You are on page 1of 81

NRF-045-PEMEX-2010

28 de Junio de 2010
PGINA 1 DE 81

COMIT DE NORMALIZACIN DE PETRLEOS MEXICANOS


Y ORGANISMOS SUBSIDIARIOS
SUBCOMIT TCNICO DE NORMALIZACIN DE
PEMEX - EXPLORACIN Y PRODUCCIN

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD PARA
LOS PROCESOS DEL SECTOR INDUSTRIAL
Esta norma cancela y sustituye a la NRF-045-PEMEX-2002 de fecha 17 de mayo de 2003.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 3 DE 81

CONTENIDO
CAPTULO

PGINA

INTRODUCCIN ................................................................................................................................4

OBJETIVO ..........................................................................................................................................5

ALCANCE ...........................................................................................................................................5

CAMPO DE APLICACIN ..................................................................................................................5

ACTUALIZACIN ...............................................................................................................................5

REFERENCIAS ...................................................................................................................................6

DEFINICIONES ...................................................................................................................................8

SMBOLOS Y ABREVIATURAS ..................................................................................................... 14

DESARROLLO ................................................................................................................................ 16
8.1
8.2
8.3
8.4
8.5
8.6
8.7
8.8
8.9
8.10
8.11
8.12
8.13
8.14
8.15

Administracin de la seguridad funcional ............................................................................. 17


Requisitos del Ciclo de Vida de Seguridad ........................................................................... 22
Verificacin............................................................................................................................ 24
Anlisis y evaluacin de riesgos del proceso ....................................................................... 24
Asignacin de funciones de seguridad para capas de proteccin ....................................... 26
Especificacin de los Requisitos de Seguridad-ERS del SIS para paro por emergencia .... 29
Diseo e ingeniera del equipo del SIS ................................................................................. 31
Requisitos para los programas de aplicacin incluyendo criterios de seleccin para los
programas de utileras .......................................................................................................... 51
Pruebas de aceptacin en fbrica (FAT) del SIS ................................................................. 66
Instalacin y comisionamiento del SIS ............................................................................... 68
Validacin de seguridad del SIS ........................................................................................... 69
Operacin y mantenimiento del SIS ..................................................................................... 73
Modificacin del SIS ............................................................................................................. 76
Desmantelamiento del SIS ................................................................................................... 77
Requisitos de Informacin y documentacin ........................................................................ 77

RESPONSABILIDADES .................................................................................................................. 78
9.1
9.2

PEMEX .................................................................................................................................. 78
Proveedores o contratistas ................................................................................................... 79

10

CONCORDANCIA CON NORMAS MEXICANAS O INTERNACIONALES ................................... 79

11

BIBLIOGRAFA ............................................................................................................................... 80

12

ANEXOS .......................................................................................................................................... 80
12.1

Formato de matriz lgica de causa y efecto del SIS ............................................................ 80

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
0

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 4 DE 81

INTRODUCCIN

Dentro de las principales actividades que se llevan a cabo en Petrleos Mexicanos se encuentra el diseo,
construccin, operacin y el mantenimiento de las instalaciones para la extraccin, recoleccin,
almacenamiento, medicin, transporte, procesamientos primario y secundario de hidrocarburos, as como la
adquisicin de materiales y equipos requeridos, para cumplir con eficacia y eficiencia los objetivos de la
empresa.
Esta norma refiere a los Sistemas Instrumentados de Seguridad (SIS) para el Sistema de Paro por Emergencia
aplicados a la industria de procesos de PEMEX, basado en la especificacin del modelo del ciclo de vida, e
incluye los componentes y subsistemas requeridos para soportar las funciones instrumentadas de seguridad
(FIS), que involucran sensores, resolvedores lgicos y elementos finales.
PEMEX emite la presente norma de referencia para definir los requisitos del ciclo de vida del Sistema
Instrumentado de Seguridad y su aplicacin en los Sistemas de Paro por Emergencia en las instalaciones de
Petrleos Mexicanos y Organismos Subsidiarios. Para lograr lo anterior es requerida la participacin de las
diversas disciplinas de ingeniera para unificar criterios, aprovechar las experiencias diversas y conjuntando los
resultados con las investigaciones nacionales e internacionales.
Este documento normativo se realiz en atencin y cumplimiento a:
Ley Federal sobre Metrologa y Normalizacin y su Reglamento
Ley de Obras Pblicas y Servicios Relacionados con las Mismas y su Reglamento
Ley de Adquisiciones, Arrendamientos y Servicios del Sector Pblico y su Reglamento
Ley General de Equilibrio Ecolgico y la Proteccin al Ambiente y sus Reglamentos
Gua para la Emisin de Normas de Referencia de Petrleos Mexicanos y Organismos Subsidiarios (CNPMOS001, Rev.1, 30 septiembre 2004)
En esta norma participaron, por parte de Pemex:
Pemex-Exploracin y Produccin (PEP)
Pemex-Gas y Petroqumica Bsica (PGPB)
Pemex-Petroqumica (PPQ)
Pemex-Refinacin (PREF)
Petrleos Mexicanos (DCO-DCIDP)
Por parte externa:
INSTITUTO MEXICANO DEL PETRLEO
SCHNEIDER ELECTRIC MXICO
SMART SAFETY & CONTROL PROVIDER, S.A. DE C.V.
INVENSYS SYSTEMS MXICO, S.A.
ROCKWELL AUTOMATION DE MXICO
EXIDA CONSULTING MXICO
ABB MXICO S.A. DE C.V.
GE FANUC INTELLIGENT PLATFORMS
REDCA CURSOS Y SISTEMAS S.A. DE C.V.
ISA MXICO
SIEMENS
ARPO SINERGIA TECNOLGICA, S.A. DE C.V.
EMERSON PROCESS MANAGEMENT S.A. DE C.V.
MEDSA/SSCE

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
1

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 5 DE 81

OBJETIVO

Establecer los requisitos tcnicos y documentales que se deben cumplir en la contratacin y/o para la
adquisicin de los Sistemas Instrumentados de Seguridad aplicables a los Sistemas de Paro por Emergencia
en las instalaciones de procesos industriales de Petrleos Mexicanos y Organismos Subsidiarios. Adems,
establecer los requisitos tcnicos y documentales para: Administracin de la seguridad funcional de los
Sistemas Instrumentados de Seguridad.

ALCANCE

Esta norma de referencia establece las obligaciones para especificar el diseo, instalacin, pruebas,
comisionamiento, operacin, mantenimiento, modificacin y desmantelamiento de los Sistemas
Instrumentados de Seguridad aplicables a los Sistemas de Paro por Emergencia, Sistemas de Proteccin de
Presin de Alta Integridad (HIPPS), y la metodologa para verificar que se cumplan dichos requisitos en los
procesos industriales de las instalaciones de PEMEX.
Para el caso de los siguientes sistemas se deben tomar en cuenta:
Sistemas de control de quemado (BMS) (aplica solo para acciones que generen el paro de emergencia)
Sistemas de paro neumtico (no aplica la parte de resolvedor lgico)
Sistemas de gas y fuego (no aplica la seleccin de NIS (SIL)
En el caso de SIS existentes diseados y construidos de acuerdo con normas, cdigos, estndares, o prcticas
anteriores a la emisin de esta norma de referencia, PEMEX debe determinar en sus bases de licitacin los
requisitos y etapas del ciclo de vida de seguridad funcional que se deben aplicar.

CAMPO DE APLICACIN

Esta norma de referencia es de aplicacin general y de observancia obligatoria en la contratacin o adquisicin


de un bien o servicio objeto de la misma, que lleven a cabo los centros de trabajo de Petrleos Mexicanos y sus
Organismos Subsidiarios. Por lo que debe ser incluida en los procedimientos de contratacin: licitacin pblica,
invitacin a cuando menos tres personas, o adjudicacin directa, como parte de los requisitos que deben
cumplir el proveedor, contratista o licitante.
As mismo esta norma de referencia es de aplicacin y cumplimiento estricto en todas las reas de PEMEX, en
el caso que realice cualquiera de las etapas con personal propio.

ACTUALIZACIN

Las sugerencias para la revisin de esta norma deben ser enviadas al secretario tcnico del Subcomit Tcnico
de Normalizacin (SUTEN) de PEP, quien debe realizar la actualizacin de acuerdo a la procedencia de las
mismas. Sin embargo, esta norma se debe revisar y actualizar, al menos, cada 5 aos o antes, si las
sugerencias o recomendaciones de cambio lo ameritan.
Las propuestas y sugerencias de cambio deben elaborarse en el formato CNPMOS-001-A01, de la Gua para
la Emisin de Normas de Referencia CNPMOS-001, Rev.1 del 30 de septiembre de 2004 y dirigirse a:

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 6 DE 81

Pemex-Exploracin y Produccin
Subdireccin de Distribucin y Comercializacin
Representacin de la Gerencia de Administracin del Mantenimiento
Baha de Ballenas # 5, edificio D, planta baja, entrada por Baha del Espritu Santo S/N
Col. Vernica Anzures. C. P. 11300 Mxico, D. F.
Telfono directo: 19-44-92-86, conmutador: 19-44-25-00, extensin: 3-80-80, fax: 3-26-54
Correo electrnico: luis.ortiz@pemex.com

REFERENCIAS

5.1
IEC 60654-1:1993 Industrial-process measurement and control equipment - Operating conditions - Part
1: Climatic conditions. Edition 2.0 (Equipo de medicin y control para la industria de proceso Condiciones de
operacin Parte 1 Condiciones climticas. Edicin 2.0)
5.2
IEC 60654-3:1983 Operating conditions for industrial-process measurement and control equipment. Part
3: Mechanical influences. Edition 1.0 (Condiciones de operacin para equipo de medicin y control para la
industria de proceso. Edicin 1.0)
5.3
IEC 61000-6-2:2005 Electromagnetic compatibility (EMC) Part 6: Generic standards Section 2:
Immunity for industrial environments (Compatibilidad electromagntica (CEM) Parte 6: Normas genricas
Seccin 2: Inmunidad en entornos industriales)
5.4
IEC 61000-6-4:2006 Electromagnetic compatibility (EMC) Part 6: Generic standards Section 4:
Emission standard for industrial environments (Compatibilidad electromagntica (CEM) Parte 6: Normas
genricas Seccin 4: Norma de emisiones en entornos industriales)
5.5
IEC 61131-2:2007 Programmables controllers Part 2 Equipment requirements and test (Controladores
programables Parte 2 Pruebas y requisitos para el equipo)
5.6
IEC 61131-3:2003 Programmable controllers - Part 3 Programming languages (Controladores
programables Parte 3 Lenguajes de programacin)
5.7
IEC 61326-1:2008 Electrical equipment for measurement, control and laboratory useEMC requirements
Part 1: General requirements CORRIGENDUM 1 - Edition 1.0 (Equipo elctrico de medicin, control y para uso
de laboratorio Requerimientos de CEM Parte 1 Requerimientos generales CORRIGENDUM 1 Edicin 1.0)
5.8
IEC 61508-1:1998 Functional safety of electrical/electronic/programmable electronic safety-related
systems Part 1: General requirements (Seguridad funcional de los sistemas elctricos / electrnicos /
electrnicos programables relacionados con la seguridad - Parte 1: Requisitos generales)
5.9
IEC 61508-2:2000 Functional safety of electrical/electronic/programmable electronic safety-related
systems Part 2: Requirements for electrical/electronic/programmable electronic safety related systems
(Seguridad funcional de los sistemas elctricos / electrnicos / electrnicos programables relacionados con la
seguridad - Parte 2: Requisitos para los sistemas elctricos / electrnicos / electrnicos programables
relacionados con la seguridad)

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 7 DE 81

5.10
IEC 61508-3:1998 Functional safety of electrical/electronic/programmable electronic safety-related
systems Part 3: Software requirements (Seguridad funcional de los sistemas elctricos / electrnicos /
electrnicos programables relacionados con la seguridad - Parte 3: Requisitos de los programas software)
5.11
IEC 61508-4:1998 Functional safety of electrical/electronic/programmable electronic safety-related
systems Part 4: Definitions and abbreviations (Seguridad funcional de los sistemas elctricos / electrnicos /
electrnicos programables relacionados con la seguridad - Parte 4: Definiciones y abreviaturas)
5.12
IEC 61508-5:1998 Functional safety of electrical/electronic/programmable electronic safety-related
systems Part 5: Examples of methods for the determination of safety integrity levels (Seguridad funcional de
los sistemas elctricos / electrnicos / electrnicos programables relacionados con la seguridad - Parte 5:
Ejemplos de mtodos para la determinacin de los niveles de integridad de seguridad)
5.13
IEC 61508-6:2000 Functional safety of electrical/electronic/programmable electronic safety-related
systems Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (Seguridad funcional de los
sistemas elctricos / electrnicos / electrnicos programables relacionados con la seguridad - Parte 6: Gua de
aplicacin de la IEC 61508-2 y IEC 61508-3)
5.14
IEC 61508-7:2000 Functional safety of electrical/electronic/programmable electronic safety-related
systems Part 7: Overview of techniques and measures (Seguridad funcional de los sistemas elctricos /
electrnicos / electrnicos programables relacionados con la seguridad - Parte 7: Descripcin de tcnicas y
medidas)
5.15
IEC 61511-1:2003 Functional safety - Safety instrumented systems for the process industry sector - Part
1: Framework, definitions, system, hardware and software requirements. Corrigendum 1 November 2004.
(Seguridad Funcional - Sistemas Instrumentados de Seguridad Para los Procesos del Sector Industrial Parte
1: Marco de referencia, definiciones, sistema, requisitos del software y hardware Corrigendum 1 Nov 2004)
5.16
IEC 61511-2:2004 Functional safety Safety instrumented systems for the process industry sector
Part 2: Guidelines for the application of IEC 61511-1. (Seguridad Funcional - Sistemas Instrumentados de
Seguridad Para los Procesos del Sector Industrial Parte 2: Gua de aplicacin de la IEC 61511-1)
5.17
IEC 61511-3:2004 Functional safety Safety instrumented systems for the process industry sector
Part 3: Guidance for the determination of the required safety integrity levels. (Seguridad Funcional - Sistemas
Instrumentados de Seguridad Para los Procesos del Sector Industrial Parte 3: Gua para la determinacin
del nivel de integridad de seguridad requerido)
5.18
IEC TR 61508-0:2005 Functional Safety of electrical/electronic/programmable electronic safety-related
systems Part 0: Functional safety and IEC 61508. (Seguridad funcional de los sistemas elctricos / electrnicos
/ electrnicos programables relacionados con la seguridad - Parte 0: Seguridad funcional y la IEC 61508)
5.19

NOM-001-SEDE-2005 Instalaciones Elctricas (Utilizacin)

5.20

NOM-008-SCFI-2002 Sistema general de unidades de medida

5.21

NRF-018-PEMEX-2007 Estudios de riesgo

5.22

NRF-036-PEMEX-2003 Clasificacin de reas Peligrosas y Seleccin de Equipo Elctrico

5.23

NRF-049-PEMEX-2006 Inspeccin de bienes y servicios

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

5.24

NRF-111-PEMEX-2006 Equipos de Medicin y Servicios de Metrologa

5.25

NRF-152-PEMEX-2006 Actuadores para vlvulas

NRF-045-PEMEX-2010
REV. 0
PGINA 8 DE 81

5.26
NRF-204-PEMEX-2008 Vlvulas de bloqueo de emergencia (vlvulas de aislamiento de activacin
remota)
5.27
NRF-226-PEMEX-2009 Desplegados grficos y bases de datos del sistema digital del monitoreo y
control de procesos

DEFINICIONES

6.1
rbol de fallas. Representacin grfica lgica y organizada de las condiciones factores que causan o
contribuyen a que ocurra un evento no deseado definido.
6.2
Arquitectura. Arreglo del equipo y/o elementos de programas en un sistema (El arreglo de los
subsistemas del Sistema Instrumentado de Seguridad-SIS, Estructura interna de un subsistema del SIS, Arreglo
de programas, entre otros).
6.3
Auditoria de la seguridad funcional. Inspeccin sistemtica e independiente para determinar si los
procedimientos especficos de los requisitos de seguridad funcional cumplen con lo establecido en la planeacin
de forma que sean implementados eficazmente y que son los requeridos para alcanzar los objetivos
especificados.
6.4
Calidad. Totalidad de caractersticas de una entidad que tienen que ver con su capacidad para
satisfacer las necesidades establecidas e implcitas.
6.5
Canal. Elemento o grupo de elementos que desempean una funcin de manera independiente. El
trmino puede ser usado para describir un SIS completo o una parte de este, como sensores o elementos
finales.
6.6
Capas de proteccin. Cualquier mecanismo independiente que reduce el riesgo por control, prevencin
o mitigacin y que pueden ser entre otros: equipo de proceso, sistema de control bsico de proceso,
procedimientos administrativos, y/o respuestas planeadas para proteccin contra un riesgo inminente.
6.7
Ciclo de vida de los programas. Secuencia de actividades durante un perodo de tiempo que va desde
la concepcin hasta el desuso del programa, incluye las fases de requisitos, desarrollo, prueba, integracin,
instalacin y modificacin.
6.8
Ciclo de vida de seguridad. Secuencia de actividades involucradas en la implantacin de las funciones
instrumentadas de seguridad desde el diseo conceptual hasta el desmantelamiento de todas las funciones
instrumentadas de seguridad.
6.9
Cobertura de Diagnstico-CD. Relacin de la tasa de fallas detectadas respecto de la tasa total de
fallas de un componente o subsistema de un Sistema Instrumentado de Seguridad, detectados mediante
pruebas de diagnstico, no incluye las fallas detectadas mediante pruebas rigurosas. Se utiliza para calcular la
tasa de fallas detectadas (detectadas) y no detectadas (nodetectadas) de la tasa total de fallas (tasa total de fallas) de la
siguiente manera: detectadas = CD tasa total de fallas y nodetectadas = (1-CD) tasa total de fallas.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 9 DE 81

6.10 Comisionamiento. Es la verificacin y confirmacin de que el SIS cumple con las caractersticas
especificadas en la documentacin del diseo detallado y se encuentra listo para las pruebas de prearranque
(cuando PEMEX lo solicite en su proceso licitatorio) y/o validacin OSAT.
6.11

Complejidad. Un indicador del nmero de grados de libertad al cometer errores.

6.12 Comunicacin externa. Intercambio de datos entre el SIS y una variedad de sistemas o dispositivos
que se encuentran fuera del SIS. Esto incluye interfaces del operador compartidas, interfaces de
ingeniera/mantenimiento, sistemas de adquisicin de datos, entre otros.
6.13 Comunicacin interna. Intercambio de datos entre diferentes dispositivos dentro de un procesador
electrnico programable dado. Esto incluye conexiones de plano posterior back plane del canal de
comunicacin bus, E/S (I/O) del canal de comunicacin bus locales o remotas, entre otros.
6.14 Confiabilidad. Probabilidad de que un sistema pueda desempear una funcin definida bajo
condiciones especificadas para un periodo de tiempo dado.
6.15 Consecuencia. Resultado real o potencial de un evento no deseado, medido por sus efectos en las
personas, en el ambiente, en la produccin y/o instalaciones, as como la reputacin e imagen.
6.16 Dao. Lesiones fsicas o en la salud de las personas, ya sea directa o indirectamente, como
consecuencia de los daos a la propiedad o el medio ambiente.
6.17 Demanda. Una condicin evento que requiere que el SIS lleve a cabo una accin requerida para
prevenir un evento peligroso, para mitigar sus consecuencias.
6.18 Desenergizado para disparo. Circuitos SIS en donde las salidas y dispositivos se encuentran
energizados en operacin normal. Cuando se suspende el suministro de energa se produce una accin de
disparo.
6.19

Desmantelamiento. La remocin completa de un SIS de su servicio activo.

6.20 Desmantelamiento parcial. Es un caso particular de modificacin, el cual consiste en la remocin de


una ms Funciones Instrumentadas de Seguridad-FIS (SIF) del SIS.
6.21 Detectada, revelada. Con relacin a las fallas, se refiere a las fallas del equipo y fallos en los
programas encontrados por pruebas de diagnstico o durante la operacin normal.
6.22 Disparos en falso. Activacin de cualquier Funcin Instrumentada de Seguridad-FIS (SIF)
perteneciente al SIS, sin existir una demanda real en campo.
6.23 Disponibilidad. Probabilidad de que un SIS es capaz de desempear un servicio de seguridad bajo
demanda (en operacin). Un SIS no est disponible si se encuentra en un estado de falla (seguro o peligroso),
o que se encuentre en mantenimiento.
6.24 Diversidad. Uso de dispositivos y equipos con diferentes tecnologas o mtodos de diseo que
desempeen una funcin de seguridad comn, de manera que se minimicen las fallas de causa comn.
6.25 Documento normativo equivalente. Es el documento normativo alterno al que se cita en una NRF,
emitido por una entidad de normalizacin, y que se puede utilizar para la determinacin de los valores y
parmetros tcnicos del bien o servicio que se est especificando, siempre y cuando presente las evidencias

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 10 DE 81

documentales, que demuestren que cumple como mnimo, con las mismas caractersticas tcnicas y de calidad
que establezca el documento original de referencia.
6.26 Elctrico/Electrnico/Electrnico Programable-E/E/EP. Basado en tecnologa elctrica (E) y/o
electrnica (E) y o electrnica programable-EP.
6.27 Electrnica Programable-EP. Componentes electrnicos o dispositivos que forman parte de un
Procesador Electrnico Programable basados en la tecnologa de los microprocesadores. El trmino engloba
tanto el equipo como programas y unidades de entrada y de salida.
6.28 Elemento final. Parte de un sistema instrumentado de seguridad que implementa la accin fsica
requerida para lograr un estado seguro.
6.29 Energizado para disparo. Circuitos SIS en donde las salidas y dispositivos se encuentran
desenergizados en operacin normal. Cuando a dichos circuitos se les aplica energa se produce una accin de
disparo.
6.30 Error. Discrepancia entre un valor o condicin calculada, observada, o medida y valor o condicin
tericamente verdadera, correcta o especificada.
6.31

Error humano. Falla de accin humana o falta de accin que produce un resultado imprevisto.

6.32 Especificacin de Requisitos de Seguridad-ERS. La que contiene los requisitos de seguridad


(funcionales y de integridad) de las funciones instrumentadas de seguridad y como se deben disear e
implementar en el sistema instrumentado de seguridad.
6.33 Estado seguro. Estado que debe tener el equipo o proceso bajo control despus de la operacin
requerida del SIS.
6.34 Evaluacin de la seguridad funcional. Investigacin, basada en evidencias, para evaluar la seguridad
funcional alcanzada por una o ms capas de proteccin.
6.35

Falla. Terminacin de la capacidad de una unidad funcional para desempear una funcin requerida.

6.36 Falla de causa comn. Falla resultado de uno o ms eventos, causando fallas a dos o ms
componentes separados en un sistema de mltiples componentes, conduciendo a una falla del SIS.
6.37 Falla de modo comn. Falla de dos o ms componentes de la misma manera, provocando el mismo
resultado errneo.
6.38 Fallas no detectadas, no reveladas. Se refiere a los fallos de hardware y software no encontrados por
pruebas de diagnstico o durante la operacin normal.
6.39 Falla peligrosa. Falla que tiene el potencial de poner el sistema instrumentado de seguridad en un
estado peligroso o de falla en su operacin.
6.40 Falla segura. Es una falla la cual no tiene el potencial para poner el Sistema Instrumentado de
Seguridad en un estado peligroso o de falla para funcionar.
6.41 Fallas sistemticas. Fallas debido a errores (incluyendo equivocaciones y omisiones) en las
actividades del ciclo de vida de seguridad, las cules causan que el SIS falle bajo alguna combinacin particular

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

NRF-045-PEMEX-2010

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

REV. 0
PGINA 11 DE 81

de entradas o bajo ciertas condiciones ambientales, que slo pueden ser eliminada por una modificacin del
diseo o del proceso de fabricacin, procedimientos operacionales, documentacin u otros factores relevantes.
6.42 Fallo. Condicin anormal que puede causar una reduccin o prdida de la capacidad de una unidad
funcional para desempear una funcin requerida.
6.43 Fase. Periodo dentro del ciclo de vida de seguridad donde las actividades descritas en esta norma se
deben llevar a cabo.
6.44 Filosofa de operacin. Este documento debe contener la narrativa - diagramas lgicos y narrativa diagramas causa y efecto.
6.45 Fraccin de falla segura. Fraccin del total de la tasa de fallas aleatorias del equipo de un dispositivo
que resulta en una falla segura o falla peligrosa detectada.
6.46 Funcin Instrumentada de Seguridad-FIS (SIF). Funcin de seguridad con un NIS (SIL) especfico
para lograr la seguridad funcional y que puede ser una FIS (SIF) de proteccin o una FIS (SIF) de control.
6.47 Funcin instrumentada de seguridad de control. FIS (SIF) con un NIS (SIL) especfico operando en
modo continuo que es requerido para prevenir que surja una condicin peligrosa y/o para mitigar sus
consecuencias.
6.48 Funcin de seguridad. Funcin para ser implementada por un SIS, u otros sistemas relacionados con
la tecnologa de seguridad los cuales son destinados para lograr o mantener un estado seguro para el proceso,
con respecto a un evento especfico peligroso.
6.49 Funcin instrumentada de seguridad en modo bajo demanda. Accin especifica que debe tomar
una funcin instrumentada de seguridad FIS (SIF) en respuesta a las condiciones de demanda del proceso. En
presencia de falla peligrosa de la Funcin Instrumentada de Seguridad FIS (SIF) un peligro potencial solo
ocurrir si existe un evento de falla en el proceso o en el SCBP (BPCS) o SDMC (Ver definicin modo de
operacin).
6.50 Funcin instrumentada de seguridad en modo contino. Es aqulla en la cual en presencia de una
falla peligrosa de la Funcin Instrumentada de Seguridad FIS (SIF) ocurrir un peligro potencial sin que se
presente una falla adicional a menos que se tome accin para prevenirlo. (Ver definicin modo de operacin).
6.51 Homologar (calibrar). Tomar el criterio de aceptacin del riesgo de cada organismo subsidiario de
PEMEX o en su defecto tomar la indicada en la NRF-018-PEMEX-2007.
6.52

Intervalo de prueba. Intervalo de tiempo entre pruebas funcionales.

