiva los siguientes cuatro parmetros:
-

Consecuencias (C)
^ D7*
J ' 
^ B7*
J'8
$

 

^ X7$
'


^ @7$ 


Frecuencia o tiempo de exposicin (F)
^ D7(
 O$

'#
^ B7 $

$

'#
Posibilidad de evitar el evento (P)
^ GD7G'&$ '

 ' $
 '

^ GB7
'' '&
Probabilidad de ocurrencia del evento (W)
^ D7G &
&
^ B7G&
&
^ X7)&
&

7.2.2. MATRICES DE RIESGO


La aplicacin de esta metodologa consiste en la valoracin cualitativa de la probabilidad de ocurrencia de un accidente y de la severidad de sus consecuencias, para
obtener mediante el uso de una matriz de riesgo el ndice SIL asociado.
Para el uso de esta metodologa, podemos emplear las matrices de riesgo que se
recogen en la Norma ANSI-ISA-S84, vase Figura 7.2, o en el estndar IEC-61511
Parte 3 Anexo C, vase Figura 7.3. Para ambos casos, la matriz de riesgos se trata de
una matriz tridimensional que adicionalmente a la valoracin de la probabilidad de
ocurrencia y la severidad de las consecuencias, como tercer eje, considera:

147

148

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

^
^

La efectividad de los sistemas de proteccin. Norma ANSI-ISA-S84.


-T  

  $ ' ' )  66 3 

 
'P

estndar IEC-61511.
El estndar IEC-61511 Parte 3 recoge unos criterios para la estimacin
cualitativa de la probabilidad de ocurrencia y severidad de las consecuencias
que se detallan a continuacin:

Tabla 7.2. Frecuencia de la probabilidad de eventos peligrosos (sin considerar las PL).
PROBABILIDAD
CLASIFICACIN
CUALITATIVA

VALOR
NUMRICO

TIPO DE EVENTOS
Un fallo o serie de fallos con una probabilidad muy
baja de que se produzcan dentro del empo de
vida esperado de la planta.

BAJA

F < 10-4 /ao

EjemplosZ
1. Tres o ms fallos simultneos de instrumentos
o humanos.
2. Fallo espontneo de depsitos o recipientes
de proceso.
Un fallo o serie de fallos con una probabilidad baja
de que se produzcan dentro del empo de vida esperado de la planta.

MEDIA

10-4 < F < 10-2 /


ao

EjemplosZ
1. Dos o ms fallos simultneos de instrumentos
o humanos.
2. Combinacin de fallos de instrumentos y errores de operadores.
3. Fallos nicos de pequeas lneas o accesorios
de proceso.
Un fallo que cabe razonablemente esperar que se
produzca dentro del empo de vida esperado de
la planta.

ALTA

10-2/ao < F

EjemplosZ
1. Fugas de proceso.
2. Fallos nicos de instrumentos o de vlvulas.
3. Errores humanos que pueden dar lugar a escapes de productos.

Metodologas para la determinacin del ndice SIL

Tabla 7.3. Criterios para clasicar la gravedad del impacto de los eventos peligrosos.
CLASIFICACIN DE LA
GRAVEDAD

IMPACTO

Muy grave

Daos de equipos a gran escala. Parada de un proceso durante largo empo. Consecuencia catastrca para el personal y el ambiente.

Grave

Daos de equipos. Parada corta de un proceso. Daos graves para el personal y el ambiente.

Menor

Daos de equipos. Sin parada del proceso. Daos temporales para el personal y el ambiente.

Figura 7.2. ndice SIL. Matriz de riesgo segn ANSI-ISA-S84.

149

150

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 7.3. ndice SIL. Matriz de Riesgo segn IEC-61511 Parte 3 Anexo C.

7.3. METODOLOGAS SEMICUALITATIVAS


Se tratan de tcnicas de anlisis crticos que emplean ndices globales del potencial
de riesgo estimados a partir de las estadsticas. Estas pueden ser de disposicin general o procedentes de la experiencia de las compaas en el diseo y la operacin de
plantas semejantes a las que se trata de enjuiciar.
7.3.1. GRFICO DE RIESGO CALIBRADO
La aplicacin de la presente metodologa consiste en calibrar o dar valores, de forma
semicuantitativa o mediante ndices globales, a los cuatro parmetros C, F, P y W del
#P '#K4

$
>BD$
$LG


$ '
'
de estos parmetros se considera que la funcin instrumentada de seguridad que


 
'P
O'$$ '
'$
Esta metodologa consiste en la seleccin de categoras para los parmetros de

#P
'#+$
&$'
#P

reduccin de riesgo
(RR) necesaria para cumplir con el criterio de aceptabilidad de riesgo. Es decir, nos
indica cuntos rdenes de magnitud se est por encima de lo aceptable. Este riesgo
inicial se podr reducir bien mediante las capas de proteccin independientes (IPL)
ya existentes o bien (el resto) mediante la funcin instrumentada (SIF) en estudio.
+' 6
'#



6
' '
$$

#P


Metodologas para la determinacin del ndice SIL

(riesgo inicial) y la reduccin de riesgo proporcionada por las IPL (seguridad ya


existente).
Los parmetros utilizados en la metodologa de grcos de riesgo calibrados son
de dos tipos: tres parmetros de consecuencias y un parmetro de probabilidad de
  '
$'#$P'#

 
'7('#
= Probabilidad x Consecuencias.
+
'#
>@$

#P '#
'&
#'


que se recoge en la Norma IEC-61511 Parte 3 Anexo D.


'&
'
#P  //G)&
 ''3
se establezca en un procedimiento en la de direccin de la empresa o compaa,
teniendo en cuenta los criterios de aceptabilidad del riesgo establecidos por dicha
Direccin.
No obstante, en la Norma IEC-61511 Parte 3 Anexo D se recogen unas referencias para la valoracin de dichos parmetros, que se resumen a continuacin:
Consecuencias (C)
Se puede calcular como el nmero de muertes en las instalaciones, mediante la determinacin del nmero de personas presentes en la zona cuando el rea expuesta
al riesgo est ocupada multiplicndolo por la vulnerabilidad del suceso accidental.

Figura 7.4. Reduccin de riesgo. Grco de riesgo seguridad personal IEC 61511 Parte 3,
Anexo D.

151

152

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

La vulnerabilidad (V) puede calcularse en funcin de la naturaleza del riesgo


teniendo en cuenta los siguientes criterios:
^
^
^

^

SEED73J
#
$
 '
$O'
']

&
SED7#
#
' '$
 '
$O'
']

&
SEH7#
#
' '$
 '
']

& 
$
&
bilidad de ocasionarse un incendio o fuga de grandes dimensiones de sustancia altamente txica.
V=1: ruptura o explosin.

'
 $/
   '
 
'P
7
^
^
^
^

CA: daos menores.


CB: de 0.01 a 0.1.
CC: de 0.1 a 1.0.
CD: mayor de 1.0.

j %%

Se puede calcular determinando el tiempo proporcional que el rea expuesta al riesgo est ocupada por personas durante un da normal de trabajo.
^
^

FA: raro o poco expuesto en la zona de riesgo. Ocupacin menor de 0.1.


FB: frecuente a permanente en la zona de riesgo. Ocupacin mayor de 0.1.

Posibilidad de evitar el evento (P)


^
^
^

GA: se adopta este valor si todas las condiciones que se citan a continuacin
son verdaderas.
GB: se adopta este valor si no todas las condiciones que se citan a continuacin son verdaderas.

 ' '

'#'$7
- El sistema alerta al operador sobre un fallo en el SIS.
- Existen sistemas independientes que permiten activar el shutdown de las
instalaciones para evitar el riesgo o para conseguir que el personal presente puede alcanzar un rea segura.
- El tiempo que transcurre desde que el operador es alertado de la situacin
de riesgo hasta que el suceso indeseado ocurre, excede de una hora o se
'
$' P '$


'


$
' 
'


Probabilidad de ocurrencia del evento (W)


Se puede calcular como el nmero de veces al ao que una situacin de riesgo puede
 '
 '
663$


'
 
'P


Metodologas para la determinacin del ndice SIL

^
^
^

W1: tasa de demanda menor que 0.1*D al ao.


W2: tasa de demanda entre 0.1*D y D al ao.
W3: tasa de demanda entre D y 10*D al ao.

siendo D un factor de calibracin cuyo valor debe ser establecido en funcin del
criterio de riesgo establecido corporativamente o a nivel de direccin de la Compaa. La frecuencia de fallo se puede calcular mediante el empleo de un rbol de
fallos.
G$
/
'#
>H$

P ('#
'&
3
la las consecuencias sobre el medio ambiente que se recoge en la Norma IEC-61511
Parte 3 Anexo D.

Figura 7.5. Reduccin de riesgo. Grco de riesgo medioambiental IEC 61511


Parte 3 Anexo D.



'&
'
P  /G)&
 ''3
establezca en un procedimiento en la direccin de la empresa o compaa, teniendo
en cuenta los criterios de aceptabilidad del riesgo establecidos por dicha direccin.
No obstante, en la Norma IEC-61511 Parte 3 Anexo D se recogen unas referencias para la valoracin de dichos parmetros, que se resumen a continuacin:

153

154

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Consecuencias (C)
Puede adoptar los siguientes valores:
^
^
^
^

CA7
 
J 3 )#
P '$ te grande para informar a la direccin de la planta.
CB7
$ '$ 
J'#'P
$'
CC: escape fuera de los lmites con daos importantes que se pueden remediar

''   '


'#'P
$'

CD: escape fuera de los lmites con daos importantes que no se pueden remediar con rapidez o con consecuencias duraderas.

G

 

'
'  $ #P     '
 '
&'$
 ) 
 leccin de los parmetros W y P, se tendrn en consideracin los estimados para el
#P #'



 '  
''#



'#
3#P '##'

3
T

   '
&

) '
&'$/&P'
' 
$'/
$ #P   '# 3 
  
T 
   '
 & 
$' 
bienes materiales de la compaa (considerndose no solo los daos materiales de
las instalaciones sino que adems habr de tenerse en consideracin la prdida de
&P '  
$



'$

'L
+ :ADHDD' )
#P '#$ '
$'/&' 'P
 ' 
'
de compaa.
*$#P '##'
34 

&$ 
l se consigue el punto de partida para determinar la reduccin de riesgo necesaria
y poder alcanzar el nivel de riesgo tolerable por la instalacin. La siguiente fase de
dicha etapa sera determinar las capas de proteccin independientes (IPL) asociadas
a cada escenario. Con esto se consigue determinar la reduccin de riesgo que proporcionan las otras seguridades existentes en el proceso que no son la SIF en estudio.

'#
>A $
'
 '''#/ 36P

$ '

$
 

&
$#P
'#/ nos la suma de los crditos asociados a cada IPL. Para calcular estos crditos, a cada
G
 '
' 4'$' '

&$'#P '#
Recordemos las propiedades o requisitos que deben cumplir las salvaguardias para
poder considerarlas IPL, tal como vimos en el Captulo 3:
1. Especicidad: una IPL se disea exclusivamente para prevenir o atenuar las
consecuencias de un evento potencialmente peligroso (por ejemplo, una reaccin de embalamiento, escape de producto txico, una prdida de contencin,
o un incendio). Varias causas pueden conducir al mismo evento peligroso, y
por tanto, varios escenarios de evento pueden iniciar la accin de una IPL.
2. Independencia: una capa de proteccin se considera IPL si es independiente
$
$
$


$ '
 '

 '#'$'P

como de la SIF en estudio.

Metodologas para la determinacin del ndice SIL

3. Seguridad de funcionamiento: se puede contar con ella para que haga lo que
est diseada para hacer. En el diseo se han considerado tanto fallos aleatorios como sistemticos.
4. Aptitud para ser auditada: est diseada para facilitar la validacin regular
de las funciones protectoras. Es necesario realizar ensayos peridicos y un
mantenimiento del sistema de seguridad.

Figura 7.6. Criterios de aceptabilidad del riesgo y reduccin del riesgo por IPL.

7.4. METODOLOGAS SEMICUANTITATIVAS


Son tcnicas de anlisis crticos que incluyen estructuras y clculos para establecer
la probabilidad de sucesos complejos (siniestros) a partir de los valores individuales
de la probabilidad de fallo que corresponde a los elementos (equipo y humanos)
implicados en los procesos (industriales en nuestro caso).
7.4.1. ANLISIS LOPA O ANLISIS DE LAS CAPAS DE PROTECCIN
Recordemos lo analizado en el Captulo 3, las capas de proteccin en una instala ' )
P#

 &

#'
(  3
dividir en:
^

^

Aqullas destinadas a prevenir el accidente, como pueden ser el sistema de


control, las alarmas crticas, las actuaciones por parte del operador y los sistemas instrumentados de seguridad (SIS).
Aqullas destinadas a introducir medidas de mitigacin, como pueden ser los
sistemas fuego&gas, los sistemas de alivio, de proteccin fsica, la respuesta
de la planta ante emergencia o la respuesta de la poblacin ante emergencia.

155

156

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura7.7. La Cebolla de la Seguridad.

*$
 $#



 
Z' 6]Q

$

y normativas IEC 61511 Parte 3 Anexo F y ANSI-ISA-S84, el Anlisis LOPA (layer
of protection analysis) o anlisis de la capas de proteccin se presenta como la tcnica ms exhaustiva por su carcter semicuantitativo.
Dicha tcnica constituye un anlisis objetivo de las distintas capas de proteccin
de que dispone un proceso, evaluando el riesgo del mismo y comparndolo con el
'$'  '# $
& P'  
 '
/ 

  '' ' 


 
proteccin son adecuadas o, por el contrario, si es necesario mejorar las existentes o
introducir capas adicionales. Por todo ello, el anlisis LOPA se presenta como una
tcnica que permite una comparacin directa de la contribucin de las distintas capas
de proteccin del proceso a la reduccin del nivel global de riesgo.
La metodologa general para el desarrollo del anlisis LOPA se detalla a continuacin, dndose una breve descripcin de las seis etapas de las que se compone.
ETAPA 1. Idencacin de consecuencias  esacin de su severidad
Esta primera etapa tiene dos objetivos fundamentales:
^
^

$'P
'$'&


:   '
-
 $
este objetivo se desarrolla a travs de un estudio HAZOP.
Categorizacin de las consecuencias de cada par causa-consecuencia para la
posterior seleccin de escenarios LOPA (Etapa 3) y evaluacin del riesgo del

Metodologas para la determinacin del ndice SIL

mismo (Etapa 6). La categorizacin de las consecuencias se realiza segn los



 $   '
P' ' '$3&Pnirse a nivel corporativo. Dicha categorizacin ser la que determine a partir
del criterio de aceptabilidad de riesgo de la compaa (vase Etapa 6) el valor
del riesgo aceptable para los escenarios estudiados, que tambin deben ser
P'
'  
J

ETAPA 2. Seleccionar el escenario objeto de estudio
-$


Q


:   '
'$'P

$'%WG&jeto del anlisis LOPA dada la complejidad de este ltimo. Generalmente, ser el
anlisis SIL el que determine qu par causa-consecuencia ser escenario LOPA, en
funcin del riesgo asociado a la misma. A nivel corporativo debe adoptarse el criterio
de seleccionar como escenarios LOPA aquellos en los que se requiera una Funcin
Instrumentada de Seguridad (SIF).
ETAPA 3. Idencar el suceso iniciador del escenario  deterinar su frecuencia
(en ao-1)
La frecuencia del evento iniciador se calcula en eventos por ao (ao-1), para lo cual
se dispondr de bases de datos que recojan las tasas de fallo de los componentes
del proceso. A veces, en las bases de datos no se encuentra la frecuencia del evento
iniciador en cuestin. En tales casos, se acude a un rbol de fallos para calcular la
frecuencia del evento iniciador combinando mediante puertas lgicas varios sucesos
de los cuales s se tengan datos de frecuencias de fallos disponibles.
En esta etapa, adems de la frecuencia del evento iniciador, habr que determinar,
en el caso de que existieran, la frecuencia/probabilidad de los sucesos condicionan$) 'P
 ' '
/3 $'$)$ $3
intervenir en el escenario. En concreto:
^

^

Los eventos permisivos o condiciones. Consisten en operaciones o condiciones que no causan directamente el escenario, pero que deben estar presentes
o activas para que el escenario pueda desarrollarse hasta sus consecuencias
P
- 4'
$
 $


  '
 
'/ '4

en todos los casos en los que intervienen.
 'P
 ' '
G '$
Q$

  '
 
rio a travs de la probabilidad de que se den unas u otras consecuencias.
Ejemplos de Estos son la probabilidad de ignicin, la probabilidad de presencia de personal en rea afectada, la probabilidad de lesiones fatales, etc.

ETAPA 4. Idencar las IPL ue intervienen en el escenario objeto de estudio 


deterinar la robabilidad de fallo en deanda (PD) de las isas
Una capa de proteccin independiente o IPL es un mecanismo, sistema o accin
que es capaz de prevenir o evitar el desarrollo de un escenario hasta llegar a la con-

157

158

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

secuencia indeseable (vase Captulo 3 del presente libro para profundizar en los
tipos de capas de proteccin). Toda IPL debe reunir los requisitos establecidos en el
Apartado 3.1 del presente captulo.
N

'$'P



$ 'O'$$



 
rio, se debe determinar su probabilidad de fallo (tpicamente, probabilidad de fallo
en demanda, PFD). Por ejemplo, una funcin instrumentada de seguridad con un
ndice SIL 3 tendr una PFD como mximo de 10-3. Es importante recordar que, en
LOPA solo las salvaguardias que sean consideradas IPL contribuirn a la reduccin
de riesgo del escenario.
En la Figura 7.8 se observa la relacin entre capa de proteccin y reduccin del
nivel de riesgo.

Figura 7.8. Capas de proteccin y reduccin del riesgo.

ETAPA 5. Esar la frecuencia del escenario con los datos de suceso iniciador
consecuencia e IPL
N

P'$
 $/



 
'
 
cuencia mediante la frmula:
n

fs

f ie p e p cm

PFD

i 1

Donde:

Metodologas para la determinacin del ndice SIL

fs.- frecuencia del escenario


fie.- frecuencia del suceso iniciador
pee.- probabilidad de los eventos permisivos o condiciones
PFDi.- probabilidad de fallo en demanda de la IPL i
pcm:&
&''
 'P
 ' '


ETAPA 6. Evaluar si el riesgo obtenido en la etapa anterior es tolerable segn los


criterios adoptados
+'#P
 
'&$'  &'
'
  '

 secuencias mitigadas (calculada en la etapa anterior) y la severidad de dichas consecuencias.
En el presente estudio, la evaluacin del riesgo consistir en la comparacin de

  '

   '
 '$'#

  '
P
 
'/
 lada en el punto anterior con el criterio de aceptabilidad de riesgo de la corporacin
teniendo en cuenta las consecuencias consideradas para los escenarios objeto de estudio. En este sentido, el SIL resultante para la SIF en cuestin ser aqul cuya PFD
permite cumplir con el criterio de aceptabilidad del riesgo de la corporacin.
Si despus de analizar las capas de proteccin se concluye que los niveles de riesgo considerados admisibles son vulnerados, se debe decidir qu capa de proteccin
adicional se debe implementar para eliminar esa diferencia. Aunque los anlisis SIL
y LOPA estn relacionados con las funciones instrumentadas de seguridad, es preferible no recurrir a ellas en primer lugar, sino a soluciones no instrumentadas, tales
como: doble contencin, diques, discos de ruptura, vlvulas de seguridad, etc., y en
ltimo lugar, funciones instrumentadas. El motivo es que Estas son ms complejas y
3'
 
'P
'
)
$' '$'
7.5. CRITERIOS DE SELECCIN DE LA METODOLOGA PARA CLCULO DEL
NDICE SIL
Tal y como hemos expuesto en el presente captulo, existen diversas metodologas
para el clculo del ndice SIL. La metodologa a seleccionar depender de muchos
factores, que incluyen:
^
^
^
^
^

La complejidad de la aplicacin y de las instalaciones.


Las directrices de las autoridades competentes, si existe algo al respecto regulado.
La naturaleza del riesgo y la reduccin del riesgo requerida.
La experiencia y habilidades en materia de anlisis de riesgos, operaciones,
seguridad, etc., de las personas disponibles para acometer el estudio.
La informacin disponible sobre los parmetros correspondientes al riesgo.

159

160

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

En algunas aplicaciones se puede usar ms de un mtodo. Normalmente, se recomienda usar un mtodo cualitativo/semicualitativo como un primer paso para calcular el SIL de todas las SIFs y para aquellas que se les asigne un SIL 3 o 4 en esta
primera etapa, se debera considerar con mayor detalle usando un mtodo semicuantitativo para obtener un entendimiento ms riguroso de su integridad de seguridad
requerida.

7.6. EJERCICIOS PRCTICOS DE APLICACIN


En el presente apartado se recoge el clculo del ndice SIL para una funcin instrumentada de seguridad del caso prctico del Captulo 6 del presente libro, en el
que se realiza el estudio HAZOP de un botelln de proceso V1. En concreto, en
la Recomendacin 12 del estudio HAZOP se recoge la siguiente accin de mejora
(REC. 12:Instalar un transmisor de nivel independiente en el botelln de carga V1,
congurando enclavamiento de parada de las bombas P-1 A/B ante muy bajo nivel
en el mismo).
A continuacin, se procede al clculo del ndice SIL de dicha funcin instrumentada de seguridad aplicando las siguientes metodologas:
CLCULO DEL NDICE SIL MEDIANTE GRFICO DE RIESGO CALIBRADO
DATOS GENERALES DE LA SIF
SIF 1

Muy bajo nivel en el botelln de carga V1.

Enclavamiento

I-01

Referencia Anlisis
de Riesgo

Estudio HAZOP del botelln de carga a la Unidad V1 (ejercicio


prcco Captulo 6, Apartado 7, del presente libro).

Nodo

P&ID N

XXX Rev. 1

SIF iniciada por

LSLL-XX

Intencin del
diseo

Evitar giro en vaco de las bombas P-1 A/B, con riesgo de daos a
las mismas y fuga de hidrocarburo al exterior.

Muy bajo nivel en el botelln de carga V1.

 
& 
 
 |j 

- Parada de las bombas P-1 A/B
para llevar el proceso a estado seguro
Otras acciones del enclavamiento no
incluidas en el SIF

- No aplicable.

Metodologas para la determinacin del ndice SIL

FALLO PELIGROSO EN DEMANDA


Causa

1. Fallo del lazo de control de nivel LIC-02.

/
j
 

ausencia de salvaguardias) del fallo
de la SIF en demanda

1. Descenso de nivel en el botelln de carga V1,


con riesgo de giro en vaco de las bombas P-1
A/B y posibles daos a las mismas.
2. Posible fuga de hidrocarburo al exterior con
generacin de charco inamable, nube
inamable y daos a personas, instalaciones
y medio ambiente.

REDUCCIN DE RIESGO (RR) REQUERIDO SEGN LAS GRFICAS


DE RIESGO (IEC-61511 PARTE 3 ANEXO D)
Juscacin de la eleccin de los parRR DE SEGURIDAD
metros para seguridad personal:
PERSONAL
] ver rbol de fallos (Figura 7.9). Se
ha adoptado el factor de calibracin D
W W2 C CC F FA P PB RR 2
igual a 10-2. De esta forma, W=W2 por
estar comprendida entre 10-3 y 10-2.
/] se ha valorado la vulnerabilidad
como V = 0,1 y se ha supuesto que pueRR DE PROTECCIN DEL MEDIOAMBIENTE
den exisr 2 operadores presentes en
la zona de riesgo. De esta forma, C es
igual a 0,2 y por tanto igual a CC.
]se ha esmado la presencia de opeW W2 C CA P
PB
RR
1
radores en la zona de riesgo durante un
empo esmado de 30 min. por turno,
siendo por tanto un total de 1,5 horas
al da (3 turnos/da). F = FA por ser el
RR DE PROTECCIN ACTIVOS (1)
factor de exposicin menor de 0,1.
}]PB pues no se dan todas las condiciones indicadas en el Apartado 3.1.
Juscacin de la eleccin de los parmetros para medioambiente:
W
C
P
RR
/]CA, pues las bombas P-1 A/B se encuentran en un cubeto y se ha esmado que la fuga o escape quedar dentro de los lmites y con daos menores.
No idencadas. (Vase recomendaSalvaguardias o Capas de Proteccin Indecin de este caso prcco). Crdito
pendientes
de otras IPL = 0.
*+::+$
 
+}]

SIL = 2-0= SIL 2

KDL-


#P '#4'

$'/
-
+ :ADHDDG
$X
O* #'#T#P $$'/&'
  
J

3P
' #P +

3
  
J
$#
P'/
'


 '

3#P #'

personal y de daos al medio ambiente, debindose adoptar el valor de SIL ms alto obtenido.

161

162

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

RECOMENDACIONES

Es posible disminuir el ndice SIL obtenido a un valor de 1, mediante la instalacin de un transmisor de nivel independiente
(al LT-02 y al correspondiente a esta funcin instrumentada de
seguridad) en el botelln V1, con seal y alarma de baja en sala
de control, siempre que el operador tenga empo suciente (20
min. o mayor) de respuesta desde que se acva la alarma hasta
que se da el giro en vaco de la bomba P-1 A/B con daos a la
misma. Adicional a esta condicin, para poder considerar esta
alarma como IPL en este escenario, y por tanto poder darle crdito, es necesario que se cumplan los requisitos para IPL indicados en el Apartado 4.1 de este captulo. SIL = 2 1 =1.

COMENTARIOS

La instalacin de esta funcin instrumentada de seguridad se recomend en el estudio HAZOP (REC. 12Z_Instalar un transmisor
de nivel independiente en el botelln de carga V1- con'gurando
enclavamiento de parada de las bombas P-1 AB ante muy bajo
nivel en el mismo).

7.7. CLCULO DEL NDICE SIL MEDIANTE MATRIZ DE RIESGO

DATOS GENERALES DE LA SIF


SIF 1

Muy bajo nivel en el botelln de carga V1.

Enclavamiento

I-01

Referencia Anlisis de Riesgo

Estudio HAZOP del botelln de carga a la Unidad V1


(ejercicio prcco Captulo 6, Apartado 7, del presente libro)

Nodo

P&ID N

XXX Rev. 1

SIF iniciada por

LSLL-XX

Intencin del diseo

Evitar giro en vaco de las bombas P-1 A/B, con riesgo de daos a las mismas y fuga de hidrocarburo al
exterior.

 
& 
 
 queridas para llevar el proceso a
estado seguro

- Parada de las bombas P-1 A/B

Muy bajo nivel en el botelln de carga


V1.

Otras acciones del enclavamiento


- No aplicable.
no incluidas en el SIF

Metodologas para la determinacin del ndice SIL

FALLO PELIGROSO EN DEMANDA


Causa

1. Fallo del lazo de control de nivel LIC-02.

1. Descenso de nivel en el botelln de carga V1, con ries/


j
 

go de giro en vaco de las bombas P-1 A/B y posibles
(en ausencia de salvaguardaos a las mismas.
dias) del fallo de la SIF en
2. Posible fuga de hidrocarburo al exterior con generademanda
cin de charco inamable, nube inamable y daos a
personas, instalaciones y medio ambiente.
ndice SIL requerido segn la Matriz de Riesgo (IEC-61511 Parte 3 Anexo C)

Media

Grave

N
PL

Salvaguardias o Capas de Proteccin Independientes


SIL REQUERIDO

Juscacin de la eleccin de los parmetros


para la Matriz Riesgo:
] Media. Vase rbol de fallos (Figura 7.9),
por estar comprendida entre 10-4 y 10-2.
SIL 2
/]Grave. Se ha esmado daos a equipos,
parada corta del proceso y daos graves
para el personal y medio ambiente.
N PL (incluyendo la SIF a clasicar)]1.
No idencadas. (Vase recomendacin de este
caso prcco).
SIL 2

RECOMENDACIONES

Es posible disminuir el ndice SIL obtenido a un valor de 1, mediante la instalacin de un transmisor de nivel independiente (al
LT-02 y al correspondiente a esta funcin instrumentada de seguridad) en el botelln V1, con seal y alarma de baja en sala
de control, siempre que el operador tenga empo suciente (20
min. o mayor) de respuesta desde que se acva la alarma hasta
que se da el giro en vaco de la bomba P-1 A/B con daos a la
misma. Adicional a esta condicin, para poder considerar esta
alarma como IPL en este escenario, y por tanto poder darle crdito, es necesario que se cumplan los requisitos para IPL indicados
en el Apartado 4.1 de este captulo. De esta forma, N PL pasara
a ser 2 y para probabilidad media y gravedad media, el SIL sera
igual a 1.

COMENTARIOS

La instalacin de esta funcin instrumentada de seguridad se recomend en el Estudio HAZOP (REC. 12ZInstalar un transmisor
de nivel independiente en el botelln de carga V1- con'gurando
enclavamiento de parada de las bombas P-1 AB ante muy bajo
nivel en el mismo).

163

164

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 7.9. rbol de fallos para clculo de la probabilidad.

$&'&'#P
7
(1) Guidelines for Process Equipment Reliability Data, CCPS.
(2) Manual de Seguridad Industrial Plantas Qumicas y Petroleras.
(3) TNO.

Metodologas para la determinacin del ndice SIL

PARA NO OLVIDAR


Existe un gran nmero de metodologas para el clculo del ndice SIL. La


tcnica seleccionada depender de los propsitos perseguidos con el anlisis, el grado de conocimiento que se tenga de las instalaciones, as como
de los datos y recursos disponibles.
Para obtener una adecuada determinacin del ndice SIL mediante cualquiera de las metodologas presentadas en el presente captulo, es fundamental el juicio de expertos en seguridad industrial y el apoyo de tcnicos
familiarizados con las operaciones y plantas involucradas, as como un
adecuado estudio HAZOP de los procesos donde se encuentren idencados todos los escenarios de riesgo a valorar en relacin a la SIF a clasicar.
Normalmente, se recomienda usar un mtodo cualitavo/semicuantavo como un primer paso para calcular el SIL de todas las SIF y para aquellas que se les asigne un SIL 3 o 4 en esta primera etapa, se debera considerar con mayor detalle usando un mtodo cuantavo para obtener
un entendimiento ms riguroso de su integridad de seguridad requerida.

CONSEJOS PRCTICOS
A la hora de aplicar una metodologa para el clculo del ndice SIL en instalaciones de proceso, es muy importante considerar los tres aspectos bsicos que
se indican a connuacin:


Seleccionar la metodologa ms adecuada a aplicar segn las caracterscas de nuestras instalaciones y los objevos que se persigan con el estudio.
Disponer de una documentacin de proyecto (diagramas de tuberas e
instrumentos o p&ids, matriz causa&efecto o descripcin de enclavamientos, hojas de datos de equipos, etc.) actualizada y acorde a la realidad de las instalaciones, as como vericar la idoneidad del estudio HA
ZOP de las instalaciones.
Disponer de un equipo de trabajo muldisciplinar con alta experiencia en
plantas similares, en materia de seguridad, procesos e ingeniera.

165

ELEMENTOS DE CAMPO DEL SISTEMA


INSTRUMENTADO DE SEGURIDAD

Alfonso Camacho Lpez

SUMARIO: Introduccin. Medida de caudal. Medida de presin. Medida de temperatura.


 !  
& 
  / <  
% 
 j

j dad. Inspeccin y pruebas generales de la instalacin. Para no olvidar. Consejos prccos.

8.1. INTRODUCCIN
Los objetivos de este captulo estn dirigidos a facilitar conocimientos y tcnicas de
instalacin de los instrumentos de campo, pertenecientes a sistemas instrumentados
#'
6
#


'P
)
#
3$  $
sistema de seguridad estn correctamente instalados, de acuerdo a lo indicado en la
+ 'P
')(3' '$6#'
KSafety Requirement Specications
SRS) y, a los planos correspondientes.
Se muestran las tcnicas de medida ms utilizadas con cada una de las variables
de proceso, y se indican ventajas e inconvenientes de diferentes tipos de instrumentos que se pueden utilizar, para medir cada variable. Se comentan diversos tipos de
conexionado y montaje de instrumentos, para que sirvan de gua a los tcnicos que
intervienen en el diseo, ingeniera, suministro, montaje y pruebas de los instrumentos pertenecientes al sistema de seguridad.
De acuerdo con la industria en la que se van a utilizar, la seleccin de tipos de
instrumentos puede ser distinta en funcin de los productos a medir, de las caractersticas de la instalacin y de la aplicacin concreta. Los instrumentos e instalaciones
  

$''

$
 $
$
3
Q
]'
$'
mente limpios en estado lquido o gaseoso.
Se analizan diversos instrumentos utilizados en los sistemas de seguridad. Los
que van insertados en los procesos y los instrumentos que son externos al mismo.
Se evalan ventajas e inconvenientes desde los puntos de vista de la seguridad y del
funcionamiento continuo del proceso.
Aunque en los clculos de probabilidad de fallo a demanda y en las frmulas
utilizadas para la evaluacin de los sistemas de seguridad, no se contemplan valores

$'P
&'
$''$

'/$
'$ $

'$

ciones fsicas de los instrumentos y las conexiones mecnicas ms convenientes para
cada caso. Con las recomendaciones que se exponen, se puede deducir cules son las
instalaciones que responden a los mejores criterios de seguridad y funcionamiento.

168

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Los montajes de sistemas instrumentados de seguridad, especialmente los que se


realizan para instalaciones qumicas y petroqumicas, debido a la alta densidad de
instrumentos utilizados para la automatizacin, a las condiciones ambientales de la
'$

'/

'#'
]'3
'
)

  Q'
$4 nica de los instrumentos y sistemas que se manejan, hacen necesario que la ejecucin
del montaje sea realizada por empresas muy especializadas. Se les debe exigir experiencia demostrada en la ejecucin de montajes de instrumentacin, y concretamente
en plantas de caractersticas similares.
8.1.1. EXIGENCIAS DE DISEO PARA LOS SENSORES DE CAMPO
Los instrumentos sensores de campo dedicados a los sistemas instrumentados de
seguridad, deben ser dedicados nicamente al sistema de seguridad y completamente
independientes de otros instrumentos de campo que estn asociados a los sistemas
bsicos de control de procesos, as como a otros sistemas que no sean de seguridad,
como pueden ser controles batch, o controles secuenciales tambin denominados
automatismos.
Se debe evitar compartir sensores con sistemas de control, para no crear problemas entre la seguridad de la planta, por un lado, y el mantenimiento y operacin
normal por el otro.
Durante la operacin de las plantas son necesarios y relativamente frecuentes
los cambios de rango de los transmisores utilizados en control, para adaptarlos a
las condiciones reales del proceso. Si los instrumentos fueran compartidos con los
66/
&'
#


#
/ 'P
''rectamente los valores de los puntos de disparo que fueron ajustados en el PLC de
seguridad.
Es necesario controlar los rangos de los instrumentos pertenecientes a los SIS y



3 'P
'
 $

'$
#'
/

3
valores de actuacin en unidades reales de ingeniera continen siendo los que se han
'$'J'# 
3' 'P
'

$
'&
Q$'P

)  $


Las pruebas de los sistemas de seguridad sern realizadas con personal y procedi '$ P /) 
  '
PQ

 ' '$'$ tos de los sistemas de control se prueban cuando sus fallos afectan a la produccin,
)
'P
') ' '$'$'$
Para conseguir la independencia de los componentes del sistema de seguridad, de
los componentes del sistema de control, se deben separar los siguientes elementos
de campo:
^
^

Los sensores, las vlvulas de raz, las lneas de impulso y las conexiones
mecnicas y elctricas.
 $P
$
  
')
 
para actuacin de seguridad o disparo.

Elementos de campo del Sistema Instrumentado de Seguridad

^

^
^

Los cables y multicables, las cajas de conexin, las lneas de aire, los borneros
de conexin y los elementos de seguridad intrnseca, tales como separadores
galvnicos asociados a las entradas-salidas y dedicados exclusivamente a los
sistemas de seguridad.
Las fuentes de alimentacin elctrica y sus alimentaciones de potencia.
Las seales del sistema de seguridad que tuvieran que ser enviadas al sistema
de control, tendrn que ser aisladas con separadores galvnicos, u pticos.

Los sistemas de seguridad y los instrumentos de campo se deben disear con el


concepto fallo seguro (fail safeL+$'#'P
3


$&$

' tados elctricamente y los contactos de los interruptores de caudal, presin, nivel o
temperatura de campo, estn cerrados durante la operacin normal del proceso. En
estas condiciones, un fallo en la alimentacin elctrica, en cualquiera de los componentes, una apertura en el interruptor, en las conexiones elctricas, o una rotura en
los cables, ser detectado porque producir una actuacin igual a la de un fallo del
proceso, aunque este est normal.
No utilizar sensores de nuevos diseos o tcnicas sin referencias. Los aparatos
instalados en campo deben ser de tecnologas muy probadas, para las aplicaciones de
 
3

$''
6&' $'P
&

'


por organismos reconocidos, con resultados aceptables en cuanto a MTBF tiempo
medio entre fallos (mean time between failure), fallos seguros y no seguros, para
poder calcular la probabilidad de fallo a demanda.
Los instrumentos de campo deben ser instalados de acuerdo con los reglamentos
y cdigos aplicables localmente y con la legislacin vigente.
Los elementos sensores se deben conectar directos y nicamente al sistema lgico de seguridad. No se deben conectar a ningn otro sistema que no forme parte del
sistema de seguridad.
Cuando se utilizan dos transmisores en redundancia para cumplir las exigencias
necesarias para tener un valor de SIL aceptable, se requieren conexiones separadas
para as eliminar fallos peligrosos comunes. Por ejemplo, taponamiento de lneas o
el cierre accidental de la vlvula de un instrumento.
Cuando se utilizan sensores de campo redundantes, se debe proveer una alarma
de discrepancia para indicar el fallo de cualquiera de los dos transmisores. Una manera sencilla de detectar la discrepancia es, por ejemplo, producir una alarma cuando
la diferencia entre la medida de uno y otro transmisor es superior a un dos por ciento.
6& '

'$'P
''$ $
 '
 '$mas de seguridad, para diferenciarlos del resto de instrumentos. Por ejemplo, pintndolos de otro color especial, o ponindoles etiquetas distintas.
8.1.2. TECNOLOGAS
Aunque hay una tendencia natural a asumir sin demasiadas dudas, que las innova ' $4 '
  Q 3  O'$$/  &

#
 ]O'
cuando se trata de los sistemas de seguridad de las plantas industriales. Se requiere

169

170

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

un esfuerzo adicional de anlisis, para cuestionar si todo lo nuevo es lo mejor, o no lo


es. Es necesario analizar la enredada maraa tcnica de los instrumentos, equipos y
'$
 P#
 #

''$'#$/

 

) 
'

posible lo que puede ser mejor para la seguridad de la instalacin.
Desde el comienzo de la automatizacin y del control de los procesos qumicos,
y hasta muy recientemente los sistemas de seguridades, enclavamientos, disparos o
paradas de emergencia de la plantas industriales, se han venido haciendo con instrumentos que miden las variables de proceso y accionan un contacto libre de tensin.
El contacto est cerrado en condiciones normales del proceso y se abre cuando se sobrepasa un valor lmite preestablecido. Esto permite que con rels electromecnicos
se haga una lgica cableada, para que ante ciertos sucesos en el proceso se produzcan
unas actuaciones concretas. Si haba un fallo en el instrumento, en el cableado o en
alguno de los rels, generalmente se produca un disparo espurio, y solo se vea afectada la parte concreta de la planta que se gestionaba con esa lgica.
Posteriormente, con la llegada de los PLC, la lgica de actuacin se programa en
la unidad central de procesado, las entradas y salidas se concentran en tarjetas electrnicas de diferentes tipos. Se siguen utilizando contactos libres de tensin como
entradas-salidas, y adems se comienzan a utilizar seales analgicas. Con la opcin
del PLC, hay mayor facilidad para el manejo de muchas seales de entradas-salidas
y para realizar lgicas ms complejas.

$''
'$
 P#
' G /#
 '$#
dos por unidades operativas que pueden funcionar de forma independiente, presenta
problemas debido a que los disparos espurios por fallos de tarjetas o CPU, pueden

 $


'
'
 G


&
) 'P
'
los enclavamientos de las unidades de proceso que estn paradas, y para mejorar la
disponibilidad de las instalaciones, se exigen redundancias y se segregan los PLC
por unidades de proceso, para hacerlas independientes.
En pequeas unidades de proceso que tienen pocos enclavamientos, se ha seguido utilizando lgica cableada con rels y con entradas procedentes de contactos
desde presostatos, o interruptores de nivel.
Los nuevos PLC de seguridad son redundantes, con dobles o triples procesadores,
vas de comunicacin internas y tarjetas de entradas o salidas. Hay tarjetas de entradas-salidas para una gran variedad de seales, con diseos de los canales de entradasalida a fallo seguro (fail safe) y con reconocimiento de la calidad de las seales externas. Las tarjetas de entradas analgicas contienen lgica inteligente para comprobar
el rango de la seal, y son capaces de detectar cundo estn fuera del rango de medida.
Con esta seal, se puede producir una alarma o una actuacin de seguridad.
Instrumentos mecnicos con interruptores
En el origen, la medida de las variables se haca en campo con instrumentos mecnicos. Directamente generaban la actuacin de un interruptor elctrico que abra o
cerraba un contacto, en funcin de que la variable estuviera por arriba o por debajo

Elementos de campo del Sistema Instrumentado de Seguridad

de un valor preajustado. Los interruptores se conectan en el modo a fallo seguro


contacto cerrado con el proceso en condiciones normales de operacin en estas
condiciones facilitan solo un tipo de informacin, y es que el circuito esta permanentemente cerrado. Pero no proporciona ningn otro tipo de informacin o diagnstico.
Por ejemplo, un presostato tiene un contacto de disparo que est cerrado en la
operacin normal del proceso, y se ha diseado para que por baja presin se abra.
Si baja la presin y no puede abrir porque se queda pegado, falla y no tiene forma
de indicar el fallo cuando hace falta su actuacin. Esto mismo puede ocurrir con interruptores de nivel, termostatos e interruptores de caudal. La nica forma de saber
que estos instrumentos estn trabajando correctamente es probndolos con cierta
frecuencia.
Este tipo de instrumentos se estn utilizando a lo largo de decenas de aos y las
$4 '

&'
'
 '
/
$
 #'3
P
&''
 cnica y elctrica de los instrumentos con interruptor sea muy grande. Actualmente,
 )$''
$
$)'$$'$']$
/


lquidos. Se utilizan menos los termostatos porque el uso de termopar o termorre'$ '
) $':$
 '

 '
 P
&) '
3
3
puede obtener con un termostato mecnico. Los interruptores mecnicos de caudal
 $''
/&'

 '
  '
)P
&3 '# 
instrumentos electrnicos, y las diversas tcnicas que se vern ms adelante.
Los contactos de los interruptores elctricos deben ser fabricados con materiales
de gran calidad, la intensidad del circuito se debe limitar a pocos miliamperios, el
interruptor debe ser hermticamente sellado para aislarlo del medio ambiente y con#'
 O'
P
&''
 '
'$
#'$$')$
$ $'P
 '$$*G*R/
que son conmutadores de doble circuito, conectados como en la Figura 8.1. Con esta
disposicin, se disminuye la posibilidad de fallo debido a que los contactos se queden pegados. Suponiendo un interruptor con actuacin por bajo nivel, cuando el nivel est correcto, el contacto normalmente abierto (NA) est cerrado. Si se conectan
en serie los dos contactos (NA) de los dos circuitos del DPDT, cuando baja el nivel,
los contactos se deben abrir y se producir la actuacin de seguridad o disparo. La
posibilidad de fallo por quedarse pegados los contactos en los dos circuitos al mismo
tiempo es muy remota, y con solo uno que abra, actuar la funcin de seguridad. Ms
adelante, en el apartado de Medida de nivel, se indican datos relativos a la seguridad
de instrumentos, con este arreglo.
G



 '

P
&''
$$''$ $/
''$

los datos obtenidos de una planta real, en la que se ha tomado una muestra de 23
presostatos, que llevan funcionando una media de 25 aos en distintas unidades de
procesos continuos.
Estn instalados en intemperie y con clima lluvioso. El 43% de los presostatos estn conectados a la salida de 3-15 PSI de transmisores neumticos, para dar
disparo por bajo caudal. El 57% de los presostatos estn conectados directamente

 / ]'#


3'/
$'
$' '6


'


171

172

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

las incidencias de mantenimiento de los ltimos cinco aos y se ha comprobado lo


siguiente:
^
^
^

Un cambio de microrruptor en un presostato FSLL. Haba producido un disparo espurio.


N
 O']Q

&
$



#'
46 
presostato. Haba producido un disparo espurio.
Una obstruccin de una lnea de impulso de un FT neumtico cuya salida va
a un presostato FSLL. Haba producido un disparo espurio.

Figura 8.1. Conmutadores de doble circuito.

