NRF-045-PEMEX-2010 COMITÉ DE NORMALIZACIÓN DE PETRÓLEOS MEXICANOS Y ORGANISMOS SUBSIDIARIOS SUBCOMITÉ TÉCNICO DE NORMALIZACIÓN DE PEMEX - EXPLORACIÓN

Y PRODUCCIÓN

28 de Junio de 2010 PÁGINA 1 DE 81

SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL
Esta norma cancela y sustituye a la NRF-045-PEMEX-2002 de fecha 17 de mayo de 2003.

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios

SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL CONTENIDO

NRF-045-PEMEX-2010 REV. 0 PÁGINA 3 DE 81

CAPÍTULO 0 1 2 3 4 5 6 7 8

PÁGINA

INTRODUCCIÓN ................................................................................................................................4 OBJETIVO ..........................................................................................................................................5 ALCANCE ...........................................................................................................................................5 CAMPO DE APLICACIÓN ..................................................................................................................5 ACTUALIZACIÓN ...............................................................................................................................5 REFERENCIAS ...................................................................................................................................6 DEFINICIONES ...................................................................................................................................8 SÍMBOLOS Y ABREVIATURAS ..................................................................................................... 14 DESARROLLO ................................................................................................................................ 16 8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 8.9 8.10 8.11 8.12 8.13 8.14 8.15 Administración de la seguridad funcional ............................................................................. 17 Requisitos del Ciclo de Vida de Seguridad ........................................................................... 22 Verificación............................................................................................................................ 24 Análisis y evaluación de riesgos del proceso ....................................................................... 24 Asignación de funciones de seguridad para capas de protección ....................................... 26 Especificación de los Requisitos de Seguridad-ERS del SIS para paro por emergencia .... 29 Diseño e ingeniería del equipo del SIS ................................................................................. 31 Requisitos para los programas de aplicación incluyendo criterios de selección para los programas de utilerías .......................................................................................................... 51 Pruebas de aceptación en fábrica (FAT) del SIS ................................................................. 66 Instalación y “comisionamiento” del SIS ............................................................................... 68 Validación de seguridad del SIS ........................................................................................... 69 Operación y mantenimiento del SIS ..................................................................................... 73 Modificación del SIS ............................................................................................................. 76 Desmantelamiento del SIS ................................................................................................... 77 Requisitos de Información y documentación ........................................................................ 77

9

RESPONSABILIDADES .................................................................................................................. 78 9.1 9.2 PEMEX .................................................................................................................................. 78 Proveedores o contratistas ................................................................................................... 79

10 11 12

CONCORDANCIA CON NORMAS MEXICANAS O INTERNACIONALES ................................... 79 BIBLIOGRAFÍA ............................................................................................................................... 80 ANEXOS .......................................................................................................................................... 80 12.1 Formato de matriz lógica de causa y efecto del SIS ............................................................ 80

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios 0 INTRODUCCIÓN

SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL

NRF-045-PEMEX-2010 REV. 0 PÁGINA 4 DE 81

Dentro de las principales actividades que se llevan a cabo en Petróleos Mexicanos se encuentra el diseño, construcción, operación y el mantenimiento de las instalaciones para la extracción, recolección, almacenamiento, medición, transporte, procesamientos primario y secundario de hidrocarburos, así como la adquisición de materiales y equipos requeridos, para cumplir con eficacia y eficiencia los objetivos de la empresa. Esta norma refiere a los Sistemas Instrumentados de Seguridad (SIS) para el Sistema de Paro por Emergencia aplicados a la industria de procesos de PEMEX, basado en la especificación del modelo del ciclo de vida, e incluye los componentes y subsistemas requeridos para soportar las funciones instrumentadas de seguridad (FIS), que involucran sensores, resolvedores lógicos y elementos finales. PEMEX emite la presente norma de referencia para definir los requisitos del ciclo de vida del Sistema Instrumentado de Seguridad y su aplicación en los Sistemas de Paro por Emergencia en las instalaciones de Petróleos Mexicanos y Organismos Subsidiarios. Para lograr lo anterior es requerida la participación de las diversas disciplinas de ingeniería para unificar criterios, aprovechar las experiencias diversas y conjuntando los resultados con las investigaciones nacionales e internacionales. Este documento normativo se realizó en atención y cumplimiento a: Ley Federal sobre Metrología y Normalización y su Reglamento Ley de Obras Públicas y Servicios Relacionados con las Mismas y su Reglamento Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público y su Reglamento Ley General de Equilibrio Ecológico y la Protección al Ambiente y sus Reglamentos Guía para la Emisión de Normas de Referencia de Petróleos Mexicanos y Organismos Subsidiarios (CNPMOS001, Rev.1, 30 septiembre 2004) En esta norma participaron, por parte de Pemex: Pemex-Exploración y Producción (PEP) Pemex-Gas y Petroquímica Básica (PGPB) Pemex-Petroquímica (PPQ) Pemex-Refinación (PREF) Petróleos Mexicanos (DCO-DCIDP) Por parte externa:
INSTITUTO MEXICANO DEL PETRÓLEO SCHNEIDER ELECTRIC MÉXICO SMART SAFETY & CONTROL PROVIDER, S.A. DE C.V. INVENSYS SYSTEMS MÉXICO, S.A. ROCKWELL AUTOMATION DE MÉXICO EXIDA CONSULTING MÉXICO ABB MÉXICO S.A. DE C.V. GE FANUC INTELLIGENT PLATFORMS REDCA CURSOS Y SISTEMAS S.A. DE C.V. ISA MÉXICO SIEMENS ARPO SINERGIA TECNOLÓGICA, S.A. DE C.V. EMERSON PROCESS MANAGEMENT S.A. DE C.V. MEDSA/SSCE

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios 1 OBJETIVO SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. 3 CAMPO DE APLICACIÓN Esta norma de referencia es de aplicación general y de observancia obligatoria en la contratación o adquisición de un bien o servicio objeto de la misma.1 del 30 de septiembre de 2004 y dirigirse a: . o prácticas anteriores a la emisión de esta norma de referencia. códigos. y la metodología para verificar que se cumplan dichos requisitos en los procesos industriales de las instalaciones de PEMEX. al menos. esta norma se debe revisar y actualizar. Las propuestas y sugerencias de cambio deben elaborarse en el formato CNPMOS-001-A01. Sistemas de Protección de Presión de Alta Integridad (HIPPS). pruebas. como parte de los requisitos que deben cumplir el proveedor. contratista o licitante. Sin embargo. que lleven a cabo los centros de trabajo de Petróleos Mexicanos y sus Organismos Subsidiarios. operación. 4 ACTUALIZACIÓN Las sugerencias para la revisión de esta norma deben ser enviadas al secretario técnico del Subcomité Técnico de Normalización (SUTEN) de PEP. 2 ALCANCE Esta norma de referencia establece las obligaciones para especificar el diseño. modificación y desmantelamiento de los Sistemas Instrumentados de Seguridad aplicables a los Sistemas de Paro por Emergencia. 0 PÁGINA 5 DE 81 Establecer los requisitos técnicos y documentales que se deben cumplir en la contratación y/o para la adquisición de los Sistemas Instrumentados de Seguridad aplicables a los Sistemas de Paro por Emergencia en las instalaciones de procesos industriales de Petróleos Mexicanos y Organismos Subsidiarios. en el caso que realice cualquiera de las etapas con personal propio. Rev. establecer los requisitos técnicos y documentales para: Administración de la seguridad funcional de los Sistemas Instrumentados de Seguridad. Para el caso de los siguientes sistemas se deben tomar en cuenta: Sistemas de control de quemado (BMS) (aplica solo para acciones que generen el paro de emergencia) Sistemas de paro neumático (no aplica la parte de resolvedor lógico) Sistemas de gas y fuego (no aplica la selección de NIS (SIL) En el caso de SIS existentes diseñados y construidos de acuerdo con normas. Además. de la Guía para la Emisión de Normas de Referencia CNPMOS-001. Por lo que debe ser incluida en los procedimientos de contratación: licitación pública. PEMEX debe determinar en sus bases de licitación los requisitos y etapas del ciclo de vida de seguridad funcional que se deben aplicar. quien debe realizar la actualización de acuerdo a la procedencia de las mismas. instalación. si las sugerencias o recomendaciones de cambio lo ameritan. mantenimiento. o adjudicación directa. Así mismo esta norma de referencia es de aplicación y cumplimiento estricto en todas las áreas de PEMEX. estándares. cada 5 años o antes. invitación a cuando menos tres personas. “comisionamiento”.

fax: 3-26-54 Correo electrónico: luis.5 IEC 61131-2:2007 Programmables controllers – Part 2 Equipment requirements and test (Controladores programables – Parte 2 Pruebas y requisitos para el equipo) 5.9 IEC 61508-2:2000 Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 2: Requirements for electrical/electronic/programmable electronic safety related systems (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad .0) 5.6 IEC 61131-3:2003 Programmable controllers .0 (Condiciones de operación para equipo de medición y control para la industria de proceso.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. Edition 1. Part 3: Mechanical influences. Edición 1.ortiz@pemex. entrada por Bahía del Espíritu Santo S/N Col.1 IEC 60654-1:1993 Industrial-process measurement and control equipment .Edition 1.0 (Equipo de medición y control para la industria de proceso –Condiciones de operación Parte 1 Condiciones climáticas.3 IEC 61000-6-2:2005 Electromagnetic compatibility (EMC) – Part 6: Generic standards – Section 2: Immunity for industrial environments (Compatibilidad electromagnética (CEM) – Parte 6: Normas genéricas – Sección 2: Inmunidad en entornos industriales) 5.0 (Equipo eléctrico de medición. Teléfono directo: 19-44-92-86. 11300 México. control and laboratory use–EMC requirements – Part 1: General requirements CORRIGENDUM 1 .Part 3 Programming languages (Controladores programables – Parte 3 Lenguajes de programación) 5.0) 5. control y para uso de laboratorio –Requerimientos de CEM Parte 1 Requerimientos generales CORRIGENDUM 1 – Edición 1. Edición 2.Parte 1: Requisitos generales) 5. planta baja.2 IEC 60654-3:1983 Operating conditions for industrial-process measurement and control equipment. C. D. edificio “D”.0) 5. Verónica Anzures. 0 PÁGINA 6 DE 81 Pemex-Exploración y Producción Subdirección de Distribución y Comercialización Representación de la Gerencia de Administración del Mantenimiento Bahía de Ballenas # 5.7 IEC 61326-1:2008 Electrical equipment for measurement. Edition 2. F.8 IEC 61508-1:1998 Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 1: General requirements (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad .Operating conditions .4 IEC 61000-6-4:2006 Electromagnetic compatibility (EMC) – Part 6: Generic standards – Section 4: Emission standard for industrial environments (Compatibilidad electromagnética (CEM) – Parte 6: Normas genéricas – Sección 4: Norma de emisiones en entornos industriales) 5. P. extensión: 3-80-80.Parte 2: Requisitos para los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad) . conmutador: 19-44-25-00.Part 1: Climatic conditions.com 5 REFERENCIAS 5.

23 NOM-001-SEDE-2005 Instalaciones Eléctricas (Utilización) NOM-008-SCFI-2002 Sistema general de unidades de medida NRF-018-PEMEX-2007 Estudios de riesgo NRF-036-PEMEX-2003 Clasificación de Áreas Peligrosas y Selección de Equipo Eléctrico NRF-049-PEMEX-2006 Inspección de bienes y servicios . definitions.10 IEC 61508-3:1998 Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 3: Software requirements (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad .14 IEC 61508-7:2000 Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 7: Overview of techniques and measures (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad .Parte 0: Seguridad funcional y la IEC 61508) 5. 0 PÁGINA 7 DE 81 5.Parte 3: Requisitos de los programas “software”) 5.22 5.Parte 7: Descripción de técnicas y medidas) 5.19 5. system.Safety instrumented systems for the process industry sector .18 IEC TR 61508-0:2005 Functional Safety of electrical/electronic/programmable electronic safety-related systems– Part 0: Functional safety and IEC 61508.Sistemas Instrumentados de Seguridad – Para los Procesos del Sector Industrial – Parte 2: Guía de aplicación de la IEC 61511-1) 5. Corrigendum 1 November 2004.Parte 5: Ejemplos de métodos para la determinación de los niveles de integridad de seguridad) 5. (Seguridad Funcional .13 IEC 61508-6:2000 Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad . (Seguridad Funcional .12 IEC 61508-5:1998 Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 5: Examples of methods for the determination of safety integrity levels (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad .Sistemas Instrumentados de Seguridad – Para los Procesos del Sector Industrial – Parte 3: Guía para la determinación del nivel de integridad de seguridad requerido) 5.21 5.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.16 IEC 61511-2:2004 Functional safety – Safety instrumented systems for the process industry sector – Part 2: Guidelines for the application of IEC 61511-1.Part 1: Framework. (Seguridad Funcional . hardware and software requirements. (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad . definiciones. requisitos del software y hardware Corrigendum 1 Nov 2004) 5.Sistemas Instrumentados de Seguridad – Para los Procesos del Sector Industrial – Parte 1: Marco de referencia.20 5.15 IEC 61511-1:2003 Functional safety .Parte 6: Guía de aplicación de la IEC 61508-2 y IEC 61508-3) 5.Parte 4: Definiciones y abreviaturas) 5.17 IEC 61511-3:2004 Functional safety – Safety instrumented systems for the process industry sector – Part 3: Guidance for the determination of the required safety integrity levels.11 IEC 61508-4:1998 Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 4: Definitions and abbreviations (Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad . sistema.

sistema de control básico de proceso.27 NRF-226-PEMEX-2009 Desplegados gráficos y bases de datos del sistema digital del monitoreo y control de procesos 6 DEFINICIONES 6.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios 5. instalación y modificación. 6. Totalidad de características de una entidad que tienen que ver con su capacidad para satisfacer las necesidades establecidas e implícitas.24 5. procedimientos administrativos. como sensores o elementos finales. prevención o mitigación y que pueden ser entre otros: equipo de proceso. incluye las fases de requisitos. 6. Relación de la tasa de fallas detectadas respecto de la tasa total de fallas de un componente o subsistema de un Sistema Instrumentado de Seguridad.4 Calidad.5 Canal. Secuencia de actividades durante un período de tiempo que va desde la concepción hasta el desuso del programa. entre otros). 6. no incluye las fallas detectadas mediante pruebas rigurosas. Se utiliza para calcular la tasa de fallas detectadas (λdetectadas) y no detectadas (λnodetectadas) de la tasa total de fallas (λtasa total de fallas) de la siguiente manera: λdetectadas = CD × λtasa total de fallas y λnodetectadas = (1-CD) × λtasa total de fallas. prueba.1 Árbol de fallas. 6.6 Capas de protección. Secuencia de actividades involucradas en la implantación de las funciones instrumentadas de seguridad desde el diseño conceptual hasta el desmantelamiento de todas las funciones instrumentadas de seguridad.7 Ciclo de vida de los programas. integración. Arreglo del equipo y/o elementos de programas en un sistema (El arreglo de los subsistemas del Sistema Instrumentado de Seguridad-SIS. Inspección sistemática e independiente para determinar si los procedimientos específicos de los requisitos de seguridad funcional cumplen con lo establecido en la planeación de forma que sean implementados eficazmente y que son los requeridos para alcanzar los objetivos especificados.3 Auditoria de la seguridad funcional. detectados mediante pruebas de diagnóstico. 6. Representación gráfica lógica y organizada de las condiciones ó factores que causan o contribuyen a que ocurra un evento no deseado definido. 6. Elemento o grupo de elementos que desempeñan una función de manera independiente. y/o respuestas planeadas para protección contra un riesgo inminente.8 Ciclo de vida de seguridad. El término puede ser usado para describir un SIS completo o una parte de este. 6. .26 NRF-204-PEMEX-2008 Válvulas de bloqueo de emergencia (válvulas de aislamiento de activación remota) 5.2 Arquitectura. desarrollo. Estructura interna de un subsistema del SIS.25 SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. 6.9 Cobertura de Diagnóstico-CD. Cualquier mecanismo independiente que reduce el riesgo por control. Arreglo de programas. 0 PÁGINA 8 DE 81 NRF-111-PEMEX-2006 Equipos de Medición y Servicios de Metrología NRF-152-PEMEX-2006 Actuadores para válvulas 5.

Esto incluye interfaces del operador compartidas. 6. Un indicador del número de grados de libertad al cometer errores. Una condición ó evento que requiere que el SIS lleve a cabo una acción requerida para prevenir un evento peligroso. como consecuencia de los daños a la propiedad o el medio ambiente. 6. 6. Activación de cualquier Función Instrumentada de Seguridad-FIS (SIF) perteneciente al SIS. La remoción completa de un SIS de su servicio activo. ya sea directa o indirectamente.14 Confiabilidad. 6. 0 PÁGINA 9 DE 81 6. 6. Circuitos SIS en donde las salidas y dispositivos se encuentran energizados en operación normal.25 Documento normativo “equivalente”. en la producción y/o instalaciones. Es el documento normativo alterno al que se cita en una NRF. ó para mitigar sus consecuencias. 6.13 Comunicación interna.21 Detectada. 6.16 Daño. Intercambio de datos entre diferentes dispositivos dentro de un procesador electrónico programable dado.12 Comunicación externa. 6. el cual consiste en la remoción de una ó más Funciones Instrumentadas de Seguridad-FIS (SIF) del SIS.11 Complejidad.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. Probabilidad de que un sistema pueda desempeñar una función definida bajo condiciones especificadas para un periodo de tiempo dado. o que se encuentre en mantenimiento. 6. 6.17 Demanda. interfaces de ingeniería/mantenimiento. Un SIS no está disponible si se encuentra en un estado de falla (seguro o peligroso).24 Diversidad. Es un caso particular de modificación. sin existir una demanda real en campo. Cuando se suspende el suministro de energía se produce una acción de disparo. entre otros. Esto incluye conexiones de plano posterior “back plane” del canal de comunicación “bus”. Resultado real o potencial de un evento no deseado. medido por sus efectos en las personas.19 Desmantelamiento. revelada.10 Comisionamiento. 6. siempre y cuando presente las evidencias . de manera que se minimicen las fallas de causa común. Es la verificación y confirmación de que el SIS cumple con las características especificadas en la documentación del diseño detallado y se encuentra listo para las pruebas de prearranque (cuando PEMEX lo solicite en su proceso licitatorio) y/o validación OSAT. así como la reputación e imagen. 6. Probabilidad de que un SIS es capaz de desempeñar un servicio de seguridad bajo demanda (en operación). y que se puede utilizar para la determinación de los valores y parámetros técnicos del bien o servicio que se esté especificando.15 Consecuencia. Con relación a las fallas. Intercambio de datos entre el SIS y una variedad de sistemas o dispositivos que se encuentran fuera del SIS.23 Disponibilidad. en el ambiente. E/S (I/O) del canal de comunicación “bus” locales o remotas. se refiere a las fallas del equipo y fallos en los programas encontrados por pruebas de diagnóstico o durante la operación normal. Lesiones físicas o en la salud de las personas. 6. Uso de dispositivos y equipos con diferentes tecnologías o métodos de diseño que desempeñen una función de seguridad común.22 Disparos en falso. sistemas de adquisición de datos. 6.20 Desmantelamiento parcial.18 Desenergizado para disparo. emitido por una entidad de normalización. 6. entre otros.

6. 6.37 Falla de modo común.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. 6.40 Falla segura. observada. Falla resultado de uno o más eventos. con las mismas características técnicas y de calidad que establezca el documento original de referencia. Fallas debido a errores (incluyendo equivocaciones y omisiones) en las actividades del ciclo de vida de seguridad. Falla de acción humana o falta de acción que produce un resultado imprevisto.29 Energizado para disparo. Se refiere a los fallos de hardware y software no encontrados por pruebas de diagnóstico o durante la operación normal. conduciendo a una falla del SIS. no reveladas. provocando el mismo resultado erróneo.31 Error humano. 6. Estado que debe tener el equipo o proceso bajo control después de la operación requerida del SIS.34 Evaluación de la seguridad funcional. 6. Falla de dos o más componentes de la misma manera.36 Falla de causa común.41 Fallas sistemáticas. basada en evidencias. Circuitos SIS en donde las salidas y dispositivos se encuentran desenergizados en operación normal. que demuestren que cumple como mínimo. Componentes electrónicos o dispositivos que forman parte de un Procesador Electrónico Programable basados en la tecnología de los microprocesadores. las cuáles causan que el SIS falle bajo alguna combinación particular . Basado en tecnología eléctrica (E) y/o electrónica (E) y o electrónica programable-EP. para evaluar la seguridad funcional alcanzada por una o más capas de protección. 6.27 Electrónica Programable-EP. causando fallas a dos o más componentes separados en un sistema de múltiples componentes.38 Fallas no detectadas.26 Eléctrico/Electrónico/Electrónico Programable-E/E/EP. 0 PÁGINA 10 DE 81 documentales. 6. Es una falla la cual no tiene el potencial para poner el Sistema Instrumentado de Seguridad en un estado peligroso o de falla para funcionar. Cuando a dichos circuitos se les aplica energía se produce una acción de disparo. Parte de un sistema instrumentado de seguridad que implementa la acción física requerida para lograr un estado seguro. Terminación de la capacidad de una unidad funcional para desempeñar una función requerida.32 Especificación de Requisitos de Seguridad-ERS. Investigación. 6. Discrepancia entre un valor o condición calculada. 6. o medida y valor o condición teóricamente verdadera. 6. 6.28 Elemento final. 6. La que contiene los requisitos de seguridad (funcionales y de integridad) de las funciones instrumentadas de seguridad y como se deben diseñar e implementar en el sistema instrumentado de seguridad.33 Estado seguro. 6. Falla que tiene el potencial de poner el sistema instrumentado de seguridad en un estado peligroso o de falla en su operación. 6. correcta o especificada. 6. 6.35 Falla. El término engloba tanto el equipo como programas y unidades de entrada y de salida.30 Error.39 Falla peligrosa.

con respecto a un evento específico peligroso. Fracción del total de la tasa de fallas aleatorias del equipo de un dispositivo que resulta en una falla segura o falla peligrosa detectada. C++.49 Función instrumentada de seguridad en modo bajo demanda. 6.44 Filosofía de operación.55 Lenguaje de Variabilidad Limitada-LVL. 6. 6. 6. Condición anormal que puede causar una reducción o pérdida de la capacidad de una unidad funcional para desempeñar una función requerida.43 Fase. Pascal. procedimientos operacionales. 6. Acción especifica que debe tomar una función instrumentada de seguridad FIS (SIF) en respuesta a las condiciones de demanda del proceso. 6. 6. de librería. SQL.53 Integridad de seguridad. 6. FIS (SIF) con un NIS (SIL) específico operando en modo continuo que es requerido para prevenir que surja una condición peligrosa y/o para mitigar sus consecuencias. Tomar el criterio de aceptación del riesgo de cada organismo subsidiario de PEMEX o en su defecto tomar la indicada en la NRF-018-PEMEX-2007. entre otros). Este documento debe contener la narrativa . . Lenguaje diseñado para ser comprensible para los programadores de computadoras y proporciona la capacidad para implementar una amplia variedad de funciones y aplicaciones (A.47 Función instrumentada de seguridad de control. (Ver definición modo de operación). Java.46 Función Instrumentada de Seguridad-FIS (SIF). y proporciona la posibilidad de combinar funciones predefinidas de aplicaciones específicas. que sólo pueden ser eliminada por una modificación del diseño o del proceso de fabricación.54 Lenguaje de Variabilidad Completa-LVC (FVL).42 Fallo. 6.50 Función instrumentada de seguridad en modo continúo. Función para ser implementada por un SIS. Función de seguridad con un NIS (SIL) específico para lograr la seguridad funcional y que puede ser una FIS (SIF) de protección o una FIS (SIF) de control. Lenguaje diseñado para ser comprensible por los usuarios del sector de proceso.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. una FIS (SIF) se desempeñe 6. 6. u otros sistemas relacionados con la tecnología de seguridad los cuales son destinados para lograr o mantener un estado seguro para el proceso. lenguaje ensamblador. documentación u otros factores relevantes. 6. Es aquélla en la cual en presencia de una falla peligrosa de la Función Instrumentada de Seguridad FIS (SIF) ocurrirá un peligro potencial sin que se presente una falla adicional a menos que se tome acción para prevenirlo. 0 PÁGINA 11 DE 81 de entradas o bajo ciertas condiciones ambientales.51 Homologar (calibrar). 6.45 Fracción de falla segura.diagramas lógicos y narrativa diagramas causa y efecto. Probabilidad promedio de que satisfactoriamente bajo las condiciones y período de tiempo establecidos.52 Intervalo de prueba. para implementar las especificaciones de los requisitos de seguridad (de acuerdo con IEC-61131-3). En presencia de falla peligrosa de la Función Instrumentada de Seguridad FIS (SIF) un peligro potencial solo ocurrirá si existe un evento de falla en el proceso o en el SCBP (BPCS) o SDMC (Ver definición modo de operación). Intervalo de tiempo entre pruebas funcionales. 6. Periodo dentro del ciclo de vida de seguridad donde las actividades descritas en esta norma se deben llevar a cabo.48 Función de seguridad.

subsistema o sistema puede ser aplicado bajo condiciones de seguridad. 6.69 Prueba integral. 6. los cálculos.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. Prueba requerida para confirmar la correcta operación del SIS cuando el equipo o proceso que está bajo su control. 6. se realizan las pruebas integrales del SIS que confirmen la funcionalidad requerida del sistema completo.66 . las decisiones requeridas para cumplir los requisitos de las FIS. incluyendo la lógica de acuerdo a las especificaciones de los . 6. Actividad periódica para verificar que el SIS esta en operación de acuerdo a la especificación de los requisitos de seguridad. y la documentación de los programas de aplicación.57 Manual de seguridad. 0 PÁGINA 12 DE 81 6.63 Procesador lógico.. salida. En caso de que el SIS forme parte de un proyecto integral en el cual existan otros equipos que tengan una interrelación con el SIS. dependiendo de la frecuencia de demanda los cuales son: Modo de demanda baja (En demanda).es el modo en el cual la frecuencia de demandas para la operación del SIS es mayor de una por año o es mayor que el doble de la frecuencia de pruebas.61 Peligro. 6.. Cada nivel discreto se refiere a cierta probabilidad de que un sistema referido a seguridad realice satisfactoriamente las funciones de seguridad requeridas bajo todas las condiciones establecidas en un periodo de tiempo dado. contiene secuencias de la lógica. Es aquél estado en el cuál el SIS aún está operando satisfactoriamente pero se encuentra vulnerable con respecto a fallas posteriores. Un valor que indica la probabilidad de que un SIS falle para responder a una demanda.es el modo en el cual la frecuencia de demandas para la operación del SIS no es mayor de una por año y no es mayor que el doble de la frecuencia de pruebas.60 Nivel de Integridad de Seguridad-NIS (SIL). Sistema o elemento electrónico diseñado para tomar las acciones requeridas sobre la base de una lógica determinada. Programa que es parte del sistema suministrado por el fabricante y no es accesible para su modificación por el usuario final. 6. Fuente potencial de daño.64 Programas de aplicación. En general.67 Prueba en línea. niveles de alarma. Manual que define la forma en que el dispositivo.65 Programas de utilerías. 6.58 Modo de operación. permisivos.59 Modo degradado. Es un nivel discreto para la especificación de los requisitos de integridad de las funciones instrumentadas de seguridad a ser asignadas a sistemas instrumentados de seguridad. Estas herramientas del programa no son requeridas para el funcionamiento del SIS.56 Lenguaje Fijo de Programación-LFP (FPL). límites y expresiones que controlan la entrada. Herramientas del programa para la creación. Existen dos modos de operación de un Sistema Instrumentado de Seguridad. 6. Lenguaje de programación.62 Probabilidad de Falla bajo Demanda-PFD. estos sistemas incluyen módulos de entrada y salida. 6. está en operación. Programa específico para la aplicación del usuario. Ver Tablas 2 y 3 6. 6. 6.Programas embebidos. entre otros).68 Prueba funcional. Modo de demanda alta (Continuo). donde el usuario solo configura algunos parámetros (rangos. modificación. 6.

llamado un subsistema. Libre de un riesgo inaceptable. 6.82 Sistema de control básico de proceso-SCBP (BPCS) o SDMC. Combinación de la frecuencia de ocurrencia del daño y la gravedad de ese daño. 6. entre otros). 6. 6. Puede ser implementada por elementos idénticos (redundancia idéntica) o por elementos diferentes (redundancia diversa). 6. Los sensores y elementos finales no forman parte del resolvedor lógico.77 Riesgo tolerable.76 Riesgo del proceso. 6.72 Redundancia.73 Relé. . sus equipos asociados. 6.75 Riesgo.83 Sistemas de paro neumático. neumáticos e hidráulicos. pero que no desempeña ninguna función instrumentada de seguridad. un elemento de un sistema puede ser otro sistema.81 Sistema. pueden ser las siguientes: Sistemas eléctricos lógicos usando tecnología electro-mecánica Sistemas lógicos electrónicos usando tecnología electrónica Sistemas lógicos “Electrónico Programable” (EP) usando sistemas electrónicos programables Así mismo. Relevador. interruptores de proceso. Riesgo que es aceptado en un contexto determinado sobre la base de los valores actuales de la sociedad. 6.80 Sensor.70 Prueba rigurosa. Sistema que responde a señales de entrada del proceso. Los riesgos derivados de las condiciones del proceso causados por eventos anormales [incluyendo mal funcionamiento del SCBP (BPCS) o SDMC]. Conjunto de elementos. que puede ser un sistema de control o un sistema controlado y puede incluir el equipo. si es requerido. Sistema de seguridad que opera con suministro de aire o gas y es aplicable en donde no está disponible la energía eléctrica.74 Resolvedor lógico. Tecnología usada en Sistemas Instrumentados de Seguridad basada en señales lógicas discretas (encendido/apagado). Uso de múltiples elementos o sistemas. el sistema se pueda restaurar conforme a su funcionalidad de diseño. 6.71 Reducción de riesgo objetivo. a otros sistemas programables y/o un operador y genera señales de salida causando que el proceso y sus equipos asociados operen en el modo deseado. electrónicos. Esta verificación se realiza después de que las pruebas OSAT del SIS han sido completadas. 0 PÁGINA 13 DE 81 requisitos de diseño. Reducción requerida del riesgo a un nivel tolerable. programas y la interacción humana. los sistemas pueden ser: eléctricos. Parte de la seguridad total relacionada con el proceso y el SCBP (BPCS) o SDMC que depende del correcto funcionamiento del SIS y otras capas de protección. que interactúan de acuerdo a un diseño.79 Seguridad funcional. entre otros. Aquélla parte del SCBP (BPCS) o SIS que desempeña una o más funciones lógicas. Es todo aquél sistema que implanta las funciones de seguridad requeridas para mantener un estado seguro en el equipo bajo control. 6.78 Seguridad. electrónicos programables. para desempeñar la misma función. 6. interruptores de posición. Prueba desarrollada para revelar fallos no detectados en un sistema instrumentado de seguridad a fin de que. 6. Dispositivo o combinación de dispositivos que miden las condiciones del proceso (transmisores. 6. 6.84 Sistemas de seguridad. 6.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.