6.53 Integridad de seguridad. Probabilidad promedio de que


satisfactoriamente bajo las condiciones y perodo de tiempo establecidos.

una

FIS

(SIF)

se

desempee

6.54 Lenguaje de Variabilidad Completa-LVC (FVL). Lenguaje diseado para ser comprensible para los
programadores de computadoras y proporciona la capacidad para implementar una amplia variedad de
funciones y aplicaciones (A, Pascal, lenguaje ensamblador, C++, Java, SQL, entre otros).
6.55 Lenguaje de Variabilidad Limitada-LVL. Lenguaje diseado para ser comprensible por los usuarios
del sector de proceso, y proporciona la posibilidad de combinar funciones predefinidas de aplicaciones
especficas, de librera, para implementar las especificaciones de los requisitos de seguridad (de acuerdo con
IEC-61131-3).

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 12 DE 81

6.56 Lenguaje Fijo de Programacin-LFP (FPL). Lenguaje de programacin, donde el usuario solo
configura algunos parmetros (rangos, niveles de alarma, entre otros).
6.57 Manual de seguridad. Manual que define la forma en que el dispositivo, subsistema o sistema puede
ser aplicado bajo condiciones de seguridad.
6.58 Modo de operacin. Existen dos modos de operacin de un Sistema Instrumentado de Seguridad,
dependiendo de la frecuencia de demanda los cuales son:
Modo de demanda baja (En demanda).- es el modo en el cual la frecuencia de demandas para la
operacin del SIS no es mayor de una por ao y no es mayor que el doble de la frecuencia de pruebas.
Modo de demanda alta (Continuo).- es el modo en el cual la frecuencia de demandas para la
operacin del SIS es mayor de una por ao o es mayor que el doble de la frecuencia de pruebas.
6.59 Modo degradado. Es aqul estado en el cul el SIS an est operando satisfactoriamente pero se
encuentra vulnerable con respecto a fallas posteriores.
6.60 Nivel de Integridad de Seguridad-NIS (SIL). Es un nivel discreto para la especificacin de los
requisitos de integridad de las funciones instrumentadas de seguridad a ser asignadas a sistemas
instrumentados de seguridad. Cada nivel discreto se refiere a cierta probabilidad de que un sistema referido a
seguridad realice satisfactoriamente las funciones de seguridad requeridas bajo todas las condiciones
establecidas en un periodo de tiempo dado. Ver Tablas 2 y 3
6.61

Peligro. Fuente potencial de dao.

6.62 Probabilidad de Falla bajo Demanda-PFD. Un valor que indica la probabilidad de que un SIS falle para
responder a una demanda.
6.63 Procesador lgico. Sistema o elemento electrnico diseado para tomar las acciones requeridas sobre
la base de una lgica determinada, estos sistemas incluyen mdulos de entrada y salida.
6.64 Programas de aplicacin. Programa especfico para la aplicacin del usuario. En general, contiene
secuencias de la lgica, permisivos, lmites y expresiones que controlan la entrada, salida, los clculos, las
decisiones requeridas para cumplir los requisitos de las FIS.
6.65 Programas de utileras. Herramientas del programa para la creacin, modificacin, y la documentacin
de los programas de aplicacin. Estas herramientas del programa no son requeridas para el funcionamiento del
SIS.
6.66 .Programas embebidos. Programa que es parte del sistema suministrado por el fabricante y no es
accesible para su modificacin por el usuario final.
6.67 Prueba en lnea. Prueba requerida para confirmar la correcta operacin del SIS cuando el equipo o
proceso que est bajo su control, est en operacin.
6.68 Prueba funcional. Actividad peridica para verificar que el SIS esta en operacin de acuerdo a la
especificacin de los requisitos de seguridad.
6.69 Prueba integral. En caso de que el SIS forme parte de un proyecto integral en el cual existan otros
equipos que tengan una interrelacin con el SIS, se realizan las pruebas integrales del SIS que confirmen la
funcionalidad requerida del sistema completo, incluyendo la lgica de acuerdo a las especificaciones de los

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 13 DE 81

requisitos de diseo. Esta verificacin se realiza despus de que las pruebas OSAT del SIS han sido
completadas.
6.70 Prueba rigurosa. Prueba desarrollada para revelar fallos no detectados en un sistema instrumentado
de seguridad a fin de que, si es requerido, el sistema se pueda restaurar conforme a su funcionalidad de diseo.
6.71

Reduccin de riesgo objetivo. Reduccin requerida del riesgo a un nivel tolerable.

6.72 Redundancia. Uso de mltiples elementos o sistemas, para desempear la misma funcin. Puede ser
implementada por elementos idnticos (redundancia idntica) o por elementos diferentes (redundancia diversa).
6.73 Rel. Relevador. Tecnologa usada en Sistemas Instrumentados de Seguridad basada en seales
lgicas discretas (encendido/apagado).
6.74 Resolvedor lgico. Aqulla parte del SCBP (BPCS) o SIS que desempea una o ms funciones
lgicas, pueden ser las siguientes:
Sistemas elctricos lgicos usando tecnologa electro-mecnica
Sistemas lgicos electrnicos usando tecnologa electrnica
Sistemas lgicos Electrnico Programable (EP) usando sistemas electrnicos programables
As mismo, entre otros, los sistemas pueden ser: elctricos, electrnicos, electrnicos programables,
neumticos e hidrulicos. Los sensores y elementos finales no forman parte del resolvedor lgico.
6.75

Riesgo. Combinacin de la frecuencia de ocurrencia del dao y la gravedad de ese dao.

6.76 Riesgo del proceso. Los riesgos derivados de las condiciones del proceso causados por eventos
anormales [incluyendo mal funcionamiento del SCBP (BPCS) o SDMC].
6.77 Riesgo tolerable. Riesgo que es aceptado en un contexto determinado sobre la base de los valores
actuales de la sociedad.
6.78

Seguridad. Libre de un riesgo inaceptable.

6.79 Seguridad funcional. Parte de la seguridad total relacionada con el proceso y el SCBP (BPCS) o
SDMC que depende del correcto funcionamiento del SIS y otras capas de proteccin.
6.80 Sensor. Dispositivo o combinacin de dispositivos que miden las condiciones del proceso
(transmisores, interruptores de proceso, interruptores de posicin, entre otros).
6.81 Sistema. Conjunto de elementos, que interactan de acuerdo a un diseo, un elemento de un sistema
puede ser otro sistema, llamado un subsistema, que puede ser un sistema de control o un sistema controlado y
puede incluir el equipo, programas y la interaccin humana.
6.82 Sistema de control bsico de proceso-SCBP (BPCS) o SDMC. Sistema que responde a seales de
entrada del proceso, sus equipos asociados, a otros sistemas programables y/o un operador y genera seales
de salida causando que el proceso y sus equipos asociados operen en el modo deseado, pero que no
desempea ninguna funcin instrumentada de seguridad.
6.83 Sistemas de paro neumtico. Sistema de seguridad que opera con suministro de aire o gas y es
aplicable en donde no est disponible la energa elctrica.
6.84 Sistemas de seguridad. Es todo aqul sistema que implanta las funciones de seguridad requeridas
para mantener un estado seguro en el equipo bajo control.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 14 DE 81

6.85 Sistema Instrumentado de Seguridad-SIS. Es un sistema compuesto por sensores, resolvedores


lgicos y elementos finales que tiene el propsito de llevar al proceso a un estado seguro cuando se han
violado condiciones predeterminadas. Otros trminos comnmente usados son Sistema de Paro por
Emergencia (ESD) o Sistema de Seguridad del Proceso o Interlocks de seguridad.
6.86

Tasa de demanda. La frecuencia con el cul un SIS es requerido para realizar su funcin.

6.87
SIS.

Tasa de fallas (). Es la tasa promedio a la cual se espera que ocurran fallas de los componentes del

6.88 Tiempo medio de disparo en falso. Tiempo medio para que se presente una falla del SIS que resulta
en un paro en falso del proceso o del equipo bajo control.
6.89 Tiempo medio de reparacin. El tiempo medio para reparar un elemento del SIS. Este tiempo abarca
los tiempos involucrados desde que la falla ocurre hasta que la reparacin se ha completado y el dispositivo ha
regresado a operacin normal.
6.90 Tolerancia a fallos. Es la capacidad de una unidad funcional para continuar desempeando una
funcin requerida en la presencia de fallos o errores.
6.91 Tolerancia a fallos de hardware. Es la capacidad de una unidad funcional para continuar
desempeando la funcin de seguridad en la presencia de una o ms fallas peligrosas en hardware.
6.92 Validacin. Confirmacin por medio de revisin y suministro de evidencia objetiva de que los requisitos
particulares para un uso especfico son totalmente cumplidos.
6.93 Verificacin. Confirmacin por medio de revisin y suministro de evidencia objetiva del cumplimiento
total de los requisitos para cada fase del ciclo de vida de seguridad.

SMBOLOS Y ABREVIATURAS

ACP

Anlisis de Capas de Proteccin

ANSI

American National Standards Institute (Instituto de Estndares Nacionales Americanos)

BMS

Burner Management System (Sistemas de Control de Quemado)

BPCS

Basic Process Control System (SCBP Sistema de Control Bsico de Proceso)

CD

Cobertura de Diagnostico

CNPMOS Comit de Normalizacin de Petrleos Mexicanos y Organismos Subsidiarios


E/E/EP

Elctrico/Electrnico/Electrnico Programable

EMC

Electromagnetic compatibility (CEM Compatibilidad electromagntica)

EP

Electrnicos Programables

FAT

Factory Acceptance Test (Pruebas de Aceptacin en Fbrica)

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 15 DE 81

FMEA

Failure Modes and Effects Analysis (AMFE Anlisis de Modos de Falla y Efectos)

FPL

Limited Variability Language (LFP

FRR

Factor de Reduccin de Riesgo

FVL

Full Variabilty Language (LVC Lenguaje de Variabilidad Completa)

HFT

Hardware Fault Tolerance (TFE Tolerancia a Fallos en Equipo)

HIPPS

High Integrity Pressure Protection Systems (Sistemas de Proteccin de Presin de Alta Integridad)

HMI

Human Machine Interface (IHM Interfase Humano Maquina)

IEC

International Electrotechnical Commission (Comisin Electrotcnica Internacional)

I/O

Input/Output [E/S Entrada(s)/Salida(s)]

ISA

International Society of Automation (Sociedad Internacional de Automatizacin)

LVL

Limited Variability Language (Lenguaje de Variabilidad Limitada)

MTTF

Mean Time To Failure (Tiempo Medio de Falla)

MTTFs

Mean Time to Failure Spurious (Tiempo Medio entre Disparos en Falso)

MTTR

Mean Time To Repair (Tiempo Medio de Reparacin)

OREDA

Offshore Reliability Data (Datos de Confiabilidad Costa fuera)

OSAT

On Site Acceptance Test (Pruebas de Aceptacin en Sitio)

PEMEX

Petrleos Mexicanos y Organismos Subsidiarios

PFDprom

Probabilidad de falla bajo demanda objetivo promedio

SDMC

Sistema Digital de Monitoreo y Control

SFF

Safe Failure Fraction (FFS Fraccin de Falla Segura)

SIF

Safety Instrumented Function (FIS Funcin Instrumentada de Seguridad)

SILavg

Safety Integrity Level average (NISprom Nivel de Integridad de Seguridad promedio)

SIS

Safety Instrumented System (Sistema Instrumentado de Seguridad)

SRAM

Static Random Access Memory (Memoria Esttica de Acceso Aleatorio)

SRS

Safety Requirement Specification (ERS Especificacin de los Requisitos de Seguridad)

TV

Technischer Uberwachungs Veriein (Entidad de Pruebas Alemana)

Lenguaje Fijo de Programacin)

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 16 DE 81

Tasa de fallas

Para los efectos de esta norma de referencia con relacin a smbolos y abreviaturas de las unidades de medida,
aplica NOM-008-SCFI-2002

DESARROLLO

En la mayora de los procesos industriales, la mejor seguridad se logra por un diseo inherentemente seguro
del proceso. Las capas de proteccin juegan un papel importante para la reduccin de riesgo. En caso de ser
requerido, esto se puede combinar con un sistema de proteccin para tratar cualquier riesgo residual
identificado, tal es el caso de los Sistemas Instrumentados de Seguridad (SIS) de tecnologa electrnica
programable.
Los SIS son muy importantes en la administracin de riesgos en los procesos industriales debido a que
cumplen una funcin primordial disminuyendo su probabilidad de los eventos de riesgo o minimizando la
severidad al personal, al medio ambiente y a las instalaciones. Los riesgos se deben prevenir como un objetivo
inicial desde el inicio del ciclo de vida de seguridad funcional y deben ser reducidos a un nivel tolerable
aceptable.
Esta norma de referencia tiene dos conceptos que son fundamentales para su aplicacin; el Ciclo de Vida de
Seguridad y los Niveles de Integridad de Seguridad; y describe todas las fases del Ciclo de Vida de Seguridad
desde el inicio conceptual, diseo, implementacin, operacin y mantenimiento hasta el desmantelamiento de
los SIS.
El proveedor o contratista encargado del diseo o suministro de los SIS debe cumplir con esta norma de
referencia para la determinacin y aplicacin de los SIS para los Sistemas de Paro por Emergencia de las
diferentes instalaciones petroleras de PEMEX.
El proveedor o contratista durante el desarrollo de las actividades que contempla esta norma de referencia debe
seguir el esquema de la Figura 1 en la cual se describe la relacin entre las funciones instrumentadas de
seguridad y otras funciones, y el esquema de la Figura 2 la cual describe las fases del ciclo de vida de
seguridad y las etapas de evaluacin de la seguridad funcional del SIS.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 17 DE 81

Inicio

No

Si

Si

Es una funcin
instrumentada?

No

Si

Relacionada
con seguridad

No
relevante

Control bsico
de proceso y/o
funcin de
proteccin de
los bienes

Continuo

Demanda
Modo

Otros
medios de
reduccin
de riesgo

Funcin
Instrumentada
de seguridad de
control

No

Funcin
instrumentada de
seguridad?

Prevencin

Funcin
instrumentada
de seguridad de
proteccin

Mitigacin
Tipo?

Funcin
Instrumentada
de seguridad de
prevencin
Sistema de
Paro por
Emergencia

Funcin
Instrumentada
de seguridad
de mitigacin

Esta figura especifica las actividades que se deben llevar a cabo, pero no detalla sus
requisitos especficos segn lo punteado

Figura 1. Relacin entre las funciones instrumentadas de seguridad y otras funciones


Para lograr la implantacin de la seguridad funcional de un SIS se deben contemplar los requisitos establecidos
en el ciclo de vida de la figura 2. PEMEX debe determinar cules requisitos debe desarrollar el proveedor o
contratista y cuales requisitos proporciona PEMEX.

8.1

Administracin de la seguridad funcional

El modelo del ciclo de vida indica en su requisito 10, ver figura 2 de esta norma de referencia, que debe existir
una administracin de la seguridad funcional y evaluacin y auditoria, por lo tanto la organizacin (PEMEX) en

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 18 DE 81

sus funciones de calidad puede contar con estas actividades que cubran la implantacin de la administracin o
en su defecto tiene que definir en sus bases de licitacin la contratacin de estos servicios.
8.1.1

Requisitos

8.1.1.1

General

El proveedor o contratista si as lo solicit PEMEX debe identificar, evaluar y establecer las polticas y
estrategias para la administracin de la seguridad funcional.
8.1.1.2

Organizacin y recursos

El proveedor o contratista, si as lo solicit PEMEX debe llevar a cabo las actividades para la implantacin de la
administracin de la seguridad del SIS y debe identificar e informar las responsabilidades que se han asignado
a las personas, departamentos, organismos u otras unidades que estn encargados de realizar y revisar cada
una de las fases del Ciclo de Vida de Seguridad de los SIS aplicables para Sistemas de Paro por Emergencia.
8.1.1.3

Evaluacin y administracin de riesgos

El personal responsable para llevar a cabo la evaluacin y administracin de riesgos debe tener identificados
los peligros, evaluando los riesgos y haber determinado la reduccin de riesgos como se define en 8.4 anlisis y
evaluacin de riesgos de proceso, en esta norma de referencia.
8.1.1.4

Planeacin

El personal responsable de la implantacin de la administracin de seguridad funcional debe realizar la


planeacin de la misma para definir las actividades que se requieren llevar a cabo en conjunto con las
personas, departamentos, organismos u otras unidades responsables de estas actividades. Esta planeacin se
debe actualizar cuando as sea requerido por PEMEX durante todo el Ciclo de Vida de Seguridad del SIS.
Implementacin y monitoreo

8.1.1.5

Una vez concluidas las actividades de anlisis y evaluacin de riesgos, Evaluacin y Auditoria, Verificacin y
Validacin, el grupo de trabajo de la implantacin de la administracin por parte del proveedor o contratista
debe elaborar los procedimientos para garantizar el seguimiento y cumplimiento de las recomendaciones que
surgieron relacionadas con el SIS.
8.1.1.5.1 Los procedimientos deben evaluar el desempeo de los SIS contra los requisitos tcnicos y
documentales de esta norma de referencia y de los requisitos especficos del proyecto para:
a)
b)
c)

Identificar y prevenir casos de fallas sistemticas que pueden poner en peligro la seguridad de la
instalacin
Evaluar si las tasas de fallas peligrosas de los SIS estn en conformidad con el diseo
Evaluar la tasa de demanda sobre las FIS (SIF) durante la operacin real para verificar los requisitos del
nivel de integridad

8.1.1.6
8.1.1.6.1

Evaluacin, auditoria y revisiones


Evaluacin de la seguridad funcional

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 19 DE 81

El personal responsable para llevar a cabo la evaluacin de la seguridad funcional debe contar con
procedimientos para asegurar que todos los requisitos y etapas a evaluar se cumplan (ver 8.1 de esta norma de
referencia).
8.1.1.6.1.1 El proveedor o contratista debe incluir al menos un especialista certificado, en seguridad funcional
para la validacin y la evaluacin funcional de las etapas 1, 2 y 3 del ciclo de vida de seguridad (ver figura 2 de
esta norma de referencia) y este debe ser certificado (como lo establece la Ley Federal sobre Metrologa y
Normalizacin) en Seguridad Funcional por Exida (Certified Functional Safety Expert CFSE) o por TV
(Functional Safety Expert FSE), quien debe ser una tercera en el equipo de trabajo para el diseo del proyecto
(SIS). El responsable por parte del proveedor o contratista al planear una evaluacin de la seguridad funcional
debe considerar:
a)
b)
c)
d)
e)
f)
g)
h)

El alcance de la evaluacin
Quin va a participar
Las habilidades, responsabilidades y autoridades del equipo de evaluacin
La informacin que se genera como resultado de la evaluacin
La identidad de cualquier otro organismo de seguridad involucrada en la evaluacin
Los recursos requeridos para completar la actividad de evaluacin
El nivel de independencia del equipo de evaluacin
Los medios por los cuales la evaluacin se debe renovar despus de las modificaciones

8.1.1.6.1.2 Se deben identificar durante la planeacin de la seguridad las etapas del ciclo de vida de seguridad
en las cuales se deben llevar a cabo las actividades de evaluacin de la seguridad funcional.
8.1.1.6.1.3 Despus de que se haya realizado alguna modificacin durante la operacin, se deben introducir
los nuevos peligros identificados en las actividades adicionales de evaluacin de la seguridad funcional.
8.1.1.6.1.4 Al trmino de cada una de las siguientes etapas, el proveedor o contratista debe realizar las
actividades de evaluacin de la seguridad funcional (ver Figura 2 de esta norma de referencia).
a)
b)
c)
d)
e)

Etapa 1. Anlisis y evaluacin de riesgos, identificacin de las capas de proteccin y la especificacin


de los requisitos de seguridad
Etapa 2. Diseo del SIS
Etapa 3. Instalacin, comisionamiento y validacin final del SIS y desarrollo de procedimientos de
operacin y de mantenimiento
Etapa 4. Adquisicin experiencia en la operacin y mantenimiento
Etapa 5. Modificacin y desmantelamiento de un SIS

As mismo, al inicio y trmino de cada una de las etapas, el proveedor o contratista debe cumplir con todos los
lineamientos de seguridad industrial que se tengan establecidos en cada centro de trabajo de Petrleos
Mexicanos y Organismos Subsidiarios en instalaciones terrestres y costa fuera.
8.1.1.6.1.5 Para determinar el nmero, el tamao y el alcance de la evaluacin de las actividades de la
seguridad funcional se deben tomar en cuenta los siguientes factores:
a)
b)
c)
d)
e)
f)
g)

Tamao del proyecto


Grado de complejidad
Nivel de Integridad de Seguridad-NIS (SIL)
Duracin del proyecto
Consecuencia en un evento de falla
Grado de normalizacin de las caractersticas de diseo
Requisitos normativos de seguridad

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
h)

NRF-045-PEMEX-2010
REV. 0
PGINA 20 DE 81

La experiencia previa con un diseo similar


Administracin

Estructura y

de la

planeacin del

seguridad

ciclo de vida

funcional y

de seguridad

evaluacin y

Verificacin

Anlisis de riesgos y
peligros del proceso
(8.4)

Asignacin de funciones de
seguridad para las capas de
proteccin
(8.5)
2

auditoria de
la seguridad
funcional

Especificacin de
requisitos especficos de
seguridad para los SIS
(8.6 y 8.8)
3
Etapa 1

Diseo y desarrollo
de otras maneras de
reduccin de riesgo
(8.5)

Diseo e ingeniera de los


sistemas instrumentados
de seguridad
(8.7 y 8.8)
4
Etapa 2

Instalacin,
comisionamiento y
validacin
(8.10 y 8.11)
Etapa 3

Operacin y mantenimiento
(8.12)
6
Etapa 4
8.2
8.1

8.3, 8.8.4 y
8.8.7

Modificacin
(8.13)

Etapa 5
10

11

Desmantelamiento
(8.14)

Simbologa
Direccin del flujo de informacin
Requisitos no detallados en esta norma de referencia
Requisitos detallados en esta norma de referencia
NOTA 1. Las etapas 1 a la 5 estn definidas en 8.1.1.6.1.2 al 8.1.1.6.1.5 de esta norma de referencia

Figura 2. Fases del ciclo de vida de seguridad y etapas de evaluacin de la seguridad funcional del SIS

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 21 DE 81

8.1.1.6.1.6 El personal responsable del proveedor o contratista debe realizar al menos una evaluacin de
seguridad funcional para asegurar que los peligros del proceso y equipo asociado estn bajo control. Como
mnimo debe realizar una evaluacin de la seguridad funcional antes de que se presenten los peligros
identificados (etapa 3). El equipo de evaluacin del proveedor o contratista antes de que se presenten dichos
peligros debe confirmar que:
a)
b)
c)
d)
e)

f)
g)
h)

Se ha realizado el anlisis y evaluacin de riesgos (ver 8.4 de esta norma de referencia)


Se han aplicado las recomendaciones derivadas del anlisis y evaluacin de riesgos al SIS
Se han ejecutado los procedimientos de cambios al diseo del proyecto
Se han atendido las recomendaciones derivadas de la evaluacin anterior de la seguridad funcional
El SIS est diseado, construido e instalado de conformidad con la especificacin de los requisitos de
seguridad de esta norma de referencia y de los requisitos especficos del proyecto, y se han identificado
y resuelto las diferencias
Se encuentran en el sitio de la instalacin los procedimientos de seguridad, operacin, mantenimiento y
emergencia relativos al SIS, en idioma espaol
Se ha realizado la planeacin de la validacin del SIS
Se ha terminado la capacitacin de los empleados y se ha proporcionado al personal de operacin y
mantenimiento la informacin requerida acerca del SIS

8.1.1.6.1.7 Cuando las herramientas de produccin y desarrollo se utilicen para cualquier actividad del ciclo de
vida de seguridad, se deben sujetar a una evaluacin de la seguridad funcional.
8.1.1.6.2

Auditoria y revisin

Los resultados de la evaluacin, as como toda la informacin relevante de la seguridad funcional deben estar
disponibles junto con cualquier recomendacin procedente de esta evaluacin.
8.1.1.6.2.1 El personal responsable de la implantacin de la administracin de la seguridad funcional por parte
del proveedor o contratista debe definir y ejecutar los procedimientos para cumplir con la auditoria por una
tercera, los cuales deben incluir la frecuencia de las actividades de auditoria y el grado de independencia entre
los participantes que realizan el trabajo y los que realizan las actividades de auditoria adems del registro y
seguimiento de las actividades.
8.1.1.6.2.2 El proveedor o contratista para la implantacin de la administracin de la seguridad funcional debe
tener en sitio los procedimientos de modificacin para iniciar, documentar, revisar, aprobar y aplicar los cambios
en el SIS.
8.1.1.7

Administracin de la configuracin del SIS

El proveedor o contratista debe tener disponibles para la consulta de PEMEX los procedimientos para la
administracin de la configuracin del SIS durante las fases del Ciclo de Vida de Seguridad de los programas y
del SIS, en particular debe especificar lo siguiente:
a)
b)
c)

La etapa de implementacin del control formal de la configuracin


Los procedimientos autorizados que se deben utilizar para la identificacin nica de todas las partes
que constituyen una partida de equipo y programas, en idioma espaol
Los procedimientos autorizados para prevenir la entrada de servicio de las partidas no autorizadas, en
idioma espaol

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
8.2

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 22 DE 81

Requisitos del Ciclo de Vida de Seguridad

El proveedor o contratista previo a la primera etapa del ciclo de vida de seguridad del SIS y para el caso de esta
norma de referencia debe contar con el diseo conceptual del proceso incluyendo las filosofas de operacin,
los diagramas de tubera e instrumentacin y diagramas de flujo de proceso, planos de localizacin general del
equipo, las hojas de datos del equipo de proceso y la especificacin tcnica del sistema bsico de control del
proceso, tomando en consideracin las condiciones ambientales del lugar.
El proveedor o contratista debe aplicar el Ciclo de Vida de Seguridad el cual debe comprender las actividades
para la implantacin de los Sistemas Instrumentados de Seguridad (SIS) desde la concepcin inicial hasta el
desmantelamiento (ver Figura 2 de esta norma de referencia). Sin embargo, las primeras etapas del Ciclo de
Vida de Seguridad, marcadas con lnea intermitente en la Figura 2 de esta norma de referencia, el anlisis y
evaluacin de riesgos de proceso y la asignacin de funciones de seguridad para las capas de proteccin, se
encuentran fuera del alcance de los requisitos especficos de la presente norma de referencia. Los resultados
de estas etapas son datos de entrada al desarrollo de esta norma de referencia, por lo anterior, la eficacia y
eficiencia en la aplicacin de esta norma de referencia depende de la confiabilidad y exactitud de dichos datos.
El proveedor o contratista debe cumplir con los objetivos de este numeral para lo cual debe definir las fases,
establecer los requisitos, y organizar las actividades del Ciclo de Vida de Seguridad; as mismo asegurar que
exista una planeacin que asegure que los SIS deben cumplir los requisitos de seguridad de esta norma de
referencia y los requisitos especficos del proyecto.
8.2.1

Requisitos

El proveedor o contratista debe definir durante la planeacin de seguridad que se incorporen los requisitos de
esta norma de referencia en el Ciclo de Vida de Seguridad.
8.2.1.1 Cada fase del Ciclo de Vida de Seguridad se debe definir en trminos de entradas, salidas y
actividades de verificacin, conforme a la Tabla 1 de esta norma de referencia:
Fase o actividad del Ciclo de
Vida de Seguridad
Figura 2
Titulo

Requisitos
Objetivos

numeral
de esta norma
de referencia

Entradas

Salidas

Determinar los peligros y


eventos peligrosos del
proceso y los equipos
asociados, la secuencia
de
eventos
que
condujeron al evento
peligroso, los riesgos
asociados del proceso
con el evento peligroso,
los requisitos para la
reduccin de los riesgos y
las
funciones
de
seguridad
requeridas
para lograr la reduccin
de riesgo objetivo
Asignacin
de
las
funciones de seguridad
para
las capas de
proteccin y para cada
FIS, el NIS (SIL) asociado

8.4

Diseo de proceso,
planos
de
distribucin
de
personal, objetivos
de
seguridad,
estas metas las
debe
suministrar
PEMEX (segn el
organismo
subsidiario) y de
acuerdo
al
proyecto que est
desarrollando.