De los tres fallos encontrados, aunque todos dan como resultado un disparo, el
nico que es producido por el presostato es el del microrruptor. Los otros disparos,
son producidos por otros elementos de los circuitos que se deben tener en cuenta en
el clculo de PFDavg de la SIF, pero que no pertenecen a los presostatos.
El MTTF (tiempo medio de fallo de un presostato) es de 23 x 5 = 115 aos.

$


 
D8RRD8DDHO?>AE=/=BODE-7
Si asumimos que en este tipo de instrumentos ms del 60% de fallos son seguros,
)3

&



J/
G*
#' 'P

$
$7
^
^
^

R


'#D = (9,92 x 10-7) 0,4 = 3,97 x 10-7
Intervalo de pruebas TI = 1 ao (8760 horas).
G*
#D x TI/2 = (3,97 x 10-7) (8760/2) = 1,73 x 10-3

Los instrumentos mecnicos con interruptores elctricos para medir caudal, presin, temperatura o nivel, son aparatos o subsistemas tipo A.

Elementos de campo del Sistema Instrumentado de Seguridad

De acuerdo con IEC 61508, un aparato o subsistema se puede considerar de tipo


' $3  $'$
&'P'/  portamiento en las condiciones de fallos estn totalmente determinadas, y existen
P '$
$&

O' '



 $
$



peligrosos detectados y no detectados.
Transmisores inteligentes
Se utilizan cada vez con ms frecuencia en el control de los procesos y en sistemas
#'
/&'
P
&''
)

'

$'
#$' 6&'
#nsticos es necesario hacer algunas consideraciones:
^

^

^

^

Actualmente, los sistemas instrumentados de seguridad (PLC de seguridad)


que manejan la lgica, no admiten entradas o salidas mltiples mediante vas
de datos con protocolos digitales de comunicacin. Admiten, una entrada por
cada instrumento. La seal puede proceder de un contacto libre de tensin, o
una entrada analgica (generalmente de 4-20mA). Las tarjetas que reciben la

'
&

#'
$'

'


 
'P


'

J
/
ejemplo, si est dentro del rango de medida adecuado.
La mayora de los transmisores inteligentes utilizados en aplicaciones de
seguridad son de seal analgica de 4-20mA y protocolo HART. Mediante
protocolo HART, se pueden comunicar sistemas de diagnsticos complejos
de los transmisores. Se puede saber si una medida de variable es sospechosa
 $

  
 PQ 
$  $' / / 
&'
  

 

velocidad excesiva. Permite conocer anticipadmente averas que se pueden
producir en el transmisor.
El gran potencial que la tecnologa de transmisores inteligentes permite, se
est desarrollando y utilizando en el rea de mantenimiento con aplicaciones
$9
  Q
+ 
'$ $
3 
 
'$

que estn a disposicin de mantenimiento para ajustar, ver caractersticas, e
interpretar la salud de los instrumentos, tambin permite manejarlos e interactuar sobre los mismos, para cambiar rangos, modos de estado, bloqueo de
seal, o para abrir y cerrar vlvulas. Desde el punto de vista de la seguridad
de las instalaciones, no se debe permitir el acceso incontrolado a los instrumentos sobre los que se basa la seguridad de la planta. Por esta razn, los
instrumentos dedicados a sistemas de seguridad no se les permiten conexin
externa a vas de comunicacin con protocolo HART, o cualquier otro, que
$4
$
 $'P
  #
'G #'

sistema de lgica del SIS.
Hay tendencia a que los propios sistemas de lgica de seguridad incorporen
$9
/3'$$)$'' 
 $3
)


)P
&''

'$ $+$'#'P

))   Q

en la lgica y en las tarjetas de entradas o salidas del sistema de seguridad.

173

174

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Probablemente, en un futuro cercano, se consiga que los accesos permitidos al


sistema de seguridad queden adecuadamente documentados y que se puedan
inhabilitar (quedando documentado de forma automtica) las funciones que
pueden afectar a la seguridad. Por ejemplo, la calibracin de instrumentos de
seguridad, el modo de funcionamiento del transmisor y de las tarjetas de entra

'
/&3
'
&/$  

$9


P '$ $#/$ $''
'$
guridad todo el potencial de los diagnsticos de los instrumentos inteligentes,
tanto en transmisores como en posicionadores de vlvulas.
Los instrumentos transmisores electrnicos para cualquier variable de proceso,
sean con salida de 4 a 20mA, sean con salida de 4 a 20mA ms protocolo Hart, o con
salida nica con protocolo digital, son aparatos o subsistemas tipo B.
De acuerdo con IEC 61508, un aparato o subsistema se puede considerar de tipo
<' $3  $' 
&'P'/
comportamiento del subsistema en condiciones de fallo no puede ser completamente
$ '
/
)P '$
$&

O' '



contrar tasas de fallos peligrosos detectados y no detectados.

8.2. MEDIDA DE CAUDAL


Hay muchos y variados principios fsicos que permiten detectar y conocer el caudal
de lquido o gas que pasa por el interior de una tubera de un proceso industrial. En
casi todos ellos el elemento sensor est insertado en el interior de la tubera, o es un
carrete de la misma, del cual forman parte el elemento sensor y el transmisor.
Los instrumentos que estn insertados al proceso se disean y someten a los mismos cdigos y normas que las tuberas y recipientes. Debido a que estn en con$
$  $)]' ' 
$/$'3'J
 
$'
les adecuados para soportar las condiciones de presin y temperatura del proceso,
igualmente tienen que ser inmunes a los ataques qumicos o erosivos, que pueden
 ']'  
$ $
$-
 $/'$ $
que se insertan en los procesos son diseados para las condiciones ms severas. Los
materiales utilizados suelen ser de caractersticas superiores a los que seran exigibles para las tuberas o recipientes en que se instalan.
Los medidores de caudal en tuberas a presin se pueden dividir en dos grandes
grupos: los que tienen el elemento sensor y el transmisor montados en la propia tubera y los que tienen un elemento generador de presin diferencial insertado en la
tubera y un transmisor externo.
8.2.1. MEDIDA DE CAUDAL CON ELEMENTO SENSOR INSERTADO EN LA TUBERA
En este grupo, los instrumentos ms utilizados son: el medidor de efecto Coriolis, el
medidor magntico, el rotmetro y el medidor de caudal Vortex.

Elementos de campo del Sistema Instrumentado de Seguridad

Los elementos detectores de estos medidores van introducidos en la tubera del


proceso o son la propia tubera, pero no se pueden desmontar sin parar el proceso.
En general, son medidores que suelen tener una precisin superior a la del grupo de
medida por presin diferencial. Son elementos sometidos a la vibracin de la tubera. La medida se basa en principios fsicos, cuya comprobacin en campo presenta

'P $
)
 /'&
G

'P
)  &


'&
'$$''$ $/ 
rio desmontarlos y sacarlos del proceso, llevarlos a laboratorios o bancos de prueba
especiales provistos de circuitos de tuberas, bombas y recipientes calibrados para
contrastar la medida del transmisor. Esto implica que en caso de avera o necesidad
'P
'
 '
/$'3'$ ' )
 '
una parada no deseada. Por otra parte, aunque las averas de la electrnica de estos
instrumentos se produzcan con frecuencias similares a las averas de los transmisores
electrnicos de presin diferencial, la comprobacin y reparacin sin interrumpir el
proceso es mucho ms compleja. En la mayora de los casos, obliga a la sustitucin
de todo el instrumento prescindiendo del mismo durante un periodo largo de tiempo,
por ello, o se ha previsto una lnea de baips con las correspondientes vlvulas para
aislar el instrumento y poder desmontarlo, o se debe parar el proceso.
Los elementos detectores de algunos de estos instrumentos pueden tener partes
mviles, estn sometidas a vibracin, o se pueden obstruir y tienen ms posibilidades de avera que los generadores mecnicos de presin diferencial.

$'$ $3

$#) $'P
6
son datos tomados de aplicaciones concretas y reales, sino datos tericos de laboratorio. La mayora de los problemas de funcionamiento de los instrumentos son
  '

 ' '
]' )

'
'
presin, temperatura, viscosidad, composicin, etc., que se dan en el mismo. Por
ello, es muy importante hacer la medida con la tcnica y el instrumento idneo para
cada aplicacin.
Los instrumentos que se describen en los siguientes prrafos son instrumentos
utilizados con frecuencia en diversas instalaciones industriales para medida de caudal. Teniendo en cuenta los productos que se manejan en cada aplicacin particular,
se debe analizar la idoneidad del medidor seleccionado con el producto concreto.
Para las funciones de seguridad, se recomienda utilizar solo instrumentos con
 '
 'P

 
'
' ' '
 - $''
 '$ $ O'mentales o no probados.
Medidor de efecto Coriolis
El medidor de efecto Coriolis, mide el caudal en unidades de masa directamente. El
]'


$
4$&3'&

  '

$
) 


que es descrita por Coriolis.
El teorema de Coriolis dice que un objeto que se desplaza con una velocidad
'
 $
$/
$
4
P '#'
$'
3$
  '

#


175

176

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

constante, experimenta una velocidad tangencial tanto mayor, cuanto mayor es su


alejamiento del centro. Este cambio de velocidad implica una aceleracin y, por
tanto, una fuerza aplicada.
La Figura 8.2 muestra el principio de funcionamiento de un medidor de este tipo.
Est formado por un cuerpo distribuidor acabado en bridas y por uno o dos tubos
en forma de U que se encuentran alojados dentro de una caja de proteccin. El tubo
vibra a su frecuencia natural o frecuencia de resonancia, movido por una bobina o
sistema electromagntico que se encuentra situado en el centro de la curva del tubo,
como indica en el detalle A. La vibracin es similar a la que produce un diapasn.

Figura 8.2. Funcionamiento de un medidor efecto Coriolis.

$
]' '

$
#'  $

vibracin vertical del tubo. Cuando el tubo se est moviendo hacia arriba debido al
 ' ' '&
'/]'3$$

 '
''#'
hacia arriba, empujando al tubo en direccin descendente, como se ve en el detalle
B. Al tener el tubo su mximo recorrido ascendente en el centro de la curva, a partir
$$$& 

 /3

']' '
empujar al tubo en direccin ascendente. Estos dos empujes hacen que el tubo sufra
un giro, o deformacin temporal, como el que muestra el detalle C.
Cuando el tubo se mueve hacia abajo debido a la segunda mitad del ciclo de vibracin, se produce el giro en sentido contrario. Estos giros o retorcimientos carac$$'  '
 $ ''*


#
)-9$/


$'
#'$&' $
$ '




]'3


a travs del medidor.

Elementos de campo del Sistema Instrumentado de Seguridad

Los detectores situados a cada lado del tubo miden la velocidad de la vibracin.
La masa se determina midiendo la diferencia de tiempo mostrada por los sensores
de velocidad. Cuando el caudal es cero no existe ngulo de giro en el tubo, dando
como resultado la no existencia de diferencia de tiempo entre los dos sensores de
velocidad. Cuando pasa caudal se produce un giro del tubo, el cual hace que exista
una diferencia de tiempo entre los sensores. La diferencia de tiempo es proporcional
al caudal en masa.
El producto pasa directamente a travs del medidor, el cual forma parte de la

 $&
N6$PQ
 '$'&'
concentrador del producto en las zonas de entrada y salida, respectivamente, y libre
para poder vibrar en la parte redondeada de la U.
El medidor de Coriolis se utiliza fundamentalmente con lquidos, y la prdida de
carga es ms alta que en otros tipos de medidores de caudal. Tienen gran precisin
comparado con otros medidores de caudal. El error de medida es del 0,2% del caudal
medido y pueden medir caudales con relaciones de mximo a mnimo muy altas,
manteniendo el error indicado. La buena precisin hace que se utilicen para medidas
en mezclas, en ventas, en transferencias y en balances msicos de productos.
%   
El espacio requerido para su montaje es bastante mayor que el de otros medidores.
La instalacin se debe hacer siguiendo las instrucciones del fabricante.
Se deben soportar adecuadamente las tuberas del proceso a las que se conecta
el instrumento, para evitar que se transmitan vibraciones a los tubos del medidor. El
soportado del equipo, si se requiere, debe hacerse independiente del soportado de las
tuberas a las que est conectado.
No se requieren tramos rectos de tubera antes o despus del medidor porque no

 $
P '
]'
$&

Hay limitaciones en el tamao de estos medidores. Seleccionando entre diferentes fabricantes, los mayores tamaos de medidores encontrados son para conectar a
tuberas de diez pulgadas.
Se debe poner especial cuidado en el diseo de las tuberas para evitar que en los
$& '3
$

#
'' ]' 
3'3 $#
#
3
#
'P
/&
 $
Q
'$ $ $
&
Q
)  $
Q$&
$'
 ]' ' 

hacia arriba (vase la parte superior de la Figura 8.2). El montaje sera dando un giro
de 90 en sentido contrario a las agujas del reloj, con la conexin de entrada en la
parte inferior y la de salida en la parte superior de las conexiones a la tubera.
 ]'    3' 3 $#
 ' '/   ]'
de proceso gas que puedan contener lquidos, se montarn en tubera vertical con
]'  $/$&
 '$
 $& '
horizontal y bien nivelados para evitar puntos bajos que permitan acumulacin de
lquidos en gases o slidos en lquidos.

177

178

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

El instrumento es la propia tubera del proceso y en caso de avera se hace necesario parar el proceso, o disponer de baips del instrumento en la lnea de proceso,
lo cual es caro, difcil de disear y ocupa bastante espacio. No se puede calibrar en
lnea con la planta en funcionamiento.


Es un aparato del tipo B, con una fraccin de fallos seguros SFF superior al 93%.
Tomando datos de los catlogos de algunos medidores utilizados en el mercado, se
&$' 
  
 $

  
 '#  $ $
 DU = 2,31 x 10-7
fallos por hora.
Para una aplicacin que se acta con un solo transmisor (1001) y en la que se
efecta una prueba del instrumento cada ao, se obtiene la probabilidad media de
fallo a demanda:
G*
#DU * TI/2 = 2,31 x 10-7 x 8760 / 2 = 1,01 x 10-3.
La tasa de fallos se garantiza durante el periodo de vida del instrumento. La vida
til recomendada por los fabricantes para estos instrumentos en aplicaciones de seguridad es superior a diez aos.
  \
El medidor de caudal magntico mide el caudal volumtrico de lquidos, para lo cual
los lquidos necesariamente han de tener un cierto nivel de conductividad elctrica.
La mayora de los derivados del petrleo no pueden ser medidos con medidores
magnticos por la baja conductividad de los hidrocarburos, por lo que el empleo
de este tipo de medidor no est muy extendido en las petroqumicas. Sin embargo,
tienen gran aplicacin en plantas de tratamiento de aguas residuales y en cualquier
planta que tengan lquidos con una conductividad elctrica del orden de 10 s/cm o
superior (s = micro Siemens).
El medidor consta de dos partes:
^
^

El elemento primario que va instalado en la lnea de proceso, el cual contiene


el tubo, el medidor magntico y los electrodos.
El elemento secundario corresponde al receptor electrnico.

+ $'
'#

J
 '



]Q ' 
te. La seal se transmite a un receptor electrnico que puede estar montado cercano
al emisor.
El medidor electromagntico opera con el mismo principio que un generador
elctrico. Se basa en las leyes de Faraday de induccin electromagntica. En las
leyes de Faraday se establece que cuando un conductor interrumpe transversalmente

]Q
#4$' /'   $
$'3' $
$
 '


 '
 
3

]Q'$ + '
de (V, B y D).

Elementos de campo del Sistema Instrumentado de Seguridad

Donde:
E = Tensin generada en el conductor
SS '
]'
B = Fuerza del campo magntico
D = Dimetro de la tubera
El conjunto del medidor electromagntico y el trozo de tubera que forma parte
del medidor debe estar aislado elctricamente de la tubera principal por ambos extremos.
Se genera un campo electromagntico constante a travs de la seccin del tubo y
]'3
$
'


#4$' 
  $3 $
'$ 

]Q+ $3$ 
'
$
 $
oposicin, en la seccin del tubo, se genera una tensin que es proporcional a la ve '
]'K4

'#
?XL
$' '$
$

'P

y acondiciona por el receptor y proporciona una seal normalizada.

Figura 8.3. Principio del funcionamiento del medidor electromagnco.

 '
#4$' $''

'
']'
$''
$/$
&'4$''
 ]' ')

3
T'

$ $'
 $
$ ]' $

179

180

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 8.4. Componentes del medidor electromagnco.

La prdida de carga es nula, por lo que son adecuados para su instalacin en


grandes tuberas de suministro de agua, donde es esencial que la prdida de carga
sea pequea. El error de los medidores magnticos es del orden de 0,5% del valor de
medida, con caudales mximos y mnimos que pueden tener una relacin de 10:1.
El medidor magntico responde exclusivamente a la velocidad del caudal, por
ello, es independiente de la viscosidad, de la densidad, de la presin y de la tempe
$
+
# '
]'
'
$E/H)DE 8#/

velocidad mas adecuada para lquidos est entre 2 y 3 m/seg. No se puede calibrar en
lnea con la planta en funcionamiento.
%   
Para que pueda efectuarse la medida correctamente, el diseo de tuberas ha de realizarse para asegurar que el medidor est siempre lleno de lquido. El medidor es una
pieza de tubera, pero el montaje tiene que hacerse con muchos ms cuidados que
una tubera ya que es un elemento elctrico. Se deben seguir las instrucciones del
fabricante para su montaje y conexionado.
Puede ser montado en horizontal, en vertical o en ngulo, pero la tubera deber
$

6' $
$'
 $]Q
&
Q
'

'&



#rarse el llenado. Cuando se monta en horizontal, el eje de los electrodos no estar en
el plano vertical para evitar que una pequea cantidad de gas impida el contacto del
 $ 3'6' $
$'
) ]'
&
'/  '

disponer un tramo recto de tubera antes y despus para evitar la erosin del reves$' '$ '/3 '
']Q$'
$&
'' '
$
-

Elementos de campo del Sistema Instrumentado de Seguridad

mente antes o despus del medidor. Desde el punto de vista de la precisin en la medida, las perturbaciones aguas arriba del medidor no afectan de manera importante.
Con tamaos de hasta doce pulgadas, el medidor no necesitar soportado. La
tubera a ambos lados llevar los correspondientes soportes para que aguanten el me'+ '
$


$

/'$PQ


tener deslizamientos debidos a la dilatacin de la tubera. Las tuberas se disearn

P '$]O'&''


3$
 '$
O '






de las bridas del medidor.
Los medidores llevan dos tipos de seales elctricas bien diferenciadas, la alimentacin elctrica y la seal de medida. Ambas seales deben estar perfectamente
separadas internamente, y a lo largo de sus rutados. Es muy importante conseguir
una buena puesta a tierra y tener un nico punto equipotencial, tanto para el lquido
3])/  


$&
)

 '
#4$' 
Siempre debe haber una conexin de tierra entre el lquido, el medidor y la tubera, an cuando el tubo del medidor o la tubera adyacente no sean metlicos. Si el
medidor no es metlico, para dar la tierra al lquido, se suele disponer de un anillo
metlico insertado en el medidor y en contacto con el lquido y con las bridas de la
tubera. Se deben seguir las instrucciones del fabricante para cumplimentar las exigencias del conexionado elctrico.


Es un aparato del tipo B, con una fraccin de fallos seguros SFF del 73%. Tomando
datos de los catlogos de algunos medidores utilizados en el mercado, se obtienen


$


'#$ $
DU = 3,29 x 10-7 fallos por
hora.
Para una aplicacin que se acta con un solo transmisor (1001) y en la que se
efecta una prueba del instrumento cada ao, se obtiene la probabilidad media de
fallo a demanda:
G*
#DU * TI/2 = 3,29 x 10-7 x 8760 / 2 = 1,44 x 10-3
La tasa de fallos se garantiza durante el periodo de vida del instrumento. La vida
til recomendada por los fabricantes para estos instrumentos en aplicaciones de seguridad es superior a diez aos.
Medidor de rea variable. Rotmetro
El rotmetro es el medidor de rea variable ms utilizado para la medida de caudal.
+ ' $
$&$'
)]$
3

$'
 $
el interior del tubo. Los medidores de rea variable funcionan sobre la base de que

$'
'' '
 $
$/ '$'
 $

P

donde pasa el caudal, en funcin del aumento del mismo.

181

182

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

+]$
$


 '
 $$&)$

' ''$' ' / 3   ' 

 3 ' 
 $  ]$
 )  $& + ]$

' $'
'
'
]'
 '+
 ' 

$
4

3




' '
$
&$
]$
)

tubo, en el punto en que el obturador est en equilibrio.
'$
3
]$
PQ
/
'$
$&  

constante desde su parte inferior a la superior, como se puede ver en la Figura 8.5.
+




) 
$ 
'&
3''&]$


' '3''&']$
''

 '
/3 
con un rea variable que es funcin del caudal. Con una presin diferencial constante
3
3'
$
]$
/

' $
$ '

al rea de paso.

Figura 8.5. Principio de funcionamiento del rotmetro.

Pueden medir caudales con relacin de mximo a mnimo de 10:1 y con error
probable del 2% del caudal medido a lo largo de toda la escala. Existen rotmetros
indicadores, transmisores y controladores. Los tamaos pueden ser muy variados y
van desde tamaos tan pequeos como 1/8 de pulgada hasta 8 10 pulgadas. Cuando se emplean en servicios de altas presiones, altas temperaturas, o combinacin de
ambas al mismo tiempo, se requieren materiales especiales para la construccin del
cuerpo. Los diseos para que soporten las duras condiciones de operacin repercuten
en un encarecimiento excesivo de este tipo de medidor.
6$''


 ']'' ')$
&'43' 
$
' 'dades que requieren calentamiento para evitar su congelacin, como por ejemplo, en

Elementos de campo del Sistema Instrumentado de Seguridad

el procesado de los aceites minerales que se utilizan para lubricacin. No se pueden


calibrar en lnea con el proceso en funcionamiento.
%   
$
$ $
' $'
) ]Q$


$'ferior. La salida puede ser por la parte superior o por un lateral, si es de tipo acodado.
6& $
#
$$
 $O$'&
') P '$$

'& '
/

 $
]$
'$

' '*&
ser instalado en zona accesible y visible desde suelo o plataforma, para reparacin y
mantenimiento. Si se quiere reparar sin tener que parar la planta, se necesita baips
y vlvulas de bloqueo para poderlo desmontar. En lneas de gran tamao, para evitar
vibraciones, se debe tener un cuidado especial con el diseo y soportado adecuado
de las tuberas, vlvulas y elemento de medida. Se debe tener en cuenta que en las
$

)
'
/ 
 '$
/
&']Q

=E#
/ '' ' 3
 
'

&
PQ
'/

'$

daos en las lneas (Figura 8.6).

Figura 8.6. Rotmetro con vlvulas de bloqueo y baips.

Para tener una buena precisin con este tipo de medidor, no se requieren tramos
rectos aguas arriba de tanta longitud, como en los elementos de presin diferencial.

183

184

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Con cinco dimetros de tramo recto antes del rotmetro, se garantiza que la pertur&
']'
 $


 ''
 '

Por ser elementos insertados que forman parte de la propia tubera, en los tamaos grandes, se requiere un cuidadoso diseo para dotarlos de baips, vlvulas de
aislamiento y elementos de despresurizacin y purga para el mantenimiento.


Los datos corresponden a un rotmetro provisto de dos interruptores de posicin
conectados en modo de fallo seguro (fail safe). Es un aparato de tipo A, con una
fraccin de fallo seguro SFF del 68%. Existen rotmetros con salida de 4-20mA y
J
%
$  $'P
6/ 
'P
  


$$'<
Tomando datos del catlogo de un medidor utilizado en el mercado, se obtienen


$


'#$ $
DU = 0,77 x 10-7 fallos por hora.
Para una aplicacin que se acta con un solo instrumento (1oo1) y en la que se
efecta una prueba del instrumento cada ao, se obtiene la probabilidad media de
fallo a demanda:
G*
#DU * TI/2 = 0,77 x 10-7 x 8760 / 2 = 3,37 x 10-4
La tasa de fallos se garantiza durante el periodo de vida del instrumento. En la
documentacin manejada no consta la vida til recomendada por el fabricante para
este instrumento.
Medidor Vortex
El medidor se basa en el principio de que si se introduce un cuerpo de geometra
$ '


 '$

/ 
]Q 

$ticas oscilantes determinadas. El cuerpo no tiene que ser aerodinmico, pero debe


#
$' ]'$
'
#
'
'
nmero de Reynolds. En la parte izquierda de la Figura 8.7 se aprecia lo indicado.
Cuando se introduce la obstruccin en la corriente de caudal, se producen los vrtices a partir de la misma y aguas abajo.

Figura 8.7. Principio de funcionamiento del medidor Vortex.

Para detectar los vrtices existen varias tcnicas, como son: por ultrasonidos, por
disco oscilante, por capacitancia, por variacin de resistencia debido a la diferencia
de presin, por bola oscilante y por variacin trmica.

Elementos de campo del Sistema Instrumentado de Seguridad

El detector trmico, cuyo detalle se puede ver en la parte derecha de la Figura 8.7
funciona de la siguiente manera: En la pieza generadora de vrtices, tal como ve en
el detalle de la derecha, hay un paso transversal a travs del cuerpo, colocado detrs
de la cara frontal del generador de vrtices. En este paso, se sita un termistor que se
calienta y mantiene a una temperatura constante cuando no hay caudal. El termistor
detectar los vrtices, como consecuencia del efecto de enfriamiento debido al paso
]')$$'
$
$'
$/)3 
   '

las variaciones de presin generadas por los propios vrtices, en cada lado del paso
transversal. Las variaciones de temperatura son convertidas en seal elctrica, generalmente pulsos, proporcional al nmero de vrtices que a su vez es directamente
proporcional al caudal.
%   
Con este tipo de medidor, es muy importante no tener perturbaciones en el tramo
anterior al detector. Para ello, si hubiera un codo a 90 aguas arriba del transmisor,
debe haber un tramo recto de al menos 20 dimetros despus del codo de 90 y hasta
el transmisor, para evitar que las perturbaciones aguas arriba produzcan la formacin
de remolinos en el caudal, que puedan enmascarar los vrtices. Si llegan perturbaciones causadas por codos, vlvulas, cambios de plano de la tubera, o por la junta de la
brida anterior del instrumento que est mal colocada, se puede producir un error de
medida considerable. El caudal a la entrada debe ser muy estable, y no estar sometido a ningn tipo de vibracin.

Figura 8.8. Medidor Vortex.

No se pueden calibrar en lnea con el proceso en funcionamiento.

185

186

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...



Tomando los datos de los catlogos de algunos medidores utilizados en el mercado,
&$'

$


'#$ $
DU = 3 x 10-7
fallos por hora. Son instrumentos del tipo B, con fraccin de fallo seguro SFF mayor
del 72%.
Para una aplicacin que se acta con un solo transmisor (1001) y en la que se
efecta una prueba del instrumento cada ao, se obtiene:
G*
#DU * TI/2 = 3 x 10-7 x 8760 / 2 = 1,31 x 10-3
La vida til recomendada por los fabricantes para este tipo de instrumentos no se
''
 $'P
*
 
+ ADHE?:B

$
>@>@/&
asumir un tiempo de vida til basado en la experiencia. Los transmisores electrnicos suelen tener una vida til de entre ocho y doce aos.
8.2.2. REPARACIN Y CALIBRACIN DE INSTRUMENTOS MEDIDORES DE CAUDAL
CON SENSOR INSERTADO EN LA TUBERA
En los tipos de instrumentos que se han visto, la mayora de las averas electrnicas
pueden ser reparadas reemplazando la electrnica directamente en campo, sin tener
que desmontar todo el instrumento y hacer necesaria la parada del proceso.
La comprobacin del buen funcionamiento de los instrumentos, y la calibracin
 ' 

'P
 '' '
/
'

''$
con el proceso en funcionamiento. En la mayora de los casos, estos instrumentos
han de ser enviados a laboratorios de las casas centrales de los suministradores, donde pueden disponer de los instrumentos y medios necesarios para la comprobacin
de su calibracin.
Es necesario resaltar lo que implica el envo de instrumentos fuera de la planta,
en cuanto a tiempos de indisponibilidad del instrumento y costes de desmontaje,
limpieza, envo, seguimiento de la reparacin o calibracin, recepcin y montaje.
H   !  < % 
Debido a los problemas que se plantean al enviar el instrumento fuera de la instalacin, se opta por la alternativa de calibrarlo o ajustarlo en la planta.

 $/ 
$T
 'P
 
 $ P#
   '$

electrnicos del detector-transmisor. Dependiendo de los tipos de instrumentos, puede ser necesario hacer circular caudal por el instrumento, medirlo con otros medios y
reajustar los parmetros del instrumento, para que su medida se aproxime lo mximo
posible a la realidad.
En este tipo de pruebas y ajustes, es necesario disponer de: bsculas o plataformas de pesaje de cierta precisin, de depsitos o tanques calibrados para almacena '$]'
 ')'P
'


 
/33

sido medido por el instrumento a comprobar y ajustar. Es necesario utilizar lneas

Elementos de campo del Sistema Instrumentado de Seguridad

y circuitos del proceso, para direccionar y almacenar el caudal del medidor que se
3''P

 '  
''$
& &) $


Tambin es necesario utilizar recursos humanos especializados para efectuar la
comprobacin de la calibracin, que generalmente se hace en conjunto con el tcnico
de la casa suministradora del instrumento. Se necesitan ms recursos humanos para
controlar los caudales, los almacenamientos, el pesaje y toda la operativa necesaria.
Durante el tiempo necesario para la calibracin en campo, que puede ser de bastantes horas por instrumento, la parte del proceso donde est el medidor no puede ser
operativa, aunque el medidor no forme parte del control automtico del circuito. Por
ello, puede ocurrir que la planta o la unidad de proceso afectada tengan que estar en
funcionamiento para generar y mover el producto a medir, pero con productos fuera
 'P
'/3 
'
 
$' $
Teniendo en cuenta lo anteriormente expuesto, se deben analizar los tipos de
'

O'$$ 
/


$$'
]')

condiciones operativas de la aplicacin para la cual los necesitamos, y as, podemos
decidir cual es el ms indicado para nuestro proceso.
8.2.3. MEDIDA DE CAUDAL CON ELEMENTO GENERADOR DE PRESIN
DIFERENCIAL INSERTADO EN LA TUBERA
Los elementos generadores de presin diferencial ms utilizados para la medida de


'' '
7


'P '/$&S$'/$&bar, la tobera de caudal y el medidor tipo Wedge.
Cada uno de estos elementos tiene caractersticas singulares para su utilizacin
'$]'# $'# '&
Q
4'


#
/$

$''
&


$$'
 ]'

$
 '
/
$$''
 ]' 
$
' '
)$ ]' '
con partculas slidas en suspensin.
Todos estos elementos generadores de presin diferencial permiten conocer el
caudal mediante la medida de la presin diferencial que generan al pasar el caudal a
travs de ellos mismos. Las frmulas matemticas, y los principios fsicos utilizados
para establecer la relacin entre el caudal y la presin diferencial de estos generadores de presin diferencial, son muy conocidos, muy contrastados y fciles de comprobar. La diferencia de presin generada por el elemento se mide con un transmisor
de presin diferencial conectado al proceso, mediante dos lneas de conexin de
presin.
El elemento generador de presin diferencial es mecnico, no tiene partes en
movimiento, es robusto y bien conocido su comportamiento frente a desgastes por
rozamiento, o a taponamientos por ensuciamiento. Cuando se selecciona el material
adecuado es prcticamente inalterable, y por ello, exento de averas. Los elementos
#
'' '


'P '/S$'/$&
)#$''
 ]'
$'
$' '/$
BE 
J '
miento continuo, sin necesidad de ningn tipo de mantenimiento.

187

188

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Cuando se sospecha que la medida tiene un error superior a lo previsto, se puede


esperar a la prxima parada del proceso para inspeccionar y cambiarlo, si es necesario. Se puede esperar hasta la prxima parada, porque este tipo de elemento puede
dar un error que ir aumentando lentamente durante un largo periodo de tiempo. La
tendencia de la presin diferencial generada siempre sigue los aumentos y disminuciones del caudal, y permitir efectuar el control del mismo, aunque pierda precisin
en la medida.
Con la excepcin de un taponamiento en las lneas externas, cuando pasa caudal,
no hay nada que bruscamente pueda impedir que se genere presin diferencial en el
'P '


/
$&
/S$'#G



''
)
&' $$&'/ 
'

' ''
)
'Pcacin de sus dimensiones internas, comparndolas con las originales, para controlar
los desgastes por rozamientos.


)

'P $
3#
 $$' '



se producen en las lneas de conexin de alta y baja presin al transmisor. Los problemas vienen dados por las columnas de lquido que se forman y por los taponamientos o fugas que se pueden producir en las lneas de conexin. Ms adelante se
indican tcnicas de montaje, para eliminar o minimizar los problemas de las lneas
de conexin.
El tubo Annubar es otro elemento que se utiliza para medida de caudal por presin diferencial. Proporciona una medida de caudal menos precisa que la del resto
de los generadores de presin diferencial. Son susceptibles de mal funcionamiento
$

'$
#Q/'  ]'
$'
$' '-
recomendables para su utilizacin en funciones instrumentadas de seguridad.
8.2.4. VENTAJAS E INCONVENIENTES EN LA MEDIDA DE CAUDAL
Comparando las medidas de caudal de los instrumentos insertados en el proceso y
la variedad de tcnicas utilizadas, con la medida basada en la presin diferencial, se
puede apreciar que dependiendo del tipo de medidor adoptado en cada proceso, se

''$
'P $

'&''

$' '$)
  &
cin o sustitucin del instrumento de medida, en caso de avera.
En los medidores por presin diferencial, la mayora de los problemas se producen en las conexiones al proceso y en menor nmero en el transmisor. Ambos son
externos y pueden ser reparados o reemplazados, mientras que el proceso sigue en
funcionamiento.
En los detectores insertados en las tuberas, cuyos instrumentos no se pueden desmontar de las mismas sin parar el proceso, la mayor parte de las averas del sistema
detector transmisor necesitan equipos complejos, y requieren su desmontaje para
poderlos comprobar. Esto obliga a parar el proceso o a disponer de lnea de baips y
vlvulas de aislamiento, para poderlos desmontar.
En las funciones relacionadas con el control y los sistemas de seguridad, sera
preferible utilizar los elementos y sistemas de medida ms fciles de comprobar, ms

Elementos de campo del Sistema Instrumentado de Seguridad

P
&$
&
Q)  '
$+&Q$'3

paradas imprevistas de la instalacin y, sobre todo, que los instrumentos estn disponibles cuando la seguridad lo requiera.
6  $''
  '$ $  Q  '' )
) 'P $
 
prueba, para funciones tales como: medidas para comprobar rendimientos, balances,
ajustes de la operacin y en general donde la precisin de la medida es importante,
pero no absolutamente necesaria para el funcionamiento, la produccin o la seguridad de la planta. Si durante el ciclo de trabajo entre paradas estos instrumentos tienen
alguna avera que no pueda ser reparada en funcionamiento, quedarn fuera de servicio durante un largo periodo de tiempo, pero se mantiene la produccin y el nivel de
seguridad, si no se utilizan para estas funciones de manera directa.
Tambin se pueden utilizar ms ampliamente los instrumentos que van insertados
en plantas de trabajo discontinuo, donde las paradas por cambio de tipo de producto
son muy frecuentes, o en plantas de produccin que tienen partes del proceso con
sistemas de trabajo intermitentes. En caso de avera y parada de produccin parcial,
podrn ser reparados o reemplazados y su repercusin sobre la produccin ser reducida, si los procesos son independientes unos de otros.
Para los sistemas de seguridad de la planta, la disponibilidad de los instrumentos
3$' 

 '
&''$
'
//P$''

instrumentos que se puedan comprobar fcilmente y que se puedan reemplazar por
otros, en periodos de tiempo muy cortos, sin que sea necesario parar los procesos.
%   j j% 
 j
Observemos una planta de procesos, diseada con exigentes criterios de seguridad.
El periodo de funcionamiento continuo entre paradas programadas es de tres aos.
En un horno de proceso, se calienta un producto derivado del petrleo, que va
controlado en caudal. Para garantizar la seguridad de los tubos, y para que no se
sometan a temperaturas excesivas cuando baja el caudal de un valor determinado, se
debe producir una alarma de aviso. El operador del proceso tomar alguna accin de
las varias previstas, para solucionar el problema. Por diversas razones, si el caudal
sigue bajando y se llega a un valor inferior al de seguridad predeterminado, automticamente se debe producir una accin de seguridad que proteja los tubos de la
alta temperatura que se alcanzar en los mismos, como consecuencia de que el bajo


'#
P '$ $

'#'
/ '$
$

sobre el sistema de combustin para poner los quemadores al mnimo, e incluso,
bloquear y apagar los que sean necesarios para que baje la temperatura.
En esta aplicacin, el caudal de entrada al horno se debe controlar utilizando un
transmisor para el lazo de control.
Para producir una funcin de alarma previa, se debe detectar el caudal mediante
un transmisor con conexiones independientes del de control.
Para la funcin automtica de seguridad, se debe detectar el caudal mediante un
transmisor con conexiones independientes del de control y del de alarma previa.

189

190

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

En la aplicacin, son necesarios tres transmisores para las funciones de control,


de alarma y de seguridad. Cualquiera de estas funciones la funcin de alarma requiere adems la intervencin del operador es capaz de mantener el proceso en
condiciones aceptables de trabajo. El fallo de las tres funciones podra llevar el proceso a una situacin de peligro rotura de los tubos por sobrepasar la temperatura de
funcionamiento seguro.
Considerando las funciones indicadas en esta aplicacin u otras similares, se ha
de analizar la posibilidad y facilidad de comprobacin de los instrumentos ante un
fallo de los mismos, o ante un plan de pruebas preventivas para asegurar el funcionamiento correcto. Se debe analizar si se pueden probar cuando estn instalados en
el proceso, o si es necesario tener que desmontarlos.
Tambin se debe analizar la posibilidad de reemplazar o sustituir piezas, o el instrumento completo, se debe parar el proceso?, o puede seguir funcionando durante
la prueba o reparacin. Considerar los costes para las vlvulas y lneas de baips
necesarias para los instrumentos insertados.
Considerar el tiempo necesario para reparar externamente a la compaa cada
instrumento y los costes de envo y devolucin. Se puede tener un instrumento de
reserva como respaldo de muchos?, o cada instrumento es particular y se requiere
una reserva por cada uno. Cuando se eligen los instrumentos para funciones instrumentadas de seguridad, se deben considerar y analizar todas estas preguntas.
De acuerdo a lo indicado en otros captulos, sabemos que puede haber funciones
de seguridad que por el nivel de riesgo asignado en el anlisis, requieren no solo
uno, sino dos o tres transmisores independientes, para satisfacer las exigencias de
diseo, bien por arquitectura, por probabilidad de fallo ante demanda, o por ambas
exigencias al mismo tiempo.
En centenares de aplicaciones similares al ejemplo mostrado, se utiliza la medida
del caudal mediante la tcnica de presin diferencial y transmisores independientes
para cada una de las funciones de control, alarma y seguridad.
8.2.5. MEDIDA DE CAUDAL POR PRESIN DIFERENCIAL
La medida de caudal por presin diferencial se produce cuando en la tubera se introduce un elemento que produce un estrechamiento, y cuando pasa el caudal travs
del mismo se genera una presin diferencial entre la entrada y la salida del elemento.
El caudal que circula por la tubera es proporcional a la raz cuadrada de la presin
diferencial que se genera.
Se mide la presin diferencial con un instrumento conectado al proceso mediante
dos lneas de impulso de alta y baja presin. El transmisor genera una seal de salida
electrnica, que es proporcional a la presin diferencial medida por sus cmaras de
alta y baja presin. El instrumento es externo y se puede independizar fcilmente
del proceso, mediante vlvulas de cierre en las lneas de impulso. En estos casos, los
instrumentos y las lneas de impulso se pueden aislar del proceso sin que se tenga
que interrumpir el mismo.

Elementos de campo del Sistema Instrumentado de Seguridad

Los elementos ms utilizados para conocer el caudal mediante la medida de la


presin diferencial que generan, son los que se indican en los siguientes prrafos.
}   &
Dependiendo de los tipos de productos a medir, fundamentalmente de la viscosidad
y del grado de impurezas o slidos en suspensin que pueda contener, existen las
'#'$
'
$

 'P '7G

'P '  4$' /'P '

# $/ 'P 'O 4$' / & 

$  /
cnica, o con otras formas especiales para distintas aplicaciones.

Figura 8.9. Placa de oricio concntrico.




'P '  4$' )
'$
'
 $$ $

 
ampliamente utilizado en la mayora de las plantas industriales, para la medida de
gases, vapores y lquidos relativamente exentos de slidos y con baja viscosidad. Las
principales razones para ello son: su bajo coste, su robustez, su adaptabilidad a todo
$']'
#
3'/
''&''
 P '$ 'sin obtenidos a travs de multitud de pruebas realizadas en laboratorio, y la dispo'&''
$
)
&'P'


  /'J'$

'



$
$']Q

'$
'
)

'
&'

]+

'
']Q
$
$'
$
&$'/


$'P ' $)&$&'

191

192

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

+O'$
'



  /'J'$

'


'Pcio. Una de las ms utilizadas es la Norma ISO 5167-2.
$
'
 $
Q


'P '/''$ $$'
que sea, se debe inspeccionar cuidadosamente para que el montaje sea correcto y
#'
)#
 ''
 '


6'


'P '
ha sido bien calculada, el material para su construccin ha sido bien seleccionado


]'
 '/)
' ') $
Q
  $
$/manecer en su lugar de instalacin durante veinte aos midiendo adecuadamente, sin
causar ningn problema.
G


 '

'' '
 




'P '/O'$
varias formas de situar las conexiones de presin respecto a la placa, las ms utilizadas son:

&

  ' 
  #
Es el tipo de conexin ms utilizado en tuberas de dos pulgadas de dimetro o mayores
K'#
?DEL '$$''
''#'$7DB/H /HE*DEEE
/E/DE/>H/T ()(eDHEEE)(eDD>E2 D. (D en mm).

Figura 8.10. Conexiones en bridas.

Los ejes de cada una de las dos conexiones de alta y baja presin estn situados
a una pulgada antes y despus de la cara anterior A y posterior B de la placa. Se
deben considerar los espesores de las juntas colocadas entre las bridas y las caras A
y B de la placa. Es importante la observacin de las distancias de las tomas para no

Elementos de campo del Sistema Instrumentado de Seguridad

']' P '$



)$
$
 ''
 '
6


siguientes tolerancias: 25,4mm r 0,5mm cuando simultneamente se da que E>0,6 y
58 mm<D<150 mm, en el resto de casos se da 25,4 mm r 1mm.

&

 
        #
Las conexiones en la vena contracta, estn localizadas a un dimetro de tubera
aguas arriba de la placa y al punto de mnima presin aguas abajo de la placa. Se
utilizan frecuentemente en la medida de vapor de agua y se obtiene mejor precisin
que con las tomas en bridas. Con relaciones E8*E/>B
 O' 'nan radius taps) $T
$PQ
D' $
#

'&
)' $

#

&
Q


'P '/4

'#
?DD
 ''
 '

prcticamente igual a la obtenida con las tomas en vena contracta.
G
'P $
3O'$

P'
#
&
Q



'$
 '

de la vena contracta, este tipo de conexin no se utiliza.

Figura 8.11. Conexiones radius taps.


&

 
  #
De acuerdo a los tamaos de lneas indicados en la Norma ISO 5167, este tipo de
conexiones se utilizan con las toberas ISA 1932, y en la conexin aguas arriba de las
toberas Venturi.
Las conexiones pueden ser realizadas de forma individual, o realizadas en un

'

 $'O
$
$
P*&'

  Q'

Q cin de estas conexiones, se recomienda ver la norma con la que se ha efectuado la
$ '/



' ')'P
'$

 '
 
'

antes de su instalacin.

193

194

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Toberas de caudal
6$''
  $ $3


'P ')
'$



$&
/$&'
/  


'P '
$
Q
' '
/ $




'P '/3$'


'
 
'''
G


4'
')' $'P '$ '
/ '
$

AH 

3


'P '6$''


 ']' 
$

velocidad. Cuando se utilizan con bajo nmero de Reynolds, la precisin de la medida disminuye considerablemente.
Hay varios tipos de toberas, pero las dos ms utilizadas son: la tobera ISA 1932
)P$

 
  /)
$&
6+ )P
$

 
'$
 $ $')  


&
tipos de tobera se pueden ver en el Estndar ISO-5167. En la Figura 8.12 se pueden
ver los dos tipos de toberas indicados.

Figura 8.12. Toberas de caudal.