Confirmación por medio de revisión y suministro de evidencia objetiva del cumplimiento total de los requisitos para cada fase del ciclo de vida de seguridad. Es la capacidad de una unidad funcional para continuar desempeñando la función de seguridad en la presencia de una o más fallas peligrosas en hardware.89 Tiempo medio de reparación. 6. Es un sistema compuesto por sensores. 7 ACP ANSI BMS BPCS CD SÍMBOLOS Y ABREVIATURAS Análisis de Capas de Protección American National Standards Institute (Instituto de Estándares Nacionales Americanos) Burner Management System (Sistemas de Control de Quemado) Basic Process Control System (SCBP Sistema de Control Básico de Proceso) Cobertura de Diagnostico CNPMOS Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios E/E/EP EMC EP FAT Eléctrico/Electrónico/Electrónico Programable Electromagnetic compatibility (CEM Compatibilidad electromagnética) Electrónicos Programables Factory Acceptance Test (Pruebas de Aceptación en Fábrica) . 0 PÁGINA 14 DE 81 6.92 Validación. La frecuencia con el cuál un SIS es requerido para realizar su función.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. Otros términos comúnmente usados son Sistema de Paro por Emergencia (ESD) o Sistema de Seguridad del Proceso o “Interlocks” de seguridad. Tiempo medio para que se presente una falla del SIS que resulta en un paro en falso del proceso o del equipo bajo control. 6. Tasa de demanda.93 Verificación.85 Sistema Instrumentado de Seguridad-SIS. Es la capacidad de una unidad funcional para continuar desempeñando una función requerida en la presencia de fallos o errores. Este tiempo abarca los tiempos involucrados desde que la falla ocurre hasta que la reparación se ha completado y el dispositivo ha regresado a operación normal. 6.91 Tolerancia a fallos de hardware.87 SIS. Tasa de fallas (λ).86 6. Confirmación por medio de revisión y suministro de evidencia objetiva de que los requisitos particulares para un uso específico son totalmente cumplidos. 6. Es la tasa promedio a la cual se espera que ocurran fallas de los componentes del 6.88 Tiempo medio de disparo en falso. 6. 6. El tiempo medio para reparar un elemento del SIS. resolvedores lógicos y elementos finales que tiene el propósito de llevar al proceso a un estado seguro cuando se han violado condiciones predeterminadas.90 Tolerancia a fallos.

0 PÁGINA 15 DE 81 Failure Modes and Effects Analysis (AMFE Análisis de Modos de Falla y Efectos) Limited Variability Language (LFP Factor de Reducción de Riesgo Full Variabilty Language (LVC Lenguaje de Variabilidad Completa) Hardware Fault Tolerance (TFE Tolerancia a Fallos en Equipo) High Integrity Pressure Protection Systems (Sistemas de Protección de Presión de Alta Integridad) Human Machine Interface (IHM Interfase Humano Maquina) International Electrotechnical Commission (Comisión Electrotécnica Internacional) Input/Output [E/S Entrada(s)/Salida(s)] International Society of Automation (Sociedad Internacional de Automatización) Limited Variability Language (Lenguaje de Variabilidad Limitada) Mean Time To Failure (Tiempo Medio de Falla) Mean Time to Failure Spurious (Tiempo Medio entre Disparos en Falso) Mean Time To Repair (Tiempo Medio de Reparación) Offshore Reliability Data (Datos de Confiabilidad Costa fuera) On Site Acceptance Test (Pruebas de Aceptación en Sitio) Petróleos Mexicanos y Organismos Subsidiarios Probabilidad de falla bajo demanda objetivo promedio Sistema Digital de Monitoreo y Control Safe Failure Fraction (FFS Fracción de Falla Segura) Safety Instrumented Function (FIS Función Instrumentada de Seguridad) Safety Integrity Level average (NISprom Nivel de Integridad de Seguridad promedio) Safety Instrumented System (Sistema Instrumentado de Seguridad) Static Random Access Memory (Memoria Estática de Acceso Aleatorio) Safety Requirement Specification (ERS Especificación de los Requisitos de Seguridad) Technischer Uberwachungs Veriein (Entidad de Pruebas Alemana) Lenguaje Fijo de Programación) .Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios FMEA FPL FRR FVL HFT HIPPS HMI IEC I/O ISA LVL MTTF MTTFs MTTR OREDA OSAT PEMEX PFDprom SDMC SFF SIF SILavg SIS SRAM SRS TÜV SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.

diseño. tal es el caso de los Sistemas Instrumentados de Seguridad (SIS) de tecnología electrónica programable. el Ciclo de Vida de Seguridad y los Niveles de Integridad de Seguridad. Las capas de protección juegan un papel importante para la reducción de riesgo. al medio ambiente y a las instalaciones. Esta norma de referencia tiene dos conceptos que son fundamentales para su aplicación. y describe todas las fases del Ciclo de Vida de Seguridad desde el inicio conceptual. . El proveedor o contratista durante el desarrollo de las actividades que contempla esta norma de referencia debe seguir el esquema de la Figura 1 en la cual se describe la relación entre las funciones instrumentadas de seguridad y otras funciones. Los SIS son muy importantes en la administración de riesgos en los procesos industriales debido a que cumplen una función primordial disminuyendo su probabilidad de los eventos de riesgo o minimizando la severidad al personal. operación y mantenimiento hasta el desmantelamiento de los SIS.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios λ Tasa de fallas SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. y el esquema de la Figura 2 la cual describe las fases del ciclo de vida de seguridad y las etapas de evaluación de la seguridad funcional del SIS. aplica NOM-008-SCFI-2002 8 DESARROLLO En la mayoría de los procesos industriales. El proveedor o contratista encargado del diseño o suministro de los SIS debe cumplir con esta norma de referencia para la determinación y aplicación de los SIS para los Sistemas de Paro por Emergencia de las diferentes instalaciones petroleras de PEMEX. la mejor seguridad se logra por un diseño inherentemente seguro del proceso. implementación. 0 PÁGINA 16 DE 81 Para los efectos de esta norma de referencia con relación a símbolos y abreviaturas de las unidades de medida. Los riesgos se deben prevenir como un objetivo inicial desde el inicio del ciclo de vida de seguridad funcional y deben ser reducidos a un nivel tolerable aceptable. En caso de ser requerido. esto se puede combinar con un sistema de protección para tratar cualquier riesgo residual identificado.

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. PEMEX debe determinar cuáles requisitos debe desarrollar el proveedor o contratista y cuales requisitos proporciona PEMEX. ver figura 2 de esta norma de referencia. 0 PÁGINA 17 DE 81 Inicio No ¿Es una función instrumentada? Si Si Relacionada con seguridad No Si ¿Función instrumentada de seguridad? No No relevante Control básico de proceso y/o función de protección de los bienes Demanda Modo Función instrumentada de seguridad de protección Continuo Otros medios de reducción de riesgo Función Instrumentada de seguridad de control Prevención ¿Tipo? Mitigación Función Instrumentada de seguridad de prevención Sistema de Paro por Emergencia Función Instrumentada de seguridad de mitigación Esta figura especifica las actividades que se deben llevar a cabo. por lo tanto la organización (PEMEX) en . que debe existir una administración de la seguridad funcional y evaluación y auditoria. pero no detalla sus requisitos específicos según lo punteado Figura 1. Relación entre las funciones instrumentadas de seguridad y otras funciones Para lograr la implantación de la seguridad funcional de un SIS se deben contemplar los requisitos establecidos en el ciclo de vida de la figura 2.1 Administración de la seguridad funcional El modelo del ciclo de vida indica en su requisito 10. 8.

Evaluación y Auditoria.5.1 .1.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.1. en esta norma de referencia.1. organismos u otras unidades que estén encargados de realizar y revisar cada una de las fases del Ciclo de Vida de Seguridad de los SIS aplicables para Sistemas de Paro por Emergencia.2 Organización y recursos El proveedor o contratista.1 8. auditoria y revisiones Evaluación de la seguridad funcional 8. 8. departamentos.4 Planeación El personal responsable de la implantación de la administración de seguridad funcional debe realizar la planeación de la misma para definir las actividades que se requieren llevar a cabo en conjunto con las personas. evaluar y establecer las políticas y estrategias para la administración de la seguridad funcional. organismos u otras unidades responsables de estas actividades.3 Evaluación y administración de riesgos El personal responsable para llevar a cabo la evaluación y administración de riesgos debe tener identificados los peligros.1.1.1. 8.4 análisis y evaluación de riesgos de proceso.1 Los procedimientos deben evaluar el desempeño de los SIS contra los requisitos técnicos y documentales de esta norma de referencia y de los requisitos específicos del proyecto para: a) b) c) Identificar y prevenir casos de fallas sistemáticas que pueden poner en peligro la seguridad de la instalación Evaluar si las tasas de fallas peligrosas de los SIS están en conformidad con el diseño Evaluar la tasa de demanda sobre las FIS (SIF) durante la operación real para verificar los requisitos del nivel de integridad Evaluación.1.6 8.1.1.1. 0 PÁGINA 18 DE 81 sus funciones de calidad puede contar con estas actividades que cubran la implantación de la administración o en su defecto tiene que definir en sus bases de licitación la contratación de estos servicios.6.1. 8. 8. 8. Verificación y Validación. el grupo de trabajo de la implantación de la administración por parte del proveedor o contratista debe elaborar los procedimientos para garantizar el seguimiento y cumplimiento de las recomendaciones que surgieron relacionadas con el SIS. Esta planeación se debe actualizar cuando así sea requerido por PEMEX durante todo el Ciclo de Vida de Seguridad del SIS. evaluando los riesgos y haber determinado la reducción de riesgos como se define en 8.1. si así lo solicitó PEMEX debe llevar a cabo las actividades para la implantación de la administración de la seguridad del SIS y debe identificar e informar las responsabilidades que se han asignado a las personas.1.5 Implementación y “monitoreo” Una vez concluidas las actividades de análisis y evaluación de riesgos.1.1.1. 8. departamentos.1.1 Requisitos General El proveedor o contratista si así lo solicitó PEMEX debe identificar.

1. responsabilidades y autoridades del equipo de evaluación La información que se genera como resultado de la evaluación La identidad de cualquier otro organismo de seguridad involucrada en la evaluación Los recursos requeridos para completar la actividad de evaluación El nivel de independencia del equipo de evaluación Los medios por los cuales la evaluación se debe renovar después de las modificaciones 8. Diseño del SIS Etapa 3. el proveedor o contratista debe cumplir con todos los lineamientos de seguridad industrial que se tengan establecidos en cada centro de trabajo de Petróleos Mexicanos y Organismos Subsidiarios en instalaciones terrestres y costa fuera. Análisis y evaluación de riesgos.2 Se deben identificar durante la planeación de la seguridad las etapas del ciclo de vida de seguridad en las cuales se deben llevar a cabo las actividades de evaluación de la seguridad funcional. El responsable por parte del proveedor o contratista al planear una evaluación de la seguridad funcional debe considerar: a) b) c) d) e) f) g) h) El alcance de la evaluación Quién va a participar Las habilidades.1.1. el tamaño y el alcance de la evaluación de las actividades de la seguridad funcional se deben tomar en cuenta los siguientes factores: a) b) c) d) e) f) g) Tamaño del proyecto Grado de complejidad Nivel de Integridad de Seguridad-NIS (SIL) Duración del proyecto Consecuencia en un evento de falla Grado de normalización de las características de diseño Requisitos normativos de seguridad . en seguridad funcional para la validación y la evaluación funcional de las etapas 1.1. al inicio y término de cada una de las etapas.1.6. Adquisición experiencia en la operación y mantenimiento Etapa 5. 0 PÁGINA 19 DE 81 El personal responsable para llevar a cabo la evaluación de la seguridad funcional debe contar con procedimientos para asegurar que todos los requisitos y etapas a evaluar se cumplan (ver 8. el proveedor o contratista debe realizar las actividades de evaluación de la seguridad funcional (ver Figura 2 de esta norma de referencia). 8.1 de esta norma de referencia). 8.1. 8.1. Modificación y desmantelamiento de un SIS Así mismo.4 Al término de cada una de las siguientes etapas. a) b) c) d) e) Etapa 1.6.5 Para determinar el número.3 Después de que se haya realizado alguna modificación durante la operación.1. Instalación. “comisionamiento” y validación final del SIS y desarrollo de procedimientos de operación y de mantenimiento Etapa 4.1 El proveedor o contratista debe incluir al menos un especialista certificado.1.1.1.1. 2 y 3 del ciclo de vida de seguridad (ver figura 2 de esta norma de referencia) y este debe ser certificado (como lo establece la Ley Federal sobre Metrología y Normalización) en Seguridad Funcional por Exida (Certified Functional Safety Expert CFSE) o por TÜV (Functional Safety Expert FSE). quien debe ser una tercería en el equipo de trabajo para el diseño del proyecto (SIS).6.6. 8.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.6.1.1. se deben introducir los nuevos peligros identificados en las actividades adicionales de evaluación de la seguridad funcional.1. identificación de las capas de protección y la especificación de los requisitos de seguridad Etapa 2.

2 al 8.11) Etapa 3 Operación y mantenimiento (8. comisionamiento y validación (8. Las etapas 1 a la 5 están definidas en 8.12) 6 Etapa 4 8.3.4) 5 8 Figura 2.8. 8.5) 2 1 Verificación Análisis de riesgos y peligros del proceso (8.8) 4 Etapa 2 Instalación.8) 3 Etapa 1 Diseño e ingeniería de los sistemas instrumentados de seguridad (8.1.14) 9 8. 0 PÁGINA 20 DE 81 La experiencia previa con un diseño similar Administración de la seguridad funcional y evaluación y auditoria de la seguridad funcional Especificación de requisitos específicos de seguridad para los SIS (8.1 7 Modificación (8.13) Etapa 5 10 Simbología Dirección del flujo de información Requisitos no detallados en esta norma de referencia Requisitos detallados en esta norma de referencia NOTA 1.7 y 8.1.6.1.1.5 de esta norma de referencia 11 Desmantelamiento (8.2 8.8.6 y 8.7 Diseño y desarrollo de otras maneras de reducción de riesgo (8.5) Estructura y planeación del ciclo de vida de seguridad Asignación de funciones de seguridad para las capas de protección (8.1.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios h) SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.10 y 8.6.1. Fases del ciclo de vida de seguridad y etapas de evaluación de la seguridad funcional del SIS .4 y 8.

revisar.2. El equipo de evaluación del proveedor o contratista antes de que se presenten dichos peligros debe confirmar que: a) b) c) d) e) Se ha realizado el análisis y evaluación de riesgos (ver 8. en idioma español Los procedimientos autorizados para prevenir la entrada de servicio de las partidas no autorizadas. y se han identificado y resuelto las diferencias Se encuentran en el sitio de la instalación los procedimientos de seguridad.2 El proveedor o contratista para la implantación de la administración de la seguridad funcional debe tener en sitio los procedimientos de modificación para iniciar. los cuales deben incluir la frecuencia de las actividades de auditoria y el grado de independencia entre los participantes que realizan el trabajo y los que realizan las actividades de auditoria además del registro y seguimiento de las actividades.1. 8.1.2 Auditoria y revisión Los resultados de la evaluación. 8.1. documentar.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.7 Administración de la configuración del SIS El proveedor o contratista debe tener disponibles para la consulta de PEMEX los procedimientos para la administración de la configuración del SIS durante las fases del Ciclo de Vida de Seguridad de los programas y del SIS. 8. 8.1. en idioma español .1 El personal responsable de la implantación de la administración de la seguridad funcional por parte del proveedor o contratista debe definir y ejecutar los procedimientos para cumplir con la auditoria por una tercería.6. mantenimiento y emergencia relativos al SIS.1.1. Como mínimo debe realizar una evaluación de la seguridad funcional antes de que se presenten los peligros identificados (etapa 3).1. en idioma español Se ha realizado la planeación de la validación del SIS Se ha terminado la capacitación de los empleados y se ha proporcionado al personal de operación y mantenimiento la información requerida acerca del SIS f) g) h) 8.1. aprobar y aplicar los cambios en el SIS.1. así como toda la información relevante de la seguridad funcional deben estar disponibles junto con cualquier recomendación procedente de esta evaluación.4 de esta norma de referencia) Se han aplicado las recomendaciones derivadas del análisis y evaluación de riesgos al SIS Se han ejecutado los procedimientos de cambios al diseño del proyecto Se han atendido las recomendaciones derivadas de la evaluación anterior de la seguridad funcional El SIS está diseñado.2.1. construido e instalado de conformidad con la especificación de los requisitos de seguridad de esta norma de referencia y de los requisitos específicos del proyecto.1. en particular debe especificar lo siguiente: a) b) c) La etapa de implementación del control formal de la configuración Los procedimientos autorizados que se deben utilizar para la identificación única de todas las partes que constituyen una partida de equipo y programas. se deben sujetar a una evaluación de la seguridad funcional.6.6.6 El personal responsable del proveedor o contratista debe realizar al menos una evaluación de seguridad funcional para asegurar que los peligros del proceso y equipo asociado estén bajo control.1.6.6. operación.1.7 Cuando las herramientas de producción y desarrollo se utilicen para cualquier actividad del ciclo de vida de seguridad.1. 0 PÁGINA 21 DE 81 8.

por lo anterior. el NIS (SIL) asociado numeral de esta norma de referencia Entradas Diseño de proceso. salidas y actividades de verificación. la eficacia y eficiencia en la aplicación de esta norma de referencia depende de la confiabilidad y exactitud de dichos datos. 8. estas metas las debe suministrar PEMEX (según el organismo subsidiario) y de acuerdo al proyecto que esté desarrollando.5 de esta norma de referencia) . Los resultados de estas etapas son datos de entrada al desarrollo de esta norma de referencia.1 Requisitos El proveedor o contratista debe definir durante la planeación de seguridad que se incorporen los requisitos de esta norma de referencia en el Ciclo de Vida de Seguridad. se encuentran fuera del alcance de los requisitos específicos de la presente norma de referencia.5 Una descripción de las FIS (SIF) requeridas y los requisitos de integridad de seguridad asociados Descripción de la asignación de los requisitos de seguridad (ver 8. 8. y organizar las actividades del Ciclo de Vida de Seguridad. 0 PÁGINA 22 DE 81 Requisitos del Ciclo de Vida de Seguridad El proveedor o contratista previo a la primera etapa del ciclo de vida de seguridad del SIS y para el caso de esta norma de referencia debe contar con el diseño conceptual del proceso incluyendo las filosofías de operación.4 2 Asignación funciones seguridad para capas protección de de las de 8. Salidas Una descripción de los peligros. planos de distribución de personal. las hojas de datos del equipo de proceso y la especificación técnica del sistema básico de control del proceso. establecer los requisitos. planos de localización general del equipo.2. los diagramas de tubería e instrumentación y diagramas de flujo de proceso. El proveedor o contratista debe cumplir con los objetivos de este numeral para lo cual debe definir las fases. marcadas con línea intermitente en la Figura 2 de esta norma de referencia.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios 8.2.2 SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. de la función de seguridad requerida y de la reducción de los riesgos asociados Caja numero 8. los requisitos para la reducción de los riesgos y las funciones de seguridad requeridas para lograr la reducción de riesgo objetivo Asignación de las funciones de seguridad para las capas de protección y para cada FIS. objetivos de seguridad. Sin embargo. así mismo asegurar que exista una planeación que asegure que los SIS deben cumplir los requisitos de seguridad de esta norma de referencia y los requisitos específicos del proyecto. las primeras etapas del Ciclo de Vida de Seguridad. los riesgos asociados del proceso con el evento peligroso. el análisis y evaluación de riesgos de proceso y la asignación de funciones de seguridad para las capas de protección. conforme a la Tabla 1 de esta norma de referencia: Fase o actividad del Ciclo de Vida de Seguridad Figura 2 Titulo 1 Análisis evaluación riesgos y de Requisitos Objetivos Determinar los peligros y eventos peligrosos del proceso y los equipos asociados. la secuencia de eventos que condujeron al evento peligroso. tomando en consideración las condiciones ambientales del lugar.1 Cada fase del Ciclo de Vida de Seguridad se debe definir en términos de entradas.1. El proveedor o contratista debe aplicar el Ciclo de Vida de Seguridad el cual debe comprender las actividades para la implantación de los Sistemas Instrumentados de Seguridad (SIS) desde la concepción inicial hasta el desmantelamiento (ver Figura 2 de esta norma de referencia).

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios Fase o actividad del Ciclo de Vida de Seguridad Figura 2 Titulo 3 Especificación de los requisitos de seguridad del SIS SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL Requisitos Objetivos numeral de esta norma de referencia NRF-045-PEMEX-2010 REV.7 y 8. organización del sector.3. planeación para pruebas de integración del SIS Funcionamiento completo del SIS de conformidad con los resultados del diseño de SIS de las pruebas de integración del SIS Resultados de las actividades de instalación.7 Requisitos de seguridad e información del proceso como quedaron Construidos. a fin de lograr la seguridad funcional requerida Diseñar el SIS para satisfacer los requisitos de las FIS (SIF) y la integridad de seguridad 8.11 Diseño del SIS en conformidad con los requisitos de seguridad del SIS. Probar y evaluar los resultados de una fase proporcionada para garantizar la exactitud y consistencia con respecto a los productos y normas establecidas.8. garantizar que el NIS (SIL) objetivo es alcanzado y mantenido Garantizar la correcta revisión.1 Planeación para la evaluación de la seguridad funcional del SIS Requisitos de seguridad del SIS Resultados de la evaluación de la seguridad funcional del SIS Tabla 1.6 8.10 y 8.5 de esta norma de referencia) Requisitos de seguridad del SIS Requisitos de seguridad de los programas Diseño del SIS Plan de pruebas de integración del SIS Requisitos de seguridad del SIS Plan para la validación de la seguridad del SIS Salidas requisitos de seguridad de los SIS. “comisionamiento” y validación del SIS Integrar y probar el SIS Validar que el SIS cumple en todo respecto de los requisitos de seguridad en términos de FIS (SIF) y de integridad de seguridad requerida 8. Plan para la verificación del SIS para cada fase FIS (SIF) puesta fuera de servicio.14 9 Verificación SIS del 8. Resultados de la verificación del SIS para cada fase 10 Evaluación de la seguridad funcional del SIS 8. “comisionamiento” y validación Resultados de las actividades de operación y mantenimiento 6 Operación y mantenimiento del SIS Garantizar que la seguridad funcional del SIS se mantiene durante la operación y mantenimiento 8.8.4 5 Instalación. en términos de las FIS (SIF) y su integridad de seguridad asociada.8. requisitos de seguridad de los programas Caja numero 4 Diseño e ingeniería del SIS Especificar los requisitos para cada SIS.3. Vista general del Ciclo de Vida de Seguridad . mejoras o adaptaciones al SIS.12 Requisitos del SIS Diseño del SIS Plan para operación y mantenimiento del SIS Requisitos de seguridad del SIS revisados 7 Modificación SIS del 8 Desmantelamiento Hacer correcciones. 0 PÁGINA 23 DE 81 Entradas Descripción de la asignación de los requisitos de seguridad (ver 8. y garantizar que las FIS (SIF) permanezcan. como entrada a esa fase Investigar y llegar a una decisión sobre la seguridad funcional alcanzada por el SIS 8. 8.13 Resultados de modificación del SIS la 8. 8.