Una descripcin de los


peligros, de la funcin de
seguridad requerida y de
la reduccin de los riesgos
asociados

8.5

Una descripcin de
las
FIS
(SIF)
requeridas y los
requisitos
de
integridad
de
seguridad
asociados

Descripcin
de
la
asignacin
de
los
requisitos de seguridad
(ver 8.5 de esta norma de
referencia)

Caja numero

Anlisis
evaluacin
riesgos

y
de

Asignacin
funciones
seguridad para
capas
proteccin

de
de
las
de

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
Fase o actividad del Ciclo de
Vida de Seguridad
Figura 2
Titulo

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

Especificacin de
los requisitos de
seguridad del SIS

Diseo
e
ingeniera del SIS

Instalacin,
comisionamiento
y validacin del
SIS

REV. 0
PGINA 23 DE 81

Requisitos
Objetivos

numeral
de esta norma
de referencia

Entradas

Salidas

Especificar los requisitos


para cada SIS, en
trminos de las FIS (SIF)
y su
integridad
de
seguridad asociada, a fin
de lograr la seguridad
funcional requerida
Disear el SIS para
satisfacer los requisitos
de las FIS (SIF) y la
integridad de seguridad

8.6

Descripcin de la
asignacin de los
requisitos
de
seguridad (ver 8.5
de esta norma de
referencia)

requisitos de seguridad de
los SIS; requisitos de
seguridad
de
los
programas

8.7 y 8.8.4

Requisitos
de
seguridad del SIS

Diseo
del
SIS
en
conformidad
con
los
requisitos de seguridad
del SIS, planeacin para
pruebas de integracin del
SIS
Funcionamiento completo
del SIS de conformidad
con los resultados del
diseo de SIS de las
pruebas de integracin del
SIS

Caja numero

NRF-045-PEMEX-2010

Integrar y probar el SIS

8.8.3, 8.10 y
8.11

Validar que el SIS cumple


en todo respecto de los
requisitos de seguridad
en trminos de FIS (SIF)
y de integridad de
seguridad requerida

Requisitos
de
seguridad de los
programas
Diseo del SIS
Plan de pruebas de
integracin del SIS
Requisitos
de
seguridad del SIS
Plan
para
la
validacin de la
seguridad del SIS

Operacin
y
mantenimiento del
SIS

Modificacin
SIS

del

Desmantelamiento

Verificacin
SIS

10

Evaluacin de la
seguridad
funcional del SIS

del

Garantizar
que
la
seguridad funcional del
SIS se mantiene durante
la
operacin
y
mantenimiento

8.12

Hacer
correcciones,
mejoras o adaptaciones
al SIS, garantizar que el
NIS (SIL) objetivo es
alcanzado y mantenido
Garantizar la correcta
revisin, organizacin del
sector, y garantizar que
las
FIS
(SIF)
permanezcan.

8.13

Probar y evaluar los


resultados de una fase
proporcionada
para
garantizar la exactitud y
consistencia con respecto
a los productos y normas
establecidas,
como
entrada a esa fase
Investigar y llegar a una
decisin
sobre
la
seguridad
funcional
alcanzada por el SIS

8.3, 8.8.7

Requisitos del SIS


Diseo del SIS

8.14

8.1

Plan
para
operacin
y
mantenimiento del
SIS
Requisitos
de
seguridad del SIS
revisados

Resultados
de
las
actividades
de
instalacin,
comisionamiento
y
validacin
Resultados
de
las
actividades de operacin y
mantenimiento

Resultados
de
modificacin del SIS

la

Requisitos
de
seguridad
e
informacin
del
proceso
como
quedaron
Construidos.
Plan
para
la
verificacin del SIS
para cada fase

FIS (SIF) puesta fuera de


servicio.

Planeacin para la
evaluacin de la
seguridad funcional
del SIS

Resultados
de
la
evaluacin de la seguridad
funcional del SIS

Requisitos
de
seguridad del SIS

Tabla 1. Vista general del Ciclo de Vida de Seguridad

Resultados
de
la
verificacin del SIS para
cada fase

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 24 DE 81

8.2.1.2 El proveedor o contratista debe llevar a cabo la planeacin de seguridad para todas las fases del Ciclo
de Vida de Seguridad, y debe definir los criterios, tcnicas, medidas y procedimientos, para:
a)
b)
c)
d)
e)
8.3

Garantizar que los requisitos de seguridad del SIS se han alcanzado para todos los modos relevantes
del proceso, esto incluye las funciones de seguridad y la integridad de seguridad
La correcta instalacin y comisionamiento del SIS
La integridad de la seguridad de las FIS (SIF) despus de la instalacin
Mantener la integridad de la seguridad durante la operacin
La administracin de los riesgos durante las actividades de mantenimiento del SIS
Verificacin

El proveedor o contratista debe demostrar por medio de una revisin, anlisis y/o pruebas que las salidas
requeridas cumplen con los requisitos definidos para todas las fases requeridas (Figura 2 de esta norma de
referencia) del Ciclo de Vida de Seguridad identificadas por la planeacin de la verificacin.
8.3.1

Requisitos

Durante la planeacin de la verificacin, el proveedor o contratista debe definir todas las actividades requeridas
para la verificacin de la fase requerida del Ciclo de Vida de Seguridad. La verificacin debe cumplir con esta
norma de referencia y con lo siguiente:
a)
b)
c)
d)
e)
f)
g)

Las actividades de verificacin


Los procedimientos, medidas y tcnicas que se deben usar para la verificacin incluyendo la
implementacin y resolucin de las recomendaciones
El programa para llevar a cabo estas actividades
Establecer las personas, departamentos y organizaciones responsables de estas actividades incluyendo
los niveles de independencia
Identificar los puntos a verificar
Determinar cmo manejar las No-Conformidades
Indicar las herramientas y anlisis de apoyo

8.3.1.1

La verificacin se debe realizar de acuerdo con lo planeado.

8.3.1.2

Los resultados del proceso de verificacin deben estar disponibles en todo momento para PEMEX.

8.4

Anlisis y evaluacin de riesgos del proceso

Si as lo determina PEMEX, el proveedor o contratista debe ser el responsable de realizar el Anlisis y


evaluacin de riesgos, y debe conformar un equipo multidisciplinario integrado por ingenieros de proceso,
especialistas de anlisis y evaluacin de riesgos (seguridad funcional), instrumentistas, entre otros as como al
administrador de seguridad y debe cumplir con los requisitos estipulados en la NRF-018-PEMEX-2007. El
anlisis y evaluacin de riesgos debe contemplar el anlisis de capas NO SIS y capas SIS de acuerdo al 8.5
del modelo del ciclo de vida y comprendido en la figura 2 de esta norma de referencia.
El anlisis y evaluacin de riesgos debe identificar los peligros de proceso, y llevar a cabo su valoracin
(frecuencia/consecuencia) y posteriormente determinar si ese riesgo es tolerable o no, basndose en los
criterios de aceptacin del riesgo especfico para el sistema y/o instalacin definidos por PEMEX.
Para el caso de las FIS (SIF), los resultados del anlisis y evaluacin de riesgos deben constituir los datos de
entrada para la determinacin del NIS (SIL) objetivo para cada funcin instrumentada de seguridad y deben
cumplir con IEC 61511-3. Por otro lado, las tcnicas que se deben usar para determinar el NIS (SIL) prom

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 25 DE 81

(avg) de las FIS (SIF) propuestas o diseadas deben cumplir con cualquiera de los siguientes documentos: ISATR84.00.02-2002 - Part 2, ISA-TR84.00.02-2002 - Part 3; ISA-TR84.00.02-2002 - Part 4 o equivalentes.
En esta etapa inicial, el proveedor o contratista debe determinar:
Los peligros y eventos peligrosos del proceso y equipo asociado como SCBP (BPCS) o SDMC
La secuencia de eventos que conducen al evento peligroso
El riesgo de proceso asociado con el evento peligroso
Cualquier requisito de reduccin de riesgo
Las funciones de seguridad requeridas para lograr la reduccin de riesgo objetivo
Las funciones instrumentadas de seguridad (ver 8.5 de esta norma de referencia)
8.4.1

Requisitos

8.4.1.1 El proveedor o contratista durante el Anlisis y Evaluacin de Riesgos debe realizar y proporcionar lo
siguiente en el proceso y su equipo asociado, entre otros el SCBP (BPCS) o SDMC:
a)
b)
c)
d)
e)
f)

g)

h)

Una descripcin de cada evento peligroso identificado y los factores que contribuyen a este (Incluyendo
errores humanos)
Una descripcin de las consecuencias y probabilidades de los eventos
La consideracin de las condiciones como operacin normal, arranque, paro, mantenimiento, distorsin
del proceso, y paro de emergencia
La determinacin de los requisitos para la reduccin de riesgo objetivo adicional, para lograr la
seguridad requerida
Una descripcin de las referencias para informacin de las medidas tomadas para reducir o eliminar los
riesgos y peligros
Una descripcin detallada de las hiptesis hechas durante los anlisis y evaluacin de riesgos
incluyendo la probabilidad de tasas de demanda y las tasas de fallas del equipo, y de cualquier
consideracin tomada para restringir las operaciones o intervenciones humanas
Asignacin de las funciones de seguridad a las capas de proteccin tomando en cuenta la reduccin
potencial en la proteccin efectiva debido a las fallas de causa comn entre las capas de seguridad y
entre las capas de seguridad y el SCBP (BPCS) o SDMC (ver 8.5 de esta norma de referencia)
Identificacin de aquellas funciones de seguridad aplicadas como funciones instrumentadas de
seguridad (ver 8.5 de esta norma de referencia)

8.4.1.2 La tasa de falla peligrosa de un SCBP (BPCS) o SDMC que impone una demanda sobre una capa de
-5
proteccin, operando en modo de demanda alta (continuo) no se debe asumir como mejor que 10 por hora
conforme a la tabla 3 de esta norma de referencia y operando en modo de demanda baja (en demanda), la
-1
probabilidad de falla bajo demanda no se debe asumir mejor que 10 conforme a la tabla 2 de esta norma de
referencia.
8.4.1.3

Cuando el SCBP (BPCS) o SDMC sea considerado como una capa independiente de proteccin cumpliendo con
-5
los criterios de capa independiente de proteccin no se le debe dar una frecuencia de falla menor de 10 en el caso de
-1
operacin modo continuo ni una probabilidad de falla menor a 10 en el caso de modo de operacin de demanda Baja (En
demanda). Esto no significa que el SCBP (BPCS) o SDMC sea considerado como un SIS.

8.4.1.4 La Identificacin y anlisis de peligros y eventos peligrosos para un proceso y la evaluacin del nivel
de riesgo, se debe registrar de modo tal que la relacin entre los puntos anteriores sea clara y trazable.
8.4.1.5 Los requisitos arriba mencionados no son mandatarios para que el riesgo y los objetivos de reduccin
de riesgo se tengan que asignar con un valor numrico. Slo para la etapa de Seleccin de NIS (SIL) objetivo,

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 26 DE 81

se pueden usar mtodos grficos siempre y cuando PEMEX lo requiera, pero estos grficos deben ser
invariablemente homologados (calibrado) para la aplicacin segn la instalacin de PEMEX; para ello ver IEC
61511-3
8.5

Asignacin de funciones de seguridad para capas de proteccin

El proveedor o contratista diseador del SIS debe:


a)
b)
c)

Asignar funciones de seguridad a las capas de proteccin


Determinar las FIS (SIF) requeridas
Determinar para cada FIS (SIF) el NIS (SIL) asociado

El proveedor o contratista no debe determinar el NIS (SIL) de manera global para un proceso o instalacin.
8.5.1

Requisitos del proceso de asignacin

El proveedor o contratista diseador del SIS en el proceso de asignacin debe:


a)
b)

Asignar las funciones de seguridad para capas de proteccin especficas, para el propsito de
prevencin, control o mitigacin de peligros del proceso y sus equipos asociados
Asignar la reduccin de riesgo objetivo para las FIS

8.5.1.1 Para establecer el NIS (SIL) del SIS, el proveedor o contratista debe considerar los siguientes
parmetros:
a)
b)
c)
d)
e)

La severidad de las consecuencias si el sistema de seguridad falla al operar bajo demanda


La probabilidad de que el personal sea expuesto al riesgo
Medidas de mitigacin para reducir las consecuencias del evento de riesgo
La frecuencia con la cual el sistema de seguridad se requiere que acte
Probabilidad de ocurrencia del evento peligroso

El proveedor o contratista debe seleccionar un NIS (SIL) objetivo y especificar la reduccin de riesgo objetivo,
es decir, la diferencia entre los niveles de riesgo existente y tolerable, en trminos de NIS (SIL). El proveedor o
contratista debe solicitar a PEMEX los criterios de riesgo tolerable.
Independientemente de la naturaleza del mtodo a usar, el proveedor o contratista debe considerar la
evaluacin de dos componentes del riesgo (la probabilidad del evento de peligro y la severidad de la
consecuencia). La asignacin del NIS (SIL) objetivo se debe realizar basndose en un proceso que lleve el
riesgo del proceso a un nivel tolerable, de acuerdo con la NRF-018-PEMEX-2007
8.5.1.2 El proveedor o contratista debe especificar el NIS (SIL) objetivo de acuerdo con la Tabla 2 de esta
norma de referencia, para cada FIS (SIF) operando en modo bajo demanda. Cuando se usa la Tabla 3 de esta
norma de referencia, entonces no se deben usar en la determinacin del NIS (SIL) el intervalo de prueba
rigurosa ni la tasa de demanda.
8.5.1.3 Para cada FIS (SIF) operando en modo continuo, el NIS (SIL) objetivo se debe especificar de acuerdo
con la Tabla 3 de esta norma de referencia.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 27 DE 81

Modo de operacin demanda baja (En demanda)


Nivel de Integridad de seguridad
Probabilidad de Falla bajo Demanda
Reduccin de riesgo objetivo
NIS (SIL)
objetivo promedio PFDprom
10-4 a < 10-3
10-3 a < 10-2
10-2 a < 10-1

3
2
1

>1000 a 10000
>100 a 1000
>10 a 100

Tabla 2. Niveles de integridad de seguridad: probabilidad de falla bajo demanda


Modo de operacin de demanda alta (Continuo)
Frecuencia objetivo de fallas peligrosas para desempear la
Nivel de Integridad de seguridad NIS (SIL)
funcin instrumentada de seguridad (por hora)
3
2
1

10-8 a < 10-7


10-7 a < 10-6
10-6 a < 10-5

Tabla 3. Niveles de Integridad de Seguridad: frecuencia de fallas peligrosas de la FIS (SIF)


8.5.1.3.1 El proveedor o contratista debe definir el NIS (SIL) numricamente a fin de proporcionar una meta
objetivo para comparar diseos y soluciones alternativos.
8.5.1.3.2 La frecuencia requerida de las fallas peligrosas por hora para un modo continuo de la FIS (SIF) se
debe determinar por el riesgo (en trminos de tasa de peligro) causado por la falla de la FIS (SIF) actuando en
modo continuo, junto con la tasa de fallas de otros equipos que conducen a la misma situacin de riesgo,
teniendo en cuenta las contribuciones de otras capas de proteccin.
8.5.1.3.3 Se debe soportar tcnicamente bajo consideracin de PEMEX, el usar varias funciones de menor
NIS (SIL) para satisfacer la necesidad de una funcin de mayor nivel [entre otros, utilizando un sistema con NIS
(SIL) 2 y uno con NIS (SIL) 1 juntos para satisfacer la necesidad de una funcin con NIS (SIL) 3] siempre y
cuando la reduccin de riesgo alcanzada con dos o ms FIS (SIF) es mayor o igual a la reduccin de riesgo
requerida por la FIS (SIF) con NIS (SIL) 3
8.5.2

Requisitos en el SCBP (BPCS) o SDMC como una capa de proteccin

8.5.2.1
El SCBP (BPCS) o SDMC se puede identificar como una capa de proteccin, como se muestra en
Figura 3 de esta norma de referencia; siempre y cuando no sea la causa del peligro la falla del SCBP (BPCS) o
SDMC lo que se pretenda prevenir con la FIS (SIF).
8.5.2.2
El Factor de Reduccin de Riesgo-FRR para un SCBP (BPCS) o SDMC usado como capa de
proteccin debe ser menor de 10.
8.5.2.3
Si se requiere un FRR para un SCBP (BPCS) o SDMC mayor de 10, entonces se debe disear y
cumplir con los requisitos de esta norma de referencia.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 28 DE 81

REPUESTAS DE EMERGENCIA DE LA COMUNIDAD


Radiodifusin de la emergencia

RESPUESTA DE EMERGENCIA DE LA PLANTA


Procedimientos de evacuacin

MITIGACIN
Sistemas de mitigacin mecnica
Sistemas de control instrumentados de seguridad
Sistemas de mitigacin instrumentados de seguridad
Supervisin del operador

PREVENCIN
Sistemas de proteccin mecnica
Alarmas del proceso con accin correctiva del operador

Sistemas instrumentados de seguridad de control


Sistemas instrumentados de seguridad de prevencin

CONTROL Y MONITOREO
Sistemas de control bsico de proceso
Sistemas de monitoreo (alarmas del proceso)

Supervisin del operador

PROCESO

Figura 3. Mtodos tpicos de reduccin de riesgo encontrados en plantas de proceso


8.5.3

Requisitos para prevenir fallas de causa comn, modo comn y dependientes

8.5.3.1 El proveedor o contratista debe evaluar las capas de proteccin mediante un Estudio de Anlisis de
Capas de Proteccin (ACP) para asegurar que la probabilidad de falla de causa comn, modo comn y
dependientes entre las capas de proteccin, sean bajas en comparacin al total de requisitos de integridad de
seguridad de las capas de proteccin.
8.5.3.2
a)
b)
c)

La evaluacin debe considerar lo siguiente:


La independencia entre las capas de proteccin
La diversidad entre las capas de proteccin
La separacin fsica entre las diferentes capas de proteccin

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
d)

8.6

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 29 DE 81

Las fallas de causa comn entre las capas de proteccin, y entre las capas de proteccin y los SCBP
(BPCS) o SDMC
Especificacin de los Requisitos de Seguridad-ERS del SIS para paro por emergencia

8.6.1
Una vez determinado que se requiere un Sistema Instrumentado de Seguridad-SIS y establecido el
NIS (SIL) objetivo para cada FIS, el proveedor o contratista debe desarrollar y/o aplicar segn le corresponda la
ERS para el sistema conforme a las restricciones que PEMEX imponga. La ERS del SIS se debe expresar y
estructurar de tal modo que los requisitos sean claros, precisos, verificables, sostenibles, factibles y escritos de
modo que puedan ser comprendidos y aplicados.
8.6.2
El proveedor o contratista y PEMEX deben elaborar los diagramas de causa-efecto tambin conocidos
como Matriz lgica de causa y efecto del SIS para documentar la ERS de un SIS. Estos diagramas se deben
desarrollar de acuerdo con el anexo 12.1 de esta norma de referencia y se deben usar para documentar los
requisitos funcionales y de integridad. Deben ser documentos claros para todas las disciplinas.
8.6.3
Los diagramas lgicos se deben usar adems de los diagramas causa-efecto para funciones
complejas y basadas en tiempo, as como para secuencias complejas que no pueden ser descritas fcilmente
mediante un diagrama de causa-efecto y deben cumplir con ISA-5.2-1976 (R 1992) o equivalente.
8.6.4
La ERS debe constituir la gua para definir los requisitos de diseo, por esta razn, se debe incluir
toda la informacin requerida como un paquete completo y debe contener:
a)
b)
c)
d)

La funcin del sistema o componente del sistema


Las acciones que el sistema o componente debe realizar bajo circunstancias establecidas
(especificacin funcional)
La integridad requerida (confiabilidad y disponibilidad) para operar en dichas circunstancias
(especificacin de integridad)
Los requisitos de sobrevivencia una vez que un incidente mayor ha sucedido (especificacin de
sobrevivencia)

8.6.5
El proveedor o contratista debe usar el NIS (SIL) de cada FIS (SIF) del SIS para establecer una
arquitectura del sistema para lograr el nivel de desempeo, seguridad e integridad requerida para que el SIS
ejecute las funciones de seguridad.
8.6.6
Se deben identificar en el Anlisis y Evaluacin de Riesgos las especificaciones de sobrevivencia
cuando exista un requisito especfico de que un SIS permanezca operando durante o despus de un incidente
mayor.
8.6.7
a)
b)
c)

d)
e)
f)
g)

Para el desarrollo de la ERS el proveedor o contratista debe tener disponible la siguiente informacin:
La lista de las FIS (SIF) requeridas y el NIS (SIL) de cada FIS (SIF)
Los Diagramas de Flujo de Proceso-DFP y Diagramas de Tubera e Instrumentacin-DTIs, hojas de
datos de proceso, hoja de especificaciones de instrumentos
La informacin del proceso (filosofa de operacin, elementos finales, entre otros) e informacin del
anlisis cuantitativo de riesgo (causa y secuencia de cada evento potencial de peligro que requiera un
SIS)
Las consideraciones de falla de causa comn del proceso tales como corrosin, taponamiento, entre
otros.
Los requisitos regulatorios que impactan al SIS
Las consideraciones de confiabilidad, calidad y ambientales
La lista de consideraciones operacionales y de mantenimiento

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
8.6.8
a)
b)
c)
d)
e)
f)

g)
h)

i)

j)
k)
l)

m)
n)
o)
p)
q)
r)
s)

t)
u)
v)
w)
x)
y)
z)
aa)

bb)
cc)

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 30 DE 81

Los requisitos de seguridad del SIS deben incluir la definicin de los siguientes parmetros:
La descripcin de todas las FIS (SIF) para lograr la seguridad funcional requerida y el NIS (SIL) para
cada una de ellas.
Los requisitos para identificar y tomar en cuenta las fallas de causa comn.
Las acciones a tomar en caso de prdida de la(s) fuente(s) de energa del SIS.
La respuesta de accin a cualquier falla detectada.
Los requisitos de interfase humano mquina.
La importancia de las interacciones de los componentes fsicos del sistema/programas, e identificar y
documentar cualquier restriccin para dichas interacciones. De acuerdo con 8.8.5 de esta norma de
referencia.
Los requisitos de diagnstico para lograr el NIS (SIL) objetivo.
Los lmites de inmunidad electromagntica requeridos para lograr compatibilidad electromagntica, los
cules deben ser fijados considerando tanto el ambiente electromagntico como los niveles de
integridad de seguridad requeridos.
La iniciacin manual de funciones protectoras sustituye en muchos casos a la iniciacin automtica, por
esta razn en funciones iniciadas manualmente se debe considerar la confiabilidad humana, ya que la
integridad de los componentes fsicos hardware de la iniciacin manual no debe ser menor a aqulla
de la iniciacin automtica.
Los requisitos de mantenimiento y prueba para lograr el NIS (SIL) objetivo (intervalo mnimo de prueba).
La definicin del estado seguro del proceso para cada FIS (SIF) identificada.
La definicin de cualquier estado individual de proceso seguro, que cuando ocurra, conjuntamente se
desarrolle un peligro separado (sobrecarga de un tanque de almacenamiento de emergencia, relevos
mltiples al sistema de desfogue, entre otros).
Las fuentes de demanda consideradas y la tasa de demanda en la FIS.
Los requisitos para los intervalos de prueba rigurosa.
Los requisitos para el tiempo de respuesta del SIS para llevar el proceso a un estado seguro.
El NIS (SIL) y modo de operacin (demanda/continuo) para cada FIS.
La descripcin de las variables de proceso del SIS y sus puntos de disparo.
La descripcin de las acciones de salida hacia el proceso a travs del SIS y de los criterios para la
operacin exitosa, los requisitos para el cierre hermtico de vlvulas, entre otros.
La relacin funcional entre las entradas y salidas del proceso, incluyendo las funciones lgicas,
matemticas y cualquier permisivo requerido representado en los diagramas lgicos o diagramas de
causa-efecto.
Los requisitos para el paro manual.
Los requisitos relativos a la desenergizacin para disparar. Las aplicaciones para el SIS aplicable para
Sistemas para Paro por Emergencia se deben disear en el modo desenergizar para disparar.
Los requisitos para restablecer el SIS despus de un paro.
El proveedor o contratista debe solicitar a PEMEX el criterio mnimo de la mxima tasa de disparos en
falso permitida.
Los modos de fallas y respuestas deseadas del SIS (alarmas, paros automticos, entre otros).
Los requisitos especficos relativos a los procedimientos para el arranque y restablecimiento arranque
del SIS.
Todas las interfaces entre el SIS y cualquier otro sistema [incluyendo el SCBP (BPCS) o SDMC y
operadores].
La descripcin de los modos de operacin de la instalacin (arranque automtico, manual, y
semiautomtico; estado estacionario, estado estacionario de no operacin, reestablecimiento, paro,
mantenimiento) e identificacin de las FIS (SIF) requeridas para operar dentro de cada modo.
Los requisitos de seguridad de los programas de aplicacin listados o enumerados en el 8.8.5 de esta
norma de referencia.
Requisitos para sobreponer/inhibir/desviar incluyendo como deben ser desactivados.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 31 DE 81

dd) La especificacin de cualquier accin requerida para lograr o mantener un estado seguro en el evento
de deteccin de fallas en el SIS. Cualquier accin se debe resolver tomando en cuenta todos los
factores humanos relevantes.
ee) El tiempo medio para reparacin factible para el SIS, tomando en cuenta el tiempo de transporte,
ubicacin, partes de repuesto, contratos de servicios y restricciones ambientales.
ff) La identificacin de las combinaciones peligrosas de los estados de salida del SIS que se requieren
evitar
gg) Se deben identificar todas las condiciones ambientales extremas a las que pueda estar sometido el SIS.
Esto puede requerir de las siguientes consideraciones: temperatura, humedad, contaminantes, puesta a
tierra, Interferencia Electromagntica/Interferencia por Radiofrecuencia - IEM/IRF, choque/vibracin,
descarga electrosttica, clasificacin de rea elctrica, inundacin, rayos y otros factores relacionados.
hh) Se deben Identificar en conjunto los modos normal y anormal de operacin para la instalacin (entre
otros, arranque de la instalacin) y un procedimiento individual operacional de la instalacin (entre otros,
mantenimiento de equipo, calibracin del sensor y/o reparacin). Se pueden requerir FIS (SIF)
adicionales para apoyar estos modos de operacin.
ii) La definicin de los requisitos para cualquier FIS (SIF) requerida para sobrevivir a un evento de
accidente importante, entre otros, tiempo requerido para que una vlvula permanezca operando en caso
de fuego.
8.6.9
La ERS de los programas, se deben derivar de la ERS indicados en 8.6 de esta norma de referencia y
de la arquitectura seleccionada del SIS.
8.6.10
Una vez terminada la ERS, esta se debe revisar por PEMEX. Una vez revisada la especificacin no
deben existir cambios a menos que estn debidamente justificados por el proveedor o contratista y revisados
por PEMEX. La especificacin debe llevar el registro del nmero de revisin correspondiente cuando se realicen
cambios durante el curso del proyecto.
8.7