Tubo Venturi
El tubo Venturi se utiliza en aplicaciones donde es muy importante reducir la prdida
de carga permanente. La prdida de carga permanente de los tubos Venturi, es la ms
baja de los elementos generadores de presin diferencial para medida de caudal. Puede
ser del 10 al 14% de la presin diferencial producida para la medida del caudal.
En la Norma ISO.5167, se describen diseos con dimensiones, clculos y conexiones del Venturi clsico.
En la Figura 8.13 se puede ver un tubo Venturi clsico. Se hace notar que las
conexiones de alta y baja presin, que corresponden a la entrada y a la zona de es-

Elementos de campo del Sistema Instrumentado de Seguridad

trechamiento del Venturi, se efectan con varias tomas, al menos cuatro, hechas en
forma radial y unidas a una cmara anular que promedia el valor de la presin medida en cada una de las cuatro tomas. Las cmaras anulares pueden ser construidas


$S$'/  
P#
 $

/
 
tubos que rodean circularmente el Venturi por las zonas de entrada y cuello respectivamente y estn conectados, cada uno de ellos, a las cuatro tomas radiales de sus
zonas correspondientes. Las conexiones de presin para el instrumento de presin
diferencial son dos y se efectan en las cmaras anulares o en los tubos circulares.

Figura 8.13. Tubo Venturi.

  j %


El elemento medidor consiste en un tubo con una restriccin en forma de cua como
se puede ver en la Figura 8.14. La restriccin crea una presin diferencial entre la entrada y la salida del caudal a travs del estrechamiento, que es proporcional al caudal
volumtrico al cuadrado que pasa por el tubo de medida. La presin diferencial producida est en funcin de la relacin entre la abertura segmentada H y el dimetro D.

Figura 8.14. Medidor de caudal po Wedge.

Puede medir lquidos, gases, vapores de hidrocarburos y vapor de agua. La res$' '
 J
$'&
P
/'' '#
$ ticos que puedan afectar de forma apreciable la precisin de la medida a lo largo
del tiempo. Los medidores se pueden suministrar con precisin de 0,5% del caudal
'$
#
'&
'/

& 'P
)'
'brados desde fbrica.

195

196

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Se resalta que este tipo de medidor tiene ventajas con respecto a otros ms con '
  


'P '/

 ' $' / ') 

$ 
  ' 3  $
 '
  ]'  $
 diciones de trabajo son muy difciles de medir y adems obstruyen fcilmente las
tomas de presin, por ello, se pueden hacer dos tipos de conexin para unir el instrumento de presin diferencial, que son:


Conexiones de o de , (vase la Figura 8.14). Se aplican este tipo de


conexiones, cuando se quiere utilizar Flushing como sello dinmico, entre el
]' )
 

'$ $'' '

Bridadas, como se puede ver en la Figura 8.15. Se emplea frecuentemente
$$' O'/ 
&'
&
3$
]'
interno de la tubera, se utilizan diafragmas de sello y capilar para aislar las


$
 ''' '
]'
$&


Para medida de lquidos se recomienda la instalacin con las conexiones giradas


90 con respecto a la lnea central de la tubera, como se puede ver en la Figura 8.15.
En esta disposicin, la cua de obstruccin (parte obscura) queda perpendicular en la
seccin de la tubera y las tomas en horizontal. Con esta forma de montaje, se permite
el paso libre a los slidos en suspensin y se evita que puedan quedar atrapados gases
en las conexiones, que podran falsear la medida de la presin diferencial correspondiente al caudal. Cuando las conexiones bridadas se hacen hacia arriba, es posible
que queden atrapados gases que puedan causar errores. Cuando se utiliza Flushing,
las conexiones hacia arriba se pueden ventear a travs de las lneas del Flushing y no
causan problemas en la precisin de la medida.

Figura 8.15. Conexin con bridas.

8.2.6. RECOMENDACIONES PARA MEDIDA DE CAUDAL POR PRESIN


DIFERENCIAL
Para efectuar la medida con la mxima precisin, se debe utilizar el Estndar ISO
5167 para el clculo del elemento, para la disposicin, tamao y distancia de las

Elementos de campo del Sistema Instrumentado de Seguridad

tomas de presin diferencial, para la rugosidad y tolerancia de las tuberas, as como


para la exigencia del cumplimiento de los tramos rectos antes y despus del elemento
de medida.
k 
 
 

%j\
    % 

G

'$
$&
'

]Q/)

 '
  ''' '



'

O' $
 $

&$ P '$
'

en el clculo, todos los elementos generadores de presin diferencial como placas
'P '/$&


)$&S$'/3'

  $
'$

'
longitudes de tramos rectos antes y despus de los elementos. Los tramos rectos se
dan en longitud equivalente al nmero de dimetros de la tubera que debern ser
rectos y libres de perturbaciones, antes y despus del elemento de medida.
Los tramos rectos necesarios, estn basados en la relacin de dimetros de la


'P '  $
' $'$'*
$&
/$

3
cuanto menor es la relacin, menor es la exigencia de la longitud de tramo recto. Se
recomienda, siempre que sea posible, utilizar la longitud de tramo recto como si la
relacin fuera de 0,7. Si debido a nuevas condiciones en el proceso, en el futuro fuera
 
'
&'



'P '/
 '

  '
/'Q 
hubiramos dispuesto tramos rectos para una relacin d/D = 0,4 y posteriormente,
por el cambio de la placa, la relacin fuera de 0,72.
Situacin de las conexiones en la tubera o bridas
Para que la presin diferencial pueda ser medida, se necesita conectar el transmisor
mediante dos lneas denominadas lneas de impulso o tomas de presin diferencial a
las conexiones dejadas por tuberas. Deben estar de acuerdo con el elemento primario y con el tipo de conexiones utilizado en el clculo. En la mayora de los casos, se
$''



'P ' $
&'

+
$

&'
'P '/ 

 '

Uvulas de raz, las cuales permiten aislar de la lnea principal de proceso las lneas de
impulso y el transmisor. Para evitar problemas en la medida de la presin diferencial,
las conexiones se deben efectuar con las siguientes orientaciones:


Fluido lquido o vapor de agua, se deben hacer en horizontal, como se indica


a la derecha de la Figura 8.16. Cuando no es posible y solo como alternativa,
se hacen a 45 hacia abajo para medir lquidos.
Fluido gas seco, gas hmedo (vapores de hidrocarburos) o vapor de agua,
&
  ''


$'3'

 '
P#


conexiones para medir vapor de agua pueden estar situadas en horizontal,
en 45 hacia arriba y en vertical hacia arriba. Con las conexiones de salida
representadas, se obtienen los mejores resultados en las medidas. Estn de
acuerdo con las recomendaciones de ASME, API y la propia experiencia en
instalaciones de plantas industriales.

197

198

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 8.16. Conexiones para medida de caudal.

Se deben evitar las conexiones verticales en la parte inferior de la tubera. Aun3]'


Q

' '/' 
&

$
$ 
'
3'$
$&
$


'P '
 O'
de alta presin se obstruir al cabo de un tiempo en funcin de la deposicin de
slidos.
Las conexiones a 45 hacia abajo que se dan como alternativa en lquidos, tambin se deben evitar por la misma razn. En tuberas de 3 e inferiores, las conexiones a 45 hacia abajo estn a pocos milmetros del fondo de la tubera y son
susceptibles de obstruccin por los arrastres de slidos depositados antes de la placa
'P '
En la Figura 8.17 se muestran dos tuberas de 2 y 4 con sus correspondientes
&'
'P ') O'
@H'$


'

&
Q6
 '
3
en lneas de tamao pequeo, el agujero de la conexin de presin queda a una
altura de 4 mm del fondo de la tubera. Si hubiera partculas slidas arrastradas, o
'3' '
/3

$'



'P '/
y entraran en la conexin hasta obstruirla. En las lneas de 4 y mayores, las conexiones de presin quedan a ms altura del fondo de la tubera. En la brida de 4,
''
= 
$
6']'
$'
$' '/
&$ '
tardar mucho tiempo en producirse, pero aunque ms tarde, siempre se producir.
Por las razones dadas anteriormente, si las conexiones se hacen en horizontal, cual3'
$ 
'
3

$
4'P '


/

$



largo de la tubera, no se depositar en las tomas, y no se producir obstruccin en
las mismas.

Elementos de campo del Sistema Instrumentado de Seguridad

Figura 8.17. Conexiones en bridas de oricio con tuberas de 2 y 4.

Longitud de lneas de conexin al proceso


+#
/]' ' 
$
$&
 &
 diante las lneas de conexin de instrumentos a salas de control, salas de interconexiones,
paneles locales o cualquier local que pueda estar cerrado aunque solo sea parcialmente.
Los instrumentos deben ser montados lo ms cerca posible de las tomas de impulso y en zonas con gran ventilacin. Cuanto ms cortas sean las longitudes de las
lneas hay menos posibilidad de fugas, de taponamientos y mayor velocidad en la
respuesta del transmisor a las variaciones en la presin diferencial. Las posibilidades
de error disminuyen con lneas cortas.
Las lneas largas requieren mayor soportado, ocupan mayor espacio, requieren
ms materiales y tienen mayor riesgo de fugas. Sin embargo, la buena ubicacin y
accesibilidad de los instrumentos en suelo o plataformas accesibles es uno de los
factores fundamentales para la ejecucin de un buen mantenimiento. El ahorro en
escaleras, andamios, horas de ejecucin de los trabajos y el aumento de la seguridad,
compensan en poco tiempo el extra coste inicial de este tipo de montaje.
La unin de los instrumentos a las conexiones de los elementos de caudal se
hace con lneas de impulso de longitudes comprendidas entre tres y doce metros. La
$

'
$
'
'
'' '
&
/ ]'
limpios y de viscosidad similar a la del agua.

 
() 
Los medidores se instalarn siempre por debajo de la lnea de proceso. Habr una
pendiente ascendente desde las cmaras del transmisor hacia la tubera, para que

199

200

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

cualquier gas que quede atrapado, incluso en la puesta en marcha inicial, pueda
escapar hacia arriba. De esta forma, las tomas de presin estarn siempre llenas de
lquido y equilibradas, as el instrumento medir solo la presin diferencial correspondiente al caudal.
En la Figura 8.18 se muestran dos tipos de montajes remotos que permiten situar
el instrumento en zona accesible y exenta de vibraciones. Las lneas deben tener
siempre una pendiente hacia arriba superior al 10%, para facilitar el venteo de cualquier gas que pueda haber en las cmaras del transmisor o en las lneas. Las conexiones alternativas de 45 hacia abajo se evitarn siempre que sea posible, para impedir
taponamientos a lo largo del tiempo.

Figura 8.18. Medida de caudal de lquidos.


 
 
 
 

La Figura 8.19 muestra la disposicin tpica de los transmisores para la medida de
gas seco, o gas que pueda tener condensables. El montaje de los transmisores por
encima de la lnea de proceso y con pendiente en cada desde el transmisor hasta la


'P '/#

$'
3
$


/)
3
$nan por su propia pendiente.

Elementos de campo del Sistema Instrumentado de Seguridad

Cuando por diferentes razones el instrumento no se puede montar por encima de





'P '/)
 /#
 $ 
&

$quido, se efectuar un montaje como el de la Figura 8.20. Las conexiones de la placa



'

'&
/  ''
$
''
P#
6'$


potes de recogida de condensado en ambas lneas. El instrumento se situar ms alto
que la conexin a las lneas de impulso verticales, y se dar pendiente a las conexiones para que cualquier lquido se drene hacia los potes. Las vlvulas sobre los potes
estarn abiertas en servicio normal. Cualquier lquido que entre o se condense en las
lneas de impulso, se drenar hacia los potes. Este montaje impedir que se formen
columnas de lquido en las lneas de impulso y el instrumento medir correctamente
durante largos periodos de tiempo. Se deben revisar y drenar los potes cada cierto
tiempo, en funcin del lquido que se acumule.

Figura 8.19. Medida de caudal de gases.

201

202

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 8.20. Medida de caudal de gases con potes de drenaje.


 
 
  
En la medida de vapor de agua, los instrumentos se deben instalar por debajo del
 $'' '
)

'$
 '
P '$

 '$'
 sacin y el enfriamiento del vapor. Debido a la alta temperatura del vapor, que puede
causar daos en las cmaras, o en la electrnica del instrumento, se debe facilitar que
se interpongan columnas de condensado entre las cmaras del instrumento y el vapor
que va por la tubera.
En la Figura 8.21 se muestran dos montajes tpicos de transmisores remotos para
'




 O'


'P '

con salida en horizontal, o en vertical hacia arriba, o en 45 hacia arriba. En todos los
casos, las dos conexiones de alta y baja presin deben salir al mismo nivel, para que
las columnas de lquido en ambas cmaras del transmisor tengan la misma altura, y
se puedan anular una con la otra. De esta forma, la presin diferencial que medir el
transmisor corresponder a la generada por la placa, y consecuentemente al caudal
de vapor.

Elementos de campo del Sistema Instrumentado de Seguridad

Figura 8.21. Medida de caudal de vapor.

Los potes de condensado se utilizan fundamentalmente con los instrumentos que


al variar la presin en las cmaras, Estas se contraen o expanden, como ocurra en
los instrumentos antiguos del tipo clula Barton. Al aumentar o disminuir el volumen
de las cmaras por el efecto de la variacin de presin, el lquido condensado que
contienen es necesario reponerlo rpidamente, para que las columnas de lquido en
las lneas de alta y baja presin estn siempre equilibradas y solo mida la presin
diferencial producida por el elemento generador de presin diferencial.
Con los instrumentos de las ltimas generaciones, cuyo desplazamiento volumtrico suele ser menor de 0,08 cm3, no es necesario utilizar los potes de condensado.
W&43 
' $&'#'O'
&VW*' $
interior de 10 mm, con el mximo desplazamiento volumtrico indicado, la variacin de altura de columna es inferior a 1 mm.
Esta variacin mnima, es el objetivo que se trata de conseguir cuando se instalan
$  
 6 
P
 3   '$ $  &
Q 

'$  4$' /  P '$  3 
 $ 
$

&'$ 
 

condensacin en las dos lneas, y que las salidas de las lneas de conexin hacia el
instrumento estn al mismo nivel.

203

204

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

8.2.7. CONEXIN DE VARIOS INSTRUMENTOS DE PRESIN DIFERENCIAL


En las plantas de proceso muy instrumentadas y con criterios estrictos de seguridad,

 '


 


'P '$''



'
 '
diferentes, por ejemplo: funcin de control del caudal, funcin de alarma por alto
o bajo caudal y funcin de seguridad para producir actuaciones sobre el bloqueo,
disparo, o arranque de equipos.
+
P#

$'
 $
 $
Q '$ $
caudal. Cuando se requiere ms de una funcin, Estas se pueden conseguir de dife$

'#
P
&''
3
'#






La funcin con mximo nivel de seguridad se asigna a un instrumento que tiene conexiones elctricas y mecnicas independientes de otros instrumentos, aunque
tengan asignadas funciones de control, de alarma o de seguridad. De esta forma, un
fallo solo afectar a una funcin.
+
 '


/&'

&
P
&''
 $ '

&


'' '
/

'P '/S$'/$&
)#/
acepta que con una sola placa se puedan conectar hasta tres transmisores. Se recuerda que la posicin de las conexiones del elemento generador de presin diferencial
se debe realizar como se indic en los prrafos precedentes, para obtener la mxima
P
&''
)''&''
 '
'$
En la Figura 8.22 se muestra una disposicin de montaje con tres funciones. La
funcin de seguridad se consigue con un instrumento cuyas conexiones mecnicas
son totalmente independientes. Las funciones de control y de alarma previa de caudal se consiguen con instrumentos y conexionados independientes entre s, pero en
este caso, las conexiones mecnicas de alta y baja presin tienen como punto comn
la vlvula de raz y el niple de conexin a la brida, en cada lnea respectivamente.
Con esta disposicin y un solo fallo, por ejemplo la obstruccin de una de las
conexiones a la placa, se podra inutilizar el transmisor del sistema de seguridad. En
este caso, el transmisor de control y el de alarma previa nos permiten mantener el
proceso en control seguro.
La obstruccin en una de las conexiones del otro lado podra inutilizar las funciones de control y alarma, como consecuencia de ello se desestabilizara el proceso,
pero la funcin de seguridad actuada por el otro transmisor, que es totalmente independiente, actuara el disparo llevando el proceso a posicin segura. Cualquier otro
fallo que pudiera darse en un instrumento, o en un conexionado elctrico, afectara
a una sola funcin.
Cuando la funcin necesita un alto nivel de seguridad por probabilidad de fallo
ante demanda, por exigencias de arquitectura del sistema, o cuando es necesario por
ambas situaciones a la vez, se requieren tres instrumentos transmisores para la funcin de seguridad con la disposicin dos de tres (se produce la accin de seguridad
cuando dos de los tres instrumentos alcanzan el valor deseado).

Elementos de campo del Sistema Instrumentado de Seguridad

Figura 8.22. Conexin de tres instrumentos a una placa de oricio.


  $''
 $ '$ $ $
 '  
 P#
'  
tres para producir un disparo, se puede prescindir de un instrumento independiente
para producir la funcin de alarma previa con valor anterior al de disparo. De las
J
 $'
$$
 ''
/ P#
'$9

del sistema de seguridad se puede obtener un valor para que se produzca una alarma
a un valor previo al de disparo, para que alerte al operador.
En este caso, tenemos un transmisor para el lazo de control y tres transmisores
para las funciones de alarma previa y de seguridad. Veamos las posibilidades que se
pueden dar para hacer la conexin de los transmisores al proceso:
^

N$''
   '

'#
?BB $$
 '+$
 '
y las conexiones de impulso para funciones de alarma previa no existen por las
razones dadas anteriormente. El transmisor del lazo de control va por conexiones de impulso, conexionado elctrico y sistema de control independiente. Los
tres transmisores del sistema de seguridad se conectan en paralelo a las lneas
' 3
P#
''
  R:X#'


'$ $
'
'


'
'$)&
 $
 P#
cin, se pueden independizar los instrumentos, las conexiones elctricas y los
componentes electrnicos que componen el circuito de cada instrumento de
seguridad. Los transmisores de seguridad tienen en comn las lneas de impul/


)
 O'

&'



'P '
De acuerdo a lo que se indic anteriormente, conociendo el tipo de producto a medir, su limpieza y la forma en que se efectan las conexiones podemos

205

206

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

$'
#
P
&''
)
'&''
$

'$


de impulso o las conexiones. Con lquidos limpios y conexiones en horizontal, o con gases secos y conexiones hacia arriba, el taponamiento de las conexiones es desechable. Con productos sucios o viscosos, o con conexiones
en 45 hacia abajo en lquidos, las posibilidades de taponamiento deben ser
tenidas en cuenta y hacer que se desestime este tipo de conexionado mecnico. Cuando se utiliza una composicin dos de tres para el disparo, es porque
se requiere un alto grado de seguridad y una buena disponibilidad de funcionamiento de la instalacin.

Figura 8.23. Conexin de tres instrumentos con mxima separacin.

^

 '


 '
'#
?BB '
& O'
&

'



/' '



'


 $)



P#

actual. Conectar dos transmisores de seguridad en un lado y el transmisor de
control y un transmisor de seguridad en el otro lado.
+  '$
  #'
 P#
   $9
 



 
desviacin de cualquiera de los tres transmisores de seguridad.
Con este tipo de montaje, dos de los tres transmisores de seguridad comparten las conexiones desde las vlvulas de raz hasta las bridas. Si se obstruyen las conexiones correspondientes a los dos transmisores de seguridad y se
bloquean en un valor que no es el de disparo, el sistema sigue funcionando
mediante el lazo de control. Cuando se produzcan variaciones apreciables en
el caudal, la seal del transmisor de seguridad en el lado del control tendr un
valor diferente al de los otros dos transmisores de seguridad que se han blo-

Elementos de campo del Sistema Instrumentado de Seguridad

^

queado y se producir la alarma de desviacin, antes de llegar a la condicin


de disparo. Esta alarma obliga a hacer una revisin de los tres transmisores y
del sistema de seguridad y se podr detectar el bloqueo de las seales.
Si se obstruyen las conexiones correspondientes al lazo de control y al
transmisor de seguridad, el sistema se desestabilizar por mal control y se
llegar a la condicin de alarma previa, dependiendo del sistema y de las perturbaciones detectadas, puede que el operador logre estabilizar el proceso. En
el caso de que las perturbaciones sean incontrolables, lo mximo que puede
ocurrir es que se produzca el disparo. Se producir mediante los dos transmisores de seguridad que estn conectados en el lado opuesto y que funcionarn
correctamente. En este caso, la seguridad del sistema estar garantizada.

&$ ' O'


'
 O''$ $
consigue con una instalacin como la que se muestra en la Figura 8.23. Exige
'$

  

  'P ' 

 '  ' 

/  
/ 
duplica la prdida de carga permanente del sistema debido a las dos placas.
Para que las medidas de las placas sean correctas, es necesario cumplir
con los requerimientos de tramos rectos entre las placas u otros elementos
que puedan estar entre las mismas. Las dos placas deben tener el mismo
dimetro y tienen que ser calculadas con las mismas condiciones operativas,
para el mismo caudal y presin diferencial. Se tendrn en cuenta los errores
de medida.
$ '
$
 P#
'/ '$'
 '

$  '  6
'#

 
  ' )  '  
 P#
'

$'P '$

Seguridad
Como se indic anteriormente, la mayora de los fallos en la medida de caudal por
presin diferencial se producen en las lneas de conexin del instrumento al proceso, por ello y para minimizarlos, se han dado las recomendaciones generales que se
deben cumplir. Los datos que se dan a continuacin afectan solo a los transmisores y
se hace notar que estn obtenidos en pruebas de laboratorio con condiciones ideales,
muy alejadas de las condiciones reales de los procesos industriales. Los transmisores
electrnicos son aparatos del tipo B.
Tomando datos de catlogos de diferentes transmisores de presin diferencial
utilizados en el mercado, se obtienen valores de las tasas de fallos peligrosos no
detectados que van de 0,75 a 3,00 x 10-7 fallos por hora. Tomando un valor medio de
DU = 1,9 x 10-7 fallos por hora.
Para una aplicacin que se acta con un solo transmisor (1001) y en la que se
efecta una prueba del instrumento cada ao, se obtiene la probabilidad media de
fallo a demanda:
G*
#DU x TI/2 = 1,9 x 10-7 x 8760 / 2 = 8,32 x 10-4

207

208

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

La tasa de fallos se garantiza durante el periodo de vida del instrumento. La vida


til recomendada para estos instrumentos en aplicaciones de seguridad, es la que
corresponde a los elementos que lo componen. En los sistemas electrnicos, los
componentes limitativos son los condensadores electrolticos, los cuales, trabajando
a 40 C tienen una vida til mayor de 50 aos. Los datos reales disponibles de los
transmisores en campo indican una vida til bastante inferior. Si no se dispone de da$ $'P
/&
'$ ) 
J'
T$'

8.3. MEDIDA DE PRESIN


Para conocer la presin en los procesos industriales, es necesario conectar al proceso
el instrumento transmisor utilizado para funciones de indicacin, control o seguridad. La medida de esta variable es relativamente sencilla. En este apartado veremos
las formas de conexionado al proceso y las posiciones ms convenientes para instalar
el instrumento, respecto a la toma.
Las recomendaciones para el diseo de lneas que se indican a continuacin son
similares a las que se dieron para el montaje de instrumentos de presin diferencial.
 $3
Q
 
3''$'
3 '
']

bles, txicos y su manipulacin puede resultar peligrosa, por ello, se detecta la presin
lo ms cercana posible al proceso y se transmite la seal a un sistema de control, o
a un sistema de seguridad, situado remotamente en una sala de control centralizada.
Como ya se coment para los instrumentos de presin diferencial, se deben evitar las
lneas largas. Las lneas para conexin al proceso deben ser lo ms cortas posibles,
para evitar derrames, y los riesgos derivados de los productos que contienen.
La primera vlvula de bloqueo en la conexin del proceso, denominada vlvula
 
/    $&
 
  
  'P
' '$

servicio del que se trata. La conexin al proceso se hace normalmente de y la primera vlvula y el niple son tambin de . La conexin hacia el instrumento puede
ser roscada, aunque con altas presiones o con ciertos productos pueden ser soldadas.
En la Figura 8.24 se ven detalles tpicos de conexin de presin, para lneas de
DV) /)
BV)
)
 $
 O' $

')

V/
P#

'3'
3''


vlvula con el cuerpo extendido que hace de niple para soldar en la T, y en la derecha
un vlvolet forjado con la vlvula incorporada, preparado para soldar directamente a
la tubera. Estas variantes proporcionan gran robustez a la conexin y ahorran la soldadura del niple a la vlvula. La tubera para el conexionado de los instrumentos de
'&'$


 
 'P
'$&



principales de proceso, para el servicio que se requiere.
En gran parte de los servicios se utiliza tubera de acero al carbono de y
Schedule 80 o superior, o el tubing
'O'
&6XE@XDA/V
dimetro exterior (OD).

Elementos de campo del Sistema Instrumentado de Seguridad

Figura 8.24. Conexiones de presin.

8.3.1. CONEXIONES CON MONTAJE REMOTO


Los instrumentos de presin para funciones de seguridad se efectuarn siempre con
montaje remoto, con el instrumento adecuadamente soportado y exento de vibraciones. Cuando el nivel de seguridad requiere la utilizacin de dos o tres instrumentos
para una funcin, se efectuarn tanto las tomas al proceso como las lneas de conexin, independientes para cada instrumento.
Adems de disponer de la vlvula de raz para poder aislar del proceso la lnea
de conexin y el instrumento, es una buena opcin la utilizacin de un manifold de
una va y dos vlvulas, para aislar y purgar el instrumento en las labores rutinarias
de pruebas y mantenimiento.
Para medir la presin en lquidos, es necesario tener en cuenta la posicin relativa
del instrumento con respecto al punto donde est la toma del proceso, en la cual se
quiere medir la presin. Cuando se utilizan varios instrumentos para la misma funcin de seguridad, las tomas del proceso estarn a la misma elevacin y los instrumentos se situarn al mismo nivel. Con el objetivo de que tengan la misma medida,
las posibles columnas de lquido entre los transmisores y las tomas de proceso deben
tener la misma altura.
Si el instrumento se monta ms bajo que la toma, adems de la presin del proceso el instrumento medir tambin la presin correspondiente a la altura de la columna de lquido que hay entre el transmisor y la conexin al proceso. El instrumento
medir con error por exceso.

209

210

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Si el instrumento se monta ms alto que la toma, la presin de la columna de


lquido formada entre el transmisor y la toma se opondr a la presin del proceso. El
instrumento medir con error por defecto.
Cuando se miden presiones bajas, por ejemplo 1 kg/cm2, la posicin del instrumento respecto a la toma es muy importante, para evitar error. El instrumento debe
estar en el mismo nivel. Suponemos que el instrumento est montado tres metros
ms bajo que la toma de presin y que la lnea est llena de agua. El instrumento
indicara una presin de 1,3 kg/cm2 (1 kg/cm2 + 0,3 kg/cm2 de la columna de 3.000
mmca) y tendr un error del 30% que no es aceptable.
En el ejemplo anterior, si la presin a medir fuera de 20 kg/cm2, el instrumento
indicara una presin de 20,3 kg/cm2, el error por exceso sera del 1,5%. En la medida de presiones altas, o en la medida con gases, el error por la diferencia de posicin
puede ser aceptable, dependiendo de la precisin requerida.
De lo anterior se deduce que con gases secos el transmisor puede montarse indistintamente donde sea ms accesible, por arriba o por debajo de la conexin al proceso. Con lquidos o gases condensables, si el transmisor se monta por arriba o por
abajo, se introduce el error correspondiente a la columna de lquido que se acumule
entre el transmisor y la conexin al proceso (vase la Figura 8.25).

Figura 8.25. Medidas de presin.

Medida de diferencia de presin


La diferencia de presin entre dos puntos de un proceso, se puede medir de varias
formas distintas.

Elementos de campo del Sistema Instrumentado de Seguridad


      

Se puede medir la presin en cada punto con un transmisor de presin relativa, y en
el sistema de control se hace el clculo de la resta entre las presiones medidas por
cada transmisor. Cuando la diferencia de presin entre los dos puntos es pequea y
la presin a medir en cada uno de los puntos es alta, la medida puede resultar difcil
de efectuar. En este caso, es necesario tener en cuenta el error debido a la imprecisin
de cada uno de los transmisores utilizados. El error del instrumento debe ser muy
''

'' '
33' '/

3$

P
&G


que la medida sea lo ms correcta posible, se debe tener en cuenta que el modelo y el
rango de medida de los dos transmisores debe ser exactamente el mismo en ambos.
El error va relacionado con el rango de medida y los dos transmisores deben tener un
error similar y bastante menor que la presin diferencial que queremos medir.
Si la presin diferencial a medir es pequea, cada transmisor debe estar instalado
a la altura de la conexin correspondiente, para evitar columnas de lquido. Si por
'P $
  $
Q  &'
'  '$ $ &'
  
  3'/ 
tendrn en cuenta las presiones de las columnas, para corregirlas con el correspondiente ajuste de cero del transmisor.

    

 

 
La medida de la diferencia de presin entre dos puntos del proceso con un solo
transmisor de presin diferencial, puede ser ms precisa que la efectuada con dos
transmisores, siempre que la presin diferencial a medir est dentro del rango de
medida del transmisor.
Se deben tener en cuenta las columnas de lquido que se formarn en las lneas
de conexin de alta y baja presin, y la posicin del transmisor respecto a las tomas
de alta y baja presin.

     

     
6']' #
/'$ $'$
 '

$

y se tendrn en cuenta las mismas consideraciones que se tienen para la medida de


 #
6']'3'/'$ $'$
&
Q

tomas y se tendrn en cuenta las mismas consideraciones que en la medida de caudal
de lquidos. Las dos lneas deben tener sus columnas de lquido equilibradas, y as el
transmisor nos dar la diferencia de las presiones medidas en sus cmaras de alta y
baja presin, que ser equivalente a la del proceso.

     

  


  
Por ejemplo, al medir la diferencia de presin entre los lechos de un reactor, o entre
bandejas de platos de una columna de destilacin. La diferencia en la altura de los

211

212

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

puntos a medir puede tener varios metros. En este caso, si el transmisor se monta en
la parte inferior y el producto interior es lquido, o se condensa a temperatura ambiente, las lneas de conexin de alta y baja presin estarn llenas de lquido. Si la
diferencia de altura de las lneas de alta y baja presin es de varios metros, la columna de lquido formada por esta diferencia de altura introduce un error que puede ser
muy importante. Se debe tener en cuenta la presin ejercida por esta columna, para
corregirla en el ajuste del instrumento.
6']'
 '#
 /#
  3J
 
$ 
&

temperatura ambiente y el instrumento se instala por encima de la conexin superior
con pendiente en las lneas de alta y baja presin para que cualquier condensado que
se forme en las lneas se drene hacia las conexiones del proceso, no se formarn columnas de lquido en las lneas del transmisor y la medida ser correcta (vase parte
superior de la Figura 8.26). Si la cantidad de gas-vapor condensado fuera apreciable
y el drenaje pudiera crear taponamientos en las conexiones, se debera considerar
el calentamiento de las lneas mediante acompaamiento de vapor, para impedir la
condensacin.

Figura 8.26. Medida de presin diferencial.

6']'
 '
 ) 
&
$ 
$

&'$3'/
nos debemos asegurar de que el montaje del instrumento est a la altura, o debajo
de la toma inferior, y que las lneas de alta y baja presin estn siempre llenas de
lquido. De esta manera, se tendrn en cuenta las columnas de lquido que se forman

Elementos de campo del Sistema Instrumentado de Seguridad

en las cmaras y lneas del instrumento. Se debe corregir la presin correspondiente


a la altura de columna entre las tomas de alta y baja, con el ajuste de cero del instrumento, para que la medida sea correcta.
Supongamos que se va a medir la prdida de carga en una columna de destilacin
a lo largo de varios platos de separacin, o en los lechos de un reactor. El instrumento
 $
&
Q
$
''(P'4


$''
'#

8.26, la cmara de alta presin del transmisor se conecta a la zona de alta presin
del proceso y la cmara de baja presin del instrumento se conecta a la zona de baja
presin del proceso. En estas condiciones, las dos lneas de conexin estarn llenas
de lquido.
Supongamos que la diferencia de altura entre las tomas de alta y baja presin es
de 10 m y la densidad relativa del producto que entra en las lneas es de 0,7. En la
cmara de baja presin se detecta la presin dinmica del proceso en la parte alta
de la columna de destilacin, ms la presin correspondiente a los 10 m de columna
de lquido. Las columnas de lquido de las lneas de conexin desde las cmaras del
transmisor hasta la altura de la toma inferior producen la misma presin en una y otra
cmara y no se tienen en cuenta porque se anulan. Se debe ajustar el cero del transmisor con la presin correspondiente a la columna de 10 m (10.000 mm x 0,7 = 7.000
mmca) aplicada a la cmara de baja. De esta forma, con el instrumento instalado y
las columnas de las cmaras de alta y baja presin llenas de lquido, la seal de salida
dada por el transmisor corresponder exclusivamente a la diferencia de presin del
proceso entre los puntos de las tomas de alta y baja presin.
Cuando en las lneas de conexin hay lquido, no se recomienda montar el instrumento en la parte superior. La lnea de alta presin, que va desde la toma inferior
hasta el instrumento instalado arriba, no se puede garantizar que est llena de lquido
y no se sabra qu cantidad de columna de lquido habra que compensar en el ajuste
de cero del transmisor. Siempre habra gas en cantidad desconocida en la parte alta
de la lnea, lo que hara imposible una medida correcta de la presin diferencial.
Seguridad
Se recomienda que las aplicaciones de diferencia de presin para funciones de seguridad sean realizadas con transmisores de presin diferencial.
Desde el punto de vista de seguridad, los transmisores de presin y diferencia de
presin, tienen caractersticas similares. Los valores de seguridad son parecidos a
los que se dieron en el apartado anterior para los transmisores de caudal por presin
diferencial.

  
Los montajes de presostatos se deben hacer remotos. Se deben soportar de manera independiente de las tuberas de proceso y de las lneas de conexin, para evitar vibraciones. Debido a que el presostato no tiene indicacin local, se instalan con un manmetro

213

214

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

indicador, utilizando una sola conexin a proceso para los dos instrumentos. Tendrn
vlvulas de aislamiento y purga independientes para el manmetro y para el presostato.
El montaje puede ser con tubera rgida como en el detalle de la izquierda de la
Figura 8.27, o con tubing y accesorios rgidos como en el detalle de la derecha de

 '
P#

Cuando se requiere un sistema con alto nivel SIL y con gran disponibilidad de
planta en funcionamiento, se utilizan tres presostatos con disposicin de actuacin
dos de tres. En estos casos, cada instrumento actuador transmisor o presostato, se
conectar al proceso con conexiones y lneas independientes, para eliminar fallos
por causas comunes.

Figura 8.27. Conexiones de presostatos.

Seguridad
$
$&'$
  
&'P')

+ ADHE? 
'P
  


$$'+
'
'#'

tiene cero tolerancia al fallo. Segn distintos modelos y fabricantes, las fracciones de
fallo seguro SFF varan desde 61 a 84%.
R
 $'P

'
&'
$)'$ $
$/&
3
$


'#$ $
DU vara desde 0,2 a
2,12 x 10-7
 
+#' 
'$ 'DU = 1,16 x 10-7 fallos
por hora. Para una aplicacin que acta con un solo transmisor (1001) y en la que
se efecta una prueba del instrumento cada ao, se obtiene la probabilidad media de
fallo a demanda:
G*
#DU x TI/2 = 1,16 x 10-7 x 8760 / 2 = 5,08 x 10-4 .

Elementos de campo del Sistema Instrumentado de Seguridad

El valor es mejor que el que se obtuvo en el apartado 8.1.2 Tecnologas - Instrumentos mecnicos con interruptores. Aquellos instrumentos son de diferentes modelos y fabricantes, y estn en funcionamiento desde hace ms de 25 aos. Los clculos
&
 
$ $'P
 $''


'
'

8.4. MEDIDA DE TEMPERATURA



 '
$ 
$
]' ' 
$ 3 ' '$'


'
&3$
 T$''P $

' '$
'


aplicacin concreta vienen determinadas por las condiciones de presin y temperatura de trabajo, por la precisin con la que se quiere medir, por la inercia trmica o
velocidad de deteccin en las variaciones de la temperatura, y por la manera en que
se debe indicar, transmitir o controlar la temperatura.
%
)  

)3 ') $
$ 
$
]' 
valores tan bajos como -10 C y por ejemplo 3 kg/cm2 de presin, o tan altos como
870 C y 60 kg/cm2 de presin. En ambos casos y en combinaciones de valores intermedios, la temperatura se ha de medir con la precisin y velocidad de captacin
que exija el proceso. Siempre se ha de poder medir de forma que no sea necesario
interrumpir el proceso cuando exista una avera, o cuando se tenga que hacer una
'P
' $$ $
 '
$ 
$
 
industriales se basan en alguno de los siguientes fenmenos fsicos.
Variaciones en el volumen o en el cambio de estado de los cuerpos
(gas o lquido). Elementos de Bulbo
A este tipo pertenecen los termmetros de vidrio encapsulados en contenedores metlicos (muy poco utilizados en procesos industriales por su fcil rotura). Tambin
utilizan este tipo de elemento detector los termmetros de bulbo y capilar que utilizan los termostatos. El termmetro de bulbo consta de un bulbo metlico, unido me'
$$&
'


'
/

 
 $'
 

$]O'&
Cuando la temperatura del bulbo cambia, el gas o el lquido en el bulbo se expanden,
y se transmite la expansin a la espiral que tiende a desenrollarse, moviendo una
aguja en una escala graduada para indicar la temperatura existente en el bulbo.
Variaciones de resistencia de un conductor. Termorresistencia
+ $ '$
 $

'$ 'P  $
utilizado. El hilo est bobinado sobre capas de material aislante y protegido con un
revestimiento de vidrio o cermica. El material utilizado para la termorresistencia
&$'$

'
/)&$ P '$'$ '
&'P'/3O

$ 
$
 'P



'
'
'$ '

ohmios del conductor por cada grado centgrado que cambia la temperatura.

215

216

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

$; &  


 



Elementos bimetlicos
Estn constituidos por dos metales, tales como latn, monel o acero y una aleacin
de ferro nquel denominada invar (contiene 35% de nquel) que estn laminados conjuntamente. Las lminas bimetlicas pueden ser rectas o curvas, formando espirales
o hlices. Este tipo de sensor se utiliza en termostatos para el control de temperatura
de sistemas econmicos que no requieren gran precisin. No se utilizan en sistemas
de seguridad para la industria en general.
uera electrootri creada en la unin de dos etales disntos. Teropar
Estudiando los efectos descubiertos en su momento por Seebeck, Peltier y Thomson,
se comprende el fenmeno fsico por el cual se puede conocer la temperatura de una
fuente de calor que se aplica a un termopar, midiendo la fuerza electromotriz que se
genera entre los extremos del lado fro de los conductores del termopar.
Seebeck, descubri en 1821 que cuando hay un circuito cerrado formado por
dos metales distintos, cuyas uniones estn a diferente temperatura, se establece una
corriente elctrica en el mismo. Las dos causas que contribuyen a la generacin de la
fuerza electromotriz Fem que produce la corriente son las siguientes:
Peltier, observ que dos metales distintos puestos en contacto producan una
Fem, y que la magnitud de la Fem dependa tanto de la temperatura como de los
metales utilizados.
Thomson, observo que si un hilo de metal simple o aleado se calentaba en un
extremo, entre los extremos caliente y fro del hilo se generaba una Fem (conocida
como Fem de efecto Thomson), la magnitud de la Fem depende tanto del tipo del
metal del hilo como de la diferencia de temperatura de los extremos.
Teniendo en cuenta lo anterior, la Fem total que se produce en un circuito elctrico formado por dos metales distintos, es la suma de los efectos Peltier (Fem en cada
unin del circuito) y Thomson (Fem sobre cada hilo). Por supuesto que se deben
tener en cuenta los signos algebraicos de las cuatro Fem (dos uniones ms dos hilos).
La Fem total de este tipo de circuito depende de la temperatura de las dos unio6'
$ 
$

'PQ


  '/  Q /

temperatura de fusin del hielo que es de 0 C, la temperatura de la otra unin (unin
caliente) puede ser determinada por la medida de la Fem desarrollada en el circuito.
En este principio se fundamenta la medida de temperatura mediante los pares termoelctricos o termopares.
8.4.1. CONEXIONES DE TEMPERATURA AL PROCESO
Las conexiones para medir la temperatura en los procesos son muy importantes,

3'  $
Q  '/']'3
 '

la temperatura sea o no correcta. Excepto los casos en los que se mide la tempera-

Elementos de campo del Sistema Instrumentado de Seguridad

$

P 'O$
$& 
$
'$/

$
$  $#


P 'skin points,
en todos los dems casos, para la medida de la temperatura, se hace necesario efectuar agujeros en las tuberas, en los recipientes o en los equipos, para poder instalar
los termopozos roscados o bridados, con los elementos sensores en su interior, para
$ $

$ 
$
]'$O
$3' '+
la Figura 8.28 se muestran varias, de las posibles conexiones de temperatura que se
pueden realizar en tuberas de procesos qumicos. Para poder introducir los termopozos o vainas, el tamao mnimo de lnea debe ser: 3 cuando se inserta en codos,
y 4, cuando se inserta en tramos rectos de tubera. Los tipos 4 y 5 se utilizan para
servicios en los que la vaina ir roscada. La posicin del accesorio elboletPQ

 '
' ']'+$'= &$/$&
)&'
$''

para servicios en los que la vaina debe ser bridada. Si las conexiones se disponen
en codos y el tamao de la lnea fuera inferior, se deber aumentar a 3. Para las
conexiones en tramo recto de tubera, el tamao mnimo de la misma deber ser de
dimetro 4 o se aumentar el tamao de la lnea hasta este valor. Los tipos 1, 2 y
3 en tubera recta, horizontal o vertical, son para servicios que permiten vainas o
$ 
/
' ']'''$$'A/>)?
para vainas bridadas.

#'$/<) $'3PQ





$

J$&
)
midas como estndar por tuberas e instrumentacin; de esta forma, Instrumentacin
P'
#'$

'




 'P
'  
6
indican las distancias mnimas entre los diversos accesorios para conexin Sockolet,

#'$/+&$/$ /
$



  


$&

]
Q

''

' '
3']''$)

' '
3& 

 O'+
#
/]'
circular indistintamente en dos sentidos, en otros casos como en los codos, la posicin de la toma y el sentido del caudal deben ser nicos.
Las conexiones roscadas en las lneas de proceso solo se utilizan donde la presin-temperatura es muy baja, y adems, los productos que se manejan son completamente inocuos.

217

218

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 8.28. Conexiones de temperatura.

Longitud de inmersin
Representa la distancia entre el extremo libre del termopozo y la parte roscada o


$''
&'
PQ
'3
 '&
$&
3'
Es la longitud A mostrada en la Figura 8.29 y la longitud B en la Figura 8.30. Para
la mejor ejecucin de la medida de temperatura, la longitud de insercin debe ser
P '$ $#


 '$'3

$'& $$ $$4
totalmente sumergido en el medio en el que se quiere medir. La instalacin adecuada
es la que permite que el elemento detector est sumergido en toda su longitud ms

#

 
]'
'#
/
' '&$

#'$
del elemento sensor, ms tres pulgadas.
Los termopares y los termistores tienen una longitud sensible muy corta. Los
termmetros bimetlicos, las termorresistencias y los bulbos termomtricos llenos
de lquido o gas tienen elementos sensibles largos o muy largos, cuya longitud puede

Elementos de campo del Sistema Instrumentado de Seguridad

variar entre 1 y 6. Para tener una buena medida de la temperatura, toda la longitud
 $'&&$
 #'
]' )
$ 
$
3'
medir.
Como los bulbos de sistema lleno de lquido o gas tienen longitudes y dimetros
grandes, se hace necesario tener cuidado especial con la longitud de insercin de estos elementos. Es muy conveniente que el suministrador del instrumento con bulbo
suministre tambin el termopozo correspondiente.
Longitud de inmersin
Es la distancia desde el extremo libre del termopozo donde se sita el elemento

$' ']' )
$ 
$
3  'G


obtener la mxima sensibilidad y el mejor tiempo de respuesta en la medida de la
temperatura, la longitud ptima de inmersin depende de factores tales como: tipo
de elemento sensor, termopar, termorresistencia o bulbo, espacio disponible, diseo
de la conexin mecnica y grosor de las paredes del termopozo. Tambin depende

'
'
]'/ P '$$
 '

/

 '
]')
' '
$ 
$
$$ '
)
la brida o rosca superior del termopozo.

Figura 8.29. Conexiones roscadas.

219

220

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 8.30. Conexin bridada.