2.4 Las actividades de verificación Los procedimientos.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. las técnicas que se deben usar para determinar el NIS (SIL) “prom” . el proveedor o contratista debe definir todas las actividades requeridas para la verificación de la fase requerida del Ciclo de Vida de Seguridad. entre otros así como al administrador de seguridad y debe cumplir con los requisitos estipulados en la NRF-018-PEMEX-2007. departamentos y organizaciones responsables de estas actividades incluyendo los niveles de independencia Identificar los puntos a verificar Determinar cómo manejar las No-Conformidades Indicar las herramientas y análisis de apoyo La verificación se debe realizar de acuerdo con lo planeado. y llevar a cabo su valoración (frecuencia/consecuencia) y posteriormente determinar si ese riesgo es tolerable o no.1. esto incluye las funciones de seguridad y la integridad de seguridad La correcta instalación y “comisionamiento” del SIS La integridad de la seguridad de las FIS (SIF) después de la instalación Mantener la integridad de la seguridad durante la operación La administración de los riesgos durante las actividades de mantenimiento del SIS Verificación El proveedor o contratista debe demostrar por medio de una revisión.3. El análisis y evaluación de riesgos debe contemplar el análisis de capas “NO SIS y capas SIS de acuerdo al 8. análisis y/o pruebas que las salidas requeridas cumplen con los requisitos definidos para todas las fases requeridas (Figura 2 de esta norma de referencia) del Ciclo de Vida de Seguridad identificadas por la planeación de la verificación.3. para: a) b) c) d) e) 8.5 del modelo del ciclo de vida y comprendido en la figura 2 de esta norma de referencia.3. instrumentistas. basándose en los criterios de aceptación del riesgo específico para el sistema y/o instalación definidos por PEMEX. El análisis y evaluación de riesgos debe identificar los peligros de proceso. especialistas de análisis y evaluación de riesgos (seguridad funcional).1 Requisitos Durante la planeación de la verificación. 0 PÁGINA 24 DE 81 8. los resultados del análisis y evaluación de riesgos deben constituir los datos de entrada para la determinación del NIS (SIL) “objetivo” para cada función instrumentada de seguridad y deben cumplir con IEC 61511-3. Los resultados del proceso de verificación deben estar disponibles en todo momento para PEMEX. Para el caso de las FIS (SIF). y debe conformar un equipo multidisciplinario integrado por ingenieros de proceso. medidas y procedimientos. Análisis y evaluación de riesgos del proceso Si así lo determina PEMEX.2 El proveedor o contratista debe llevar a cabo la planeación de seguridad para todas las fases del Ciclo de Vida de Seguridad.3 Garantizar que los requisitos de seguridad del SIS se han alcanzado para todos los modos relevantes del proceso. Por otro lado. La verificación debe cumplir con esta norma de referencia y con lo siguiente: a) b) c) d) e) f) g) 8. el proveedor o contratista debe ser el responsable de realizar el Análisis y evaluación de riesgos.2 8.1. 8. medidas y técnicas que se deben usar para la verificación incluyendo la implementación y resolución de las recomendaciones El programa para llevar a cabo estas actividades Establecer las personas. y debe definir los criterios. técnicas.1 8.1.

1.1.Part 3. operando en modo de demanda alta (continuo) no se debe asumir como mejor que 10 por hora conforme a la tabla 3 de esta norma de referencia y operando en modo de demanda baja (en demanda).1 El proveedor o contratista durante el Análisis y Evaluación de Riesgos debe realizar y proporcionar lo siguiente en el proceso y su equipo asociado. 8.02-2002 . ISA-TR84.00. paro.2 La tasa de falla peligrosa de un SCBP (BPCS) o SDMC que impone una demanda sobre una capa de -5 protección. En esta etapa inicial. entre otros el SCBP (BPCS) o SDMC: a) b) c) d) e) f) Una descripción de cada evento peligroso identificado y los factores que contribuyen a este (Incluyendo errores humanos) Una descripción de las consecuencias y probabilidades de los eventos La consideración de las condiciones como operación normal.00. .1. 8. se debe registrar de modo tal que la relación entre los puntos anteriores sea clara y trazable.4 La Identificación y análisis de peligros y eventos peligrosos para un proceso y la evaluación del nivel de riesgo.02-2002 .Part 4 o equivalentes.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. la -1 probabilidad de falla bajo demanda no se debe asumir mejor que 10 conforme a la tabla 2 de esta norma de referencia.1. ISA-TR84. Sólo para la etapa de Selección de NIS (SIL) “objetivo”.4. para lograr la seguridad requerida Una descripción de las referencias para información de las medidas tomadas para reducir o eliminar los riesgos y peligros Una descripción detallada de las hipótesis hechas durante los análisis y evaluación de riesgos incluyendo la probabilidad de tasas de demanda y las tasas de fallas del equipo.4.02-2002 .Part 2.5 Los requisitos arriba mencionados no son mandatarios para que el riesgo y los objetivos de reducción de riesgo se tengan que asignar con un valor numérico.4.4. 0 PÁGINA 25 DE 81 (avg) de las FIS (SIF) propuestas o diseñadas deben cumplir con cualquiera de los siguientes documentos: ISATR84.4. y de cualquier consideración tomada para restringir las operaciones o intervenciones humanas Asignación de las funciones de seguridad a las capas de protección tomando en cuenta la reducción potencial en la protección efectiva debido a las fallas de causa común entre las capas de seguridad y entre las capas de seguridad y el SCBP (BPCS) o SDMC (ver 8. 8. distorsión del proceso.4. Esto no significa que el SCBP (BPCS) o SDMC sea considerado como un SIS.00. arranque. y paro de emergencia La determinación de los requisitos para la reducción de riesgo objetivo adicional. el proveedor o contratista debe determinar: Los peligros y eventos peligrosos del proceso y equipo asociado como SCBP (BPCS) o SDMC La secuencia de eventos que conducen al evento peligroso El riesgo de proceso asociado con el evento peligroso Cualquier requisito de reducción de riesgo Las funciones de seguridad requeridas para lograr la reducción de riesgo objetivo Las funciones instrumentadas de seguridad (ver 8.5 de esta norma de referencia) g) h) 8.5 de esta norma de referencia) Identificación de aquellas funciones de seguridad aplicadas como funciones instrumentadas de seguridad (ver 8. mantenimiento.1 Requisitos 8.5 de esta norma de referencia) 8.1.3 Cuando el SCBP (BPCS) o SDMC sea considerado como una capa independiente de protección cumpliendo con -5 los criterios de capa independiente de protección no se le debe dar una frecuencia de falla menor de 10 en el caso de -1 operación modo continuo ni una probabilidad de falla menor a 10 en el caso de modo de operación de demanda Baja (En demanda).

5. entonces no se deben usar en la determinación del NIS (SIL) el intervalo de prueba rigurosa ni la tasa de demanda. control o mitigación de peligros del proceso y sus equipos asociados Asignar la reducción de riesgo objetivo para las FIS 8.1 Para establecer el NIS (SIL) del SIS. en términos de NIS (SIL). pero estos gráficos deben ser invariablemente homologados (calibrado) para la aplicación según la instalación de PEMEX. para cada FIS (SIF) operando en modo bajo demanda.1 Requisitos del proceso de asignación El proveedor o contratista diseñador del SIS en el proceso de asignación debe: a) b) Asignar las funciones de seguridad para capas de protección específicas. El proveedor o contratista debe solicitar a PEMEX los criterios de riesgo tolerable.1. para ello ver IEC 61511-3 8. es decir.5 Asignación de funciones de seguridad para capas de protección El proveedor o contratista diseñador del SIS debe: a) b) c) Asignar funciones de seguridad a las capas de protección Determinar las FIS (SIF) requeridas Determinar para cada FIS (SIF) el NIS (SIL) asociado El proveedor o contratista no debe determinar el NIS (SIL) de manera global para un proceso o instalación.5.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. 8. Cuando se usa la Tabla 3 de esta norma de referencia. La asignación del NIS (SIL) objetivo se debe realizar basándose en un proceso que lleve el riesgo del proceso a un nivel tolerable. 0 PÁGINA 26 DE 81 se pueden usar métodos gráficos siempre y cuando PEMEX lo requiera.2 El proveedor o contratista debe especificar el NIS (SIL) objetivo de acuerdo con la Tabla 2 de esta norma de referencia. para el propósito de prevención. el NIS (SIL) objetivo se debe especificar de acuerdo con la Tabla 3 de esta norma de referencia.5. el proveedor o contratista debe considerar la evaluación de dos componentes del riesgo (la probabilidad del evento de peligro y la severidad de la consecuencia). de acuerdo con la NRF-018-PEMEX-2007 8.5. la diferencia entre los niveles de riesgo existente y tolerable. . Independientemente de la naturaleza del método a usar.1. el proveedor o contratista debe considerar los siguientes parámetros: a) b) c) d) e) La severidad de las consecuencias si el sistema de seguridad falla al operar bajo demanda La probabilidad de que el personal sea expuesto al riesgo Medidas de mitigación para reducir las consecuencias del evento de riesgo La frecuencia con la cual el sistema de seguridad se requiere que actúe Probabilidad de ocurrencia del evento peligroso El proveedor o contratista debe seleccionar un NIS (SIL) objetivo y especificar la reducción de riesgo objetivo. 8.3 Para cada FIS (SIF) operando en modo continuo.1.

5.3. . 8. junto con la tasa de fallas de otros equipos que conducen a la misma situación de riesgo.5. Niveles de integridad de seguridad: probabilidad de falla bajo demanda Modo de operación de demanda alta (Continuo) Frecuencia objetivo de fallas peligrosas para desempeñar la Nivel de Integridad de seguridad NIS (SIL) función instrumentada de seguridad (por hora) 3 2 1 ≥10-8 a < 10-7 ≥10-7 a < 10-6 ≥10-6 a < 10-5 Tabla 3. 8.2 La frecuencia requerida de las fallas peligrosas por hora para un modo continuo de la FIS (SIF) se debe determinar por el riesgo (en términos de tasa de peligro) causado por la falla de la FIS (SIF) actuando en modo continuo. 0 PÁGINA 27 DE 81 Modo de operación demanda baja (En demanda) Nivel de Integridad de seguridad Probabilidad de Falla bajo Demanda Reducción de riesgo objetivo NIS (SIL) objetivo promedio PFDprom 3 2 1 ≥10-4 a < 10-3 ≥10-3 a < 10-2 ≥10-2 a < 10-1 >1000 a ≤ 10000 >100 a ≤ 1000 >10 a ≤ 100 Tabla 2.3 Se debe soportar técnicamente bajo consideración de PEMEX. el usar varias funciones de menor NIS (SIL) para satisfacer la necesidad de una función de mayor nivel [entre otros. 8.2.5.1 El proveedor o contratista debe definir el NIS (SIL) numéricamente a fin de proporcionar una meta objetivo para comparar diseños y soluciones alternativos.2 Requisitos en el SCBP (BPCS) o SDMC como una capa de protección 8.1.5. como se muestra en Figura 3 de esta norma de referencia.5. Niveles de Integridad de Seguridad: frecuencia de fallas peligrosas de la FIS (SIF) 8. utilizando un sistema con NIS (SIL) 2 y uno con NIS (SIL) 1 juntos para satisfacer la necesidad de una función con NIS (SIL) 3] siempre y cuando la reducción de riesgo alcanzada con dos o más FIS (SIF) es mayor o igual a la reducción de riesgo requerida por la FIS (SIF) con NIS (SIL) 3 8.3.3 Si se requiere un FRR para un SCBP (BPCS) o SDMC mayor de 10. teniendo en cuenta las contribuciones de otras capas de protección.1 El SCBP (BPCS) o SDMC se puede identificar como una capa de protección. 8.2 El Factor de Reducción de Riesgo-FRR para un SCBP (BPCS) o SDMC usado como capa de protección debe ser menor de 10.5.2.1.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. entonces se debe diseñar y cumplir con los requisitos de esta norma de referencia. siempre y cuando no sea la causa del peligro la falla del SCBP (BPCS) o SDMC lo que se pretenda prevenir con la FIS (SIF).2.1.5.3.

sean bajas en comparación al total de requisitos de integridad de seguridad de las capas de protección. 0 PÁGINA 28 DE 81 REPUESTAS DE EMERGENCIA DE LA COMUNIDAD Radiodifusión de la emergencia RESPUESTA DE EMERGENCIA DE LA PLANTA Procedimientos de evacuación MITIGACIÓN Sistemas de mitigación mecánica Sistemas de control instrumentados de seguridad Sistemas de mitigación instrumentados de seguridad Supervisión del operador PREVENCIÓN Sistemas de protección mecánica Alarmas del proceso con acción correctiva del operador Sistemas instrumentados de seguridad de control Sistemas instrumentados de seguridad de prevención CONTROL Y “MONITOREO” Sistemas de control básico de proceso Sistemas de “monitoreo” (alarmas del proceso) Supervisión del operador PROCESO Figura 3. Métodos típicos de reducción de riesgo encontrados en plantas de proceso 8.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.1 El proveedor o contratista debe evaluar las capas de protección mediante un Estudio de Análisis de Capas de Protección (ACP) para asegurar que la probabilidad de falla de causa común.5.2 a) b) c) La evaluación debe considerar lo siguiente: La independencia entre las capas de protección La diversidad entre las capas de protección La separación física entre las diferentes capas de protección . 8.3.3 Requisitos para prevenir fallas de causa común.5. modo común y dependientes 8.3. modo común y dependientes entre las capas de protección.5.

6. 0 PÁGINA 29 DE 81 Las fallas de causa común entre las capas de protección. precisos.7 a) b) c) Para el desarrollo de la ERS el proveedor o contratista debe tener disponible la siguiente información: La lista de las FIS (SIF) requeridas y el NIS (SIL) de cada FIS (SIF) Los Diagramas de Flujo de Proceso-DFP y Diagramas de Tubería e Instrumentación-DTIs.4 La ERS debe constituir la guía para definir los requisitos de diseño.1 Una vez determinado que se requiere un Sistema Instrumentado de Seguridad-SIS y establecido el NIS (SIL) objetivo para cada FIS.6. sostenibles.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios d) SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. Los requisitos regulatorios que impactan al SIS Las consideraciones de confiabilidad. entre otros. calidad y ambientales La lista de consideraciones operacionales y de mantenimiento d) e) f) g) . verificables.6. 8.6. Estos diagramas se deben desarrollar de acuerdo con el anexo 12.3 Los diagramas lógicos se deben usar además de los diagramas causa-efecto para funciones complejas y basadas en tiempo.6 8. Deben ser documentos claros para todas las disciplinas. 8. hoja de especificaciones de instrumentos La información del proceso (filosofía de operación. se debe incluir toda la información requerida como un paquete completo y debe contener: a) b) c) d) La función del sistema o componente del sistema Las acciones que el sistema o componente debe realizar bajo circunstancias establecidas (especificación funcional) La integridad requerida (confiabilidad y disponibilidad) para operar en dichas circunstancias (especificación de integridad) Los requisitos de sobrevivencia una vez que un incidente mayor ha sucedido (especificación de sobrevivencia) 8. 8. taponamiento. factibles y escritos de modo que puedan ser comprendidos y aplicados. La ERS del SIS se debe expresar y estructurar de tal modo que los requisitos sean claros. así como para secuencias complejas que no pueden ser descritas fácilmente mediante un diagrama de causa-efecto y deben cumplir con ISA-5. elementos finales. 8.6.6. 8.5 El proveedor o contratista debe usar el NIS (SIL) de cada FIS (SIF) del SIS para establecer una arquitectura del sistema para lograr el nivel de desempeño.2-1976 (R 1992) o equivalente.6 Se deben identificar en el Análisis y Evaluación de Riesgos las especificaciones de sobrevivencia cuando exista un requisito específico de que un SIS permanezca operando durante o después de un incidente mayor. entre otros) e información del análisis cuantitativo de riesgo (causa y secuencia de cada evento potencial de peligro que requiera un SIS) Las consideraciones de falla de causa común del proceso tales como corrosión. y entre las capas de protección y los SCBP (BPCS) o SDMC Especificación de los Requisitos de Seguridad-ERS del SIS para paro por emergencia 8.2 El proveedor o contratista y PEMEX deben elaborar los diagramas de causa-efecto también conocidos como Matriz lógica de causa y efecto del SIS para documentar la ERS de un SIS. seguridad e integridad requerida para que el SIS ejecute las funciones de seguridad. hojas de datos de proceso.6. el proveedor o contratista debe desarrollar y/o aplicar según le corresponda la ERS para el sistema conforme a las restricciones que PEMEX imponga.1 de esta norma de referencia y se deben usar para documentar los requisitos funcionales y de integridad. por esta razón.

Los modos de fallas y respuestas deseadas del SIS (alarmas.6. entre otros. Requisitos para sobreponer/inhibir/desviar incluyendo como deben ser desactivados. Los requisitos relativos a la desenergización para disparar. mantenimiento) e identificación de las FIS (SIF) requeridas para operar dentro de cada modo. La descripción de los modos de operación de la instalación (arranque automático.8 a) b) c) d) e) f) SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.8. Los requisitos de mantenimiento y prueba para lograr el NIS (SIL) objetivo (intervalo mínimo de prueba). Los requisitos de interfase humano máquina. Las acciones a tomar en caso de pérdida de la(s) fuente(s) de energía del SIS. Los requisitos de seguridad de los programas de aplicación listados o enumerados en el 8. Los requisitos para restablecer el SIS después de un paro. La descripción de las acciones de salida hacia el proceso a través del SIS y de los criterios para la operación exitosa. Las aplicaciones para el SIS aplicable para Sistemas para Paro por Emergencia se deben diseñar en el modo desenergizar para disparar. Los requisitos de diagnóstico para lograr el NIS (SIL) objetivo. estado estacionario de no operación. relevos múltiples al sistema de desfogue.8. e identificar y documentar cualquier restricción para dichas interacciones. La relación funcional entre las entradas y salidas del proceso. los cuáles deben ser fijados considerando tanto el ambiente electromagnético como los niveles de integridad de seguridad requeridos. reestablecimiento. Los requisitos para los intervalos de prueba rigurosa. incluyendo las funciones lógicas. La iniciación manual de funciones protectoras sustituye en muchos casos a la iniciación automática. De acuerdo con 8. La descripción de las variables de proceso del SIS y sus puntos de disparo. La definición de cualquier estado individual de proceso seguro. La respuesta de acción a cualquier falla detectada. Los límites de inmunidad electromagnética requeridos para lograr compatibilidad electromagnética. Los requisitos para el tiempo de respuesta del SIS para llevar el proceso a un estado seguro. Los requisitos para identificar y tomar en cuenta las fallas de causa común. ya que la integridad de los componentes físicos “hardware” de la iniciación manual no debe ser menor a aquélla de la iniciación automática. paros automáticos. entre otros).Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios 8. Todas las interfaces entre el SIS y cualquier otro sistema [incluyendo el SCBP (BPCS) o SDMC y operadores]. estado estacionario. Las fuentes de demanda consideradas y la tasa de demanda en la FIS. paro. 0 PÁGINA 30 DE 81 Los requisitos de seguridad del SIS deben incluir la definición de los siguientes parámetros: La descripción de todas las FIS (SIF) para lograr la seguridad funcional requerida y el NIS (SIL) para cada una de ellas. El proveedor o contratista debe solicitar a PEMEX el criterio mínimo de la máxima tasa de disparos en falso permitida.5 de esta norma de referencia. entre otros). los requisitos para el cierre hermético de válvulas. El NIS (SIL) y modo de operación (demanda/continuo) para cada FIS. La importancia de las interacciones de los componentes físicos del sistema/programas. Los requisitos para el paro manual. matemáticas y cualquier permisivo requerido representado en los diagramas lógicos o diagramas de causa-efecto. y semiautomático. g) h) i) j) k) l) m) n) o) p) q) r) s) t) u) v) w) x) y) z) aa) bb) cc) . que cuando ocurra.5 de esta norma de referencia. conjuntamente se desarrolle un peligro separado (sobrecarga de un tanque de almacenamiento de emergencia. por esta razón en funciones iniciadas manualmente se debe considerar la confiabilidad humana. La definición del estado seguro del proceso para cada FIS (SIF) identificada. Los requisitos específicos relativos a los procedimientos para el arranque y restablecimiento arranque del SIS. manual.

6. ubicación. cuando aplique Programas “Software” adicionales requeridos para el correcto funcionamiento del SIS Requisitos generales 8.6. calibración del sensor y/o reparación). Posteriormente debe proceder a la verificación cuantitativa para ver si el sistema propuesto cumple los requisitos de operación.1 .Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. clasificación de área eléctrica. entre otros. se deben derivar de la ERS indicados en 8.IEM/IRF. Esto puede requerir de las siguientes consideraciones: temperatura.1 Diseño e ingeniería del equipo del SIS Diseño conceptual del SIS El proveedor o contratista debe diseñar uno o más SIS para procesar la(s) FISs (SIFs) y cumplir con el o los NIS (SIL) objetivos. rayos y otros factores relacionados. 8. esta se debe revisar por PEMEX. Cualquier acción se debe resolver tomando en cuenta todos los factores humanos relevantes. contratos de servicios y restricciones ambientales.1. tiempo requerido para que una válvula permanezca operando en caso de fuego. puesta a tierra. inundación. ee) El tiempo medio para reparación factible para el SIS. arranque de la instalación) y un procedimiento individual operacional de la instalación (entre otros.7. El proveedor o contratista debe desarrollar un diseño conceptual del SIS para verificar que se cumpla con los requisitos de seguridad y de operación del NIS (SIL).7. intervalo de prueba conceptual. Una vez revisada la especificación no deben existir cambios a menos que estén debidamente justificados por el proveedor o contratista y revisados por PEMEX. ff) La identificación de las combinaciones peligrosas de los estados de salida del SIS que se requieren evitar gg) Se deben identificar todas las condiciones ambientales extremas a las que pueda estar sometido el SIS. ii) La definición de los requisitos para cualquier FIS (SIF) requerida para sobrevivir a un evento de accidente importante. Interferencia Electromagnética/Interferencia por Radiofrecuencia . El proveedor o contratista debe definir las características técnicas para la realización y mantenimiento bajo estándares de los Sistemas Instrumentados de Seguridad SIS. configuración (arquitectura). Se pueden requerir FIS (SIF) adicionales para apoyar estos modos de operación.10 Una vez terminada la ERS. 8. hh) Se deben Identificar en conjunto los modos normal y anormal de operación para la instalación (entre otros.6 de esta norma de referencia y de la arquitectura seleccionada del SIS. 8. El diseño de los SIS para sistemas de prevención como los Sistemas de Paro por Emergencia debe estar constituido por los siguientes elementos: a) b) c) d) Elementos primarios (Sensores) Resolvedor lógico Elementos finales Equipo “Hardware”. tomando en cuenta el tiempo de transporte. 0 PÁGINA 31 DE 81 dd) La especificación de cualquier acción requerida para lograr o mantener un estado seguro en el evento de detección de fallas en el SIS. mantenimiento de equipo.7 8. contaminantes. Debe seleccionar una tecnología. entre otros. humedad. La especificación debe llevar el registro del número de revisión correspondiente cuando se realicen cambios durante el curso del proyecto. descarga electrostática. partes de repuesto. choque/vibración.9 La ERS de los programas.

además este tipo de separación reduce la probabilidad de fallas sistemáticas y fallas de causa común. 8.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.2.2. tomando en cuenta todos los requisitos de 8.2.7. a menos que se realice un análisis para confirmar que el riesgo total es aceptable. que ninguna falla en las funciones instrumentadas de no seguridad. considerando lo siguiente: a) b) Las FIS (SIF) deben estar separadas de las funciones instrumentadas de no seguridad La independencia significa.1.3 Cuando se tengan FIS (SIF) de diferentes NIS (SIL).7.1. entre otros factores) e independientes entre sí. se requiere la separación idéntica entre el SCBP (BPCS) o SDMC y el SIS para alcanzar el NIS (SIL) objetivo y para NIS (SIL) 3. 8. El diseño debe asegurar que las acciones del SIS prevalezcan sobre las acciones del SCBP (BPCS) o SDMC. 8. para cumplir el NIS (SIL) objetivo.2. La separación diversa debe constar de dos o más unidades o componentes diferentes (con diferente tecnología.7 de esta norma de referencia.7.4 En los elementos finales.2 El SIS debe incluir solamente FIS (SIF) y el EP debe ser de un nivel NIS (SIL) certificado (que cubra el NIS (SIL) más alto de cualquier FIS (SIF) que forme parte de este. La falla del elemento final del SCBP (BPCS) o SDMC no debe ser la causa del peligro que se pretende prevenir con la FIS (SIF). con la condición de que la tasa de falla. para NIS (SIL) 1 y NIS (SIL) 2.1.2.1.7.4 Cualquier dispositivo usado para desempeñar parte de una FIS (SIF) no se debe usar para propósitos del control básico de proceso. se requiere la separación idéntica entre SCBP (BPCS) o SDMC y SIS.3 En los sensores de campo.1 El SCBP (BPCS) o SDMC se debe diseñar separado e independiente del SIS para no comprometer la integridad funcional del SIS.7. configuración.1. 8. 0 PÁGINA 32 DE 81 8.1.1.2 La separación entre el SCBP (BPCS) o SDMC o y SIS se debe considerar y evaluar para cumplir con la funcionalidad de seguridad y los requisitos de integridad en los siguientes elementos: a) b) c) d) Sensores Elementos finales Resolvedor lógico Comunicación entre SIS y el SCBP (BPCS) o SDMC u otro equipo 8.7. 8. Para NIS (SIL) 2. cumpla los requisitos de integridad de seguridad.1. 8. la separación puede ser idéntica o diversa entre el SCBP (BPCS) o SDMC y el SIS. para NIS (SIL) 1.7.7. La separación puede ser idéntica o diversa considerando el numeral 8.7.1.1. ni en el acceso programado a las funciones del programa de no seguridad deben causar una falla peligrosa en las FIS (SIF) 8. y el SIS y otras capas de protección. entonces el equipo y la programación compartidos o comunes del SIS deben cumplir con el NIS (SIL) más alto a menos que se demuestre que las FIS (SIF) del NIS (SIL) más bajo no afectan negativamente a las FIS (SIF) de los NIS (SIL) más altos.1.4: a) b) La separación idéntica debe constar de dos o más unidades o componentes idénticos e independientes entre sí.7. El uso de una sola válvula para SCBP (BPCS) o SDMC y SIS .1 El proveedor o contratista durante el diseño del SIS se debe apegar a la ERS. para cumplir con la integridad de seguridad requerida. se puede usar una sola válvula para ambos sistemas SCBP (BPCS) o SDMC y SIS.1.1.2 Independencia del SIS con otros sistemas El proveedor o contratista durante el diseño del SIS debe tomar en cuenta todos los aspectos de independencia y dependencia entre el SIS y SCBP (BPCS) o SDMC.1.