Diseo e ingeniera del equipo del SIS

8.7.1

Diseo conceptual del SIS

El proveedor o contratista debe disear uno o ms SIS para procesar la(s) FISs (SIFs) y cumplir con el o los NIS
(SIL) objetivos. El proveedor o contratista debe definir las caractersticas tcnicas para la realizacin y
mantenimiento bajo estndares de los Sistemas Instrumentados de Seguridad SIS.
El proveedor o contratista debe desarrollar un diseo conceptual del SIS para verificar que se cumpla con los
requisitos de seguridad y de operacin del NIS (SIL). Debe seleccionar una tecnologa, configuracin
(arquitectura), intervalo de prueba conceptual, entre otros. Posteriormente debe proceder a la verificacin
cuantitativa para ver si el sistema propuesto cumple los requisitos de operacin.
El diseo de los SIS para sistemas de prevencin como los Sistemas de Paro por Emergencia debe estar
constituido por los siguientes elementos:
a)
b)
c)
d)

8.7.1.1

Elementos primarios (Sensores)


Resolvedor lgico
Elementos finales
Equipo Hardware, cuando aplique Programas Software adicionales requeridos para el correcto
funcionamiento del SIS
Requisitos generales

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 32 DE 81

8.7.1.1.1 El proveedor o contratista durante el diseo del SIS se debe apegar a la ERS, tomando en cuenta
todos los requisitos de 8.7 de esta norma de referencia.
8.7.1.1.2 El SIS debe incluir solamente FIS (SIF) y el EP debe ser de un nivel NIS (SIL) certificado (que cubra
el NIS (SIL) ms alto de cualquier FIS (SIF) que forme parte de este, considerando lo siguiente:
a)
b)

Las FIS (SIF) deben estar separadas de las funciones instrumentadas de no seguridad
La independencia significa, que ninguna falla en las funciones instrumentadas de no seguridad, ni en el
acceso programado a las funciones del programa de no seguridad deben causar una falla peligrosa en las
FIS (SIF)

8.7.1.1.3 Cuando se tengan FIS (SIF) de diferentes NIS (SIL), entonces el equipo y la programacin
compartidos o comunes del SIS deben cumplir con el NIS (SIL) ms alto a menos que se demuestre que las FIS
(SIF) del NIS (SIL) ms bajo no afectan negativamente a las FIS (SIF) de los NIS (SIL) ms altos.
8.7.1.1.4 Cualquier dispositivo usado para desempear parte de una FIS (SIF) no se debe usar para
propsitos del control bsico de proceso, a menos que se realice un anlisis para confirmar que el riesgo total
es aceptable.
8.7.1.2

Independencia del SIS con otros sistemas

El proveedor o contratista durante el diseo del SIS debe tomar en cuenta todos los aspectos de independencia
y dependencia entre el SIS y SCBP (BPCS) o SDMC, y el SIS y otras capas de proteccin.
8.7.1.2.1 El SCBP (BPCS) o SDMC se debe disear separado e independiente del SIS para no comprometer
la integridad funcional del SIS. La separacin puede ser idntica o diversa considerando el numeral 8.7.1.2.4:
a)
b)

La separacin idntica debe constar de dos o ms unidades o componentes idnticos e independientes


entre s.
La separacin diversa debe constar de dos o ms unidades o componentes diferentes (con diferente
tecnologa, configuracin, entre otros factores) e independientes entre s, adems este tipo de separacin
reduce la probabilidad de fallas sistemticas y fallas de causa comn.

8.7.1.2.2 La separacin entre el SCBP (BPCS) o SDMC o y SIS se debe considerar y evaluar para cumplir
con la funcionalidad de seguridad y los requisitos de integridad en los siguientes elementos:
a)
b)
c)
d)

Sensores
Elementos finales
Resolvedor lgico
Comunicacin entre SIS y el SCBP (BPCS) o SDMC u otro equipo

8.7.1.2.3 En los sensores de campo, para NIS (SIL) 1 y NIS (SIL) 2, se requiere la separacin idntica entre el
SCBP (BPCS) o SDMC y el SIS para alcanzar el NIS (SIL) objetivo y para NIS (SIL) 3, la separacin puede ser
idntica o diversa entre el SCBP (BPCS) o SDMC y el SIS, para cumplir con la integridad de seguridad
requerida.
8.7.1.2.4 En los elementos finales, para NIS (SIL) 1, se puede usar una sola vlvula para ambos sistemas
SCBP (BPCS) o SDMC y SIS, con la condicin de que la tasa de falla, cumpla los requisitos de integridad de
seguridad. El diseo debe asegurar que las acciones del SIS prevalezcan sobre las acciones del SCBP (BPCS)
o SDMC. La falla del elemento final del SCBP (BPCS) o SDMC no debe ser la causa del peligro que se
pretende prevenir con la FIS (SIF). Para NIS (SIL) 2, se requiere la separacin idntica entre SCBP (BPCS) o
SDMC y SIS, para cumplir el NIS (SIL) objetivo. El uso de una sola vlvula para SCBP (BPCS) o SDMC y SIS

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 33 DE 81

requiere un anlisis y revisin de seguridad, ya que de lo contrario puede no cumplirse la integridad de


seguridad requerida. Para NIS (SIL) 3, la separacin debe ser idntica o diversa entre el SCBP (BPCS) o SDMC
y SIS para alcanzar la integridad de seguridad requerida.
Se deben tomar en cuenta las siguientes consideraciones adicionales para determinar los requisitos de una
vlvula:
a)
b)
c)
d)

Los requisitos de cierre


La experiencia de confiabilidad con la vlvula
Los modos de falla de la vlvula
Procedimientos operativos que contribuyan a que la vlvula sea menos efectiva

8.7.1.2.5 En el procesador lgico EP, para NIS (SIL) 1, la separacin entre el SCBP (BPCS) o SDMC y SIS
debe ser idntica o diversa. Para NIS (SIL) 2, se requiere separacin diversa entre el SCBP (BPCS) o SDMC y
el SIS. Para NIS (SIL) 3, debe existir una separacin diversa entre el SCBP (BPCS) o SDMC y el SIS, para
cumplir con el NIS (SIL) objetivo.
8.7.1.3

La comunicacin entre el SCBP (BPCS) o SDMC, el Sistema de Gas y Fuego y el SIS

El proveedor o contratista para efectos de esta norma de referencia debe distinguir dos tipos de comunicacin
del SIS, interna y externa. La comunicacin interna debe estar formada por la red de control industrial y se da al
interior de los procesadores lgicos EP y est en funcin de la tecnologa con la que fueron construidos. La
comunicacin externa se debe considerar aquella que se lleva a cabo entre un SIS y uno o ms sistemas
independientes para efectuar intercambio de informacin de monitoreo (lectura) y de comandos de accin
(escritura), el proveedor o contratista debe verificar que esta comunicacin no debe comprometer el NIS (SIL)
del SIS, por lo que el diseo de esta comunicacin debe considerar los requisitos para comunicacin de datos
de cada FIS, de acuerdo con la serie IEC 61508
8.7.1.3.1 En algunos casos se requiere comunicacin entre el SIS y el SCBP (BPCS) o SDMC, esta debe ser
unidireccional con comunicacin nicamente del SIS hacia el SCBP (BPCS) o SDMC.
8.7.1.3.2 Las formas bsicas de comunicacin externa entre SCBP (BPCS) o SDMC, Sistema de Gas y Fuego
y el SIS aceptadas por esta norma de referencia son:
a)

b)

c)

d)

No debe existir comunicacin externa del SCBP (BPCS) o SDMC o Gas y Fuego para propsitos de
escritura hacia el SIS, la comunicacin entre estos sistemas nicamente puede ser para propsitos de
lectura.
La comunicacin a travs de una red de comunicaciones entre el SCBP (BPCS) o SDMC y el SIS, se
acepta para NIS (SIL) 1 y NIS (SIL) 2, pero el uso de este mtodo para NIS (SIL) 3 requiere del anlisis y
revisiones de seguridad adicionales y de certificacin de la red para ese propsito.
Slo lectura en la comunicacin externa del SIS al SCBP (BPCS) o SDMC. Este tipo de comunicacin es
aceptable para todos los NIS (SIL) siempre y cuando la revisin y el anlisis aseguren que no se
compromete a la FIS. Las medidas para proteccin de la escritura de la funcin de seguridad deben incluir:
Clave de acceso password para limitar el acceso a la escritura.
La aplicacin de la FIS (SIF) del SIS en memoria de solo lectura ROM Read Only Memory (Memoria
de Slo Lectura).
Comunicaciones externas lectura/escritura con proteccin a la escritura de la FIS (SIF). Este tipo de
comunicacin es aceptable para NIS (SIL) 1 y 2, pero el uso de este mtodo para NIS (SIL) 3 se requiere
de un anlisis y revisiones adicionales de seguridad. Las medidas para lograr proteccin a la escritura de la
FIS (SIF) deben incluir:
Un lmite de tiempo para acceder a la escritura.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

e)

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 34 DE 81

Un interruptor de los programas software, entre otros, una clave de acceso, para limitar el acceso
a la escritura.
Comunicacin externa de lectura/escritura con proteccin limitada o sin proteccin a la escritura de la FIS.
El Uso de este mtodo para NIS (SIL) 2 requiere anlisis y revisiones de seguridad adicionales. No se
debe usar este mtodo para NIS (SIL) 3

8.7.1.4
Sistema de Control Bsico de Proceso-SCBP. El proveedor o contratista debe minimizar la
probabilidad de que cualquier falla simple en el SCBP (BPCS) o SDMC lleve a una demanda del SIS. Todos los
modos de fallas previsibles deben ser identificados de modo que se consideren en el diseo del SIS.
En instalaciones de produccin se pueden implantar funciones de proteccin poco crticas (con base en el
anlisis y evaluacin de riesgos) en el SCBP (BPCS) o SDMC siempre que se cumpla que la integridad de
seguridad no sea tan elevada como para implantar un SIS.
8.7.1.5
Sistema de gas y fuego. Los Sistemas de Deteccin de Gas y Fuego y el SIS deben contemplar
arquitecturas independientes, sin embargo, debe existir comunicacin entre ellos. Estas requieren
consideraciones de prueba automtica, para permitir la deteccin de fallas internas del sistema; monitoreo en
lnea, tcnicas de votacin y diagnostico para asegurar que el sistema mantiene su disponibilidad para
desempear su funcin. En el caso del Sistema de Gas y Fuego la comunicacin digital con el SIS debe ser
solo lectura.
8.7.1.5.1 Durante el diseo del SIS se deben considerar los requisitos para la operacin, mantenimiento y
pruebas para facilitar la implementacin de los requisitos del factor humano en el diseo (instalaciones de
desvo para permitir pruebas en lnea y alarmar cuando est en desvo, entre otros).
8.7.1.5.2 El diseo del SIS debe tomar en cuenta las capacidades y limitaciones humanas y debe cumplir con
la tarea asignada para el personal de operacin y mantenimiento. El diseo de todas las IHM (HMI) debe seguir
las buenas prcticas de los factores humanos y debe considerar la capacitacin de los operadores.
8.7.1.5.3 El SIS debe ser diseado de tal forma que una vez que ha puesto el proceso en un estado seguro,
debe permanecer en el estado seguro hasta que se haya iniciado un restablecimiento a menos que se solicite
de otra manera en la ERS.
8.7.1.5.4 Se deben proporcionar medios manuales (entre otros, botones de paro de emergencia)
independientes de los resolvedores lgicos, para actuar los elementos finales del SIS cuando as se requiera en
los requisitos especficos de seguridad del proyecto.
8.7.1.6
Complejidad. Los sistemas se deben seleccionar y disear para minimizar la complejidad y deben
cumplir con esta norma de referencia, y la serie IEC 61508. Cada elemento del sistema se debe especificar bajo
normas de desempeo con la funcionalidad, integridad de seguridad y sobrevivencia requeridas, y no
simplemente al ms alto nivel de integridad alcanzable.
8.7.1.7
Concepto y principio de falla segura. El concepto de falla segura para plantas y equipos es llevar
al estado seguro el proceso en caso de falla del resolvedor lgico, sensores, elementos finales, fuentes de
alimentacin. Este requisito se debe realizar desenergizando para disparar las salidas del SIS.
8.7.1.7.1 Durante la operacin normal, con el proceso en condiciones seguras, las entradas de los sensores
de las variables de proceso, el resolvedor lgico, y salidas a los dispositivos de proteccin deben estar
energizados. El sistema debe interpretar el estado desenergizado de una entrada como una demanda y se
deben desenergizar las salidas requeridas para iniciar un paro seguro. Este diseo debe asegurar tambin un
paro seguro por prdida del suministro elctrico a las entradas del sistema, salidas o lgica del sistema.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 35 DE 81

8.7.1.7.2 Para aquellos subsistemas que a falla del suministro elctrico no vayan a un estado seguro, se
deben cumplir las acciones siguientes y las indicadas en el 8.7.2.1 de esta norma de referencia.
a)
b)
c)

Se debe detectar la prdida de integridad del circuito (monitoreo al final de la lnea, entre otros).
Se debe asegurar la integridad del suministro elctrico usando un suministro de energa confiable
proveniente de un sistema de fuerza ininterrumpible.
Se debe detectar la prdida de suministro de energa al subsistema.

8.7.1.7.3 En casos en donde no se aplique el concepto de falla segura por la naturaleza de la aplicacin y se
requiera energizar alguna salida para disparo a otro sistema (sistema de gas y fuego) se debe justificar y hacer
consideraciones a fin de cumplir la integridad de seguridad requerida.
8.7.1.7.4

Se debe aplicar el principio de falla segura para el SIS de la instalacin.

El proveedor o contratista debe documentar el tiempo en que el EP (PE) pueda operar en estado degradado sin
comprometer la funcin de seguridad.
8.7.1.8
Tasas de falla y modos de falla. El proveedor o contratista debe considerar en el diseo del SIS las
tasas de fallas reveladas y no reveladas y su implicacin. Al cuantificar la confiabilidad de un sistema se
requiere de valores dentro de un intervalo de confianza del 70 por ciento para las tasas de fallas de sus
componentes. Los datos se deben obtener a partir de registros de la instalacin o del sector industrial o fuentes
genricas o en base a opinin de expertos. La opinin de expertos certificados en seguridad funcional se debe
considerar para el anlisis de estos datos.
8.7.1.9
Integridad del sistema. Se refiere a la capacidad de dichos sistemas para operar bajo
circunstancias dadas y est relacionada con su confiabilidad y disponibilidad. El proveedor o contratista al
seleccionar y especificar un sistema debe considerar adems:
a)
b)
c)

Tasas de falla (reveladas y no reveladas)


Falla para actuar bajo demanda
Tiempo Medio de Reparacin Real MTTR

8.7.1.9.1 Se deben emplear intervalos de prueba y tiempos de reparacin en los anlisis de confiabilidad y
disponibilidad (PFDprom); en el caso de intervalos de prueba los tiempos utilizados en los clculos no deben ser
menores a seis meses ni mayor a dos aos y, para el caso de los tiempos de reparacin se debe utilizar en el
clculo un tiempo no menor a ocho horas.
8.7.1.9.2 Cuando no se disponga de informacin especfica de los equipos o sistemas de inters, los anlisis
de confiabilidad y disponibilidad se pueden basar en anlisis de tasas de falla de situaciones comparables o
clculos empleando mtodos de pronstico, como anlisis de rboles de fallas o AMFE (FMEA) y aplicando
informacin como la contenida en la base de datos OREDA u otras de entidades colegiadas.
8.7.1.9.3
sistema.

Para aplicaciones NIS (SIL) 3, se debe evitar que una falla simple pueda ocasionar la falla de todo el

8.7.1.9.4 Para cada FIS (SIF) se debe hacer un anlisis de confiabilidad y disponibilidad, y se debe
documentar formalmente para garantizar que se cumpla la integridad de seguridad requerida.
8.7.1.9.5
sistema.

Se deben considerar los efectos de las fallas de causa comn al calcular la integridad global del

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 36 DE 81

8.7.1.9.6 El proveedor o contratista debe proporcionar los certificados de cumplimiento conforme lo establece
la IEC-61508 emitido por TV, Exida, entre otros, de los elementos que componen al SIS. (Ver punto 8.7.2.4 de
esta norma de referencia).
8.7.1.10 Redundancia. El proveedor o contratista (diseador) debe determinar los requisitos de redundancia
para lograr el NIS (SIL) y PFDprom requerida de todos los componentes del SIS como son sensores,
resolvedores lgicos EP y elementos finales. La redundancia debe aplicar tanto en los componentes fsicos del
sistema como en los programas. Adems el proveedor o contratista debe considerar la Tolerancia a Fallos en
Equipo Hardware TFE (HFT), la fraccin de falla segura FFS (SFF), entre otros, ver 8.7.2.2.2 de esta norma
de referencia.
8.7.1.11 Fallas de causa comn. Pueden ser provocadas por un componente nico o por errores
sistemticos en los componentes redundantes. Las fallas de causa comn y los errores sistemticos se deben
reducir por el proveedor o contratista durante el proceso de diseo considerando lo siguiente:
a)
b)
c)
d)

Proporcionar al proveedor o contratista informacin especfica del proceso (cdigos, nmeros de modelo,
entre otros)
Verificacin
Separacin diversa/ idntica
Redundancia diversa/idntica

En algunos casos sistemas diferentes pueden compartir el mismo ambiente, cabina, operador, interfaz. Sin
embargo dichos sistemas deben contar con fuentes de energa y resolvedores lgicos entre otros separados
fsicamente para evitar fallas de causa comn y a la vez permitir pruebas de mantenimiento o modificaciones, lo
cul se debe considerar durante el diseo del sistema.
8.7.1.12 Consideraciones de diseo de programas software. El proveedor o contratista en el diseo de
un SIS debe considerar los siguientes tipos de programas:
a)
b)

Programas integrados
Programas de aplicacin

8.7.1.12.1 Programas integrados. Este tipo de programas deben ser parte del sistema proporcionado por el
proveedor o contratista y no pueden ser modificados por el usuario final.
El proveedor o contratista debe proporcionar los programas integrados (software integrado), los cuales deben
ser transparentes para la preparacin de programas de aplicacin. Adems debe proporcionar documentacin
que compruebe que:
a)
b)
c)
d)

Cuenta con un plan de calidad para los programas


Est definida la versin de los programas integrados
La versin de los programas integrados debe ser la misma para la etapa de configuracin, pruebas y
puesta en operacin
Se revisaron y analizaron todas las ampliaciones o arreglos a la funcionalidad de los programas integrados
contenidos en las nuevas versiones

8.7.1.12.2 Programas de aplicacin (software de aplicacin). Este tipo de programas deben contener la
lgica funcional del SIS en el procesador lgico electrnico programable, esto es las secuencias lgicas,
permisivos, lmites, expresiones, entre otros, que controlan las salidas, entradas, clculos, y decisiones
requeridas para alcanzar los requisitos funcionales de seguridad. El proveedor o contratista es el responsable
de proporcionar el programa de aplicacin que cumpla con todas las especificaciones de seguridad del sistema.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 37 DE 81

8.7.1.12.2.1
En el desarrollo del programa de aplicacin se debe emplear el diseo modular y debe incluir
mdulos para pruebas de diagnostico.
8.7.1.12.2.2
La herramienta de configuracin y los lenguajes de programacin deben ser certificados de
acuerdo con IEC 61508, para la aplicacin correspondiente. Dichos lenguajes deben estar de acuerdo con la
IEC-61131-3, entre otros:
a)
b)
c)
d)
e)
f)

Diagramas de escalera
Diagrama de bloques
Listado de instrucciones
Texto estructurado
Grfico
Textual

8.7.1.12.2.3 Se deben establecer patrones de programacin para fortalecer un estilo consistente entre el
equipo de diseo mediante la aplicacin de un plan de calidad de los programas. Para evitar complejidad
innecesaria y caractersticas que dificulten el pronstico del comportamiento del sistema, se debe considerar los
siguientes:
a)
b)

Los programas deben tener una estructura y un orden definido que garanticen la comprensin de todo lo
que ejecuta el programa en cualquier momento.
Cuando se apliquen secuencias anidadas, se debe minimizar el anidamiento.

8.7.1.12.2.4 Para verificar que el diseo de los programas de aplicacin cumplen con cada uno de los
requisitos establecidos en la ERS, el proveedor o contratista debe realizar:
a)
b)

Un anlisis que demuestre que cada uno de los requisitos de la ERS se han implementado en el diseo.
Una revisin conjunta con PEMEX de los diseos de las funciones crticas de seguridad.

8.7.1.12.2.5 Para confirmar que los programas de aplicacin cumplen con los requisitos establecidos en la
ERS bajo todas las condiciones operativas esperadas, el proveedor o contratista debe:
a)
b)
c)
d)

Desarrollar pruebas a los programas para someterlos a condiciones ms all de los lmites normales de los
datos, rdenes, entradas por teclado, y otras acciones
Desarrollar un mdulo de informe de errores y un mdulo que permita resolverlos
Desarrollar pruebas para los programas de aplicacin que permitan determinar su comportamiento en
presencia de fallas de los componentes fsicos hardware
Presentar documentacin que respalde cada uno de los puntos anteriores

8.7.1.13
Agentes externos. El procesador lgico EP se debe disear de modo que el equipo electrnico
debe tener inmunidad a la radiofrecuencia electromagntica, impacto, perturbaciones ambientales que impidan
su funcionamiento, entre otras, mismas que deben cumplir con la IEC 61131-2. Las medidas tomadas deben
verificar este requisito y se deben seleccionar de acuerdo a las consecuencias que se tendran si el equipo
fallara o presentara una degradacin en sus funciones, adems, el sistema no debe producir disturbios
electromagnticos que puedan interferir con la operacin de otros equipos.
8.7.1.13.1 El SIS se debe disear de tal forma que las funciones de proteccin se mantengan bajo todas las
condiciones climticas requeridas que existen en el lugar en que se instale el SIS. Adems de lo que
especifique particularmente PEMEX en su base de licitacin.
8.7.1.14 Arquitectura. Se debe indicar el arreglo e interconexiones de los componentes o mdulos del SIS.
La seleccin de sta es una actividad que se debe desarrollar durante el diseo del sistema. La arquitectura del

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 38 DE 81

SIS tiene un impacto directo en su integridad global de seguridad, influenciando asimismo en su confiabilidad.
El proveedor o contratista durante la seleccin de la arquitectura del SIS debe incluir las siguientes etapas:
a)
b)
c)
d)
e)

Seleccin de diseo energizado o desenergizado para disparo


Seleccin de redundancia idntica o diversa para los sensores, resolvedores lgicos y elementos finales
del SIS
Seleccin de redundancia para las fuentes de potencia y de suministro de energa al SIS
Seleccin de los componentes de la interfaz con el operador
Seleccin de las interfaces de comunicacin entre el SIS y otros subsistemas

8.7.2
8.7.2.1

Diseo detallado del SIS


Requisitos para el comportamiento del sistema en la deteccin de un fallo

8.7.2.1.1 Las fallas no reveladas en el sistema obstruyen su efectividad en seguridad. El proveedor o


contratista debe tomar acciones para eliminar estos modos de falla sobre el diseo o en su caso se debe aplicar
un mtodo de pruebas que permita revelar dichas fallas.
8.7.2.1.2 La deteccin de un fallo peligroso (mediante prueba de diagnstico, prueba rigurosa o por cualquier
otro medio) en cualquier subsistema debe tolerar un fallo de equipo cumpliendo lo siguiente:
a)
b)

Lograr o mantener un estado seguro.


