SEGURIDAD FUNCIONAL SISTEMAS INSTRUMENTADOS DE SEGURIDAD PARA LOS PROCESOS DEL SECTOR INDUSTRIAL

Transcripción

1 28 de Junio de 2010 PÁGINA 1 DE 81 COMITÉ DE NORMALIZACIÓN DE PETRÓLEOS MEXICANOS Y ORGANISMOS SUBSIDIARIOS SUBCOMITÉ TÉCNICO DE NORMALIZACIÓN DE PEMEX - EXPLORACIÓN Y PRODUCCIÓN PARA LOS PROCESOS DEL SECTOR Esta norma cancela y sustituye a la NRF-045-PEMEX-2002 de fecha 17 de mayo de 2003.

2

3 PÁGINA 3 DE 81 C O N T E N I D O CAPÍTULO PÁGINA 0 INTRODUCCIÓN OBJETIVO ALCANCE CAMPO DE APLICACIÓN ACTUALIZACIÓN REFERENCIAS DEFINICIONES SÍMBOLOS Y ABREVIATURAS DESARROLLO Administración de la seguridad funcional Requisitos del Ciclo de Vida de Seguridad Verificación Análisis y evaluación de riesgos del proceso Asignación de funciones de seguridad para capas de protección Especificación de los Requisitos de Seguridad-ERS del SIS para paro por emergencia Diseño e ingeniería del equipo del SIS Requisitos para los programas de aplicación incluyendo criterios de selección para los programas de utilerías Pruebas de aceptación en fábrica (FAT) del SIS Instalación y comisionamiento del SIS Validación de seguridad del SIS Operación y mantenimiento del SIS Modificación del SIS Desmantelamiento del SIS Requisitos de Información y documentación RESPONSABILIDADES PEMEX Proveedores o contratistas CONCORDANCIA CON NORMAS MEXICANAS O INTERNACIONALES BIBLIOGRAFÍA ANEXOS Formato de matriz lógica de causa y efecto del SIS... 80

4 PÁGINA 4 DE 81 0 INTRODUCCIÓN Dentro de las principales actividades que se llevan a cabo en Petróleos Mexicanos se encuentra el diseño, construcción, operación y el mantenimiento de las instalaciones para la extracción, recolección, almacenamiento, medición, transporte, procesamientos primario y secundario de hidrocarburos, así como la adquisición de materiales y equipos requeridos, para cumplir con eficacia y eficiencia los objetivos de la empresa. Esta norma refiere a los Sistemas Instrumentados de Seguridad (SIS) para el Sistema de Paro por Emergencia aplicados a la industria de procesos de PEMEX, basado en la especificación del modelo del ciclo de vida, e incluye los componentes y subsistemas requeridos para soportar las funciones instrumentadas de seguridad (FIS), que involucran sensores, resolvedores lógicos y elementos finales. PEMEX emite la presente norma de referencia para definir los requisitos del ciclo de vida del Sistema Instrumentado de Seguridad y su aplicación en los Sistemas de Paro por Emergencia en las instalaciones de. Para lograr lo anterior es requerida la participación de las diversas disciplinas de ingeniería para unificar criterios, aprovechar las experiencias diversas y conjuntando los resultados con las investigaciones nacionales e internacionales. Este documento normativo se realizó en atención y cumplimiento a: Ley Federal sobre Metrología y Normalización y su Reglamento Ley de Obras Públicas y Servicios Relacionados con las Mismas y su Reglamento Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público y su Reglamento Ley General de Equilibrio Ecológico y la Protección al Ambiente y sus Reglamentos Guía para la Emisión de Normas de Referencia de (CNPMOS- 001, Rev.1, 30 septiembre 2004) En esta norma participaron, por parte de Pemex: Pemex-Exploración y Producción (PEP) Pemex-Gas y Petroquímica Básica (PGPB) Pemex-Petroquímica (PPQ) Pemex-Refinación (PREF) Petróleos Mexicanos (DCO-DCIDP) Por parte externa: INSTITUTO MEXICANO DEL PETRÓLEO SCHNEIDER ELECTRIC MÉXICO SMART SAFETY & CONTROL PROVIDER, S.A. DE C.V. INVENSYS SYSTEMS MÉXICO, S.A. ROCKWELL AUTOMATION DE MÉXICO EXIDA CONSULTING MÉXICO ABB MÉXICO S.A. DE C.V. GE FANUC INTELLIGENT PLATFORMS REDCA CURSOS Y SISTEMAS S.A. DE C.V. ISA MÉXICO SIEMENS ARPO SINERGIA TECNOLÓGICA, S.A. DE C.V. EMERSON PROCESS MANAGEMENT S.A. DE C.V. MEDSA/SSCE

5 PÁGINA 5 DE 81 1 OBJETIVO Establecer los requisitos técnicos y documentales que se deben cumplir en la contratación y/o para la adquisición de los Sistemas Instrumentados de Seguridad aplicables a los Sistemas de Paro por Emergencia en las instalaciones de procesos industriales de. Además, establecer los requisitos técnicos y documentales para: Administración de la seguridad funcional de los Sistemas Instrumentados de Seguridad. 2 ALCANCE Esta norma de referencia establece las obligaciones para especificar el diseño, instalación, pruebas, comisionamiento, operación, mantenimiento, modificación y desmantelamiento de los Sistemas Instrumentados de Seguridad aplicables a los Sistemas de Paro por Emergencia, Sistemas de Protección de Presión de Alta Integridad (HIPPS), y la metodología para verificar que se cumplan dichos requisitos en los procesos industriales de las instalaciones de PEMEX. Para el caso de los siguientes sistemas se deben tomar en cuenta: Sistemas de control de quemado (BMS) (aplica solo para acciones que generen el paro de emergencia) Sistemas de paro neumático (no aplica la parte de resolvedor lógico) Sistemas de gas y fuego (no aplica la selección de NIS (SIL) En el caso de SIS existentes diseñados y construidos de acuerdo con normas, códigos, estándares, o prácticas anteriores a la emisión de esta norma de referencia, PEMEX debe determinar en sus bases de licitación los requisitos y etapas del ciclo de vida de seguridad funcional que se deben aplicar. 3 CAMPO DE APLICACIÓN Esta norma de referencia es de aplicación general y de observancia obligatoria en la contratación o adquisición de un bien o servicio objeto de la misma, que lleven a cabo los centros de trabajo de sus. Por lo que debe ser incluida en los procedimientos de contratación: licitación pública, invitación a cuando menos tres personas, o adjudicación directa, como parte de los requisitos que deben cumplir el proveedor, contratista o licitante. Así mismo esta norma de referencia es de aplicación y cumplimiento estricto en todas las áreas de PEMEX, en el caso que realice cualquiera de las etapas con personal propio. 4 ACTUALIZACIÓN Las sugerencias para la revisión de esta norma deben ser enviadas al secretario técnico del Subcomité Técnico de Normalización (SUTEN) de PEP, quien debe realizar la actualización de acuerdo a la procedencia de las mismas. Sin embargo, esta norma se debe revisar y actualizar, al menos, cada 5 años o antes, si las sugerencias o recomendaciones de cambio lo ameritan. Las propuestas y sugerencias de cambio deben elaborarse en el formato CNPMOS-001-A01, de la Guía para la Emisión de Normas de Referencia CNPMOS-001, Rev.1 del 30 de septiembre de 2004 y dirigirse a:

6 PÁGINA 6 DE 81 Pemex-Exploración y Producción Subdirección de Distribución y Comercialización Representación de la Gerencia de Administración del Mantenimiento Bahía de Ballenas # 5, edificio D, planta baja, entrada por Bahía del Espíritu Santo S/N Col. Verónica Anzures. C. P México, D. F. Teléfono directo: , conmutador: , extensión: , fax: Correo electrónico: luis.ortiz@pemex.com 5 REFERENCIAS 5.1 IEC :1993 Industrial-process measurement and control equipment - Operating conditions - Part 1: Climatic conditions. Edition 2.0 (Equipo de medición y control para la industria de proceso Condiciones de operación Parte 1 Condiciones climáticas. Edición 2.0) 5.2 IEC :1983 Operating conditions for industrial-process measurement and control equipment. Part 3: Mechanical influences. Edition 1.0 (Condiciones de operación para equipo de medición y control para la industria de proceso. Edición 1.0) 5.3 IEC :2005 Electromagnetic compatibility (EMC) Part 6: Generic standards Section 2: Immunity for industrial environments (Compatibilidad electromagnética (CEM) Parte 6: Normas genéricas Sección 2: Inmunidad en entornos industriales) 5.4 IEC :2006 Electromagnetic compatibility (EMC) Part 6: Generic standards Section 4: Emission standard for industrial environments (Compatibilidad electromagnética (CEM) Parte 6: Normas genéricas Sección 4: Norma de emisiones en entornos industriales) 5.5 IEC :2007 Programmables controllers Part 2 Equipment requirements and test (Controladores programables Parte 2 Pruebas y requisitos para el equipo) 5.6 IEC :2003 Programmable controllers - Part 3 Programming languages (Controladores programables Parte 3 Lenguajes de programación) 5.7 IEC :2008 Electrical equipment for measurement, control and laboratory use EMC requirements Part 1: General requirements CORRIGENDUM 1 - Edition 1.0 (Equipo eléctrico de medición, control y para uso de laboratorio Requerimientos de CEM Parte 1 Requerimientos generales CORRIGENDUM 1 Edición 1.0) 5.8 IEC :1998 Functional safety of electrical/electronic/programmable electronic safety-related systems Part 1: General requirements (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 1: Requisitos generales) 5.9 IEC :2000 Functional safety of electrical/electronic/programmable electronic safety-related systems Part 2: Requirements for electrical/electronic/programmable electronic safety related systems (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 2: Requisitos para los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad)

7 PÁGINA 7 DE IEC :1998 Functional safety of electrical/electronic/programmable electronic safety-related systems Part 3: Software requirements (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 3: Requisitos de los programas software ) 5.11 IEC :1998 Functional safety of electrical/electronic/programmable electronic safety-related systems Part 4: Definitions and abbreviations (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 4: Definiciones y abreviaturas) 5.12 IEC :1998 Functional safety of electrical/electronic/programmable electronic safety-related systems Part 5: Examples of methods for the determination of safety integrity levels (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 5: Ejemplos de métodos para la determinación de los niveles de integridad de seguridad) 5.13 IEC :2000 Functional safety of electrical/electronic/programmable electronic safety-related systems Part 6: Guidelines on the application of IEC and IEC (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 6: Guía de aplicación de la IEC y IEC ) 5.14 IEC :2000 Functional safety of electrical/electronic/programmable electronic safety-related systems Part 7: Overview of techniques and measures (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 7: Descripción de técnicas y medidas) 5.15 IEC :2003 Functional safety - Safety instrumented systems for the process industry sector - Part 1: Framework, definitions, system, hardware and software requirements. Corrigendum 1 November (Seguridad Funcional - Sistemas Instrumentados de Seguridad Para los Procesos del Sector Industrial Parte 1: Marco de referencia, definiciones, sistema, requisitos del software y hardware Corrigendum 1 Nov 2004) 5.16 IEC :2004 Functional safety Safety instrumented systems for the process industry sector Part 2: Guidelines for the application of IEC (Seguridad Funcional - Sistemas Instrumentados de Seguridad Para los Procesos del Sector Industrial Parte 2: Guía de aplicación de la IEC ) 5.17 IEC :2004 Functional safety Safety instrumented systems for the process industry sector Part 3: Guidance for the determination of the required safety integrity levels. (Seguridad Funcional - Sistemas Instrumentados de Seguridad Para los Procesos del Sector Industrial Parte 3: Guía para la determinación del nivel de integridad de seguridad requerido) 5.18 IEC TR :2005 Functional Safety of electrical/electronic/programmable electronic safety-related systems Part 0: Functional safety and IEC (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 0: Seguridad funcional y la IEC 61508) 5.19 NOM-001-SEDE-2005 Instalaciones Eléctricas (Utilización) 5.20 NOM-008-SCFI-2002 Sistema general de unidades de medida 5.21 NRF-018-PEMEX-2007 Estudios de riesgo 5.22 NRF-036-PEMEX-2003 Clasificación de Áreas Peligrosas y Selección de Equipo Eléctrico 5.23 NRF-049-PEMEX-2006 Inspección de bienes y servicios