5 En el procesador lógico EP. la comunicación entre estos sistemas únicamente puede ser para propósitos de lectura. se acepta para NIS (SIL) 1 y NIS (SIL) 2. Las medidas para lograr protección a la escritura de la FIS (SIF) deben incluir: Un límite de tiempo para acceder a la escritura.1. pero el uso de este método para NIS (SIL) 3 requiere del análisis y revisiones de seguridad adicionales y de certificación de la red para ese propósito. Para NIS (SIL) 3.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. Para NIS (SIL) 3. Se deben tomar en cuenta las siguientes consideraciones adicionales para determinar los requisitos de una válvula: a) b) c) d) Los requisitos de cierre La experiencia de confiabilidad con la válvula Los modos de falla de la válvula Procedimientos operativos que contribuyan a que la válvula sea menos efectiva 8. por lo que el diseño de esta comunicación debe considerar los requisitos para comunicación de datos de cada FIS. La comunicación interna debe estar formada por la red de control industrial y se da al interior de los procesadores lógicos EP y está en función de la tecnología con la que fueron construidos. el proveedor o contratista debe verificar que esta comunicación no debe comprometer el NIS (SIL) del SIS.3. esta debe ser unidireccional con comunicación únicamente del SIS hacia el SCBP (BPCS) o SDMC.7. interna y externa. 8. para NIS (SIL) 1.3. debe existir una separación diversa entre el SCBP (BPCS) o SDMC y el SIS.7.2. Sólo lectura en la comunicación externa del SIS al SCBP (BPCS) o SDMC. ya que de lo contrario puede no cumplirse la integridad de seguridad requerida. Este tipo de comunicación es aceptable para NIS (SIL) 1 y 2. 8.3 La comunicación entre el SCBP (BPCS) o SDMC. La comunicación a través de una red de comunicaciones entre el SCBP (BPCS) o SDMC y el SIS. Sistema de Gas y Fuego y el SIS aceptadas por esta norma de referencia son: a) No debe existir comunicación externa del SCBP (BPCS) o SDMC o Gas y Fuego para propósitos de escritura hacia el SIS. la separación entre el SCBP (BPCS) o SDMC y SIS debe ser idéntica o diversa. la separación debe ser idéntica o diversa entre el SCBP (BPCS) o SDMC y SIS para alcanzar la integridad de seguridad requerida. Este tipo de comunicación es aceptable para todos los NIS (SIL) siempre y cuando la revisión y el análisis aseguren que no se compromete a la FIS. La aplicación de la FIS (SIF) del SIS en memoria de solo lectura ROM Read Only Memory (Memoria de Sólo Lectura). La comunicación externa se debe considerar aquella que se lleva a cabo entre un SIS y uno o más sistemas independientes para efectuar intercambio de información de “monitoreo” (lectura) y de comandos de acción (escritura). el Sistema de Gas y Fuego y el SIS El proveedor o contratista para efectos de esta norma de referencia debe distinguir dos tipos de comunicación del SIS.2 Las formas básicas de comunicación externa entre SCBP (BPCS) o SDMC. pero el uso de este método para NIS (SIL) 3 se requiere de un análisis y revisiones adicionales de seguridad. se requiere separación diversa entre el SCBP (BPCS) o SDMC y el SIS.1 En algunos casos se requiere comunicación entre el SIS y el SCBP (BPCS) o SDMC. Las medidas para protección de la escritura de la función de seguridad deben incluir: Clave de acceso “password” para limitar el acceso a la escritura. b) c) d) . de acuerdo con la serie IEC 61508 8. Para NIS (SIL) 2.1. Comunicaciones externas lectura/escritura con protección a la escritura de la FIS (SIF).7. 0 PÁGINA 33 DE 81 requiere un análisis y revisión de seguridad. para cumplir con el NIS (SIL) objetivo.1.7.1.

8.7. las entradas de los sensores de las variables de proceso. integridad de seguridad y sobrevivencia requeridas.1. Estas requieren consideraciones de prueba automática. 8. 8.1.1 Durante la operación normal. No se debe usar este método para NIS (SIL) 3 8. debe existir comunicación entre ellos. 8.7. Este requisito se debe realizar desenergizando para disparar las salidas del SIS. con el proceso en condiciones seguras. Comunicación externa de lectura/escritura con protección limitada o sin protección a la escritura de la FIS.7. 8.7. y la serie IEC 61508. salidas o lógica del sistema. fuentes de alimentación.5.7 Concepto y principio de falla segura.1 Durante el diseño del SIS se deben considerar los requisitos para la operación. entre otros. técnicas de votación y diagnostico para asegurar que el sistema mantiene su disponibilidad para desempeñar su función.3 El SIS debe ser diseñado de tal forma que una vez que ha puesto el proceso en un estado seguro.6 Complejidad. entre otros).5.7. 0 PÁGINA 34 DE 81 e) Un interruptor de los programas “software”. debe permanecer en el estado seguro hasta que se haya iniciado un restablecimiento a menos que se solicite de otra manera en la ERS. .7. 8. Todos los modos de fallas previsibles deben ser identificados de modo que se consideren en el diseño del SIS. para permitir la detección de fallas internas del sistema. El concepto de falla segura para plantas y equipos es llevar al estado seguro el proceso en caso de falla del resolvedor lógico. y no simplemente al más alto nivel de integridad alcanzable. para actuar los elementos finales del SIS cuando así se requiera en los requisitos específicos de seguridad del proyecto.1. el resolvedor lógico. Este diseño debe asegurar también un paro seguro por pérdida del suministro eléctrico a las entradas del sistema. El diseño de todas las IHM (HMI) debe seguir las buenas prácticas de los factores humanos y debe considerar la capacitación de los operadores. El Uso de este método para NIS (SIL) 2 requiere análisis y revisiones de seguridad adicionales.1.4 Sistema de Control Básico de Proceso-SCBP. Los Sistemas de Detección de Gas y Fuego y el SIS deben contemplar arquitecturas independientes.5. botones de paro de emergencia) independientes de los resolvedores lógicos. elementos finales.1. “monitoreo” en línea.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.1. Cada elemento del sistema se debe especificar bajo normas de desempeño con la funcionalidad. En instalaciones de producción se pueden implantar funciones de protección poco críticas (con base en el análisis y evaluación de riesgos) en el SCBP (BPCS) o SDMC siempre que se cumpla que la integridad de seguridad no sea tan elevada como para implantar un SIS. Los sistemas se deben seleccionar y diseñar para minimizar la complejidad y deben cumplir con esta norma de referencia. y salidas a los dispositivos de protección deben estar energizados.7.7.4 Se deben proporcionar medios manuales (entre otros.1. para limitar el acceso a la escritura.1. sin embargo. una clave de acceso. El proveedor o contratista debe minimizar la probabilidad de que cualquier falla simple en el SCBP (BPCS) o SDMC lleve a una demanda del SIS.7.2 El diseño del SIS debe tomar en cuenta las capacidades y limitaciones humanas y debe cumplir con la tarea asignada para el personal de operación y mantenimiento.5. En el caso del Sistema de Gas y Fuego la comunicación digital con el SIS debe ser solo lectura. El sistema debe interpretar el estado desenergizado de una entrada como una demanda y se deben desenergizar las salidas requeridas para iniciar un paro seguro.5 Sistema de gas y fuego. sensores.1. 8.7. 8. mantenimiento y pruebas para facilitar la implementación de los requisitos del factor humano en el diseño (instalaciones de desvío para permitir pruebas en línea y alarmar cuando está en desvío.

entre otros). y se debe documentar formalmente para garantizar que se cumpla la integridad de seguridad requerida.7. 8. El proveedor o contratista debe documentar el tiempo en que el EP (PE) pueda operar en estado degradado sin comprometer la función de seguridad. 8. 0 PÁGINA 35 DE 81 8. El proveedor o contratista debe considerar en el diseño del SIS las tasas de fallas reveladas y no reveladas y su implicación.2.1.1 Se deben emplear intervalos de prueba y tiempos de reparación en los análisis de confiabilidad y disponibilidad (PFDprom). Se debe detectar la pérdida de suministro de energía al subsistema.7. Se debe asegurar la integridad del suministro eléctrico usando un suministro de energía confiable proveniente de un sistema de fuerza ininterrumpible. se deben cumplir las acciones siguientes y las indicadas en el 8.1.7.1. El proveedor o contratista al seleccionar y especificar un sistema debe considerar además: a) b) c) Tasas de falla (reveladas y no reveladas) Falla para actuar bajo demanda Tiempo Medio de Reparación Real – MTTR 8. Los datos se deben obtener a partir de registros de la instalación o del sector industrial o fuentes genéricas o en base a opinión de expertos.2 Cuando no se disponga de información específica de los equipos o sistemas de interés. a) b) c) Se debe detectar la pérdida de integridad del circuito (“monitoreo” al final de la línea.1.4 Para cada FIS (SIF) se debe hacer un análisis de confiabilidad y disponibilidad.1. 8. en el caso de intervalos de prueba los tiempos utilizados en los cálculos no deben ser menores a seis meses ni mayor a dos años y.7.7.1.1. 8. Al cuantificar la confiabilidad de un sistema se requiere de valores dentro de un intervalo de confianza del 70 por ciento para las tasas de fallas de sus componentes.3 En casos en donde no se aplique el concepto de falla segura por la naturaleza de la aplicación y se requiera energizar alguna salida para disparo a otro sistema (sistema de gas y fuego) se debe justificar y hacer consideraciones a fin de cumplir la integridad de seguridad requerida. 8.1.7.9 Integridad del sistema.7.3 sistema.9. Se deben considerar los efectos de las fallas de causa común al calcular la integridad global del .7.7.9.7.1. los análisis de confiabilidad y disponibilidad se pueden basar en análisis de tasas de falla de situaciones comparables o cálculos empleando métodos de pronóstico. se debe evitar que una falla simple pueda ocasionar la falla de todo el 8. Para aplicaciones NIS (SIL) 3. La opinión de expertos certificados en seguridad funcional se debe considerar para el análisis de estos datos.9. 8. 8.1. Se refiere a la capacidad de dichos sistemas para operar bajo circunstancias dadas y está relacionada con su confiabilidad y disponibilidad. para el caso de los tiempos de reparación se debe utilizar en el cálculo un tiempo no menor a ocho horas.1 de esta norma de referencia.4 Se debe aplicar el principio de falla segura para el SIS de la instalación.7.9.7. como análisis de árboles de fallas o AMFE (FMEA) y aplicando información como la contenida en la base de datos OREDA u otras de entidades colegiadas.7.9.8 Tasas de falla y modos de falla.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.2 Para aquellos subsistemas que a falla del suministro eléctrico no vayan a un estado seguro.7.5 sistema.

(Ver punto 8. Además el proveedor o contratista debe considerar la Tolerancia a Fallos en Equipo “Hardware” TFE (HFT).12. permisivos.2 Programas de aplicación (“software” de aplicación).2. 0 PÁGINA 36 DE 81 8.4 de esta norma de referencia). expresiones. Sin embargo dichos sistemas deben contar con fuentes de energía y resolvedores lógicos entre otros separados físicamente para evitar fallas de causa común y a la vez permitir pruebas de mantenimiento o modificaciones. interfaz. Pueden ser provocadas por un componente único o por errores sistemáticos en los componentes redundantes. La redundancia debe aplicar tanto en los componentes físicos del sistema como en los programas. lo cuál se debe considerar durante el diseño del sistema.7. El proveedor o contratista debe proporcionar los programas integrados (“software” integrado).7. pruebas y puesta en operación Se revisaron y analizaron todas las ampliaciones o arreglos a la funcionalidad de los programas integrados contenidos en las nuevas versiones 8.11 Fallas de causa común.7. 8.7. que controlan las salidas. Exida. entre otros.12.7.6 El proveedor o contratista debe proporcionar los certificados de cumplimiento conforme lo establece la IEC-61508 emitido por TÜV.7. 8. Además debe proporcionar documentación que compruebe que: a) b) c) d) Cuenta con un plan de calidad para los programas Está definida la versión de los programas integrados La versión de los programas integrados debe ser la misma para la etapa de configuración. El proveedor o contratista (diseñador) debe determinar los requisitos de redundancia para lograr el NIS (SIL) y PFDprom requerida de todos los componentes del SIS como son sensores. El proveedor o contratista en el diseño de un SIS debe considerar los siguientes tipos de programas: a) b) Programas integrados Programas de aplicación 8. límites. Este tipo de programas deben ser parte del sistema proporcionado por el proveedor o contratista y no pueden ser modificados por el usuario final. Las fallas de causa común y los errores sistemáticos se deben reducir por el proveedor o contratista durante el proceso de diseño considerando lo siguiente: a) b) c) d) Proporcionar al proveedor o contratista información específica del proceso (códigos.2.2 de esta norma de referencia.1. El proveedor o contratista es el responsable de proporcionar el programa de aplicación que cumpla con todas las especificaciones de seguridad del sistema. la fracción de falla segura FFS (SFF). esto es las secuencias lógicas.12 Consideraciones de diseño de programas “software”. cálculos.2. entre otros.1.1. .1. resolvedores lógicos EP y elementos finales. entre otros) Verificación Separación diversa/ idéntica Redundancia diversa/idéntica En algunos casos sistemas diferentes pueden compartir el mismo ambiente.1. de los elementos que componen al SIS. Este tipo de programas deben contener la lógica funcional del SIS en el procesador lógico electrónico programable. los cuales deben ser transparentes para la preparación de programas de aplicación. números de modelo. entre otros.9.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.1 Programas integrados.7.7. cabina. ver 8. 8. entradas.1. y decisiones requeridas para alcanzar los requisitos funcionales de seguridad. operador.10 Redundancia.

el sistema no debe producir disturbios electromagnéticos que puedan interferir con la operación de otros equipos. Una revisión conjunta con PEMEX de los diseños de las funciones críticas de seguridad.2. entre otros: a) b) c) d) e) f) Diagramas de escalera Diagrama de bloques Listado de instrucciones Texto estructurado Gráfico Textual 8.2.12. Para evitar complejidad innecesaria y características que dificulten el pronóstico del comportamiento del sistema. órdenes.2. 8.7. el proveedor o contratista debe realizar: a) b) Un análisis que demuestre que cada uno de los requisitos de la ERS se han implementado en el diseño.12.1. impacto. perturbaciones ambientales que impidan su funcionamiento.3 Se deben establecer patrones de programación para fortalecer un estilo consistente entre el equipo de diseño mediante la aplicación de un plan de calidad de los programas. La arquitectura del . 0 PÁGINA 37 DE 81 8. entradas por teclado.1.1 En el desarrollo del programa de aplicación se debe emplear el diseño modular y debe incluir módulos para pruebas de diagnostico.7.7.7.1. 8.7.2 La herramienta de configuración y los lenguajes de programación deben ser certificados de acuerdo con IEC 61508. Las medidas tomadas deben verificar este requisito y se deben seleccionar de acuerdo a las consecuencias que se tendrían si el equipo fallara o presentara una degradación en sus funciones. El procesador lógico EP se debe diseñar de modo que el equipo electrónico debe tener inmunidad a la radiofrecuencia electromagnética.1. 8.2. y otras acciones Desarrollar un módulo de informe de errores y un módulo que permita resolverlos Desarrollar pruebas para los programas de aplicación que permitan determinar su comportamiento en presencia de fallas de los componentes físicos “hardware” Presentar documentación que respalde cada uno de los puntos anteriores 8.4 Para verificar que el diseño de los programas de aplicación cumplen con cada uno de los requisitos establecidos en la ERS. entre otras.12.13 Agentes externos.7.1. Cuando se apliquen secuencias anidadas.12.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.1. se debe considerar los siguientes: a) b) Los programas deben tener una estructura y un orden definido que garanticen la comprensión de todo lo que ejecuta el programa en cualquier momento. además. el proveedor o contratista debe: a) b) c) d) Desarrollar pruebas a los programas para someterlos a condiciones más allá de los límites normales de los datos.13.5 Para confirmar que los programas de aplicación cumplen con los requisitos establecidos en la ERS bajo todas las condiciones operativas esperadas.7. Se debe indicar el arreglo e interconexiones de los componentes o módulos del SIS.1. se debe minimizar el anidamiento. Además de lo que especifique particularmente PEMEX en su base de licitación.1 El SIS se debe diseñar de tal forma que las funciones de protección se mantengan bajo todas las condiciones climáticas requeridas que existen en el lugar en que se instale el SIS.1. 8.2. para la aplicación correspondiente. mismas que deben cumplir con la IEC 61131-2. 8.7. Dichos lenguajes deben estar de acuerdo con la IEC-61131-3.12. La selección de ésta es una actividad que se debe desarrollar durante el diseño del sistema.14 Arquitectura.

o esa parte del proceso del cual depende. prueba rigurosa o por cualquier otro medio) en cualquier subsistema debe tolerar un fallo de equipo cumpliendo lo siguiente: a) b) Lograr o mantener un estado seguro.7. influenciando asimismo en su confiabilidad.1.2.2.4 La detección de un fallo peligroso (por prueba de diagnóstico.2 8. o.7.1 8.1. debe resultar en una acción específica para alcanzar o mantener un estado seguro.7. La reducción de riesgo proporcionado por estas medidas y restricciones debe ser al menos igual a la reducción proporcionada por el SIS en la ausencia de cualquier falla. Reparar el subsistema dañado dentro del periodo de MTTR asumido en el cálculo de probabilidad de fallas aleatorias del equipo.1.1. 8. 8. El proveedor o contratista debe especificar en la ERS la acción específica (reacción al fallo) requerida para alcanzar o mantener un estado seguro. sin redundancia en el cual la FIS (SIF) es completamente dependiente operando en modo . prueba rigurosa o por cualquier otro medio) en cualquier subsistema sin tener redundancia y en el cual una FIS (SIF) es completamente dependiente.2 La detección de un fallo peligroso (mediante prueba de diagnóstico. La reparación se debe llevar dentro del tiempo medio para reparación especificado para alcanzar o mantener un estado seguro. 0 PÁGINA 38 DE 81 SIS tiene un impacto directo en su integridad global de seguridad. Las medidas y restricciones adicionales se deben especificar en los procedimientos de operación y mantenimiento del SIS.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. en el caso que el subsistema se use solamente para FIS (SIF) operando en modo bajo demanda. Si la reparación de la parte dañada no se termina dentro del MTTR asumida se debe realizar una acción específica para lograr o mantener el estado seguro.7. para la reducción del riesgo. u otra planeación de la mitigación especificada. El tiempo total para detectar el fallo y ejecutar la acción debe ser menor que el tiempo para que ocurra el evento peligroso.2.1 Las fallas no reveladas en el sistema obstruyen su efectividad en seguridad. Una operación segura continua del proceso mientras la parte dañada es reparada.7. 8. del paro seguro del proceso. en el subsistema dañado.7.2. resolvedores lógicos y elementos finales del SIS Selección de redundancia para las fuentes de potencia y de suministro de energía al SIS Selección de los componentes de la interfaz con el operador Selección de las interfaces de comunicación entre el SIS y otros subsistemas Diseño detallado del SIS Requisitos para el comportamiento del sistema en la detección de un fallo 8. Esto puede consistir.5 Cuando las acciones específicas para lograr o mantener el estado seguro en cualquier subsistema (que tolere un fallo.3 La detección de un fallo peligroso (por prueba de diagnóstico. debe resultar en: a) b) Una acción específica para lograr o mantener un estado seguro. El proveedor o contratista debe tomar acciones para eliminar estos modos de falla sobre el diseño o en su caso se debe aplicar un método de pruebas que permita revelar dichas fallas. 8.2.7. Durante este tiempo la seguridad perseverante del proceso se debe reforzar por medidas y restricciones adicionales. en el caso que el subsistema se use solamente para FIS (SIF) operando en modo continuo. El proveedor o contratista durante la selección de la arquitectura del SIS debe incluir las siguientes etapas: a) b) c) d) e) Selección de diseño energizado o desenergizado para disparo Selección de redundancia idéntica o diversa para los sensores.1. prueba rigurosa o por cualquier otro medio) en cualquier subsistema sin redundancia y en el cual una FIS (SIF) es completamente dependiente.2.

2. resolvedores lógicos y los elementos finales deben tener un mínimo de equipo tolerante a fallos.2 Requisitos para el equipo tolerante a fallos 8. la tolerancia mínima a fallos en el equipo debe ser como se indica en la Tabla 5 de esta norma de referencia.3 Para todos los subsistemas (sensores. Tolerancia mínima a fallo de equipo de los sensores y elementos finales y resolvedores lógicos no-EP .7. la mínima tolerancia a fallos de equipo “hardware” debe ser como se muestra en la Tabla 4 de esta norma de referencia.7.2.3 y 8.5 de esta norma de referencia). los sensores. elementos finales y resolvedores lógicos. se puede reducir en uno si los dispositivos usados cumplen con todo lo siguiente: a) b) c) d) El equipo del dispositivo se selecciona sobre la base de uso previo El dispositivo permite ajustes únicamente de los parámetros del proceso.2.2.2.1 Para FIS (SIF).2. entre otros) excluyendo procesadores lógicos EP la tolerancia mínima a fallo especificada en la tabla 5 de esta norma de referencia.7.7.2. NIS (SIL) 1 2 3 Mínima tolerancia a fallos de equipo “hardware” FFS < 60 por ciento FFS 60 a 90 por ciento FFS > 90 por ciento 1 2 3 0 1 2 0 0 1 Tabla 4. dependen de un operador notificando mantenimiento para reparar un fallo del sistema en respuesta a una alarma de diagnóstico.7.2. esta alarma de diagnostico debe ser parte de un SCBP (BPCS) o SDMC pero debe ser sujeta a una prueba rigurosa y a la administración del cambio junto con el resto del SIS.2.7.2.2. la alarma se debe considerar parte del SIS independiente del SCBP (BPCS) o SDMC. entre otros de puentes. 0 PÁGINA 39 DE 81 bajo demanda o continuo).7.2.7.2.2. 8.7. 8. entre otras). rango de medición. Mínima tolerancia a fallos en equipo de los Procesadores Lógicos EP 8. de tal manera que el modo de falla dominante sea para el estado seguro o que las fallas peligrosas sean detectadas (ver 8. de otra forma la tolerancia a fallo debe ser incrementada por uno (ver 8. 8. 8.2.2. dependen de un operador en respuesta a una alarma (abriendo o cerrando una válvula.4 de esta norma de referencia) 0 1 2 Tabla 5.2 Para los procesadores lógicos EP.6 Cuando las acciones específicas para lograr o mantener el estado seguro en cualquier subsistema (que tolere un fallo.4 Para todos los subsistemas (sensor. elementos finales y resolvedores lógicos no electrónicos programables.1 de esta norma de referencia).2.1. entre otros) excepto los procesadores lógicos EP. con clave de acceso La función tiene un requisito de NIS (SIL) de menos de 4 NIS (SIL) 1 2 3 Tolerancia mínima a fallo de equipo “hardware” (ver 8.7.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. dirección de falla escala hacia arriba o hacia abajo El ajuste de los parámetros relacionados con el proceso se encuentra protegido. sin redundancia en el cual la FIS (SIF) es completamente dependiente operando en modo bajo demanda o continuo). entre otros.

Se debe emplear para evitar que ocurran fallas de causa común.1 Los componentes y subsistemas seleccionados para uso como parte de un SIS para aplicaciones NIS (SIL) 1 a NIS (SIL) 3 deben cumplir con IEC 61508-2 y IEC 61508-3.5 En el caso de que el valor de la tolerancia mínima a fallo en equipo calculada con las tablas 4 y 5 de esta norma de referencia. (I/O) 8.2.1.7. 8.2.2. sea menor que las calculadas en las tablas 2 y 3 de la IEC 61508-2. se deben utilizar al menos dos librerías y subrutinas que realicen la misma función con diferente código Rutinas con cambio del orden de operaciones aritméticas en conversiones y operaciones Rutinas con cambio en la secuencia de operaciones entrada y salida de información E/S. sólo si esta es requerida para alcanzar los requisitos de integridad de seguridad.7.5 Procesador lógico EP.1.7.2 Los componentes y subsistemas seleccionados deben demostrar su conveniencia de uso a través de la documentación del fabricante del equipo y los programas embebidos.7.3.2.2 al 8. o también deben estar de acuerdo con 8. integración y los criterios de aceptación de componentes o subsistemas que se deben usar como parte de las FIS (SIF) de un SIS.7. en caso de pérdida de energía o bien cuando falla el sistema o alguno de sus componentes clave.4 Diversidad.2.7. 8.3.3. En aplicaciones SIS la diversidad se debe aplicar en elementos redundantes. .2.2. 8. 0 PÁGINA 40 DE 81 8. 8.2.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. En el caso de los elementos físicos para implementar diversidad se debe emplear: a) b) c) Tecnología diferente Componentes de fabricantes o vendedores diferentes Productos diferentes del mismo fabricante En el caso de programas “software” la diversidad debe considerar lo siguiente: a) b) c) d) e) f) g) Programación de aplicaciones por diferentes programadores Empleo de algoritmos diferentes Empleo de tipos de datos.2. debe prevalecer la IEC 61508-2 . El proveedor o contratista debe diseñar e integrar el procesador lógico EP de acuerdo a lo solicitado por esta norma de referencia y cumplir con el NIS (SIL) correspondiente.1. Características mínimas a cumplir por el EP: Debe estar diseñado conforme al concepto y principio de falla segura.7.3.1 Requisitos generales 8. ya que el empleo de la misma tecnología en los elementos físicos “hardware” o programas “software” puede producir fallas de causa común.2.1.3.3. Por lo tanto el proveedor o contratista debe efectuar y entregar a PEMEX los dos cálculos.1. 8. programas “software” de aplicación y utilitarios.3.3 Requisitos para la selección de componentes y subsistemas El proveedor o contratista debe especificar los requisitos para la selección.7.7.2. En el diseño de un SIS se debe considerar la diversidad al momento de seleccionar elementos físicos “hardware”.2.7.5 de esta norma de referencia. 8. estructuras de datos y técnicas de almacenamiento de información diferentes Empleo de subrutinas de manejo de excepciones y/o errores diferentes En el caso de emplear librerías y subrutinas ya codificadas.2.3.3 Los componentes y subsistemas deben ser consistentes con la ERS del SIS.7.

y detección de fallas para determinar el estado de cada módulo o del subconjunto que está dentro del sistema. descargas electrostáticas. la cual debe mantenerse íntegra aún en el caso de falla de energía. interfaz humano máquina y demás características del sistema informático). localizar y reportar las siguientes fallas: a) b) c) d) e) Permanentes en las cuáles un componente del sistema o algún módulo sufre una falla irreversible Temporales al azar en los cuáles los defectos sucesivos están interrelacionados Intermitentes donde aparecen funcionamientos defectuosos con algún grado de periodicidad De circuitos con detección de fallas De memoria. ser resistente a los golpes. que conformen el sistema. Los diagnósticos en línea deben identificar. La unidad de control debe permitir mantenimiento en línea sin perder la protección. así como en la interfase humano maquina. la memoria del programa debe ser del tipo no volátil o respaldada por batería. Se deben suministrar los medios para tener acceso local a la información contenida en este elemento de memoria y direccionar esta base de datos de eventos a un nivel superior de un sistema informático. “surge” eléctrico e interferencia electromagnética y radiofrecuencia. el procesador lógico EP debe tener la capacidad de detectar la falla y mostrarla. La lógica interna de cada procesador lógico EP debe tener incorporadas rutinas de autodiagnósticos y de prueba automática en línea.Read Only Memory (Memoria de Sólo Lectura) f) De procesador lógico EP g) De comunicación h) De direccionamiento e interfaz de entrada y salida i) De módulo de entrada y salida j) De suministro de energía k) Problemas de sensor de campo (donde aplique) l) Circuitos de E/S (entradas/salidas) (I/O) abiertos o en corto circuito m) Alambres desconectados. operación y mantenimiento del equipo propuesto. a indicación de PEMEX. programación. todas las funciones RAM . En caso de falla de un canal o módulo de entrada/salida del dispositivo. además la configuración y el software debe contar con características de seguridad a través de una llave física que asegure la integridad de la configuración. bobinas de relé. El procesador lógico EP debe contar con los módulos de entrada/salida para recibir y transmitir las señales analógicas y discretas de/hacia los dispositivos de campo. . La unidad de control programable debe contar con memoria con capacidad de almacenamiento de datos para la captura de secuencia de eventos. terminales y fusibles de E/S (I/O) abiertos El proveedor o contratista debe suministrar los manuales de instalación. alarmando por medio de un diodo emisor de luz en el frente del módulo en falla. bajo las características de compatibilidad total (protocolo de comunicación. La unidad de control debe funcionar de acuerdo a los parámetros climáticos propios del sitio de instalación. si éste existe. Se puede aplicar cualquier tecnología para desvíos de entradas debiendo el proveedor o contratista soportar sus procedimientos de acuerdo a lo indicado en el manual de seguridad “Safety manual” del procesador EP.Random Access Memory (Memoria de Acceso Aleatorio) y ROM . vibración. 0 PÁGINA 41 DE 81 El procesador lógico EP y sus módulos deben contar con autodiagnóstico. El procesador lógico EP debe cumplir por si solo íntegramente con la serie IEC-61508 y contar con la certificación correspondiente para aplicaciones en el nivel de integridad requerido. en idioma español. contactos.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.

y se debe establecer la improbabilidad de poner en peligro las FIS (SIF) requeridas.7. 8.3.1 El proveedor o contratista debe tener disponible la evidencia de que los componentes y subsistemas son los requeridos para su uso en el SIS.7. Es responsabilidad del proveedor o contratista proporcionar datos de MTTF del procesador lógico EP.7. 8. Todos los módulos de entrada/salida del procesador lógico EP deben permitir ser reemplazados en línea sin interrumpir la energía eléctrica y sin requerir herramientas especiales.3. tiempo medio entre disparos en falso (MTTFs). 8.7.7. para la selección de componentes y subsistemas basados en el uso previo de 8.3.2. 0 PÁGINA 42 DE 81 Los módulos de entrada/salida deben contar con los siguientes diagnósticos y protecciones por canal: diagnóstico y protección de corto circuito y/o sobrecorriente y diagnóstico de circuito abierto. dispositivos de campo) basados en el uso previo 8.7. tasa de fallas del procesador lógico EP.4 Para aplicaciones con NIS (SIL) 3.2.7.3.2 La evidencia de la aplicabilidad debe incluir lo siguiente: a) b) c) d) Consideración de la calidad y la administración de la configuración de los fabricantes de los sistemas Identificación y especificación de los componentes o subsistemas Demostración del desempeño de los componentes o subsistemas en perfiles operativos y ambientes físicos similares El volumen de la experiencia operativa 8.2.2.3.1 Evaluación de seguridad funcional.7. el reemplazo debe comprender la configuración automática sin que cause interrupción o disturbios en el “monitoreo”.3.7. En el caso de requerirse. el listado de los modos de fallas no reveladas y la frecuencia con que ocurren fallas identificadas. de esta norma de referencia.2.6.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. se debe realizar una evaluación formal de acuerdo con 8.1 Aplican los requisitos generales. del dispositivo del LFP (FPL) para demostrar que: a) b) Los dispositivos con LFP (FPL) tienen una baja probabilidad de que fallen provocando un evento peligroso en el SIS.3 Requisitos para la selección de componentes y subsistemas programables con LFP (FPL) (entre otros.2. lógica y actuación del sistema. 8.2 de esta norma de referencia. los contactos de salida del sistema lógico deben estar normalmente cerrados.1 y 8.1.3. así como especificar el método usado y la fuente de dichos datos.7.2.2.3.3.2 Se debe identificar la aplicabilidad de las características no usadas de los componentes y subsistemas.3. debido a las fallas aleatorias del equipo o a fallas sistemáticas en el equipo o programas Cumplen con las normas para equipo y programas conforme a la serie IEC 61508 .2.3.2.3 Se debe considerar la configuración específica y el perfil operacional del equipo y de los programas y la evidencia de la aplicabilidad considerando las: a) b) c) d) Características de las señales de entrada y salida Modos de uso Funciones y configuraciones usadas Uso previo en aplicaciones y ambientes físicos similares 8.2.2 Requisitos para la selección de componentes y subsistemas basados en el uso previo 8.2.3.3.3.1.