N
' ''P '$ '3'$ 
'

$
$P
' 'N
#'$' 'O '
/Q$ 

$
 '
]'/


$
$ 
En las Figuras 8.29 y 8.30 se observan las posiciones relativas de las vainas respecto a la lnea central de las tuberas. Las dimensiones de las cotas A y B segn sean vainas roscadas o soldadas, es la parte de la vaina que est insertada en el
lquido de proceso. La parte de la vaina cercana al centro de la tubera es la que est
inmersa en el lquido al cual se quiere medir la temperatura. Se considera posicin
idnea la que sita el elemento sensor cercano al centro de la lnea de proceso.
8.4.2. TERMMETROS DE SISTEMAS TRMICOS LLENOS (BULBO Y CAPILAR)
Los sistemas de medida de temperatura basados en sistemas encapsulados llenos
3'/#
  

&/
'
6K6 '$'P 
Apparatus Manufacturer of America).
En la Tabla 8.1 se pueden ver los tipos de sistemas, los rangos de temperatura de
aplicacin para cada gama de instrumentos, los tamaos mnimos y mximos de los
bulbos en longitud y dimetro, dependiendo de los rangos de aplicacin, y la longitud mxima recomendada para los capilares.

Elementos de campo del Sistema Instrumentado de Seguridad

Tabla 8.1. Conexin bridada.


TIPO DE SISTEMA
(CLASE SEGN SAMA)

TEMPERATURA
RANGO oC

TAMAO
BULBO
(PULGADAS)

CAPILAR LONGITUD
(METROS)

Presin de vapor
(II-A, B, C, D)

-40 a 315

2 x 3/8 a
6 x 9/16

45

Presin de gas
(III-A,B)

-215 a 815

3,5 x 5/8 a
10 x 7/8

30

Expansin de mercurio -40 a 650


( V-A, V-B)

3x a
6 x 5/8

V-A = 30
V-B = 15

Expansin de lquido
(I-A, I-B)

2,5x 9/16 a
4 x 11/16

I-A = 30
I-B = 6

-185 a 315

 

&  


En la industria qumica, se han utilizado los de dilatacin de mercurio SAMA-VA
con compensacin de las variaciones de temperatura ambiente, tanto en la caja como
en toda la longitud del capilar. La longitud del capilar debe ser lo ms corta posible,
teniendo en cuenta la longitud requerida en cada caso.
Dependiendo de la posicin del bulbo respecto al elemento indicador (Bourdon),
los instrumentos de clases I y V de expansin de lquido, pueden tener error en la medida. Se produce error apreciable cuando el bulbo est por arriba o por abajo ms de ocho
metros. En esta circunstancia, es necesario indicarlo al suministrador, para que desde
origen el instrumento venga con la correccin correspondiente al error producido por
la variacin de la altura de la columna que no es neutralizada por la capilaridad.

&'$ 
$

&'$
 $

$&
'
)
]''$/
por ello, tambin afectan a la medida de la temperatura. Con longitudes de capilar
inferiores a ocho metros, los efectos de la temperatura ambiente sobre el capilar no
afectan de forma considerable y no necesitan compensacin. Para longitudes supe'/'$
 '
'#
'
 ' ]'
y montado sobre el principal, el capilar de compensacin acta sobre un mecanismo
que se opone y anula el error introducido por las variaciones de la temperatura ambiente sobre el capilar principal de medida. En estos sistemas compensados, la tem
$

 $


'
$
']'&&3 $/
y por lo tanto, solo mide la temperatura del producto en el que est sumergido, que
es la que interesa medir.
Las nuevas normativas estn restringiendo la utilizacin del mercurio en usos
industriales. Es necesario estudiar cuidadosamente la aplicacin donde se quiere
utilizar este tipo de detector para, si es posible, sustituirlo por otro.

221

222

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

 

&  
() 
Adems del mercurio, existen otros lquidos mucho ms baratos que tambin se
pueden utilizar en los sistemas del tipo de expansin. Estos otros lquidos permiten
la utilizacin de materiales distintos del acero inoxidable para el bulbo y el capilar.
Los lquidos ms utilizados son el xileno para rangos de temperaturas de -40 C
a +400 C, y el alcohol para rangos de -46 C a +150 C.
 
  
El principio de funcionamiento de este tipo de instrumentos es el siguiente: el volumen que ocupa una determinada masa de gas a una presin determinada es una
funcin de su peso molecular y de la temperatura.
El comportamiento de los gases se representa por la ecuacin pv = RT.
Como v (volumen) y R son constantes, la presin p es funcin de la temperatura T.
Cuando hay un cierto volumen de gas encerrado en un bulbo con capilar unido a
un tubo Bourdon, la presin indicada por el tubo Bourdon puede ser calibrada en trminos de la temperatura detectada por el propio bulbo. Esta es la base de la medida
de temperatura con los sistemas llenos de gas.
+ P '$  O
'   #
   
) 3    3'
o slidos, por ejemplo: el aire tiene 0,0037; el mercurio tiene 0,00018; y el acero
inoxidable tiene 0,00003. Si se tiene un bulbo con un volumen mucho mayor que el
volumen formado por el del tubo capilar y el del tubo Bourdon, los cambios de temperatura ambiente que afectan al capilar y al tubo Bourdon pueden ser despreciados a
efectos de error en la medida. El error introducido es muy pequeo, debido a la gran
relacin del volumen del bulbo respecto al muy pequeo volumen del conjunto tubo
capilar y tubo Bourdon.
Con este tipo de sistema de medida de Clase III no es necesario tener en cuenta la
posicin del bulbo respecto al instrumento de medida, ya que pueden estar varios me$
'&

&
Q''$'$
$/'']'
 '

$ 
$

 
  
Es un sistema similar al del gas, pero en el bulbo se contienen las fases de lquido
y gas. En el rango de temperatura a medir, el lquido y el vapor estn en equilibrio
en el interior del bulbo, un aumento de la temperatura produce una ebullicin de
parte del lquido, aumenta el vapor, e intenta aumentar el volumen del vapor que
$ 

'PQ)
   '
3
 $

'/3
es equivalente a decir que aumenta la temperatura que marcara el indicador actuado
por el tubo Bourdon.
La indicacin de temperatura es completamente independiente del volumen del
bulbo, del volumen del tubo capilar, del volumen del tubo Bourdon y por tanto, tam-

Elementos de campo del Sistema Instrumentado de Seguridad

bin es independiente de la expansin o contraccin del capilar y del tubo Bourdon


debido a las variaciones de la temperatura ambiente.
La presin de saturacin del vapor no es lineal con la temperatura, y por ello,
la escala de estos instrumentos tiene las divisiones ms separadas a medida que va
aumentando la temperatura.
La ejecucin de un instrumento con sistema lleno de vapor es prcticamente igual
al instrumento con sistema lleno de gas. En el sistema de vapor, el bulbo est lleno
parcialmente con lquido y el resto con el vapor del lquido. En el de gas, el bulbo y
todo el sistema est lleno del gas.


Clase IIA

Los instrumentos de esta clase se disean para medir temperaturas de operacin


que siempre estarn por encima de la temperatura ambiente. El resto de los elementos del sistema trmico, como son el capilar y el tubo Bourdon, estarn a la temperatura ambiente (vase la parte derecha de la Figura 8.31). Dentro del rango de medida
de temperatura, el sistema siempre est lleno de lquido.

Figura 8.31. Sistema trmico de presin de vapor.

Cuando se instala el instrumento aproximadamente a 7 m por arriba o por abajo


del Bourdon, puede haber error debido a la columna de lquido formada en el interior
del capilar. Se le debe indicar la posicin del bulbo respecto al instrumento, al suministrador del sistema, para que utilice un lquido con la presin de vapor lo ms alta
'&/  
/
'] '


'
'

$
  
)$'
en cuenta la fuerza del rozamiento por capilaridad, ser la menor posible. Se puede
calibrar el sistema para anular la diferencia entre la presin de la columna en el capilar
y la fuerza del rozamiento del lquido por capilaridad, y por tanto, eliminar el error.

223

224

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Clase IIB

Los instrumentos de esta clase se disean para medir temperaturas de operacin


que estn por debajo de la temperatura ambiente.
Vase la parte izquierda de la Figura 8.32. Dentro del rango de medida de temperatura, el sistema siempre est lleno de vapor. No se produce error, cualquiera que
sea la posicin de montaje del instrumento respecto al bulbo.

Figura 8.32. Sistema trmico de presin de vapor.

Clase IIC

Los instrumentos de esta clase se disean para medir temperaturas de operacin


que pueden estar por arriba o por abajo de la temperatura ambiente. Este sistema
requiere un bulbo bastante mayor que los tipos IIA y IIB.
El sistema est lleno de lquido cuando la temperatura a medir est por encima de la
temperatura ambiente, mientras que est lleno de vapor cuando la temperatura a medir
est por debajo de la temperatura ambiente. Est lleno de lquido solamente en una
parte del rango de medida y por ello, no se recomienda su utilizacin cuando el bulbo
y el instrumento estn a alturas apreciablemente diferentes, dado que en este caso, el
instrumento medir incorrectamente. Vase la parte de la izquierda de la Figura 8.31.


Clase IID

Los instrumentos de esta clase se disean para medir temperaturas de operacin


que estn por arriba, por abajo o al mismo valor de la temperatura ambiente. En este
$'/3'$' P


$'$'
&&/)#3'
no voltil se utiliza para transmitir la presin del vapor al elemento expandible de
medida (tubo Bourdon). Vase la parte derecha de la Figura 8.32. Dentro del rango
de medida de temperatura, el sistema siempre est lleno del lquido no voltil.

Elementos de campo del Sistema Instrumentado de Seguridad

Cuando se instala el instrumento ms de 7 m por arriba o por abajo del Bourdon,


se le debe indicar al suministrador del sistema para que este, ponga un lquido con la
'
 
$
'&/  
/
'] '


'
'
tura de columna menos la fuerza del rozamiento por capilaridad ser menor, adems
se puede calibrar para anular esa diferencia y por tanto eliminar el error.
Termostatos
La mayora de los termostatos utilizados en las industrias qumicas, estn provistos
de un elemento sensor basado en uno de los sistemas anteriormente descritos. En
vez de utilizar tubos Bourdon para actuar el mecanismo de apertura o cierre del
interruptor elctrico, pueden utilizar un cilindro con una parte metlica elstica, o
una membrana metlica, que produce un pequeo desplazamiento por el efecto de

O
']'+

'$ '$ ' '$  ' 
que mediante un sistema de palancas se utiliza para actuar el interruptor elctrico. El
diseo mecnico, distinto en cada fabricante, permite ajustar el punto de actuacin a
la temperatura que se requiere. El punto de actuacin deber estar dentro del rango
que permite el instrumento seleccionado previamente. En la Figura 8.33 se indican
los componentes de un termostato del tipo sistema lleno con bulbo y capilar.

Figura 8.33. Componentes de un termostato.

Los termostatos se requieren preferiblemente con compensacin de temperatura


en la caja y en toda la longitud del capilar. La longitud del capilar debe ser lo ms
$
'& 
'$ $$4
 
'P

'#O-

225

226

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

sin, el compartimento elctrico tendr una proteccin que ser adecuada para la
zona en que est ubicado.
Los termostatos se utilizaban frecuentemente para funciones de alarma y de seguridad en sistemas con lgica realizada mediante rels electromagnticos. En sistemas
con lgica mediante PLC que disponen de tarjetas de entrada para seales analgi
/P$''
$ 
$ '$ '
  $':$
 '
@:BE /3$'
) '' '
)#
P
&''

Seguridad
$ $
$&'$
  
&'P')

+ ADHE? 
'P
  


$$'+
'
'#'

tienen cero tolerancia al fallo. Segn distintos modelos y fabricantes, las fracciones
de fallo seguro SFF varan desde 36 a 80%.
W&
 $'P

'
&'
$)'$ $ $
$

/&
3
$


'#$ $
DU vara
desde 0,29 a 2,33 x 10-7
 
+#' 
'$ 'DU = 1,31
x 10-7 fallos por hora. Para una aplicacin que acta con un solo transmisor (1001) y
en la que se efecta una prueba del instrumento cada ao, se obtiene la probabilidad
media de fallo a demanda:
G*
#DU x TI/2 = 1,31 x 10-7 x 8760 / 2 = 5,74 x 10-4 .
8.4.3. TERMORRESISTENCIAS
La medida de temperatura con termorresistencias est muy extendida. La forma tpica
de construccin de estos sensores consiste en un hilo de platino bobinado sobre un
cilindro cermico encapsulado en un tubo de vidrio sellado mediante cemento cer ' ''/  
'#
?X@+ P '$'
$
'
materiales que intervienen en la ejecucin deben ser similares para evitar roturas por
la desigualdad en las dilataciones. Con temperaturas superiores a 400 C, los soportes
cermicos sobre los que se enrolla el hilo de platino plantean problemas de robustez
mecnica. Las termorresistencias tienen un retardo trmico superior al de los termopares. La corriente de excitacin que circular por la termorresistencia debe ser lo ms
baja posible, para evitar error de recalentamiento por la propia intensidad circulante
por el circuito. La intensidad de utilizacin suele estar comprendida entre 1 y 5 mA.
Las termorresistencias pueden medir la temperatura con buena precisin, pero el
rango de temperaturas que pueden medir es bastante inferior al de los termopares.
Con termorresistencias especiales se pueden medir temperaturas en aplicaciones industriales, que van desde -200 C hasta + 600 C.
El estndar ms utilizado para la medida de temperatura con termorresistencia es
la denominacin PT 100 DIN. Corresponde a la termorresistencia que a 0 C tiene
una resistencia de 100 ohmios.

Elementos de campo del Sistema Instrumentado de Seguridad

Figura 8.34. Termorresistencia.

Conexin de las termorresistencias


Las termorresistencias para uso industrial se deben introducir en termopozos. En los
ambientes industriales, las termorresistencias son ms frgiles que los termopares.
Las termorresistencias se introducen en los termopozos situados en el punto del proceso en el que se quiere medir la temperatura. En campo y a una cierta distancia de
la termorresistencia, se sita un convertidor transmisor, que transforma la variacin
de resistencia en una seal normalizada de 4-20 mA. Los cables de conexin de la
termorresistencia introducen un error en la medida debido a la resistencia de los
mismos. La resistencia de los cables es distinta en funcin de la longitud y seccin
 ' R
&'4 'P

'$ '
 

'
'
$ 
$

ambiente a lo largo del recorrido de los cables de conexin.
Los cambios de resistencia de las termorresistencias se miden con aparatos que
utilizan circuitos basados en el puente de Wheatstone. Para la conexin de la termorresistencia se suelen emplear cables de tres o cuatro conductores, con lo cual se
anula el error producido por la resistencia de los conductores y por las variaciones
de temperatura sobre los mismos.
En plantas industriales, para medidas con buena precisin, se utilizan cables de
tres conductores. Los cables se conectan como se indica en la Figura 8.35 y los
conductores deben tener igual longitud. Se puede observar que la resistencia del
conductor L3 est en serie con la R4 de medida, la resistencia del otro conductor
L1 est en serie con la resistencia R3 y el tercer conductor L2 se utiliza para llevar
la alimentacin al puente. Las resistencias de la lnea, L1 y L3 se anulan por estar
acopladas a las ramas contiguas del puente.

227

228

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 8.35. Conexin con tres o cuatro hilos.

De igual forma, se anulan las variaciones de resistencia en los hilos de la lnea


producidas por la temperatura ambiente, debido a que afecta de igual forma a los
conductores y se compensa de manera automtica en ambas ramas del puente, eliminando as el posible error.
+
 O'  
$ '/  $
  ''

 '$

P#
/
dos hilos L3 y L4 y la R4 de medida se conectan a una rama del puente, los otros dos
hilos L1 y L2 se conectan a la rama contigua, con lo cual se anulan las resistencias
de la lnea y se mide solamente la resistencia de la sonda termomtrica.
De acuerdo con la Norma IEC 751, los colores de los tres hilos de conexin son:
Rojos los dos conductores que estn conectados al mismo punto y blanco el tercer hilo.
Cuando se utilizan para sistemas instrumentados de seguridad, se conectan con
tres o cuatro hilos a un convertidor-transmisor en campo y este enva la seal equivalente de 4 a 20 mA al sistema de lgica.
Seguridad
S4

P
'#'$$?@@$ 
+Q 



de seguridad de los termopares, tambin se desarrolla el supuesto con valores para
termorresistencias.

Elementos de campo del Sistema Instrumentado de Seguridad

8.4.4. TERMOPARES
Los termopares son los elementos sensores ms utilizados para la medida de temperatura en la industria. Cubren la medida de un amplio rango de temperaturas, con
una precisin aceptable.
Los termopares se construyen de acuerdo a normas y las ms utilizadas son la
ANSI MC-96.1 y la IEC 584.2. En las normas se regulan las curvas de la (Fem)
fuerza electromotriz que se genera en cada tipo de termopar por la variacin de un
grado en la temperatura a medir, la composicin de las aleaciones que componen los
$
$ 
/
#$''
'

$'$ 
)
P'cin y tolerancia de los termopares.
Los termopares se forman con la unin de dos metales. Los metales ms idneos
para formar los termopares de uso industrial son aleaciones que se pueden dividir en
dos categoras principales:


Aleaciones de metales preciosos, como son el platino y el platino-rodio. Son


termopares muy estables y cubren un rango de temperaturas muy amplio,
desde 0 C hasta los 1.600 C en trabajo continuo. Puntualmente o en cortos
periodos de tiempo pueden medir hasta 2.300 C. Son muy caros y su uso en
la industria esta restringido a casos muy concretos.
Aleaciones de metales comunes, como el cromo-nquel/aluminio-nquel, o el
hierro/nquel-cobre. El rango de aplicacin esta restringido a 1.100 C para
trabajar de forma continuada. Dentro de este grupo, el ms utilizado es el
tipo K.

Los termopares pueden presentar derivas a largo plazo cuando estn sometidos a
altas temperaturas, principalmente debido a los cambios de composicin causados
por la oxidacin, o por el bombardeo de neutrones en las aplicaciones nucleares. Por
encima de los 800 C, los efectos de la oxidacin en termopares de tipo K al aire,
pueden causar cambios en la homogeneidad del conductor. Cuando se encuentra
enfundado dentro de una vaina de proteccin sin aislamiento mineral, el poco volumen de aire tambin produce un fenmeno llamado corrosin verde, debido a la
mayor oxidacin del cromo que forma parte de la aleacin de uno de los conductores. Utilizando termopares enfundados en vainas de proteccin y rellenas de aislamiento mineral se anulan algunos de estos efectos. Pueden surgir otros problemas de
inestabilidades debidos a los efectos magnticos, en ciertos rangos de temperatura,
derivados del uso del aislamiento mineral y de la composicin de los materiales
del termopar. Ciertos componentes del Alumel, como el manganeso o el aluminio,
se pueden evaporar y desplazar a travs del aislamiento mineral (generalmente de
oxido de magnesio) y contaminar el Cromel. El resultado ser un cambio en la com' '  $)P
 $
 '
 


Termopar tipo T. Se llama comnmente termopar de Cobre Constantn. Se


utiliza frecuentemente en laboratorios para rangos de medida de temperatura

229

230

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

comprendidos entre -250 y 400 C. Tambin es muy utilizado en aplicaciones criognicas de baja temperatura y en aplicaciones con alta humedad
ambiental.
Termopar tipo J. Se le llama comnmente termopar de Hierro Constantn.
Es uno de los pocos termopares que se pueden utilizar de forma segura en atmsferas reductoras. En ambientes oxidantes y por encima de 550 C, se produce una rpida degradacin del termopar, por lo que no se debe utilizar para
aplicaciones con este ambiente. La mxima temperatura de funcionamiento
en continuo es de 800 C. La temperatura mnima es de 210 C, pero se debe
tener cuidado con la condensacin a temperaturas inferiores a la de ambiente,
ya que el conductor de hierro puede sufrir oxidacin. El termopar sin funda
de proteccin se utiliza en la industria del plstico y se tiene en cuenta que
el hierro se oxida tanto con temperaturas altas como con temperaturas bajas.
Termopar tipo K. Se le llama habitualmente termopar de Cromel-Alumel. Es
el termopar ms utilizado en aplicaciones industriales. Est indicado especialmente para ambientes oxidantes y cuando se utiliza en ambientes distintos se debe proteger el sensor. La temperatura mxima de funcionamiento en
continuo es de 1.100 C, aunque por encima de los 800 C la oxidacin puede
causar deriva apreciable en la medida a lo largo del tiempo. Tambin se puede
utilizar este termopar en aplicaciones criognicas con temperaturas de hasta
-230 C. Se emplea ampliamente en aplicaciones nucleares.
Termopar tipo E. Se le llama termopar de Cromo-Constantn. Es el termopar
que da la mayor seal de salida en milivoltios para una temperatura medida.
El rango de temperatura de utilizacin continua es de 0 a 800 C en atmsferas oxidantes o inertes. El rango de aplicacin es ms estrecho que el del
tipo K, pero dentro de este rango es ms estable, por lo que la precisin en la
medida a lo largo del tiempo puede ser ligeramente mejor.
Termopares tipo R y tipo S. Son termopares especiales de caractersticas muy
similares, se utilizan en entornos oxidantes o inertes de forma continua. La
mxima temperatura de empleo es de 1.600 C. Estos termopares se utilizan
para medir temperaturas superiores a los 1.000 C. Para estas aplicaciones,
se utilizan aislantes y fundas de almina recristalizada de alta pureza y no
porosa, para evitar que pequeas cantidades de vapores metlicos puedan
causar deterioro y falsear la Fem generada por estos termopares. El termopar
tipo R produce una Fem ligeramente superior y una estabilidad a lo largo del
tiempo mayor que el tipo S, por lo cual es ms utilizado aunque todas sus
caractersticas son muy similares.

Conexin de termopares
En la Figura 8.36 se puede ver el diagrama bsico de conexin de un termopar.
El termopar lo forman los hilos conductores a y b y los a1 y b1 que son los hilos
conductores de extensin o de compensacin. Los cables de extensin o de compen-

Elementos de campo del Sistema Instrumentado de Seguridad

sacin, se utilizan para prolongar la seal generada por el termopar hasta el instrumento que efecta la indicacin o la transmisin de la medida y en el cual, se hace la
compensacin correspondiente a la correccin de la unin de referencia. A partir del
punto donde se hace la compensacin de la junta de referencia, la seal transmitida
se puede llevar por cables de cobre, como ocurre en los multiplexores instalados en
campo. Los cables de extensin y de compensacin pueden introducir desviaciones
en la medida de temperatura por el simple hecho de su insercin en el circuito, por
ello, existen normas que regulan las tolerancias mximas de los distintos tipos de
cables para asegurar la intercambiabilidad de los mismos.
Las N
-6 =AD)
+ H?@X'$'P
 )
$
cias para cada tipo de cable de extensin o compensacin.


Los cables de extensin de los termopares estn fabricados con materiales


iguales a los del termopar correspondiente, y por ello tienen las mismas caractersticas de milivoltios-temperatura que el termopar al que estn conectados. Se hace as para trasladar la junta fra de referencia a un lugar alejado
de la cabeza del termopar, donde la temperatura sea razonablemente estable
y donde los efectos de la temperatura puedan ser compensados.

Figura 8.36. Diagrama de conexin de un termopar.

La composicin de las aleaciones de los conductores de los cables de extensin,


es exactamente la misma que la de los hilos que forman el termopar.


Los cables de compensacin son cables que estn formados por materiales
distintos de los cables de los termopares para los cuales se emplean. Se pueden utilizar distintas aleaciones para el mismo tipo de cable de compensacin
y se distinguen con letras adicionales. Son ms baratos y se utilizan como

231

232

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

sustitutivos de los cables de extensin dentro de los lmites de temperatura


P'
 '$



Acondicionadores de seal
La seal procedente de los termopares es de muy bajo nivel y puede ser alterada por
numerosas interferencias. Los acondicionadores de seal o convertidores-transmisores tienen la funcin de aislar, rechazar interferencias, escalar, convertir y transmitir
la seal en forma de 4 a 20 mA.
Los convertidores-transmisores reciben la seal de un elemento sensor, puede
ser un termopar o una termorresistencia, y producen la seal de salida estandarizada
de 4 a 20 mA que puede ser aceptada por sistemas de control distribuido o sistemas
de seguridad. Este tipo de seal de salida puede ser enviado a ms larga distancia
y con menos problemas de interferencias que las seales de los termopares o de las
termorresistencias. Los acondicionadores de seal son elementos electrnicos con
microprocesadores, que pueden caracterizar la seal de entrada de los termopares o
termorresistencias de acuerdo con las ecuaciones de conversin de resistencia o milivoltios a su temperatura correspondiente. La impedancia de entrada de los acondicionadores tiene que ser muy alta para que la medida est libre de error. El termopar
genera tensin en funcin de la temperatura, pero si circula intensidad en el circuito
de medida se produce cada de tensin y la temperatura equivalente obtenida resulta
errnea.
El alto precio de los cables y multicables de extensin o compensacin, y los
mltiples problemas que presenta la manipulacin de las seales de milivoltios, hacen que en las aplicaciones de control y de seguridad se utilicen convertidores o
transmisores de milivoltios intensidad en campo para convertir la seal del termopar.
Para aplicaciones con alto nivel de seguridad y disponibilidad de planta, cuando
son necesarias tres medidas de temperatura en disposicin dos de tres, el diseo
preferente para la funcin de seguridad, se hace utilizando tres termopares con sus
respectivos termopozos.
Cada termopar se conecta con cable de extensin a su correspondiente transmisor
convertidor de milivoltios intensidad. Desde cada uno de los tres transmisores, por
rutados, cajas de conexin y multicables separados, se llevan las seales al sistema
de lgica de seguridad. En este sistema se conectar cada seal a una tarjeta de entradas analgicas distinta, o a tarjetas redundantes, dependiendo del diseo con el


 $'P
'$
#'
+&Q$'''P


J

para asegurar al mximo la disponibilidad de la actuacin de seguridad y disminuir
los fallos comunes.


A efectos de seguridad, es necesario tener en cuenta tanto el elemento sensor de temperatura (termopar o termorresistencia), como el convertidor-transmisor. El conver-

Elementos de campo del Sistema Instrumentado de Seguridad

tidor transmisor ser instalado a temperatura ambiente, lejos de la cabeza del termo
 $

'$

'] '

$ 
$
 
Termopar
La tasa de fallos por hora de un termopar instalado en ambiente poco agresivo es de
50 x 10-7. La distribucin de fallos de un termopar se acepta que es: 95% circuito
abierto por quemado del termopar, 4% error de deriva por degradacin, 1% error de
cortocircuito de seal por humedad o perdida de aislamiento.
El circuito abierto en el termopar puede ser detectado por el convertidor-transmi) P#


J

'

 ' /
/ '$
en fallo peligroso detectado. El resto de los fallos 4+1% pueden ser peligrosos y no
$ $

$


'#$ $
DU = 50 x 10-7 x 0.05
= 2,5 x 10-7 fallos por hora.
Termorresistencia
La tasa de fallos por hora de una termorresistencia instalada en ambiente poco agresivo es de 20 x 10-7. La distribucin de fallos de una termorresistencia se acepta que
es: 70% circuito abierto, 29% por cortocircuito, 1% error de medida por degradacin
de la termorresistencia. El circuito abierto y el cortocircuito en la termorresistencia
$ $
 $':$
 '/) '
$ P#
'sicin de puentes se puede hacer que su seal de salida vaya a mnimo valor, lo que
permite convertir estos fallos en peligrosos detectados. El 1% de fallos por error en
la medida pueden ser peligrosos y no son detectados. La tasa de fallos peligrosos no
$ $
DU = 20 x 10-7 x 0.01 = 0,2 x 10-7 fallos por hora.
Convertidor-transmisor
Tomando datos de los catlogos de algunos convertidores-transmisores utilizados en
el mercado, se obtienen valores de las tasas de fallos peligrosos no detectados del
DU = 0,7 x 10-7 fallos por hora.
Teniendo en cuenta los fallos peligrosos no detectados del termopar o de la termorresistencia y los del convertidor-transmisor, para el conjunto sera:
DU = 0,7 x 10-7 + 2,5 x 10-7 = 3,2 x 10-7 fallos por hora con termopar.
DU = 0,7 x 10-7 + 0,2 x 10-7 = 0,9 x 10-7 fallos por hora con termorresistencia.
Para una aplicacin que se acta con un solo transmisor (1001) y en el que se
efecta una prueba del instrumento cada ao, se obtiene la probabilidad media de
fallo a demanda:
G*
#DU x TI/2 = 3,2 x 10-7 x 8760 / 2 = 1,40 x 10-3 con termopar.
G*
#DU x TI/2 = 0,9 x 10-7 x 8760 / 2 = 3,94 x 10-4 con termorresistencia.

233

234

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

La tasa de fallos se garantiza durante el periodo de vida del instrumento. La vida


til recomendada por algunos fabricantes de convertidor-transmisor en aplicaciones
de seguridad, es mayor de 50 aos. La vida til de termorresistencias y termopares
depende en gran medida de la aplicacin, pero es inferior a la de los transmisores.
En aplicaciones de seguridad y de acuerdo con la IEC 61508-2 apartado 7.4.7.4, se
debe asumir un tiempo de vida til basado en la experiencia. Los transmisores electrnicos suelen tener una vida til de entre ocho y doce aos. Los componentes que tra&
Q
 
 '$ 'P
' '
T '
T$'

8.5. MEDIDA DE NIVEL


En los procesos industriales, los productos lquidos y slidos se almacenan en diferentes tipos de recipientes. Los recipientes se disean de acuerdo a la funcin de
almacenaje que se requiera en el proceso productivo y teniendo en cuenta las condiciones operativas del mismo. Se citan a continuacin algunos ejemplos de recipientes contenedores de lquidos.
Grandes tanques atmosfricos para almacenamiento de petrleos y derivados con
capacidad de hasta 100.000 m3.
Recipientes sometidos a presin con distintas funciones en plantas de proceso,
tales como: reactores qumicos, platos de extraccin en columnas de destilacin,
calderines de generacin de vapor de agua, depsitos acumuladores entre columnas
de destilacin, depsitos separadores de productos con diferentes densidades, etc.
Tambin existe la necesidad de medir o controlar el nivel de llenado en recipientes contenedores de slidos. Generalmente los almacenamientos de slidos suelen
ser recipientes abiertos a la presin atmosfrica, con temperaturas moderadas cercanas a la ambiente, con velocidades relativamente lentas de llenado o vaciado y en la
mayora de los casos en procesos discontinuos. La seguridad del control de nivel de
estos procesos se considera menos crtica.
La metodologa de los sistemas instrumentados de seguridad se est aplicando
ampliamente en los procesos qumicos y petroqumicos, por ello daremos algunos
ejemplos de conexin de diferentes instrumentos de nivel a recipientes que contienen lquidos con condiciones de trabajo de presin y temperatura superiores a la
atmosfrica.


Necesidad de medir el nivel de lquidos. La razn ms comn para medir nivel


de un recipiente, es conocer su porcentaje de llenado, y como consecuencia
conocer la cantidad del producto que contiene. En los almacenamientos de
productos de alimentacin a unidades de procesos, y en el almacenamiento
de productos intermedios y acabados se requiere este tipo de medida. Puede
ser lenta, porque debido al gran volumen del almacenamiento, las variaciones
de nivel no son rpidas. Se requiere buena exactitud en la medida, dado que
se utiliza para hacer inventario de materias.

Elementos de campo del Sistema Instrumentado de Seguridad

^

Otra razn para medir nivel es la necesidad de controlar la cantidad de producto ue entra o sale, actuando automticamente mediante un lazo de control
sobre algn equipo o elemento del proceso, sea vlvula de control o bomba de
impulsin. En este caso la velocidad de respuesta y disponibilidad de la medida
es ms importante que la exactitud, ya que el control del proceso lo requiere.
Una tercera razn para medir nivel en un recipiente sera establecer niveles
de proteccin para evitar que el lquido de un depsito o tanque se derrame,
o se quede vaco y se pierda un sello hidrulico con otro recipiente y tambin
para proteccin de las bombas en el vaciado. En estos casos las medidas para
las funciones de seguridad pueden ser puntuales, no es necesaria una medida
#
 ''/#
P
&''
)''&''



$
'
Seleccin de instrumentos de nivel. Existen gran variedad de mtodos para
medir nivel que se fundamentan en diferentes principios fsicos. La seleccin
del instrumento de medida adecuado depende de los factores que se muestran
a continuacin.
Medida continua de nivel. Se requiere cuando es necesario conocer en cada
instante el valor de la medida. Se requiere la medida continua en todas las
aplicaciones de control cuando el nivel es una variable regulada y es necesario enviar la seal al controlador mediante un transmisor de nivel. Tambin
se comienzan a utilizar en los sistemas de seguridad con entradas analgicas,
como detector puntual para seguridad.
Deteccin puntual de nivel. Se utiliza para detectar el nivel cuando llega a
un punto concreto, con instrumentos interruptores de nivel. La deteccin se
efecta en el propio proceso en campo y se comunica al sistema de control o
al sistema de seguridad mediante la apertura o cierre de un contacto. Cuando
el nivel est por arriba o por abajo del punto de actuacin no se conoce exactamente donde est. Esta funcionalidad se utiliza casi exclusivamente para
producir alarmas, para actuar automatismos, o para funciones de seguridad.
Condiciones de operacin. Se deben valorar cuidadosamente las condiciones
del proceso en cuanto a temperaturas y presiones de operacin. Tambin las
propiedades fsicas y qumicas del producto a medir, como: densidad, viscosidad, constante dielctrica, conductividad, composicin y contenido de
humedad. Igualmente se tendrn en cuenta determinadas caractersticas del
proceso como: la tendencia al ensuciamiento, a formar vapores o espumas o
la erosin que pueda causar daos al instrumento.
Caractersticas del recipiente y tipo de conexiones. Se debe considerar la
funcin del recipiente, reactor, almacenamiento, plato de extraccin, decantador. Tambin la forma y sus dimensiones, el material con el que est construido, el tamao del mismo y la presencia de internos. Se tendr en cuenta si
se puede introducir el sensor en el tanque o debe ser completamente externo.
En recipientes presurizados se montaran instrumentos externos con objeto
de poder hacer el mantenimiento del instrumento sin tener que parar el proceso.

235

236

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Tipo de medida. Hay aplicaciones donde se requiere mucha precisin en las


medidas de nivel, como es el caso de los tanques de almacenamiento de productos comprados o para venta.
Existen otras aplicaciones, como son todas las que requieren control, donde se considera crtica la velocidad de respuesta y la medida de nivel debe ser
P
&)$
''&
'
'#'
 6P 
O'# '

das por el licenciatario del proceso, o de acuerdo con las exigencias establecidas en el anlisis de riesgos operativos que se efecta al proceso y sus
3'G

$

'
'3''$ $#
P
&''

de actuacin y de disponibilidad permanente.

8.5.1. CONEXIN AL PROCESO DE INSTRUMENTOS DE NIVEL


Se exponen las prcticas mas recomendadas para conexin de instrumentos de nivel
externos, en recipientes de procesos a presin. Con este tipo de montaje, los instrumentos pueden ser aislados de los recipientes mediante vlvulas y se conectan a los
mismos con lneas y tubos tranquilizadores stand pipe.
Aunque existen una gran variedad de principios fsicos para la medida del nivel
de lquidos, nos referiremos solo a los tipos que se adaptan a muchos procesos, como
son los siguientes instrumentos:
^
^

Transmisores de nivel por presin diferencial, transmisores de nivel con desplazador, transmisores de nivel por microonda guiada.
$$$
'$']$
O$


 $#

P
3
P' '/'J/
 'P
cin y la compra de un instrumento que se utilizar para aplicaciones de seguridad de
nivel en un equipo o recipiente cualquiera, tienen que intervenir varios departamentos
de una ingeniera, porque son varias especialidades tcnicas las que estn involucradas.


Especialidad de procesos.*P 3'33'


macenar y controlar y marcan los siguientes niveles de ms alto a ms bajo.
100% HLL

High Liquid Level

Nivel mximo del lquido

95 %

HHLL

High High Liquid Level

Muy alto nivel de lquido

80%

HLL

High Liquid Level

Alto nivel del lquido

50%

NLL

Normal Liquid Level

Nivel normal del lquido

20%

LLL

Low Liquid Level

Bajo nivel del lquido

5%

LLLL

Low Low Liquid Level

Muy bajo nivel del lquido

LLL

Low Liquid Level

Nivel mnimo del lquido

Elementos de campo del Sistema Instrumentado de Seguridad

Los niveles LLL y HLL en los extremos, delimitan el volumen mximo de


almacenamiento en el recipiente.
Los niveles LLLL y HHLL pueden ser niveles de mxima seguridad por
ejemplo, si se llega al LLLL puede cavitar una bomba o perderse un sello hidrulico entre dos recipientes. En este punto se debe tomar una accin, como
puede ser parar una bomba de extraccin o cerrar una vlvula de bloqueo.
En el nivel HHLL puede ocurrir un rebose o meter lquido en un lugar que
implica un riesgo, por ejemplo en los cilindros de un compresor alternativo.
Aqu tambin se debe tomar una accin, como es parar el compresor. Ambos
puntos de muy bajo o muy alto nivel estn implicados en la seguridad de la
planta o de los equipos que la forman. Para no llegar a estos lmites se asignan otros valores intermedios denominados alarma de bajo nivel LLL, que
debe actuar a un valor ms alto que el LLLL y avisar antes de llegar a una
situacin de riesgo, y la alarma de alto nivel HLL que avisar antes de llegar
a la otra situacin de riesgo por muy alto nivel.
'
 $/PQ
-/3'
3'/

del cual se controlar. El nivel para control y el indicador local de tipo visor
de vidrio o del tipo magntico deben abarcar todo el rango para poder ver
entre el cero y el 100% de nivel.
El nivel se controlar alrededor del 50% con oscilaciones admitidas entre
el 20 y el 80%. Al sobrepasar estos valores se producirn las alarmas de bajo
o alto nivel, para indicar que se est fuera de los lmites normales de control.
Las actuaciones de seguridad se efectuarn en el 5% y en el 95%.
Especialidad de recipientes. Tiene la responsabilidad de diseo y compra del
equipo. Las posiciones del nivel tienen que ser traducidas a elevaciones en
el equipo por el departamento de Recipientes, que es el que debe marcar las
alturas de las conexiones, y el nmero y el tamao de las mismas.
Especialidad de tuberas. El departamento de tuberas tiene que disear los
tubos stand pipe, las lneas de conexin, los venteos y los drenajes a partir de
las toberas de conexin al equipo. Se deben tener en cuenta los rangos reales
de los instrumentos de desplazador, las distancias entre tomas, las alturas de
los interruptores de nivel respecto a sus conexiones y las longitudes de visin
de los niveles de vidrio o de tipo magntico.
Especialidad de instrumentacin. El departamento de Instrumentacin espe 'P
/'J
/)  
'$ $*&
''$

$&
3

similares a la Figura 8.37 con las cotas de las elevaciones y los tamaos de
las conexiones de cada uno de los instrumentos. Tambin debe facilitar las
dimensiones fsicas a tuberas para que este departamento pueda realizar las
' 4$'
 '$)PQ

' '
'
'$mentos en los tubos stand pipe, para que sean visibles, accesibles y estn en
el nivel adecuado para realizar su funcin de seguridad.

237

238

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 8.37. Esquema de conexiones de instrumentos de nivel.

8.5.2. CONEXIN DE MLTIPLES INSTRUMENTOS A RECIPIENTES


Para decidir cmo hacer las conexiones en la medida de nivel de los recipientes,
se tienen en cuenta las siguientes consideraciones que se oponen entre s:
^
^

Mnimo nmero de agujeros en el recipiente.


Mxima seguridad de que la medida del nivel es correcta.

Por ejemplo, en la medida del nivel de un depsito de carga a una unidad de pro 
P
$$''
'#'$'$ $7
transmisor de nivel de desplazador externo, un indicador visual de vidrio armado,
'$$]$





&
Q')'$$]$



alarma de alto nivel. Cada uno de estos instrumentos, por su forma fsica, por su peso
y por la responsabilidad que se le asigna, tiene un tamao de conexin distinto de los
 +$
 '

$' O'DV/'''
armado tiene dos conexiones de y los interruptores de nivel tienen, cada uno,
dos conexiones de 1. En el caso que nos ocupa, se tienen ocho conexiones de tres
tamaos distintos.
Conectando directamente cada instrumento al recipiente se tiene la mxima seguridad. La obstruccin de una lnea solo afectar un instrumento y el resto siguen
funcionando+$
'' '$'
) $/

)'P $


P'

Elementos de campo del Sistema Instrumentado de Seguridad

las alturas de cada toma en el recipiente, y para dar accesibilidad a todos los instrumentos con objeto de facilitar el mantenimiento. El montaje directo puede hacerse
para procesos muy crticos y que adems tengan que medir lquidos sucios con los
que no se quiere asumir riesgo de obstruccin.
Normalmente y en oposicin a lo indicado en el prrafo anterior, se hacen solo dos
conexiones de 2 en el recipiente y se sitan a una distancia que cubre sobradamente
todo el rango de medida. Las conexiones con sus vlvulas de aislamiento se unen a un
tubo vertical de 2 y de este tubo se sacan las conexiones para cada uno de los instrumentos. Este conjunto se denomina stand pipe y se puede ver en las Figuras 8.38 y 8.39.
En este caso, las facilidades para dar accesibilidad al conjunto son mayores. La coordinacin de las alturas relativas de alarmas, rango de control y actuaciones de seguridad
  '/
3 'P


$
' 4 $'
recipiente. Para evitar la obstruccin se disean las conexiones con lneas y vlvulas
BV/3$

J  '
P '$ $#


'$
$

'$6']' $'''/') $
]'
purga en forma continua o intermitente para mantener limpias las lneas del stand pipe.

Figura 8.38. Posicin de instrumentos de nivel en un stand pipe.

239

240

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 8.39. Esquema con posiciones de instrumentos de nivel en stand pipe 2.

Para sistemas con muy alto nivel de seguridad, se montan dos stand pipe hacindose cuatro agujeros en el recipiente. Los instrumentos para alarma, control y seguridad se montan distribuyndolos entre los dos stand pipe, con lo cual, se disminuye
la posibilidad de perder todas las seales al mismo tiempo.
Los instrumentos que se montan con stand pipe, llevan sus propias vlvulas de
aislamiento y drenaje para poder hacer el mantenimiento individualizado de cada
'$ $/'3 

 $
+
P#

$' $ 'tadas se muestran algunos detalles de tamaos de lneas y vlvulas de stand pipe e
instrumentos.
Observar que se han de mantener distancias mnimas entre las soldaduras de los
distintos accesorios utilizados en el stand pipe para conectar los distintos tipos de
instrumentos. Esto obliga a hacer un estudio con las dimensiones de los instrumentos, las distancias entre conexiones de cada uno, los rangos de los transmisores y
los puntos de actuacin de los interruptores de nivel para situar correctamente las
conexiones en el stand pipe. Como consecuencia del estudio, se compran los transmisores de desplazador y los interruptores de nivel con las conexiones previamente

Elementos de campo del Sistema Instrumentado de Seguridad

P'
7
$
:
$
/
$
:''/
$
:'':'') 

distancias entre las tomas segn convenga, para poder realizar las conexiones en el
stand pipe. De esta manera, se puede hacer que los rangos y puntos de actuacin en
el nivel del recipiente, se produzcan en las elevaciones donde est previsto.
Para la comprobacin de los instrumentos se debe prever en cada uno de ellos una


Q


'
 
]'

$O' /'#
o simplemente manchan lo que est debajo, se debe disear un sistema de recogida
de drenajes mediante embudos y tuberas, o, tuberas conectadas directamente al
drenaje para canalizar los derrames (vase el detalle A de la anterior Figura 8.38).
Decidir cul es el tipo de instrumento ms adecuado en cada aplicacin concreta,
es una tarea compleja. De las tecnologas disponibles, se indican los principios bsicos de las ms utilizadas en industrias qumicas y petroqumicas.
Medida de nivel por presin diferencial
El mtodo est basado en la medida de la presin hidrosttica correspondiente a la
columna de lquido de una altura determinada, la cual corresponde al nivel que se
quiere medir.
Los transmisores de presin diferencial para medida de nivel tienen gran versatilidad para poder ajustar rangos bajos y altos con elevacin o supresin.
El principio de medida est basado en la presin que ejerce sobre la cmara de
alta de un transmisor de presin diferencial, la columna de lquido que se quiere
medir. La presin ejercida est en funcin de la altura de la columna y de la densidad
del lquido.

 


 )
 

En las Figuras 8.40 y 8.41 se ven transmisores de presin diferencial, para medir
nivel en depsitos o tanques abiertos a la atmsfera.
Para llevar a cabo la medida de nivel en un recipiente abierto se hace una toma
de presin en la parte inferior del depsito que se conecta con la cmara de alta del
transmisor de presin diferencial. La toma de baja presin del transmisor se deja
abierta a la atmsfera.
El transmisor detecta los cambios de nivel como cambios de presin con respecto
a una presin de referencia que es la atmosfrica.
%%
Hp = Presin debida a la columna de lquido.
H = altura del lquido en el recipiente.
'
3'
En la Figura 8.41 se representa un recipiente a presin atmosfrica, en el cual se
quiere medir la altura del nivel H = 3.000 mm, con un transmisor de presin diferencial. La toma de alta presin H est conectada al recipiente, y la de baja presin L a
la atmsfera.