8 PÁGINA 8 DE NRF-111-PEMEX-2006 Equipos de Medición y Servicios de Metrología 5.25 NRF-152-PEMEX-2006 Actuadores para válvulas 5.26 NRF-204-PEMEX-2008 Válvulas de bloqueo de emergencia (válvulas de aislamiento de activación remota) 5.27 NRF-226-PEMEX-2009 Desplegados gráficos y bases de datos del sistema digital del monitoreo y control de procesos 6 DEFINICIONES 6.1 Árbol de fallas. Representación gráfica lógica y organizada de las condiciones ó factores que causan o contribuyen a que ocurra un evento no deseado definido. 6.2 Arquitectura. Arreglo del equipo y/o elementos de programas en un sistema (El arreglo de los subsistemas del Sistema Instrumentado de Seguridad-SIS, Estructura interna de un subsistema del SIS, Arreglo de programas, entre otros). 6.3 Auditoria de la seguridad funcional. Inspección sistemática e independiente para determinar si los procedimientos específicos de los requisitos de seguridad funcional cumplen con lo establecido en la planeación de forma que sean implementados eficazmente y que son los requeridos para alcanzar los objetivos especificados. 6.4 Calidad. Totalidad de características de una entidad que tienen que ver con su capacidad para satisfacer las necesidades establecidas e implícitas. 6.5 Canal. Elemento o grupo de elementos que desempeñan una función de manera independiente. El término puede ser usado para describir un SIS completo o una parte de este, como sensores o elementos finales. 6.6 Capas de protección. Cualquier mecanismo independiente que reduce el riesgo por control, prevención o mitigación y que pueden ser entre otros: equipo de proceso, sistema de control básico de proceso, procedimientos administrativos, y/o respuestas planeadas para protección contra un riesgo inminente. 6.7 Ciclo de vida de los programas. Secuencia de actividades durante un período de tiempo que va desde la concepción hasta el desuso del programa, incluye las fases de requisitos, desarrollo, prueba, integración, instalación y modificación. 6.8 Ciclo de vida de seguridad. Secuencia de actividades involucradas en la implantación de las funciones instrumentadas de seguridad desde el diseño conceptual hasta el desmantelamiento de todas las funciones instrumentadas de seguridad. 6.9 Cobertura de Diagnóstico-CD. Relación de la tasa de fallas detectadas respecto de la tasa total de fallas de un componente o subsistema de un Sistema Instrumentado de Seguridad, detectados mediante pruebas de diagnóstico, no incluye las fallas detectadas mediante pruebas rigurosas. Se utiliza para calcular la tasa de fallas detectadas (λ detectadas ) y no detectadas (λ nodetectadas ) de la tasa total de fallas (λ tasa total de fallas ) de la siguiente manera: λ detectadas = CD λ tasa total de fallas y λ nodetectadas = (1-CD) λ tasa total de fallas.

9 PÁGINA 9 DE Comisionamiento. Es la verificación y confirmación de que el SIS cumple con las características especificadas en la documentación del diseño detallado y se encuentra listo para las pruebas de prearranque (cuando PEMEX lo solicite en su proceso licitatorio) y/o validación OSAT Complejidad. Un indicador del número de grados de libertad al cometer errores Comunicación externa. Intercambio de datos entre el SIS y una variedad de sistemas o dispositivos que se encuentran fuera del SIS. Esto incluye interfaces del operador compartidas, interfaces de ingeniería/mantenimiento, sistemas de adquisición de datos, entre otros Comunicación interna. Intercambio de datos entre diferentes dispositivos dentro de un procesador electrónico programable dado. Esto incluye conexiones de plano posterior back plane del canal de comunicación bus, E/S (I/O) del canal de comunicación bus locales o remotas, entre otros Confiabilidad. Probabilidad de que un sistema pueda desempeñar una función definida bajo condiciones especificadas para un periodo de tiempo dado Consecuencia. Resultado real o potencial de un evento no deseado, medido por sus efectos en las personas, en el ambiente, en la producción y/o instalaciones, así como la reputación e imagen Daño. Lesiones físicas o en la salud de las personas, ya sea directa o indirectamente, como consecuencia de los daños a la propiedad o el medio ambiente Demanda. Una condición ó evento que requiere que el SIS lleve a cabo una acción requerida para prevenir un evento peligroso, ó para mitigar sus consecuencias Desenergizado para disparo. Circuitos SIS en donde las salidas y dispositivos se encuentran energizados en operación normal. Cuando se suspende el suministro de energía se produce una acción de disparo Desmantelamiento. La remoción completa de un SIS de su servicio activo Desmantelamiento parcial. Es un caso particular de modificación, el cual consiste en la remoción de una ó más Funciones Instrumentadas de Seguridad-FIS (SIF) del SIS Detectada, revelada. Con relación a las fallas, se refiere a las fallas del equipo y fallos en los programas encontrados por pruebas de diagnóstico o durante la operación normal Disparos en falso. Activación de cualquier Función Instrumentada de Seguridad-FIS (SIF) perteneciente al SIS, sin existir una demanda real en campo Disponibilidad. Probabilidad de que un SIS es capaz de desempeñar un servicio de seguridad bajo demanda (en operación). Un SIS no está disponible si se encuentra en un estado de falla (seguro o peligroso), o que se encuentre en mantenimiento Diversidad. Uso de dispositivos y equipos con diferentes tecnologías o métodos de diseño que desempeñen una función de seguridad común, de manera que se minimicen las fallas de causa común Documento normativo equivalente. Es el documento normativo alterno al que se cita en una NRF, emitido por una entidad de normalización, y que se puede utilizar para la determinación de los valores y parámetros técnicos del bien o servicio que se esté especificando, siempre y cuando presente las evidencias