Una operacin segura continua del proceso mientras la parte daada es reparada. Si la reparacin de la
parte daada no se termina dentro del MTTR asumida se debe realizar una accin especfica para lograr o
mantener el estado seguro.

8.7.2.1.3 La deteccin de un fallo peligroso (por prueba de diagnstico, prueba rigurosa o por cualquier otro
medio) en cualquier subsistema sin tener redundancia y en el cual una FIS (SIF) es completamente
dependiente, en el caso que el subsistema se use solamente para FIS (SIF) operando en modo bajo demanda,
debe resultar en:
a)
b)

Una accin especfica para lograr o mantener un estado seguro; o.


Reparar el subsistema daado dentro del periodo de MTTR asumido en el clculo de probabilidad de fallas
aleatorias del equipo. Durante este tiempo la seguridad perseverante del proceso se debe reforzar por
medidas y restricciones adicionales. La reduccin de riesgo proporcionado por estas medidas y
restricciones debe ser al menos igual a la reduccin proporcionada por el SIS en la ausencia de cualquier
falla. Las medidas y restricciones adicionales se deben especificar en los procedimientos de operacin y
mantenimiento del SIS. La reparacin se debe llevar dentro del tiempo medio para reparacin especificado
para alcanzar o mantener un estado seguro.

8.7.2.1.4 La deteccin de un fallo peligroso (por prueba de diagnstico, prueba rigurosa o por cualquier otro
medio) en cualquier subsistema sin redundancia y en el cual una FIS (SIF) es completamente dependiente, en
el caso que el subsistema se use solamente para FIS (SIF) operando en modo continuo, debe resultar en una
accin especfica para alcanzar o mantener un estado seguro.
El proveedor o contratista debe especificar en la ERS la accin especfica (reaccin al fallo) requerida para
alcanzar o mantener un estado seguro. Esto puede consistir, del paro seguro del proceso, o esa parte del
proceso del cual depende, para la reduccin del riesgo, en el subsistema daado, u otra planeacin de la
mitigacin especificada. El tiempo total para detectar el fallo y ejecutar la accin debe ser menor que el tiempo
para que ocurra el evento peligroso.
8.7.2.1.5 Cuando las acciones especficas para lograr o mantener el estado seguro en cualquier subsistema
(que tolere un fallo, sin redundancia en el cual la FIS (SIF) es completamente dependiente operando en modo

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 39 DE 81

bajo demanda o continuo), dependen de un operador en respuesta a una alarma (abriendo o cerrando una
vlvula, entre otras), la alarma se debe considerar parte del SIS independiente del SCBP (BPCS) o SDMC.
8.7.2.1.6 Cuando las acciones especficas para lograr o mantener el estado seguro en cualquier subsistema
(que tolere un fallo, sin redundancia en el cual la FIS (SIF) es completamente dependiente operando en modo
bajo demanda o continuo), dependen de un operador notificando mantenimiento para reparar un fallo del
sistema en respuesta a una alarma de diagnstico, esta alarma de diagnostico debe ser parte de un SCBP
(BPCS) o SDMC pero debe ser sujeta a una prueba rigurosa y a la administracin del cambio junto con el resto
del SIS.
8.7.2.2

Requisitos para el equipo tolerante a fallos

8.7.2.2.1 Para FIS (SIF), los sensores, resolvedores lgicos y los elementos finales deben tener un mnimo de
equipo tolerante a fallos.
8.7.2.2.2 Para los procesadores lgicos EP, la mnima tolerancia a fallos de equipo hardware debe ser como
se muestra en la Tabla 4 de esta norma de referencia.
Mnima tolerancia a fallos de equipo hardware
FFS < 60 por ciento
FFS 60 a 90 por ciento
FFS > 90 por ciento

NIS (SIL)
1
2
3

1
2
3

0
1
2

0
0
1

Tabla 4. Mnima tolerancia a fallos en equipo de los Procesadores Lgicos EP


8.7.2.2.3 Para todos los subsistemas (sensores, elementos finales y resolvedores lgicos no electrnicos
programables, entre otros) excepto los procesadores lgicos EP, la tolerancia mnima a fallos en el equipo debe
ser como se indica en la Tabla 5 de esta norma de referencia, de tal manera que el modo de falla dominante
sea para el estado seguro o que las fallas peligrosas sean detectadas (ver 8.7.2.1 de esta norma de referencia),
de otra forma la tolerancia a fallo debe ser incrementada por uno (ver 8.7.2.2.5 de esta norma de referencia).
8.7.2.2.4 Para todos los subsistemas (sensor, elementos finales y resolvedores lgicos, entre otros)
excluyendo procesadores lgicos EP la tolerancia mnima a fallo especificada en la tabla 5 de esta norma de
referencia, se puede reducir en uno si los dispositivos usados cumplen con todo lo siguiente:
a)
b)
c)
d)

El equipo del dispositivo se selecciona sobre la base de uso previo


El dispositivo permite ajustes nicamente de los parmetros del proceso, entre otros, rango de medicin,
direccin de falla escala hacia arriba o hacia abajo
El ajuste de los parmetros relacionados con el proceso se encuentra protegido, entre otros de puentes,
con clave de acceso
La funcin tiene un requisito de NIS (SIL) de menos de 4
NIS (SIL)

Tolerancia mnima a fallo de equipo hardware


(ver 8.7.2.2.3 y 8.7.2.2.4 de esta norma de referencia)

Tabla 5. Tolerancia mnima a fallo de equipo de los sensores y elementos finales y resolvedores lgicos no-EP

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 40 DE 81

8.7.2.2.5 En el caso de que el valor de la tolerancia mnima a fallo en equipo calculada con las tablas 4 y 5 de
esta norma de referencia, sea menor que las calculadas en las tablas 2 y 3 de la IEC 61508-2, debe prevalecer
la IEC 61508-2 . Por lo tanto el proveedor o contratista debe efectuar y entregar a PEMEX los dos clculos.
8.7.2.3

Requisitos para la seleccin de componentes y subsistemas

El proveedor o contratista debe especificar los requisitos para la seleccin, integracin y los criterios de
aceptacin de componentes o subsistemas que se deben usar como parte de las FIS (SIF) de un SIS.
8.7.2.3.1

Requisitos generales

8.7.2.3.1.1 Los componentes y subsistemas seleccionados para uso como parte de un SIS para aplicaciones
NIS (SIL) 1 a NIS (SIL) 3 deben cumplir con IEC 61508-2 y IEC 61508-3, o tambin deben estar de acuerdo con
8.7.2.2, 8.7.2.3.2 al 8.7.2.3.5 de esta norma de referencia.
8.7.2.3.1.2 Los componentes y subsistemas seleccionados deben demostrar su conveniencia de uso a travs
de la documentacin del fabricante del equipo y los programas embebidos.
8.7.2.3.1.3 Los componentes y subsistemas deben ser consistentes con la ERS del SIS.
8.7.2.3.1.4 Diversidad. Se debe emplear para evitar que ocurran fallas de causa comn, ya que el empleo de
la misma tecnologa en los elementos fsicos hardware o programas software puede producir fallas de causa
comn. En aplicaciones SIS la diversidad se debe aplicar en elementos redundantes, slo si esta es requerida
para alcanzar los requisitos de integridad de seguridad.
En el diseo de un SIS se debe considerar la diversidad al momento de seleccionar elementos fsicos
hardware, programas software de aplicacin y utilitarios.
En el caso de los elementos fsicos para implementar diversidad se debe emplear:
a)
b)
c)

Tecnologa diferente
Componentes de fabricantes o vendedores diferentes
Productos diferentes del mismo fabricante

En el caso de programas software la diversidad debe considerar lo siguiente:


a)
b)
c)
d)
e)
f)
g)

Programacin de aplicaciones por diferentes programadores


Empleo de algoritmos diferentes
Empleo de tipos de datos, estructuras de datos y tcnicas de almacenamiento de informacin diferentes
Empleo de subrutinas de manejo de excepciones y/o errores diferentes
En el caso de emplear libreras y subrutinas ya codificadas, se deben utilizar al menos dos libreras y
subrutinas que realicen la misma funcin con diferente cdigo
Rutinas con cambio del orden de operaciones aritmticas en conversiones y operaciones
Rutinas con cambio en la secuencia de operaciones entrada y salida de informacin E/S, (I/O)

8.7.2.3.1.5 Procesador lgico EP. El proveedor o contratista debe disear e integrar el procesador lgico EP
de acuerdo a lo solicitado por esta norma de referencia y cumplir con el NIS (SIL) correspondiente.
Caractersticas mnimas a cumplir por el EP:
Debe estar diseado conforme al concepto y principio de falla segura; en caso de prdida de energa o bien
cuando falla el sistema o alguno de sus componentes clave.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 41 DE 81

El procesador lgico EP y sus mdulos deben contar con autodiagnstico. La lgica interna de cada procesador
lgico EP debe tener incorporadas rutinas de autodiagnsticos y de prueba automtica en lnea, y deteccin de
fallas para determinar el estado de cada mdulo o del subconjunto que est dentro del sistema. La unidad de
control debe funcionar de acuerdo a los parmetros climticos propios del sitio de instalacin, ser resistente a
los golpes, vibracin, descargas electrostticas, surge elctrico e interferencia electromagntica y
radiofrecuencia.
El procesador lgico EP debe cumplir por si solo ntegramente con la serie IEC-61508 y contar con la
certificacin correspondiente para aplicaciones en el nivel de integridad requerido, adems la configuracin y el
software debe contar con caractersticas de seguridad a travs de una llave fsica que asegure la integridad de
la configuracin.
La unidad de control debe permitir mantenimiento en lnea sin perder la proteccin. Los diagnsticos en lnea
deben identificar, localizar y reportar las siguientes fallas:
a)
b)
c)
d)
e)

Permanentes en las cules un componente del sistema o algn mdulo sufre una falla irreversible
Temporales al azar en los cules los defectos sucesivos estn interrelacionados
Intermitentes donde aparecen funcionamientos defectuosos con algn grado de periodicidad
De circuitos con deteccin de fallas
De memoria, todas las funciones RAM - Random Access Memory (Memoria de Acceso Aleatorio) y ROM - Read
Only Memory (Memoria de Slo Lectura)
f) De procesador lgico EP
g) De comunicacin
h) De direccionamiento e interfaz de entrada y salida
i)
De mdulo de entrada y salida
j)
De suministro de energa
k) Problemas de sensor de campo (donde aplique)
l)
Circuitos de E/S (entradas/salidas) (I/O) abiertos o en corto circuito
m) Alambres desconectados, bobinas de rel, contactos, terminales y fusibles de E/S (I/O) abiertos
El proveedor o contratista debe suministrar los manuales de instalacin, programacin, operacin y
mantenimiento del equipo propuesto, en idioma espaol.
La unidad de control programable debe contar con memoria con capacidad de almacenamiento de datos para la
captura de secuencia de eventos, la cual debe mantenerse ntegra an en el caso de falla de energa; la
memoria del programa debe ser del tipo no voltil o respaldada por batera. Se deben suministrar los medios
para tener acceso local a la informacin contenida en este elemento de memoria y direccionar esta base de
datos de eventos a un nivel superior de un sistema informtico, si ste existe, a indicacin de PEMEX, bajo las
caractersticas de compatibilidad total (protocolo de comunicacin, interfaz humano mquina y dems
caractersticas del sistema informtico).
El procesador lgico EP debe contar con los mdulos de entrada/salida para recibir y transmitir las seales
analgicas y discretas de/hacia los dispositivos de campo, que conformen el sistema.
Se puede aplicar cualquier tecnologa para desvos de entradas debiendo el proveedor o contratista soportar
sus procedimientos de acuerdo a lo indicado en el manual de seguridad Safety manual del procesador EP.
En caso de falla de un canal o mdulo de entrada/salida del dispositivo, el procesador lgico EP debe tener la
capacidad de detectar la falla y mostrarla, alarmando por medio de un diodo emisor de luz en el frente del
mdulo en falla, as como en la interfase humano maquina.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 42 DE 81

Los mdulos de entrada/salida deben contar con los siguientes diagnsticos y protecciones por canal:
diagnstico y proteccin de corto circuito y/o sobrecorriente y diagnstico de circuito abierto.
Todos los mdulos de entrada/salida del procesador lgico EP deben permitir ser reemplazados en lnea sin
interrumpir la energa elctrica y sin requerir herramientas especiales; el reemplazo debe comprender la
configuracin automtica sin que cause interrupcin o disturbios en el monitoreo, lgica y actuacin del
sistema.
En el caso de requerirse, los contactos de salida del sistema lgico deben estar normalmente cerrados.
Es responsabilidad del proveedor o contratista proporcionar datos de MTTF del procesador lgico EP, tasa de
fallas del procesador lgico EP, el listado de los modos de fallas no reveladas y la frecuencia con que ocurren
fallas identificadas, tiempo medio entre disparos en falso (MTTFs), as como especificar el mtodo usado y la
fuente de dichos datos.
8.7.2.3.2

Requisitos para la seleccin de componentes y subsistemas basados en el uso previo

8.7.2.3.2.1 El proveedor o contratista debe tener disponible la evidencia de que los componentes y
subsistemas son los requeridos para su uso en el SIS.
8.7.2.3.2.2 La evidencia de la aplicabilidad debe incluir lo siguiente:
a)
b)
c)
d)

Consideracin de la calidad y la administracin de la configuracin de los fabricantes de los sistemas


Identificacin y especificacin de los componentes o subsistemas
Demostracin del desempeo de los componentes o subsistemas en perfiles operativos y ambientes
fsicos similares
El volumen de la experiencia operativa

8.7.2.3.3
Requisitos para la seleccin de componentes y subsistemas programables con LFP (FPL)
(entre otros, dispositivos de campo) basados en el uso previo
8.7.2.3.3.1 Aplican los requisitos generales, para la seleccin de componentes y subsistemas basados en el
uso previo de 8.7.2.3.1 y 8.7.2.3.2 de esta norma de referencia.
8.7.2.3.3.2 Se debe identificar la aplicabilidad de las caractersticas no usadas de los componentes y
subsistemas, y se debe establecer la improbabilidad de poner en peligro las FIS (SIF) requeridas.
8.7.2.3.3.3 Se debe considerar la configuracin especfica y el perfil operacional del equipo y de los programas
y la evidencia de la aplicabilidad considerando las:
a)
b)
c)
d)

Caractersticas de las seales de entrada y salida


Modos de uso
Funciones y configuraciones usadas
Uso previo en aplicaciones y ambientes fsicos similares

8.7.2.3.3.4 Para aplicaciones con NIS (SIL) 3, se debe realizar una evaluacin formal de acuerdo con 8.1.1.6.1
Evaluacin de seguridad funcional, de esta norma de referencia, del dispositivo del LFP (FPL) para demostrar
que:
a)
b)

Los dispositivos con LFP (FPL) tienen una baja probabilidad de que fallen provocando un evento peligroso
en el SIS, debido a las fallas aleatorias del equipo o a fallas sistemticas en el equipo o programas
Cumplen con las normas para equipo y programas conforme a la serie IEC 61508

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
c)

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 43 DE 81

El dispositivo con LFP (FPL) ha sido usado o probado en configuraciones representativas de los perfiles
operacionales requeridos

8.7.2.3.3.5 Para aplicaciones con NIS (SIL) 3 se debe tener disponible un manual de seguridad incluyendo las
restricciones para la operacin, mantenimiento y deteccin de fallas cubriendo las configuraciones tpicas del
dispositivo de LFP (FPL) y los perfiles operacionales previstos.
8.7.2.3.4
Requisitos para la seleccin de los componentes y subsistemas programables con LVL
(entre otros, procesadores lgicos EP) basados en un uso previo
8.7.2.3.4.1 Los siguientes requisitos se deben aplicar solo a los procesadores lgicos electrnicos
programables usados en SIS para FIS (SIF) con NIS (SIL) 1 o NIS (SIL) 2
8.7.2.3.4.2 Aplican los requisitos de 8.7.2.3.3 de esta norma de referencia.
8.7.2.3.4.3 Cuando exista alguna diferencia entre los perfiles operacionales y los ambientes fsicos de un
componente o un subsistema segn previa experiencia, y son utilizados dentro del FIS (SIF) entonces se debe
identificar cualesquier diferencia y realizar una evaluacin basada en anlisis y prueba para demostrar que la
probabilidad de fallas sistemticas es baja cuando es usado en el SIS.
8.7.2.3.4.4 La experiencia operacional debe tomar en cuenta:
a)
b)

El NIS (SIL) de la FIS (SIF)


La complejidad y funcionalidad de componente o subsistema

8.7.2.3.4.5 Para aplicaciones con NIS (SIL) 1 o 2, se debe usar un procesador lgico EP configurado para
seguridad, y debe cumplir con lo siguiente:
a)
b)
c)
d)

Conocer los modos de falla insegura


Usar tcnicas para la configuracin de la seguridad que tratan los modos de falla identificados
Con programas embebido con un buen historial en aplicaciones de seguridad
Debe tener proteccin contra modificaciones no autorizadas o involuntarias

8.7.2.3.4.6 Se debe llevar a cabo una evaluacin formal del procesador lgico EP usado en una aplicacin con
NIS (SIL) 2 de acuerdo con 8.1.1.6.1, de esta norma de referencia, para demostrar que:
a)

b)

Es capaz de desempear las funciones requeridas y que el uso previo ha mostrado que hay baja
probabilidad de que este falle en un modo el cul podra conducir a un evento peligroso cuando sea usado
como parte del SIS, debido a las fallas aleatorias del equipo o a los fallos sistemticos en el equipo o
programas.
Se deben implementar las medidas para detectar los fallos durante la ejecucin del programa e iniciar las
siguientes:
Monitoreo de la secuencia del programa
Proteccin de cdigo contra modificaciones o la deteccin de falla por monitoreo en lnea
Afirmacin de la falla o programacin diversa
Verificar el rango de las variables o comprobar la credibilidad de los valores
Enfoque modular
Usar normas de codificacin para los programas embebidos y de utileras
Este ha sido probado en configuraciones tpicas, con casos de prueba representativos de los perfiles
operacionales previstos
Han sido usados mdulos y componentes que han sido verificados
El sistema ha sido objeto de un anlisis dinmico y pruebas

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 44 DE 81

El sistema no usa inteligencia artificial ni reconfiguracin dinmica


Se han realizado pruebas documentadas de insercin de fallos
8.7.2.3.4.7 Para aplicaciones con NIS (SIL) 2 se debe tener disponible un manual de seguridad incluyendo las
restricciones para la operacin, mantenimiento y la deteccin de fallos para cubrir las configuraciones tpicas del
procesador lgico EP y los perfiles operacionales previstos.
8.7.2.3.5
Requisitos para la seleccin de los componentes y subsistemas programables con LVC
(FVL) (procesadores lgicos EP, entre otros)
8.7.2.3.5.1 Cuando las aplicaciones son programadas usando un LVC (FVL), el procesador lgico EP debe
cumplir con IEC 61508-2 y IEC 61508-3
8.7.2.4

Dispositivos de campo

En caso de requerirse algn componente (relevadores, barreras de seguridad intrnseca, aisladores galvnicos,
arrancadores) adicional al sensor o al elemento final en la FIS (SIF), este debe cumplir con el nivel NIS (SIL)
requerido.
8.7.2.4.1
El proveedor o contratista debe seleccionar e instalar los dispositivos de campo para reducir al
mnimo las fallas que pueden resultar en informacin inexacta debido a las condiciones que presentan el
proceso, las condiciones ambientales, la corrosin, congelamiento de fluidos en las tuberas, slidos en
suspensin, polimerizacin, temperaturas y presiones extremas, entre otras, si as lo especifica PEMEX en sus
bases de licitacin.
8.7.2.4.2
Los circuitos discretos de entrada/salida que se requieren energizar para disparar deben asegurar
la integridad al circuito.
8.7.2.4.3
Cada dispositivo de campo individual debe tener su propio alambrado dedicado de entrada/salida
del SIS, excepto en los siguientes casos:
a)
b)

c)

Cuando los mltiples sensores discretos se conectan en serie hacia una entrada sencilla y todos los
sensores monitorean la misma condicin de proceso (sobrecargas del motor, entre otros).
Cuando se utilice un canal de comunicacin bus digital que cumpla con el desempeo de seguridad y los
requisitos de integridad del FIS (SIF) y tenga una certificacin emitida por TV para el NIS (SIL)
correspondiente conforme lo establece la IEC 61508
Cuando mltiples elementos finales estn conectados a una nica salida. Para dos vlvulas conectadas a
una nica salida, ambas vlvulas requieren cambiar de estado al mismo tiempo para todas las FIS (SIF)
que utilicen este mismo par de vlvulas.

8.7.2.4.4
Los dispositivos de campo localizados en el proceso, pertenecientes a los SIS se deben identificar
de acuerdo con la P.2.0401.02 con etiquetas o rtulos permanentes que los diferencie de los otros dispositivos
de campo de otros sistemas [SCBP (BPCS) o SDMC o sistema de gas y fuego].
8.7.2.4.5

Sensores. Cuando se especifique sensores inteligentes estos deben cumplir con lo siguiente:

8.7.2.4.5.1 Los sensores inteligentes deben estar protegidos contra escritura para prevenir la modificacin
inadvertida desde una posicin remota, a menos que la revisin de la seguridad permita el uso de
lectura/escritura. La revisin debe considerar los factores humanos tales como falla al seguir los
procedimientos.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 45 DE 81

8.7.2.4.5.2 Cuando se usen sensores del tipo inteligentes, se deben establecer los procedimientos que
aseguren el correcto uso del modo de salida forzada y que nunca se dejen en ese mismo modo de manera
permanente, as como tambin se deben de establecer procedimientos para realizar cambios en la
configuracin/calibracin de dichos transmisores con el uso de claves de acceso.
8.7.2.4.5.3 Los requisitos generales para operacin a falla segura que se deben cumplir en los sensores son:
a)
b)
c)
d)

e)

Durante una operacin normal de proceso los contactos de los sensores deben estar cerrados y
energizados.
En el caso de falla de energa, las seales de los transmisores deben ir a un estado seguro.
En el caso de usar transmisores electrnicos de 4-20 mA, se deben configurar de tal forma que se pueda
aprovechar la seal de fuera de rango que normalmente ofrecen los transmisores.
Cuando se requieran ms de dos sensores, el proveedor o contratista debe realizar conexiones separadas
a proceso para cada sensor, las seales de entrada al procesador lgico EP las debe hacer en mdulos de
entrada diferentes (separados) o un mdulo de entrada analgica que garantice la reduccin de fallas de
causa comn y cumpla con el nivel de la integridad requerida.
En el caso de sensores del tipo interruptores, el proveedor o contratista debe llevar a cabo los arreglos y
clculos requeridos para realizar la supervisin de los lazos correspondientes a estos sensores, la
supervisin debe proveer la siguiente informacin: interruptor activado, interruptor desactivado, circuito
abierto y corto circuito.

8.7.2.4.6
Vlvulas. Las vlvulas de bloqueo de emergencia (de corte o cierre) se deben seleccionar de
acuerdo a las condiciones especficas del proceso y la funcin deseada y deben cumplir con los requisitos
tcnicos y documentales de la NRF-204-PEMEX-2008 y para la prueba de carrera parcial PEMEX indicar alguno
de los mtodos indicados en la ANSI/ISA-TR96.05.01-2008 o equivalente. El proveedor o contratista debe
asegurar que sean bridadas e instaladas de tal forma que cada brida de la vlvula sea conectada a la contrabrida
de tubera correspondiente, evitando as la presencia de esprragos que vayan de lado a lado de la vlvula.
8.7.2.4.6.1 Otros factores a considerar son los requisitos de corte, la experiencia que se tenga con las
vlvulas, modos de falla de la vlvula, procedimientos operativos que disminuyan su efectividad, requisitos de
pruebas, requisitos de diagnostico, requisitos de indicadores de posicin o interruptores de posicin, entre otros.
Estos factores junto con: la tasa de fallas, el material del cual esta fabricada, entre otros deben ser claramente
documentados.
8.7.2.4.6.2 Las vlvulas se deben llevar a una posicin segura en caso de falla de suministro de energa.
8.7.2.4.6.3 Cuando aplique y de acuerdo al diseo en particular de ciertas instalaciones se requiera contar con
vlvulas de desvo y de bloqueo, sobre todo en aquellas vlvulas del SIS que cierran a falla de aire/energa y
que en otras ocasiones al probarse en lnea han causado serios problemas operacionales, se requiere proveer
a la vlvula del SIS slo con bloqueos (entre otros, en vlvulas que a falla abren). En los casos donde se
requiera contar con desvo y bloqueos, se debe considerar la instalacin de dos vlvulas de purga/venteo
(dependiendo del servicio en la lnea) instaladas entre las vlvulas de bloqueo corriente arriba y corriente abajo
de la vlvula del SIS, en este caso, se deben usar interruptores de posicin que alarmen en el cuarto de control
del SIS cuando la vlvula de desvo sea abierta o cuando alguna de las vlvulas de bloqueo sean cerradas. Las
vlvulas de desvo by pass y de bloqueo deben ser mecnicamente enclavadas a fin de evitar que las vlvulas
de corte del SIS puedan ser desviadas o bloqueadas respectivamente de forma inadvertida.
8.7.2.4.6.4 Cuando se requieran ms de dos vlvulas, el proveedor o contratista debe realizar conexiones a
proceso y elctricas separadas e independientes para cada vlvula (ya sea que se requieran dos vlvulas para el
SIS o una para el SIS y otra para el SCBP (BPCS) o SDMC, las seales de salida del procesador lgico EP deben
ser de mdulos de salida separados o un modulo de salida que garantice la reduccin de fallas de causa comn.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 46 DE 81

8.7.2.4.6.5 Actuadores. Deben contar con un indicador local que muestre la posicin de la vlvula. En caso
de prdida de seal o suministro de aire la vlvula debe tomar una posicin segura y emitir una seal de
alarma.
Dependiendo del NIS (SIL) se debe determinar el empleo de actuadores sencillos de retorno por resorte o
actuadores de doble accin operados neumtica o hidrulicamente, o bien actuadores hidrulicos, de acuerdo
con la NRF-152-PEMEX-2006
8.7.2.4.6.6 Materiales. El proveedor o contratista debe garantizar que los materiales de los dispositivos de
campo suministrados cumplan con lo especificado en el diseo en cuanto a resistencia al medio de proceso, las
condiciones de operacin, el tiempo de vida y el estrs mecnico que acompaa a la operacin requerida y
deben cumplir con la NRF-204-PEMEX-2008 y en caso de que el diseo lo requiera debe cumplir con los
requisitos de sobrevivencia.
8.7.2.4.6.7 Diagnstico de vlvulas. Se debe introducir cobertura de diagnstico para cumplir con el criterio
de confiabilidad y con el propsito de incrementar los intervalos de prueba. El diagnstico asociado a vlvulas
debe considerar dos condiciones establecidas: operacin normal y diagnstico activo.
El diagnstico de la vlvula durante operacin normal debe considerar pruebas en lnea, el uso de alarmas en
caso de que la vlvula cambie de estado sin una seal lgica, entre otros.
Para el diagnstico activo de la vlvula se deben instalar transmisores de posicin o interruptores de lmite para
retroalimentar al procesador lgico EP indicando si la vlvula oper correcta o incorrectamente, adems se
debe llevar a cabo considerando la secuencia del paro de emergencia.
8.7.2.4.6.8 Panel de control local de vlvulas. Para funciones de seguridad crticas en caso de requerirse un
panel de control local de vlvulas, el acceso a ste, debe restringirse a fin de evitar el accionamiento inadvertido
o no autorizado de las vlvulas.
8.7.2.4.6.9 Vlvulas solenoides. Deben cumplir con los siguientes requisitos:
a)
b)
c)

d)

e)
f)

El arreglo de las vlvulas solenoides debe cumplir con el NIS (SIL) requerido para cada FIS (SIF).
Estas vlvulas solenoides deben ser de accionamiento para estado seguro, es decir, no se permiten
mecanismos de accionamiento manual.
La instalacin o montaje debe asegurar la posicin con respecto al concepto de falla segura de la vlvula
solenoide, cuando est operando en lnea en un servicio crtico o cuando forme parte del accionamiento
del elemento final.
Cuando las vlvulas solenoides se instalen dentro de un gabinete, ste debe estar protegido con
recubrimiento a prueba de fuego por un tiempo de 30 minutos. La instalacin del recubrimiento a prueba de
fuego no debe propiciar el deterioro prematuro de la vlvula solenoide por deficiente disipacin de calor.
Su construccin debe evitar problemas de atoramiento o taponamiento de la vlvula, que pongan en riesgo
el elemento final.
Las vlvulas solenoides deben ser capaces de soportar altas temperaturas incluyendo el calor generado
por su misma operacin, as como la radiacin calorfica proveniente de hornos de calentamiento, entre
otros.