241

242

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 8.40. Conexin instrumento de nivel a recipiente con presin atmosfrica.

Figura 8.41. Esquema, medida de nivel en recipiente con presin atmosfrica.

Elementos de campo del Sistema Instrumentado de Seguridad

El transmisor se puede instalar al mismo nivel o ms abajo que la toma de proceso. En este caso, la columna de lquido h = 2.500 mm entre la cmara de alta presin
H del transmisor y la conexin que corresponde al nivel cero que se quiere medir,
ejerce presin sobre la cmara del transmisor. La presin correspondiente a esta columna, hace que el transmisor de una seal de salida superior a 4 mA o 0% de nivel,
que es necesario suprimir ajustando el cero del transmisor.
El rango de medida se ajusta aplicando a la cmara de alta una presin Hp correspondiente a las columnas h+H para tener una salida de 20 mA o 100% del nivel. Se
repiten los ajustes de cero y SPAN con las presiones correspondientes a las columnas
h y h+H respectivamente, hasta obtener la calibracin correcta.
G

3
 '

  $
/
  
 &PQ

)$'
 $

en el ajuste del instrumento y debe estar permanentemente llena con el lquido cuya
densidad se ha utilizado en la calibracin.

 


 )

 
Para realizar la medida del nivel mediante transmisor de presin diferencial en depsitos cerrados y presurizados se hace una toma en la parte inferior del recipiente
donde se situar el 0%, y otra toma en la parte superior del mismo, donde se situar
el 100% del nivel a medir. La presin del recipiente est aplicada a las cmaras
de alta y baja presin del transmisor, y por ello se anula su efecto. Se conectan la
toma inferior a la cmara de alta, y la toma superior a la cmara de baja presin del
transmisor de presin diferencial. El transmisor detecta los cambios de nivel, por el
cambio de presin en la cmara de alta presin debido a la variacin de la altura de
columna de lquido en el recipiente.
En la Figura 8.42 se representa un recipiente sometido a presin en el cual se
quiere medir el nivel de un producto que puede tener vapores en equilibrio. Los
vapores pueden condensar en el interior de la lnea conectada a la cmara de baja
presin L, en funcin de la temperatura ambiente. Para evitar que la lnea est llena
o vaca de condensado de forma incontrolada y se produzcan errores tan grandes que
impidan la medicin, se llena con un lquido que no sea miscible con el producto del
recipiente. En este caso, la presin LP ejercida en la rama de baja presin del transmisor por la columna del lquido de sello es diferente a la que soporta la rama de alta
presin. El lquido de sello de la lnea de baja presin tiene densidad superior a la
del lquido que est en el recipiente. Para medir correctamente el nivel es necesario
neutralizar la presin de esta columna.

243

244

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 8.42. Esquema, medida de nivel en recipiente presurizado.

*'
3''
 'E/>B#8 3. Densidad del lquido de
D#8 3.
El rango de nivel a medir es la diferencia de alturas de las tomas H = 1.800 mm.
El transmisor est situado por debajo del cero del nivel, a una distancia h = 1.500 mm.
Las presiones en las cmaras de alta Hp y de baja Lp, son las siguientes:
'
 



'
DEE




% 

% 
%K% L
% 

DHEEOE/>BDE?E 
XXEEODXXEE 
KD?EEDHEELE/>BBX>A 
XXEEODXXEE  

Despus de ajustar el transmisor de nivel con las presiones indicadas se debe


observar que al instalarlo hay que llenar las columnas de las cmaras de alta y baja
presin con los lquidos de igual densidad a los previstos en la calibracin.
Si la columna permanente de la cmara de baja se llena con un lquido que con
las variaciones de presin y temperatura se va mezclando con los gases o vapores
existentes en el recipiente, a lo largo del tiempo se tendr un producto de diferente
densidad del original y habr error en la medida.
Con estos transmisores, la mayora de los problemas en la medida de nivel se derivan de la columna de lquido en la lnea de la cmara de baja presin. Si el lquido
en el interior del recipiente est a temperatura diferente del lquido existente en la c-

Elementos de campo del Sistema Instrumentado de Seguridad

mara de baja (que est a la temperatura ambiente) tendr diferente densidad y por ello
habr un error en la medida proporcional a la diferencia de densidades. Si el lquido
existente en la cmara de baja puede evaporarse en funcin de la presin interior y de
la variacin de la temperatura ambiente, el error puede ser muy grande. Si la columna
de la cmara de baja, que debe ser permanente, se evapora y se condensa en funcin
de las variaciones de presin o de temperatura en el recipiente, o en funcin de las
variaciones de la temperatura ambiente, la medida del nivel se hace imposible.
GQ /P
$)$3 '
O'$   
los que los productos estn en equilibrio lquido gas a la presin y temperatura interna
de trabajo, por ello se debe tener cuidado en la eleccin de este tipo de medidor, dependiendo del producto a medir (Figura 8.43). Las lneas de conexin estn sometidas
a las variaciones de la temperatura ambiente y puede que el producto que est en el
interior de las lneas en equilibrio se condense o evapore. Si se pierde la columna de
lquido en la lnea de baja presin, el error ser tan grande que se pierde la medida.

Figura 8.43. Conexiones para medida de nivel en recipiente presurizado.

*   

 
Cuando el producto que est en el recipiente tiene caractersticas que impiden utili
$$' '
7]' 
$
' '
$'

$'3
evitar la contaminacin del mismo, se utiliza la opcin de medir el nivel del recipiente con transmisores de presin diferencial con las cmaras conectadas a sellos
3 '  $
$
4
'
3 $']'
$'
silicona o aceite vegetal. La medida de nivel de un recipiente, mediante transmisor
de presin diferencial con sellos y capilares se puede ver en la Figura 8.44.

245

246

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 8.44. Medida de nivel. Instrumento con diafragmas separadores.

Con este montaje se debe tener en cuenta que en procesos continuos se tienen que
poner vlvulas de aislamiento entre los recipientes y las bridas de conexin de los
sellos y capilares a los instrumentos para que se puedan desmontar, probar, reparar
y mantener los instrumentos, sin afectar al proceso y sin tener que hacer paradas
imprevistas por averas en los instrumentos o en las lneas de conexin.


Los instrumentos de presin diferencial utilizados para la medida de nivel tienen
las mismas caractersticas y valores que los utilizados para la medida de caudal, lo
indicado all en el prrafo de seguridad aplica igualmente para estos transmisores.
Recordar que los problemas en la medida de nivel por presin diferencial se dan
por las columnas de lquido en ambas cmaras. Si el lquido de las columnas es muy
estable ante las diferentes condiciones del proceso y ambientales, la medida puede
$
P
&  
$
 '
Medida de nivel con desplazador
Los instrumentos de desplazador fundamentan su principio de medida en que detectan la diferencia de peso del desplazador, cuando est sumergido en uno o en dos l3'$
$'P
'$'
/3$'

 

no hay ningn lquido que efecte empuje sobre el mismo.

Elementos de campo del Sistema Instrumentado de Seguridad

El empuje depende del volumen desplazado por la parte sumergida del desplazador, de la densidad relativa y del nivel del lquido.
La diferencia de fuerza ejercida sobre el desplazador se transmite por medio de
un sistema de barras de torsin o un muelle que se comprime y a un transductor que
permite variar un campo inductivo, el cual, acoplado a un circuito electrnico genera
una seal de salida proporcional a la altura del nivel.
En la Figura 8.45 se puede ver el principio de funcionamiento de tres transmisores de nivel electrnicos del tipo desplazador. En la parte izquierda se muestra
$'$
 ' 
 '
3
P
Q$'/
detector inductivo en el alojamiento de la cabeza electrnica. En el centro, otro medidor con una vista seccionada del cuerpo del desplazador y del brazo de torsin. El
eje de torsin puede llevar acoplado un sistema inductivo con circuito electrnico,
o un sistema lengeta tobera y un transmisor neumtico. En la derecha se aprecia
una seccin esquemtica de otro tipo de transmisor electrnico en el que el sistema
de brazo de torsin es sustituido por un muelle de rango. El desplazador lleva en la
parte superior un ncleo mvil que se desplaza en el interior de un transformador
diferencial lineal variable (LVDT) acoplado a un circuito electrnico, el cual produce una salida de 4 a 20 mA en funcin del pequeo movimiento del desplazador
y como consecuencia de la variacin de la altura del nivel de lquido.
En la parte superior hay un tubo, generalmente de acero inoxidable, que est unido a la brida superior del cuerpo y que hace de aislamiento de cierre entre el producto
y la electrnica del transmisor. Por el interior se desplaza el ncleo y por el exterior
estn enrolladas las bobinas del transformador.

Figura 8.45. Medidores de nivel de desplazador.

247

248

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

De acuerdo a lo indicado anteriormente, al aumentar el nivel, el lquido ejerce una


fuerza de empuje que contrarresta el peso del desplazador y el esfuerzo en el tubo
de torsin ser bajo. Por contra, al bajar el nivel la parte sumergida disminuye, el
empuje disminuye y el esfuerzo en el tubo de torsin aumenta.
La longitud y dimetro de los desplazadores depende del rango de medicin. Se

'


 '']'
$'
$' ') ' 6$''

con muy buen resultado para medir de nivel interfase. Este tipo de nivel se adapta
bien a una gran variedad de los diferentes productos que se manejan en plantas petroqumicas, y por ello se utiliza ampliamente en estos procesos.
Se debe tener en cuenta que por su principio de funcionamiento, la exactitud de

 ' '
 $


&'
'
]'G

 '
control o de seguridad, la imprecisin de la medida por la variacin en la densidad
del lquido no se considera muy importante. Sin embargo, s se aprecian la disponi&''
/
P
&''
)&
Q
$' '$

J
 '
$'#
P
&''
)$''



 $/


alarma o para actuaciones de seguridad. Debido al mayor coste inicial de estos instrumentos y a la mayor envergadura de montaje, en muchas funciones de alarma o
#'
/&$
'
' 'P
#'
 
$
'
$/$'$)'$ $'$$'$'&)
]$

Los niveles tipo desplazador se pueden instalar directamente al recipiente mediante una brida, pero es preferible montarlos separados del recipiente con un stand
pipe o en un tubo de derivacin y con vlvulas de aislamiento, para poderlos calibrar
y ajustar sin tener que parar el proceso. En la Figura 8.39 se represent el esquema
de un stand pipe, con la agrupacin de los posibles instrumentos de nivel de un recipiente como son: nivel de vidrio armado LG, transmisor de nivel del tipo desplazador LT, interruptor de bajo nivel LSL e interruptor de alto nivel LSH.


$
 ' $' '

'$ $ 
'P

tipo B, con fracciones de fallo seguro SFF del 92% del total de fallos.
Se asume que el sistema de lgica del SIS detecta si la seal del transmisor est
fuera de rango. Se comprueban datos de catlogos de transmisores de nivel utilizados en el mercado y se obtienen valores de tasas de fallos peligrosos no detectados
DU = 0,6 x 10-7 fallos por hora.
Para una aplicacin que se acta con un solo transmisor de nivel (1001) y en la
que se efecta una prueba del instrumento cada ao, se obtiene la probabilidad media
de fallo a demanda:
G*
#DU x TI/2 = 0,6 x 10-7 x 8760 / 2 = 2,62 x 10-4
La tasa de fallos se garantiza durante el periodo de vida del instrumento. Basndose en datos generales de fallos en campo, se estima un periodo de vida til para
estos instrumentos, de aproximadamente 15 aos.

Elementos de campo del Sistema Instrumentado de Seguridad

$ %jj ! %    


Los tipos de interruptores de nivel ms utilizados en petroqumicas son los de boya
]$
 $

 

 ]$
3$'
Q )
extremo tiene una parte magntica, esta parte, al pasar frente a una zona determinada, atrae un imn unido a un sistema basculante que acta un microrruptor con
contactos sellados y aislados del medio ambiente. En la Figura 8.46 y solamente
con objeto de mejor visualizacin, se representa una ampolla con una gota de mercurio que abre o cierra un circuito. La apertura del interruptor puede actuar en un
circuito para activar una alarma, o sobre una funcin de seguridad para actuar la
proteccin de un equipo.

Figura 8.46. Interruptores de nivel de otador.

La conexin en modo de fallo seguro tiene en cuenta el fallo mecnico y el fallo


elctrico. Desde el punto de vista mecnico, en la funcin de actuacin por bajo
'/ 
]$
$
&
Q' '
 
' '$$$
#



$
#4$'
O$ ']$
/) 
mantiene el mecanismo del interruptor en la posicin mostrada en la derecha de la
P#

 O'4 $'
'$$/$  TK L)
 $
abierto (NA) est abierta.

249

250

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Cuando el nivel est en su posicin correcta, por arriba de su punto de actuacin,


el imn y la parte magntica se atraen y vencen la fuerza del muelle, el interruptor

&'
)$



'3'

P#

 O'4 $'
'terruptor entre el comn (C) y el normalmente abierto (NA) est cerrada. En esta
forma, no hay alarma o actuacin de seguridad, el circuito elctrico est vigilado
por estar cerrado, y cualquier anomala en la apertura de los cables, en el fallo de la
alimentacin, en el fallo de un rel energizado, o con cualquier otra anomala sera
detectada inmediatamente al producirse una apertura del circuito. El sistema actuara
ante el fallo, llevando al proceso a la condicin de seguridad prevista.
Por el contrario, si utilizamos el contacto abierto en condiciones normales de

'/3 
'$
  $K
P#
$''
  malmente cerrado NC, dado que se representan en su estado de reposo, sin nivel, sin
presin, sin caudal y a temperatura ambiente). Cuando el nivel baja, que es la condicin peligrosa ante la que se debe actuar, puede que el imn y la parte magntica no
tengan fuerza para tensar el muelle, o los cables del circuito elctrico no estn conectados, o no exista alimentacin en el circuito. Puede haber sucedido cualquier cosa
que impida el funcionamiento correcto de la funcin de seguridad, no hay vigilancia
del sistema, y no hay garanta de actuacin cuando ms falta hace.
El diseo a fallo seguro (fail safe) de cualquier circuito, es el que tiene la menor
posibilidad de fallo ante una demanda de actuacin.
El instrumento tiene una caja donde se sitan el microrruptor y los bornes de conexiones elctricas. La envolvente, debe tener el grado de proteccin adecuado a la

'P
'

$4'$



+
$'
$' 

]$

'O'
&6XDA6$''
 
o titanio, cuando el producto a medir o las altas presiones y temperaturas lo requieren.

 O')
 $
Q
P#
'

stand
pipe mostradas anteriormente y en la Figura 8.47. Normalmente se referencia el pun$
$
']$
  $
Q
$
'
Cuando el instrumento se utiliza para actuar una funcin de seguridad, con objeto
de minimizar el riesgo de taponamiento, se utilizan dos stand pipe y se reparten los
instrumentos entre ambos. En uno se conecta el interruptor de disparo y un nivel visual de vidrio y en el otro se conecta un nivel de vidrio, el transmisor de desplazador
y un interruptor de nivel con la funcin de alarma previa. Cuando se requiere alta
P
&''
)''&''

 '#'
)$''
$'$ $
en disposicin dos de tres para la actuacin, los instrumentos se distribuyen en dos
stand pipes.
Con estos instrumentos en la disposicin dos de tres se debe generar mediante
$9




' 
 '
6$ $
' 
 '$$' 
cualquiera de los interruptores est en posicin distinta de los otros dos.
Siempre que exista una actuacin de seguridad, a un nivel previo al disparo, se
debe poner un interruptor con funcin de alarma previa. Esta solucin, en la mayora
de los casos, permite tomar acciones que evitan llegar a la situacin de riesgo del
nivel de seguridad o disparo.

Elementos de campo del Sistema Instrumentado de Seguridad

Figura 8.47. Montaje de interruptores de nivel.



'$$'&)
]$
'/ 
'
'$  ' ) ' $
$'6G*R*G*R/'$ $ 
'P
$')$'
fracciones de fallo seguro comprendidas entre el 60 y el 90% del total de fallos.
Comprobando datos de catlogos de diferentes interruptores de nivel utilizados
en el mercado, se obtienen valores de tasas de fallos peligrosos no detectados de
0,11 x 10-7 fallos por hora con micro ruptor SPDT y de 0,08 x 10-7 fallos por hora
con micro ruptor DPDT. El DPDT se utiliza poniendo en serie los dos contactos NA
(normalmente abiertos) del doble microrruptor, cuando la funcin tiene que actuar
por bajo nivel.
R
  
  
  ' $ 6G*R/ DU = 0,11 x 10-7
fallos por hora.
Para una aplicacin que se acta con un solo interruptor de nivel (1001) y en la
que se efecta una prueba del instrumento cada ao, se obtiene la probabilidad media
de fallo a demanda:
G*
#DU x TI/2 = 0,11 x 10-7 x 8760 / 2 = 4,82 x 10-5
La tasa de fallos se garantiza durante el periodo de vida del instrumento. La
vida til recomendada por los fabricantes para estos instrumentos en aplicaciones
de seguridad, est condicionada por el tipo de microrruptor utilizado. Se debe pedir
$'P
'$ $  $)  ''
&'

suministrador.

251

252

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Medida de nivel por onda guiada


El sistema de medicin de radar por onda guiada (TDR time domain reectometry)
consiste en enviar la onda de radar a travs de un cable o varilla metlica introducido
3'/33' ''

]Q
 
 

&'& 
 $
$'4 $'
]'3$ #'
el cable. Vase la Figura 8.48 para ilustrar la medida de nivel por onda guiada. Puede
ser instalado en un recipiente grande en un tubo de derivacin para hacerlo indepen'$ ''$/$&' '

''

P#
)



stand pipe como si fuera el cuerpo de un transmisor de desplazador.

Figura 8.48. Medida de nivel por onda guiada.

+

$'
P#
3
)'' ' '
/




&) 
#

3']Q


$/
vuelven al elemento emisor receptor y son detectadas. Conociendo el tiempo transcurrido desde que se emiti hasta que se ha recibido, el procesador del instrumento
calcula la altura del nivel. La seal de salida del transmisor puede ser de 4 a 20 mA
correspondiente a 0-100% de nivel.
Los instrumentos de medicin de onda guiada se pueden utilizar con gran variedad de lquidos y con algunos slidos. No son afectados por la humedad, por la
presin, por la temperatura ni por la presencia de polvos o vapores.
Se pueden utilizar para efectuar medidas de interfase entre dos lquidos. Los pul
#'

$
4


' 
]O'$ $

P '3' 
 $
 ' $
$'4 $'
'$ '$

 ]O' G
$  
 #
 $'T
 '
Q

 $
4  ]' )
$ 
 ' '$'
]O'''

''$


Elementos de campo del Sistema Instrumentado de Seguridad

Figura 8.49. Medida de nivel interfase por onda guiada.

En la Figura 8.49 se puede ver el principio de medida de nivel interfase por onda
guiada. Para las aplicaciones de interfase se tienen que cumplir los siguientes requisitos:
^

^
^

^

El producto superior debe tener una constante dielctrica ms baja que el


producto inferior. La diferencia entre las constantes de los dos lquidos debe

)

$'
PQ


&'
$'
Dependiendo de la sensibilidad del nivel, la capa de producto superior debe
tener un espesor mayor a una cantidad dada por el fabricante.
La medida de interfase con elemento externo o acoplado a un stand pipe,
puede realizarse solamente si el lquido de menor densidad est siempre por
 '

$
' 'O$S'
P#
&

3 
3' '
] $
$
$
)$
el depsito por debajo de la conexin superior, en el tubo de la derecha no
habr correspondencia con los niveles. En estos casos, el transmisor tiene que
ser montado directamente en el recipiente.
Se deben estudiar detalladamente las aplicaciones donde se utilizarn estos sistemas de medida. Los tipos de productos, los rangos entre los que pueden variar
la viscosidad, la presin, la temperatura de operacin y la constante dielctrica,
limitan las aplicaciones en que se pueden utilizar este tipo de medidores.



 $
 '  '  
 #'

  '$ $ 
'P
 $' < )
con fracciones de fallo seguro comprendidas entre el 80 y el 92% del total de fallos.
Tienen seal de salida de 4-20 mA y protocolo Hart.

253

254

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Se asume que el sistema de lgica del SIS detecta cuando la seal del transmisor
est fuera de rango. Se comprueban datos de catlogos de transmisores de nivel utilizados en el mercado y se obtienen valores de tasas de fallos peligrosos no detectados
de 1,06 x 10-7 y de 1,83 x 10-7 fallos por hora.
6'$

  
/DU = 1,83 x 10-7 fallos por hora.
Para una aplicacin que se acta con un solo interruptor de nivel (1001) y en la
que se efecta una prueba del instrumento cada ao, se obtiene la probabilidad media
de fallo a demanda:
G*
#DU x Ti/2 = 1,83 x 10-7 x 8760 / 2 = 8,01 x 10-4
La tasa de fallos se garantiza durante el periodo de vida del instrumento. Los
componentes limitadores en estos instrumentos son los condensadores de los circuitos electrnicos que tienen un periodo estimado de 50 aos. Cuando los fabricantes
no concretan un periodo de vida, se aplica el siguiente prrafo:
En aplicaciones de seguridad y de acuerdo con la IEC 61508-2 apartado 7.4.7.4,
se debe asumir un tiempo de vida til basado en la experiencia. Los transmisores
electrnicos suelen tener una vida til de entre ocho y doce aos. Los componentes
que trabajan cerca de los lmites de sus especicaciones pueden reducir an ms su
vida til. Esta observacin es aplicable a todos los transmisores electrnicos.

8.6. ELEMENTOS FINALES DE CONTROL


  $ P
  $ 
 
$  
 
   
 $

'$

 '
6&Q$' $
&3
]' ' 
$
por el conducto o tubera. Desde el punto de vista de las funciones de seguridad
son los elementos que cortan el paso de caudal en los conductos, y permiten aislar
'$'$ '$

$ '$
' P'
 +  $ P
  $''

en las plantas qumicas es la denominada vlvula de control, aplicada en funcin
modulante para controlar el proceso, o en funciones de seguridad para actuacin,
todo o nada.
La vlvula est formada por un cuerpo y un actuador, en la Figura 8.50 se pueden ver prcticamente todos los componentes que forman una vlvula de globo. El
3$'


 ) $']''$'
Esta parte de la vlvula debe cumplir todos los requerimientos exigibles a la tubera
para que pueda soportar las mismas condiciones de presin, temperatura y corrosin
]'
El actuador es el elemento que mueve la vlvula como respuesta a la seal de actuacin procedente de un aparato de control. El actuador debe ser diseado para ser





Q '
]'&&$
)
  locar el obturador en la posicin adecuada en los cambios de demanda del proceso.

Elementos de campo del Sistema Instrumentado de Seguridad

Figura 8.50. Vlvula de globo.

Cuerpo de la vlvula de control


Existen tantas variantes en los tamaos, formas, materiales y tipos de conexionado
de los cuerpos de las vlvulas de control y de actuacin todo nada, que es necesario
P'
#


$$'
/ P #'
 '
$

'
'7



Tamao. Ser el adecuado para el caudal que tenga que manejar, pero el tamao mnimo por razones de robustez mecnica suele ser de 1.
Conexiones. Las uniones de las vlvulas con las tuberas pueden ser roscadas
o bridadas. Para facilitar el montaje y desmontaje, los cuerpos de las vlvulas
deberan ser acabados con bridas.
Materiales y resistencia mecnica. Todos los cuerpos sern fabricados en



&   '  K 
 
  'P
'  $&
 ''3 $


' 

 ]'  ' '   '
/  &
'
L%
$
$

J$ '
/X@V '$'P
rating

XEE   ' / 


 'P
'
$&
3'
caractersticas superiores, estas ltimas deben prevalecer. Para los tamaos

255

256

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

'

@V/
'

$'#O'#'
 'P
'

tuberas aunque sea inferior a 300#.
Dimensin entre caras de bridas. Para poder disear las isomtricas de tuberas, las distancias entre las caras de las bridas de los cuerpos de las vlvulas
de globo o mariposa se deben fabricar de acuerdo con las normas adoptadas
en el proyecto.
Internos de las vlvulas. Las partes internas son como mnimo de acero
'O'
& 
]'
Q
 

'/ 

lquido con slidos en suspensin, o cuando se producen cadas de presin
superiores a 10 kg/cm2, los asientos y obturadores, las guas y los casquillos
deben ser estellitados.
Prensaestopas y empaquetaduras. Las vlvulas llevan prensaestopas y su correspondiente empaquetadura, para evitar fugas al exterior. La empaquetadura debe ser fcilmente accesible para facilitar la reposicin y el mantenimien$*
 
$ 
$
]''$/
 
3$

 
$''


$
BBE $])

$ 
$
'
BBE 
#
P$
Fugas en los asientos de las vlvulas. Las fugas de la vlvula a travs del
conjunto obturador asiento, dan lugar a interpretaciones errneas cuando se
$''
  $
&'#  U#
 V/U
$

V/
Pnicin muy extendida en ingls tight shutoff. De diferentes maneras se quiere
 '3

#/P
 
$

#
'


3&'P


+O'$
'

3P
 ' '
&
)'
de estanquidad que se deben exigir a las vlvulas, una de las ms ampliamente utilizadas por los fabricantes de vlvulas de control es la FCI-70-2 del Fluid Controls
Institute, la cual ha sido asumida por ANSI.
Las clases de fugas en las vlvulas de control de la Norma ANSI/FCI 70-2 son
')P


'#'$7
:
-



#
$' 
'P
) 
3'

 $
se acuerda previamente entre el usuario y el fabricante.
Clase II. La prueba se hace con aire o agua a una presin de 3,5 bar,
aplicado a la vlvula con el obturador cerrado por el actuador, y con este
alimentado a su presin requerida. La fuga puede ser el 0,5% del caudal
de la vlvula a apertura total.
Clase III. Las pruebas se hacen en las mismas condiciones que la clase II
y la fuga puede ser el 0,1% del caudal de la vlvula a apertura total.
Clase IV. Las pruebas se hacen en las mismas condiciones que la clase II
y la fuga puede ser el 0,01% del caudal de la vlvula a apertura total. Son
las fugas admitidas en las vlvulas para usos normales, en funciones de
control.

Elementos de campo del Sistema Instrumentado de Seguridad

Clase V. La prueba se hace con agua entre 10 y 50 C, y a la presin


diferencial real de trabajo. La fuga puede ser 0,0005 ml agua/minuto
por pulgada de dimetro del asiento por PSI de presin diferencial. Es
la clase de fuga que se pide a vlvulas que tienen que asegurar un buen
cierre en los circuitos con funciones de seguridad, para el aislamiento de
ciertas partes del proceso.
Clase VI. Las pruebas se hacen con aire o nitrgeno a la presin diferencial de trabajo, o a 3,5 bar (la que sea menor). El caudal de fuga en ml/
minuto, o en burbujas/minuto, se da en funcin del tamao de la vlvula.
Para el detalle exacto de los procedimientos de las pruebas y las fugas,
se recomienda la observacin de la norma citada. La clase VI se exige en
casos excepcionales, con productos muy peligrosos y en los que las condiciones del proceso permiten la utilizacin de asientos con materiales
blandos. Con asientos metlicos duros es difcil conseguir este grado de
estanquidad, y una vez conseguido con mecanizados y lapeados costosos, se pierde fcilmente, tras realizar varias actuaciones de aperturas y
cierres con el conjunto obturador asiento.

Niveles de ruido permitidos. El ruido, se genera por el efecto dinmico del


]'


'$

/)&$/$&$

y el asiento cuando se produce algo de vaporizacin. En lugares donde normalmente hay personal, el nivel continuo de ruido a un metro de la vlvula,
debe ser inferior a 85 db.

Actuadores
El tipo de actuador ms utilizado en las vlvulas de control, con gran diferencia
sobre los dems, es el que est accionado por aire a presin. Existen actuadores con
motor elctrico, accionando directamente sobre el obturador. Tambin hay actuadores electrohidrulicos, en los que una motobomba proporciona la presin del sistema
leo hidrulico que se almacena en un acumulador. El aceite a presin hace las mismas funciones que el aire a presin en los actuadores neumticos.
Los actuadores elctricos y los electrohidrulicos se aplican en casos especiales,
principalmente cuando no hay disponible red de aire para el sistema de instrumentacin y control. Los actuadores electrohidrulicos se utilizan cuando se requieren
grandes fuerzas impulsoras y actuaciones muy rpidas.
En funcin del medio utilizado para su actuacin, las vlvulas se denominan
como: neumticas, elctricas o electrohidrulicas.
+ 

 
   
Los actuadores de diafragma y muelle se denominan de simple accin. El aire a
presin, mueve el vstago de la vlvula a la posicin de apertura o cierre deseada.
Cuando no hay aire, el muelle o muelles, ya que se pueden utilizar varios para con-

257

258

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

seguir la fuerza necesaria, hace que la vlvula se coloque en la posicin contraria.


En la Figura 8.51 se puede ver un actuador neumtico de diafragma. En este
modelo, el aire entra por la parte inferior de la cabeza, empuja el diafragma hacia
arriba y con l el vstago que est solidariamente unido al mismo. El movimiento
 '  /$


#
P '$

3 

$

'
actuacin se expanda y lleva el vstago y el obturador a la posicin contraria.

Figura 8.51. Actuador neumco.

+ 

 ! 
Se utilizan con vlvulas de control que requieren un gran recorrido, o la aplicacin
de una gran fuerza en el vstago. Pueden ser:


De simple efecto. El aire se aplica a un lado del pistn que al moverse comprime un muelle en el lado opuesto. Al fallar el aire de control, el muelle coloca
la vlvula en la posicin contraria a la que la sita el aire. Esta posicin es la
que se desea a fallo de aire (Figura 8.52).

Elementos de campo del Sistema Instrumentado de Seguridad

Figura 8.52. Actuador de cilindro y pistn de simple efecto.

De doble efecto con muelles. Se utilizan para trabajar con altas presiones
diferenciales en el proceso. Reciben aire de control para su posicionamiento
por ambas caras del pistn. Tambin existen los de doble efecto sin muelles,
como el representado en la Figura 8.53; estos actuadores, cuando falla el aire,
se quedan en la posicin en que estaban antes del fallo. Si se quieren llevar a
una posicin determinada, se debe facilitar un depsito de almacenamiento
de aire, con una serie de dispositivos que, ante el fallo del aire de actuacin
normal, pondrn el aire de reserva en el lado adecuado, para llevar el vstago
a la posicin prevista de seguridad

Figura 8.53. Actuador de cilindro y pistn de doble efecto.

259

260

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

8.6.1. ELEMENTOS FINALES APLICADOS A FUNCIONES DE SEGURIDAD


Cuando las vlvulas se utilizan en circuitos de proceso, con actuacin desde sistemas
de seguridad, adems de las caractersticas indicadas anteriormente para las vlvulas
 $/O'#'$
 P


$$'



Proteccin re safe. En la industria petroqumica y en las que se manejan


]' ']

&/
)
# '$
    
$ '# tencial, que requieren la utilizacin de vlvulas de actuacin con proteccin
ante el fuego re safe+$'#'P
3/
$#$ '

$)
$$' &'P'/


$




cerrarla y deber mantener la estanquidad entre obturador-asiento, y evitar
las fugas al exterior por empaquetaduras y por las juntas de las bridas, si las
hubiera.
Los tipos de vlvulas que pueden cumplir este requisito son: las vlvulas
de compuerta, las vlvulas de bola y las vlvulas de mariposa.
Tiempo de cierre. En algunas aplicaciones de seguridad, la velocidad de cierre es muy importante para asegurar la actuacin en un tiempo determinado.
*& 'P
$'  O'  '$'

 '



apertura. En vlvulas de tamaos grandes que requieren gran velocidad de
actuacin, puede ser necesario utilizar dispositivos especiales, para la carga o
descarga rpida de la presin de actuacin.
Sistemas de cierre obturador-asiento. Los sistemas de cierre obturadorasiento, de las vlvulas ms utilizadas para las aplicaciones de seguridad, son
las siguientes: asiento, bola, compuerta y mariposa (Figura 8.54).

Figura 8.54. Tipos de vlvulas ulizadas en SIS.

Las vlvulas de compuerta se utilizan en oleoductos, lmites de batera y grandes


tamaos. Generalmente son operadas por actuadores elctricos.

Elementos de campo del Sistema Instrumentado de Seguridad

Las vlvulas de asiento se utilizan para aplicaciones todo nada de seguridad con
altas presiones y altas temperaturas. El sistema de cierre metal-metal permite conseguir estanquidad clase V, y en algunas aplicaciones con metales blandos la clase VI.
Las vlvulas de asiento no pueden cumplir la exigencia re safe.
Las vlvulas de mariposa son muy utilizadas para grandes lneas y baja presin
de trabajo, en accionamientos todo nada y aplicaciones de bajo nivel de seguridad.
Hay una gran variedad de diseos y en procesos con bajas temperaturas se pueden
disponer discos con juntas elsticas y cierres metlico-elsticos para conseguir estanquidades con clase de fuga IV.
Las vlvulas de Bola son las mas utilizadas en aplicaciones todo nada de seguridad. El conjunto obturador-bola suele ser del tipo bola maciza perforada en tamaos
pequeos, y bola hueca en tamaos grandes. El paso interno puede ser de paso inte#
'P ' '
 $ '&
]$
$Koating ball)
o de bola de entrada superior (top entry).


&
]$
$
Q')
&
$#'


por los propios asientos. El cuerpo est formado por dos o tres piezas. El cuerpo
representado en la Figura 8.54 es de dos piezas, y el acceso a la bola y los asientos
requiere el desmontaje de la vlvula.
Las vlvulas de bola entrada superior (vase la Figura 8.55) se fabrican con el
cuerpo de una pieza, y la bola y los asientos se insertan por la parte superior. El
mantenimiento se puede hacer sin tener que desmontar la vlvula de la lnea. Los

'$/3 '
&
&
/ $' /GR+/#
P$$

$'
 P 

 'Jtop entry pueden ir equipadas con
asientos especiales para que con altas temperaturas y asientos metlicos se mantenga
una buena estanquidad.

Figura 8.55. Vlvula de bola.

261

262

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

 
& 

% 

En los diversos procesos industriales hay algunas aplicaciones que pueden conside
 '
)33' $P
'J

 '




'cacin concreta.
+
'#
?HA $
/
 )3 $'
/

''P
dora (diverter) de las que se utilizan en plantas de cogeneracin, para direccionar los
gases procedentes del escape de un turbogenerador hacia un sistema de generacin
de vapor, o hacia la chimenea de salida de gases. El conducto puede tener forma
circular o rectangular, con dimensiones tan grandes como 2,5 x 2 m de seccin. Los
gases de salida pueden estar a una presin ligeramente superior a la atmosfrica y a
una temperatura tan alta como 400 C. En condiciones normales de funcionamiento,
la salida est cerrada a la chimenea y los gases se pasan a travs de la caldera con
objeto de aprovechar su calor residual para producir vapor. Cuando se produzca una
de las condiciones previstas en la caldera que afecten a su seguridad, o cuando en el
turbogenerador se produzca algn disparo que por seguridad del equipo requiera el
desalojo de los gases a la chimenea, la compuerta basculante debe cerrar el conducto
hacia la caldera de generacin de vapor.

Figura 8.56. Diverter.

El peso de la compuerta, la velocidad de cierre y las condiciones de presin y de


temperatura en los gases, hacen que el sistema mecnico y su accionamiento sean
bastante complejos. Generalmente, el accionamiento se hace con cilindros actuados
por aceite con alta presin, procedente de un sistema hidrulico. El sistema hidrulico puede tener dos o tres bombas para mantenimiento automtico de la presin del

'$/'$ ''$ $)


$ 

'$/P$/

distribuidoras, vlvulas de seguridad, lazo controlador de presin con transmisor
controlador y vlvula de control, acumuladores de presin, presostatos para arranque
y parada de bombas, vlvulas solenoides para disparo o actuacin de la compuerta y
por si falla lo anterior, el sistema suele estar provisto de una bomba manual de pistn, que permite elevar la presin manualmente y llevar la compuerta a su posicin
#'
P'


Elementos de campo del Sistema Instrumentado de Seguridad

Teniendo en cuenta la alta temperatura de los gases de salida, para conseguir una
estanquidad adecuada con este tipo de cierres, en la cara posterior del cierre de la
compuerta se tiene que hacer un sellado inyectando continuamente aire a una presin
ligeramente superior a la del gas caliente. Para ello, se requiere un sistema con mquina soplante y los instrumentos necesarios para su automatizacin.
En grandes conductos, circulares o de forma rectangular, donde se manejan los
gases de combustin de hornos hacia precalentadores o chimeneas, o se opera con
grandes volmenes de aire para la combustin, se utilizan otros tipos de vlvulas
especiales Damper como el mostrado en la Figura 8.57. Con cilindros y posicionadores adecuados, pueden hacer un control regulado del caudal. Sin embargo,
su aplicacin mayoritaria se hace como actuacin todo o nada de apertura o cierre,
en aplicaciones de seguridad, movidos por cilindros neumticos de doble efecto y
articulaciones mecnicas con palancas y puntos giratorios.

Figura 8.57. Actuador para grandes conductos de aire o gases.

Cuando por necesidades de seguridad, las compuertas que estrangulan el paso, se


tienen que llevar a una posicin determinada de apertura o cierre, en los equipos que
se actan con cilindros de doble efecto se tiene que suministrar un sistema de aire a
presin con alimentacin de emergencia, vase la Figura 8.58. Puede haber variantes
con mayor o menor complejidad, pero un sistema sencillo consiste en un depsito de



'$
'
'/  P '$

3
$


'$''



'
'$ $P
 '$

'

$
'/



'$


' '#'
PQ


 $/$$'
de recipiente requiere pruebas y tratamiento administrativo similar al de otro recipiente a presin, incluyendo vlvula de seguridad calibrada a la presin de diseo
del equipo. Tambin se requieren presostatos para detectar el fallo de la presin del

'/ 

T$

'3 '$  $P
/
el cual se acta sobre el SIS, para producir disparo y llevar la vlvula a su posicin
de seguridad prevista. Se requiere vlvula antirretorno para evitar la fuga del aire y
vlvula solenoide para la actuacin elctrica del disparo.

263

264

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 8.58. Sistema neumco con depsito pulmn.

8.6.2. EXIGENCIAS DE FIABILIDAD PARA ACTUACIN ANTE DEMANDA




 $P


$''
''$
#'
/

 '''P
&''

$
'/
3O'#


vlvulas aplicadas a sistemas de control.
Parmetros relacionados con la seguridad
G

 
 
  #
  P
&''
  
 
 ) ' '
'  
sistemas de seguridad, a los fabricantes de las mismas se les exige que faciliten datos
de los siguientes parmetros:



MTBF (mean time between failure). Tiempo medio entre fallos.


MTTF (mean time to failure). Tiempo medio esperado para que la vlvula
tenga un fallo que pueda afectar a su actuacin. Se obtiene de valores experimentales, dividiendo el nmero de fallos entre el nmero de unidades en
servicio. Se dan por el fabricante, para cada tipo de vlvula.
MTTR (mean time to restore). Tiempo medio para hacer una reparacin. El

 $$'
'] '
  G*+

&
establecer el usuario en funcin de su propia disponibilidad.
Ti Intervalo de tiempo entre pruebas+$
 $$'#
'] '

el clculo del PFDavg.
- D (dangerous failures rates). Tasa de fallos peligrosos por hora.
! DD Tasa de fallos peligrosos detectados.
! DU Tasa de fallos peligrosos no detectados.
PFDavg = DU x Ti.  
 ' 'P

 


 
 
 &
&''

media de fallo ante demanda.

Elementos de campo del Sistema Instrumentado de Seguridad

Las vlvulas con actuacin neumtica o hidrulica necesitan un elemento intermedio, generalmente una electrovlvula, que recibe la seal procedente de la lgica
del sistema instrumentado de seguridad, quitando tensin a la vlvula solenoide y
 '

$
' '
$
 $P

P
&''



$
'
& $/

') $P

o vlvula todo nada de proceso. Esta composicin es la ms sencilla y la ms utilizada en las aplicaciones para sistemas de seguridad.
Si la vlvula utiliza posicionador, rel neumtico, limitador de seal o cualquier
$ $ 
'


$
'#'
/
P
&''


$
'
depender de la de cada uno de los elementos y la de todo el conjunto ser menor.
En las aplicaciones de seguridad se deben evitar todos los elementos que no sean

&$
$ 
'

 #'

$
' $P

Electrovlvula
La electrovlvula, genricamente denominada vlvula solenoide, es un elemento cr$'  $P
 $/&$''

 )&


para uso industrial y particularmente las que se utilizan en ambientes exteriores.
Las vlvulas solenoide a las cuales nos referimos aqu, son las que se utilizan
para interrumpir el aire de accionamiento a los actuadores neumticos, o el aceite en
los circuitos hidrulicos. Son de pequeo tamao, generalmente las vas suelen ser
V
No nos referimos a las vlvulas solenoide que van directamente insertadas en las
$&
) $
$ ]' +$

'$'lizan en algunos procesos automticos, pero no se utilizan en sistemas de seguridad
debido al nmero de fallos que tienen.
Las vlvulas solenoide utilizadas en aplicaciones de seguridad deben ser capaces
de trabajar con temperaturas ambientales elevadas por recibir la radiacin directa
del sol, por recibir el calor de entornos tales como paredes de hornos, reactores o
generadores de vapor, y por el propio calor generado por el estado energizado de la
bobina, en condiciones normales de operacin.
Se requiere que estn energizadas durante el funcionamiento normal del proceso,
lo cual debe ser siempre, y se le quita tensin para la actuacin de seguridad diseo
a fallo seguro. Las solenoides alimentadas con tensin de 24 vcc o 120 vca son las
3$'
)P
&''
/3

 $ '
/
'$
 
y tienen mayor duracin. Las vlvulas solenoide pueden ser:


Actuacin directa. La bobina solenoide energizada atrae un vstago que cierra o abre la vlvula. Cuando se desenergiza, la vlvula se abre o cierra al
contrario de antes. Estas vlvulas se piden: normalmente Cerrada (NC) o
normalmente Abierta (NA).
Vlvula solenoide pilotada.R'3J'P ''$3
&
o cierra por el movimiento del vstago, que permite que la presin del aire

265

266

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

se utilice en la actuacin de la vlvula solenoide. Cuando la solenoide est


#'

/'P ''$ '
)
'
'
'

para cerrar con fuerza extra el paso del aire. Cuando la solenoide est ener#'

/
&'P ''$/



O$
)
&
paso de aire hacia el actuador de la vlvula de proceso.
Las vlvulas solenoide pilotadas pueden ser de tres o cuatro vas, y se utilizan
para dar presin o para ventear el actuador de la vlvula de proceso y producir su
apertura o cierre. Las vlvulas solenoide pilotadas tienen estado o posicin a fallo
seguro. La posicin a fallo seguro se da, cuando la solenoide est desenergizada
y su muelle de retorno mantiene el piloto en la posicin de cerrado. Si la vlvula
solenoide es normalmente cerrada (NC), cuando est energizada y las conexiones
neumticas estn correctamente hechas, se da alimentacin al actuador de la vlvula
de proceso, y cuando se desenergiza se coloca en su estado seguro, es decir, se corta
la alimentacin y el actuador de la vlvula de proceso se ventea y despresuriza por la
tercera va de la vlvula solenoide pilotada.
Dependiendo de las aplicaciones para las que se utilizan, se pueden necesitar
con rearme. El rearme permite que cuando se produce un disparo, aunque el mismo
desaparezca, para volver a la situacin normal se requiere que un operador acte
sobre el pulsador o palanca de cada electrovlvula con rearme, lo cual obliga a
'P
 
  $
 ' '   $ P
  
 
'  '' ' 
proceso.
El rearme descrito puede ser peligroso en algunas aplicaciones. En algunos tipos
de electrovlvulas, con la solenoide desenergizada por un disparo, si se acta manualmente el rearme, y mientras se mantiene actuado, se permite el paso de aire al
actuador de la vlvula de proceso y esta se mover a posicin no segura.
Cuando el actuador de la vlvula todo nada de proceso es de simple efecto y el
retorno por muelle, se utiliza electrovlvula de tres vas. Con la electrovlvula ener#'

 $'/
'K]' $L



'

$


vlvula todo nada y la tercera va est a la atmsfera.
Cuando se quita tensin, se cierra y bloquea el aire en la va de entrada, se comunica el actuador con la tercera va y se ventea el aire a la atmosfera. El servoactuador
queda sin presin y el muelle del actuador llevar la vlvula todo nada a su posicin
de seguridad (vase la parte superior de la Figura 8.59).
Los actuadores de doble efecto necesitan electrovlvula de cuatro vas: dos vas
para entrada de aire y direccionado a un extremo del cilindro, y dos vas para direccionar el aire de la otra parte del cilindro al venteo. Esto permite al pistn y vstago
 $P

' '
Al quitar tensin a la electrovlvula, se direcciona la entrada de aire al extremo
opuesto del cilindro al que estaba antes, y la parte del cilindro que anteriormente
estaba con presin se direcciona al venteo. De esta forma, el aire mueve el pistn$
#) $P
$



' '#'
W&43


tener la posicin de seguridad es imprescindible disponer del aire motor.