10 PÁGINA 10 DE 81 documentales, que demuestren que cumple como mínimo, con las mismas características técnicas y de calidad que establezca el documento original de referencia Eléctrico/Electrónico/Electrónico Programable-E/E/EP. Basado en tecnología eléctrica (E) y/o electrónica (E) y o electrónica programable-ep Electrónica Programable-EP. Componentes electrónicos o dispositivos que forman parte de un Procesador Electrónico Programable basados en la tecnología de los microprocesadores. El término engloba tanto el equipo como programas y unidades de entrada y de salida Elemento final. Parte de un sistema instrumentado de seguridad que implementa la acción física requerida para lograr un estado seguro Energizado para disparo. Circuitos SIS en donde las salidas y dispositivos se encuentran desenergizados en operación normal. Cuando a dichos circuitos se les aplica energía se produce una acción de disparo Error. Discrepancia entre un valor o condición calculada, observada, o medida y valor o condición teóricamente verdadera, correcta o especificada Error humano. Falla de acción humana o falta de acción que produce un resultado imprevisto Especificación de Requisitos de Seguridad-ERS. La que contiene los requisitos de seguridad (funcionales y de integridad) de las funciones instrumentadas de seguridad y como se deben diseñar e implementar en el sistema instrumentado de seguridad Estado seguro. Estado que debe tener el equipo o proceso bajo control después de la operación requerida del SIS Evaluación de la seguridad funcional. Investigación, basada en evidencias, para evaluar la seguridad funcional alcanzada por una o más capas de protección Falla. Terminación de la capacidad de una unidad funcional para desempeñar una función requerida Falla de causa común. Falla resultado de uno o más eventos, causando fallas a dos o más componentes separados en un sistema de múltiples componentes, conduciendo a una falla del SIS Falla de modo común. Falla de dos o más componentes de la misma manera, provocando el mismo resultado erróneo Fallas no detectadas, no reveladas. Se refiere a los fallos de hardware y software no encontrados por pruebas de diagnóstico o durante la operación normal Falla peligrosa. Falla que tiene el potencial de poner el sistema instrumentado de seguridad en un estado peligroso o de falla en su operación Falla segura. Es una falla la cual no tiene el potencial para poner el Sistema Instrumentado de Seguridad en un estado peligroso o de falla para funcionar Fallas sistemáticas. Fallas debido a errores (incluyendo equivocaciones y omisiones) en las actividades del ciclo de vida de seguridad, las cuáles causan que el SIS falle bajo alguna combinación particular

11 PÁGINA 11 DE 81 de entradas o bajo ciertas condiciones ambientales, que sólo pueden ser eliminada por una modificación del diseño o del proceso de fabricación, procedimientos operacionales, documentación u otros factores relevantes Fallo. Condición anormal que puede causar una reducción o pérdida de la capacidad de una unidad funcional para desempeñar una función requerida Fase. Periodo dentro del ciclo de vida de seguridad donde las actividades descritas en esta norma se deben llevar a cabo Filosofía de operación. Este documento debe contener la narrativa - diagramas lógicos y narrativa - diagramas causa y efecto Fracción de falla segura. Fracción del total de la tasa de fallas aleatorias del equipo de un dispositivo que resulta en una falla segura o falla peligrosa detectada Función Instrumentada de Seguridad-FIS (SIF). Función de seguridad con un NIS (SIL) específico para lograr la seguridad funcional y que puede ser una FIS (SIF) de protección o una FIS (SIF) de control Función instrumentada de seguridad de control. FIS (SIF) con un NIS (SIL) específico operando en modo continuo que es requerido para prevenir que surja una condición peligrosa y/o para mitigar sus consecuencias Función de seguridad. Función para ser implementada por un SIS, u otros sistemas relacionados con la tecnología de seguridad los cuales son destinados para lograr o mantener un estado seguro para el proceso, con respecto a un evento específico peligroso Función instrumentada de seguridad en modo bajo demanda. Acción especifica que debe tomar una función instrumentada de seguridad FIS (SIF) en respuesta a las condiciones de demanda del proceso. En presencia de falla peligrosa de la Función Instrumentada de Seguridad FIS (SIF) un peligro potencial solo ocurrirá si existe un evento de falla en el proceso o en el SCBP (BPCS) o SDMC (Ver definición modo de operación) Función instrumentada de seguridad en modo continúo. Es aquélla en la cual en presencia de una falla peligrosa de la Función Instrumentada de Seguridad FIS (SIF) ocurrirá un peligro potencial sin que se presente una falla adicional a menos que se tome acción para prevenirlo. (Ver definición modo de operación) Homologar (calibrar). Tomar el criterio de aceptación del riesgo de cada organismo subsidiario de PEMEX o en su defecto tomar la indicada en la NRF-018-PEMEX Intervalo de prueba. Intervalo de tiempo entre pruebas funcionales Integridad de seguridad. Probabilidad promedio de que una FIS (SIF) se desempeñe satisfactoriamente bajo las condiciones y período de tiempo establecidos Lenguaje de Variabilidad Completa-LVC (FVL). Lenguaje diseñado para ser comprensible para los programadores de computadoras y proporciona la capacidad para implementar una amplia variedad de funciones y aplicaciones (A, Pascal, lenguaje ensamblador, C++, Java, SQL, entre otros) Lenguaje de Variabilidad Limitada-LVL. Lenguaje diseñado para ser comprensible por los usuarios del sector de proceso, y proporciona la posibilidad de combinar funciones predefinidas de aplicaciones específicas, de librería, para implementar las especificaciones de los requisitos de seguridad (de acuerdo con IEC ).