8.7.2.4.6.10
Cableado y transmisin de seales de control electrnicas del SIS. El diseo e instalacin
del cableado de las seales de campo al resolvedor lgico pertenecientes al SIS, debe tomar en cuenta los
requisitos tcnicos indicados del 4 al 19 del API RP 552 o equivalente.
No se debe compartir un mismo tubo conduit para instalar cables del SIS junto con cables de control de
proceso SCBP (BPCS) o SDMC o del sistema de gas y fuego. El nmero de conductores elctricos en un tubo

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 47 DE 81

conduit debe cumplir con el factor de relleno indicado en la tabla 10-1 del captulo 10 de la NOM-001-SEDE2005, segn el tamao nominal del tubo conduit que aparece en la tabla 10-4 del captulo 10 de la NOM-001SEDE-2005.
Se debe evitar que las rutas de cables pasen por reas de alto riesgo o vulnerables. En casos inevitables se
requiere previa autorizacin de PEMEX.
8.7.2.4.6.11 Proteccin por fuego, onda expansiva, cada de objetos u otros. Cuando se haya
especificado (en la ERS) algn requisito de sobrevivencia, la instrumentacin y componentes involucrados tales
como, actuadores, cables y cualquier otro dispositivo que formen parte del SIS se deben especificar con las
respectivas protecciones contra fuego, onda de choque, fenmenos meteorolgicos y por cada de objetos
sobre ellos.
8.7.2.4.6.12 Consideraciones ambientales. En la seleccin de los dispositivos que conforman el SIS se
deben fijar los requisitos concernientes a calor, escarcha por heladas, protecciones por ingreso de agua
contraincendio (agua tratada, de mar, cruda, entre otros) y/o por ingreso de otros medios de extincin de fuego.
Los dispositivos elctricos se deben seleccionar para cumplir con la clasificacin de reas peligrosas conforme
lo establece el numeral 8.2 de la NRF-036-PEMEX-2003 y ser consistentes con la filosofa o lineamientos de
seguridad de la instalacin.
8.7.2.5
a)
b)
c)

Interfaces. Las Interfaces Humano Mquina IHM (HMI) y de comunicacin al SIS deben incluir las:

Interfaces del operador


Interfaces de ingeniera/mantenimiento
Interfaces de comunicacin

8.7.2.5.1

Requisitos de la interfaz del operador

8.7.2.5.1.1 La interfaz del operador sirve para comunicar informacin al operador tal como una accin de paro
a tomar, diagnstico del sistema (sensor, procesador lgico EP, estado del elemento final), prdida de energa
que impacte la seguridad, entre otros. La operacin del sistema sin embargo, no debe depender de la interfaz,
ya que no siempre puede estar funcionando o estar disponible.
8.7.2.5.1.2 Cuando la interfaz del operador del SIS se realiza va la interfaz de operador del SCBP (BPCS) o
SDMC, se debe tomar en cuenta las fallas que pueden ocurrir en la interfaz de operador del SCBP (BPCS) o
SDMC.
8.7.2.5.1.3 En el diseo se debe tomar en cuenta las fallas de la interfaz del operador del SIS, dando los
medios como alternativas para que el operador lleve al proceso a un estado seguro y que las funciones
automticas del SIS no estn comprometidas. PEMEX debe definir con base en sus necesidades si la interfaz
del SIS es independiente de la del SCBP (BPCS) o SDMC o si dicha interfaz se integra a la del SCBP (BPCS) o
SDMC.
8.7.2.5.1.4 El diseo del SIS debe reducir al mnimo la necesidad al operador de seleccionar opciones y
desviar el sistema mientras que la unidad est operando. Si el diseo requiere el uso de las acciones del
operador, debe incluir la proteccin contra error del operador. Los controles se deben localizar asegurando que
slo el personal autorizado mediante claves de acceso puede cambiar datos o acceder a los programas.
8.7.2.5.1.5 Los interruptores de desvo se deben proteger por llave fsica o claves de acceso para prevenir el
uso no autorizado.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 48 DE 81

8.7.2.5.1.6 Debe estar disponible la informacin del estado del SIS que es crtica para mantener el NIS (SIL)
como parte de la interfaz del operador. Esta informacin debe incluir:
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
k)
l)

El proceso en estado real


Indicacin de que la accin de proteccin del SIS ha ocurrido
Indicacin de que una funcin de proteccin est desviada
Indicacin de accin(es) automtica(s) tal como la degradacin de la votacin y/o manejo de fallas ha
ocurrido
El estado de los sensores y de los elementos finales
La prdida de energa donde impacta a la seguridad
Diagnsticos
Falla del equipo de aire acondicionado
Histrico de alarmas y secuencia de eventos
Pantallas operativas de mantenimiento peridico
Registro para control y auditoria del mantenimiento del sistema
Guas de operacin para procedimientos crticos

8.7.2.5.1.7
El diseo de la interfaz del operador del SIS debe prevenir cambios al programa de aplicacin del
SIS. Cuando se requiere enviar informacin de monitoreo de seguridad del SIS al SCBP (BPCS) o SDMC no
se debe comprometer la funcionalidad de la seguridad del SIS.
8.7.2.5.1.8
La interfaz del operador se debe disear usando principios de ergonoma. La presentacin de la
informacin al operador debe ser clara y precisa. El volumen de alarmas y mensajes que se presenten al
operador en una situacin delicada de la instalacin debe ser administrado y revisada.
8.7.2.5.1.9
El proveedor o contratista debe asegurar que no existan botones configurados para
desencadenar el paro de emergencia.
8.7.2.5.1.10 Los requisitos basados en el control de la informacin presentada en pantalla se deben oficializar
y registrar, para asegurar que se cumplan dichos requisitos.
8.7.2.5.1.11 El proveedor o contratista debe proporcionar las estaciones industriales para interfaz humano
maquina y equipo de cmputo, de acuerdo a las especificaciones de la licitacin.
8.7.2.5.1.12 La interfaz del operador se debe usar para comunicar informacin entre el SIS y el operador y
debe incluir los siguientes componentes.
a)
b)
c)
d)
e)

Interfaz humano mquina para desplegados de pantalla


Tableros que contengan luces indicadoras, estaciones de botones, indicadores, e interruptores
Anunciadores (alarmas audibles y visibles)
Impresoras
Cualquier combinacin de stos

8.7.2.5.1.13 La Interfase Humano Maquina IHM (HMI) para desplegados grficos de pantalla. En caso
de que lo requiera PEMEX, los desplegados grficos de pantalla pueden ser compartidos por una misma
Interfase humano mquina para las funciones de control de proceso y de seguridad funcional de un SCBP
(BPCS) o SDMC, a travs de los desplegados grficos normales de operacin.
Cuando se utilice la IHM (HMI) del operador de un sistema asociado SCBP (BPCS) o SDMC para proporcionar
automticamente informacin relacionada con la seguridad del proceso, registrando en archivos histricos los
eventos y funciones de alarmas. Las condiciones anotadas deben incluir los eventos del SIS (como el disparo y
eventos previos al disparo).

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 49 DE 81

Cuando se tenga una IHM (HMI) dedicada para el SIS, se deben presentar los desplegados grficos dinmicos
de vista general que proporcionen la informacin requerida en tiempo real del estado dinmico del proceso y
que permita la interaccin del operador con el SIS. Estas pantallas de desplegados grficos dinmicos de vista
general deben desplegar el diagrama de flujo de la seguridad del proceso que muestre de manera esquemtica
cada uno de los equipos principales y la instrumentacin del sistema de seguridad funcional del proceso,
cabezales y tuberas debidamente identificados mediante etiquetas mostrando el estado dinmico del proceso,
indicando los valores de operacin en tiempo real de las variables de la seguridad funcional del proceso. El
diseo de los desplegados grficos dinmicos de vista general y de detalle se debe mostrar los diferentes
instrumentos debidamente identificados y codificados mediante colores conforme a la NRF-226-PEMEX-2009.
8.7.2.5.1.14 Alarmas y eventos. Toda alarma debe ser anunciada de manera sonora y visible de modo
continuo y automtico hasta que sea reconocida por el operador. Los desplegados grficos de alarmas se
deben presentar de manera visible e intermitente con un color codificado el aviso de alarma correspondiente,
para poder distinguir entre diferentes alarmas prioritarias. Las alarmas del SIS deben ser fcilmente visibles
para el operador y deben ser reconocidas fcilmente con respecto a otras alarmas. El operador debe ser capaz
de ver siempre mediante desplegados grficos de la interfaz humano maquina lo que est pasando en el SIS
an cuando falle el SCBP (BPCS) o SDMC. Por tanto, las alarmas para el SCBP (BPCS) o SDMC y para el SIS
deben estar separadas fsicamente para minimizar fallas de modo comn en los subsistemas de alarmas y se
afecte la operacin tanto del SIS como del SCBP (BPCS) o SDMC. Todo el diseo y desarrollo de alarmas y
eventos en la IHM (HMI) debe ser conforme a la NRF-226-PEMEX-2009.
8.7.2.5.1.15 Impresora(s). Las impresoras conectadas al SIS no deben comprometer ninguna funcin de
seguridad del SIS en caso de presentarse alguna falla en la impresora.
Los SIS pueden ser conectados a una misma interfaz humano maquina compartida con un SCBP (BPCS) o
SDMC usando as los mismos recursos de interfaz humano mquina para realizar sus funciones de registro
relacionados con la seguridad y el informe de las funciones de seguridad.
Las Impresoras deben documentar la secuencia de los eventos, la informacin, los diagnsticos, y otros
eventos relacionados con la seguridad y alarmas del SIS, registrados con el tiempo en el cual ocurri, la fecha y
el nmero de identificacin correspondiente. La impresin de alarmas y eventos debe llevarse a cabo mediante
una impresora dedicada exclusivamente para este propsito, imprimiendo cada alarma de manera continua. La
impresora de reportes puede ser compartida con otro sistema.
8.7.2.5.2 Requisitos de la interfaz de ingeniera/mantenimiento
8.7.2.5.2.1 El diseo de la IHM (HMI) de ingeniera/mantenimiento del procesador lgico EP del SIS debe
asegurar que cualquier falla de esta interfaz no debe afectar adversamente la capacidad del SIS llevar el
proceso a un estado seguro. Esto puede requerir el desconectar las interfaces de ingeniera/mantenimiento,
tales como los tableros de programacin, durante la operacin normal del SIS.
8.7.2.5.2.2
La IHM (HMI) de ingeniera/mantenimiento debe proporcionar las siguientes funciones de acceso
de proteccin segura para:
a)
b)
c)
d)
e)

El modo de operacin del SIS, programa, datos, medios de deshabilitar la comunicacin de alarmas,
pruebas, desvos, mantenimiento
El diagnstico del SIS, servicios de manejo de fallas y votacin
Adicionar, borrar, o modificar el programa de aplicacin
Los datos necesarios para solucionar problemas en el SIS
Cuando se requiera de desvos, se deben instalar tal que las alarmas y paros manuales de instalaciones
no sean deshabilitados

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
8.7.2.5.2.3

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 50 DE 81

La IHM (HMI) de ingeniera/mantenimiento no se debe usar como la interfase del operador.

8.7.2.5.2.4
El permitir e inhabilitar el acceso de lectura/escritura se debe realizar solamente por una
configuracin o proceso de programacin usando la interfaz del ingeniera/mantenimiento con medidas de
seguridad requeridas (claves de acceso).
8.7.2.5.3

Requisitos de la interfaz de comunicacin

8.7.2.5.3.1 El diseo de la interfaz de comunicacin del SIS debe asegurar que cualquier falla de la interfaz de
comunicacin no debe afectar la capacidad del SIS de llevar al proceso a un estado seguro.
8.7.2.5.3.2 El SIS debe ser capaz de comunicarse con el SCBP (BPCS) o SDMC y los perifricos que no
impacten en la FIS (SIF).
8.7.2.5.3.3 La interfaz de comunicacin debe soportar la interferencia electromagntica del medio ambiente
incluyendo sobrecargas elctricas sin causar alguna falla peligrosa en las FIS (SIF) de acuerdo con la IEC
61000-6-2 y IEC 61000-6-4
8.7.3

Clculo de PFDprom de las FIS (SIF).

8.7.3.1
La probabilidad de falla en demanda promedio de cada FIS (SIF) se debe verificar mediante clculos
comparados con el objetivo de medicin de fallas cumpliendo lo especificado en las especificaciones de los
requisitos de seguridad. Se puede referir al Anexo A de la IEC 61511-2 para las tcnicas disponibles para
asegurar que el diseo del SIS satisface el desempeo relacionado a las fallas de equipo aleatorias.
8.7.3.2
a)
b)
c)
d)

e)
f)
g)
h)
i)
j)

La probabilidad de falla calculada de cada FIS debido a fallas del equipo debe tomar en cuenta:

La arquitectura del SIS para cada FIS.


La razn de fallas estimadas de cada subsistema, que cause una falla peligrosa del SIS las cuales son
detectadas y no detectadas por pruebas de diagnstico.
La susceptibilidad del SIS a fallas de causa comn.
La cobertura de diagnstico de cualquier prueba de diagnstico peridica (determinadas de acuerdo con
IEC 61511-2 el intervalo asociado de la prueba de diagnstico y la confiabilidad por el diagnstico de las
instalaciones.
Los intervalos en los cuales se llevan a cabo las pruebas rigurosas.
Los tiempos para reparacin de las fallas detectadas.
La razn estimada de falla peligrosa de cualquier proceso de comunicacin en cualquiera de los modos
que causaran una falla peligrosa del SIS (detectadas y no detectadas por pruebas de diagnstico).
La razn estimada de falla peligrosa de cualquier respuesta humana en cualquiera de los modos que
cause una falla peligrosa del SIS (detectado y no detectado por las pruebas de diagnstico).
La susceptibilidad a los disturbios de la compatibilidad electromagntica CEM (EMC) (de acuerdo a IEC
61326-1).
La susceptibilidad a las condiciones climticas y mecnicas (de acuerdo a IEC 60654-1 y a IEC 60654-3).

La Probabilidad de Falla en Demanda promedio (PFD prom) de cada FIS debe ser menor o igual que la PFDprom
especificada en el documento Especificacin de Requisitos de Seguridad (ERS), esto se debe verificar
mediante clculos.
Los mtodos de modelado para clculo de PFD prom y de otras mtricas importantes como el tiempo medio entre
Disparos en Falso (MTTFs) y su eleccin dependen de la experticia del analista. Los mtodos son varios, entre
los que se listan: (ver IEC 61508-6, Anexo B):

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
-

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 51 DE 81

Simulacin
Anlisis Causa Consecuencia
Anlisis de rbol de Fallas
Modelos Markovianos
Diagramas de Bloques de Confiabilidad

8.8
Requisitos para los programas de aplicacin incluyendo criterios de seleccin para los
programas de utileras
8.8.1

Requisitos generales

8.8.1.1 Se debe considerar alguno de los siguientes programas para su aplicacin en los SIS conforme a lo
solicitado por PEMEX en los requisitos especficos del proyecto:
a)

b)

Programas:
Programas de aplicacin.
Programas de utileras, herramientas de programa usadas para desarrollar y verificar los programas
de aplicacin, entre otros.
Programas embebidos, programas suministrados como parte del fabricante del procesador lgico EP,
entre otros.
Lenguajes de desarrollo de programas:
Lenguajes fijos de programas LFP (FPL)
Lenguajes de variabilidad limitada (LVL)
Lenguajes de variabilidad completa LVC (FVL)

8.8.1.2 El desarrollo y la modificacin de programas de aplicacin o uso de LFP (FPL) o LVL hasta NIS (SIL)
3 debe cumplir con esta norma de referencia. El desarrollo y la modificacin de las aplicaciones de programas
utilizando LVC (FVL) deben cumplir con la serie IEC 61508.
8.8.1.3 Los programas de utileras junto con el manual de seguridad del fabricante el cual define la forma en
que el procesador lgico EP puede ser aplicado en condiciones de seguridad se deben seleccionar y aplicar de
conformidad con los requisitos de 8.8.7 de esta norma de referencia, la seleccin de programas embebidos
usando LVC (FVL) se debe ajustar a lo indicado en 8.8.5.1.11 a), de esta norma de referencia, y deben cumplir
con la serie IEC 61508.
8.8.2

Requisitos del ciclo de vida de seguridad de los programas de aplicacin

8.8.2.1 Los programas de aplicacin usados en el SIS por parte de los fabricantes, proveedores o contratistas
deben cumplir con el ciclo de vida indicado en la Figura 4 de esta norma de referencia, y deben:
a)
b)
c)

Definir las actividades requeridas para desarrollar los programas de aplicacin para cada subsistema
programable del SIS.
Definir cmo seleccionar, controlar y aplicar los programas de utileras usados para desarrollar los
programas de aplicacin.
Asegurar de que existe una planeacin adecuada a fin de que los objetivos de la seguridad funcional
asignados a los programas de aplicacin se cumplan.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 52 DE 81

Arquitectura *
del subsistema
del SIS

Especificacin de los
requisitos de
seguridad (ERS) del
SIS

Requisitos de seguridad del equipo


Equipo
procesador
lgico EP

Seleccin del procesador


lgico EP incluyendo los
programas embebidos

Nota 1

Equipo no
programable

Diseo y
desarrollo de
equipo no
programable

Requisitos de
seguridad de los
programas de
aplicacin

Nota 1

Diseo y configuracin
de los programas de
aplicacin

Nota 1

Integracin de la
electrnica
programable

Instalacin y
validacin
del SIS

* Entre otros, sensor,


Procesador lgico EP,
elementos finales.
Nota 1.- Alcance del numeral 8.8 de esta norma de referencia.

Figura 4. Ciclo de vida de seguridad de los programas de aplicacin y su relacin con el ciclo de vida
del SIS
8.8.2.2 El proveedor o contratista del SIS, debe especificar un ciclo de vida de seguridad para el desarrollo de
los programas de aplicacin que cumpla con los requisitos de esta norma de referencia y debe ser considerado
durante la planeacin de seguridad y estar integrado al ciclo de vida de seguridad del SIS.
8.8.2.3 Cada fase del ciclo de vida de seguridad de los programas de aplicacin se debe definir en trminos
de sus objetivos y actividades elementales, que requieren informacin de entrada y resultados de salida,
requisitos de verificacin (ver 8.8.13 de esta norma de referencia) y responsabilidades (ver Tabla 6 y Figura 5
de esta norma de referencia).

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 53 DE 81

8.8.2.3.1
Siempre que el ciclo de vida de seguridad de los programas de aplicacin cumpla con los requisitos
de la tabla 6, se debe tomar en cuenta la profundidad, nmero y tamao de las fases del modelo V que se
deben aplicar de acuerdo a la figura 6 conforme a la integridad de seguridad y la complejidad del proyecto.
8.8.2.4 El procesador lgico EP que implementa los programas de aplicacin, debe cumplir con el NIS (SIL)
requerido por cada FIS (SIF).
8.8.2.5 Se deben seleccionar y aplicar los mtodos, tcnicas y herramientas para cada fase del ciclo de vida,
a fin de:
a)
b)
c)
d)
e)

Minimizar el riesgo de introducir fallas en el programa de aplicacin


Revelar y remover fallos que ya existen en el programa
Asegurar que los fallos remanentes en el programa no conduzcan a resultados inaceptables
Asegurar que los programas se mantengan durante el tiempo de vida del SIS
Demostrar que los programas tienen la calidad requerida

8.8.2.6
Cada fase del ciclo de vida de seguridad de los programas de aplicacin se debe verificar y deben
estar disponibles los resultados (ver 8.8.13 de esta norma de referencia).
8.8.2.7
Si en alguna fase del ciclo de vida de seguridad de los programas de aplicacin, se requiere de un
cambio debido a una fase anterior del ciclo de vida de seguridad, entonces esa fase anterior y las siguientes
fases se deben reexaminar y, si los cambios son requeridos se debe repetir y reverificar.
8.8.2.8
Los programas de aplicacin, los programas embebidos, los programas de utileras y el equipo en
el SIS, se deben sujetar a la administracin de la configuracin (ver 8.1.1.7 de esta norma de referencia).
8.8.2.9
a)
b)
c)
d)
e)
f)
g)
h)
i)

Se debe llevar a cabo la planeacin de las pruebas, las cuales deben considerar lo siguiente:

Las polticas para integrar los programas y el equipo


Casos de prueba y datos de prueba
Tipos de pruebas a ser desarrolladas
Pruebas ambientales incluyendo herramientas, apoyo de los programas y descripcin de la configuracin
Criterio de prueba en el que la terminacin de la prueba debe ser juzgada
Ubicacin fsica (en fbrica o en el sitio de instalacin, entre otros)
Dependencia en la funcionalidad externa
Personal requerido
No conformidades

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 54 DE 81

Ciclo de vida de seguridad de los programas


Caja 4 de la
Figura 2
Diseo e
ingeniera del
Sistema
Instrumentado
de Seguridad
(SIS)

8.8.3

Especificacin de los requisitos de seguridad (ERS)


de los programas de aplicacin
Especificacin de los
Especificacin de los
requisitos de las
requisitos de integridad
funciones de seguridad
de seguridad

8.8.4

Planeacin de la
validacin de la
seguridad de los
programas

8.8.11

8.8.5

Integracin del EP
(equipo y
programas)

A la caja 5 de la
figura 2

Diseo, configuracin y
simulacin de los
programas

8.8.12

Procedimientos de
operacin y
modificacin de los
programas

A la caja 6 y 7
de la figura 2

Figura 5. Ciclo de vida de seguridad de los programas de aplicacin (en fase de realizacin)

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

Especificacin de
los requisitos de
Seguridad (ERS)
del SIS

Arquitectura
del
subsistema

NRF-045-PEMEX-2010
REV. 0
PGINA 55 DE 81

Validacin de
la seguridad
del SIS
(8.11)

Especificacin de los
requisitos de seguridad de
los programas de aplicacin
(8.8.3)

SIS validado

EP
Prueba de
integracin de los
programas de
aplicacin
(8.8.11)

Diseo de la arquitectura y
programas de aplicacin
(8.8.6 y 8.8.7)

Desarrollo de programas
de aplicacin
(8.8.8)

Probando los programas


de aplicacin
(8.8.10)

Desarrollo de los mdulos


de aplicacin
(8.8.8)

Salida
Verificacin

Probando mdulos de
aplicacin
(8.8.9)

Desarrollo de cdigos y pruebas


solo LVC (FVL)
(Ver IEC 61508-3, 8.8.5.1.11 a))

Figura 6. Ciclo de vida del desarrollo de los programas (Modelo V)

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
Fase del ciclo de vida de
seguridad
Figura 5
Numero

de Caja
8.8.3

8.8.4

8.8.5

Objetivos

Numeral

Especificar los requisitos para


los programas de las FIS (SIF)
para cada funcin del SIS
requeridos para implementar
FIS (SIF) requeridas.