Elementos de campo del Sistema Instrumentado de Seguridad

Figura 8.59. Vlvula solenoide de tres y cuatro vas.

Las causas de fallo en las electrovlvulas son:


^

^

Corte o quemado de la bobina solenoide. Cuando se utilizan en aplicaciones


con diseo a fallo seguro energizada en condiciones normales de operacin, se producir un disparo espurio.
Bloqueo del eje o vstago que mueve el direccionamiento de las vas de aire.
Se puede producir por excesiva fuerza de rozamiento debido a ambientes con
atmsferas hostiles y, ms generalmente, como consecuencia de que el aire
 ' '


$
'$4P '$ $' '

En las aplicaciones donde se quiere evitar disparo espurio por el quemado de la


bobina, se pueden utilizar solenoides con doble bobina, o una disposicin con dos
electrovlvulas conectadas como se indica en la Figura 8.60. Con esta disposicin,
para que la vlvula de proceso cierre, es necesario quitar tensin a dos solenoides
para poder despresurizar el actuador de la vlvula de proceso. Pero si falla el interno
de alguna electrovlvula, puede ocurrir que falle la actuacin de seguridad. Con este
montaje, se contraponen la mayor disponibilidad y la menor seguridad de la planta.

Figura 8.60. Conexin de dos solenoides para evitar disparo espurio.

267

268

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

El mximo intervalo de prueba recomendado para vlvulas solenoide es de cinco


aos. En aplicaciones de seguridad, los fabricantes recomiendan inspeccionar entre
uno y dos aos. Los mismos fabricantes estiman un tiempo de vida de entre cinco y
'
J/
$ 
#

$'

P
&''

'/' $T

plan de mantenimiento, inspecciones y la instalacin que recomiendan. En las aplicaciones de seguridad, las vlvulas solenoide se deben reemplazar antes de cumplir
su tiempo de vida.
Para una vlvula solenoide pilotada, que normalmente est energizada y que produce el disparo al quitar tensin, haciendo pruebas cada ao, se da en catlogo un
PFDavg = 4,77 x 10-4.
+O'$
&'
$3 ''$
 Q$' P#
'
redundante, y con PFDavg de valor similar al indicado anteriormente para una sola
vlvula solenoide.
G



'$
'
P
&''
)''&''

 $
/
se muestran los resultados de un estudio realizado sobre una muestra de 66 vlvulas
solenoide, que llevan funcionando una media de 25 aos, en distintas unidades de
procesos continuos. Estn instaladas en intemperie, en atmsfera explosiva (todas
 $ '
$']
#
$#'

 $

L) '
&
$
$'so. El 20 % tienen rearme manual. Se han analizado las incidencias de mantenimiento de los ltimos cinco aos y se ha observado lo siguiente:
^
^
^
^

Fuga de aire por el venteo (junta interna deteriorada).


Rearme de palanca agarrotado.
Fuga por conexin de racor en vlvula de proceso.
Cable roto en caja de conexin.

De los cuatro fallos encontrados, uno ha producido la actuacin de la solenoide


por falta de tensin. Los dos fallos primeros se han producido en la vlvula solenoide. Los otros dos fallos son producidos por otros elementos que se deben tener en
cuenta en el clculo de PFDavg de la SIF, pero no pertenecen a la vlvula solenoide.
El MTTF (tiempo esperado de fallo de la solenoide) es de 66 x 5 / 2 = 165 aos.

$


 
D8RRD8KDAHO?>AELA/=BODE-7.
Asumiendo que en este tipo de instrumento el 80% de fallos son seguros y que se


&



J/
G*
#' 'P



'7
R


'#D = (6,92 x 10-7) 0,2 = 1,38 x 10-7.
Intervalo de pruebas TI = 1 ao (8.760 horas).
G*
#D x TI/2 = (1,38 x 10-7) (8.760/2) = 6,04 x 10-4 que es un valor similar
al de 4,77 x 10-4 tomado de catlogo.
Vlvula de proceso para actuacin de seguridad todo nada
Tradicionalmente, las vlvulas para los sistemas de seguridad se han utilizado en su

  P#
'   '
  
 O' '

 

    
vamientos de seguridad de plantas petroqumicas, se ha podido comprobar que los

Elementos de campo del Sistema Instrumentado de Seguridad

distintos accesorios que pueden ser utilizados (posicionador, limitadores de seal

$
&
Q
/4&3/P


/''
' '/$ L/
causantes de la mayor parte de las averas que impiden el funcionamiento correcto
de apertura o cierre de la vlvula.
Por lo anterior, en los sistemas de seguridad se recomienda, siempre que sea
posible, la vlvula de bola con actuador mediante cilindro y pistn de simple efecto
y muelles de recuperacin. Con un giro, se abre o cierra la bola al asiento. En esta
vlvula, solo intervienen elementos mecnicos y el aire motor.
El mayor problema de las vlvulas con actuacin todo nada, aplicadas en funciones de seguridad, es que permanecen en una posicin abierta o cerrada, segn sea la
aplicacin, durante mucho tiempo pueden ser varios aos, y solo se actan cuando
existe una demanda por emergencia.
Las causas de fallo en vlvulas todo nada pueden ser:
^

^

En el cuerpo. Aumento de friccin, e incluso bloqueo por agarrotamiento, por


corrosin entre materiales, o prensaestopas mal elegidos. Depsitos de slidos y obstrucciones con cuerpos extraos entre obturador y asiento (menos
probable en vlvulas de bola por su geometra y paso pleno).
En el actuador. Fugas de aire en el circuito de mando. Resortes mal dimensionados, con poca fuerza, o rotura de los mismos.

Se ha realizado un estudio sobre una muestra de 46 vlvulas de proceso utilizadas


en sistemas de seguridad, con actuacin todo nada, mediante actuador de cilindro y
resorte para llevar a la posicin segura. A fallo de aire, las vlvulas cierran. El cuerpo
es de bola. Llevan funcionando una media de 25 aos, en distintas unidades de proceso
continuo. Estn instaladas en intemperie y clima bastante lluvioso. Se han analizado las
incidencias de mantenimiento de los ltimos cinco aos y se ha observado lo siguiente:
^
^
^
^

Cambio de actuador por rotura del prensaestopas.


Fuga en las bridas.

]Q

&'
&3


$
'
Tubing de aire roto.

El MTTF (tiempo esperado de fallo de la vlvula) es de 46 x 5 / 4 = 58 aos.



$


 
D8RRD8KH?O?>AELD/=>ODE-6.
Asumiendo que en este tipo de vlvula, solo el 25% de fallos son seguros y que


&



J/
G*
#' 'P



7
R


'#DU = (1,97 x 10-6) 0,75 = 1,47 x 10-6.
Intervalo de pruebas Ti = 1 ao (8760 horas).
G*
#DU x Ti/2 = (1,47 x 10-6) (8760/2) = 6,43 x 10-3.
8.6.3. PRUEBA DE CARRERA TOTAL A LOS ELEMENTOS FINALES DE CONTROL
G&
 '
'$ $P
 $ 

$

'/
conlleva riesgos de parada, o al menos, de causar perturbaciones en el funcionamien-

269

270

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

to normal de la misma. Una vlvula que est abierta y que solo debe cerrar ante una
situacin de emergencia, o que est siempre cerrada y deba abrir para desalojar una
presin o para aportar un producto que corte una reaccin, solo se debe actuar para
evitar un mal mayor. Hacer pruebas en estas vlvulas, cuando el proceso est bien,
no es aconsejable.
G

   $
 &

   $ P
  $/ 
 
$
 &
estar parada. Esto es lo que se haca hasta muy recientemente con los sistemas de
seguridad de las plantas industriales, cuando se paraba por una emergencia, o por





'P


$' '$/

&
)

&

'$
 

'$/

'P

$
'+
T'   $
que se podan abrir o cerrar las vlvulas del proceso sin causar problemas al mismo,
por estar parado.
'




'P


'
' 
#/)
 /$
'

$4 '
/
 
 '$ 
$'P


)
P
&''
33 $ $'$
#'
6
& 3
la probabilidad de fallo para actuacin ante demanda PFDavg disminuye a medida
que aumentamos la frecuencia de las pruebas. Si la planta tiene que estar en funcio
'$)$'3
&

 $P
 $/
'J
'$

'
' $) 'P /

3
se puedan hacer las pruebas sin perturbar notablemente el proceso, y para que se
mantenga la seguridad.
La prueba de carrera total en lnea es crtica para mantener la disponibilidad de la
seguridad del SIS. Aumentar la frecuencia de la prueba, es directamente proporcional a la bajada de la probabilidad de fallo a demanda PFDavg, y por ello, al aumento
del nivel de seguridad SIL.
Analicemos cmo se pueden hacer pruebas a vlvulas de proceso dedicadas a
aplicaciones de seguridad, en tres ejemplos de procesos continuos.
Ejemplo 1. Proteccin de un reactor por alta temperatura o alta presin


Proceso

El reactor debe operar a una presin y temperatura constantes para que una parte
del producto reaccione y se transforme en otro de ms valor aadido. La reaccin es
exotrmica y se mantiene estable dentro de unos lmites de temperatura y presin.
Se controla la temperatura de la entrada al reactor por la parte inferior, mediante un
lazo de control y un intercambiador de calor. En operacin normal la temperatura de
salida puede variar entre ciertos valores sin causar ningn problema.


Situacin de riesgo

Por grandes variaciones en la calidad del producto tratado, por tener en la entrada
una temperatura muy elevada debido a un mal control, por mala distribucin del ca-

Elementos de campo del Sistema Instrumentado de Seguridad

talizador en el interior del reactor, o por una combinacin de los diferentes factores,
a partir de un cierto valor de temperatura ms alto que el de operacin normal, la
reaccin se multiplica y es necesario pararla, para evitar que la alta temperatura que
se genera cause daos al reactor, y a otros equipos del proceso.


Actuacin de seguridad

Para cortar la reaccin, lo ms efectivo es despresurizar el reactor mediante la


descarga del producto a un sistema de antorcha.
El riesgo por alta temperatura es grande y para evitar el fallo de una sola lnea de
descarga, se disean dos lneas de igual capacidad. Cualquiera de las dos desaloja el


P '$

&
Q

''
$) $


'K4
'#

8.61).
Por alta presin o temperatura, la lgica del sistema de seguridad quita tensin a
las vlvulas solenoides UY las cuales, cortan el aire de instrumentos a las vlvulas
de proceso UV y ventean la presin de las mismas para abrirlas. La posicin de se#'
KWL

&G



'#/P '$ 3
&



 
'' 'DB
P
&''

$
'
$
/$
&'4
alta la posibilidad de fallo no deseado.

Figura 8.61. Proteccin contra alta presin con doble circuito de salida.

Para aumentar la disponibilidad de la planta y disminuir los fallos espurios no


deseados, en cada una de las dos lneas de despresurizacin a antorcha se instala un
sistema como el de la Figura 8.62. En este sistema, la disposicin de dos vlvulas
'N[  $

  ''

P#
/'$
'
'
el fallo de una solenoide.
Para que exista actuacin de disparo y se pueda abrir la vlvula UV, es necesario
que las dos solenoides estn sin tensin. En esta situacin, el actuador de la vlvula

271

272

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

se despresuriza por el venteo de la solenoide superior derecha. Por otra parte, con la
capacidad de almacenamiento TK y la vlvula antirretorno, se evita el disparo espurio por el fallo del aire de instrumentacin AI.
Con la doble lnea de despresurizacin tendremos seguridad de disparo, y con
los elementos del sistema que se instalan en cada vlvula, se evitan los disparos
espurios.

Figura 8.62. Proteccin contra disparo espurio.

Cmo se puede probar este sistema con la planta en funcionamiento?

Cuando se disea una planta y se aplican sistemas instrumentados de seguridad


con todo su rigor, se han de prever los medios para hacer pruebas completas a todos
los elementos que conforman un SIF, con la frecuencia prevista en los clculos.
Para este caso, en la Figura 8.61 antes y despus de cada vlvula de seguridad UV
se dispone de dos vlvulas de actuacin manual marcadas (LO, lock open) bloqueadas abiertas. Estas vlvulas se evitaban en diseos antiguos, porque el bloqueo por
error de una de las mismas invalidaba el sistema de proteccin. Ahora, las vlvulas
se deben bloquear abiertas mediante llave mecnica. El desbloqueo para poderlas
cerrar obliga a la utilizacin de un procedimiento administrativo que ser utilizado
para las pruebas de carrera de las vlvulas.
En el Captulo 14 del libro se describe con detalle la forma en que se han de
efectuar las pruebas de los SIF. Se dispondr de un procedimiento muy detallado,
indicando permisos, quines realizaran la prueba y sus responsabilidades, los planos
que se deben manejar, descripcin de las seales involucradas, lgica, tarjetas, regleteros, cables, cajas de conexin, vlvulas a probar, con las indicaciones, alarmas
y la secuencia de vlvulas manuales que se han de abrir y cerrar, antes, durante y
despus de efectuar la prueba, observaciones, fecha de ejecucin, etc.

Elementos de campo del Sistema Instrumentado de Seguridad

+$
  $)
 )' 'P

7
-

Se comienza la prueba de la actuacin de una vlvula de disparo cerrando las dos vlvulas manuales (L.O) situadas antes y despus de la vlvula
UV, con lo cual se bloquea la salida de producto en una lnea mientras
que la otra lnea sigue en servicio.
Se abre el circuito y se quita tensin a las dos solenoides UY de la lnea
que se esta probando, la vlvula UV abrir. Se comprueba la correcta
actuacin de las vlvulas.
Se cierra el circuito y se repone tensin a las solenoides, con lo que la
vlvula UV se volver a cerrar.
Se abren las vlvulas manuales (L.O) y se les pone un bloqueo mecnico
para impedir que por error se puedan cerrar, lo que invalidara el sistema
de seguridad.

Posteriormente, se prueba la otra vlvula siguiendo el mismo procedimiento.


Dependiendo de si la prueba se hace por partes, sensores por un lado, lgica por
$) $P
$/

 Q$
/ ' '$
pruebas puede ser ms o menos complejo.
Si se hace de forma conjunta, es posible que en la programacin del sistema de
seguridad se tengan que contemplar algunos condicionantes para las pruebas. Por
ejemplo en este caso, en la posicin de prueba 1, quitar tensin solo a la salida 1, y
en la posicin de prueba 2, quitar tensin solo a la salida 2.
Si se decide hacer la prueba a todo el conjunto al mismo tiempo sin cambiar el
programa, sera necesario bloquear al mismo tiempo las cuatro vlvulas manuales.
En esta situacin, si en el proceso se produjera un disparo real durante la ejecucin
de la prueba, este no producira efecto por tener las vlvulas manuales cerradas, con
la consiguiente situacin de riesgo.
% /  <j
< 
 |j  j 


Proceso

El combustible gas alimenta a los quemadores de un horno de calentamiento de


producto en una planta petroqumica. El objetivo es calentar el producto a una temperatura determinada, manteniendo la relacin aire/combustible necesaria, para que
la combustin sea adecuada y segura. Hay lazos de control para mantener la relacin
aire/combustible y para mantener la temperatura del producto al valor requerido.


Situacin de riesgo

Por mltiples razones, como pueden ser, fallo en los lazos de control de combustible y aire, fallo en los quemadores o en el suministro del combustible se pueden
dar situaciones de riesgo en el horno por acumulacin de gases no quemados, o por

273

274

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

apagado de la llama. Tambin se puede producir temperatura muy alta en el producto


que se est calentando, o en los mismos tubos por donde circula el producto.


Actuacin de seguridad

Para eliminar cualquiera de las situaciones de riesgo, la actuacin de seguridad


ms efectiva consiste en cortar el combustible, con lo que se anula el fuego y la
aportacin de calor.
Una de las disposiciones ms seguras que se pueden utilizar es la que se puede ver
en la Figura 8.63, sin considerar la parte encerrada en la nube. Se ponen dos vlvulas
 $NS'/ P#
'DB) ' '#'
 

cierra (fail close), las cuales actan al mismo tiempo cerrando. Entre las dos vlvulas
existe una lnea en derivacin, que lleva una tercera vlvula UV cuya posicin de
seguridad es FO fallo abre (fail open). En situacin normal de funcionamiento las
tres solenoides UY estn energizadas, las dos vlvulas en serie UV estn abiertas y
la vlvula UV est cerrada.

Figura 8.63. Protecciones en gas combusble a quemadores de hornos.

Cuando por una situacin de riesgo se produce un disparo, se cierran las dos vlvulas en serie cortando el combustible al quemador y se abre la vlvula de la lnea
intermedia. Esta vlvula ventea a lugar seguro, cualquier fuga que pudiera producirse en la vlvula que aguanta la presin del colector de gas combustible, con ello se
impide la presurizacin del carrete de tubera entre ambas vlvulas y que la presin
pueda introducir gas al quemador y a la cmara de combustin del horno, para crear
una situacin de riesgo en un encendido posterior.

Elementos de campo del Sistema Instrumentado de Seguridad

$
 P#
'/

$
'$'&$
fectamente coordinadas, por ello se recomienda la utilizacin de un solo canal de
salida del sistema de lgica de seguridad y de un solo cable para alimentar las tres
solenoides. De esta forma, se eliminan fallos de tarjetas de salida y de cables individuales, que de producirse, podran crear situaciones de riesgo que invalidaran la
buena seguridad del diseo.


Cmo se puede probar este sistema con la planta en funcionamiento?

No se puede probar porque el corte de combustible implica parada del horno, y


generalmente, parada de la unidad de proceso.
Cuando por razones de nivel de seguridad, el periodo de prueba de carrera total
de las vlvulas de corte es menor que el periodo de parada programada de la unidad
de proceso, si se requiere probar este conjunto de vlvulas con la planta en marcha,
se debe prever un diseo que permita hacer la prueba.
Un diseo podra ser duplicar el conjunto de las tres vlvulas y ponerlo en paralelo
con el existente. En la lgica de seguridad, el segundo conjunto tendra las vlvulas
NS 

)
N[
&'$
 ' '$
&
Q
/)
' ' traria, cuando a las vlvulas de corte que funcionan normalmente se les hace la prueba
de cierre. Durante el tiempo de prueba de las vlvulas, cualquier disparo de seguridad
actuara sobre los dos conjuntos de vlvulas, cortando el combustible al horno.
+

$
 
&'$
/  ' '$&'P')
sin estar en contradiccin con la normativa aplicable, se podra disear una alternativa similar a la indicada en la nube de la Figura 8.63, con lnea de baips y vlvula
manual ZSO. Se deben prever vlvulas manuales, abiertas y bloqueadas (L.O) durante la operacin normal, antes y despus de las vlvulas UV, y una lnea de baips
con su correspondiente vlvula manual. La vlvula de baips ir provista de indicacin de cierre o alarma de apertura, en el sistema de seguridad.
Los lazos de control de presin y/o de caudal del colector de combustible estn
'$

$$
3

P#

Como ya se indic, se dispondr de un procedimiento detallado para la ejecucin
de la prueba.
G



$
$'


&
'/)
' 'P

/ ' '$
podra ser:
-

Se procede a abrir completamente la vlvula de la lnea de baips. En la


interfase del sistema de seguridad se conoce la alarma ZAO vlvula de
baips abierta. No debe causar perturbacin apreciable en el proceso,
dado que el control de presin y caudal se efectan antes y absorben la
pequesima diferencia de prdida de carga que se introduce al poner dos
lneas en paralelo.
Se cierran las dos vlvulas manuales (L.O) situadas antes y despus de
las vlvulas de corte del sistema de seguridad. Se observa que el proceso
sigue estabilizado.

275

276

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Se quita alimentacin a las solenoides abriendo el circuito. Las tres solenoides actan cerrando las dos vlvulas UV que estn en serie, y abrien
NS3$

#
#6'P
3


$T

adecuadamente.
Se cierra el circuito y se da alimentacin a las tres solenoides. Si las
vlvulas solenoide tienen rearme manual individual, las tres vlvulas de
corte UV continuarn en la misma posicin. Primero rearmar la solenoide UY de venteo a lugar seguro, y la vlvula UV se cerrar. Despus
rearmar las solenoides que estn en serie y las vlvulas UV se abrirn.
Abrir las vlvulas manuales (L.O) y ponerles el bloqueo mecnico en
esta posicin.
Cerrar la vlvula manual del baips. Debe desaparecer la alarma vlvula
de baips abierta y aparecer la indicacin de cerrada. El proceso debe
$
$
&''

&

P
'

$'
$'
$)

informe correspondiente.

Observacin

Durante el tiempo que la vlvula manual del baips est abierta no tendra efecto, si se produce, un disparo de seguridad. En el procedimiento de actuacin para
la prueba, se puede indicar se preste especial atencin para detectar si se produce
un disparo, y se puede disponer que el operador que est controlando el cierre de
las vlvulas de corte, acte, cerrando la vlvula de baips en caso de detectarse un
disparo.
Ejemplo 3. Aislamiento entre zonas de alta y baja presin


Proceso

En un proceso hay una zona de operacin de alta presin y otra zona de baja
presin.
Los diseos de los equipos y las tuberas estn calculados y dimensionados para
soportar sus mximas condiciones de trabajo reales. Desde la zona de alta presin, el
producto lquido pasa a la zona de baja presin mediante un control de nivel. La prdida de carga se produce casi totalmente en la vlvula LV. Para que la presin no se
traslade a la zona de baja, se debe mantener un sello hidrulico en la columna de alta
presin y por ello, el nivel de la columna no debe bajar de un nivel mnimo LSLL.


Situacin de riesgo

Si por fallo en el lazo de control de nivel se pierde el sello hidrulico, la vlvula


LV sera incapaz de producir la prdida de carga para aislar las dos zonas, aunque estuviera cerrada, y la presin en la zona de baja podra aumentar de manera peligrosa
para los equipos y tuberas existentes.

Elementos de campo del Sistema Instrumentado de Seguridad

Actuacin de seguridad

Para evitar la situacin de riesgo se provee un instrumento independiente de medida o deteccin de nivel, que tome la accin de bloquear la salida cuando todava

)'P '$

#

$'
 '' %
)'
 
las que se utiliza un enclavamiento formado por la misma vlvula LV del sistema
de control con una solenoide, un interruptor de nivel y la correspondiente lgica. El
sistema ha funcionado razonablemente bien durante aos.
En las nuevas unidades con este tipo de proceso, al hacer anlisis de seguridad y
asignar nivel SIL, se opta por una vlvula UV independiente y aplicada solo para seguridad, con su correspondiente solenoide UY. La vlvula se pide con un cierre ms
exigente que el de la vlvula de control. Si fuera necesario aumentar la seguridad,
adems de la vlvula UV y conjuntamente con la misma, tambin se podra utilizar
la vlvula de control LV con una solenoide, para actuar con la lgica del muy bajo
nivel y con prioridad sobre la seal del lazo de control.





 

  
 
 


Asumiendo el esquema de la Figura 8.64, en la fase de diseo se ha comprobado


el rango del nivel de control, el volumen de lquido que se almacena en el fondo de
la columna de la zona de alta presin y el caudal medio de salida durante la operacin normal de la planta. Tambin se sabe cmo afectan las variaciones de caudal a
la zona de baja presin, incluso a caudal cero durante un corto periodo de tiempo.

Figura 8.64. Protecciones para separar zonas de alta y baja presin.

En el ejemplo que nos ocupa, asumimos que se puede cortar el caudal durante un
minuto, sin causar problema serio en la zona de baja presin, por ello se puede hacer
la prueba del SIF completo, sin necesidad de equipamiento adicional.
Como se indic anteriormente, se dispondr de un procedimiento detallado para
la ejecucin de la prueba.

277

278

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

+$
/)
' 'P

7
-

:

Cerrar las vlvulas manuales de conexin al proceso del interruptor de


nivel LSLL. Despus abrir la purga del mismo. Se vaca el LSLL y acta
su interruptor que abre el circuito, produciendo lo siguiente: actuacin
de la lgica del SIS, da alarma de muy bajo nivel, quita tensin a la
solenoide UY que a su vez quita aire y ventea la vlvula UV, la cual se
cierra.
S'P
 $ 
$'/  '
 
 #
  '$$  '
LSLL, se abren las vlvulas manuales de conexin al proceso. Se recupera el nivel, se acta el interruptor del LSLL, se apaga la alarma de muy
bajo nivel, se energiza la solenoide UY que cierra el venteo, da presin
de aire al actuador de la UV y la vlvula se abre. La prueba completa
puede durar dos o tres minutos y la vlvula de proceso UV puede estar
cerrada entre 15 y 30 segundos.

8.6.4. PRUEBA DE CARRERA PARCIAL (PARTIAL STROKE TEST -PST-)


Como ya se indic anteriormente, las vlvulas de actuacin todo nada aplicadas en
sistemas de seguridad, no se mueven durante la operacin normal, es decir, permanecen durante meses o aos en una misma posicin, cerrada o abierta, dependiendo
de la necesidad del proceso. A lo largo del tiempo se han desarrollado diferentes
mtodos que permiten probar una parte de la carrera de la vlvula, con lo cual se
garantiza una parte del funcionamiento total.

&



 '
KG6RL'

 P

 ''


$

/3
 $ $


' 'P
Gde evitar, en algunos casos, la inmovilizacin por agarrotamiento del vstago del
obturador, y asimismo disminuir la probabilidad de fallo a demanda PFDavg. En
algunos casos, haciendo pruebas parciales con frecuencia, se pueden alargar los plazos de comprobacin de la carrera total de la vlvula.
La prueba se puede hacer con una electrovlvula para la actuacin de emergencia,
) '
 $/P





'
' $

sobre la posicin de la vlvula. Hay desarrollada una alternativa que consiste en
montar en la vlvula un posicionador inteligente, el cual incorpora todo lo necesario
para hacer una prueba de carrera parcial. El posicionador se puede montar conjuntamente con la solenoide, o en sustitucin de la misma.
Las aplicaciones que se han desarrollado a lo largo del tiempo para hacer la prueba de carrera parcial han sido las siguientes: mediante limitadores mecnicos, con
vlvulas solenoide y mediante control de la posicin. Cada una de las variantes tiene
 #
  '# ) 'P $
  Q  ' R
&'4 
 
  '
 
utilizar equipamientos ms o menos complejos, que se deben tener en cuenta en los
diseos originales de los SIF.

Elementos de campo del Sistema Instrumentado de Seguridad

Limitacin mecnica
Es el mtodo ms sencillo, e implica la instalacin de un aparato mecnico que
limita la carrera de la vlvula. Durante el tiempo que se estn utilizando los medios
mecnicos, la vlvula no est disponible para efectuar una actuacin de seguridad.
Los elementos mecnicos utilizados suelen ser abrazaderas o argollas, topes mecnicos con volantes roscados, o mecanismos ms complejos actuados con llave.
Las abrazaderas o argollas se suelen utilizar alrededor de los vstagos que tienen
movimientos ascendentes y descendentes para la apertura o cierre de las vlvulas.
Las piezas que forman la abrazadera tienen el tamao previsto para hacer de tope y
limitar el movimiento del vstago a la longitud de la carrera que se quiera. Es fcil
construir en cualquier taller mecnico.
Los topes mecnicos con volante y eje roscado limitan el movimiento del actuador y se ajustan girando el volante para roscar ms o menos el eje que limita la
carrera deseada. Se piden al suministrador de la vlvula durante la fase de compra.
Se pueden aplicar a vlvulas ascendentes/descendentes y tambin a las rotatorias.
El sistema de mecanismo complejo para vlvulas rotatorias se integra en el diseo de la vlvula y debe ser pedido en la orden de compra. Se acta mediante una
llave externa que pone en la posicin adecuada una forma de varilla ranurada, que
limita el giro de rotacin del eje de la vlvula.
Considerando solo el equipamiento, los mtodos mecnicos son baratos. Tienen
que ser iniciados manualmente y requieren varias personas para su ejecucin. Se
$''
P





 P
' $
 ' '$
de la vlvula.
El comienzo, la ejecucin y el retorno a la normalidad de la prueba tiene que ser
llevada a cabo de forma manual y con procedimiento detallado de todos los pasos a
seguir. Los errores que se pueden producir en las pruebas con los mtodos mecni /#
P' ' ' '$)

'
tcnicos que efectan las pruebas.
Con vlvulas solenoide
Con una vlvula solenoide que est normalmente energizada, se puede hacer una
prueba de carrera parcial, quitando tensin durante un pulso de tiempo predeterminado. El tiempo que est sin tensin se debe ajustar en cada conjunto solenoide/
vlvula de proceso, para conseguir el movimiento de carrera parcial deseado. La
P
'
' '

'P
 '
$'$$
de posicin, o mediante un transmisor de posicin.
Con los medios citados, se puede automatizar la realizacin de la prueba mediante
un programa lgico, ejecutado en el propio SIS, bien por demanda del operador, o en
funcin de una frecuencia establecida. El interruptor de posicin o el posicionador se
pueden utilizar en la lgica del programa, para asegurar que la carrera de la vlvula es
la preestablecida, anulando el pulso si fuera necesario, por durar ms de lo previsto.

279

280

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Como la vlvula solenoide con la que se efecta la prueba es la misma del sistema
de seguridad, al quitar y dar tensin se prueba completamente. Al hacer la prueba se
pueden producir fallos espurios por la solenoide. Para evitar o reducir los mismos, se
pueden utilizar solenoides redundantes.
Con el diseo adecuado de la lgica de actuacin se puede hacer que durante
la prueba de carrera parcial, si se produce un disparo del proceso, este prevalezca
sobre la prueba y acte sobre la solenoide, para que lleve la vlvula a su posicin de
seguridad.
Control de posicin
El mtodo del control de posicin utiliza un posicionador para situar la vlvula en el
porcentaje de carrera de apertura o cierre deseado. Se puede emplear para vlvulas
con vstago ascendente, o de movimiento rotatorio. Se requiere la instalacin de un
posicionador inteligente que puede montarse solo, o adems de la solenoide.
Los ltimos modelos de posicionadores tratan de sustituir la solenoide, actuando
todo o nada, o al tanto por ciento de carrera que se quiera actuar. Se hace en funcin
de la seal de salida programada en la lgica de actuacin. Generalmente se utiliza
una tarjeta de seal analgica de salida del SIS y se pueden actuar con seales de
4-20 mA, o con seal de 0-24 vcc. Con un valor de seal intermedio, por ejemplo,
16 mA, el posicionador interpreta que la vlvula debe situarse en el porcentaje de
carrera parcial, a la que previamente fue ajustada para ese valor.
Hasta que los PLC de seguridad tengan lgica, procesadores y electrnica de
tarjetas de entradas o salidas, capacitados para interpretar y manejar los parmetros
) '$ %
$
$'
#'
)
 $'P
'


el nivel SIL exigido, cuando se quieren utilizar las informaciones que facilita el
$ %
$/$'3  $
'$
O$/3$$'PQ
y necesita cableado. Mientras que el sistema externo est conectado, es necesario
&
' $P
 $[
  $
$' $3
uso del protocolo Hart puede afectar a la seguridad del sistema.
Los posicionadores pueden dar seales de salida para indicar la posicin continua
de la vlvula, o contactos abierto/cerrado para indicar posiciones parciales ajustables, que pueden ser utilizados en la lgica del SIS.
Hay posicionadores inteligentes para PST, que se suministran como aparato cer$'P

$#
$'3 
$  $$
&' P' 

)
   ' '
 $ $'P
  


$
de categora tipo B, porque el comportamiento ante fallo de los subsistemas no est
bien determinado. Los aparatos y subsistemas tipo A tienen mayor tolerancia a fallo
y menor restriccin de arquitectura para un nivel SIL determinado, que los aparatos
tipo B.
La velocidad de los actuadores depende del posicionador y del tamao del actuador. Se debe comprobar si cumplen la velocidad de actuacin exigida para la
aplicacin. La capacidad de venteo de una vlvula solenoide es mayor que la de los

Elementos de campo del Sistema Instrumentado de Seguridad

posicionadores, y por ello la velocidad de actuacin de la vlvula de corte puede ser


mayor con la solenoide. Si se utilizara posicionador y solenoide, esta debe ser instalada entre el posicionador y el actuador. En este caso, la funcin de seguridad no se
pierde, aunque se est haciendo la prueba de carrera parcial.
+ 
 
 *
La prueba PST puede ser una ventaja para conseguir que la prueba de carrera total
se haga con un periodo mas largo, y en algunos casos conseguir que una planta que
tiene una frecuencia de parada de por ejemplo dos aos, se aproveche para hacer las
pruebas totales en la parada, y no se necesite poner lneas de baips y vlvulas manuales a las vlvulas de actuacin de seguridad.
La frecuencia de prueba de la carrera total se tiene que demostrar y validar, calculando la PFDavg de la SIF con la frecuencia de pruebas de carrera parcial y total
previstas para alcanzar el SIL deseado.
Antes de que se decida utilizar la prueba parcial PST y de hacer los diseos con
los medios necesarios, se debe analizar la forma en que se pueden realizar las prue&
 $P
 / '
'
&''

&

PST. Veamos los tres ejemplos de procesos mostrados anteriormente.


Ejemplo 1: la vlvula est siempre cerrada y tiene que abrir para despresurizar el sistema. En este caso, no se puede aplicar la PST porque requiere
mover el obturador una parte de la carrera, y ello implica abrir la vlvula. La
apertura conllevara mandar producto a la antorcha y desestabilizar el proceso.
Ejemplo 2: las vlvulas UV en serie, que cortan el combustible al quemador,
estn abiertas y cierran ante la actuacin de seguridad. Si se le dotara a cada
vlvula de posicionador PST, se podra hacer la prueba PST a cada una de las
dos vlvulas en serie, pero no se podra probar la vlvula de venteo a lugar
seguro.
En el diseo mostrado no tiene aplicacin la prueba PST. Se debe tener en
cuenta que en esta aplicacin, lo importante es el buen cierre de la vlvula
para evitar que llegue combustible a la cmara de combustin del horno. Esto
no se puede probar con una prueba PST, porque no se pueden cerrar las vlvulas sin parar el proceso.
En proyectos recientes, como consecuencia de aplicar la metodologa de
anlisis y asignacin de nivel SIL, hay aplicaciones en las que el intervalo
de prueba asignado es menor que el periodo de parada de la planta. En estos
casos, el diseo se puede hacer con alguna de las alternativas indicadas anteriormente, para hacer la prueba de carrera total con la frecuencia requerida.
Ejemplo 3: la vlvula UV est totalmente abierta durante el funcionamiento
normal. Si en el anlisis realizado sobre esta aplicacin, se hubiera llegado a
la conclusin de que la vlvula no puede estar cerrada el tiempo previsto, por-

281

282

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

que causara problemas en el proceso aguas abajo, entonces sera conveniente


utilizar la prueba PST.
La ejecucin de esta prueba, con cierta frecuencia, no causara perturbacin en el proceso y permitira alargar el periodo de prueba total, hasta que
se hiciera la parada de planta programada. Si no se alcanzara el tiempo necesario por ser muy largo el periodo hasta la parada, se tendra que disponer
en la vlvula UV de una lnea de baips, con sus correspondientes vlvulas
manuales. Sera similar a lo que se ha dispuesto para las vlvulas de combustible del ejemplo anterior.
 
 
 *
Es necesario analizar particularmente cada aplicacin. Se puede utilizar en algunos
casos y no se debe utilizar en otros.
+&P ' ' $
$
&



 '
G6R/3
)

para alargar el periodo con que se debe hacer la prueba de carrera total, para conseguir el nivel SIL asignado. En algunos casos, puede evitar la necesidad de proveer
lnea de baips para la vlvula.
Se debe sopesar la implicacin de utilizar ms equipo inteligente programable,
para la automatizacin de la prueba PST. Es muy probable que se introduzcan ms
fallos peligrosos no detectados.
Hay que ser conscientes de que la ejecucin frecuente de la prueba PST aumenta
la posibilidad de disparos espurios.
Sea cual sea el mtodo seleccionado para efectuar la prueba PST, se debe utilizar
un procedimiento escrito para evitar producir disparo intempestivo de la vlvula de
corte, y para que la prueba se lleve a cabo de forma ordenada y completa. La documentacin necesaria y los requerimientos para hacer la PST sern los mismos que los
utilizados para efectuar la prueba de carrera total.

8.7. CABLEADO PARA INSTRUMENTOS DE SEGURIDAD


El cableado de aparatos de campo se debe disear y realizar cumpliendo con las
directivas y normas existentes en el pas donde se ubica la instalacin. Adems de
los reglamentos generales, se aplicarn los particulares para el tipo de industria
concreta.
Por ejemplo, si se trata de una instalacin que va a manejar sustancias que puedan
dar lugar a atmsferas explosivas, en Europa, se tiene que aplicar la directiva ATEX.
Al tener en cuenta esta directiva, se ve que hay varios mtodos de proteccin para los
componentes elctricos. Si se elige el sistema de seguridad intrnseca como mtodo
de proteccin, se disear todo el sistema de instrumentacin cableados, instrumentos, alimentaciones, tierras, etc. teniendo en cuenta y cumpliendo lo que se indica
en todas las normas relacionadas con la seguridad intrnseca.

Elementos de campo del Sistema Instrumentado de Seguridad

63''#'P
3#
$#
)

$' 
&
cumplir siempre. Las recomendaciones generales y particulares que se dan a continuacin para los cableados de sistemas de seguridad no estn en contra de ninguna
norma. Son el resultado de la lectura e interpretacin de mucha normativa y de las
experiencias observadas despus de la ejecucin y puesta en marcha de mltiples
proyectos. La aplicacin de las recomendaciones generales y particulares ayudar a
eliminar problemas en el manejo de las seales de baja tensin e intensidad y facilitarn el mantenimiento posterior de la instalacin.
8.7.1. CRITERIOS GENERALES
En las plantas industriales muy automatizadas existe gran variedad de seales elctricas procedentes de diferentes instrumentos, que son utilizados en la automatizacin, el control del proceso, el clculo de rendimientos y la gestin de los equipos y
las instalaciones. Son miles de seales que estn distribuidas en distintos lugares de


$
)$
 ])


racks o de control.
Para evitar o minimizar a lmites tolerables los problemas que se plantean con las
seales elctricas de instrumentacin, sobre todo, las de muy bajo nivel de tensin,
se deben seguir las recomendaciones que se dan ms adelante.
Los problemas se pueden presentar por campos elctricos generados por tensiones o intensidades variables en circuitos separados, pero en cables que estn cercanos y con recorridos en paralelo. Por campos elctricos generados por transformadores o motores de baja, media o alta tensin. Tambin son fuente de problemas las
ondas electromagnticas de radiofrecuencias, procedentes de las emisoras porttiles
y utilizadas para comunicaciones entre plantas y salas de control.
Para evitar las interferencias elctricas que se puedan producir entre diferentes
niveles de tensin o de intensidad, para facilitar la organizacin del cableado interno,
la distribucin y posicin de los borneros en los armarios de los PLC de seguridad, y
para evitar posibles errores por confundir la conexin de cables contiguos que perte

 ' '$'$/ '$ 
'P
)
#

J
 
criterios que se exponen a continuacin.
Separacin de seales
La separacin de seales quiere decir que los cables, los multicables, las cajas de
O'/&)
'$'P
'


$'J
/&
ser distintos y separados fsicamente, de otros tipos de seales:
1. Separacin entre seales corriente continua CC y corriente alterna CA.
2. Separacin entre seales de CC por niveles de voltaje:
^ Bajo nivel
seal entre 0 y <100 mV.
^ Medio nivel
seal entre 100 mv y <5 VCC.
^ Alto nivel
seal entre 5 VCC y 75 VCC.

283

284

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

3. Separacin entre seales de CC por intensidad.


^ Seales entre 0 mA y < 50 mA.
^ Seales de 50 mA o mayores.
4. Separacin entre seales de corriente continua por su forma de actuacin.
Las seales de rels, bobinas, solenoides (alimentadas a 24 VCC) y todo
tipo de elementos de CC que tengan frecuentes conexiones y cortes de tensin,
no deben ser llevadas en el mismo multicable con las seales de mA
que se utilizan para la medida analgica de variables de proceso.
5. Separacin de seales o de alimentaciones de corriente alterna entre circuitos
de 120 y 230 VCA.
Habr separacin con otras tensiones superiores que aqu no se consideran,
porque no son utilizadas por instrumentacin.
6. Separacin entre seales de corriente alterna de 120 VCA.
Las seales de alimentacin a vlvulas solenoides, utilizadas en sistemas
de seguridad o automatismos, deben ser agrupadas entre ellas, y separadas de
las seales de 120 VCA que se utilizan para alimentar instrumentos o equipos
de sistemas de control distribuido, o de sistemas de seguridad. Ambos tipos
de alimentaciones proceden de sistemas de alimentacin segura.
7. Separacin de seales de seguridad intrnseca.
Las seales de seguridad intrnseca que estn incluidas en los tipos 2) 3) y 4)
sern separadas de las que no lo son.
Teniendo en cuenta lo indicado en los puntos anteriores, en cualquier instalacin
se pueden formar los agrupamientos de seales por cables/multicables, que se indican a continuacin:
Agrupamientos posibles:
a) Seales de 4-20 mA de CC seguridad intrnseca.
Grupo utilizado para indicacin, alarma, registro, o control.
b) Seales de 4-20 mA de CC seguridad intrnseca.
Grupo de seales relacionadas con los automatismos o enclavamientos de
seguridad de la planta.
c) Seales digitales de 12 a 24 VCC de seguridad intrnseca.
Grupo de seales procedentes de contactos de interruptores, o de detectores de proximidad, cuya funcin es producir alarmas, o indicaciones de
posicin de apertura o cierre de las vlvulas, o de marcha/paro de motores.
d) Seales digitales de 12 o 24 VCC seguridad intrnseca.
Grupo de seales relacionadas con los automatismos o enclavamientos
de seguridad de la planta.
e) Seales de termopares.
Es necesario hacer agrupaciones por cada tipo de cable de compensacin o
extensin distinto que se pudiera utilizar. En general, todos los termopares se

Elementos de campo del Sistema Instrumentado de Seguridad

utilizan con circuitos de seguridad intrnseca y por eso no es necesario hacer


una segregacin. Si hubiera circuitos de no seguridad intrnseca, tendra que
hacerse una separacin entre uno y otro tipo.
Los termopares que se utilizan en funciones instrumentadas de seguridad,
&

$'$'P
  $ '$
66
f) Seales de termorresistencias.
Generalmente se utilizan tres o cuatro hilos por cada elemento y son seales que van separadas de otras, sean de seguridad intrnseca o no. Las termorresistencias que se utilizan en funciones instrumentadas de seguriad, debern separarse del resto, e identicarse como pertenecientes a un SIS.
La normativa aplicable obliga a que exista separacin de las seales de seguridad
intrnseca de las que no son de seguridad intrnseca, aunque sean seales del mismo
tipo.
Las seales indicadas en los puntos a) al f) son grupos que se separan por tener
en cuenta conceptos tales como: organizacin, funcionalidad, evitar la posibilidad de
interaccin entre las seales de distintos niveles de potencia elctrica, y por mejorar
el mantenimiento y la seguridad de la planta.
Se debe conseguir una buena organizacin y homogeneidad en las seales de las
cajas de conexiones instaladas en campo y sus correspondientes multicables. Esto
repercutir en la organizacin de los borneros en los armarios de los sistemas de
control distribuido, y en los armarios de los PLC de seguridad. La mezcla de seales
no homogneas, causa problemas en la organizacin de las canaletas de distribucin,
borneros y en el conexionado de tierras y de pantallas de proteccin de los cables que
hay en los armarios de sala de control.
La mezcla de seales con distinto grado de responsabilidad, como son las seales
utilizadas para indicar o controlar, con seales utilizadas en sistemas de seguridad
para proteccin de equipos o para la seguridad de personas, pueden tener graves
consecuencias.
Veamos el siguiente ejemplo: mantenimiento quiere revisar el mal funcionamiento de una vlvula de control que errticamente produce movimientos bruscos cuando
la seal procedente del sistema de control se mantiene constante. Para localizar el
error, la vlvula de control se bloquea con sus vlvulas manuales y el proceso contina trabajando de forma manual por la lnea del baips. Se revisan las conexiones del
circuito y se desconecta un hilo en la caja de derivacin de campo para comprobar la
'$'
3#

' '
G$

'$'P
/ 
no, se desconecta el hilo contiguo, el cual corresponde a un transmisor que produce
el disparo de la planta por bajo caudal de carga al horno. Esta parada por error se
puede evitar, si se separan las seales por funciones de similar responsabilidad, aunque ambas sean del mismo tipo de 4-20 mA.
Se facilita el trabajo del mantenimiento y se eliminan muchos errores, si las seales se agrupan y separan tal como se indic anteriormente.