12 PÁGINA 12 DE Lenguaje Fijo de Programación-LFP (FPL). Lenguaje de programación, donde el usuario solo configura algunos parámetros (rangos, niveles de alarma, entre otros) Manual de seguridad. Manual que define la forma en que el dispositivo, subsistema o sistema puede ser aplicado bajo condiciones de seguridad Modo de operación. Existen dos modos de operación de un Sistema Instrumentado de Seguridad, dependiendo de la frecuencia de demanda los cuales son: Modo de demanda baja (En demanda).- es el modo en el cual la frecuencia de demandas para la operación del SIS no es mayor de una por año y no es mayor que el doble de la frecuencia de pruebas. Modo de demanda alta (Continuo).- es el modo en el cual la frecuencia de demandas para la operación del SIS es mayor de una por año o es mayor que el doble de la frecuencia de pruebas Modo degradado. Es aquél estado en el cuál el SIS aún está operando satisfactoriamente pero se encuentra vulnerable con respecto a fallas posteriores Nivel de Integridad de Seguridad-NIS (SIL). Es un nivel discreto para la especificación de los requisitos de integridad de las funciones instrumentadas de seguridad a ser asignadas a sistemas instrumentados de seguridad. Cada nivel discreto se refiere a cierta probabilidad de que un sistema referido a seguridad realice satisfactoriamente las funciones de seguridad requeridas bajo todas las condiciones establecidas en un periodo de tiempo dado. Ver Tablas 2 y Peligro. Fuente potencial de daño Probabilidad de Falla bajo Demanda-PFD. Un valor que indica la probabilidad de que un SIS falle para responder a una demanda Procesador lógico. Sistema o elemento electrónico diseñado para tomar las acciones requeridas sobre la base de una lógica determinada, estos sistemas incluyen módulos de entrada y salida Programas de aplicación. Programa específico para la aplicación del usuario. En general, contiene secuencias de la lógica, permisivos, límites y expresiones que controlan la entrada, salida, los cálculos, las decisiones requeridas para cumplir los requisitos de las FIS Programas de utilerías. Herramientas del programa para la creación, modificación, y la documentación de los programas de aplicación. Estas herramientas del programa no son requeridas para el funcionamiento del SIS Programas embebidos. Programa que es parte del sistema suministrado por el fabricante y no es accesible para su modificación por el usuario final Prueba en línea. Prueba requerida para confirmar la correcta operación del SIS cuando el equipo o proceso que está bajo su control, está en operación Prueba funcional. Actividad periódica para verificar que el SIS esta en operación de acuerdo a la especificación de los requisitos de seguridad Prueba integral. En caso de que el SIS forme parte de un proyecto integral en el cual existan otros equipos que tengan una interrelación con el SIS, se realizan las pruebas integrales del SIS que confirmen la funcionalidad requerida del sistema completo, incluyendo la lógica de acuerdo a las especificaciones de los

13 PÁGINA 13 DE 81 requisitos de diseño. Esta verificación se realiza después de que las pruebas OSAT del SIS han sido completadas Prueba rigurosa. Prueba desarrollada para revelar fallos no detectados en un sistema instrumentado de seguridad a fin de que, si es requerido, el sistema se pueda restaurar conforme a su funcionalidad de diseño Reducción de riesgo objetivo. Reducción requerida del riesgo a un nivel tolerable Redundancia. Uso de múltiples elementos o sistemas, para desempeñar la misma función. Puede ser implementada por elementos idénticos (redundancia idéntica) o por elementos diferentes (redundancia diversa) Relé. Relevador. Tecnología usada en Sistemas Instrumentados de Seguridad basada en señales lógicas discretas (encendido/apagado) Resolvedor lógico. Aquélla parte del SCBP (BPCS) o SIS que desempeña una o más funciones lógicas, pueden ser las siguientes: - Sistemas eléctricos lógicos usando tecnología electro-mecánica - Sistemas lógicos electrónicos usando tecnología electrónica - Sistemas lógicos Electrónico Programable (EP) usando sistemas electrónicos programables Así mismo, entre otros, los sistemas pueden ser: eléctricos, electrónicos, electrónicos programables, neumáticos e hidráulicos. Los sensores y elementos finales no forman parte del resolvedor lógico Riesgo. Combinación de la frecuencia de ocurrencia del daño y la gravedad de ese daño Riesgo del proceso. Los riesgos derivados de las condiciones del proceso causados por eventos anormales [incluyendo mal funcionamiento del SCBP (BPCS) o SDMC] Riesgo tolerable. Riesgo que es aceptado en un contexto determinado sobre la base de los valores actuales de la sociedad Seguridad. Libre de un riesgo inaceptable Seguridad funcional. Parte de la seguridad total relacionada con el proceso y el SCBP (BPCS) o SDMC que depende del correcto funcionamiento del SIS y otras capas de protección Sensor. Dispositivo o combinación de dispositivos que miden las condiciones del proceso (transmisores, interruptores de proceso, interruptores de posición, entre otros) Sistema. Conjunto de elementos, que interactúan de acuerdo a un diseño, un elemento de un sistema puede ser otro sistema, llamado un subsistema, que puede ser un sistema de control o un sistema controlado y puede incluir el equipo, programas y la interacción humana Sistema de control básico de proceso-scbp (BPCS) o SDMC. Sistema que responde a señales de entrada del proceso, sus equipos asociados, a otros sistemas programables y/o un operador y genera señales de salida causando que el proceso y sus equipos asociados operen en el modo deseado, pero que no desempeña ninguna función instrumentada de seguridad Sistemas de paro neumático. Sistema de seguridad que opera con suministro de aire o gas y es aplicable en donde no está disponible la energía eléctrica Sistemas de seguridad. Es todo aquél sistema que implanta las funciones de seguridad requeridas para mantener un estado seguro en el equipo bajo control.

14 PÁGINA 14 DE Sistema Instrumentado de Seguridad-SIS. Es un sistema compuesto por sensores, resolvedores lógicos y elementos finales que tiene el propósito de llevar al proceso a un estado seguro cuando se han violado condiciones predeterminadas. Otros términos comúnmente usados son Sistema de Paro por Emergencia (ESD) o Sistema de Seguridad del Proceso o Interlocks de seguridad Tasa de demanda. La frecuencia con el cuál un SIS es requerido para realizar su función Tasa de fallas (λ). Es la tasa promedio a la cual se espera que ocurran fallas de los componentes del SIS Tiempo medio de disparo en falso. Tiempo medio para que se presente una falla del SIS que resulta en un paro en falso del proceso o del equipo bajo control Tiempo medio de reparación. El tiempo medio para reparar un elemento del SIS. Este tiempo abarca los tiempos involucrados desde que la falla ocurre hasta que la reparación se ha completado y el dispositivo ha regresado a operación normal Tolerancia a fallos. Es la capacidad de una unidad funcional para continuar desempeñando una función requerida en la presencia de fallos o errores Tolerancia a fallos de hardware. Es la capacidad de una unidad funcional para continuar desempeñando la función de seguridad en la presencia de una o más fallas peligrosas en hardware Validación. Confirmación por medio de revisión y suministro de evidencia objetiva de que los requisitos particulares para un uso específico son totalmente cumplidos Verificación. Confirmación por medio de revisión y suministro de evidencia objetiva del cumplimiento total de los requisitos para cada fase del ciclo de vida de seguridad. 7 SÍMBOLOS Y ABREVIATURAS ACP ANSI BMS BPCS CD Análisis de Capas de Protección American National Standards Institute (Instituto de Estándares Nacionales Americanos) Burner Management System (Sistemas de Control de Quemado) Basic Process Control System (SCBP Sistema de Control Básico de Proceso) Cobertura de Diagnostico CNPMOS Comité de Normalización de E/E/EP EMC EP FAT Eléctrico/Electrónico/Electrónico Programable Electromagnetic compatibility (CEM Compatibilidad electromagnética) Electrónicos Programables Factory Acceptance Test (Pruebas de Aceptación en Fábrica)