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios c) SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.4. 8. 8.3.7.5 Para aplicaciones con NIS (SIL) 3 se debe tener disponible un manual de seguridad incluyendo las restricciones para la operación.2.7.1.3.5 Para aplicaciones con NIS (SIL) 1 o 2.7.7.4.3 de esta norma de referencia.3.2.4.2.7.4.1.1.1 Los siguientes requisitos se deben aplicar solo a los procesadores lógicos electrónicos programables usados en SIS para FIS (SIF) con NIS (SIL) 1 o NIS (SIL) 2 8.7. debido a las fallas aleatorias del equipo o a los fallos sistemáticos en el equipo o programas.4 Requisitos para la selección de los componentes y subsistemas programables con LVL (entre otros.2. 8.2.3. mantenimiento y detección de fallas cubriendo las configuraciones típicas del dispositivo de LFP (FPL) y los perfiles operacionales previstos.3.7.6 Se debe llevar a cabo una evaluación formal del procesador lógico EP usado en una aplicación con NIS (SIL) 2 de acuerdo con 8.2.4 La experiencia operacional debe tomar en cuenta: a) b) El NIS (SIL) de la FIS (SIF) La complejidad y funcionalidad de componente o subsistema 8.4.3. y debe cumplir con lo siguiente: a) b) c) d) Conocer los modos de falla insegura Usar técnicas para la configuración de la seguridad que tratan los modos de falla identificados Con programas embebido con un buen historial en aplicaciones de seguridad Debe tener protección contra modificaciones no autorizadas o involuntarias 8. se debe usar un procesador lógico EP configurado para seguridad.3. Se deben implementar las medidas para detectar los fallos durante la ejecución del programa e iniciar las siguientes: “Monitoreo” de la secuencia del programa Protección de código contra modificaciones o la detección de falla por “monitoreo” en línea Afirmación de la falla o programación diversa Verificar el rango de las variables o comprobar la credibilidad de los valores Enfoque modular Usar normas de codificación para los programas embebidos y de utilerías Este ha sido probado en configuraciones típicas. 0 PÁGINA 43 DE 81 El dispositivo con LFP (FPL) ha sido usado o probado en configuraciones representativas de los perfiles operacionales requeridos 8.3.2.2. de esta norma de referencia.7.7.3 Cuando exista alguna diferencia entre los perfiles operacionales y los ambientes físicos de un componente o un subsistema según previa experiencia. con casos de prueba representativos de los perfiles operacionales previstos Han sido usados módulos y componentes que han sido verificados El sistema ha sido objeto de un análisis dinámico y pruebas b) .4.3.2 Aplican los requisitos de 8.6.3. y son utilizados dentro del FIS (SIF) entonces se debe identificar cualesquier diferencia y realizar una evaluación basada en análisis y prueba para demostrar que la probabilidad de fallas sistemáticas es baja cuando es usado en el SIS. procesadores lógicos EP) basados en un uso previo 8. para demostrar que: a) Es capaz de desempeñar las funciones requeridas y que el uso previo ha mostrado que hay baja probabilidad de que este falle en un modo el cuál podría conducir a un evento peligroso cuando sea usado como parte del SIS.2.

2. 8.2.7.2. Cuando se especifique sensores inteligentes estos deben cumplir con lo siguiente: 8.4. 8. ambas válvulas requieren cambiar de estado al mismo tiempo para todas las FIS (SIF) que utilicen este mismo par de válvulas.7 Para aplicaciones con NIS (SIL) 2 se debe tener disponible un manual de seguridad incluyendo las restricciones para la operación. el procesador lógico EP debe cumplir con IEC 61508-2 y IEC 61508-3 8.5.4. si así lo especifica PEMEX en sus bases de licitación.2 Los circuitos discretos de entrada/salida que se requieren energizar para disparar deben asegurar la integridad al circuito.2. 8. Cuando se utilice un canal de comunicación “bus” digital que cumpla con el desempeño de seguridad y los requisitos de integridad del FIS (SIF) y tenga una certificación emitida por TÜV para el NIS (SIL) correspondiente conforme lo establece la IEC 61508 Cuando múltiples elementos finales estén conectados a una única salida.7.1 Cuando las aplicaciones son programadas usando un LVC (FVL).4.02 con etiquetas o rótulos permanentes que los diferencie de los otros dispositivos de campo de otros sistemas [SCBP (BPCS) o SDMC o sistema de gas y fuego]. entre otros).2.2.3.7.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.1 Los sensores inteligentes deben estar protegidos contra escritura para prevenir la modificación inadvertida desde una posición remota.4.5 Sensores.2.3. mantenimiento y la detección de fallos para cubrir las configuraciones típicas del procesador lógico EP y los perfiles operacionales previstos. temperaturas y presiones extremas.4. la corrosión.3 Cada dispositivo de campo individual debe tener su propio alambrado dedicado de entrada/salida del SIS. entre otras. arrancadores) adicional al sensor o al elemento final en la FIS (SIF). sólidos en suspensión. La revisión debe considerar los factores humanos tales como falla al seguir los procedimientos.7.4. entre otros) 8. barreras de seguridad intrínseca.0401. excepto en los siguientes casos: a) b) Cuando los múltiples sensores discretos se conectan en serie hacia una entrada sencilla y todos los sensores monitorean la misma condición de proceso (sobrecargas del motor.2.2. . pertenecientes a los SIS se deben identificar de acuerdo con la P.7.1 El proveedor o contratista debe seleccionar e instalar los dispositivos de campo para reducir al mínimo las fallas que pueden resultar en información inexacta debido a las condiciones que presentan el proceso.2. las condiciones ambientales.7.3. Para dos válvulas conectadas a una única salida. 8.4. este debe cumplir con el nivel NIS (SIL) requerido.5.7.4 Los dispositivos de campo localizados en el proceso. a menos que la revisión de la seguridad permita el uso de lectura/escritura.4 Dispositivos de campo En caso de requerirse algún componente (relevadores.7.5 Requisitos para la selección de los componentes y subsistemas programables con LVC (FVL) (procesadores lógicos EP. 8. aisladores galvánicos.7. polimerización. c) 8.2. 0 PÁGINA 44 DE 81 El sistema no usa inteligencia artificial ni reconfiguración dinámica Se han realizado pruebas documentadas de inserción de fallos 8.7. congelamiento de fluidos en las tuberías.

2. Las válvulas de desvío “by pass” y de bloqueo deben ser mecánicamente enclavadas a fin de evitar que las válvulas de corte del SIS puedan ser desviadas o bloqueadas respectivamente de forma inadvertida.1 Otros factores a considerar son los requisitos de corte.2.01-2008 o equivalente. Las válvulas de bloqueo de emergencia (de corte o cierre) se deben seleccionar de acuerdo a las condiciones específicas del proceso y la función deseada y deben cumplir con los requisitos técnicos y documentales de la NRF-204-PEMEX-2008 y para la prueba de carrera parcial PEMEX indicará alguno de los métodos indicados en la ANSI/ISA-TR96. las señales de entrada al procesador lógico EP las debe hacer en módulos de entrada diferentes (separados) o un módulo de entrada analógica que garantice la reducción de fallas de causa común y cumpla con el nivel de la integridad requerida. se deben configurar de tal forma que se pueda aprovechar la señal de fuera de rango que normalmente ofrecen los transmisores.4. El proveedor o contratista debe asegurar que sean bridadas e instaladas de tal forma que cada brida de la válvula sea conectada a la contrabrida de tubería correspondiente. sobre todo en aquellas válvulas del SIS que cierran a falla de aire/energía y que en otras ocasiones al probarse en línea han causado serios problemas operacionales.6 Válvulas.4. Estos factores junto con: la tasa de fallas.6. evitando así la presencia de espárragos que vayan de lado a lado de la válvula. entre otros deben ser claramente documentados.4.7. 8.7.4. En el caso de falla de energía. el proveedor o contratista debe llevar a cabo los arreglos y cálculos requeridos para realizar la supervisión de los lazos correspondientes a estos sensores. el proveedor o contratista debe realizar conexiones a proceso y eléctricas separadas e independientes para cada válvula (ya sea que se requieran dos válvulas para el SIS o una para el SIS y otra para el SCBP (BPCS) o SDMC.5. entre otros. las señales de salida del procesador lógico EP deben ser de módulos de salida separados o un modulo de salida que garantice la reducción de fallas de causa común.6. las señales de los transmisores deben ir a un estado seguro. el material del cual esta fabricada. 8. se debe considerar la instalación de dos válvulas de purga/venteo (dependiendo del servicio en la línea) instaladas entre las válvulas de bloqueo corriente arriba y corriente abajo de la válvula del SIS. requisitos de pruebas. así como también se deben de establecer procedimientos para realizar cambios en la configuración/calibración de dichos transmisores con el uso de claves de acceso. 8. requisitos de diagnostico.3 Los requisitos generales para operación a falla segura que se deben cumplir en los sensores son: a) b) c) d) Durante una operación normal de proceso los contactos de los sensores deben estar cerrados y energizados. la experiencia que se tenga con las válvulas.6. requisitos de indicadores de posición o interruptores de posición.5. en válvulas que a falla abren).3 Cuando aplique y de acuerdo al diseño en particular de ciertas instalaciones se requiera contar con válvulas de desvío y de bloqueo. interruptor desactivado.4.6. e) 8. 8. se deben usar interruptores de posición que alarmen en el cuarto de control del SIS cuando la válvula de desvío sea abierta o cuando alguna de las válvulas de bloqueo sean cerradas. procedimientos operativos que disminuyan su efectividad. se deben establecer los procedimientos que aseguren el correcto uso del modo de salida forzada y que nunca se dejen en ese mismo modo de manera permanente. En el caso de sensores del tipo interruptores.2. se requiere proveer a la válvula del SIS sólo con bloqueos (entre otros. circuito abierto y corto circuito. En el caso de usar transmisores electrónicos de 4-20 mA. Cuando se requieran más de dos sensores. En los casos donde se requiera contar con desvío y bloqueos.2 Cuando se usen sensores del tipo inteligentes.2.2 Las válvulas se deben llevar a una posición segura en caso de falla de suministro de energía. en este caso.4 Cuando se requieran más de dos válvulas. el proveedor o contratista debe realizar conexiones separadas a proceso para cada sensor.4. la supervisión debe proveer la siguiente información: interruptor activado.7. 8.7.7.2.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.7. modos de falla de la válvula.7.4.2. 0 PÁGINA 45 DE 81 8.05. .2.

de acuerdo con la NRF-152-PEMEX-2006 8.4. Se debe introducir cobertura de diagnóstico para cumplir con el criterio de confiabilidad y con el propósito de incrementar los intervalos de prueba.4. 8. debe restringirse a fin de evitar el accionamiento inadvertido o no autorizado de las válvulas.6.9 Válvulas solenoides. Su construcción debe evitar problemas de atoramiento o taponamiento de la válvula.2. Las válvulas solenoides deben ser capaces de soportar altas temperaturas incluyendo el calor generado por su misma operación.4.2.7. éste debe estar protegido con recubrimiento a prueba de fuego por un tiempo de 30 minutos.2.6. o bien actuadores hidráulicos.6. las condiciones de operación.10 Cableado y transmisión de señales de control electrónicas del SIS. Para funciones de seguridad críticas en caso de requerirse un panel de control local de válvulas. El diagnóstico asociado a válvulas debe considerar dos condiciones establecidas: operación normal y diagnóstico activo.4. Deben contar con un indicador local que muestre la posición de la válvula. cuando esté operando en línea en un servicio crítico o cuando forme parte del accionamiento del elemento final.7.7. además se debe llevar a cabo considerando la secuencia del paro de emergencia. El número de conductores eléctricos en un tubo . es decir.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. así como la radiación calorífica proveniente de hornos de calentamiento. El diagnóstico de la válvula durante operación normal debe considerar pruebas en línea. El diseño e instalación del cableado de las señales de campo al resolvedor lógico pertenecientes al SIS. Deben cumplir con los siguientes requisitos: a) b) c) El arreglo de las válvulas solenoides debe cumplir con el NIS (SIL) requerido para cada FIS (SIF).2.7.2. En caso de pérdida de señal o suministro de aire la válvula debe tomar una posición segura y emitir una señal de alarma. La instalación o montaje debe asegurar la posición con respecto al concepto de falla segura de la válvula solenoide.7 Diagnóstico de válvulas. Dependiendo del NIS (SIL) se debe determinar el empleo de actuadores sencillos de retorno por resorte o actuadores de doble acción operados neumática o hidráulicamente.8 Panel de control local de válvulas. el acceso a éste.5 Actuadores. 8. el tiempo de vida y el estrés mecánico que acompaña a la operación requerida y deben cumplir con la NRF-204-PEMEX-2008 y en caso de que el diseño lo requiera debe cumplir con los requisitos de sobrevivencia. 8.6. Para el diagnóstico activo de la válvula se deben instalar transmisores de posición o interruptores de límite para retroalimentar al procesador lógico EP indicando si la válvula operó correcta o incorrectamente. entre otros. no se permiten mecanismos de accionamiento manual. No se debe compartir un mismo tubo “conduit” para instalar cables del SIS junto con cables de control de proceso SCBP (BPCS) o SDMC o del sistema de gas y fuego.6. 0 PÁGINA 46 DE 81 8. d) e) f) 8. La instalación del recubrimiento a prueba de fuego no debe propiciar el deterioro prematuro de la válvula solenoide por deficiente disipación de calor.7.4. el uso de alarmas en caso de que la válvula cambie de estado sin una señal lógica. Cuando las válvulas solenoides se instalen dentro de un gabinete.7.2. El proveedor o contratista debe garantizar que los materiales de los dispositivos de campo suministrados cumplan con lo especificado en el diseño en cuanto a resistencia al medio de proceso.6. entre otros. que pongan en riesgo el elemento final. debe tomar en cuenta los requisitos técnicos indicados del 4 al 19 del API RP 552 o equivalente.6 Materiales.4. Estas válvulas solenoides deben ser de accionamiento para estado seguro.

Se debe evitar que las rutas de cables pasen por áreas de alto riesgo o vulnerables. 8.1.7. ya que no siempre puede estar funcionando o estar disponible.7.7.7. diagnóstico del sistema (sensor.1 La interfaz del operador sirve para comunicar información al operador tal como una acción de paro a tomar. de mar.3 En el diseño se debe tomar en cuenta las fallas de la interfaz del operador del SIS.1. cruda.2 de la NRF-036-PEMEX-2003 y ser consistentes con la filosofía o lineamientos de seguridad de la instalación. 8. Los dispositivos eléctricos se deben seleccionar para cumplir con la clasificación de áreas peligrosas conforme lo establece el numeral 8.2.7. entre otros) y/o por ingreso de otros medios de extinción de fuego. según el tamaño nominal del tubo “conduit” que aparece en la tabla 10-4 del capítulo 10 de la NOM-001SEDE-2005.4.2.12 Consideraciones ambientales. 8. onda expansiva. caída de objetos u otros.2.11 Protección por fuego.2. La operación del sistema sin embargo. cables y cualquier otro dispositivo que formen parte del SIS se deben especificar con las respectivas protecciones contra fuego. actuadores. 8. procesador lógico EP. estado del elemento final). la instrumentación y componentes involucrados tales como.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.5.5.6. onda de choque. 8. Cuando se haya especificado (en la ERS) algún requisito de sobrevivencia.5. En casos inevitables se requiere previa autorización de PEMEX.7. escarcha por heladas. entre otros.2. 0 PÁGINA 47 DE 81 “conduit” debe cumplir con el factor de relleno indicado en la tabla 10-1 del capítulo 10 de la NOM-001-SEDE2005.2. no debe depender de la interfaz.2.4 El diseño del SIS debe reducir al mínimo la necesidad al operador de seleccionar opciones y desviar el sistema mientras que la unidad está operando. . protecciones por ingreso de agua contraincendio (agua tratada. Si el diseño requiere el uso de las acciones del operador.5. pérdida de energía que impacte la seguridad. 8.5.7.5. debe incluir la protección contra error del operador.6.1 8. dando los medios como alternativas para que el operador lleve al proceso a un estado seguro y que las funciones automáticas del SIS no estén comprometidas. se debe tomar en cuenta las fallas que pueden ocurrir en la interfaz de operador del SCBP (BPCS) o SDMC. 8.2 Cuando la interfaz del operador del SIS se realiza vía la interfaz de operador del SCBP (BPCS) o SDMC.7. fenómenos meteorológicos y por caída de objetos sobre ellos. En la selección de los dispositivos que conforman el SIS se deben fijar los requisitos concernientes a calor. Los controles se deben localizar asegurando que sólo el personal autorizado mediante claves de acceso puede cambiar datos o acceder a los programas.1.1. Las Interfaces Humano Máquina – IHM (HMI) y de comunicación al SIS deben incluir las: Interfaces del operador Interfaces de ingeniería/mantenimiento Interfaces de comunicación Requisitos de la interfaz del operador 8. PEMEX debe definir con base en sus necesidades si la interfaz del SIS es independiente de la del SCBP (BPCS) o SDMC o si dicha interfaz se integra a la del SCBP (BPCS) o SDMC.7.2.5 Los interruptores de desvío se deben proteger por llave física o claves de acceso para prevenir el uso no autorizado.5 a) b) c) Interfaces.2.1.4.

indicadores. El volumen de alarmas y mensajes que se presenten al operador en una situación delicada de la instalación debe ser administrado y revisada. Cuando se utilice la IHM (HMI) del operador de un sistema asociado SCBP (BPCS) o SDMC para proporcionar automáticamente información relacionada con la seguridad del proceso.2. Cuando se requiere enviar información de “monitoreo” de seguridad del SIS al SCBP (BPCS) o SDMC no se debe comprometer la funcionalidad de la seguridad del SIS.1. .2.2.5.7.11 El proveedor o contratista debe proporcionar las estaciones industriales para interfaz humano maquina y equipo de cómputo.2.5. 8. estaciones de botones.7.7. En caso de que lo requiera PEMEX.9 El proveedor o contratista debe asegurar que no existan botones configurados para desencadenar el paro de emergencia.7.2.8 La interfaz del operador se debe diseñar usando principios de ergonomía. 8. a) b) c) d) e) Interfaz humano máquina para desplegados de pantalla Tableros que contengan luces indicadoras.7. para asegurar que se cumplan dichos requisitos.7.12 La interfaz del operador se debe usar para comunicar información entre el SIS y el operador y debe incluir los siguientes componentes.5.10 Los requisitos basados en el control de la información presentada en pantalla se deben oficializar y registrar.1.5.1.5. e interruptores Anunciadores (alarmas audibles y visibles) Impresoras Cualquier combinación de éstos 8.1.2. registrando en archivos históricos los eventos y funciones de alarmas.6 Debe estar disponible la información del estado del SIS que es crítica para mantener el NIS (SIL) como parte de la interfaz del operador. 8. los desplegados gráficos de pantalla pueden ser compartidos por una misma Interfase humano máquina para las funciones de control de proceso y de seguridad funcional de un SCBP (BPCS) o SDMC.2.7 El diseño de la interfaz del operador del SIS debe prevenir cambios al programa de aplicación del SIS. 8.7. de acuerdo a las especificaciones de la licitación. Esta información debe incluir: a) b) c) d) e) f) g) h) i) j) k) l) El proceso en estado real Indicación de que la acción de protección del SIS ha ocurrido Indicación de que una función de protección esté desviada Indicación de acción(es) automática(s) tal como la degradación de la votación y/o manejo de fallas ha ocurrido El estado de los sensores y de los elementos finales La pérdida de energía donde impacta a la seguridad Diagnósticos Falla del equipo de aire acondicionado Histórico de alarmas y secuencia de eventos Pantallas operativas de mantenimiento periódico Registro para control y auditoria del mantenimiento del sistema Guías de operación para procedimientos críticos 8. 0 PÁGINA 48 DE 81 8.1.1. Las condiciones anotadas deben incluir los eventos del SIS (como el disparo y eventos previos al disparo).Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.1.2.1. 8. La presentación de la información al operador debe ser clara y precisa.5.7.13 La Interfase Humano Maquina – IHM (HMI) para desplegados gráficos de pantalla.5.5. a través de los desplegados gráficos normales de operación.

los diagnósticos. Todo el diseño y desarrollo de alarmas y eventos en la IHM (HMI) debe ser conforme a la NRF-226-PEMEX-2009. 8. Toda alarma debe ser anunciada de manera sonora y visible de modo continuo y automático hasta que sea reconocida por el operador. para poder distinguir entre diferentes alarmas prioritarias. Estas pantallas de desplegados gráficos dinámicos de vista general deben desplegar el diagrama de flujo de la seguridad del proceso que muestre de manera esquemática cada uno de los equipos principales y la instrumentación del sistema de seguridad funcional del proceso.5. la información.2.2.5. Por tanto. pruebas.7. Las impresoras conectadas al SIS no deben comprometer ninguna función de seguridad del SIS en caso de presentarse alguna falla en la impresora. desvíos. servicios de manejo de fallas y votación Adicionar.2. borrar. o modificar el programa de aplicación Los datos necesarios para solucionar problemas en el SIS Cuando se requiera de desvíos.1. 8.2 La IHM (HMI) de ingeniería/mantenimiento debe proporcionar las siguientes funciones de acceso de protección segura para: a) b) c) d) e) El modo de operación del SIS.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. la fecha y el número de identificación correspondiente.2. imprimiendo cada alarma de manera continua.2.7. cabezales y tuberías debidamente identificados mediante etiquetas mostrando el estado dinámico del proceso. Los SIS pueden ser conectados a una misma interfaz humano maquina compartida con un SCBP (BPCS) o SDMC usando así los mismos recursos de interfaz humano máquina para realizar sus funciones de registro relacionados con la seguridad y el informe de las funciones de seguridad. programa. medios de deshabilitar la comunicación de alarmas. La impresora de reportes puede ser compartida con otro sistema. se deben presentar los desplegados gráficos dinámicos de vista general que proporcionen la información requerida en tiempo real del estado dinámico del proceso y que permita la interacción del operador con el SIS.1 El diseño de la IHM (HMI) de ingeniería/mantenimiento del procesador lógico EP del SIS debe asegurar que cualquier falla de esta interfaz no debe afectar adversamente la capacidad del SIS llevar el proceso a un estado seguro.2.5. las alarmas para el SCBP (BPCS) o SDMC y para el SIS deben estar separadas físicamente para minimizar fallas de modo común en los subsistemas de alarmas y se afecte la operación tanto del SIS como del SCBP (BPCS) o SDMC. 0 PÁGINA 49 DE 81 Cuando se tenga una IHM (HMI) dedicada para el SIS.2. Los desplegados gráficos de alarmas se deben presentar de manera visible e intermitente con un color codificado el aviso de alarma correspondiente. Las Impresoras deben documentar la secuencia de los eventos.1. 8. El operador debe ser capaz de ver siempre mediante desplegados gráficos de la interfaz humano maquina lo que está pasando en el SIS aún cuando falle el SCBP (BPCS) o SDMC. durante la operación normal del SIS. La impresión de alarmas y eventos debe llevarse a cabo mediante una impresora dedicada exclusivamente para este propósito.15 Impresora(s). indicando los valores de operación en tiempo real de las variables de la seguridad funcional del proceso.7.2 Requisitos de la interfaz de ingeniería/mantenimiento 8. 8.7. Esto puede requerir el desconectar las interfaces de ingeniería/mantenimiento.5.14 Alarmas y eventos. tales como los tableros de programación. registrados con el tiempo en el cual ocurrió. datos. y otros eventos relacionados con la seguridad y alarmas del SIS. se deben instalar tal que las alarmas y paros manuales de instalaciones no sean deshabilitados .5. El diseño de los desplegados gráficos dinámicos de vista general y de detalle se debe mostrar los diferentes instrumentos debidamente identificados y codificados mediante colores conforme a la NRF-226-PEMEX-2009.7. Las alarmas del SIS deben ser fácilmente visibles para el operador y deben ser reconocidas fácilmente con respecto a otras alarmas. mantenimiento El diagnóstico del SIS.