8.8.3

Titulo
ERS de los
programas de
aplicacin

Planeacin de la
validacin de la
seguridad de los
programas
de
aplicacin
Diseo y
desarrollo de los
programas de
aplicacin

NRF-045-PEMEX-2010

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

Especificar los requisitos para la


integridad de seguridad de los
programas para cada FIS (SIF)
asignada a ese SIS
Desarrollar un plan para validar
los programas de aplicacin

REV. 0
PGINA 56 DE 81

Informacin
requerida
ERS del SIS
Manuales
de
seguridad del SIS
seleccionado
Arquitectura
SIS

Resultados requeridos

ERS de los programas de


aplicacin del SIS
Verificacin de la informacin

del

8.8.4

ERS
de
los
programas
de
aplicacin del SIS

8.8.6

ERS de los
programas de
aplicacin del SIS

Plan de validacin de la
seguridad de los programas
de aplicacin del SIS
Verificacin de la informacin

Arquitectura
Crear una arquitectura de los
programas que cumpla los ERS
de los programas

Manuales
de
diseo
de
la
arquitectura
del
equipo del SIS

Revisar y evaluar los requisitos


puestos en los programas por la
arquitectura del equipo del SIS

Descripcin
de
la
arquitectura de diseo, entre
otros, la segregacin de los
programas de aplicacin
relacionados
con
los
subsistemas del proceso y el
NIS (SIL). Entre otros,
reconocimiento
de
los
mdulos comunes de los
programas de aplicacin
tales como secuencias de
bombas o vlvulas.
Especificacin
de
las
pruebas de integracin de la
arquitectura
y
los
subsistemas
de
los
programas de aplicacin

Diseo y
desarrollo de los
programas de
aplicacin

Lenguajes de programacin y
herramientas de apoyo

8.8.7

Identificar un conjunto adecuado


de configuracin, librera,
administracin, y herramientas
de prueba y simulacin sobre
todo el ciclo de vida de
seguridad de los programas
(programas de utileras))

Descripcin
diseo
de
arquitectura

Diseo
y
desarrollo de los
programas
de
aplicacin

Desarrollo de los programas de


aplicacin y desarrollo de los
mdulos de aplicacin
Implementar los programas de
aplicacin que cumplen con los
requisitos especificados para la
aplicacin de seguridad

del
la

Verificacin de la informacin
Lista de procedimientos para
el uso de los programas
utileras
Verificacin de la informacin

Manuales del SIS

Especificar los procedimientos


para el desarrollo de los
programas de aplicacin
8.8.5

ERS de los
programas de
aplicacin del SIS

8.8.8

Manual
de
seguridad
del
Procesador lgico
EP seleccionado
del SIS
Descripcin de la
arquitectura
de
diseo
Lista de manuales
y procedimientos
del
EP
seleccionado para
usar el programa
de utileras

1) Programa de aplicacin
(entre otros, diagramas de
bloques de funciones, lgico
de escalera)
2) Prueba de integracin y
simulacin del programa de
aplicacin
3) Especificacin de los
requisitos de seguridad de
los programas de aplicacin
de propsito especial
4)
Verificacin
de
la
informacin

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
Fase del ciclo de vida de
seguridad
Figura 5
Numero

de Caja
8.8.5

8.8.5

8.8.11

8.9

Diseo y
desarrollo de los
programas de
aplicacin

Integracin de la
electrnica
programable
(Equipo y
programas)
Validacin de la
seguridad
del
SIS

REV. 0
PGINA 57 DE 81

Informacin
requerida

Objetivos

Numeral

Desarrollo
y
prueba
del
programa solo LVC (FVL)

8.8.9 y
8.8.10

ERS
de
los
programas
de
aplicacin
de
propsito especial

Referir a IEC 61508-3

8.8.9
8.8.10
8.8.13

Especificacin
la
prueba
integracin
simulacin
programa
aplicacin
(Estructura
basada
pruebas)

1) Resultados de las pruebas


de los programas

Titulo
desarrollo de los
programas de
aplicacin
usando
lenguajes de
variabilidad
completa

NRF-045-PEMEX-2010

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

Implementar
lenguajes
de
variabilidad
completa
que
cumpla
los
requisitos
especificados para la seguridad
de los programas
Prueba de los programas de
aplicacin para:
1) Verificar que los requisitos
para la seguridad de los
programas han sido logrados
2) Mostrar que todos los
sistemas y subsistemas de los
programas
de
aplicacin
interactan correctamente para
desempear sus funciones y no
despean
funciones
no
deseadas
Puede ser fusionada con la
siguiente fase ( 8.8.11) sujeta a
prueba satisfactoria de la
cobertura
Integrar los programas en el
equipo procesador lgico EP
objeto

Validar que el SIS incluyendo la


seguridad de los programas de
aplicacin cumple con los
requisitos de seguridad

Resultados requeridos

de
de
y
del
de

en

2) Programas del sistema


verificados y probados
3)
Verificacin
informacin

de

la

Especificacin de
la
prueba
de
integracin de la
arquitectura de los
programas

8.8.11

8.9

Especificacin
la
prueba
integracin
equipo
y
programas
Planes
validacin de
seguridad de
programas y
SIS

de
de
del
los
de
la
los
del

Resultados de las pruebas


de integracin del equipo y
los programas
Equipo
y
programas
verificados
Resultados de validacin de
los programas y del SIS

Tabla 6. Vista general del ciclo de vida de seguridad de los programas de aplicacin
8.8.3

Especificacin de requisitos de seguridad de los programas de aplicacin

8.8.3.1 El proveedor o contratista debe proporcionar la ERS para cada subsistema programable del SIS para
implementar las FIS (SIF) requeridas siendo consistentes con la arquitectura del SIS. Ver la relacin entre la
arquitectura de los programas y del equipo de la Tabla 7 de esta norma de referencia.
Arquitectura de los subsistemas del SIS EP
Arquitectura del equipo
Arquitectura de los programas software (consta de los
Hardware
programas embebidos y los programas de aplicacin)
Caractersticas
especificas
Programas embebidos
Programas de aplicacin
genricas y de aplicacin en el
equipo hardware
Incluye, entre otros:
- Pruebas de diagnsticos
- Procesadores redundantes
- Tarjetas duales de entrada/salida

Incluye, entre otros:

Incluye, entre otros:

- Controladores de
comunicaciones
- Manejo de fallos
errores
- Programa ejecutable

- Funciones de entrada/salida
- Funciones derivadas (entre otros,
verificacin del sensor si es que
este programa de aplicacin no se
encuentra embebido)

Tabla 7. Relacin entre el hardware y software de las arquitecturas de un SIS

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

8.8.3.2

Se debe desarrollar la ERS de los programas de aplicacin.

8.8.3.3

La ERS de los programas para cada subsistema del SIS debe incluir:

a)
b)
c)

NRF-045-PEMEX-2010
REV. 0
PGINA 58 DE 81

La ERS de las FIS (SIF)


Los requisitos resultantes de la arquitectura del SIS
Cualquier requisito de planeacin de seguridad

8.8.3.4 La ERS de los programas de aplicacin debe detallar el diseo e implementacin para alcanzar la
integridad de seguridad objetivo y permitir que se lleve a cabo una evaluacin de la seguridad funcional y debe
considerar lo siguiente:
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)

Las funciones soportadas por los programas de aplicacin


Capacidad y tiempo de respuesta del desempeo
Equipo e interfaces de operador y su operabilidad
Los modos relevantes de operacin del proceso como se especifica en la ERS del SIS
Accin que se lleva a cabo en los fallos en los lazos de control de las variables de procesos como el valor
del sensor fuera de rango, circuito abierto detectado, corto circuito detectado, entre otros
Prueba de verificacin y pruebas de diagnostico de dispositivos externos (sensores y elementos finales,
entre otros)
Automonitoreo de los programas (entre otros, incluye la aplicacin de vigilancia y validacin del rango de
datos
Monitoreo de otros dispositivos dentro del SIS (sensores y elementos finales, entre otros)
Permitir pruebas peridicas de las FIS (SIF) cuando el proceso est operando
Referencias a los documentos de entrada (especificacin de las FIS, configuracin o arquitectura de los
SIS, requisitos de integridad de seguridad del equipo del SIS, entre otros)

8.8.3.5 El desarrollador de los programas de aplicacin debe revisar la informacin de la especificacin para
asegurar que los requisitos sean claros, consistentes y entendibles. Cualquier deficiencia en la ERS se debe
identificar con el desarrollador de los subsistemas del SIS.
8.8.3.6
a)

b)
c)

La ERS de los programas se debe expresar y estructurar de manera que:

Sea clara para aquellos que van a utilizar el documento en cualquier etapa del ciclo de vida de seguridad,
debe usar terminologa y descripciones que sean claras y entendibles por los operadores de la planta y de
mantenimiento, as como los programadores de aplicacin
Sean verificables, comprobables y modificables
Tengan respaldo de trazabilidad hacia la ERS del SIS

8.8.3.7 La ERS de los programas de aplicacin debe proveer informacin que permita la seleccin de equipo
propio y debe considerar lo siguiente:
a)
b)
c)
d)
e)
f)
g)
h)

Las funciones que permitan al proceso lograr o mantener un estado seguro


Las funciones relacionadas a la deteccin, alarma, y manejo de fallos en los subsistemas del SIS
Las funciones relacionadas a la prueba peridica de las FIS (SIF) en lnea
Las funciones relacionadas a la prueba peridica de las FIS (SIF) fuera de lnea
Las funciones que permiten al SIS ser modificado de modo seguro
Las interfaces para las funciones que no estn relacionadas con la seguridad
La capacidad y el tiempo de respuesta del desempeo
Los NIS (SIL) para cada una de las funciones anteriores

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 59 DE 81

8.8.3.8 Las entradas y las salidas generadas en cada una de las etapas de los programas de aplicacin
durante su ciclo de vida, deben cumplir lo indicado en el ciclo de vida de seguridad de los programas de
aplicacin.
8.8.3.9 El proveedor o contratista adicionalmente debe incluir los siguientes elementos, si estos son parte del
estndar de producto del procesador lgico EP y los que no sean parte de los programas especficos de
aplicacin:
a)
b)
c)

Sistema operativo
Sistema de manejo de comunicacin
Dispositivos de manejo del procesador lgico EP

8.8.3.10 La evidencia de que se aplique el aseguramiento de calidad al desarrollo de los programas de


aplicacin debe ser parte del plan de calidad de los programas. Los programas de aplicacin deben permitir
cambios en lnea sin inducir condiciones inseguras.
8.8.3.11 El plan de calidad de los programas de aplicacin debe especificar o referenciar los procedimientos
para identificar fallos en los propios programas de aplicacin que hayan encontrado otros usuarios y para
incorporar cualquier correccin a los programas de aplicacin.
8.8.3.12 Los programas de aplicacin para los cuales se disponga de datos del buen desempeo en campo se
deben emplear para el desarrollo de programas con altos estndares de aseguramiento de calidad. Sin
embargo la importancia de tales datos de desempeo en campo se debe evaluar cuidadosamente. La
evaluacin debe confirmar que la evidencia de campo relaciona aplicaciones similares con la aplicacin
deseada, y que el programa de aplicacin no se ha modificado durante el perodo en el cual los datos de campo
fueron empleados. La evidencia de campo no debe ser empleada para omitir evidencia de deficiencias de
control en el diseo de los programas.
8.8.3.13 Los detalles de estndares de desempeo de los programas de aplicacin que sean importantes para
las especificaciones de los requisitos totales se deben identificar en el plan de calidad de los programas. Tales
requisitos de desempeo deben incluir:
a)
b)
c)

Restricciones de tiempo
Integridad, rendimiento y retraso de mensajes de comunicacin
Los estndares de desempeo para degradacin bajo condiciones de carga alta

8.8.3.14 Existe la posibilidad de que versiones subsecuentes de los programas de aplicacin no sean
compatibles totalmente con elementos anteriores. La estrategia adoptada para asegurar el NIS (SIL) sobre
actualizaciones de los programas de aplicacin se debe contemplar en el plan de calidad.
8.8.3.15 Los programas de aplicacin sujetos a actualizaciones de versin frecuentes pueden incrementar su
tamao de modo que se requiera actualizar el equipo de soporte. Se deben tomar precauciones en caso de que
el soporte del proveedor o contratista est disponible por un corto periodo de tiempo a partir de la ltima
actualizacin de la versin de los programas.
8.8.4

Planeacin de la validacin de la seguridad de los programas de aplicacin

8.8.4.1

Se debe asegurar el desarrollo de la planeacin de la validacin de los programas de aplicacin.

8.8.4.2 La planeacin de la validacin de los programas de aplicacin debe cumplir con 8.11 de esta norma
de referencia.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 60 DE 81

8.8.5

Desarrollo y diseo de los programas de aplicacin

8.8.5.1

El proveedor o contratista debe cumplir con los siguientes requisitos generales:

8.8.5.1.1 Desarrollar una arquitectura de los programas de aplicacin que sea compatible con la arquitectura del
equipo y que cumpla la ERS de los programas (ver 8.8.3 de esta norma de referencia).
8.8.5.1.2 Examinar y evaluar los requisitos que deben cumplir los programas por la arquitectura del equipo y
los programas embebidos en la arquitectura del SIS. Estos incluyen los efectos secundarios del comportamiento
del equipo y los programas del SIS, la configuracin especifica de la aplicacin en el equipo del SIS, la
tolerancia de fallos inherente del SIS y la interaccin de la arquitectura del equipo y programas embebidos del
SIS, con los programas de aplicacin para seguridad.
8.8.5.1.3 Seleccionar un conjunto adecuado de herramientas (incluyendo los programas de utileras) para
desarrollar los programas de aplicacin.
8.8.5.1.4 Disear y poner en prctica o seleccionar programas de aplicacin que cumplan los requisitos
especificados para la seguridad de los programas (ver 8.8.3 de esta norma de referencia) que sean analizables,
verificables y capaces de modificarse de modo seguro.
8.8.5.1.5 Verificar que la ERS de los programas (en trminos de los programas requeridos de las FIS) se han
alcanzado.
8.8.5.1.6 El desarrollo, las pruebas, la verificacin y la validacin de los programas de aplicacin LVC (FVL)
deben estar de acuerdo con la IEC 61508-3
8.8.5.1.7 El mtodo de diseo debe ser consistente con las herramientas de desarrollo y las restricciones
dadas por los subsistemas del SIS aplicados.
8.8.5.1.8 El mtodo seleccionado de diseo y lenguaje de aplicacin (LVL o LFP (FPL) debe incluir
caractersticas que proporcionen lo siguiente:
a)

b)

c)
d)

e)

Modularidad y otras caractersticas tales como el control de la complejidad; donde sea posible, los
programas se deben basar en mdulos de programas probados que pueden incluir funciones de librera del
usuario y reglas bien definidas para enlazar los mdulos de los programas.
Expresin de:
Funcionalidad, idealmente como una descripcin lgica o como funciones algortmicas
Flujo de informacin entre elementos modulares de las funciones de aplicacin
Requisitos de secuencia
Garanta de que las FIS (SIF) operan siempre dentro de las restricciones de tiempo definidas
Libertad de comportamiento indeterminado
Garanta de que los datos internos no son errneamente duplicados, todos los tipos de datos usados
estn definidos y las acciones adecuadas ocurren cuando los datos estn fuera de rango o son
errneos
Hiptesis del diseo y sus dependencias
Comprensin por los desarrolladores y otros que necesitan entender el diseo, desde entender una
aplicacin funcional y el conocimiento de las restricciones de la tecnologa.
Verificacin y validacin, incluyendo cobertura de los cdigos de los programas de aplicacin, cobertura
funcional de la aplicacin integrada, la interfase con el SIS y su aplicacin especfica de la configuracin
del equipo.
Modificacin de los programas de aplicacin, tales caractersticas incluyen modularidad, trazabilidad y
documentacin.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
8.8.5.1.9
a)
b)
c)
d)
e)

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 61 DE 81

El diseo alcanzado debe cumplir con lo siguiente:

Incluir las verificaciones de la integridad y la veracidad de los datos


Ser trazable a los requisitos
Ser comprobable
Tener la capacidad para una modificacin segura
Mantener la complejidad y tamao de los programas de aplicacin de las FIS (SIF) hacia un mnimo

8.8.5.1.10 Cuando los programas de aplicacin se implementan para FIS (SIF) de diferentes NIS (SIL), todos
los programas deben ser tratados como pertenecientes al NIS (SIL) ms alto a menos que la independencia
entre las FIS (SIF) de los diferentes NIS (SIL) puedan ser mostradas en el diseo. La justificacin de
independencia debe ser documentada, si la independencia es solicitada o no, el NIS (SIL) buscado de cada FIS
(SIF) se debe identificar.
8.8.5.1.11 Si las funciones de librera de un programa de cmputo de aplicacin son previamente
desarrolladas para ser usadas como parte del diseo, su aplicabilidad en satisfacer la ERS de los programas de
aplicacin debe ser justificada. La aplicabilidad debe estar basada en:
a)
b)
c)

Conformidad con la IEC 61508-3 cuando se usen LVC (FVL), o.


Conformidad con la IEC 61511-1 cuando se usen LFP (FPL) o LVL, o.
Evidencia de funcionamiento satisfactorio en una aplicacin similar que se ha demostrado que tiene una
funcionalidad similar o haber sido objeto de la misma verificacin y procedimientos de validacin como se
espera para cualquier nuevo desarrollo de programas (8.7.2.3.3 y 8.7.2.3.4 de esta norma de referencia).

8.8.5.1.12 Como mnimo, la siguiente informacin se debe incluir en la documentacin de los programas de
aplicacin o en la documentacin relacionada:
a)
b)
c)
d)
e)
f)
g)

Entidad legal (compaa o autor, entre otros)


Descripcin
Trazabilidad para los requisitos funcionales de aplicacin
Convenciones lgicas usadas
Funciones de librera estndar usadas
Entradas y salidas
Administracin de la configuracin incluyendo una historia de cambios

8.8.6

Requisitos para la arquitectura de los programas de aplicacin

8.8.6.1 El diseo de la arquitectura de los programas de aplicacin se debe basar en la ERS del SIS dentro
de las restricciones de la arquitectura del sistema del SIS. Debe cumplir con los requisitos del diseo del
subsistema seleccionado, su conjunto de herramientas y manual de seguridad.
8.8.6.2 La descripcin del diseo de la arquitectura de los programas de aplicacin debe cumplir con lo
siguiente:
a)
b)
c)

Proveer una descripcin entendible de la estructura interna y de la operacin de los subsistemas del SIS y
de sus componentes.
Incluir la especificacin de todos los componentes identificados, y la descripcin de conexiones e
interacciones entre los componentes identificados (equipo y programas).
Identificar los mdulos de programas incluidos en los subsistemas del SIS pero que no son usados en
ninguna FIS.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
d)

e)

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 62 DE 81

Describir el orden del procesamiento lgico de datos con respecto a los subsistemas de entradas/salidas y
la funcionalidad de los procesadores lgicos EP incluyendo cualquier limitacin impuesta por tiempos de
barrido.
Identificar todas las no FIS (SIF) y asegurar que no afectan la operacin de cualquier FIS (SIF).

8.8.6.3 Se deben identificar y justificar las razones de la eleccin del conjunto de mtodos y tcnicas usados
para desarrollar los programas de aplicacin.
8.8.6.4 Los mtodos y tcnicas usados en el diseo de los programas de aplicacin deben ser consistentes
con cualquier restriccin identificada en el manual de seguridad del subsistema del SIS.
8.8.6.5 Se deben describir y justificar las caractersticas usadas para mantener la integridad de la seguridad
de todos los datos. Tales datos deben incluir datos de entrada-salida de la planta, datos de comunicaciones,
datos de operacin, datos de mantenimiento y datos internos de la base de datos.
8.8.7

Requisitos para las herramientas de apoyo, manual del usuario y lenguajes de aplicacin

8.8.7.1 Se debe seleccionar el conjunto de herramientas, incluyendo un subconjunto de aplicaciones del


lenguaje de programacin, la administracin de la configuracin, simulacin, herramientas de pruebas, y
cuando proceda las herramientas de medicin de prueba automtica de cobertura.
8.8.7.2 Se deben considerar las herramientas correspondientes para suministrar los servicios relevantes a
travs de todo el tiempo de vida del SIS.
8.8.7.3 Se debe identificar el conjunto de procedimientos para el uso de las herramientas tomando en cuenta
las restricciones del manual de seguridad, conociendo las deficiencias como introducir fallos en los programas y
cualquier limitacin en la cobertura de la verificacin y validacin anterior.
8.8.7.4
a)
b)
c)
d)
e)

El lenguaje de aplicacin seleccionado debe cumplir con lo siguiente:

Ser implementado usando un compilador/traductor que ha sido evaluado para establecer su adaptabilidad
para ese propsito
Estar definido completa y claramente o restringido para caractersticas definidas claras
Coincidir con las caractersticas de la aplicacin
Contener caractersticas que faciliten la deteccin de errores en programacin
Apoyar las caractersticas que coinciden con los mtodos de diseo

8.8.7.5 Cuando el 8.8.7.4 de esta norma de referencia, no se cumpla, entonces se debe documentar la
justificacin del lenguaje usado durante la descripcin del diseo de la arquitectura del programa de aplicacin
(ver 8.8.6 de esta norma de referencia), la justificacin debe detallar la adaptabilidad para el propsito del
lenguaje, y cualquier medida adicional que se refiera a cualquier deficiencia detectada en el lenguaje.
8.8.7.6 Los procedimientos para el uso de los lenguajes de aplicacin deben especificar buenas prcticas de
programacin, evitar caractersticas genricas de lenguaje de cmputo no seguras (caractersticas de lenguaje
no definidas, diseos no estructurados, entre otros). Se deben identificar las revisiones para detectar fallos en la
configuracin para especificar los procedimientos para la documentacin de los programas de aplicacin.
8.8.7.7
a)
b)
c)

El manual de seguridad debe abordar los siguientes puntos segn proceda:

El uso de diagnsticos para desempear funciones de seguridad


Lista de libreras de seguridad certificadas/verificadas
Pruebas mandatorias y lgica de paro del sistema

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
d)
e)
f)

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 63 DE 81

Uso de vigilancia
Requisitos y limitaciones para herramientas y lenguajes de programacin
Los NIS (SIL) para los dispositivos o sistema sean los requeridos

8.8.7.8

Se debe verificar la aplicabilidad de las herramientas.

8.8.8

Requisitos para el desarrollo de los programas de aplicacin

8.8.8.1 La siguiente informacin debe estar disponible antes del inicio del diseo de los programas de
aplicacin:
a)
b)

La ERS de los programas (8.8.3 de esta norma de referencia).


La descripcin del diseo de la arquitectura de los programas de aplicacin (ver 8.8.6 de esta norma de
referencia) incluyendo la identificacin de la lgica de aplicacin y la funcionalidad de tolerancia a fallo, una
lista de datos de entrada y salida, los mdulos de programas genricos y las herramientas de apoyo a ser
usados, y los procedimientos para programar los programas de aplicacin.

8.8.8.2
a)
b)
c)
d)

Modularidad de la funcionalidad
Comprobabilidad de la funcionalidad (incluyendo caractersticas de tolerancia a fallos) y de estructura
interna
La capacidad para modificacin segura
Trazabilidad y explicacin de las funciones de aplicacin y las restricciones asociadas

8.8.8.3
a)
b)
c)

Los programas de aplicacin deben ser producidos de un modo estructurado para lograr:

El diseo de cada modulo de aplicacin debe direccionar la robustez, incluyendo:

Verificacin de credibilidad de cada variable de entrada incluyendo cualquier variable usada para proveer
datos de entrada
Definicin completa de las interfases de entrada y salida
Verificaciones de las configuraciones del sistema incluyendo la existencia y accesibilidad del equipo y
mdulos de programas requeridos

8.8.8.4 Se debe especificar el diseo de cada mdulo de programas de aplicacin y las pruebas estructurales
para ser aplicadas a cada modulo de programas de aplicacin.
8.8.8.5
a)
b)
c)

Los programas de aplicacin deben cumplir con lo siguiente:

Ser lebles, entendibles y verificables


Satisfacer los principios relevantes de diseo
Satisfacer los requisitos relevantes especificados durante la planeacin de la seguridad (ver 8.1.1.4 de esta
norma de referencia)

8.8.8.6 Los programas de aplicacin se deben revisar para asegurar la conformidad del diseo especificado,
los principios de diseo, y los requisitos de planeacin de la validacin de la seguridad.
8.8.9

Requisitos para la prueba de los mdulos de los programas de aplicacin

8.8.9.1 Se debe verificar la configuracin de cada punto de entrada a travs de la lgica de procesamiento
hacia los puntos de salida, mediante tcnicas de revisin, simulacin, y prueba para confirmar que los datos de
estada/salida son mapeados a la correcta lgica de aplicacin.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 64 DE 81

8.8.9.2 Se debe verificar cada modulo de los programas de aplicacin mediante tcnicas de revisin,
simulacin, y pruebas para determinar que las funciones propuestas son correctamente ejecutadas y no se
ejecuten las funciones no deseadas.
Se deben realizar pruebas para los mdulos especficos que estn siendo probados, considerando lo siguiente:
a)
b)
c)
d)

Ejercitar todas las partes del modelo de aplicacin


Ejercitar los lmites de los datos
Calendarizar los efectos de la secuencia de ejecucin
Implementacin de una secuencia propia

8.8.9.3

Los resultados de las pruebas de los mdulos de los programas de aplicacin deben estar disponibles.

8.8.10

Requisitos para probar la integracin de los programas de aplicacin

8.8.10.1 Las pruebas a los programas de aplicacin deben mostrar que todos los mdulos de los programas de
aplicacin y los componentes/subsistemas interactan correctamente entre ellos y con los programas
embebidos elementales para ejecutar la funcin requerida.
8.8.10.2 Los resultados de las pruebas de integracin de los programas de aplicacin deben estar disponibles
y mostrar lo siguiente:
a)
b)

El resultado de las pruebas


Si se han cumplido los objetivos y criterios de la especificacin de la prueba

Si hay un fallo, se deben reportar los motivos por los que se fall.
8.8.10.3 Durante la integracin de los programas de aplicacin, cualquier modificacin a los programas se
debe sujetar a un anlisis de impacto de la seguridad el cual debe determinar:
a)
b)

Los mdulos de los programas que son afectados.


Las actividades de re-diseo y reverificacin que son requeridas (ver 8.8.12 de esta norma de referencia).