15 PÁGINA 15 DE 81 FMEA Failure Modes and Effects Analysis (AMFE Análisis de Modos de Falla y Efectos) FPL Limited Variability Language (LFP Lenguaje Fijo de Programación) FRR FVL HFT HIPPS HMI IEC I/O ISA LVL MTTF MTTFs MTTR OREDA OSAT PEMEX PFD prom SDMC SFF SIF SIL avg SIS SRAM SRS TÜV Factor de Reducción de Riesgo Full Variabilty Language (LVC Lenguaje de Variabilidad Completa) Hardware Fault Tolerance (TFE Tolerancia a Fallos en Equipo) High Integrity Pressure Protection Systems (Sistemas de Protección de Presión de Alta Integridad) Human Machine Interface (IHM Interfase Humano Maquina) International Electrotechnical Commission (Comisión Electrotécnica Internacional) Input/Output [E/S Entrada(s)/Salida(s)] International Society of Automation (Sociedad Internacional de Automatización) Limited Variability Language (Lenguaje de Variabilidad Limitada) Mean Time To Failure (Tiempo Medio de Falla) Mean Time to Failure Spurious (Tiempo Medio entre Disparos en Falso) Mean Time To Repair (Tiempo Medio de Reparación) Offshore Reliability Data (Datos de Confiabilidad Costa fuera) On Site Acceptance Test (Pruebas de Aceptación en Sitio) Probabilidad de falla bajo demanda objetivo promedio Sistema Digital de Monitoreo y Control Safe Failure Fraction (FFS Fracción de Falla Segura) Safety Instrumented Function (FIS Función Instrumentada de Seguridad) Safety Integrity Level average (NIS prom Nivel de Integridad de Seguridad promedio) Safety Instrumented System (Sistema Instrumentado de Seguridad) Static Random Access Memory (Memoria Estática de Acceso Aleatorio) Safety Requirement Specification (ERS Especificación de los Requisitos de Seguridad) Technischer Uberwachungs Veriein (Entidad de Pruebas Alemana)

16 PÁGINA 16 DE 81 λ Tasa de fallas Para los efectos de esta norma de referencia con relación a símbolos y abreviaturas de las unidades de medida, aplica NOM-008-SCFI DESARROLLO En la mayoría de los procesos industriales, la mejor seguridad se logra por un diseño inherentemente seguro del proceso. Las capas de protección juegan un papel importante para la reducción de riesgo. En caso de ser requerido, esto se puede combinar con un sistema de protección para tratar cualquier riesgo residual identificado, tal es el caso de los Sistemas Instrumentados de Seguridad (SIS) de tecnología electrónica programable. Los SIS son muy importantes en la administración de riesgos en los procesos industriales debido a que cumplen una función primordial disminuyendo su probabilidad de los eventos de riesgo o minimizando la severidad al personal, al medio ambiente y a las instalaciones. Los riesgos se deben prevenir como un objetivo inicial desde el inicio del ciclo de vida de seguridad funcional y deben ser reducidos a un nivel tolerable aceptable. Esta norma de referencia tiene dos conceptos que son fundamentales para su aplicación; el Ciclo de Vida de Seguridad y los Niveles de Integridad de Seguridad; y describe todas las fases del Ciclo de Vida de Seguridad desde el inicio conceptual, diseño, implementación, operación y mantenimiento hasta el desmantelamiento de los SIS. El proveedor o contratista encargado del diseño o suministro de los SIS debe cumplir con esta norma de referencia para la determinación y aplicación de los SIS para los Sistemas de Paro por Emergencia de las diferentes instalaciones petroleras de PEMEX. El proveedor o contratista durante el desarrollo de las actividades que contempla esta norma de referencia debe seguir el esquema de la Figura 1 en la cual se describe la relación entre las funciones instrumentadas de seguridad y otras funciones, y el esquema de la Figura 2 la cual describe las fases del ciclo de vida de seguridad y las etapas de evaluación de la seguridad funcional del SIS.

17 PÁGINA 17 DE 81 Inicio No Es una función instrumentada? Si Si Relacionada con seguridad No Si Función instrumentada de seguridad? No No relevante Control básico de proceso y/o función de protección de los bienes Continuo Modo Demanda Función instrumentada de seguridad de protección Otros medios de reducción de riesgo Función Instrumentada de seguridad de control Prevención Tipo? Mitigación Función Instrumentada de seguridad de prevención Sistema de Paro por Emergencia Función Instrumentada de seguridad de mitigación Esta figura especifica las actividades que se deben llevar a cabo, pero no detalla sus requisitos específicos según lo punteado Figura 1. Relación entre las funciones instrumentadas de seguridad y otras funciones Para lograr la implantación de la seguridad funcional de un SIS se deben contemplar los requisitos establecidos en el ciclo de vida de la figura 2. PEMEX debe determinar cuáles requisitos debe desarrollar el proveedor o contratista y cuales requisitos proporciona PEMEX. 8.1 Administración de la seguridad funcional El modelo del ciclo de vida indica en su requisito 10, ver figura 2 de esta norma de referencia, que debe existir una administración de la seguridad funcional y evaluación y auditoria, por lo tanto la organización (PEMEX) en