285

286

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

g) Seales de corriente alterna de 120 VCA. Grupo de seales para la activacin de vlvulas solenoide, relacionadas con sistemas de seguridad, pueden
agruparse en multicables.
h) Alimentaciones de 120 VCA.
Se utilizan para dar alimentaciones de tensin segura a equipos o paneles
locales.
i) Alimentacin de 230 VCA.
Alimentaciones a equipos o sistemas que no requieren alimentacin segura.
Las alimentaciones de 120 VCA o 230 VCA de los puntos h) e i) son para ele $3' )  $/ 
#
$ '
 )P'
R'3
ser conductores de secciones adecuadas a cada caso, por ello son individuales y no
se agrupan en multicables.
Los cables de los puntos g), h), e i) se llevan por caminos elctricos, totalmente
separados de los cables de instrumentacin contemplados en los puntos a) al f). Se
pueden causar graves perturbaciones en las seales de los cables de instrumentacin,
si se hacen recorridos cercanos y con largos tramos en paralelo.
8.7.2. RECOMENDACIONES PARA CIRCUITOS DE SEGURIDAD
Despus de aplicar los criterios generales, se indican algunas recomendaciones particulares para el cableado de los elementos que componen cada funcin instrumentada
de seguridad SIF.
Supongamos una planta industrial grande, formada por la unin de varias unidades de proceso. Los procesos de las unidades tienen relacin entre ellos, pero pueden
funcionar con cierta independencia. Las paradas de las unidades para el mantenimiento pueden efectuarse en distintos periodos de tiempo.
Se debe conseguir la independencia de cada unidad desde el punto de vista de los
'$
#'
/

&'J
'$'P
 

'$
seguridad, los multicables, las cajas de conexin, los borneros, las alimentaciones
elctricas, los armarios y el PLC de seguridad por cada unidad. No se deben mezclar
enclavamientos de distintas unidades en multicables, armarios o PLC de seguridad.
*$

/
&
 'P
'
'$
#'dad, sin interferir con otras unidades que estn en funcionamiento.
Una unidad grande, con muchos enclavamientos, puede necesitar dos o ms PLC
de seguridad.
Con objeto de controlar adecuadamente los instrumentos y sistemas de seguridad,
se puede proceder de la siguiente manera:
^
^

Numerar los SIF correlativamente para cada unidad de proceso (SIF-1, SIF-n).
Numerar los PLC de seguridad de cada unidad de proceso (UP1-PLC-1..n).
El sistema del PLC es un conjunto compuesto de uno o varios armarios conteniendo procesadores, tarjetas de entradas/salidas, alimentaciones, borneros
para conexin de cables de campo, separadores de seguridad intrnseca, etc.

Elementos de campo del Sistema Instrumentado de Seguridad

^

^

^

^

^

Un sistema instrumentado de seguridad SIS lo forman un PLC de seguridad


junto con los SIF que se controlan y ejecutan en el mismo. Es conveniente
numerar los SIS por unidades de proceso (UPn-SIS-1). En plantas o unidades
de proceso, en los que hay uno o varios SIS, los cables, cajas de conexin y
&&'$'P
 66
3$ /)&$

segregados en base a cada SIS. Como todos los cables y multicables de un
SIS se llevan fsicamente a varios borneros (uno por cada tipo de seal) de
uno o varios armarios de un PLC, la segregacin desde campo facilita la iden$'P
'/
#
'
'
 O'
)
'$'& ''

de los cables y multicables.
Los multicables, cables individuales, hilos y cajas de conexin asociadas con
los sistemas instrumentados de seguridad sern separados de todos los dems
cableados dedicados a control o a otras funciones de automatizacin. Los
cables, multicables, cajas de conexin y borneros de sistemas de seguridad,
'$'P
 

$

''
3

$'$

seguridad.
Cada entrada y salida a campo del PLC de seguridad debe tener su propio
cableado individual y dedicado. Se conectar cada seal analgica de entrada
a un canal de entrada analgico y cada contacto de un interruptor de campo
se conectar individualmente a un canal de entrada digital. Actualmente no se
aceptan y no se recomiendan las redes de comunicacin de campo (Fieldbus,
GP&/$ L

$''
'$
#'

La salida a cada vlvula solenoide de seguridad, se proteger mediante un
borne con fusible. Cuando una funcin de seguridad acta sobre varias vlvulas solenoide, es conveniente que se utilice un canal de salida por cada
vlvula solenoide a actuar. En general, tanto en las tarjetas de entradas como
en las de salidas, cada canal tiene su propio sistema de vigilancia y alarma de
lnea. El cableado desde el sistema de lgica se hace con cables individuales
o pares separados de un mismo multicable, para facilitar la distribucin en
campo ya que las vlvulas pueden estar ubicadas en posiciones distantes.
Cuando es necesario que la actuacin de las vlvulas solenoide est absolutamente coordinada, porque en caso contrario podra ser peligroso, se recomienda utilizar un solo canal lgico y un solo par de hilos para actuar
sobre varias vlvulas solenoides a la vez. Por ejemplo, las lneas de gas
a quemadores y pilotos de hornos, o de calderas de generacin de vapor,
utilizan tres vlvulas para el corte del gas. Vase el ejemplo 2 del apartado
8.6.3. Dos vlvulas en serie, una a continuacin de la otra, ante un disparo
cierran para cortar el gas al quemador. Entre ambas vlvulas hay una lnea
que lleva otra vlvula de seguridad. Ante el mismo disparo esta vlvula abre,
para ventear cualquier fuga que pueda tener la primera vlvula, e impedir
que la lnea se pueda presurizar y que por fugas de la segunda vlvula pueda
entrar gas a la cmara de combustin. La mejor operacin se realiza cuando
las tres vlvulas actan al mismo tiempo, dos cerrando y una abriendo para

287

288

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

^

ventear. Considerando un fallo en un canal lgico de salida, en el fusible del


circuito de salida, en una falsa conexin o en la rotura de un hilo, las tres
vlvulas actuarn como una, si hay un circuito nico. Si hay tres circuitos
de salida, podran darse situaciones potencialmente peligrosas, incluso en
funcionamiento normal.
En sistemas de seguridad con solenoides, y sobre todo con lgica de rels,
se debe tener en cuenta la longitud total de los cables, especialmente en los
circuitos de activacin de las bobinas de los rels. Con distancias superiores
a 300 metros, se debe pensar que puede haber problemas de inducciones de
tensin en los cables, bien por campos elctricos, o por efecto de capacitancia
entre los propios hilos. Se hace notar que la tensin necesaria para mantener
energizada la solenoide o la bobina de un rel es notablemente inferior a la
que se necesita para su activacin cuando se energiza.

8.8. INSPECCIN Y PRUEBAS GENERALES DE LA INSTALACIN


Las inspecciones y pruebas que se indican a continuacin se aplican al montaje de
instrumentos en instalaciones industriales. Afectan a todo tipo de instrumentos con
independencia de la funcin que tengan, control, indicacin, alarmas o seguridad de
la instalacin.
Antes de efectuar la instalacin de los instrumentos, durante la ejecucin de la misma, despus de realizado el montaje y antes de que se efecte la puesta en marcha de
la instalacin, se han de llevar a cabo diversos trabajos de inspeccin, de calibracin
y de comprobacin de funcionamiento, para asegurar que lo realizado se corresponde
3
' 'P
) $
 $/ ' 
'
3'
'&
')'P
'/
  $
) '
'$




realizacin de todos los trabajos de calibracin y pruebas, se incluyen en el contrato
del montaje de instrumentacin.
El personal propietario de la planta debe participar en todas las labores de inspeccin y pruebas de la instrumentacin, para que se realice una buena inspeccin,
y para que adems le permita obtener formacin y conocimiento de la instalacin.
Los trabajos realizados por el montador debern pasar pruebas tcnicas y una
inspeccin tcnico-administrativa. Existen mltiples puntos de inspeccin que se
deben hacer durante el montaje y conexionado al proceso de instrumentos. Se hace
notar que es imprescindible disponer de un procedimiento de inspeccin y pruebas,
aceptado por la propiedad y por el montador. Los medios para la ejecucin del procedimiento deben estar incluidos en el contrato de montaje de instrumentacin. Debe



 $'

$

 $
Q)

P
'
' ' /


facilitar la aceptacin de la instalacin antes de la puesta en marcha.
Antes de poner en servicio los instrumentos, el montador llevar a cabo las pruebas necesarias hasta que, en opinin del responsable de puesta en marcha del propietario, los instrumentos, los lazos de control y los sistemas instrumentados de seguri-

Elementos de campo del Sistema Instrumentado de Seguridad

dad hayan sido correctamente instalados, estn en condiciones de operacin y sean


adecuados para el servicio que se les destina.
Se comprobarn todas las placas de caractersticas de los instrumentos contra

 T$'
 ''  
  'P
' 
$'
 K3'' 'L  
$

modelo, opciones, accesorios, etc. Asimismo, se realizar la inspeccin visual para
asegurarse de que no hay piezas defectuosas o incorrectas.
Se cuidar de conectar adecuadamente las fuentes de alimentacin y guardar la
polaridad correspondiente, siendo responsabilidad del montador los daos ocasionados al instrumento por no tomar las precauciones necesarias.
En general, se comprobarn los rangos y ajustarn para todos los instrumentos el
cero, el SPAN y los valores de salida de tres puntos como mnimo. La actuacin de
los instrumentos ser comprobada para su aplicacin concreta.
6  &

 
# 'P
/
'
'
$
 '
y el receptor, la accin de operacin del controlador y de la vlvula de control, as
como la operacin satisfactoria de los diferentes circuitos auxiliares, eliminando todos los seguros de transporte de los distintos instrumentos y probando con distintas
seales enviadas desde campo.
En los circuitos de sistemas de seguridad y alarma, comprobar y ajustar todos los
instrumentos de seguridad a sus valores de actuacin. La comprobacin comprender los interruptores, vlvulas solenoides, lneas de transmisin, rels, unidades de
alarma y se har simulando las distintas condiciones posibles.
El montador realizar el preajuste, calibracin y prueba de los instrumentos para
que toda la instrumentacin quede en situacin operacional, de modo que solo se
requieran posteriormente los ajustes de las condiciones de proceso. Los reglajes y
pruebas sern efectuados de acuerdo con las normas e instrucciones de los fabricantes de los instrumentos respectivos.
Comprobacin de la localizacin de los instrumentos. Estos debern estar de

 '&Q) 'P


' '$/'$


$

nera que permitan su fcil lectura y accesibilidad. Se realizar una comprobacin de
orientaciones con iluminacin nocturna.
Inspeccin de las vlvulas de drenaje y bloqueo y de todas las conexiones a proceso.
Comprobacin de todas las juntas y empaquetaduras de las vlvulas para asegurar
la estanqueidad.
Comprobacin del tendido areo y subterrneo de cables conexionados y perfecto
estado de prensaestopas, etc.
8.8.1. INSPECCIN Y PRUEBAS MECNICAS
Antes de la puesta en operacin, la instrumentacin de campo y las lneas de conexin asociadas a la misma, deben someterse a una inspeccin tan extensa como
sea necesaria, para asegurar que se cumplen los diseos de montaje realizados por
la ingeniera, y se utilizan los materiales y los procesos de construccin adecuados
y previstos.

289

290

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

El objetivo es detectar que el instrumento ha sido instalado correctamente, de


acuerdo a lo que se ha indicado para cada una de las variables en los apartados anteriores, y corregir posibles defectos en materiales, en soldaduras o en el roscado de
accesorios. Todo ello ha de efectuarse antes de introducir en las lneas productos del
proceso en la puesta en servicio.
Los instrumentos estn montados en lugar accesible y pueden ser desmontados
para su reparacin o calibracin, sin necesidad de desmontar otros equipos o lneas
 3'$P

Las lneas de conexin al proceso estn soportadas adecuadamente, e independientemente del instrumento. Las conexiones al proceso estn hechas en el lugar de
la tubera o equipo que se han previsto.
6
$' $
$']Q
'$

'


$/


'P '/
 O'
$
)&
Q
'$
misores de caudal y en los de medida de diferencia de presin.

'$'P
''$ $)
'$'P
' O'
 
  $
) ' '$  'P

Las purgas manuales o automticas (purgadores de vapor) cercanas al instrumento no inciden en el mismo. Las purgas de las cmaras del propio instrumento
tampoco inciden sobre equipos adyacentes, etc.
Pruebas a los instrumentos insertados en el proceso
Los instrumentos que estn insertados en las lneas o equipos de proceso, forman
parte de los mismos y deben soportar las mismas condiciones. Generalmente, estos
instrumentos se prueban montados y conjuntamente con las lneas. Esto ocurre con
los termopozos, los rotmetros, los interruptores de nivel de boya, niveles de desplazador, niveles de vidrio, medidores de caudal insertados en lnea tipo efecto de
coriolis, magnticos y vlvulas de control, o todo nada.
Todos los instrumentos que estn insertados en el proceso se deben comprobar
para que sean capaces de soportar las presiones de prueba de las lneas de proceso.
Tambin debe probarse a la presin que son capaces de soportar los elementos internos de los propios instrumentos.
Por ejemplo, un interruptor de nivel de boya debe soportar la presin de prueba
como recipiente contenedor pero la boya interna soportar la presin que hemos
 'P
 Q

$
 $ 'P

' O'

del proceso, y si es as, es bastante probable que no soporte la presin de prueba, que
suele ser 1,25 o 1,5 veces la presin de diseo del recipiente contenedor. En estos casos, se debe exigir que la prueba se efecte sobre el cuerpo externo del instrumento,
sin tener los internos montados. En el caso de instrumentos de boya o desplazador,
es normal que se efecte una prueba en campo con los instrumentos montados en el
stand pipe, y haciendo que la prueba se haga con la presin mxima de operacin o
la de diseo. De esta forma, se puede detectar si existen fugas en las bridas o en las
vlvulas de corte y no se causa dao a los internos.

Elementos de campo del Sistema Instrumentado de Seguridad

Pruebas a los instrumentos conectados externamente al proceso


Para las lneas de conexin que se conectan al proceso y se pueden aislar con vlvulas en la raz de la conexin, en general no se contemplan exigencias en los cdigos
y normas de tuberas que obliguen a efectuar pruebas tan exhaustivas como las que
se aplican a las propias tuberas, o a recipientes de proceso.
Se tiene en cuenta que las secciones de las lneas son generalmente pequeas,
las longitudes son cortas, y siempre hay una vlvula de raz que, al cerrarla, asla o
separa el proceso de la lnea del instrumento. En estas condiciones, los riesgos por
fuga o rotura son controlados. Este es el caso de los instrumentos de medida de presin, de medida de caudal por presin diferencial y de medida de nivel por presin
diferencial.
En la medida de nivel con instrumentos de desplazador o de boya, se utilizan


$
DV(3'$
$
'$' ')&
' '


las tuberas de ese tamao, como se indic ms arriba.
Dependiendo del tamao de las lneas, se exigen pruebas de ultrasonidos, radio#
P
/3'$
$)&
'
' ')&
'
P'
$&
 '
')$ 
$
$
&
Q)$'
]'
Q

En tamaos de lneas inferiores a 2, que es el caso de todas las conexiones remotas de instrumentos, los cdigos y normas solo contemplan pruebas de presin
hidrosttica.
Aunque no sean exigibles por normas de obligado cumplimiento, las lneas de
conexin remota de instrumentos deben someterse a pruebas de presin en la fase
P
 $
Q)'

$



'$

'/

'$
'#
de fugas en accesorios mal apretados, mal roscados o con soldaduras defectuosas.
En las lneas que lleven acompaamiento de vapor o aislamiento trmico, las
pruebas se deben efectuar antes del recubrimiento, para que de esta forma la inspeccin de las fugas se pueda realizar correctamente.
} j<
 


6&
'
  &
''
/

'P
3

 O'
de instrumentos y los propios instrumentos se pueden probar hidrostticamente, de

 3''$ 'P


/

#

$'
3
'$ '
'$#'
 ' $4   3'
 'P
'
El propsito de la prueba, los medios utilizados, el alcance de la misma, la presin lmite de prueba, la duracin de la inspeccin y los criterios de aceptacin,
deben ser establecidos de forma clara y deben ser documentados.
 '$' ' PQ
 ' '$&
/'' '$
$'/
sern los siguientes:
^

El establecimiento de presiones, temperatura y composicin del agua utilizada as como los ciclos de pruebas hidrostticas. La presin de prueba utiliza-

291

292

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

^

^

da para las lneas de conexin de instrumentos ser la misma que la utilizada


por tuberas para la prueba de presin de la tubera o recipiente al que estn
conectadas. El valor suele ser 1,25 veces la presin de diseo.
*Q
  'P
  $'  P '$ 
$' '$  
 ' 
prueba y los criterios para poder determinar la aceptacin. El tiempo mnimo
establecido para poder examinar las posibles fugas en bridas, soldaduras, empaquetaduras de vlvulas, etc., suele ser de diez minutos.
Se deben proteger los elementos exteriores a los lmites de la prueba para no
daarlos, y proveer, si fuera necesario, dispositivos limitadores o de alivio,
para no sobrepasar las presiones accidentalmente.

} j<
j

Las pruebas neumticas de presin, no se utilizan como sustitutivas de las pruebas


hidrostticas en tuberas, salvo en casos excepcionales en los que no pueda haber tra

#


 /'  
$'&''
 ]'
'
El gas comprimido a la presin de prueba, que suele ser 1,25 veces la presin
de diseo, puede ser peligroso y se deben adoptar medidas especiales de proteccin
para las personas que efectan las pruebas. Para probar las lneas de conexin de
instrumentos al proceso, raramente se utilizan gases comprimidos.
Pruebas neumticas se efectan solamente en los colectores de distribucin de
aire de alimentacin a instrumentos y en las lneas neumticas de transmisin de
seales. En estos casos, la prueba que se efecta se denomina prueba de fugas. La
presin mxima utilizada en la prueba es la presin de trabajo del colector general
de aire de instrumentacin, la cual, siempre es menor de 8 kg/cm2. La deteccin de
fugas se hace con el colector presurizado y aplicando una solucin de agua jabonosa
a cada una de las uniones roscadas, soldadas o realizadas mediante bridas.
En los circuitos de seales neumticas tambin se hace prueba de fugas. Se efectan ajustando el aire a la presin mxima de trabajo de cada circuito (suele estar
comprendida entre 20 y 60 PSIG) y aplicando la solucin de agua jabonosa en cada
uno de los accesorios de compresin y en las uniones roscadas.
8.8.2. INSPECCIN Y PRUEBAS ELCTRICAS


Cajas de derivacin: se comprobar que las cajas instaladas quedan accesibles para el mantenimiento, que estn cableadas segn la documentacin del
proyecto, que las armaduras de los cables quedan sujetas con los prensaestopas, y que la caja est puesta a la red de tierra.

Bandejas de cables: se comprobar que estn correctamente tendidas y soportadas. Se comprobar que en su recorrido no interrumpen los pasos peato
'  /' ''P $
$
&
Q
$' '$
de equipos vecinos, y guardan las distancias con los caminos de fuerza elec$ $' 'P


Elementos de campo del Sistema Instrumentado de Seguridad

Cables y multicables: todos los cables instalados deben ser timbrados y se


debe comprobar: continuidad de cada conductor; aislamiento entre conductores; aislamiento de conductores respecto a la armadura; y aislamiento de
conductores respecto a la pantalla. Comprobar el conexionado y cableado
tanto en campo como en sala de control, incluyendo la continuidad, resistencia de aislamiento, inductancia y capacitancia, en lneas donde sea requerido
y la polaridad en todos los cableados elctricos.
Se cuidar que las pantallas de cables y multicables de seales tengan continuidad, y estn conectadas a tierra solamente en sala de control.
Comprobacin de todas las uniones de termopares para asegurarse de que
son efectivas, as como polaridad y continuidad hasta el instrumento receptor.

Pruebas elctricas nales:



'P
)
#
3
'$ $
'
est preparada para la puesta en marcha de la instalacin, antes de la misma,
se realizarn por el montador y sern supervisadas por el propietario las si#'$&
P
7  &



 $
'
'to de cada conductor con respecto a tierra en todos los multicables enterrados. La prueba se realizar desconectando los conductores a comprobar tanto
de la sala de control como de la caja de derivacin.
Se comprobar desde la caja de derivacin el aislamiento de cada conductor con respecto a tierra de todos los pares cuyo recorrido sea areo. Esta
prueba se realizar desconectando los conductores a comprobar tanto de la
caja de derivacin como del instrumento de campo.
Se comprobar continuidad de todos los conductores, desconectando ambos extremos, para comprobar que los hilos estn conectados a sus correspondientes bornes y no se ha cometido error cambiando un hilo por otro.
Desde sala de control se comprobar el aislamiento de las pantallas con
respecto a la tierra. Deber soltarse la pantalla en la sala de control, porque es
el nico lugar donde estarn puestas a tierra.
Se generar en el instrumento transmisor de campo la seal correspondiente al 0% y 100% de su rango. Se comprobar en la sala de control la correcta
recepcin de la seal.
Desde la sala de control se dar tensin al lazo y se enviarn seales correspondientes al 0, 50 y 100% del rango, y se comprobar que todos los
 $'$ '   '/

3 $P

)

a las posiciones deseadas. Se debe disponer del aire motor o del sistema hidrulico correspondiente para poder hacer que el actuador se mueva a la posicin deseada. En las vlvulas de corte que llevan solenoides, Estas deben
estar energizadas.
Contactos de instrumentos interruptores. Se simularn en el instrumento
de campo las condiciones que provoca el fallo, ejemplo: a un presostato se le
aplicar la presin de calibracin que hace el cambio de estado, y se observa-

293

294

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

r en el aparato receptor, alarma o enclavamiento de seguridad que el referido


cambio se realiza, y que el sentido de accionamiento, subiendo o bajando, es
el correcto.
Salidas de tensin a solenoides. Se provocar la falta de tensin en la sala
de control o en el lugar desde donde se alimente este elemento, y se comprobar en campo el correcto funcionamiento de la vlvula solenoide y de los
elementos afectados por ella, ejemplo: vlvulas de control todo nada, pistones, accionamientos hidrulicos, etc.
Los circuitos correspondientes a sistemas de seguridad debern satisfacer
las inspecciones y pruebas descritas anteriormente y adems se realizarn las
pruebas que se indiquen en el procedimiento particular y detallado de cada
uno de los SIF.
PARA NO OLVIDAR



La seleccin de los instrumentos ms adecuados y una buena instalacin


de los mismos evitar mal funcionamiento y paradas imprevistas.
Para controlar un proceso connuo con seguridad, se requieren instrumentos con medida disponible y able durante el periodo de empo entre paradas.

CONSEJOS PRCTICOS


Los instrumentos o sus accesorios se averiarn alguna vez. Siempre que


sea posible, elegir los que tengan fallo a modo seguro, aunque produzcan
parada.
Ulizar instrumentos que se puedan comprobar, reparar y calibrar con
los medios disponibles en planta. Si se depende del exterior, se pierde el
control sobre los instrumentos y el empo de parada puede ser indeterminado.

LGICA DEL SISTEMA INSTRUMENTADO DE


SEGURIDAD

Inmaculada Fernndez de la Calle

SUMARIO: Introduccin. Seleccin de la tecnologa. /


 
 
 
ware. Tamao del sistema. Complejidad del sistema. Comunicaciones con otros sistemas.
Conclusiones. Para no olvidar. Consejos prccos.

9.1. INTRODUCCIN
S   $
$ 
 ' $'  

 

 )  'P
  3' '$ P 


#'
'$
'$ $
#'

Es la parte 3 de la IEC-61508 la que establece todos los requerimientos de soft9

$ $
/'&' 
'$)  

$D)B
del citado estndar.
+$4 '#
$9
$''


66 '
safety related)$ 

'

$$'
3' '
$9
$''zado para funciones de control.
P
$
$ 



'#'$#$

que nos surgen la primera vez que nos enfrentamos con el diseo del sistema.
^
^
^
^
^
^

Cualquier tecnologa es vlida para utilizarla en un SIS?


Qu tecnologa tengo que utilizar?
M4$#3$ $


'J
$9
$4 '
$
table?
Puedo comunicarme con otros sistemas que no sean de seguridad?
Tengo que tener en cuenta algn requisito especial para la comunicacin con
otros sistemas?
Si utilizo un PLC puede ser de propsito general?

9.2. SELECCIN DE LA TECNOLOGA


La primera de las etapas consiste en la seleccin de la tecnologa que podemos aplicar, las que aqu se recogen son las habituales, si bien veremos que una de ellas se
impone siempre y cuando el SIS que queramos implantar sea nuevo y no ampliacin
de uno existente con otra tecnologa.
Es cierto que durante muchos aos se han llevado a cabo funciones de seguridad
en sistemas elctricos y electrnicos para la mayora de las aplicaciones.

296

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Sistemas basados en los PLC se han utilizado tanto para llevar a cabo funciones
de no seguridad como de seguridad.
Para la mayora de los casos, el objetivo de seguridad se puede alcanzar mediante varias tecnologas. Cualquier funcin de seguridad debe considerar no solo los
 $'' '
) $P
'$
&'4'$
3
3
$ $P


$
 

$'
 $'' '

Quizs conviene adelantarnos en este captulo lo que veremos en detalle en el

$DD/3P

 
'P
' $3  
una funcin instrumentada de seguridad de acuerdo a la IEC-61508-2, para decidir
cundo se puede utilizar una tecnologa u otra.


Elemento tipo A: es aquel elemento simple, cuyos modos de fallos estn bien
'$'P
6 #$$
$#/'$$)

(sin partial stroke test)
Elemento tipo B: el resto de elementos.

Normalmente los elementos tipo A no tienen diagnsticos, por lo que todos sus
fallos son no detectados.
Y la arquitectura de los sistemas indicada en la IEC-61508-2 cuando disponemos
de un solo elemento:
^
^

Arquitectura permitida para 1 elemento tipo A: SIL1.


Arquitectura permitida para 1 elemento tipo B: SIL 2. Con redundancia se
alcanzara SIL3, dependiendo de la fraccin de fallos seguros (SFF).

Adems debe quedar claro que no existe un sistema mejor que otro sino que hay
que elegir el sistema que se adapte mejor a nuestras necesidades
9.2.1. TECNOLOGA ELCTRICA
R #
4 $'
P

 '#'
3'  $
 '
$
tcnicas electromecnicas, siendo la ms habitual la lgica de rels.
Los rels electromecnicos son dispositivos todo-nada, de manera que el mecanismo de actuacin es parte de un circuito que se activa mediante una bobina a travs
de la cual circula la corriente.
Este tipo de rel tiene uno o varios contactos elctricos acoplados con un elemento mvil del circuito magntico de un electroimn.
El electroimn es controlado suministrando tensin a su bobina, la cual direcciona el movimiento del elemento mvil y hace que el contacto del rel abra o cierre.
Su uso tiene ventajas:
^
^
^

Es la solucin para sistemas pequeos, en torno a 100 entradas/salidas.


Dependiendo de los rels que se utilicen, la seguridad es muy alta, son muy
P
&
El coste del equipo es relativamente bajo comparado con otras tecnologas.

Lgica del Sistema Instrumentado de Seguridad

^

El tiempo de respuesta es rpido, porque no hay scan del sistema.

Y tambin inconvenientes:
^

^

^
^
^
^

Puesto que se utiliza sin redundancia, el fallo de un rel puede dar lugar a un
fallo del sistema, aunque sea un fallo seguro. Por lo tanto la disponibilidad
no es alta.
Solo se puede utilizar cuando el sistema es pequeo, que maneje a lo sumo,
menos de cien entradas /salidas, porque si no, el sistema se hace extremadamente complejo.
Cualquier cambio en una accin del proceso, origina cambios de cableado.
No se puede establecer comunicacin con otros sistemas.
Como estndar no tiene baipases de mantenimiento, se les puede aadir pero
hace que el sistema sea mucho ms complejo.
Solo maneja seales discretas (no analgicas).

La tecnologa elctrica  


'P
   $Tipo A y al no disponer de
redundancia, se podr implementar solo en funciones de seguridad con nivel SIL1.
9.2.2. TECNOLOGA ELECTRNICA
R #
 $'
P

 '#'
3'  $
 '
te lgica de estado slido o rels de estado slido.
El funcionamiento del rel de estado slido es como un elemento controlador
todo-nada, en el cual la corriente se conduce mediante uno o varios semiconductores.
Como todos los rels, el rel de estado slido requiere relativamente baja energa
para cambiar el estado de la salida de desactivada a activada (de off a on) y tambin
al contrario.

'&''
4$
''#'P
$'
$ 
$
3

de un rel elctrico para una misma seal de salida. Este tipo de rels no tiene partes
mviles.
Su uso tiene ventajas:
^
^
^

Los equipos son ms pequeos que en el caso de rels de tecnologa elctrica.


Se puede incluir baipases de mantenimiento sin que ello obligue a un aumento demasiado grande en la complejidad del sistema.
El tiempo de respuesta es rpido, porque no hay scan del sistema.

Y tambin inconvenientes: que coinciden con los inconvenientes citados para el


'$
4 $' 3
P)

&$

&
'$
4
La tecnologa electrnica 
'P
   $Tipo A y al no disponer de
redundancia, se podr implementar solo en funciones de seguridad con nivel SIL1.

297

298

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

9.2.3. TECNOLOGA PES


PES son las siglas de programmable electronic system/)P

#'
3
implementa en los PLC.
6P  '$
 $/$ ' '$'
'&


o varios elementos programables electrnicos. Se incluye todos los elementos que lo
componen, incluso las fuentes de alimentacin y las comunicaciones.
Los PLC que se utilizan para llevar a cabo funciones de seguridad son los PLC
denominados de seguridad. El resto de PLC utilizados para llevar a cabo control
o enclavamiento no asociados a la seguridad se denominan de propsito general.
Hay tres diferencias fundamentales entre un PLC de seguridad y un PLC de propsito general:
1. El PLC de seguridad siempre tiene controladores redundantes y continuamente se est monitorizando.
2. El PLC de seguridad tiene diagnosis por comparacin en las seales de entrada y
3. El PLC de seguridad tiene diagnosis por comparacin en las seales de entrada.
[  $
$
 P#
'$ $'P
#
' 'pendiente como PLC de seguridad de acuerdo a IEC-61508
Su uso tiene ventajas:
^
^
^
^
^
^

Los equipos tienen un coste razonable cuando hablamos de varios cientos de


entradas/salidas.
El manejo de cambios es fcil.
Dispone de puertos para comunicacin serial con otros sistemas.
6' )#P 
'
Puesto que tienen diagnsticos, existe la posibilidad de deteccin de un fallo
peligroso en un componente, por lo que aumenta la seguridad del equipo.
Al ser redundantes se aumenta la disponibilidad, es decir, un solo fallo no va
a producir un disparo en falso.

Y tambin inconvenientes:
^

63'  Q3$9
Q#


$
/
esta manera debera utilizarse solo para las funciones que son exclusivamente
de seguridad.


$ #
G+6 
'P
   $$'<G #'


$'KR(L KM(L
$/$'#'P
3
se pueden implementar en funciones de seguridad con nivel SIL3.

Lgica del Sistema Instrumentado de Seguridad

PES son las siglas de programmable electronic system)P



#'
3
se implementa en los PLCs.

9.3. CONSIDERACIONES DEL DISEO DEL SOFTWARE


+'J
$9
&$ $
'#'$7
^
^
^
^
^
^

Las funciones de seguridad y su nivel de integridad.



 P#
'
3'$ $
'$

Los requerimientos de integridad del sistema completo, incluyendo sensores
) $P

3' '$$
'$9

$''

El tiempo de respuesta.
La interfaz con el operador.

$$'$9
3 
 $'
'$P'
+ :
ADHDD' 'P
3' '$
#

' '6
Y adems hay tres tipos de lenguaje:
1. FPL: xed program languages: en este tipo de lenguaje, el usuario se limita
a ajustar unos pocos parmetros, como por ejemplo rangos de transmisores,
niveles de alarma.
2. LVL: limited variability languages: en este tipo de lenguaje proporciona la
capacidad desarrollar las acciones de seguridad, son por ejemplo, los diagramas lgicos, los bloques funcionales. Este tipo de lenguaje lo usan los PLC
3. FVL: full variability languages: este tipo de lenguaje es el que utilizan los
programadores de ordenadores y es el que directamente est relacionado con
$9
'$#


+ :ADHDD' '$



'
'$9
/$''
GS
-'#$9
3 
 $'
'3'



'66

 
'/ 'P
')  $
'
9.3.1. SOFTWARE INTEGRADO
+$$9
3 ''$
  
$'$
) '&
cumplir con la IEC-61511-1 apartado 11.5, donde se detallan los requerimientos de
  $
6/)
3$$9


$#' 
El lenguaje que se utiliza el FVL.
9.3.2. SOFTWARE DE UTILIDAD
+$$9





)'P


'
'#

)&
cumplir con los requerimientos de la IEC-61511-1 apartado 12.4.4 conjuntamente

299

300

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

con el manual de seguridad del equipo que proporciona el fabricante, en el que se


explica cmo puede ser operado el sistema de manera segura.
9.3.3. SOFTWARE DE APLICACIN
+$9
 P 



'
'33'

'P
)#

G+6

  '3' '$
 'P
'#'

Contiene, generalmente, secuencias lgicas, permisivos, limites, expresiones, clculos para producir una salida adecuada cuando se activa un elemento iniciador y est
descargado en los controladores y deber cumplir con los requerimientos establecidos en la IEC-61511-1 apartado 12.1.

 'P
'$$9
' '7
^

Las funciones que tienen que ser activadas para alcanzar y mantener el proceso en estado seguro.
^ Las seales de deteccin y alarma tanto del proceso como del sistema.
^ Las funciones relacionadas con las pruebas peridicas on-line y off-line de
las SIF.
^ Las funciones que permitan realizar cambios en el SIS de manera segura.
De esta manera:
^
^
^
^
^

Se minimizarn los riesgos por introduccin de fallos,


Se eliminan los fallos existentes
Se asegura que los fallos que permanecen no ocasionarn resultados inaceptables
6 '

$' '$$9


#$' '

SIS.
6 $
3$9
$'

'
33'


   '
& '3$9
#

  

 $  ' /'3$  $
$ 'P
$/

la importancia de reducir los fallos sistemticos.

9.4. TAMAO DEL SISTEMA


Una vez que se haya seleccionado la tecnologa a utilizar, habr que determinar cul
es el tamao del sistema que pueda ser fcilmente manejable, para ello adems hay
que tener en cuenta el posible aumento de la complejidad porque hay que considerar

 'P
'3' '$#'
)'
)3'  $

#no de los siguientes puntos:
^
^

6$9

$ '$'

'$'
'
9
'$
/' )) $
P


Lgica del Sistema Instrumentado de Seguridad

^
^
^

Pruebas peridicas de las funciones de seguridad mientras el sistema de seguridad est en operacin.
Posibilidad de probar las funciones cuando el sistema de control est operativo.
 '$9
3Q $

&
 '
)$

bas de diagnstico para que se cumpla la integridad del sistema.

Si se tienen en cuenta todas estas consideraciones, puede ocurrir que la arquitectura del sistema deba ser revisada o incluso la tecnologa que en principio hubiramos podido considerar aceptable.

9.5. COMPLEJIDAD DEL SISTEMA


En trminos de seguridad, todos los que trabajamos en sistemas de seguridad estamos de acuerdo en que:
Lo ms simple es lo mejor
6'#'$
P
/
$

 ''$

 


nuestras necesidades, no por tener un sistema con muchas opciones, posibilidad de
'
#$' 
''P/$  Q'$
3
  

aumenta la complejidad del sistema aumenta la posibilidad de fallos sistemticos en

 P#
'3
 ' '$ $

As pues, tenemos que hacer el ejercicio de seleccionar el ms simple de los equipos que cubra todas las necesidades de mi proceso.

9.6. COMUNICACIONES CON OTROS SISTEMAS


Como hemos visto en apartados anteriores, hay tecnologas que permiten comunicaciones con otros equipos, y de hecho es lo habitual pero hay que tener cuidado en la
P' '$
  '
'
G

' 'P
/

 66
'$
 

'$/
 



tecnologa aplicable.
El SIS se comunica con el DCS de la planta, esto es un hecho para qu?, pues
para visualizar las variables y las acciones que se generan en el SIS, pero no se
 $
& 
&'   * 6 3
 $
 
 P#
'  66
Adems un fallo en las comunicaciones o en el DCS no puede ocasionar un fallo en
el SIS.
Aunque est comunicado, el SIS debe ser independiente
Los protocolos de comunicacin manejan direcciones, no variables, esto hace que
la velocidad de respuesta de la accin de una seal comunicada sea menor que para

301

302

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...


J

&


 
 P#
'

J


ms errores sobre todos cuando se producen revisiones o cambios en estos mapas.
Partiendo de esta base la seleccin del protocolo de comunicaciones desde el
$'$

#'
$
' $
$   P#
' mentacin y uso.
Como ltima mencin, merece la pena apuntar la existencia de los llamados buses de campo seguros $'P

$
6X/$'  $
'
#ticos de la comunicacin, detectando los posibles fallos: retardo, repeticin o falsiP
'
$/  '

' '
'$'  $/$
acuerdo al estndar aplicable IEC-61511 que establece que cada elemento de campo
deber tener su propio y dedicado cableado al sistema de entradas /salidas. Pero es
un campo que se est abriendo aunque tengamos que cambiar nuestro concepto de
una seal un cable.

9.7. CONCLUSIONES
Como conclusin terminaremos comprobando si hemos respondido a todas las preguntas que se plantearon al comienzo del captulo:
Pregunta: Cualquier tecnologa es vlida para utilizarla en un SIS?
($
7 -/
 '
 )
 'P
'
de requerimientos de seguridad.
Pregunta: Qu tecnologa tengo que utilizar?
Respuesta: La que sea ms simple y cubra todas mis necesidades.
Pregunta: Qu tengo que tener en cuenta para disear un software tcnicamente aceptable?
Respuesta: Que sea capaz de producir la accin deseada cuando se activa un
iniciador.
Pregunta: Puedo comunicarme con otros sistemas que no sean de seguridad?
Respuesta: Si, pero la comunicacin no puede ser la misma en los dos sentidos,
un fallo en los otros sistemas no puede generar un fallo en el sistema de enclavamientos.
Pregunta: Tengo que tener en cuenta algn requisito especial para la comunicacin con otros sistemas?
($
7 +'$
 

'$ P
&)$'
)''&'lidad que el sistema de control y tiene que seguir siendo as a pesar de estar comunicado.

Lgica del Sistema Instrumentado de Seguridad

Pregunta: Si utilizo un PLC puede ser de propsito general?


Respuesta: No, para las funciones de seguridad debe utilizarse un PLC de seguridad.
PARA NO OLVIDAR



No hay tecnologas malas o buenas.


La tecnologa se ene que adaptar a nuestros requerimientos no al revs.

CONSEJOS PRCTICOS


El sistema ms simple es el mejor.

303

DESARROLLO DE LAS ESPECIFICACIONES DE


SEGURIDAD

10

Inmaculada Fernndez de la Calle

SUMARIO: + j :|j 


  
%& 
  
 
%& 
;j 
%&   +  ;  j 
Ejemplo del formato recomendado de SRS para una SIF. Ejemplo del formato recomendado de SRS para una SIF. Para no olvidar. Consejos prccos.

10.1. INTRODUCCIN

6(6
+ 'P
'(3' '$6#'
(Safety Requirements
Specication) y su desarrollo corresponde a la etapa 3 del ciclo de vida de seguridad
tal y como est establecido en la IEC-61511- parte I, clusula 10.
Cuando el especialista en disear el SIS se enfrenta por primera vez a la creacin

6(6/ $
 
& $'
P' ')#
'
cuestiones que son las que iremos resolviendo a lo largo del captulo:
^
^
^
^
^

G34 '$


 'P
'#'

-P '$
 'P
') $
 'P
'
de la propiedad?
M4$#)3' '
 'P
'3' '$#ridad?
M4 ')

  ' 3$) 'P

+
 'P
'#'
  $'

Tengamos en cuenta que segn se relata en bibliografa especializada, en torno a



 '$

'$3 &

 'P
'
 

G
$
$ )' $
$P'  $
$
6(63 '' ' 
Recordemos visualmente en la Figura 10.1 que ya vimos en el Captulo 5, para la
aportacin en los aspectos tpicos en la vida de los equipos:
+ 'P
3'
 

$'$
 #
 '

'dentes, sin perder de vista que los cambios incontrolados despus del comisionado,
#
BE
'$/$
$'' ' 
 'P
'
seguridad alguna llamada de atencin al control de cambios, evitaremos de esta manera el 65% de los accidentes.

306

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 10.1. Grca de desviaciones y accidentes causados en las fases del ciclo de vida
de un proyecto.

Iremos, de esta manera paso por paso descubriendo el cmo y el por qu de la ge
'$
 'P
'#'
/3
  $  $
y concreto que nos permita desarrollar el SIS.
A lo largo de este captulo estableceremos los requisitos mnimos para que el
6'$
3 'P

 

$+$&Q$'

10.2. REQUERIMIENTOS O ESPECIFICACIONES GENERALES



 'P
'#'
K

$'

6(6L'$'$

$ 'P
'/  $3$
& mnimos requisitos que tienen que
estar satisfechos en el desarrollo del proyecto. No debe considerarse, por lo tanto,
como un documento vivo, sino como un documento de mnimos. En algunos casos la
6(6'


3
)
 # '
 $

'P
'/
no es ese el objetivo, esta etapa no es necesaria, no debera existir retroalimentacin
$'P
') 'P
'#'


 'P
'
&


 

'P
'&


 '$'
P' 

 '$
 '  
'
 #
  '&$
 3 


'$'$ '$' '
'$
'P
'
No deberamos incluir en la SRS, por lo tanto, objetivos que a priori sabemos que
' '  '&' 'P


'3
)3$
 

de los objetivos establecidos no se pueda cumplir.

Desarrollo de las especicaciones de seguridad

La base de la SRS es, no necesariamente en este orden:


^
^
^
^


 'P
'
'

Los requerimientos de la ingeniera bsica.
La normativa aplicable en el pas de localizacin de la planta.
Criterios de diseo del responsable de la SRS, basados en su experiencia y en
el conocimiento de las caractersticas de la instrumentacin disponible en el
mercado vlida para realizar las acciones de seguridad.


6(6$'3 '

  
 'P
'#'
#&
/
recogiendo los aspectos de diseo que nos llevarn a disponer de una planta donde los
errores resulten minimizados y sean fundamentalmente aleatorios, no sistemticos.
De una SRS se espera que sea un documento nico, con mucha informacin pero
ordenada, fcil de manejar, con demostrada traceabilidad que tambin minimice la
cantidad de documentacin a manejar por qu?, porque se basa en informacin
sobre:
^
^
^

+ $'' '


7$
 '/'$$/P


/$ 
#'
7+6*)$
 'P
' '

+ $P
7
) $

Y no de manera independiente sino que tambin hay que incluir sus interrelaciones.
+Q $' $
'$
'
P' ' 

transmisores, parece, a primera vista, no ser demasiado importante, pero hay que
considerar los siguientes aspectos:
^

^
^
^

Conocer los distintos fabricantes que vamos a considerar como posibles suministradores de los equipos. Se debera tener una lista de vendedores cerrada.
Hay que conocer los distintos modos de fallos de los transmisores, no solo
cualitativamente, sino cuantitativamente.
Hay que estar seguros de que el ESD es capaz de leer y entender los valores
de fallo.
Hay que conocer cul es la accin del ESD ante la lectura de la seal de
fallo y si hay ms de una posible accin, hay que acordar cul de ellas es la
que queremos que se realice, estudiando cules son los efectos de elegir una
accin u otra.

Por lo tanto en solo un aspecto, muy particular, como es el caso de un transmisor,


nos ha llevado a que tenemos que tener conocimientos de:
^
^
^

Transmisores.
Bloques funcionales del ESD.
Acciones sobre el proceso.

307

308

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Esto demuestra, la interrelacin de los elementos.


3' '$#
&

$
 'P
'#
les de proyecto, desarrolladas por la propiedad y son:
^
^
^
^

Orden de preferencia de la tecnologa a utilizar, tanto de elementos iniciadores como del sistema de enclavamientos.
Lista de vendedores de todos los equipos asociados al ESD.
Cualquier no aceptacin a alguna clausula de la IEC-61511.
El orden de preferencia de las recomendaciones que se dan en la IEC-61511
para el diseo del detalle de la SIF.

10.3. ESPECIFICACIN FUNCIONAL


*

#
/
 'P
' '
 '&  & '

un equipo, de esta manera en la SRS tambin debe quedar descrita que funcionali
$'



63$
 'P
/'3
)



actuacin.
Los mtodos habituales establecidos para desarrollar la funcionalidad de un enclavamiento, son el diagrama causa-efecto y/o el diagrama lgico, de manera que
cada entrada en el sistema de enclavamientos tiene una determinada salida o accin
& $P

Para cada SIF, en la SRS, debe quedar establecida:



La intencin de diseo de la SIF, es decir, qu situacin queremos evitar


implementando una funcin de seguridad?
Sus iniciadores con los valores de actuacin, En este punto no es tan importante indicar si estamos hablando de un interruptor o de un transmisor, sino
cual es la variable de proceso que va a desencadenar la accin de seguridad.
La accin sobre los elementos nales, identicndolos, es decir, qu accin
y sobre qu se va a producir cuando se desencadene la accin de seguridad?