7.7. Los métodos de modelado para cálculo de PFD prom y de otras métricas importantes como el tiempo medio entre Disparos en Falso (MTTFs) y su elección dependen de la experticia del analista.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios 8. Anexo B): .5. esto se debe verificar mediante cálculos.5. La cobertura de diagnóstico de cualquier prueba de diagnóstico periódica (determinadas de acuerdo con IEC 61511-2 el intervalo asociado de la prueba de diagnóstico y la confiabilidad por el diagnóstico de las instalaciones.2.2 a) b) c) d) La probabilidad de falla calculada de cada FIS debido a fallas del equipo debe tomar en cuenta: e) f) g) h) i) j) La arquitectura del SIS para cada FIS. 8.4 El permitir e inhabilitar el acceso de lectura/escritura se debe realizar solamente por una configuración o proceso de programación usando la interfaz del ingeniería/mantenimiento con medidas de seguridad requeridas (claves de acceso). La razón de fallas estimadas de cada subsistema.3.3 La interfaz de comunicación debe soportar la interferencia electromagnética del medio ambiente incluyendo sobrecargas eléctricas sin causar alguna falla peligrosa en las FIS (SIF) de acuerdo con la IEC 61000-6-2 y IEC 61000-6-4 8. La razón estimada de falla peligrosa de cualquier proceso de comunicación en cualquiera de los modos que causaran una falla peligrosa del SIS (detectadas y no detectadas por pruebas de diagnóstico). La susceptibilidad a los disturbios de la compatibilidad electromagnética CEM (EMC) (de acuerdo a IEC 61326-1).5. La razón estimada de falla peligrosa de cualquier respuesta humana en cualquiera de los modos que cause una falla peligrosa del SIS (detectado y no detectado por las pruebas de diagnóstico).2.7.2.5. Los tiempos para reparación de las fallas detectadas.5. 8.3 Cálculo de PFDprom de las FIS (SIF). La susceptibilidad a las condiciones climáticas y mecánicas (de acuerdo a IEC 60654-1 y a IEC 60654-3). La Probabilidad de Falla en Demanda promedio (PFD prom) de cada FIS debe ser menor o igual que la PFDprom especificada en el documento Especificación de Requisitos de Seguridad (ERS).5.1 La probabilidad de falla en demanda promedio de cada FIS (SIF) se debe verificar mediante cálculos comparados con el objetivo de medición de fallas cumpliendo lo especificado en las especificaciones de los requisitos de seguridad.2.2. 8. que cause una falla peligrosa del SIS las cuales son detectadas y no detectadas por pruebas de diagnóstico.7. Se puede referir al Anexo A de la IEC 61511-2 para las técnicas disponibles para asegurar que el diseño del SIS satisface el desempeño relacionado a las fallas de equipo aleatorias.7. 8. entre los que se listan: (ver IEC 61508-6.2.2.7.2.3.3 SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.2 El SIS debe ser capaz de comunicarse con el SCBP (BPCS) o SDMC y los periféricos que no impacten en la FIS (SIF).3 Requisitos de la interfaz de comunicación 8.7.7. 8.3. Los intervalos en los cuales se llevan a cabo las pruebas rigurosas.3. La susceptibilidad del SIS a fallas de causa común.7. 0 PÁGINA 50 DE 81 La IHM (HMI) de ingeniería/mantenimiento no se debe usar como la interfase del operador.3. 8.1 El diseño de la interfaz de comunicación del SIS debe asegurar que cualquier falla de la interfaz de comunicación no debe afectar la capacidad del SIS de llevar al proceso a un estado seguro. Los métodos son varios.

de esta norma de referencia.1 Requisitos generales 8. Asegurar de que existe una planeación adecuada a fin de que los objetivos de la seguridad funcional asignados a los programas de aplicación se cumplan. 8.1 Los programas de aplicación usados en el SIS por parte de los fabricantes.2.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios - SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.1 Se debe considerar alguno de los siguientes programas para su aplicación en los SIS conforme a lo solicitado por PEMEX en los requisitos específicos del proyecto: a) Programas: Programas de aplicación.8. entre otros.1. El desarrollo y la modificación de las aplicaciones de programas utilizando LVC (FVL) deben cumplir con la serie IEC 61508.2 Requisitos del ciclo de vida de seguridad de los programas de aplicación 8.8 Requisitos para los programas de aplicación incluyendo criterios de selección para los programas de utilerías 8. .8. Lenguajes de desarrollo de programas: Lenguajes fijos de programas LFP (FPL) Lenguajes de variabilidad limitada (LVL) Lenguajes de variabilidad completa LVC (FVL) b) 8.8.8. entre otros.8.8. controlar y aplicar los programas de utilerías usados para desarrollar los programas de aplicación. 0 PÁGINA 51 DE 81 Simulación Análisis Causa Consecuencia Análisis de Árbol de Fallas Modelos Markovianos Diagramas de Bloques de Confiabilidad 8. Programas de utilerías. Programas embebidos. programas suministrados como parte del fabricante del procesador lógico EP. la selección de programas embebidos usando LVC (FVL) se debe ajustar a lo indicado en 8. proveedores o contratistas deben cumplir con el ciclo de vida indicado en la Figura 4 de esta norma de referencia.7 de esta norma de referencia.11 a).1. Definir cómo seleccionar.1. herramientas de programa usadas para desarrollar y verificar los programas de aplicación.8.3 Los programas de utilerías junto con el manual de seguridad del fabricante el cual define la forma en que el procesador lógico EP puede ser aplicado en condiciones de seguridad se deben seleccionar y aplicar de conformidad con los requisitos de 8. 8.8.1. y deben: a) b) c) Definir las actividades requeridas para desarrollar los programas de aplicación para cada subsistema programable del SIS.5.2 El desarrollo y la modificación de programas de aplicación o uso de LFP (FPL) o LVL hasta NIS (SIL) 3 debe cumplir con esta norma de referencia. y deben cumplir con la serie IEC 61508.

13 de esta norma de referencia) y responsabilidades (ver Tabla 6 y Figura 5 de esta norma de referencia).2.8.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. Ciclo de vida de seguridad de los programas de aplicación y su relación con el ciclo de vida del SIS 8.8 de esta norma de referencia. Procesador lógico EP. requisitos de verificación (ver 8. que requieren información de entrada y resultados de salida.2. debe especificar un ciclo de vida de seguridad para el desarrollo de los programas de aplicación que cumpla con los requisitos de esta norma de referencia y debe ser considerado durante la planeación de seguridad y estar integrado al ciclo de vida de seguridad del SIS. sensor. . 0 PÁGINA 52 DE 81 Especificación de los requisitos de seguridad (ERS) del SIS Arquitectura * del subsistema del SIS Requisitos de seguridad del equipo Equipo procesador lógico EP Equipo no programable Selección del procesador lógico EP incluyendo los programas embebidos Diseño y desarrollo de equipo no programable Nota 1 Requisitos de seguridad de los programas de aplicación Nota 1 Diseño y configuración de los programas de aplicación Nota 1 Integración de la electrónica programable Instalación y validación del SIS * Entre otros. 8.Alcance del numeral 8.8.. Figura 4.2 El proveedor o contratista del SIS. Nota 1.3 Cada fase del ciclo de vida de seguridad de los programas de aplicación se debe definir en términos de sus objetivos y actividades elementales. elementos finales.8.

8.8. entre otros) Dependencia en la funcionalidad externa Personal requerido No conformidades .1 Siempre que el ciclo de vida de seguridad de los programas de aplicación cumpla con los requisitos de la tabla 6.2.8. 8.7 Si en alguna fase del ciclo de vida de seguridad de los programas de aplicación.2. los programas de utilerías y el equipo en el SIS. los programas embebidos. apoyo de los programas y descripción de la configuración Criterio de prueba en el que la terminación de la prueba debe ser juzgada Ubicación física (en fábrica o en el sitio de instalación. 8.1. las cuales deben considerar lo siguiente: Las políticas para integrar los programas y el equipo Casos de prueba y datos de prueba Tipos de pruebas a ser desarrolladas Pruebas ambientales incluyendo herramientas.2.8 Los programas de aplicación.8. técnicas y herramientas para cada fase del ciclo de vida. debe cumplir con el NIS (SIL) requerido por cada FIS (SIF). a fin de: a) b) c) d) e) Minimizar el riesgo de introducir fallas en el programa de aplicación Revelar y remover fallos que ya existen en el programa Asegurar que los fallos remanentes en el programa no conduzcan a resultados inaceptables Asegurar que los programas se mantengan durante el tiempo de vida del SIS Demostrar que los programas tienen la calidad requerida 8. 8.2. número y tamaño de las fases del modelo V que se deben aplicar de acuerdo a la figura 6 conforme a la integridad de seguridad y la complejidad del proyecto. se debe tomar en cuenta la profundidad.7 de esta norma de referencia). entonces esa fase anterior y las siguientes fases se deben reexaminar y.5 Se deben seleccionar y aplicar los métodos.8.2.6 Cada fase del ciclo de vida de seguridad de los programas de aplicación se debe verificar y deben estar disponibles los resultados (ver 8. 8.3.8.9 a) b) c) d) e) f) g) h) i) Se debe llevar a cabo la planeación de las pruebas.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.8.2.8.2. se deben sujetar a la administración de la configuración (ver 8. 0 PÁGINA 53 DE 81 8. si los cambios son requeridos se debe repetir y reverificar. 8. se requiere de un cambio debido a una fase anterior del ciclo de vida de seguridad.1.13 de esta norma de referencia).4 El procesador lógico EP que implementa los programas de aplicación.

5 Diseño. Ciclo de vida de seguridad de los programas de aplicación (en fase de realización) .8.8.8.4 Planeación de la validación de la seguridad de los programas 8.8. 0 PÁGINA 54 DE 81 Ciclo de vida de seguridad de los programas Caja 4 de la Figura 2 Diseño e ingeniería del Sistema Instrumentado de Seguridad (SIS) Especificación de los requisitos de seguridad (ERS) de los programas de aplicación Especificación de los Especificación de los requisitos de las requisitos de integridad funciones de seguridad de seguridad 8.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.11 Integración del EP (equipo y programas) 8.12 Procedimientos de operación y modificación de los programas A la caja 5 de la figura 2 A la caja 6 y 7 de la figura 2 Figura 5. configuración y simulación de los programas 8.8.3 8.

8. 8.5.11 a)) Figura 6.11) Diseño de la arquitectura y programas de aplicación (8.8) Probando los programas de aplicación (8.8.8.1.11) SIS validado Arquitectura del subsistema Especificación de los requisitos de seguridad de los programas de aplicación (8. 0 PÁGINA 55 DE 81 Especificación de los requisitos de Seguridad (ERS) del SIS Validación de la seguridad del SIS (8.8.8. Ciclo de vida del desarrollo de los programas (Modelo V) .8.8.8) Probando módulos de aplicación (8.8.7) Desarrollo de programas de aplicación (8.3) EP Prueba de integración de los programas de aplicación (8.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.6 y 8.9) Salida Verificación Desarrollo de códigos y pruebas – solo LVC (FVL) (Ver IEC 61508-3.8.10) Desarrollo de los módulos de aplicación (8.

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios Fase del ciclo de vida de seguridad Figura 5 Numero SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. reconocimiento de los módulos comunes de los programas de aplicación tales como secuencias de bombas o válvulas.7 ERS de los programas de aplicación del SIS Descripción diseño de arquitectura del la Verificación de la información Lista de procedimientos para el uso de los programas utilerías Verificación de la información Manuales del SIS Manual de seguridad del Procesador lógico EP seleccionado del SIS Descripción de la arquitectura de diseño Lista de manuales y procedimientos del EP seleccionado para usar el programa de utilerías 8.8. y herramientas de prueba y simulación sobre todo el ciclo de vida de seguridad de los programas (programas de utilerías)) Especificar los procedimientos para el desarrollo de los programas de aplicación 8.8 1) Programa de aplicación (entre otros. entre otros. Especificación de las pruebas de integración de la arquitectura y los subsistemas de los programas de aplicación Diseño y desarrollo de los programas de aplicación Lenguajes de programación y herramientas de apoyo Identificar un conjunto adecuado de configuración.8.6 ERS de los programas de aplicación del SIS Manuales de diseño de la arquitectura del equipo del SIS Descripción de la arquitectura de diseño.4 ERS de los programas de aplicación del SIS Plan de validación de la seguridad de los programas de aplicación del SIS Verificación de la información Arquitectura Crear una arquitectura de los programas que cumpla los ERS de los programas Revisar y evaluar los requisitos puestos en los programas por la arquitectura del equipo del SIS 8.8.8. diagramas de bloques de funciones.8. Entre otros.8. lógico de escalera) 2) Prueba de integración y simulación del programa de aplicación 3) Especificación de los requisitos de seguridad de los programas de aplicación de propósito especial 4) Verificación de la información . 0 PÁGINA 56 DE 81 Objetivos Titulo ERS de los programas de aplicación Especificar los requisitos para los programas de las FIS (SIF) para cada función del SIS requeridos para implementar FIS (SIF) requeridas.5 Diseño y desarrollo de los programas de aplicación Desarrollo de los programas de aplicación y desarrollo de los módulos de aplicación Implementar los programas de aplicación que cumplen con los requisitos especificados para la aplicación de seguridad 8.3 8.3 ERS de los programas de aplicación del SIS Verificación de la información 8. librería. administración.8.4 8.8.5 Planeación de la validación de la seguridad de los programas de aplicación Diseño y desarrollo de los programas de aplicación 8.8. Especificar los requisitos para la integridad de seguridad de los programas para cada FIS (SIF) asignada a ese SIS Desarrollar un plan para validar los programas de aplicación Numeral Información requerida ERS del SIS Manuales de seguridad del SIS seleccionado Arquitectura SIS del Resultados requeridos de Caja 8. la segregación de los programas de aplicación relacionados con los subsistemas del proceso y el NIS (SIL).

Procesadores redundantes .Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios Fase del ciclo de vida de seguridad Figura 5 Numero SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. Vista general del ciclo de vida de seguridad de los programas de aplicación 8. entre otros: .9 y 8.9 Integración de la electrónica programable (Equipo y programas) Validación de la seguridad del SIS 8.11) sujeta a prueba satisfactoria de la cobertura Integrar los programas en el equipo procesador lógico EP objeto Numeral Información requerida ERS de los programas de aplicación de propósito especial Resultados requeridos de Caja 8.10 8. entre otros: .11 Validar que el SIS incluyendo la seguridad de los programas de aplicación cumple con los requisitos de seguridad 8.3 Especificación de requisitos de seguridad de los programas de aplicación 8.Funciones derivadas (entre otros.Tarjetas duales de entrada/salida Incluye.8.Programa ejecutable Incluye.Pruebas de diagnósticos .Funciones de entrada/salida .Manejo de fallos “errores” .5 8. 0 PÁGINA 57 DE 81 Objetivos Titulo desarrollo de los programas de aplicación usando lenguajes de variabilidad completa Diseño y desarrollo de los programas de aplicación Desarrollo y prueba del programa – solo LVC (FVL) Implementar lenguajes de variabilidad completa que cumpla los requisitos especificados para la seguridad de los programas Prueba de los programas de aplicación para: 1) Verificar que los requisitos para la seguridad de los programas han sido logrados 2) Mostrar que todos los sistemas y subsistemas de los programas de aplicación interactúan correctamente para desempeñar sus funciones y no despeñan funciones no deseadas Puede ser fusionada con la siguiente fase ( 8.13 Especificación la prueba integración simulación programa aplicación (Estructura basada pruebas) de de y del de 1) Resultados de las pruebas de los programas 2) Programas del sistema verificados y probados 3) Verificación información de la en Especificación de la prueba de integración de la arquitectura de los programas 8.8.8.9 Especificación la prueba integración equipo y programas Planes validación de seguridad de programas y SIS de de del los de la los del Resultados de las pruebas de integración del equipo y los programas Equipo y programas verificados Resultados de validación de los programas y del SIS Tabla 6.5 8. entre otros: . verificación del sensor si es que este programa de aplicación no se encuentra embebido) Tabla 7.8.11 8.8.8.3.8.9 8. Relación entre el “hardware” y “software” de las arquitecturas de un SIS . Arquitectura de los subsistemas del SIS EP Arquitectura del equipo Arquitectura de los programas “software” (consta de los “Hardware” programas embebidos y los programas de aplicación) Características especificas Programas embebidos Programas de aplicación genéricas y de aplicación en el equipo “hardware” Incluye.8.8.8.8. Ver la relación entre la arquitectura de los programas y del equipo de la Tabla 7 de esta norma de referencia.8.10 Referir a IEC 61508-3 8.Controladores de comunicaciones .1 El proveedor o contratista debe proporcionar la ERS para cada subsistema programable del SIS para implementar las FIS (SIF) requeridas siendo consistentes con la arquitectura del SIS.

3. entre otros Prueba de verificación y pruebas de diagnostico de dispositivos externos (sensores y elementos finales.8. entre otros) “Automonitoreo” de los programas (entre otros. así como los programadores de aplicación Sean verificables. Cualquier deficiencia en la ERS se debe identificar con el desarrollador de los subsistemas del SIS.4 La ERS de los programas de aplicación debe detallar el diseño e implementación para alcanzar la integridad de seguridad objetivo y permitir que se lleve a cabo una evaluación de la seguridad funcional y debe considerar lo siguiente: a) b) c) d) e) f) g) h) i) j) Las funciones soportadas por los programas de aplicación Capacidad y tiempo de respuesta del desempeño Equipo e interfaces de operador y su operabilidad Los modos relevantes de operación del proceso como se especifica en la ERS del SIS Acción que se lleva a cabo en los fallos en los lazos de control de las variables de procesos como el valor del sensor fuera de rango. configuración o arquitectura de los SIS.6 a) La ERS de los programas se debe expresar y estructurar de manera que: b) c) Sea clara para aquellos que van a utilizar el documento en cualquier etapa del ciclo de vida de seguridad.3. debe usar terminología y descripciones que sean claras y entendibles por los operadores de la planta y de mantenimiento. requisitos de integridad de seguridad del equipo del SIS.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios 8. alarma.3.8. La ERS de los programas para cada subsistema del SIS debe incluir: La ERS de las FIS (SIF) Los requisitos resultantes de la arquitectura del SIS Cualquier requisito de planeación de seguridad 8. entre otros) 8. 0 PÁGINA 58 DE 81 Se debe desarrollar la ERS de los programas de aplicación. circuito abierto detectado.3. 8. consistentes y entendibles. entre otros) Permitir pruebas periódicas de las FIS (SIF) cuando el proceso está operando Referencias a los documentos de entrada (especificación de las FIS.5 El desarrollador de los programas de aplicación debe revisar la información de la especificación para asegurar que los requisitos sean claros.3.2 8.8.8.8. corto circuito detectado. incluye la aplicación de vigilancia y validación del rango de datos “Monitoreo” de otros dispositivos dentro del SIS (sensores y elementos finales. comprobables y modificables Tengan respaldo de trazabilidad hacia la ERS del SIS 8. y manejo de fallos en los subsistemas del SIS Las funciones relacionadas a la prueba periódica de las FIS (SIF) en línea Las funciones relacionadas a la prueba periódica de las FIS (SIF) fuera de línea Las funciones que permiten al SIS ser modificado de modo seguro Las interfaces para las funciones que no están relacionadas con la seguridad La capacidad y el tiempo de respuesta del desempeño Los NIS (SIL) para cada una de las funciones anteriores .3.8.3 a) b) c) SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.7 La ERS de los programas de aplicación debe proveer información que permita la selección de equipo propio y debe considerar lo siguiente: a) b) c) d) e) f) g) h) Las funciones que permitan al proceso lograr o mantener un estado seguro Las funciones relacionadas a la detección.

8.3. 8.3. 8.4 8. Se deben tomar precauciones en caso de que el soporte del proveedor o contratista esté disponible por un corto periodo de tiempo a partir de la última actualización de la versión de los programas.8.8. Los programas de aplicación deben permitir cambios en línea sin inducir condiciones inseguras.8. 8.8.10 La evidencia de que se aplique el aseguramiento de calidad al desarrollo de los programas de aplicación debe ser parte del plan de calidad de los programas.3. y que el programa de aplicación no se ha modificado durante el período en el cual los datos de campo fueron empleados.3.8. Tales requisitos de desempeño deben incluir: a) b) c) Restricciones de tiempo Integridad.3. La evidencia de campo no debe ser empleada para omitir evidencia de deficiencias de control en el diseño de los programas.13 Los detalles de estándares de desempeño de los programas de aplicación que sean importantes para las especificaciones de los requisitos totales se deben identificar en el plan de calidad de los programas.1 Planeación de la validación de la seguridad de los programas de aplicación Se debe asegurar el desarrollo de la planeación de la validación de los programas de aplicación.8.8.8. 0 PÁGINA 59 DE 81 8. si estos son parte del estándar de producto del procesador lógico EP y los que no sean parte de los programas específicos de aplicación: a) b) c) Sistema operativo Sistema de manejo de comunicación Dispositivos de manejo del procesador lógico EP 8. deben cumplir lo indicado en el ciclo de vida de seguridad de los programas de aplicación. rendimiento y retraso de mensajes de comunicación Los estándares de desempeño para degradación bajo condiciones de carga alta 8.2 La planeación de la validación de los programas de aplicación debe cumplir con 8. 8.11 de esta norma de referencia. 8. Sin embargo la importancia de tales datos de desempeño en campo se debe evaluar cuidadosamente.8 Las entradas y las salidas generadas en cada una de las etapas de los programas de aplicación durante su ciclo de vida. La estrategia adoptada para asegurar el NIS (SIL) sobre actualizaciones de los programas de aplicación se debe contemplar en el plan de calidad. La evaluación debe confirmar que la evidencia de campo relaciona aplicaciones similares con la aplicación deseada.8.15 Los programas de aplicación sujetos a actualizaciones de versión frecuentes pueden incrementar su tamaño de modo que se requiera actualizar el equipo de soporte.3.11 El plan de calidad de los programas de aplicación debe especificar o referenciar los procedimientos para identificar fallos en los propios programas de aplicación que hayan encontrado otros usuarios y para incorporar cualquier corrección a los programas de aplicación.8. 8.4.14 Existe la posibilidad de que versiones subsecuentes de los programas de aplicación no sean compatibles totalmente con elementos anteriores.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. 8.4.12 Los programas de aplicación para los cuales se disponga de datos del buen desempeño en campo se deben emplear para el desarrollo de programas con altos estándares de aseguramiento de calidad.9 El proveedor o contratista adicionalmente debe incluir los siguientes elementos.3. .3.

5. 8. 8.5.8 El método seleccionado de diseño y lenguaje de aplicación (LVL o LFP (FPL) debe incluir características que proporcionen lo siguiente: a) Modularidad y otras características tales como el control de la complejidad.5.1 SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. desde entender una aplicación funcional y el conocimiento de las restricciones de la tecnología.8.5.3 de esta norma de referencia) que sean analizables.1. incluyendo cobertura de los códigos de los programas de aplicación. idealmente como una descripción lógica o como funciones algorítmicas Flujo de información entre elementos modulares de las funciones de aplicación Requisitos de secuencia Garantía de que las FIS (SIF) operan siempre dentro de las restricciones de tiempo definidas Libertad de comportamiento indeterminado Garantía de que los datos internos no son erróneamente duplicados.8. tales características incluyen modularidad.8. verificables y capaces de modificarse de modo seguro. 0 PÁGINA 60 DE 81 Desarrollo y diseño de los programas de aplicación El proveedor o contratista debe cumplir con los siguientes requisitos generales: 8.5.8. la configuración especifica de la aplicación en el equipo del SIS.6 El desarrollo.1.5 Verificar que la ERS de los programas (en términos de los programas requeridos de las FIS) se han alcanzado.5. cobertura funcional de la aplicación integrada.1.1. Modificación de los programas de aplicación.8.1. los programas se deben basar en módulos de programas probados que pueden incluir funciones de librería del usuario y reglas bien definidas para enlazar los módulos de los programas. Expresión de: Funcionalidad.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios 8.8. donde sea posible. la tolerancia de fallos inherente del SIS y la interacción de la arquitectura del equipo y programas embebidos del SIS. la verificación y la validación de los programas de aplicación LVC (FVL) deben estar de acuerdo con la IEC 61508-3 8.8.1.8.1.5.5 8.8.1. 8. trazabilidad y documentación.3 Seleccionar un conjunto adecuado de herramientas (incluyendo los programas de utilerías) para desarrollar los programas de aplicación.1 Desarrollar una arquitectura de los programas de aplicación que sea compatible con la arquitectura del equipo y que cumpla la ERS de los programas (ver 8. 8. 8.4 Diseñar y poner en práctica o seleccionar programas de aplicación que cumplan los requisitos especificados para la seguridad de los programas (ver 8.8. Verificación y validación. Estos incluyen los efectos secundarios del comportamiento del equipo y los programas del SIS. la interfase con el SIS y su aplicación específica de la configuración del equipo. las pruebas. con los programas de aplicación para seguridad.8.5.3 de esta norma de referencia).5. todos los tipos de datos usados están definidos y las acciones adecuadas ocurren cuando los datos están fuera de rango o son erróneos Hipótesis del diseño y sus dependencias Comprensión por los desarrolladores y otros que necesitan entender el diseño.7 El método de diseño debe ser consistente con las herramientas de desarrollo y las restricciones dadas por los subsistemas del SIS aplicados. 8.8. b) c) d) e) .2 Examinar y evaluar los requisitos que deben cumplir los programas por la arquitectura del equipo y los programas embebidos en la arquitectura del SIS.

3. todos los programas deben ser tratados como pertenecientes al NIS (SIL) más alto a menos que la independencia entre las FIS (SIF) de los diferentes NIS (SIL) puedan ser mostradas en el diseño.9 a) b) c) d) e) SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. 0 PÁGINA 61 DE 81 El diseño alcanzado debe cumplir con lo siguiente: Incluir las verificaciones de la integridad y la veracidad de los datos Ser trazable a los requisitos Ser comprobable Tener la capacidad para una modificación segura Mantener la complejidad y tamaño de los programas de aplicación de las FIS (SIF) hacia un mínimo 8.8.8.6.10 Cuando los programas de aplicación se implementan para FIS (SIF) de diferentes NIS (SIL).8.1. La aplicabilidad debe estar basada en: a) b) c) Conformidad con la IEC 61508-3 cuando se usen LVC (FVL).2. 8. su aplicabilidad en satisfacer la ERS de los programas de aplicación debe ser justificada. .11 Si las funciones de librería de un programa de cómputo de aplicación son previamente desarrolladas para ser usadas como parte del diseño.2. su conjunto de herramientas y manual de seguridad.8. 8.5.8.3 y 8. si la independencia es solicitada o no.3.2 La descripción del diseño de la arquitectura de los programas de aplicación debe cumplir con lo siguiente: a) b) c) Proveer una descripción entendible de la estructura interna y de la operación de los subsistemas del SIS y de sus componentes. Identificar los módulos de programas incluidos en los subsistemas del SIS pero que no son usados en ninguna FIS. y la descripción de conexiones e interacciones entre los componentes identificados (equipo y programas).7. entre otros) Descripción Trazabilidad para los requisitos funcionales de aplicación Convenciones lógicas usadas Funciones de librería estándar usadas Entradas y salidas Administración de la configuración incluyendo una historia de cambios Requisitos para la arquitectura de los programas de aplicación 8. 8. Debe cumplir con los requisitos del diseño del subsistema seleccionado.1 El diseño de la arquitectura de los programas de aplicación se debe basar en la ERS del SIS dentro de las restricciones de la arquitectura del sistema del SIS. o.5.1. La justificación de independencia debe ser documentada. Evidencia de funcionamiento satisfactorio en una aplicación similar que se ha demostrado que tiene una funcionalidad similar o haber sido objeto de la misma verificación y procedimientos de validación como se espera para cualquier nuevo desarrollo de programas (8.5.5. o.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios 8. la siguiente información se debe incluir en la documentación de los programas de aplicación o en la documentación relacionada: a) b) c) d) e) f) g) Entidad legal (compañía o autor.4 de esta norma de referencia). Incluir la especificación de todos los componentes identificados.6.1.8. Conformidad con la IEC 61511-1 cuando se usen LFP (FPL) o LVL.7.8.12 Como mínimo. el NIS (SIL) buscado de cada FIS (SIF) se debe identificar.1.6 8.

y cualquier medida adicional que se refiera a cualquier deficiencia detectada en el lenguaje.8.1 Se debe seleccionar el conjunto de herramientas.7.6.7. la justificación debe detallar la adaptabilidad para el propósito del lenguaje. diseños no estructurados. datos de operación.6.3 Se deben identificar y justificar las razones de la elección del conjunto de métodos y técnicas usados para desarrollar los programas de aplicación. incluyendo un subconjunto de aplicaciones del lenguaje de programación. 8. datos de mantenimiento y datos internos de la base de datos. entonces se debe documentar la justificación del lenguaje usado durante la descripción del diseño de la arquitectura del programa de aplicación (ver 8. 8. 8.8.8.6. entre otros). 8. evitar características genéricas de lenguaje de cómputo no seguras (características de lenguaje no definidas. 8.8. manual del usuario y lenguajes de aplicación 8.8. 8. Identificar todas las no FIS (SIF) y asegurar que no afectan la operación de cualquier FIS (SIF).8. 8. no se cumpla. simulación.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios d) SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.7.8. la administración de la configuración. y cuando proceda las herramientas de medición de prueba automática de cobertura. 8. Tales datos deben incluir datos de entrada-salida de la planta.4 a) b) c) d) e) El lenguaje de aplicación seleccionado debe cumplir con lo siguiente: Ser implementado usando un compilador/traductor que ha sido evaluado para establecer su adaptabilidad para ese propósito Estar definido completa y claramente o restringido para características definidas claras Coincidir con las características de la aplicación Contener características que faciliten la detección de errores en programación Apoyar las características que coinciden con los métodos de diseño 8.7. conociendo las deficiencias como introducir fallos en los programas y cualquier limitación en la cobertura de la verificación y validación anterior.5 Cuando el 8.8.8.6 de esta norma de referencia). 0 PÁGINA 62 DE 81 e) Describir el orden del procesamiento lógico de datos con respecto a los subsistemas de entradas/salidas y la funcionalidad de los procesadores lógicos EP incluyendo cualquier limitación impuesta por tiempos de barrido.3 Se debe identificar el conjunto de procedimientos para el uso de las herramientas tomando en cuenta las restricciones del manual de seguridad.7.7.7 a) b) c) El manual de seguridad debe abordar los siguientes puntos según proceda: El uso de diagnósticos para desempeñar funciones de seguridad Lista de librerías de seguridad certificadas/verificadas Pruebas mandatorias y lógica de paro del sistema .2 Se deben considerar las herramientas correspondientes para suministrar los servicios relevantes a través de todo el tiempo de vida del SIS.4 de esta norma de referencia.5 Se deben describir y justificar las características usadas para mantener la integridad de la seguridad de todos los datos. herramientas de pruebas.7 Requisitos para las herramientas de apoyo.7.8. 8.4 Los métodos y técnicas usados en el diseño de los programas de aplicación deben ser consistentes con cualquier restricción identificada en el manual de seguridad del subsistema del SIS.8.8. Se deben identificar las revisiones para detectar fallos en la configuración para especificar los procedimientos para la documentación de los programas de aplicación.8.7. datos de comunicaciones.6 Los procedimientos para el uso de los lenguajes de aplicación deben especificar buenas prácticas de programación.