18 PÁGINA 18 DE 81 sus funciones de calidad puede contar con estas actividades que cubran la implantación de la administración o en su defecto tiene que definir en sus bases de licitación la contratación de estos servicios Requisitos General El proveedor o contratista si así lo solicitó PEMEX debe identificar, evaluar y establecer las políticas y estrategias para la administración de la seguridad funcional Organización y recursos El proveedor o contratista, si así lo solicitó PEMEX debe llevar a cabo las actividades para la implantación de la administración de la seguridad del SIS y debe identificar e informar las responsabilidades que se han asignado a las personas, departamentos, organismos u otras unidades que estén encargados de realizar y revisar cada una de las fases del Ciclo de Vida de Seguridad de los SIS aplicables para Sistemas de Paro por Emergencia Evaluación y administración de riesgos El personal responsable para llevar a cabo la evaluación y administración de riesgos debe tener identificados los peligros, evaluando los riesgos y haber determinado la reducción de riesgos como se define en 8.4 análisis y evaluación de riesgos de proceso, en esta norma de referencia Planeación El personal responsable de la implantación de la administración de seguridad funcional debe realizar la planeación de la misma para definir las actividades que se requieren llevar a cabo en conjunto con las personas, departamentos, organismos u otras unidades responsables de estas actividades. Esta planeación se debe actualizar cuando así sea requerido por PEMEX durante todo el Ciclo de Vida de Seguridad del SIS Implementación y monitoreo Una vez concluidas las actividades de análisis y evaluación de riesgos, Evaluación y Auditoria, Verificación y Validación, el grupo de trabajo de la implantación de la administración por parte del proveedor o contratista debe elaborar los procedimientos para garantizar el seguimiento y cumplimiento de las recomendaciones que surgieron relacionadas con el SIS Los procedimientos deben evaluar el desempeño de los SIS contra los requisitos técnicos y documentales de esta norma de referencia y de los requisitos específicos del proyecto para: a) Identificar y prevenir casos de fallas sistemáticas que pueden poner en peligro la seguridad de la instalación b) Evaluar si las tasas de fallas peligrosas de los SIS están en conformidad con el diseño c) Evaluar la tasa de demanda sobre las FIS (SIF) durante la operación real para verificar los requisitos del nivel de integridad Evaluación, auditoria y revisiones Evaluación de la seguridad funcional

19 PÁGINA 19 DE 81 El personal responsable para llevar a cabo la evaluación de la seguridad funcional debe contar con procedimientos para asegurar que todos los requisitos y etapas a evaluar se cumplan (ver 8.1 de esta norma de referencia) El proveedor o contratista debe incluir al menos un especialista certificado, en seguridad funcional para la validación y la evaluación funcional de las etapas 1, 2 y 3 del ciclo de vida de seguridad (ver figura 2 de esta norma de referencia) y este debe ser certificado (como lo establece la Ley Federal sobre Metrología y Normalización) en Seguridad Funcional por Exida (Certified Functional Safety Expert CFSE) o por TÜV (Functional Safety Expert FSE), quien debe ser una tercería en el equipo de trabajo para el diseño del proyecto (SIS). El responsable por parte del proveedor o contratista al planear una evaluación de la seguridad funcional debe considerar: a) El alcance de la evaluación b) Quién va a participar c) Las habilidades, responsabilidades y autoridades del equipo de evaluación d) La información que se genera como resultado de la evaluación e) La identidad de cualquier otro organismo de seguridad involucrada en la evaluación f) Los recursos requeridos para completar la actividad de evaluación g) El nivel de independencia del equipo de evaluación h) Los medios por los cuales la evaluación se debe renovar después de las modificaciones Se deben identificar durante la planeación de la seguridad las etapas del ciclo de vida de seguridad en las cuales se deben llevar a cabo las actividades de evaluación de la seguridad funcional Después de que se haya realizado alguna modificación durante la operación, se deben introducir los nuevos peligros identificados en las actividades adicionales de evaluación de la seguridad funcional Al término de cada una de las siguientes etapas, el proveedor o contratista debe realizar las actividades de evaluación de la seguridad funcional (ver Figura 2 de esta norma de referencia). a) Etapa 1. Análisis y evaluación de riesgos, identificación de las capas de protección y la especificación de los requisitos de seguridad b) Etapa 2. Diseño del SIS c) Etapa 3. Instalación, comisionamiento y validación final del SIS y desarrollo de procedimientos de operación y de mantenimiento d) Etapa 4. Adquisición experiencia en la operación y mantenimiento e) Etapa 5. Modificación y desmantelamiento de un SIS Así mismo, al inicio y término de cada una de las etapas, el proveedor o contratista debe cumplir con todos los lineamientos de seguridad industrial que se tengan establecidos en cada centro de trabajo de Petróleos Mexicanos y en instalaciones terrestres y costa fuera Para determinar el número, el tamaño y el alcance de la evaluación de las actividades de la seguridad funcional se deben tomar en cuenta los siguientes factores: a) Tamaño del proyecto b) Grado de complejidad c) Nivel de Integridad de Seguridad-NIS (SIL) d) Duración del proyecto e) Consecuencia en un evento de falla f) Grado de normalización de las características de diseño g) Requisitos normativos de seguridad

20 PÁGINA 20 DE 81 h) La experiencia previa con un diseño similar Administración de la seguridad funcional y Estructura y planeación del ciclo de vida de seguridad 1 Análisis de riesgos y peligros del proceso (8.4) Verificación evaluación y auditoria de la seguridad funcional Asignación de funciones de seguridad para las capas de protección 2 (8.5) Especificación de requisitos específicos de seguridad para los SIS (8.6 y 8.8) 3 Diseño e ingeniería de los sistemas instrumentados de seguridad (8.7 y 8.8) 4 Etapa 1 Diseño y desarrollo de otras maneras de reducción de riesgo (8.5) Etapa 2 5 Instalación, comisionamiento y validación (8.10 y 8.11) Etapa 3 6 Operación y mantenimiento (8.12) Etapa 4 8.3, y Modificación (8.13) Etapa Simbología Dirección del flujo de información 8 Desmantelamiento (8.14) 9 Requisitos no detallados en esta norma de referencia Requisitos detallados en esta norma de referencia NOTA 1. Las etapas 1 a la 5 están definidas en al de esta norma de referencia Figura 2. Fases del ciclo de vida de seguridad y etapas de evaluación de la seguridad funcional del SIS