Entonces, por qu no adjuntar el diagrama lgico en la SRS sin indicar nada


ms?; la razn puede no ser tan obvia pero recordemos lo siguiente:
^
^
^

^
^

Una SIF no tiene por qu ser un enclavamiento completo.


En un enclavamiento puede haber funciones de seguridad (SIF) y otras acciones de no seguridad. Son las SIF las nicas que nos interesan.
La informacin que necesitemos para el desarrollo del ciclo de vida de seguridad debe ser solo la correspondiente a las acciones de seguridad, otra
informacin puede ser incluida pero no es necesaria.
Veamos mediante un ejemplo cules son los datos funcionales y cmo se
extraen de la documentacin existente en el proyecto:
Supongamos que, esquemticamente, tenemos las siguientes protecciones en
un equipo, al que denominaremos genricamente D-1:

Desarrollo de las especicaciones de seguridad

Supongamos que disponemos del diagrama causa-efecto en el que se establece


que en este caso, las acciones del enclavamiento IS-1 son dos:
EFECTO
CAUSA
2

PT-1(PAHH) 3,5 kg/cm g

XV-1

P-1

Cierra

Acva la marcha

Y que durante las sesiones de asignacin de SIL se seleccion la siguiente SIF:


Por muy alta presin en el depsito D-1 mediante el PT-1 (PAHH) se cierra la
vlvula de alimentacin UV-1.
Adems se establecen, en las mismas sesiones las siguientes salvaguardias:
^
^

Vlvula de seguridad PSV-1 es una IPL, a la que adems se le asigna 2 crditos.


Alarma PAH-2, que no se considera IPL.

Recordemos que la asignacin de los crditos a las IPL est directamente relacionada con la capacidad de la reduccin de riesgo de las capas de proteccin.
Recordemos que todas las IPL son salvaguardias pero no todas las salvaguardias
son IPL.

309

310

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Ambos conceptos los vimos en detalle en el Captulo 3


De esta manera, tenemos acciones de seguridad y de no seguridad en el mismo
enclavamiento:
^

^

 '#'
7
- Por muy alta presin en el depsito D-1 mediante el PT-1 (PAHH), se
cierra la vlvula de alimentacin UV-1.
 '#'
7
- Por muy alta presin en el depsito D-1 mediante el PT-1 (PAHH), se
pone en marcha la bomba P-1.

R
$
'
'
)3' '





6(6/'$'Pcando:
^
^
^
^

El nmero de enclavamiento.
Las acciones que son de seguridad.
Las acciones de no seguridad.
Las IPL con sus crditos asociados.

Que es mucha ms informacin que la que a primera vista se obtiene del diagrama causa-efecto completo o del diagrama lgico, y que a su vez est ordenada.
*$


3

P'
$#

6(6
Supongamos que como resultado de la asignacin de SIL, hemos obtenido que es 2.
As, quedara:

[$
)
'' 'P'


$$'
 '

$' 

de la SIF; para ello tenemos que concretar cul es el valor al que se va a producir el

Desarrollo de las especicaciones de seguridad

disparo y por lo tanto se va a alcanzar el estado seguro /$ 3P'


cul es este estado.
*P' $
&'4 modo de demanda de la SIF, esto est relacionado con el nmero de veces que se espera que la SIF entre en funcionamiento para
llevar al sistema a estado seguro, en la industria petroqumica se considera que los
 

'$
$T
  &
Q
 

/  3 '#'P
 3  $'  34
funcionar ms de una vez al ao, esta premisa est aceptada en toda la bibliografa
)$$
$'
K$ 

 $
P'
el Captulo 11).
*P' $
&'4''$
 

'$normalmente energizado
o normalmente desenergizado.
+

&'$
' /$3' '3
P'

6
3 $P
$4
 $#'
)
$
enclavamiento, se manda energizar, esto ocurre casi siempre en las despresurizaciones de emergencia en las que el fallo de aire de instrumentos no coincide con
la accin de seguridad y se hace as para evitar que un fallo espurio en la vlvula
ocasione la despresurizacin de la unidad.
Tendremos que conocer si existen paradas manuales de emergencia, si vamos a
incluir baipases de mantenimiento, Si ante fallo de un instrumento vamos a producir
disparo o alarma y dejamos la responsabilidad de la actuacin al Operador. Si adems sobre el sistema existen otros estndares aplicables que impliquen limitaciones


'$ $
'3$
 'P

Por ltimo, qu vida media vamos a considerar para la SIF este valor ser el de
'
 '


$

#T

$' 

3P
 $'P



+ :ADHE?
$


#


 'P
' '

6/ '

sus caractersticas generales y las particulares:

-3
P' 
 O'
$

'
'3$
'puestos a aceptar.

311

312

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

+
$
$


'P
3$
& 

 
$
tiempo est dispuesto a asumir la parada de la unidad o de la planta por un fallo seguro en el sistema.
+$

&
'  )
'/
'P
3 '$
disparo en un tiempo igual al intervalo de pruebas, hasta los que aceptan un disparo

'


$
6
 


/&$
P'

Del valor de la tasa de fallos espurios, del valor del intervalo de pruebas y del SIL
3'/


$
 $

3'$ $
P

6

10.4. ESPECIFICACIN DE INTEGRIDAD



  'P
'  '$#'
 & $
&      $ 3
)
que incluir para conseguir el SIL requerido de una funcin de seguridad SIF y en qu
P#
'&$
/$
& '$
$

3'$ $
 ' 
N
P'

 'P
' '
/3  '$

$

terior, y con el resultado obtenido en las sesiones de asignacin de SIL, tendremos
que unos determinados iniciadores provocan una accin de seguridad sobre uno o

' $P
/
$ $
  P'
'$#'

esta funcin.
Supongamos el mismo ejemplo anterior.
Integridad de los elementos iniciadores
' 3
)3P'$'$ #

$''
/$
$
''$


 'P
') $/ '
'
+$
  $

por hacer los disparos utilizando transmisores electrnicos y que adems es requerimiento del proyecto minimizar los disparos en falso o espurios, seleccionando arquitecturas que muestren disponibilidad y abilidad a partes iguales, que adems suele
ser el caso generalizado.
*P' $
&'4intervalo de pruebas que estamos dispuestos a aceptar,
que normalmente coincidir con las paradas programadas de la unidad.
Los criterios que se hay que considerar para establecer los intervalos de prueba
manual se detallan en el Captulo 14 Mantenimiento y explotacin del SIS.
Cul es nuestra estimacin del tiempo medio de reposicin cuando se produce el

$
 ')P' T$' otros requerimientos que hayan sido

 '
 'P
'#
'$
 $) 

'$
*$


$ P'  &   '  $
iniciadores de la SIF que estamos analizando.

Desarrollo de las especicaciones de seguridad

6'#'P
$3'P

6 $
 'GR:D$
'DD/O
$
$3'#'P
P '$ '

transmisor, que es con el que hemos comenzado el estudio, si no que ya, de partida
tenemos que incluir un 2oo3 para cumplir con los requerimientos de mnima tasa de
disparos espurios.
Veremos en el Captulo 11 el diseo conceptual de cada funcin y cmo hay
arquitecturas que son ms adecuadas para evitar los disparos espurios y otras arqui$ $
3 U#
V/

$


3
 P#
'BX

que mejor relacin seguridad/disparos espurios tiene, por ello es la que hemos seleccionado con la premisa establecida de que estos disparos sean mnimos.

+   
 
& 

Del mismo modo que en el caso de los elementos iniciadores debemos proseguir con
 $P
/$
& '$
 ' 
 $ '#

' '
/3

 '

3'$ $
P/)
3

  $ P
 
  
 P
&''
 $
 
 ''&''
/ 3
)
que conseguir una SIF que funcione o lo que es lo mismo que estn minimizados los
fallos en demanda.

$
 '


 '#
J
' $P
/

3'
uno falla, tenga otro disponible.
+
$=

$

 
'P
' $/  3
las vlvulas de corte son elementos tipo A y que es aquel elemento simple cuyos

$&''$'P

Y la arquitectura de los sistemas se indica en la IEC-61511-1 cuando disponemos
de un solo elemento:
Arquitectura permitida para un elemento tipo A: SIL 1
Si bien, en la IEC-61508-2 se detallan las arquitecturas permitidas teniendo en cuenta
otros factores, no solo el tipo de elemento. Esto lo vemos en detalle en el Captulo 11.

313

314

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Teniendo en cuenta nuestro ejemplo, tenemos una SIF con SIL 2, y ya que como
 $P
$  $$'/)3

3'$ $
 '$'
 
 $D/$
3 '

 P#
'

En el caso que nos ocupa, quedara:

10.5. INTEGRACIN DE LA INFORMACIN Y DOCUMENTACIN


N
 'P
$
 $
 '


6/3
'$#

toda la informacin que hemos desarrollado y adjuntar una serie de documentos del
proyecto que aclaren y sirvan de referencia en la SRS; estos documentos se pueden
adjuntar o se pueden referenciar, depende de los requerimientos de la propiedad y de

Q
&33
3

$
 'P
'#'

Estos documentos son:
^
^
^
^
^
^

Informe de HAZOP
Informe de asignacin de SIL.
P&ID.
Diagramas causa-efecto.
Diagramas lgicos.
Bloques funcionales requeridos del ESD.

Como conclusin terminaremos comprobando si hemos respondido a todas las


preguntas que se plantearon al comienzo del captulo:
Pregunta: Por qu necesito desarrollar unas especicaciones de seguri- dad?
Respuesta: Porque as se establece en la etapa 3 del ciclo de vida de seguridad de
acuerdo a la IEC61511-partI, clausula 10.
Pregunta: No son sucientes las especicaciones del proyecto o las especicaciones de la propiedad?

Desarrollo de las especicaciones de seguridad

Respuesta:6
&

$'

6(6
 'P
'#&

#'
/ '$
 
$33

 
 'P
'

propiedad.
Pregunta: Qu tengo yo que incluir en una especicacin de requerimientos de
seguridad?
Respuesta: Este captulo y el ejemplo que en el apartado siguiente se muestra,
recoge todos los datos necesarios para proceder a hacer una SRS.
Pregunta: Qu ocurre si no soy capaz de cumplir con lo que estoy especicando?
Respuesta:N
6(6
 'P
' ' /
)3 '

detalle los requerimientos que se exigen, siempre debemos cumplirla.
Pregunta: Es la especicacin de seguridad un documento vivo?
Respuesta:
 'P
'#'
$
'
   
3'$
 'P
'/  3   
 
&'

 & 


/ &  '

$

)

 'P
' ' /
$$
 
) $&
 'P

G$
$/&
 '

  
un documento vivo.

10.6. EJEMPLO DEL FORMATO RECOMENDADO DE SRS PARA UNA SIF


Como resumen de todo lo indicado en el captulo, se muestra aqu a modo de ejemplo lo que podra ser una SRS para una SIF, sencilla, clara, concreta y completa. Una

#'
&
P '$

 'P
$3' '$#'
 
'/$



'
'
' Q$   P

En cada casilla se encuentra el nmero explicativo para poder proceder a rellenar
los campos adecuadamente.
Es importante recordar que en una SRS debera incluirse todas las SIF consideradas en el informe de asignacin de SIL, sea cual sea su SIL, de manera que aunque
'P3
6D/B)X/
O'$'$

&''

'
'

315

316

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Desarrollo de las especicaciones de seguridad

"#$ Indicar el tag de la SIF, que viene dado en el informe de asignacin del SIL
"%$ Indicar el equipo asociado a proteger, este dato viene dado en el Informe de
asignacin del SIL.
"&$Indicar el nmero del enclavamiento o los enclavamientos asociados a la SIF.
Este dato viene dado en el diagrama causa-efecto.
"'$ Indicar el o los nmeros del P&ID y su edicin que se utilizaron para las sesiones de asignacin de SIL.
"($ Indicar la fecha de las sesiones de asignacin de SIL.
")$ Indicar el nmero del documento del informe de HAZOP.
"*$ Indicar el nmero de documentos del informe de asignacin de SIL.
"-$ Indicar qu se quiere evitar al incluir esta SIF, por ejemplo:
^ Daos mecnicos en el reactor R-001, con peligro de fugas al exterior con
posibles daos a las personas.
Esta informacin viene dada en el informe de HAZOP y en el de asignacin del
SIL.
"/$ Indicar de manera genrica los elementos iniciadores de la SIF, por ejemplo:
^ Muy alta temperatura en el reactor R-001.
^ Muy alta presin en la alimentacin de fuel gas a quemadores en el horno
F-001.
Esta informacin viene dada en el informe de HAZOP y en el de asigancin del
SIL.
"#;$Indicar las acciones que hay que llevar a cabo para llevar el proceso a su estado
seguro. Por ejemplo:
^ Cortar la alimentacin de fuel gas a quemadores.
^ Proceder a la despresurizacin de la unidad.
Estas acciones se han establecido en el informe de asignacin de SIL y deben de
coincidir con acciones establecidas en el diagrama causa-efecto.
"##$ Indicar las otras acciones que se recogen en el causa-efecto y que no fueron
consideradas de seguridad durante las sesiones de asignacin de SIL. Si en un
enclavamiento las acciones de seguridad son muy numerosas, entorno a ms de
5, no tiene sentido incluirlas en este documento, es mejor incluir en este apartado la referencia al causa-efecto correspondiente.
"#%$ Incluir todas las salvaguardas consideradas en el informe de HAZOP, que tambin deben estar en el informe de asignacin se SIL. Se puede incluir entre
parntesis los crditos asociados estas salvaguardas, de manera que sea ms
fcil visualaizar que elementos se estn considerando IPL y que crditos les
han sido asignados.
"#&$ Indicar cul es el SIL que le ha sido asignado a esta SIF. Este dato procede del
informe de asignacin de SIL.
"#'$ Incluir si se han realizado, estudios cuantitativos adicionales, por ejemplo si se
ha realizado un LOPA y la referencia del estudio.
"#($ Indicar cul es la mxima tasa de disparos espurios que permite la propiedad,
siendo los ms habituales:

317

318

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

^ Una vez en la vida de la planta.


^ Una vez entre paradas programadas de la unidad.
G

    $' 3 P'
& $' / 

     
magnitud que estamos manejando. Vase punto (27).
"#)$ Indicar el estado seguro del equipo o proceso que estamos estudiando, por
ejemplo:
^ Vlvulas de alimentacin cerradas.
^ Vlvulas de despresurizacin abiertas.
^ Bomba de carga parada.
"#*$ Indicar en unidades de ingeniera el valor de disparo al que se produce la accin
de seguridad.
"#-$ Indicar el modo de demanda aplicable, normalmente ser baja demanda que es

3
&'$
 $$
& P

"#/$ Indicar si es:
^ Desenergizada para disparar.
^ Energizada para disparar.
Este dato se recoge en la descripcin de enclavamientos y se puede obtener es$'


'& $P
3 $
G*
"%;$ Indicar si existe pulsador de parada de emergencia. Este dato se indica en el
P&ID.
"%#$ Indicar el tag del pulsador de emergencia. Este dato se indica en el P&ID.
"%%$ Indicar si se han considerado baipases de mantenimiento. Este dato se indica en
G*
 'P
' '
'J+6*

) $
"%&$ Indicar el tag del baips de mantenimiento. Este dato se indica en el P&ID.
"%'$ Indicar si se ha establecido un reset del enclavamiento, una vez que se ha solu '
'#'
+$
$''

 'P
' '

de diseo del ESD para el proyecto.
"%($ Indicar la accin que se lleva a cabo, cuando se produce fallo de la SIF, normalmente la accin es producir el disparo.
"%)$'
'
)'
#$'  $'' '
)8P
+$
$
&$'$'
34 $'' '
)P
$
 '
/
por ejemplo:
^ Transmisores: si tienen diagnsticos.
^ Interruptores: no tienen diagnsticos.
"%*$ Indicar el tiempo de vida de la SIF, es un dato que se establece en las bases de
proyecto y oscila entre 20 y 30 aos.
"%-$ Indicar si la SIF necesita cumplir algn otro requerimiento, por ejemplo:
^ Que las vlvulas sean TSO.
^ Que las vlvulas tengan un tiempo de cierre o de apertura determinado.
^ Que se cumplan adems otros estndares internacionales, etc.
Este dato se obtiene del P&ID, de las bases de proyecto y del conocimiento
intrnseco de la unidad y de los estndares aplicables.
"%/$ Indicar el tipo de grupo de sensores, por ejemplo:

Desarrollo de las especicaciones de seguridad

^ Transmisores de temperatura.
^ Finales de carrera.
^ Interruptores de nivel, etc.
+$
$$
& 
&
) $)]Q
G*
"&;$ Indicar el tag de todos los sensores que actan como iniciadores de la SIF. Este
dato se incluye en el informe de asignacin de SIL y en el diagrama CausaEfecto.
"&#$ Indicar la votacin de los elementos iniciadores, por ejemplo:
^ 1oo1, 1oo2, 2oo3, 2oo2, etc.
Este dato se obtiene del diagrama causa-efecto.
"&%$ Indicar la situacin que produce el enclavamiento, por ejemplo:
^ Muy bajo caudal.
^ Muy alto nivel.
^ Muy alta presin, etc.
^ Vlvula todo-nada cerrada y no abierta.
Este dato se obtiene del diagrama causa-efecto.
"&&$ Indicar el tiempo medio de reposicin de un instrumento que de fallo. Este dato
normalmente se establece en las bases del proyecto y si no se tiene, se considera
un turno para la reposicin (8 h).
"&'$ Indicar el intervalo de pruebas manuales. Este valor debe de coincidir con las
paradas programadas de la unidad, para que las labores de mantenimiento no
'$P
 

$' '$
"&($ Indicar las causas que pueden ocasionar un fallo comn, por ejemplo:
^ Mismo modelo de transmisor.
^ Mismo recorrido de los multicables, etc.
"&)$ Indicar cmo degradan los grupos cuando se produce un fallo de un elemento
iniciador y como se degradan los grupos ante el mantenimiento de un elemento
iniciador.
+$$'3$



 'P
' '
'J
ESD, en los bloques funcionales se detalla en comportamiento de los grupos y
su degradacin.
"&*$ Indicar otros requerimientos no indicados hasta ahora, como por ejemplo:
^ La direccin del fallo de los transmisores.
^ Existencia de alarma de discrepancia y por lo tanto de comparacin externa.
En este caso habr que estudiar de manera conjunta los posibles fallos de los
transmisores, el valor en mA que al ESD le llega, la posibilidad de lectura de
este valor en el ESD y la actuacin del ESD ante esta lectura de fallo.
"&-$'
$'#/R(M()
 $'P
'6
"&/$ Vase (33).
"';$ Vase (34).
"'#$ Indicar el fabricante y modelo del ESD. Si lo desconocemos por no ser un equiP' 
$ 
'
$
6(6/ 
'' '$
dato.

319

320

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

"'%$'
$'# $P
/Q 7
^ Vlvulas todo-nada.
^ Bombas.
^ Compresores, etc.
+$
$ $
'
#



: $)]Q
G*
"'&$'
$
#$ $P

6+$
$' )
el informe de asignacin de SIL y en el diagrama causa-efecto.
"''$'

$
'
3 $
'$'$ $P
/
ejemplo:
^ 1oo1, 1oo2, 2oo2, 3oo3, 4oo4, etc.
+$&$'$'


'3 & $P

"'($ '
    $

 3
) 3 

   $ P
/ 
ejemplo:
^ Vlvula cerrada.
^ Compresor parado y aislado, etc.
"')$ Vase (33).
"'*$ Vase (34).
"'-$ Vase (35).
"'/$ Incluir los requerimientos adicionales que no se hayan incluido hasta ahora,
como por ejemplo:
^ No es tcnicamente aceptable incluir baips manual en las vlvulas todonada.
^ Incluir baips panel para prueba de vlvulas solenoide, etc.

PARA NO OLVIDAR



La SRS es una especicacin de mnimos requerimientos.


La SRS es una especicacin integral, desde los elementos iniciadores hasta los elementos nales y su comportamiento frente a los fallos.

CONSEJOS PRCTICOS


La SRS debe ser un documento claro, conciso y prcco, minimizando la


informacin superua, se minimizan los errores.

DISEO CONCEPTUAL DEL SIS DE CADA


FUNCIN

11

Inmaculada Fernndez de la Calle

SUMARIO: + j $&


  %
 <

 
  ; 
  

 
; 
H |jj   !  
 j
} %  
! & 
 *+*\
 j  % < <  ;   
}$$ 

 j

% & 
 Para no olvidar. Consejos prccos.

11.1. INTRODUCCIN
En este captulo desarrollaremos, partiendo del SIL asignado para cada Funcin Ins$ $

6#'
K6L)
+ 'P
'6#'
K6(6L/

3'tectura adecuada.
 
$'  

3'$ $
  '

/    $
  )     

&
&''



/3 #' )$
$'P


''$#'

 ''$ $

#'


11.2. DEFINICIN Y CONCEPTOS BSICOS


+ 
'
Q
 $

'  $)

'3/$
$
& 
$$
3
)
&$'/)

3ms importante'$$
$


'3
 4rico de las mismas.
/3
P''#'$  $7


Probabilidad de fallo en demanda (PFD) +$


& 
&
&''
3

6
 

3''$
$' 
+$
$ /
'

P
&''
K(L3$'
 '/
 '/ 

3
6
$T  &'$

$' 
)$
$
 '
4O'$'$

N
6$
$ P
& 
$ &
&

/ 
37
<**K(LD:G*
G$
$
&
&''
/
G*T 
' '
)$
$

&
&''

  
P
&''
 '
' 
'$

de tiempo.

322

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Probabilidad de fallo en demanda media (PFDavg)+


 '

&
&''




($

'$#
'$' 

&
&''


en demanda.

Estado seguro($  


P' '
$D+$
#7
-

El estado que consigue un sistema cuando se alcanza la seguridad, es


decir, cuando el sistema est libre de un riesgo inaceptable.

Intervalo de pruebas (TI) +$


& $'  O' $&

 $'
' '
6
3 '$' ''$
&
$ '$

$D@/

$

3 '$'#
7
-
 $'$$
3 ' '
 



#




'

' $'7
:
:

No entorpecer la rutina de los operadores.


G ' '$&
 ' 3

$
$



G&
  $
$ $

3
& 3 $  $
 
   
'   
&'
$
 

  #'
 + 
  3 
 &


 
' '
 



#



'
/
)3' '

'$

'$ 
'


$
&
 

$

'$
 $

$?)D@


Tiempo de reparacin (RT) = Es el tiempo empleado para la reparacin de un


'$ $/ 

$ $
3$


Tiempo de vida (LT)+$


& $' 3

 '
'

la SIF.
-
) '$'#
$
& ' 
$

 '

adecuado, depende de si consideramos las pruebas peridicas completas o si
consideramos desgaste de los instrumentos. Como primer criterio, podemos

 '


+ :ADHE?:B/

$
>@=
3''
3$

$$
 
J

MTTF=R'  ''$ $





Kmean time to fail). Nos
''
 
$$' 


 4O'$

MTTR= Tiempo medio para reposicin (mean time to restore). Cuando un


'$ $

/

$'$))$
$$$' /

6

$
''&

Diseo conceptual del SIS de cada funcin

+$ $'   ' ' ' )  $'   $ '  
 ) 
$' 

'K(RL

&
  $
&   $
 P' '   $  sistemas reparables/3
$



&
 '
)3$ 
$


$ $' 3 $
$
R

' '/P  'RR(+$
& 

  '

' '

1
MTTR

R


/P  'RR+$
& 
rados por unidad de tiempo.

O


1
MTTF

MTBF= '
$'  '$$
$
Kmean time between failuresL/3

'3$$  $$
& 7
R<RRRR(

MTTFsR'  '$


#+$
& /

 
$$' 

'
'$ $'
6/)
 $3
''
 


3'$ $
3
'
&



+

$
'#'$$
$P' $
  $

#)
'#

Disponibilidad (A): 6P  


&
&''
4O'$6'$

'$
$$' /$
$
$


K'
RRL)
$

' 'K'RR(LG$
$


&
&''


' '


DISPONIBILIDAD( A)

MTTF
MTTF  MTTR

-$



$'
7 Los conceptos de DISPONIBILIDAD y FIABILIDAD a veces se confunden, por lo que es conveniente aclarar que, la Fiabilidad depende siempre de tasas de fallos y del intervalo de tiempo de operacin, sin
embargo la Disponibilidad es un valor instantneo que depende de las tasas
de fallos y de reposicin.

^

Tolerancia a fallo de hardware (HFT):*




+ :ADHE?:B/

$
 '


UV'#'P
3UDV




4'


 '#'


323

324

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

 Q 

3'$ $
 $''

 $'' '
7
k < """ Arquitectura y HFT.
ARQUITECTURA

HFT (TOLERANCIA A FALLO


DE HARDWARE)

1oo1

1 solo fallo origina la prdida de la SIF.

Al tener dos elementos, si uno falla


podemos tener disponible la SIF, si dos
elementos entran en fallo, se origina la
prdida de la SIF.

Al tener tres elementos siendo uno de


ellos nicamente el que inicia la SIF,
podemos tener incluso dos fallos antes
de perder la funcionalidad de la SIF.

Al tener tres elementos y ser necesarios


dos de ellos para iniciar la SIF, podemos
aceptar un solo fallo antes de perder la
funcionalidad de la SIF.

Al tener cuatro elementos y ser


necesarios dos de ellos para iniciar la SIF,
podemos aceptar el fallo de dos antes
de perder la funcionalidad de la SIF.

1oo2

1oo3

2oo3

2oo4

EXPLICACIN

 '   '


 $P
/
3$



3'$ $
3'  $

#'$'$
$
& 
#

#
7
+
$
''$
-/$
& 37
%R-:

""$*$H*kH*H*$H


&
 

)3$ 
  '$ $
3 $ 
 
6 )  

 + 
$ A

'
 
$' 
/$'$
+''
  




/ 3'&
3$
&  /Q /


'$$ ' 3'$''
$
 ' '
#$' /
&''$''
$
 '$  $
'
#$' 



$$'

'$ $
'
/



$?
U+ $
6'$
$ $
6#'
V
+' $
$

'
34$''$ $

'  $
)
'$3
)3'
$  ' '$$4 ' 
'$ tacin de campo.

Diseo conceptual del SIS de cada funcin

*P' 

$'

 '#'
)
'7


Fallo seguro +


3 
 /

'$

$

# 
$
$ $
 '
fallos seguros
detectados y cuando la deteccin no es posible se denominan fallos seguros
no detectados. 
# ''
'$ $'K'L 

'$
 '

Fallo peligroso +
3
3'$

)

+$

6#'#
3

#/'$ $
 '
fallos peligrosos detectados y si la deteccin no es posible, pasan a
denominarse fallos peligrosos no detectados.


$'$
$'
$$
& 
$


/
 $
8 
7








7R


$$

D7R


'#
S7R


#
DU7R


'#$ $

DD7R


'#$ $

SU7R


#$ $

SD7R


#$ $


[   '   



$
  P' '/ $
&   
 
' $
$'  '$
)
$


7

O



1
MTTF

Fraccin de fallo seguro (SFF) 


$$

+  '$$
#
'#$ $
$

totales.

+$

'
$
& '  '$'

P'

3'$ $


implementar para la SIF.

+O'$$  $' $
$
'
 
 '
$ tados y no detectados, es el porcentaje de fallos seguros:

% Seguros

OS
OS  O D

325

326

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

S

#P
$$  $)
'7
Tasa de fallos 

Cobertura de diagnstico MP  


 '

$$
3$ $
'
#$' )
'
$
$


seguros (CSL  

'#K DL7
Cobertura de pruebas manuales(CPT):+$
& 
 $''

&

''
)$
$ $
Q
3$ $

en estas pruebas peridicas.

11.4. ARQUITECTURA Y LGICA DE VOTACIN


R
$
+ ADHE?  
+ ADHDD$
& 
 '
$
 '




9
K%RL/

3  '
''/$'$''$ $3$
'$
 '
/ P'


 '



3'$ $
/ $
$   $ '' '
/  
 #' /     $
P


Diseo conceptual del SIS de cada funcin

 ' 

O'
'  '
$''

+ :ADHDD/3
 '

3'$ $
 #&
 
 $'
'
*


+ :ADHDD:D/$ 7
En el caso de procesadores lgicos:
k < ""HFT para procesadores lgicos.

SIL

HFT (Tolerancia a fallo de hardware)


SFF <60%

SFF 60 % to 90%

SFF >90%

APLICA LA IEC-61508

Para elementos sensores y elementos nales:


k < ""HFT para sensores y elementos nales.

SIL

HFT (Tolerancia a fallo de hardware)

APLICA LA IEC-61508

+
+ :ADHE?'$   $ $$') $
$'<S

P'' $
 
'P
'7
Elemento tipo A 
3  $ ' / )   
 $ &'
'$'P
6 #$#/'$$)
K'partial stroke
test). El procedimiento de pruebas partial stroke test (o prueba de carrera parcial) se
O'

$?
Elemento tipo B$7R
 '/G /
 partial stroke test,
etc.
Normalmente, los elementos tipo A$''
#$' /3

son no detectados.
[




+ :ADHE?:B7

327

328

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Arquitectura de elementos tipo A


k < ""[ SFF y HFT para elementos po A.
SFF (Fraccin de fallos
seguros)

HFT (Tolerancia a fallo de hardware)


0

< 60%

SIL1

SIL2

SIL3

60% - < 90%

SIL2

SIL3

SIL4

90% - < 99%

SIL3

SIL4

SIL4

> 99%

SIL3

SIL4

SIL4

Arquitectura de elementos tipo B


k < ""' SFF y HFT para elementos po B.
SFF (Fraccin de fallos
seguros)

HFT (Tolerancia a fallo de hardware)


0

No permida

SIL1

SIL2

60% - < 90%

SIL1

SIL2

SIL3

90% - < 99%

SIL2

SIL3

SIL4

> 99%

SIL3

SIL4

SIL4

< 60%

G





$
&

$'/

 '
Q 73$ 
'#'$6) 
'P
/
 $' $7
^
^
^
^

' '
GRK+ $$'<3$
 ''$'#$L
G 
#' G K+ $$'<3#' L
+ $'
S
 $'
$:

K $$'3
'
3$#
partial stroke test).
' $Q 3$
 '6B6B

+3 $'
$/$ '' '
 $7

Diseo conceptual del SIS de cada funcin

G

6B)


$
&
 $$'</ 

'
=EK

&'$
 $ $'P
L/ '$


%RD
+$'#'P

$
'DBBX

G 
[  $ 
 '
%R

'' '
/$
&'4#' $

'

3'$ $

G$
$ '$
 G 
$)
 $
 '
$
'DB
+ 
$
 $P
/

6B)
 '

'
/
3' %R/  3 '#'P
 3 
 
 
 

$
&/  
 


3'$ $
DD $P

/$' $

$' '
3'$ $
/3
'' '
/




7


 '3
$
'


 '
%R$ '
/
   

$/
'$ $'K#L3$ 'puestos a asumir.
(  

3'$ $
 
&'$
$' $

$
 '


7
k < ""_ Arquitecturas y HFT simplicada.
TOLERANCIA (HFT)

ARQUITECTURAS POSIBLES

1oo1

1oo2 2oo3

1oo3 2oo4

""'H*$/H*H/
6'&'

$' '
3'$ $
$ 3'
3
 $
''$'$

DD/
)3 '

3
6
 '
&'



  T/$/$''
7
^
^

'   $


'
$ #


329

330

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

^
^
^
^
^
^

'
 P#
'$
 '
'  $'
&
'  '
&
'
$
 
'
$
Q$
$

8
'
+6*
Etc.

*$
/
)
#
3  '' '
' ' '/Q /
& '$''#'
3 $$
''$'$

DD7
^
^

-  
$
 $'
&)$
$  
$

Q
 O'
-  
$
$
Q$
$

8
'
+6*

+ 
$
$''
$ #
'$'$

&'
$8 '$'$


 $$
''$'$

DD/
 $'
O$'
)
3
'

$&
/
'
 
#'
 '
 
$' '$3')$

4

$'$
$'
$   
G* '
$&

)$


  T 
$'P
 
$/3
$

  T)

)3$ $
' ) 


3'$ $

DD) $
'#

$3$ '



O'

$''


'$
3
 #
+ :ADHE?:A3 '
$EB)EEH/'3 ' 3  T$'$
)3
 $



  T'$


""_}:/$++k}H:HH:++/H/+$+*$*+*
%
$


  $ '
7
a) El SIL de la SIF.
&L 3'$ $
 $'' '
/KG 
#' L) $
P
$' 
$

%R
(    $alta demanda, baja demanda y demanda continua7
$/k+]

Cuando la funcin de seguridad es parte del modo normal


de operacin.

$HkH$H$H]

Cuando la funcin de seguridad se lleva a cabo solo bajo demanda para llevar al sistema a estado seguro y la frecuencia
de esta demanda es mayor de una vez al ao.

$HH$H$H]

Cuando la funcin de seguridad se lleva a cabo solo bajo demanda para llevar al sistema a estado seguro y la frecuencia
de esta demanda es menor de una vez al ao.

Diseo conceptual del SIS de cada funcin

- '$


 $ '
 ' 
 6 3   $
& '


  6
3'/

  $ 
  
probabilidad de fallo en
demanda media KG*
#L/$3$
3$
& ''$#'

6'$
3 baja demanda/3 

&'$

'$'
 
k < ""-ndice SIL para sistemas en modo de baja demanda.

SIL
1

}$ !>
0.1-0.01

< RRF <


10-100

0.01-0.001

100-1000

0.001-0.0001

1000-10000

0.0001-0.00001

10000-100000

+
   $'
$


/ '$' 
'Pcacin del SIL lo establece la probabilidad de fallo por horaKG%L/$


7
k < ""Wndice SIL para sistemas en modo de alta demanda o demanda connua.
SIL

}; 
% 

> 106 to < 105

> 107 to < 106

> 108 to < 107

> 109 to < 108

G$
$
'P
'/
$
& '


3'$ $

6/&



 
$
&
&''



/3
T
 

6


estar disponible y por lo tanto el sistema desprotegido.
G

$
$ '
'O'$
' 4$/33

 

 $'
'/' O$'&


""-k$*$//$H}:H++$H$$H
$H$H}$
$ 

$' $

'$'$

3'$ $


6/

$ '

$ $'
$)
#

&
&''




KG*L)
&
&''



 '
KG*
#L/

331

332

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

  
' ' 'P

 ) $'  $
 
  $''
  
 &

peridicas parciales.

L 6P
&
&''

KGL  

[  
O'
'7

M$''
' 3
3&$#

ED/3
 
normalmente es nuestro caso.


& &
&''



KG*L/#
&
&''

KGL/
$


3 '

peligrosa,3

#
' 

$
' 

'$)$
$
generan una no disponibilidad de la SIF.
*$

7

PFD 1  eO D ut

[ 
 '

O'
'
$'7

PFD OD u t
EJEMPLO 1: Un transmisor de temperatura ene una tasa de fallos =0.01 fallos
por ao Cul es su abilidad en un periodo de empo de dos aos?:
Planteamiento y solucin:
Calculamos la PFD:

PFD 1  eO D ut
PFD= 1-e 0.01x2x8760 = 1-0.9802=0.0198
Teniendo en cuenta que la abilidad R=1-PFD. Resulta:
:#W#
Si ulizamos la frmula simplicada para el clculo de la probabilidad de fallo en
demanda:

PFD OD u t
Sustuyendo los valores:
PFD= 0.01x2= 0.02
 la abilidad resulta:
R= 1-0.02= #W
Resultando valores muy parecidos.

Diseo conceptual del SIS de cada funcin

EJEMPLO 2: Un transmisor de temperatura ene una tasa de fallos =0.01 fallos


por ao, detectndose todos los fallos inmediatamente. El empo de reparacin
es de ocho horas Cul es su disponibilidad?:
Planteamiento y solucin:
Recordemos que la disponibilidad es

DISPONIBILIDAD( A)

MTTF
MTTF  MTTR

Los datos que tenemos son:


MTTR= 8 horas
MTTF= 1/ 0.01 = 100 aos =100x8760 = 876000 horas
Sustuyendo:

DISPONIBILIDAD( A)

876000
876000  8

0.9999908

[ '
3 
$ $
/


$
)
 '

$' (RKR' (

'L/)3
'#$ $

 
&

6/ '/$ $
$&


KRL/3

7

&L 6P
&
&''

 '
KG
#L  
'$#
$' 
G/
37

[
&
&''
 '



7

[  (RK
 $ 
L '
&$
RK
 $

JL/3

  T$'
' 'P
'7

M
 
'' 'P




6 
3'$ $
DD/ &

''
  $
)'$ $
$' '
'#
$+
$
$T$'  
O'
''#


   
'$
-

333

334

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

'P
'




6$
3&$' $


O'
' )$' '$

S

Q 

PQ
  $


$


7
EJEMPLO 3: Supongamos que tenemos un transmisor de presin como elemento
iniciador de una SIF y con los siguientes datos:
kk
Porcentaje de fallos seguros (%Seguros)
Cobertura de diagnscos (CD )
Tiempo de reparacin (RT)
Intervalo de pruebas (TI)

'## 

80%
60%
8h
1 ao

Determinar la probabilidad media de fallo en demanda del transmisor de presin.


Planteamiento y solucin:
Teniendo en cuenta la frmula que hemos desarrollado:

Por lo que necesitamos daterminar las tasas de fallo. Estudiemos los datos de
parda:
a)
ta:

MTTF es 500 aos, como sabemos que la tasa de fallo es el inverso, resul-

Es habitual dar todos los resultados en horas y se considerar 1 ao = 8760 horas.


b)
Ahora deberamos determinar cul es la fraccin de fallos seguros y cul
la peligrosa. En el enunciado nos dicen que el porcentaje de fallos seguros es del
80%, por lo que si tenemos en cuanta la frmula:

% Seguros
 sustuimos los valores que tenemos:

OS
OS  O D

Diseo conceptual del SIS de cada funcin

Resulta:

Y ahora determinamos el valor de OD

OS  O D

por lo que :

OD

O  OS

y sustuyendo:

c)
Ahora que ya conocemos las tasas de fallos, debemos determinar cales
son fallos detectados y cuales no detectados. En el enunciado nos indica que la
CD es del 60%, esto signica que el 60% de los fallos que se producen, ya sean
seguros o peligrosos, voy a ser capaz de detectarlos, de esta forma:

Y restando del total, obtenemos la

d)

Y ahora que tenemos todos los datos podemos sustuir:

Por lo que resulta que la Probabilidad de Fallo en Demanda del Transmisor de


Presin objeto del ejercicio es:

PFDavg

8,0219e -05

6'$  $


3
&
''
  $
/&$ 

'#'$ 
'7

+
3
 '
3

$
'
'#$ $

es despreciable.
#  '

P)

&'#'' 'P


S



Q ' )
 &$

&







$
'3$'
G*
#

335

336

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

EJEMPLO 4: Considerando el mismo transmisor de presin del }":


kk
Porcentaje de fallos seguros (%seguros)
Cobertura de diagnscos (cd )
Tiempo de reparacin (rt)
Intervalo de pruebas ()

'## 

80%
60%
8h
1 ao

Con los siguientes datos adicionales:


Tiempo de vida de la SIF (LT)
Cobertura de las pruebas manuales (

20 aos
)

90%

Determinemos la PFDavg.
Planteamiento y solucin:
Consideramos ahora la frmula

En la que se considera despreciable la aportacin de los fallos detectados peligrosos. De esta forma:

Resultando que la Probabilidad de Fallo media en demanda es:

Algo menor que el resultado que habamos obtenido considerando pruebas


manuales completas.
Esto signica que las simplicaciones nos hacen los clculos ms sencillos
pero menos precisos.
 
&

&#'
#$
7 $


P
&''



'
  7
+
$A/$'
+*/  $
$' /
&$'
P
&''
/ 

 $+*/'$ $&
/&$ $'P
6/3$
&'4' )
$P
&''
/ O' $' $&


)

 ' '
&'$

3

$
&

Diseo conceptual del SIS de cada funcin

+ 
3'
  
   

$' $  '
 '
  
&


  $
/
'$
&
KRL3 '])  
G*/)
3' $
$ '
/

 $

'$
&
/
 $

G*

$'



$


 
'&
&''



$' $
  $''

""-":*$H*
+$

$
/$ '
' 
&
&''


$
W()

$
-*/

4
'



3'$ $
6 
&'$

)&$

&
&''
4O'$
6%
 $' $ ' 
'
'/ '
#
 &3

$''
7

L "&



$
-*

337

338

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

G

34$P
K6L/$'3
$'' '
K)<L/
3
&
&''
  '
K3
L$P
 $

&
&''
  '
K3
L$'' '
/

37

&L "&



$
W(

+$

$P
K6L 
4 
3'
$
'' '
K<L/
3
&
&''
  '
K3
L$
P
$
&   7

PS

PA  PB  ( PA u PB )

+$
 
' '
3$'' '
 $
$O )$/ '/3

/

<)

)<' $
$/  


3 $
' 
 
&'/
&
/
'

  &
&''





6/$
&'4
' 'P
'
[
3
&
&''
3$
$''
 )&
Q/ 
 '37
^

^

G


$
W(
&
&''
  '
$
suma
de probabilidades de los iniciadores )
3 $&
&''

  '


   3J3


&
&''

ocurrencia de cada uno independientemente
G


$
AND, resulta el producto de las probabilidades de los iniciadores.

G  






&




3'$ $
 

&'$
 
 '
''#'$' $
$7

Diseo conceptual del SIS de cada funcin

+&

'


&
&''




)
3 $  $
 3
Q
 
 ' ) 


  &  
  $
$
)3$''


&$)
&$'

&
&''
/

'$#


&$
 '/)
3
'$#

producto no es el producto de de integrales.
""-""H |jj 1oo1
+$$'
3'$ $
'$


/ 


'#)$ 

 
'#$ $
 
 
$ $
'#+3

&7


&
&''
3

'#)$ $
7


&
&''
3

'#)$ $
7

G3

$
W(/$



&
&''
7

[''$#
7

3
 
P
3&$'7

339

340

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

6'33 $ '



&
&''
3

'K
#L/
&3$ $
3'$


# 


&'
#$ $

#$ $
/3

)3

&
$




&$
$


#'7

['$  $


3$'  '$
''

$


/$
7

MTTFs

1
STR

M
'


 
$$' 
'

 

'$
EJEMPLO 5: Considerando el mismo transmisor de presin del Ejemplo 1 determinar la tasa de fallos espurios y el empo medio entre los mismos.
Planteamiento y solucin:
Recordemos los resultados que habamos obtenido el valor de s:

Por lo que la Tasa de fallos espurios total (detectados y no detectados) es:

Y el empo medio entre fallos espurios

Esto signica que para un el instrumento del ejemplo se espera un fallo seguro
cada 625 aos.


&

''

$#
'
 cepto de tasa de fallos espurios en lugar de probabilidad de fallo seguro, por eso es

 '
$ $'
$
$


3  


$
+
$



&
&''

# '# $''

$'  ':

33 '$
43
 '

'

*$

7

Diseo conceptual del SIS de cada funcin

EJEMPLO 6: Y considerando un empo de re-arranque de 24 horas determinar la


probabilidad de fallos espurios.
Planteamiento y solucin:
Sustuyendo los valores en la frmula que acabamos de desarrollar:

Que es un valor de probabilidad pero que no nos da idea del empo entre fallos
espurios por eso no se suele ulizar.
""-"H |jj "
+$$'
3'$ $
6'$


/ 


'#$'' '
+3

&$
7

[

$ $' 7

341

342

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

[   
$'P

   $G

$ 
3' '



  T*
37

[
 '

7

G3' $''

&
&''
  $''$/&$ 

$
-*/&$ 
7

[ '

 
 $'  $
  
  / 

 

$
W(7

[''$#
  $
$' /&$ 
&
&''




 '
7

['
& $'' '
'#
/$
7

Diseo conceptual del SIS de cada funcin

['

$  $

' 'P
'3RT<<<<TI , entonces re$
7

EJEMPLO 7: Determinar la PFDavg de un sistema formado por dos transmisores


de presin idncos a los del Ejemplo 1 en votacin 1oo2.
El valor de

que habamos obtenido era:

Y el intervalo de pruebas manuales era de dos aos.


Y si consideramos la frmula simplicada para la votacin 1oo2 con elementos
idncos:

Mucho menor que el valor que habamos obtenido en el caso de un esquema


con votacin 1oo1, qu signica? Que aumentando la tolerancia a fallo de los
elementos, la probabilidad de que falle el sistema es menor.
[ 
 $

  
 '  &$' $'  $
 O '
$ 

#  &


'N'$

$
'DB

# 
 
3'
  $
#/
$
$7

343

344

SEGURIDAD