La descripción del diseño de la arquitectura de los programas de aplicación (ver 8. 8.8. incluyendo: 8.8. los principios de diseño. Los programas de aplicación deben ser producidos de un modo estructurado para lograr: 8.8 8.8.1.3 de esta norma de referencia).8.6 de esta norma de referencia) incluyendo la identificación de la lógica de aplicación y la funcionalidad de tolerancia a fallo. entendibles y verificables Satisfacer los principios relevantes de diseño Satisfacer los requisitos relevantes especificados durante la planeación de la seguridad (ver 8.8.8.8.4 de esta norma de referencia) 8.9. y prueba para confirmar que los datos de estada/salida son mapeados a la correcta lógica de aplicación. los módulos de programas genéricos y las herramientas de apoyo a ser usados.5 a) b) c) Los programas de aplicación deben cumplir con lo siguiente: Ser leíbles.8. .4 Se debe especificar el diseño de cada módulo de programas de aplicación y las pruebas estructurales para ser aplicadas a cada modulo de programas de aplicación.8 8. Requisitos para el desarrollo de los programas de aplicación 8.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios d) e) f) SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.8.8.8.7. y los requisitos de planeación de la validación de la seguridad. 8.1. simulación.8.1 Se debe verificar la configuración de cada punto de entrada a través de la lógica de procesamiento hacia los puntos de salida.8.3 a) b) c) Verificación de credibilidad de cada variable de entrada incluyendo cualquier variable usada para proveer datos de entrada Definición completa de las interfases de entrada y salida Verificaciones de las configuraciones del sistema incluyendo la existencia y accesibilidad del equipo y módulos de programas requeridos 8.8.8.6 Los programas de aplicación se deben revisar para asegurar la conformidad del diseño especificado.9 Requisitos para la prueba de los módulos de los programas de aplicación 8.8.8. 0 PÁGINA 63 DE 81 Uso de vigilancia Requisitos y limitaciones para herramientas y lenguajes de programación Los NIS (SIL) para los dispositivos o sistema sean los requeridos Se debe verificar la aplicabilidad de las herramientas. y los procedimientos para programar los programas de aplicación.8. mediante técnicas de revisión. una lista de datos de entrada y salida.1 La siguiente información debe estar disponible antes del inicio del diseño de los programas de aplicación: a) b) La ERS de los programas (8.2 a) b) c) d) Modularidad de la funcionalidad Comprobabilidad de la funcionalidad (incluyendo características de tolerancia a fallos) y de estructura interna La capacidad para modificación segura Trazabilidad y explicación de las funciones de aplicación y las restricciones asociadas El diseño de cada modulo de aplicación debe direccionar la robustez.

cualquier modificación o cambio debe estar sujeta a un análisis de impacto de la seguridad.10.10 8.11.10.10. Las actividades de re-diseño y reverificación que son requeridas (ver 8. se deben reportar los motivos por los que se falló. Integración de los programas de aplicaciones con los subsistemas del SIS 8.8. de manera que los requisitos de desempeño y funcionales de la seguridad se deben cumplir.11.8. 8.8.2 Las pruebas de integración deben ser especificadas tan pronto como sea posible en el ciclo de vida de seguridad de los programas para asegurar la compatibilidad de los programas de aplicación con el equipo y la plataforma de los programas embebidos.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.4 La siguiente información de la prueba debe estar disponible: . 8.11 8. Se deben realizar pruebas para los módulos específicos que están siendo probados.8.8.11.2 Se debe verificar cada modulo de los programas de aplicación mediante técnicas de revisión. simulación.9.3 Durante la integración de los programas de aplicación.9.8. Requisitos para probar la integración de los programas de aplicación 8. el cual debe determinar: a) b) Los módulos de programas que son afectados Las actividades requeridas de re verificación (ver 8.12 de esta norma de referencia).8. 0 PÁGINA 64 DE 81 8. 8.8.8.8.13 de esta norma de referencia) 8.1 Las pruebas a los programas de aplicación deben mostrar que todos los módulos de los programas de aplicación y los componentes/subsistemas interactúan correctamente entre ellos y con los programas embebidos elementales para ejecutar la función requerida.11. y pruebas para determinar que las funciones propuestas son correctamente ejecutadas y no se ejecuten las funciones no deseadas.8.8. 8.3 8. considerando lo siguiente: a) b) c) d) Ejercitar todas las partes del modelo de aplicación Ejercitar los límites de los datos Calendarizar los efectos de la secuencia de ejecución Implementación de una secuencia propia Los resultados de las pruebas de los módulos de los programas de aplicación deben estar disponibles.1 El proveedor o contratista del SIS debe demostrar que los programas de aplicación cumplen la ERS de los programas cuando corren en el equipo y programas embebidos usados en los subsistemas del SIS.2 Los resultados de las pruebas de integración de los programas de aplicación deben estar disponibles y mostrar lo siguiente: a) b) El resultado de las pruebas Si se han cumplido los objetivos y criterios de la especificación de la prueba Si hay un fallo.3 Durante la prueba.8. cualquier modificación a los programas se debe sujetar a un análisis de impacto de la seguridad el cual debe determinar: a) b) Los módulos de los programas que son afectados.

8. las razones de la falla.12.8.8.8. 8.1.11.2.13. 8.8.13 8. 8. inspección y/o prueba de cobertura de las salidas Compatibilidad entre las salidas generadas en diferentes fases del ciclo de vida Corrección de los datos.6 Las funciones no seguras y las interfaces de proceso integradas con las funciones y señales relacionadas con la seguridad se deben verificar para: .1 Demostrar que la información sea satisfactoria.13.8.13.12 8.2 y 8.8.4 Se deben verificar los resultados de cada fase para cumplir con lo siguiente: a) b) c) d) La suficiencia de las salidas desde una fase del ciclo de vida en particular contra los requisitos para esa fase La suficiencia de la revisión.1 Asegurar que los programas continúen cumpliendo la ERS de los programas después de su modificación.1. con los siguientes requisitos adicionales: a) b) c) d) e) f) Antes de la modificación se debe llevar a cabo un análisis de los efectos de la modificación en la seguridad del proceso y del estado del diseño de los programas y sea usado para dirigir la modificación Debe estar disponible la planeación de la seguridad para la modificación y reverificación Las modificaciones y reverificaciones se deben realizar de acuerdo con la planeación Se debe considerar la planeación de las condiciones requeridas durante la modificación y pruebas Toda la documentación afectada por la modificación se debe actualizar Deben estar disponibles todos los detalles de las modificaciones al SIS (registro) Verificación de los programas de aplicación 8.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios a) b) c) d) e) f) g) SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.1.3 de esta norma de referencia.13.8.2 Las modificaciones se deben desarrollar de acuerdo con 8.7 y 8. 8.3 de esta norma de referencia) Procedimientos de modificación de los programas [LFP (FPL) y LVL] 8.8.12.8.8. 0 PÁGINA 65 DE 81 Productos de configuración bajo prueba Productos de configuración que apoyan las pruebas (herramientas y funcionalidad externa) Personal involucrado Casos de pruebas y escritos de pruebas Los resultados de las pruebas Si se han cumplido los objetivos y criterios de las pruebas Si existe una falla. el análisis de las fallas y los registros de la corrección incluyendo la reprueba y reverificación (ver 8.13.6.1.8.3 Se debe llevar a cabo la planeación de la verificación para cada fase del ciclo de vida de los programas de aplicación de acuerdo con 8.13.11 de esta norma de referencia.5 La verificación también debe abordar lo siguiente: a) b) c) Comprobabilidad Legibilidad Trazabilidad 8.2 Demostrar que los resultados de salida satisfagan los requisitos definidos en cada fase del ciclo de vida de seguridad de los programas de aplicación.

Ubicación física. La dependencia en otros sistemas/interfaces.7 El SIS debe ser completamente probado antes de ser enviado por el proveedor o contratista a PEMEX. pruebas de excepción. Casos de prueba.6 a) b) c) d) e) Para cada prueba realizada. descripción de la prueba y los datos de prueba.9 Estas pruebas deben ser aplicadas a todos los elementos que forman parte del SIS. Procedimientos para adoptar medidas correctivas en caso de falla de la prueba. se debe seguir lo siguiente: La versión de la planeación de la prueba que se está usando La característica de desempeño y la FIS (SIF) que se está probando Los procedimientos de prueba detallados y descripciones de las pruebas Un registro cronológico de las actividades de prueba Las herramientas. equipos e interfaces utilizadas 8.9. pruebas de desempeño (tiempo. Herramientas y entorno de la prueba.1 Probar el procesador lógico EP y los programas asociados del SIS para asegurar que cumplen los requisitos definidos en la ERS e identificar y corregir los errores asociados a la configuración programación del SIS antes de su instalación en la planta de PEMEX.9. 0 PÁGINA 66 DE 81 No tener interferencia con las funciones de seguridad Protección contra la interferencia con las funciones de seguridad en el caso de anomalías de las funciones no seguras Pruebas de aceptación en fábrica (FAT) del SIS 8. pruebas en modos degradado y/o de fallo. Habilidades y función del personal de la prueba. Cuando el SIS este diseñado con un procesador lógico EP.5 Las FAT se deben llevar a cabo de conformidad con la planeación de las FAT. Criterios de prueba en los que la terminación de la prueba debe ser evaluada.9. 8.2.2 Especificar la necesidad de una FAT durante la fase de diseño de proyecto del SIS. . Estas pruebas deben mostrar que toda la lógica se desempeñe correctamente. el proveedor o contratista debe cumplir con 8. aplicación de los manuales de mantenimiento y operación del SIS.9. pruebas de interfaz.4 8. c) d) e) f) g) h) i) 8. tiempo de vida y pruebas de tensión). las pruebas ambientales (incluyen compatibilidad electromagnética. confiabilidad y disponibilidad.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios a) b) SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. 8. Configuración del procesador lógico EP.9. Las FAT se deben llevar a cabo con la versión de “hardware” y “software” adquirida con el contrato.3 Especificar lo siguiente en la planeación de una FAT en el protocolo de pruebas previamente revisado por PEMEX: a) b) El proveedor o contratista debe solicitar a PEMEX el listado enunciativo más no limitativo de pruebas que debe cumplir para realizar en el proceso de pruebas (FAT). Los tipos de pruebas a ser desarrolladas incluyendo la prueba de funcionalidad del sistema EP.9. 8.2 (Nivel II) de la NRF-049-PEMEX-2006 y lo siguiente: 8. objetivos de seguridad y restricciones). integridad.9.

8 a) b) c) Los resultados de las FAT se deben documentar. Se deben definir las responsabilidades de cada persona participante en la FAT y en éstas debe participar el siguiente personal: a) b) El proveedor o contratista.2. la lógica es interactiva con los dispositivos de campo.7.7 Todos los equipos usados para la calibración y pruebas deben presentar certificados de calibración vigentes por parte del proveedor o contratista. Se debe probar la lógica del procesador lógico EP al 100 por ciento. probar funcionalmente el procesador lógico EP la interfaz del operador. se debe usar la misma interfaz del operador que va a ser usada en el sitio. Prueba completa de la lógica. 8.3 de esta norma de referencia. emitidos por un organismo de certificación debidamente acreditado y aprobado cumpliendo con lo indicado en el 8.9.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. usualmente digitales.9.5 a) b) c) d) e) f) g) h) Las pruebas al procesador lógico EP del SIS se deben realizar usando los siguientes criterios: i) Inspección visual Cableado interior de los gabinetes Fuentes de alimentación y su redundancia Simulando entradas. los módulos de interfase de comunicación y la IHM (HMI).3 El número de participantes depende de la complejidad y del tamaño del EP del SIS. usualmente digitales o de 4-20 mA Creando varios escenarios de falla para probar los sistemas de respaldo Pruebas de la lógica no interactiva. así como la redundancia del sistema. la lógica que no requiere una retroalimentación de los dispositivos de campo para operar. el cableado interno. así como de preparar los procedimientos (protocolo) de prueba requeridos en el 8.4 de la NRF-111-PEMEX-2006 8. indicando: Los casos de prueba Los resultados de la prueba Si se cumplieron los objetivos y criterios de la prueba .1 En las pruebas FAT debe participar el personal involucrado en las etapas de diseño.9.4 El proveedor o contratista debe probar y verificar el desempeño del equipo y programas del EP del SIS el cual incluye los módulos de entrada/salida. 8.7.9.7. 0 PÁGINA 67 DE 81 8. 8. De este modo. esto es. de modo que cuando una salida es enviada desde el procesador lógico EP. 8.6 La simulación lógica se debe hacer de manera escrita en el procesador lógico EP.2 El SIS se debe revisar y probar en un ambiente controlado de temperatura y humedad.7.9.7. debe obtenerse una confirmación de que el dispositivo de salida ha operado. 8. las terminales de conexión. o termopar y observando la respuesta del sistema Probando las salidas. pulsos. es el responsable de conducir y coordinar las pruebas FAT.9. construcción. planeación y verificación del sistema bajo prueba.7.7. la configuración/programación de los programas (de operación y de aplicación). La prueba se debe realizar verificando la lógica mostrada en las matrices de causa y efecto. Representantes de PEMEX. con simuladores de entrada y salida (discretos y analógicos) que simulen las entradas/salidas de campo. 4-20 mA. Las pruebas FAT deben aclarar y rectificar cualquier duda o error en el desarrollo de la prueba. 8. En la simulación.9.7. de manera que cualquier problema se pueda resolver y corregir usando los recursos disponibles en el sitio del proveedor o contratista. las salidas deben estar ligadas a las entradas dentro de la simulación.9. los procesadores lógicos EP.9. Esto es.

10.10. las razones de la falla se deben documentar y analizar y se deben implementar las acciones correctivas requeridas.8 Durante las FAT.2 En esta etapa.9 y 8.10.1.1 al 8. . 8.9.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.10. medidas y técnicas que se deben utilizar para la instalación y “comisionamiento” Programa de desarrollo de dichas actividades y tiempos de ejecución Las personas.10. 8.09:2005 8.0000.6 a) b) c) d) e) Se debe cumplir con los siguientes requisitos generales asociados al proceso de instalación: El proveedor o contratista debe considerar la instalación del SIS de manera separada con respecto al trabajo eléctrico y electrónico de otros sistemas. 8. Dicho “comisionamiento” lo debe realizar el proveedor o contratista bajo la supervisión de PEMEX. El proveedor o contratista debe asegurar que el paquete de diseño esté completo.6. El embalaje y marcado de materiales y equipos para su embarque debe cumplir con los numerales 8.2.7. el proveedor o contratista debe asegurar que la instalación del SIS incluyendo los dispositivos de campo estén de acuerdo con el diseño detallado. 8. departamentos y organizaciones responsables de estas actividades 8. 8.9. 8.7 El “comisionamiento” debe constituir una verificación física que confirme que el SIS y todos los elementos que lo integran se encuentren físicamente instalados de acuerdo al diseño y listos para las pruebas OSAT.1.2 al 8.1 El embalaje y transportación del equipo es responsabilidad del proveedor o contratista quien debe garantizar la integridad de los equipos que conforman el SIS. así mismo debe llevar a cabo las pruebas de “comisionamiento” del SIS de modo que esté listo para la validación final del sistema.3 de esta norma de referencia). Todos los dispositivos montados en campo deben ser instalados de modo que permitan fácil acceso tanto para el mantenimiento como para las pruebas en línea que puedan ser llevadas a cabo. Se debe proteger a todos los dispositivos de campo de daño físico o ambiental previo a la instalación.10.3 En la planeación de la instalación y “comisionamiento” del SIS se deben definir todas las actividades requeridas para éste propósito.4 de la P. El proveedor o contratista debe proporcionar lo siguiente: a) b) c) d) Lista de actividades de instalación y “comisionamiento” Los procedimientos. cualquier cambio o modificación debe ser objeto de un análisis de seguridad para determinar: a) b) 8.1. El proveedor o contratista no debe realizar ningún cambio o desviación de los diagramas de diseño sin previa autorización de PEMEX en forma escrita y debidamente registrada. 0 PÁGINA 68 DE 81 8.1.9 Si hay una falla durante la prueba.4 El proveedor o contratista debe integrar en la planeación global del proyecto la planeación de la instalación y “comisionamiento”.10 El grado de impacto sobre cada función instrumentada de seguridad El alcance de repetición de la prueba debe ser definido y ejecutado Instalación y “comisionamiento” del SIS Cuando PEMEX establezca en sus bases de licitación el suministro e instalación del SIS debe cumplir entre otros con lo siguiente: 8.1.5 Todos los componentes del SIS se deben instalar de acuerdo con el plan de diseño e instalación (ver 8. los planos y la ERS.10. 8.10.

automático. manual.10.8 El SIS se debe comisionar en conformidad con la planeación en la preparación para la validación final del sistema.3 (Nivel III) de la NRF049-PEMEX-2006 a) b) La validación de actividades incluyendo la validación del SIS con respecto a la ERS incluyendo la aplicación y la resolución de recomendaciones resultantes. Se deben incluir los siguientes puntos y cumplir con 8.10 El proveedor o contratista debe elaborar registros del “comisionamiento” del SIS. entre otros. así mismo la planeación de la validación del SIS debe ser entregada a PEMEX previamente a definir todas las actividades requeridas para su validación. Si se establece que no se tiene ningún impacto en la seguridad.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. paro. la instalación debe ser modificada para cumplir con los requisitos de diseño. 8. que el SIS instalado y “comisionado” y sus FIS (SIF) asociadas alcancen los requisitos establecidos en la ERS.2.1. Si la diferencia tiene un impacto negativo sobre la seguridad.1 Requisitos 8.11.9 Las actividades de “comisionamiento” deben incluir. semi-automático.10.1 El proveedor o contratista debe presentar el acta de aceptación de las pruebas FAT.11. indicando los resultados de la prueba y si se han cumplido los objetivos y criterios identificados durante la fase de diseño. la información sobre el diseño se debe actualizar a "como quedo construido".11 Cuando la instalación no se ajusta a la información del diseño se debe evaluar la diferencia por una persona calificada por parte del proveedor o contratista el probable impacto sobre la seguridad determinada. 8.10. mantenimiento Las condiciones anormales razonablemente previsibles. incluyendo calibración y ajuste El arranque.12 Pruebas funcionales en línea.10. Para todas aquellas aplicaciones en las cuales no sea práctico o sea difícil llevar a cabo pruebas funcionales fuera de línea. 8. Si hay una falla. La validación de todos los modos relevantes de operación del proceso y su equipo asociado incluyendo: La preparación para uso. 8. 0 PÁGINA 69 DE 81 8. Se debe validar a través de la inspección y pruebas. el proveedor o contratista debe proporcionar procedimientos para llevar a cabo pruebas funcionales en línea. pero no se limitan a la confirmación de lo siguiente: a) b) c) d) e) f) g) El sistema de tierras de instrumentos se ha conectado correctamente Los Sistemas de Fuerza Ininterrumpible – SFI se han conectado correctamente y están en funcionamiento No hay daños físicos presentes Todos los instrumentos han sido debidamente calibrados Todos los dispositivos de campo son operables Las señales de entradas/salidas del resolvedor lógico son operables Las interfaces con otros sistemas y periféricos son operables 8. el proveedor o contratista debe realizar la validación de la seguridad del SIS (OSAT) y entregarla a PEMEX.11 Validación de seguridad del SIS Una vez que se ha terminado la instalación y el “comisionamiento”. se deben registrar las razones de dicha falla. 8.10. Dichos procedimientos deben incluir las pruebas funcionales de los elementos finales hasta donde sea posible. en estado estable de operación La re-configuración. aquellas identificadas a través de la fase de análisis de riesgos .

tiempo y el valor de las tolerancias Las políticas y procedimientos para la evaluación de los resultados de la validación. Las necesidades del entorno en el que las actividades de la validación son llevadas a cabo (para probar esto se deben incluir herramientas calibradas y equipo.8. entre otras. entre otras). si no es posible una calibración. el uso de la memoria. Cuándo estas actividades se deben llevar a cabo.2. procedimientos de calibración. . incluidos todos los canales redundantes. entre otros). Las actividades de validación deben incluir.1. entre otras) que se señalan en la ERS. Los sensores.2 La planeación adicional de la validación para los programas de aplicación de seguridad debe incluir lo siguiente: a) b) La identificación de los programas de seguridad que requieren ser validados para cada modo de operación del proceso antes de comenzar el “comisionamiento”.4 La validación del SIS y sus FIS (SIF) asociadas deben estar de conformidad con la validación de la planeación del SIS. El SIS proporciona indicaciones visuales de que está operando de acuerdo a lo requerido. paro. pero no limitarse a lo siguiente: a) b) c) d) e) f) g) h) El SIS debe desempeñarse bajo los modos de operación normal y anormal (arranque.4 de la NRF-111-PEMEX-2006. las medidas (técnicas) y los procedimientos que se deben usar para confirmar que cada FIS (SIF) se ajusta a los requisitos especificados para los programas de las FIS (SIF) (ver 8. Confirmación de que la interacción adversa del SCBP (BPCS) o SDMC y otros sistemas conectados no afectan la integridad y operación del SIS. departamentos y organizaciones responsables de estas actividades y los niveles de independencia de las actividades de validación.3 de esta norma de referencia) y los requisitos específicos para la integridad de seguridad de los programas (ver 8.8. La referencia a la información con la que se debe llevar a cabo la validación (Matriz lógica de causa y efecto del SIS. incluyendo: El proceso requerido y señales de entrada del operador con sus secuencias y valores Las señales de salida anticipadas con sus secuencias y valores Otro criterio de aceptación. Confirmación de que la FIS (SIF) opera tal como se especifica en valores no válidos de las variables de proceso (fuera del rango. Entre las actividades que se incluyen están prueba de lazos. en particular las fallas.1.11. medidas y técnicas usadas para la validación. Que la secuencia de paro activada sea la correcta. simulación de los programas de aplicación.3 Cuando se requiera que la exactitud de la medición sea parte de la validación entonces los instrumentos usados para esta función deben ser calibrados con una incertidumbre requerida a la aplicación y con trazabilidad hacia patrones nacionales o internacionales y certificados por un organismo de certificación debidamente acreditado y aprobado de acuerdo con el 8. Verificar que el SIS se comunica correctamente (en caso requerido). se debe usar y documentar un método alternativo. 8. El criterio de pasa/falla para el cumplimiento de validación de los programas.1. 8. La documentación del SIS es consistente con el sistema instalado.3 de esta norma de referencia). 0 PÁGINA 70 DE 81 Los procedimientos. y los elementos finales operan en conformidad con la ERS. entre otros).11. La información sobre la estrategia técnica para la validación incluyendo: Técnicas manuales y automatizadas Técnicas estáticas y dinámicas Técnicas estadísticas y analíticas De acuerdo con b). el resolvedor lógico. entre otros. con el SCBP (BPCS) o SDMC o cualquier otro sistema o red. Las personas. c) d) e) f) 8.11.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios c) d) e) f) g) SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.

Validación integral del SIS 8. junto con los datos de calibración Los resultados de cada prueba La versión de la especificación de prueba usada Los criterios para la aceptación de las pruebas de integración La versión del equipo y programas del SIS que están siendo probados Cualquier discrepancia entre los resultados esperados y los actuales El análisis hecho y las decisiones adoptadas sobre la conveniencia de continuar con la prueba o emitir una solicitud de cambio.1.5 La validación de los programas debe mostrar que todos los requisitos especificados de seguridad de los programas (ver el 8.11. en el caso de que se produzcan discrepancias 8. el análisis efectuado y las decisiones adoptadas sobre la conveniencia de continuar con la validación o la emisión de una solicitud de cambio y volver a una etapa anterior del ciclo de vida de desarrollo. Los permisivos de arranque operan correctamente. ver figura 2 de esta norma de referencia). El sistema de paro manual opera correctamente. se ha logrado.CEM especificada en la ERS (ver 8. y los `programas no ponen en peligro los requisitos de seguridad bajo condiciones de fallo del SIS en un modo degradado de operación o por la ejecución de la funcionalidad de los programas no definidos en la especificación.2 .1. el forzamiento del resolvedor lógico y los sensores forzados.1. 8.6 Los resultados de la validación del SIS deben proporcionar la siguiente información: a) b) c) d) e) f) g) h) i) La versión de la planeación de la validación del SIS que está siendo usada La FIS (SIF) bajo prueba (o análisis).7 Cuando se producen discrepancias entre los resultados previstos y los reales.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios i) j) k) l) m) n) ñ) o) SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.11. debe estar disponible como parte de los resultados de la validación de seguridad. los fluidos). las alarmas deshabilitadas). 0 PÁGINA 71 DE 81 p) Los cálculos que se incluyen en el SIS son correctos. se deben llevar a cabo las siguientes actividades: a) b) c) d) Regresar a su posición normal todas las funciones de desvío (entre otras. La información de las actividades de validación debe estar disponible. Retirar todos los materiales de prueba (entre otros.6 de esta norma de referencia). 8.11. Las funciones de desvío y restablecimiento del desvío operan correctamente.11. Los intervalos de pruebas rigurosas están documentadas en los procedimientos de mantenimiento.5 de esta norma de referencia) se ejecutan correctamente. Las funciones de alarma de diagnóstico se realizan de acuerdo a lo requerido. Las funciones de restablecimiento parcial y total del SIS se realizan tal como se definen en la ERS.8 Después de la validación del SIS y ya “comisionado” para reducir los peligros identificados (Etapa 3 del modelo del ciclo de vida. Confirmación que la inmunidad a la Compatibilidad Electromagnética .11.8. 8. Verificar que todas las válvulas de aislamiento del proceso cumplan con los requisitos y procedimientos de arranque del proceso. Confirmar que el SIS opera como se requiere cuando se presenta el evento de pérdida de servicios (energía eléctrica.1. neumática o hidráulica) y cuando se restablecen los servicios el SIS retorna al estado deseado. Eliminar todos los forzamientos y si aplica eliminar todos los forzamientos inhabilitados. junto con la referencia específica al requisito identificado durante la planeación de la validación del SIS Herramientas y equipo usado.