21 PÁGINA 21 DE El personal responsable del proveedor o contratista debe realizar al menos una evaluación de seguridad funcional para asegurar que los peligros del proceso y equipo asociado estén bajo control. Como mínimo debe realizar una evaluación de la seguridad funcional antes de que se presenten los peligros identificados (etapa 3). El equipo de evaluación del proveedor o contratista antes de que se presenten dichos peligros debe confirmar que: a) Se ha realizado el análisis y evaluación de riesgos (ver 8.4 de esta norma de referencia) b) Se han aplicado las recomendaciones derivadas del análisis y evaluación de riesgos al SIS c) Se han ejecutado los procedimientos de cambios al diseño del proyecto d) Se han atendido las recomendaciones derivadas de la evaluación anterior de la seguridad funcional e) El SIS está diseñado, construido e instalado de conformidad con la especificación de los requisitos de seguridad de esta norma de referencia y de los requisitos específicos del proyecto, y se han identificado y resuelto las diferencias f) Se encuentran en el sitio de la instalación los procedimientos de seguridad, operación, mantenimiento y emergencia relativos al SIS, en idioma español g) Se ha realizado la planeación de la validación del SIS h) Se ha terminado la capacitación de los empleados y se ha proporcionado al personal de operación y mantenimiento la información requerida acerca del SIS Cuando las herramientas de producción y desarrollo se utilicen para cualquier actividad del ciclo de vida de seguridad, se deben sujetar a una evaluación de la seguridad funcional Auditoria y revisión Los resultados de la evaluación, así como toda la información relevante de la seguridad funcional deben estar disponibles junto con cualquier recomendación procedente de esta evaluación El personal responsable de la implantación de la administración de la seguridad funcional por parte del proveedor o contratista debe definir y ejecutar los procedimientos para cumplir con la auditoria por una tercería, los cuales deben incluir la frecuencia de las actividades de auditoria y el grado de independencia entre los participantes que realizan el trabajo y los que realizan las actividades de auditoria además del registro y seguimiento de las actividades El proveedor o contratista para la implantación de la administración de la seguridad funcional debe tener en sitio los procedimientos de modificación para iniciar, documentar, revisar, aprobar y aplicar los cambios en el SIS Administración de la configuración del SIS El proveedor o contratista debe tener disponibles para la consulta de PEMEX los procedimientos para la administración de la configuración del SIS durante las fases del Ciclo de Vida de Seguridad de los programas y del SIS, en particular debe especificar lo siguiente: a) La etapa de implementación del control formal de la configuración b) Los procedimientos autorizados que se deben utilizar para la identificación única de todas las partes que constituyen una partida de equipo y programas, en idioma español c) Los procedimientos autorizados para prevenir la entrada de servicio de las partidas no autorizadas, en idioma español

22 PÁGINA 22 DE Requisitos del Ciclo de Vida de Seguridad El proveedor o contratista previo a la primera etapa del ciclo de vida de seguridad del SIS y para el caso de esta norma de referencia debe contar con el diseño conceptual del proceso incluyendo las filosofías de operación, los diagramas de tubería e instrumentación y diagramas de flujo de proceso, planos de localización general del equipo, las hojas de datos del equipo de proceso y la especificación técnica del sistema básico de control del proceso, tomando en consideración las condiciones ambientales del lugar. El proveedor o contratista debe aplicar el Ciclo de Vida de Seguridad el cual debe comprender las actividades para la implantación de los Sistemas Instrumentados de Seguridad (SIS) desde la concepción inicial hasta el desmantelamiento (ver Figura 2 de esta norma de referencia). Sin embargo, las primeras etapas del Ciclo de Vida de Seguridad, marcadas con línea intermitente en la Figura 2 de esta norma de referencia, el análisis y evaluación de riesgos de proceso y la asignación de funciones de seguridad para las capas de protección, se encuentran fuera del alcance de los requisitos específicos de la presente norma de referencia. Los resultados de estas etapas son datos de entrada al desarrollo de esta norma de referencia, por lo anterior, la eficacia y eficiencia en la aplicación de esta norma de referencia depende de la confiabilidad y exactitud de dichos datos. El proveedor o contratista debe cumplir con los objetivos de este numeral para lo cual debe definir las fases, establecer los requisitos, y organizar las actividades del Ciclo de Vida de Seguridad; así mismo asegurar que exista una planeación que asegure que los SIS deben cumplir los requisitos de seguridad de esta norma de referencia y los requisitos específicos del proyecto Requisitos El proveedor o contratista debe definir durante la planeación de seguridad que se incorporen los requisitos de esta norma de referencia en el Ciclo de Vida de Seguridad Cada fase del Ciclo de Vida de Seguridad se debe definir en términos de entradas, salidas y actividades de verificación, conforme a la Tabla 1 de esta norma de referencia: Fase o actividad del Ciclo de Vida de Seguridad Figura 2 Caja numero Titulo 1 Análisis y evaluación de riesgos 2 Asignación de funciones de seguridad para las capas de protección Objetivos Determinar los peligros y eventos peligrosos del proceso y los equipos asociados, la secuencia de eventos que condujeron al evento peligroso, los riesgos asociados del proceso con el evento peligroso, los requisitos para la reducción de los riesgos y las funciones de seguridad requeridas para lograr la reducción de riesgo objetivo Asignación de las funciones de seguridad para las capas de protección y para cada FIS, el NIS (SIL) asociado Requisitos numeral de esta norma Entradas de referencia 8.4 Diseño de proceso, planos de distribución de personal, objetivos de seguridad, estas metas las debe suministrar PEMEX (según el organismo subsidiario) y de acuerdo al proyecto que esté desarrollando. 8.5 Una descripción de las FIS (SIF) requeridas y los requisitos de integridad de seguridad asociados Salidas Una descripción de los peligros, de la función de seguridad requerida y de la reducción de los riesgos asociados Descripción de la asignación de los requisitos de seguridad (ver 8.5 de esta norma de referencia)