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios

SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL

NRF-045-PEMEX-2010 REV. 0 PÁGINA 72 DE 81

8.11.2.1 En caso de que el SIS forme parte de un proyecto integral en el cuál existan otros sistemas [SCBP (BPCS) o SDMC y Sistema de gas y fuego] que tengan interrelación con el SIS, el proveedor o contratista debe realizar pruebas integrales del SIS que confirmen la funcionalidad correcta de todos los sistemas del proyecto integral, incluyendo la lógica de acuerdo a la ERS. Esta verificación se debe realizar después de que la validación del SIS se ha realizado de manera satisfactoria. 8.11.2.2 El proveedor o contratista debe presentar lo siguiente antes de iniciar las pruebas integrales: a) b) El acta de aceptación de las pruebas de validación OSAT del SIS. El plan de validación (protocolo) de las pruebas integrales revisado por PEMEX, el cual debe contener: las actividades a realizar, responsables, cómo se van realizar, criterios de aceptación y formatos de registros.

8.11.2.3 La documentación requerida para soportar las pruebas integrales debe incluir los siguientes puntos: a) b) c) d) e) f) g) h) i) j) k) l) Procedimientos de la verificación completa de las pruebas integrales. Copia de la ERS. Listado impreso del programa de la lógica del resolvedor lógico Un diagrama de bloques del sistema integral Una lista completa de las entradas/salidas Diagramas de flujo de proceso y diagramas de tubería e instrumentación Índice de instrumentos Diagramas de lazos Esquemas eléctricos Matriz lógica de causa y efecto del SIS Planos que indiquen la localización de los equipos principales (PLG) Diagramas de conexiones en gabinetes, diagramas que indiquen la interconexión y las terminales de todos los cables m) Diagramas de trayectorias y conducción de “tubings” del sistema neumático n) Documentación del proveedor del equipo, incluyendo especificaciones, requisitos de instalación, y manuales de operación o) La fecha en que se realizó la prueba integral p) Referencia a los procedimientos usados en la prueba integral q) Constancia de aceptación por parte de PEMEX de que el proveedor o contratista ha completado de manera satisfactoria la prueba integral 8.11.2.4 Si se presenta el caso que durante la prueba integral no se cumple con los requisitos establecidos durante el diseño, la discrepancia debe ser evaluada por el proveedor o contratista y debe informar a PEMEX las implicaciones sobre la integridad del sistema que ocasiona esta discrepancia y si es requerido regresar a alguna etapa anterior en el ciclo de vida de seguridad. Si hay una falla de algún elemento, se deben dar las razones de la falla, registrarse y corregirse. 8.11.3 Aceptación final del SIS

8.11.3.1 El proveedor o contratista en conjunto con PEMEX debe verificar a través de la validación, que el SIS fue construido, instalado y “comisionado” de acuerdo a la ERS y que se encuentra listo para operar, para lo cual se debe realizar el acta correspondiente. 8.11.3.2 El proveedor o contratista debe generar y entregar los informes de la validación integral del SIS, indicando los resultados de las pruebas, si se cumplieron los objetivos y los criterios identificados durante la fase del diseño.

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios

SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL

NRF-045-PEMEX-2010 REV. 0 PÁGINA 73 DE 81

8.11.3.3 La documentación para la aceptación final del SIS debe estar actualizada. El proveedor o contratista debe suministrar toda la documentación generada en todas las etapas del proyecto, el manual de operación y la información técnica debe estar en idioma español y las unidades de acuerdo a lo que establece la Ley Federal sobre Metrología y Normalización y su Reglamento. 8.11.3.4 La documentación requerida para la validación integral y que forma parte del proceso de aceptación del SIS debe incluir los siguientes puntos: a) b) c) d) e) f) g) h) i) La descripción del sistema Especificación funcional del sistema Diagramas de la configuración completa del sistema Memorias de cálculo de la verificación del NIS (SIL) Manual de usuario y licencias de los programas de usuario Protocolos, informes y actas de aceptación de pruebas en fábrica FAT y en sitio OSAT Procedimientos, informe y acta de aceptación de la validación integral Copia de la ERS Listado impreso del programa del procesador lógico EP o el diagrama (lógico, eléctrico, bloques, escalera) del resolvedor lógico j) Diagrama de bloques del sistema k) Lista completa de las entradas/salidas l) Diagramas de flujo de seguridad de proceso y diagramas de tubería e instrumentación m) Índice de instrumentos n) Diagramas de lazos o) Esquemas eléctricos p) Matriz lógica de causa y efecto para el SIS q) Planos que indiquen la localización de los equipos principales (PLG) r) Diagramas de conexiones en gabinetes, diagramas de alambrado que indiquen la interconexión y las terminales de todos los cables, diagramas unifilares eléctricos s) Diagramas de trayectorias y conducción de “tubings” del sistema neumático t) Documentación del proveedor del equipo, incluyendo especificaciones, requisitos de instalación, y manuales de operación u) Pruebas de desempeño 8.11.3.5 La aceptación final del SIS se debe realizar después de que el proveedor o contratista haya demostrado a PEMEX que el SIS opera correctamente con los demás componentes de la instalación interrelacionados con dicho SIS y entregue la documentación anterior. 8.12 Operación y mantenimiento del SIS

Se debe asegurar que el SIS opere y se mantenga dentro de la seguridad funcional diseñada y debe garantizar que el NIS (SIL) objetivo de cada FIS (SIF) se mantiene durante las etapas de operación y mantenimiento. 8.12.1 Requisitos

8.12.1.1 El proveedor o contratista debe realizar la planeación de las actividades de operación y mantenimiento del SIS, y debe incluir lo siguiente: a) b) c) d) e) Actividades para operación normal y anormal Desglose de las actividades de mantenimiento preventivo y de pruebas funcionales y rigurosas Los procedimientos, medidas y técnicas a emplear durante la operación y mantenimiento Verificación de la observancia de los procedimientos de operación y mantenimiento Programas de cuándo se deben llevar a cabo estas actividades

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios f) g) h) i)

SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL

NRF-045-PEMEX-2010 REV. 0 PÁGINA 74 DE 81

Equipos y herramientas requeridas para llevar a cabo las actividades de mantenimiento Las personas, departamentos y organizaciones responsables de estas actividades El grado de capacitación y competencia requerido por el personal que debe llevar a cabo las actividades de operación y/o mantenimiento Recopilación de información relacionada con la confiabilidad de los componentes del SIS durante la fase de operación

8.12.1.2 El proveedor o contratista debe desarrollar en idioma español, los procedimientos de operación y mantenimiento de conformidad con la planeación de seguridad relevante y debe proporcionar lo siguiente: a) Acciones rutinarias requeridas para mantener la seguridad funcional del SIS "tal y como se diseñó", entre otros, fijando intervalos de prueba rigurosa definidos por la determinación del NIS (SIL); para el caso de las válvulas de bloqueo automatizadas este procedimiento debe utilizar alguno de los métodos de prueba de carrera parcial indicados en la ANSI/ISA-TR96.05.01-2008 o equivalente, con la supervisión de PEMEX. Acciones y restricciones requeridas para prevenir un estado inseguro y/o reducir las consecuencias de un evento peligroso durante el mantenimiento o la operación (entre otros, cuando un sistema tiene que estar desviado “by pass” para la realización de pruebas o mantenimiento, qué pasos adicionales de mitigación se deben implementar). Información que se debe mantener en la falla del sistema y la tasa de demanda en el SIS. Información que se debe mantener que muestre los resultados de las auditorias y pruebas en el SIS. Procedimientos de mantenimiento a seguir cuando se presenten fallos o fallas en el SIS, incluyendo: Procedimientos para el diagnóstico y reparación de fallos Procedimientos para la revalidación Requisitos del reporte de mantenimiento Procedimientos para el seguimiento del desempeño del mantenimiento Garantizar que el equipo de prueba usado durante las actividades normales de mantenimiento está calibrado y en buen estado.

b)

c) d) e)

f)

8.12.1.3 La operación y mantenimiento se deben llevar a cabo en conformidad con los procedimientos anteriores (ver 8.12.1.2 de esta norma de referencia). 8.12.1.4 Los operadores deben estar capacitados en la función y operación del SIS en su área. Esta capacitación debe asegurar lo siguiente: a) b) c) d) e) f) g) h) i) Que comprendan las funciones del SIS (puntos de disparo y las acciones resultantes que son tomadas por el SIS). Los peligros contra los que el SIS está protegiendo. La operación de todos los interruptores de desvío y bajo qué circunstancias estos se deben usar. La operación de cualquier estación manual de paro y la actividad de arranque manual y cuándo estas estaciones manuales se deben activar. Expectativa en la activación de las alarmas de diagnóstico (entre otros, qué medidas se deben tomar cuando se activa alguna alarma del SIS, indicando que hay un problema en el SIS). La capacidad de programación o configuración del SIS. La aplicación de la lógica del SIS. Entendimiento de los requisitos operacionales del sistema tanto desde la perspectiva del(os) operador(es) como desde la perspectiva del(os) ingeniero(s) a cargo del SIS. Entendimiento de los estándares y normas existentes a la fecha referidos al uso de SIS, incluyendo a esta norma de referencia.

8.12.1.5 El personal de mantenimiento se debe capacitar según sea requerido para mantener el pleno desempeño funcional del SIS (equipo y programas) dirigidos a su integridad.

Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios

SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL

NRF-045-PEMEX-2010 REV. 0 PÁGINA 75 DE 81

8.12.1.6 Para que el personal de operación, instrumentación y mantenimiento de PEMEX operen y mantengan de manera efectiva el SIS, el proveedor o contratista del SIS junto con personal de PEMEX deben identificar el nivel de capacitación de acuerdo al rol y responsabilidades del personal de PEMEX. Para cumplir con lo anterior se deben impartir los siguientes cursos: a) b) Configuración de: IHM (HMI), procesador lógico EP, instrumentación de campo y SFI’s Cursos de operación y mantenimiento del SIS. Dichos cursos deben considerar los siguientes temas: filosofía de operación, mantenimiento preventivo, pruebas de diagnóstico y pruebas rigurosas del SIS, interpretación de fallos y diagnósticos, instalación y operación de los programas de aplicación, supervisión y alarmas, arranque y puesta en servicio del SIS. Todos los cursos impartidos deben ser en idioma español.

8.12.1.7 Por lo tanto el proveedor o contratista debe dar la capacitación y efectuar la evaluación del personal que opere el SIS. La capacitación debe considerar lo indicado en el 8.12.1.4 de esta norma de referencia. 8.12.1.8 Las discrepancias entre el comportamiento esperado y el comportamiento real del SIS se deben analizar y, en caso requerido, las modificaciones se deben realizar de tal manera que la seguridad se mantenga. Debe incluir el “monitoreo” de lo siguiente: a) b) c) d) Las acciones tomadas siguiendo la demanda en el sistema Las fallas del equipo que forman parte del SIS establecido durante las pruebas de rutina o la demanda real La causa de las demandas La causa de los disparos falsos Los procedimientos de operación y mantenimiento pueden requerir revisión, en tal caso, se debe

8.12.1.9 seguir: a) b)

Auditorias de seguridad funcional Las pruebas en el SIS

8.12.1.10 Se deben desarrollar procedimientos escritos en idioma español para llevar a cabo la prueba rigurosa para cada FIS (SIF), con objeto de revelar fallas peligrosas no detectadas por el diagnóstico. Estos procedimientos escritos de prueba deben describir cada una de las etapas que se llevan a cabo y deben incluir: a) b) c) La operación correcta de cada sensor y elemento final La acción lógica correcta Las alarmas e indicaciones correctas Prueba rigurosa e inspección

8.12.2

8.12.2.1 Prueba rigurosa 8.12.2.1.1 Las pruebas rigurosas periódicas se deben llevar a cabo mediante un procedimiento escrito (ver 8.12.1.10 de esta norma de referencia) para revelar fallos no detectados que permitan al SIS funcionar en conformidad con la ERS. 8.12.2.1.2 El SIS completo se debe someter a prueba incluyendo los sensores, resolvedor lógico y los elementos finales (entre otros, cierre de válvulas y paro de motores). 8.12.2.1.3 La frecuencia de las pruebas rigurosas se deben decidir usando el cálculo de PFD prom

1.3 Documentación de las pruebas rigurosas e inspección PEMEX debe mantener registros que certifiquen que las pruebas rigurosas e inspección se concluyeron de acuerdo con lo requerido.5 En algunos intervalos periódicos (determinados por PEMEX).2. 8. Cuando el análisis muestre que la modificación propuesta pueda impactar la seguridad. Estos registros deben incluir la siguiente información como mínimo: a) b) c) d) e) Descripción de las pruebas e inspecciones realizadas Las fechas de las pruebas e inspecciones Nombre de las personas quienes realizaron las pruebas e inspecciones Número de serie u otro identificador único del sistema probado.12. abrazaderas oxidadas.1 Requisitos 8. alambres desconectados. entonces se debe regresar a la primera fase del ciclo de vida de seguridad.12. 0 PÁGINA 76 DE 81 8. condiciones de "tal y como se encontró" y "tal y como se dejó") Modificación del SIS 8.2. 8.1. la degradación del equipo. 8.13.2.13. el número de lazo.13.2 Se debe llevar a cabo un análisis para determinar el impacto sobre la seguridad funcional como resultado de la modificación propuesta. entre otros. programas y la confiabilidad de los programas.13. afectado por la modificación. tubos “conduits” rotos.2.13 Los proveedores o contratistas deben cumplir con las modificaciones a cualquier SIS siempre y cuando estén debidamente planeadas y revisadas por PEMEX antes de hacer el cambio.4 Todas las deficiencias detectadas durante la prueba rigurosa se deben reparar de una manera segura y oportuna. 8. Los procedimientos deben incluir un método entendible para identificar y solicitar el trabajo por hacer y los peligros que puedan resultar. entre ellos los datos históricos de pruebas. trazas de calor rotas.1 Antes de llevar a cabo cualquier modificación de un SIS. y garantizar que la integridad de la seguridad requerida del SIS se mantiene a pesar de los cambios al SIS.2 Inspección Conforme a los programas de mantenimiento cada SIS debe ser inspeccionado visualmente para asegurar que no se hayan realizado modificaciones no autorizadas y no se observe algún deterioro (entre otros: la falta de pernos o cubiertas de instrumentos. los procedimientos para autorizar y controlar los cambios se deben tener en sitio.12.2.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.6 Cualquier cambio en la lógica de aplicación requiere una prueba rigurosa completa. y número de FIS (SIF) Los resultados de las pruebas e inspección (entre otros.1. la frecuencia de las pruebas se deben re-evaluar en función de diversos factores.1. número de identificación.3 La actividad de modificación no debe comenzar sin la debida autorización de PEMEX. 8. 8. Excepciones a esto son permitidas en su caso si la revisión de la información y las pruebas parciales de los cambios se llevan a cabo para garantizar que los cambios se implementaron correctamente.12. 8. y aislamiento faltante).1. la experiencia de la planta.1. número de equipo. La información adecuada se debe mantener para todos los cambios en el SIS y debe incluir: a) Una descripción de la modificación o cambio .12.

1 Requisitos 8.13.13. 8.1. Todo el personal afectado debe ser notificado de los cambios y capacitado con respecto a los cambios.14.1. Las actividades de desmantelamiento no se deben iniciar sin la debida autorización de PEMEX. 8. 8. 8. información de seguridad del proceso.14. 8.1 Antes de llevar a cabo cualquier desmantelamiento de un SIS. Dicha evaluación debe incluir una actualización del análisis y evaluación de riesgos para determinar el alcance y la profundidad que las fases subsecuentes del ciclo de vida de seguridad que se deben retomar.1.1.4 La modificación se debe realizar con personal calificado y capacitado.14. 8.14.15 Requisitos de Información y documentación .6 Toda la documentación se debe proteger contra destrucción. incluyendo los de reverificación y re-validación. se deben tener en sitio los procedimientos elaborados por el proveedor o contratista y revisados por PEMEX y tener el control de cambios revisado por PEMEX. pérdida o modificación no autorizada. al equipo y al medio ambiente durante los trabajos de desmantelamiento bajo una supervisión autorizada por parte de PEMEX.13.4 Durante la administración de la seguridad funcional se deben utilizar los resultados de los análisis de impacto para volver a activar los requisitos relevantes de esta norma de referencia.5 Todos los cambios a los procedimientos operativos.1. identificando y solicitando los trabajos por realizar e identificar los peligros que puedan resultar.2 Los procedimientos se deben basar en los análisis de riesgo de la instalación.14 Desmantelamiento del SIS El proveedor o contratista debe realizar un proceso de revisión del plan de desmantelamiento para garantizar que la remoción del SIS no impacte al proceso o unidades circundantes y que existan los medios de seguridad para proteger al personal. La evaluación debe considerar: a) b) La seguridad funcional durante la ejecución de las actividades de desmantelamiento El impacto en las unidades operativas adyacentes y los servicios auxiliares de la instalación debido al desmantelamiento del SIS 8.14. 0 PÁGINA 77 DE 81 La razón para el cambio Los peligros identificados que pueden ser afectados Un análisis del impacto de la actividad de modificación en el SIS Todas las aprobaciones requeridas para los cambios Las pruebas usadas para comprobar que el cambio se implemento correctamente y el SIS se desempeña de acuerdo a lo requerido El historial de la configuración Las pruebas usadas para verificar que el cambio no ha afectado negativamente las partes del SIS que no se modificaron El programa para la ejecución de los cambios 8.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios b) c) d) e) f) g) h) i) SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.1. y documentación general del SIS se deben verificar y actualizar antes de volver a poner en operación al SIS. 8.3 El proveedor o contratista debe realizar una evaluación del impacto en la seguridad funcional como resultado de la actividad propuesta de desmantelamiento.1.

7 Toda la documentación relevante debe ser revisada.15.4 La documentación debe ser trazable a los requisitos de esta norma.15.15. Verificación del cumplimiento de esta norma de referencia. validación y evaluación de las actividades de la seguridad funcional se puedan realizar eficazmente.15.2 La documentación debe tener una única identidad por lo que debe ser posible referenciar las diferentes partes. tal como se define en 8. 8.1. enmendada.6 La documentación debe ser estructurada para hacer posible la búsqueda de información relevante.3 La documentación debe tener las denominaciones.3 de esta norma de referencia El diseño.15. en actividades que se lleven a cabo en la determinación del NIS (SIL) para los SIS en los procesos industriales de las instalaciones de PEMEX.1. 8.15. para que la verificación. sistema o equipo y el uso de la misma Ser exacta Ser fácil de entender Satisfacer la finalidad para la cual está destinada Estar disponible en una forma accesible y conservable 8.1.5 La documentación debe tener un índice de revisión (números de versión) para que sea posible identificar las diferentes versiones de la información.1.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.1 La documentación requerida por esta norma de referencia debe estar disponible y: a) b) c) d) e) Describir la instalación.15. 0 PÁGINA 78 DE 81 El proveedor o contratista debe entregar a PEMEX conforme lo requiera en las bases de licitación toda la documentación que se cita a continuación.1. indicando el tipo de información.15.15. prueba y validación 9 RESPONSABILIDADES 9.1 Requisitos 8.13. a fin de que todas las fases del ciclo de vida de seguridad se puedan desempeñar de manera efectiva. Debe ser posible identificar la última revisión (versión) de un documento. . 8.8 La siguiente documentación se debe mantener: a) b) c) d) e) f) Los resultados del análisis y evaluación de riesgos y las hipótesis relacionadas Los equipos usados para FIS (SIF) junto con sus requisitos de seguridad La organización responsable del mantenimiento de la seguridad funcional Los procedimientos para lograr y mantener la seguridad funcional del SIS La modificación de información.1. 8. 8. aprobada y estar bajo el control de un esquema de control de la información. 8. Para la estructura de la documentación ver el Anexo A de la IEC 61508-1 8.1 PEMEX Vigilar la aplicación de los requisitos de esta norma de referencia. debe ser realizada a través de la constancia de cumplimiento de los proveedores o contratistas.1.1.1. implementación. además debe garantizar que la información requerida esté disponible y documentada.

Asimismo dicha entrega se debe realizar por medios electrónicos e impresos. proveedor o contratista. y debe estar validada con sello y rúbrica del responsable de la compañía. fabricante o el que corresponda.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. 9. entre otros). planos. 10 CONCORDANCIA CON NORMAS MEXICANAS O INTERNACIONALES Esta norma de referencia tiene una concordancia parcial de aproximadamente 65 por ciento con la internacional IEC 61511 en el momento de su elaboración. los cuales deben cumplir estrictamente los lineamientos marcados por esta norma de referencia.PEMEX debe proporcionar la información más actualizada posible de sus instalaciones para desarrollar el análisis y evaluación de riesgos para la determinación del NIS (SIL) objetivo del SIS. ya sean proporcionados por él mismo o por sus propios proveedores y/o subcontratistas. Verificar el cumplimiento del contrato establecido incluyendo los anexos técnicos respectivos. Toda la documentación y registros que se generen en los trabajos que competen a esta norma de referencia. se deben entregar a PEMEX en idioma español y conforme a la NOM-008-SCFI-2002 (se puede poner entre paréntesis otro idioma o sistema de medidas). para actualizarlo o complementarlo. materiales y servicios. memorias. en lo referente a adquirir. estudios.2 Proveedores o contratistas Cumplir como mínimo los requerimientos especificados en esta norma de referencia. la Ley de Obras Públicas y Servicios Relacionados con las Mismas. según los requerimientos de la licitación. así como la Ley de Adquisiciones. Cumplir lo estipulado en el artículo 67 de la Ley de Obras Públicas y Servicios Relacionados con las Mismas. Considerar dentro del organigrama del personal especialista designado para ejecutar los trabajos materia de un determinado contrato para ejecución de obra pública y dentro del cual se contemple la aplicación de esta norma de referencia. éste debe ser proporcionado al proveedor o contratista. Aplicar la Ley Federal de Metrología y Normalización. conforme a los lineamientos legales vigentes. diagramas. .. Arrendamientos y Servicios del Sector Público. a un responsable técnico con experiencia previa en trabajos similares. Responsabilidad de PEMEX con respecto al análisis y evaluación de riesgos. Las firmas de ingeniería y/o contratistas se comprometan a mantener durante el desarrollo de los trabajos y hasta su entrega final a un responsable técnico con la finalidad de garantizar la correcta ejecución de los trabajos en estricto apego a los lineamientos marcados por la norma de referencia y a los requerimientos de PEMEX. correspondencia. antes y durante el desarrollo de la construcción y/o ingeniería (procedimientos. Es responsable de la calidad final de los trabajos. 0 PÁGINA 79 DE 81 Verificar que los licitantes cuenten con personal técnico especializado con experiencia en la determinación del NIS (SIL) para los SIS en los procesos industriales. arrendar o contratar bienes y servicios. Adicionalmente a lo establecido en esta norma de referencia se debe cumplir y documentar en pruebas FAT y OSAT a PEMEX lo estipulado en el Manual de seguridad “Safety manual” del equipo según la aplicación. En caso de que se cuente vigente por un período de 5 años el análisis y evaluación de riesgos de la instalación. bitácoras.

01-2008 Partial Stroke Testing of Automated Block Valves (Pruebas de carrera parcial para válvulas de bloqueo automatizadas).02-2002 . Hardware and Software Requirements (Seguridad funcional: Sistemas Instrumentados de Seguridad para el Sector de la industria de proceso .02-2002 . (Funcíon Instrumentada de Seguridad (FIS) – Nivel de Integridad de Seguridad (NIS) Técnicas de evaluación parte 4: Determinación del NIS de una FIS vía Análisis de Markov).Safety Integrity Level (SIL) Evaluation Techniques Part 2: Determining the SIL of a SIF via Simplified Equations. 11.01-2004 Part 1 (IEC 61511-1 Mod) – Informative (Seguridad funcional: Sistemas Instrumentados de Seguridad para el Sector de la industria de proceso . 11. 11. Definitions.02:2005 Simbología e identificación de instrumentos.00. (Sistemas de transmisión).Parte 2: Guías para la aplicación del ANSI/ISA-84.1 ANEXOS Formato de matriz lógica de causa y efecto del SIS .6 ISA-5. 11. 11.2 ANSI/ISA-84.Part 3: Guidance for the Determination of the Required Safety Integrity Levels – Informative (Seguridad funcional: Sistemas Instrumentados de Seguridad para el Sector de la industria de proceso .2. 11.Part 2: Guidelines for the Application of ANSI/ISA-84. 11.00.Safety Integrity Level (SIL) Evaluation Techniques Part 3: Determining the SIL of a SIF via Fault Tree Analysis.Part 1: Framework.Part 4 Safety Instrumented Functions (SIF) .00.1 ANSI/ISA-84.00.Parte 1: Marco.Part 2 Safety Instrumented Functions (SIF) .0401.09:2005 Embalaje y marcado de equipos y materiales. (Funcíon Instrumentada de Seguridad (FIS) – Nivel de Integridad de Seguridad (NIS) Técnicas de evaluación parte 3: Determinación del NIS de una FIS vía Análisis de Árbol de Fallas).00. requisitos del equipo y programas).9 ISA-TR84. 11.3 ANSI/ISA-84. definiciones.Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios 11 BIBLIOGRAFÍA SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV. (Funcíon Instrumentada de Seguridad (FIS) – Nivel de Integridad de Seguridad (NIS) Técnicas de evaluación parte 2: Determinación del NIS de una FIS vía Ecuaciones Simplificadas).5 API RP 552 1994 Transmission Systems. P.7 ISA-TR84.01-2004 Parte 1 (IEC 61511-1 Mod) –Informativa).Part 3 Safety Instrumented Functions (SIF) .10 11.8 ISA-TR84. 11.00.02-2002 . System.11 P.Safety Integrity Level (SIL) Evaluation Techniques Part 4: Determining the SIL of a SIF via Markov Analysis.00. sistema. 12 12.0000. 0 PÁGINA 80 DE 81 11.2-1976 (R 1992) Binary logic diagrams for process operations (Diagramas lógicos binarios para operaciones de procesos).01-2004 Part 2 (IEC 61511-2 Mod) Functional Safety: Safety Instrumented Systems for the Process Industry Sector .01-2004 Part 1 (IEC 61511-1 Mod) Functional Safety: Safety Instrumented Systems for the Process Industry Sector .4 ANSI/ISA-TR96.Parte 3: Guías para la determinación de los niveles de integridad de seguridad requeridos – Informativa.01-2004 Part 3 (IEC 61511-3 Mod) Functional Safety: Safety Instrumented Systems for the Process Industry Sector .00.05.1.

0 PÁGINA 81 DE 81 .Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios SEGURIDAD FUNCIONAL – SISTEMAS INSTRUMENTADOS DE SEGURIDAD – PARA LOS PROCESOS DEL SECTOR INDUSTRIAL NRF-045-PEMEX-2010 REV.

Sign up to vote on this title
UsefulNot useful