8.8.11

Integracin de los programas de aplicaciones con los subsistemas del SIS

8.8.11.1 El proveedor o contratista del SIS debe demostrar que los programas de aplicacin cumplen la ERS
de los programas cuando corren en el equipo y programas embebidos usados en los subsistemas del SIS.
8.8.11.2 Las pruebas de integracin deben ser especificadas tan pronto como sea posible en el ciclo de vida de
seguridad de los programas para asegurar la compatibilidad de los programas de aplicacin con el equipo y la
plataforma de los programas embebidos, de manera que los requisitos de desempeo y funcionales de la
seguridad se deben cumplir.
8.8.11.3 Durante la prueba, cualquier modificacin o cambio debe estar sujeta a un anlisis de impacto de la
seguridad, el cual debe determinar:
a)
b)

Los mdulos de programas que son afectados


Las actividades requeridas de re verificacin (ver 8.8.13 de esta norma de referencia)

8.8.11.4 La siguiente informacin de la prueba debe estar disponible:

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
a)
b)
c)
d)
e)
f)
g)

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 65 DE 81

Productos de configuracin bajo prueba


Productos de configuracin que apoyan las pruebas (herramientas y funcionalidad externa)
Personal involucrado
Casos de pruebas y escritos de pruebas
Los resultados de las pruebas
Si se han cumplido los objetivos y criterios de las pruebas
Si existe una falla, las razones de la falla, el anlisis de las fallas y los registros de la correccin incluyendo
la reprueba y reverificacin (ver 8.8.11.3 de esta norma de referencia)

8.8.12

Procedimientos de modificacin de los programas [LFP (FPL) y LVL]

8.8.12.1 Asegurar que los programas continen cumpliendo la ERS de los programas despus de su
modificacin.
8.8.12.2 Las modificaciones se deben desarrollar de acuerdo con 8.1.1.6.2.2 y 8.1.1.7 y 8.11 de esta norma de
referencia, con los siguientes requisitos adicionales:
a)
b)
c)
d)
e)
f)

Antes de la modificacin se debe llevar a cabo un anlisis de los efectos de la modificacin en la seguridad
del proceso y del estado del diseo de los programas y sea usado para dirigir la modificacin
Debe estar disponible la planeacin de la seguridad para la modificacin y reverificacin
Las modificaciones y reverificaciones se deben realizar de acuerdo con la planeacin
Se debe considerar la planeacin de las condiciones requeridas durante la modificacin y pruebas
Toda la documentacin afectada por la modificacin se debe actualizar
Deben estar disponibles todos los detalles de las modificaciones al SIS (registro)

8.8.13

Verificacin de los programas de aplicacin

8.8.13.1 Demostrar que la informacin sea satisfactoria.


8.8.13.2
Demostrar que los resultados de salida satisfagan los requisitos definidos en cada fase del ciclo de
vida de seguridad de los programas de aplicacin.
8.8.13.3 Se debe llevar a cabo la planeacin de la verificacin para cada fase del ciclo de vida de los
programas de aplicacin de acuerdo con 8.3 de esta norma de referencia.
8.8.13.4 Se deben verificar los resultados de cada fase para cumplir con lo siguiente:
a)
b)
c)
d)

La suficiencia de las salidas desde una fase del ciclo de vida en particular contra los requisitos para esa
fase
La suficiencia de la revisin, inspeccin y/o prueba de cobertura de las salidas
Compatibilidad entre las salidas generadas en diferentes fases del ciclo de vida
Correccin de los datos.

8.8.13.5 La verificacin tambin debe abordar lo siguiente:


a)
b)
c)

Comprobabilidad
Legibilidad
Trazabilidad

8.8.13.6 Las funciones no seguras y las interfaces de proceso integradas con las funciones y seales
relacionadas con la seguridad se deben verificar para:

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
a)
b)

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 66 DE 81

No tener interferencia con las funciones de seguridad


Proteccin contra la interferencia con las funciones de seguridad en el caso de anomalas de las funciones
no seguras

8.9

Pruebas de aceptacin en fbrica (FAT) del SIS

Estas pruebas deben ser aplicadas a todos los elementos que forman parte del SIS.
Cuando el SIS este diseado con un procesador lgico EP, el proveedor o contratista debe cumplir con 8.2.2
(Nivel II) de la NRF-049-PEMEX-2006 y lo siguiente:
8.9.1
Probar el procesador lgico EP y los programas asociados del SIS para asegurar que cumplen los
requisitos definidos en la ERS e identificar y corregir los errores asociados a la configuracin programacin del
SIS antes de su instalacin en la planta de PEMEX.
8.9.2

Especificar la necesidad de una FAT durante la fase de diseo de proyecto del SIS.

8.9.3
Especificar lo siguiente en la planeacin de una FAT en el protocolo de pruebas previamente revisado
por PEMEX:
a)
b)

c)
d)
e)
f)
g)
h)
i)

El proveedor o contratista debe solicitar a PEMEX el listado enunciativo ms no limitativo de pruebas que
debe cumplir para realizar en el proceso de pruebas (FAT).
Los tipos de pruebas a ser desarrolladas incluyendo la prueba de funcionalidad del sistema EP; pruebas de
desempeo (tiempo, confiabilidad y disponibilidad, integridad, objetivos de seguridad y restricciones), las
pruebas ambientales (incluyen compatibilidad electromagntica, tiempo de vida y pruebas de tensin),
pruebas de interfaz, pruebas en modos degradado y/o de fallo, pruebas de excepcin, aplicacin de los
manuales de mantenimiento y operacin del SIS. Casos de prueba, descripcin de la prueba y los datos de
prueba.
La dependencia en otros sistemas/interfaces.
Herramientas y entorno de la prueba.
Configuracin del procesador lgico EP.
Criterios de prueba en los que la terminacin de la prueba debe ser evaluada.
Procedimientos para adoptar medidas correctivas en caso de falla de la prueba.
Habilidades y funcin del personal de la prueba.
Ubicacin fsica.

8.9.4

Las FAT se deben llevar a cabo con la versin de hardware y software adquirida con el contrato.

8.9.5
Las FAT se deben llevar a cabo de conformidad con la planeacin de las FAT. Estas pruebas deben
mostrar que toda la lgica se desempee correctamente.
8.9.6
a)
b)
c)
d)
e)

Para cada prueba realizada, se debe seguir lo siguiente:

La versin de la planeacin de la prueba que se est usando


La caracterstica de desempeo y la FIS (SIF) que se est probando
Los procedimientos de prueba detallados y descripciones de las pruebas
Un registro cronolgico de las actividades de prueba
Las herramientas, equipos e interfaces utilizadas

8.9.7
El SIS debe ser completamente probado antes de ser enviado por el proveedor o contratista a
PEMEX.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 67 DE 81

8.9.7.1 En las pruebas FAT debe participar el personal involucrado en las etapas de diseo, construccin,
planeacin y verificacin del sistema bajo prueba.
8.9.7.2 El SIS se debe revisar y probar en un ambiente controlado de temperatura y humedad, de manera que
cualquier problema se pueda resolver y corregir usando los recursos disponibles en el sitio del proveedor o
contratista. Las pruebas FAT deben aclarar y rectificar cualquier duda o error en el desarrollo de la prueba.
8.9.7.3 El nmero de participantes depende de la complejidad y del tamao del EP del SIS. Se deben definir
las responsabilidades de cada persona participante en la FAT y en stas debe participar el siguiente personal:
a)
b)

El proveedor o contratista, es el responsable de conducir y coordinar las pruebas FAT, as como de


preparar los procedimientos (protocolo) de prueba requeridos en el 8.9.3 de esta norma de referencia.
Representantes de PEMEX.

8.9.7.4 El proveedor o contratista debe probar y verificar el desempeo del equipo y programas del EP del
SIS el cual incluye los mdulos de entrada/salida, las terminales de conexin, el cableado interno, los
procesadores lgicos EP, los mdulos de interfase de comunicacin y la IHM (HMI), la
configuracin/programacin de los programas (de operacin y de aplicacin), as como la redundancia del
sistema.
8.9.7.5
a)
b)
c)
d)
e)
f)
g)
h)

i)

Las pruebas al procesador lgico EP del SIS se deben realizar usando los siguientes criterios:

Inspeccin visual
Cableado interior de los gabinetes
Fuentes de alimentacin y su redundancia
Simulando entradas, usualmente digitales, pulsos, 4-20 mA, o termopar y observando la respuesta del
sistema
Probando las salidas, usualmente digitales o de 4-20 mA
Creando varios escenarios de falla para probar los sistemas de respaldo
Pruebas de la lgica no interactiva, esto es, la lgica que no requiere una retroalimentacin de los
dispositivos de campo para operar.
Prueba completa de la lgica. Esto es, probar funcionalmente el procesador lgico EP la interfaz del
operador, con simuladores de entrada y salida (discretos y analgicos) que simulen las entradas/salidas de
campo. La prueba se debe realizar verificando la lgica mostrada en las matrices de causa y efecto. En la
simulacin, se debe usar la misma interfaz del operador que va a ser usada en el sitio.
Se debe probar la lgica del procesador lgico EP al 100 por ciento.

8.9.7.6 La simulacin lgica se debe hacer de manera escrita en el procesador lgico EP, las salidas deben
estar ligadas a las entradas dentro de la simulacin, de modo que cuando una salida es enviada desde el
procesador lgico EP, debe obtenerse una confirmacin de que el dispositivo de salida ha operado. De este
modo, la lgica es interactiva con los dispositivos de campo.
8.9.7.7 Todos los equipos usados para la calibracin y pruebas deben presentar certificados de calibracin
vigentes por parte del proveedor o contratista, emitidos por un organismo de certificacin debidamente
acreditado y aprobado cumpliendo con lo indicado en el 8.2.4 de la NRF-111-PEMEX-2006
8.9.7.8
a)
b)
c)

Los resultados de las FAT se deben documentar, indicando:

Los casos de prueba


Los resultados de la prueba
Si se cumplieron los objetivos y criterios de la prueba

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 68 DE 81

8.9.7.9 Si hay una falla durante la prueba, las razones de la falla se deben documentar y analizar y se deben
implementar las acciones correctivas requeridas.
8.9.8
Durante las FAT, cualquier cambio o modificacin debe ser objeto de un anlisis de seguridad para
determinar:
a)
b)

El grado de impacto sobre cada funcin instrumentada de seguridad


El alcance de repeticin de la prueba debe ser definido y ejecutado
Instalacin y comisionamiento del SIS

8.10

Cuando PEMEX establezca en sus bases de licitacin el suministro e instalacin del SIS debe cumplir entre
otros con lo siguiente:
8.10.1 El embalaje y transportacin del equipo es responsabilidad del proveedor o contratista quien debe
garantizar la integridad de los equipos que conforman el SIS. El embalaje y marcado de materiales y equipos
para su embarque debe cumplir con los numerales 8.1.1 al 8.1.2, 8.1.6, 8.1.9 y 8.2 al 8.4 de la
P.1.0000.09:2005
8.10.2
En esta etapa, el proveedor o contratista debe asegurar que la instalacin del SIS incluyendo los
dispositivos de campo estn de acuerdo con el diseo detallado, los planos y la ERS, as mismo debe llevar a
cabo las pruebas de comisionamiento del SIS de modo que est listo para la validacin final del sistema.
8.10.3 En la planeacin de la instalacin y comisionamiento del SIS se deben definir todas las actividades
requeridas para ste propsito. El proveedor o contratista debe proporcionar lo siguiente:
a)
b)
c)
d)

Lista de actividades de instalacin y comisionamiento


Los procedimientos, medidas y tcnicas que se deben utilizar para la instalacin y comisionamiento
Programa de desarrollo de dichas actividades y tiempos de ejecucin
Las personas, departamentos y organizaciones responsables de estas actividades

8.10.4
El proveedor o contratista debe integrar en la planeacin global del proyecto la planeacin de la
instalacin y comisionamiento.
8.10.5 Todos los componentes del SIS se deben instalar de acuerdo con el plan de diseo e instalacin (ver
8.10.3 de esta norma de referencia).
8.10.6
a)
b)
c)
d)
e)

Se debe cumplir con los siguientes requisitos generales asociados al proceso de instalacin:

El proveedor o contratista debe considerar la instalacin del SIS de manera separada con respecto al
trabajo elctrico y electrnico de otros sistemas.
El proveedor o contratista debe asegurar que el paquete de diseo est completo.
Todos los dispositivos montados en campo deben ser instalados de modo que permitan fcil acceso tanto
para el mantenimiento como para las pruebas en lnea que puedan ser llevadas a cabo.
Se debe proteger a todos los dispositivos de campo de dao fsico o ambiental previo a la instalacin.
El proveedor o contratista no debe realizar ningn cambio o desviacin de los diagramas de diseo sin
previa autorizacin de PEMEX en forma escrita y debidamente registrada.

8.10.7 El comisionamiento debe constituir una verificacin fsica que confirme que el SIS y todos los
elementos que lo integran se encuentren fsicamente instalados de acuerdo al diseo y listos para las pruebas
OSAT. Dicho comisionamiento lo debe realizar el proveedor o contratista bajo la supervisin de PEMEX.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 69 DE 81

8.10.8
El SIS se debe comisionar en conformidad con la planeacin en la preparacin para la validacin final
del sistema.
8.10.9
Las actividades de comisionamiento deben incluir, pero no se limitan a la confirmacin de lo
siguiente:
a)
b)
c)
d)
e)
f)
g)

El sistema de tierras de instrumentos se ha conectado correctamente


Los Sistemas de Fuerza Ininterrumpible SFI se han conectado correctamente y estn en funcionamiento
No hay daos fsicos presentes
Todos los instrumentos han sido debidamente calibrados
Todos los dispositivos de campo son operables
Las seales de entradas/salidas del resolvedor lgico son operables
Las interfaces con otros sistemas y perifricos son operables

8.10.10 El proveedor o contratista debe elaborar registros del comisionamiento del SIS, indicando los
resultados de la prueba y si se han cumplido los objetivos y criterios identificados durante la fase de diseo. Si
hay una falla, se deben registrar las razones de dicha falla.
8.10.11 Cuando la instalacin no se ajusta a la informacin del diseo se debe evaluar la diferencia por una
persona calificada por parte del proveedor o contratista el probable impacto sobre la seguridad determinada. Si
se establece que no se tiene ningn impacto en la seguridad, la informacin sobre el diseo se debe actualizar
a "como quedo construido". Si la diferencia tiene un impacto negativo sobre la seguridad, la instalacin debe
ser modificada para cumplir con los requisitos de diseo.
8.10.12 Pruebas funcionales en lnea. Para todas aquellas aplicaciones en las cuales no sea prctico o sea
difcil llevar a cabo pruebas funcionales fuera de lnea, el proveedor o contratista debe proporcionar
procedimientos para llevar a cabo pruebas funcionales en lnea. Dichos procedimientos deben incluir las
pruebas funcionales de los elementos finales hasta donde sea posible.
8.11

Validacin de seguridad del SIS

Una vez que se ha terminado la instalacin y el comisionamiento, el proveedor o contratista debe realizar la
validacin de la seguridad del SIS (OSAT) y entregarla a PEMEX.
Se debe validar a travs de la inspeccin y pruebas, que el SIS instalado y comisionado y sus FIS (SIF)
asociadas alcancen los requisitos establecidos en la ERS.
8.11.1

Requisitos

8.11.1.1 El proveedor o contratista debe presentar el acta de aceptacin de las pruebas FAT; as mismo la
planeacin de la validacin del SIS debe ser entregada a PEMEX previamente a definir todas las actividades
requeridas para su validacin. Se deben incluir los siguientes puntos y cumplir con 8.2.3 (Nivel III) de la NRF049-PEMEX-2006
a)
b)

La validacin de actividades incluyendo la validacin del SIS con respecto a la ERS incluyendo la
aplicacin y la resolucin de recomendaciones resultantes.
La validacin de todos los modos relevantes de operacin del proceso y su equipo asociado incluyendo:
La preparacin para uso, incluyendo calibracin y ajuste
El arranque, automtico, manual, semi-automtico, en estado estable de operacin
La re-configuracin, paro, mantenimiento
Las condiciones anormales razonablemente previsibles, entre otros, aquellas identificadas a travs de
la fase de anlisis de riesgos

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
c)
d)
e)
f)
g)

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 70 DE 81

Los procedimientos, medidas y tcnicas usadas para la validacin.


Cundo estas actividades se deben llevar a cabo.
Las personas, departamentos y organizaciones responsables de estas actividades y los niveles de
independencia de las actividades de validacin.
La referencia a la informacin con la que se debe llevar a cabo la validacin (Matriz lgica de causa y
efecto del SIS, entre otras).
Entre las actividades que se incluyen estn prueba de lazos, procedimientos de calibracin, simulacin de
los programas de aplicacin, entre otras.

8.11.1.2 La planeacin adicional de la validacin para los programas de aplicacin de seguridad debe incluir lo
siguiente:
a)
b)

c)

d)
e)

f)

La identificacin de los programas de seguridad que requieren ser validados para cada modo de operacin
del proceso antes de comenzar el comisionamiento.
La informacin sobre la estrategia tcnica para la validacin incluyendo:
Tcnicas manuales y automatizadas
Tcnicas estticas y dinmicas
Tcnicas estadsticas y analticas
De acuerdo con b), las medidas (tcnicas) y los procedimientos que se deben usar para confirmar que
cada FIS (SIF) se ajusta a los requisitos especificados para los programas de las FIS (SIF) (ver 8.8.3 de
esta norma de referencia) y los requisitos especficos para la integridad de seguridad de los programas (ver
8.8.3 de esta norma de referencia).
Las necesidades del entorno en el que las actividades de la validacin son llevadas a cabo (para probar
esto se deben incluir herramientas calibradas y equipo, entre otros).
El criterio de pasa/falla para el cumplimiento de validacin de los programas, incluyendo:
El proceso requerido y seales de entrada del operador con sus secuencias y valores
Las seales de salida anticipadas con sus secuencias y valores
Otro criterio de aceptacin, entre otros, el uso de la memoria, tiempo y el valor de las tolerancias
Las polticas y procedimientos para la evaluacin de los resultados de la validacin, en particular las fallas.

8.11.1.3 Cuando se requiera que la exactitud de la medicin sea parte de la validacin entonces los
instrumentos usados para esta funcin deben ser calibrados con una incertidumbre requerida a la aplicacin y
con trazabilidad hacia patrones nacionales o internacionales y certificados por un organismo de certificacin
debidamente acreditado y aprobado de acuerdo con el 8.2.4 de la NRF-111-PEMEX-2006, si no es posible una
calibracin, se debe usar y documentar un mtodo alternativo.
8.11.1.4 La validacin del SIS y sus FIS (SIF) asociadas deben estar de conformidad con la validacin de la
planeacin del SIS. Las actividades de validacin deben incluir, pero no limitarse a lo siguiente:
a)
b)
c)
d)
e)
f)
g)
h)

El SIS debe desempearse bajo los modos de operacin normal y anormal (arranque, paro, entre otras)
que se sealan en la ERS.
Confirmacin de que la interaccin adversa del SCBP (BPCS) o SDMC y otros sistemas conectados no
afectan la integridad y operacin del SIS.
Verificar que el SIS se comunica correctamente (en caso requerido), con el SCBP (BPCS) o SDMC o
cualquier otro sistema o red.
Los sensores, el resolvedor lgico, y los elementos finales operan en conformidad con la ERS, incluidos
todos los canales redundantes.
La documentacin del SIS es consistente con el sistema instalado.
Confirmacin de que la FIS (SIF) opera tal como se especifica en valores no vlidos de las variables de
proceso (fuera del rango, entre otros).
Que la secuencia de paro activada sea la correcta.
El SIS proporciona indicaciones visuales de que est operando de acuerdo a lo requerido.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
i)
j)
k)
l)
m)
n)
)
o)

p)

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 71 DE 81

Los clculos que se incluyen en el SIS son correctos.


Las funciones de restablecimiento parcial y total del SIS se realizan tal como se definen en la ERS.
Las funciones de desvo y restablecimiento del desvo operan correctamente.
Los permisivos de arranque operan correctamente.
El sistema de paro manual opera correctamente.
Los intervalos de pruebas rigurosas estn documentadas en los procedimientos de mantenimiento.
Las funciones de alarma de diagnstico se realizan de acuerdo a lo requerido.
Confirmar que el SIS opera como se requiere cuando se presenta el evento de prdida de servicios
(energa elctrica, neumtica o hidrulica) y cuando se restablecen los servicios el SIS retorna al estado
deseado.
Confirmacin que la inmunidad a la Compatibilidad Electromagntica - CEM especificada en la ERS (ver
8.6 de esta norma de referencia), se ha logrado.

8.11.1.5 La validacin de los programas debe mostrar que todos los requisitos especificados de seguridad de
los programas (ver el 8.8.5 de esta norma de referencia) se ejecutan correctamente, y los `programas no ponen
en peligro los requisitos de seguridad bajo condiciones de fallo del SIS en un modo degradado de operacin o
por la ejecucin de la funcionalidad de los programas no definidos en la especificacin. La informacin de las
actividades de validacin debe estar disponible.
8.11.1.6 Los resultados de la validacin del SIS deben proporcionar la siguiente informacin:
a)
b)
c)
d)
e)
f)
g)
h)
i)

La versin de la planeacin de la validacin del SIS que est siendo usada


La FIS (SIF) bajo prueba (o anlisis), junto con la referencia especfica al requisito identificado durante la
planeacin de la validacin del SIS
Herramientas y equipo usado, junto con los datos de calibracin
Los resultados de cada prueba
La versin de la especificacin de prueba usada
Los criterios para la aceptacin de las pruebas de integracin
La versin del equipo y programas del SIS que estn siendo probados
Cualquier discrepancia entre los resultados esperados y los actuales
El anlisis hecho y las decisiones adoptadas sobre la conveniencia de continuar con la prueba o emitir una
solicitud de cambio, en el caso de que se produzcan discrepancias

8.11.1.7 Cuando se producen discrepancias entre los resultados previstos y los reales, el anlisis efectuado y
las decisiones adoptadas sobre la conveniencia de continuar con la validacin o la emisin de una solicitud de
cambio y volver a una etapa anterior del ciclo de vida de desarrollo, debe estar disponible como parte de los
resultados de la validacin de seguridad.
8.11.1.8 Despus de la validacin del SIS y ya comisionado para reducir los peligros identificados (Etapa 3
del modelo del ciclo de vida, ver figura 2 de esta norma de referencia), se deben llevar a cabo las siguientes
actividades:
a)
b)
c)
d)

Regresar a su posicin normal todas las funciones de desvo (entre otras, el forzamiento del resolvedor
lgico y los sensores forzados, las alarmas deshabilitadas).
Verificar que todas las vlvulas de aislamiento del proceso cumplan con los requisitos y procedimientos de
arranque del proceso.
Retirar todos los materiales de prueba (entre otros, los fluidos).
Eliminar todos los forzamientos y si aplica eliminar todos los forzamientos inhabilitados.

8.11.2

Validacin integral del SIS

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 72 DE 81

8.11.2.1 En caso de que el SIS forme parte de un proyecto integral en el cul existan otros sistemas [SCBP
(BPCS) o SDMC y Sistema de gas y fuego] que tengan interrelacin con el SIS, el proveedor o contratista debe
realizar pruebas integrales del SIS que confirmen la funcionalidad correcta de todos los sistemas del proyecto
integral, incluyendo la lgica de acuerdo a la ERS. Esta verificacin se debe realizar despus de que la
validacin del SIS se ha realizado de manera satisfactoria.
8.11.2.2 El proveedor o contratista debe presentar lo siguiente antes de iniciar las pruebas integrales:
a)
b)

El acta de aceptacin de las pruebas de validacin OSAT del SIS.


El plan de validacin (protocolo) de las pruebas integrales revisado por PEMEX, el cual debe contener: las
actividades a realizar, responsables, cmo se van realizar, criterios de aceptacin y formatos de registros.

8.11.2.3 La documentacin requerida para soportar las pruebas integrales debe incluir los siguientes puntos:
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
k)
l)

Procedimientos de la verificacin completa de las pruebas integrales.


Copia de la ERS.
Listado impreso del programa de la lgica del resolvedor lgico
Un diagrama de bloques del sistema integral
Una lista completa de las entradas/salidas
Diagramas de flujo de proceso y diagramas de tubera e instrumentacin
ndice de instrumentos
Diagramas de lazos
Esquemas elctricos
Matriz lgica de causa y efecto del SIS
Planos que indiquen la localizacin de los equipos principales (PLG)
Diagramas de conexiones en gabinetes, diagramas que indiquen la interconexin y las terminales de todos
los cables
m) Diagramas de trayectorias y conduccin de tubings del sistema neumtico
n) Documentacin del proveedor del equipo, incluyendo especificaciones, requisitos de instalacin, y
manuales de operacin
o) La fecha en que se realiz la prueba integral
p) Referencia a los procedimientos usados en la prueba integral
q) Constancia de aceptacin por parte de PEMEX de que el proveedor o contratista ha completado de
manera satisfactoria la prueba integral
8.11.2.4 Si se presenta el caso que durante la prueba integral no se cumple con los requisitos establecidos
durante el diseo, la discrepancia debe ser evaluada por el proveedor o contratista y debe informar a PEMEX
las implicaciones sobre la integridad del sistema que ocasiona esta discrepancia y si es requerido regresar a
alguna etapa anterior en el ciclo de vida de seguridad. Si hay una falla de algn elemento, se deben dar las
razones de la falla, registrarse y corregirse.
8.11.3

Aceptacin final del SIS

8.11.3.1 El proveedor o contratista en conjunto con PEMEX debe verificar a travs de la validacin, que el SIS
fue construido, instalado y comisionado de acuerdo a la ERS y que se encuentra listo para operar, para lo cual
se debe realizar el acta correspondiente.
8.11.3.2 El proveedor o contratista debe generar y entregar los informes de la validacin integral del SIS,
indicando los resultados de las pruebas, si se cumplieron los objetivos y los criterios identificados durante la
fase del diseo.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 73 DE 81

8.11.3.3 La documentacin para la aceptacin final del SIS debe estar actualizada. El proveedor o contratista
debe suministrar toda la documentacin generada en todas las etapas del proyecto, el manual de operacin y la
informacin tcnica debe estar en idioma espaol y las unidades de acuerdo a lo que establece la Ley Federal
sobre Metrologa y Normalizacin y su Reglamento.
8.11.3.4 La documentacin requerida para la validacin integral y que forma parte del proceso de aceptacin
del SIS debe incluir los siguientes puntos:
a)
b)
c)
d)
e)
f)
g)
h)
i)

La descripcin del sistema


Especificacin funcional del sistema
Diagramas de la configuracin completa del sistema
Memorias de clculo de la verificacin del NIS (SIL)
Manual de usuario y licencias de los programas de usuario
Protocolos, informes y actas de aceptacin de pruebas en fbrica FAT y en sitio OSAT
Procedimientos, informe y acta de aceptacin de la validacin integral
Copia de la ERS
Listado impreso del programa del procesador lgico EP o el diagrama (lgico, elctrico, bloques, escalera)
del resolvedor lgico
j)
Diagrama de bloques del sistema
k) Lista completa de las entradas/salidas
l)
Diagramas de flujo de seguridad de proceso y diagramas de tubera e instrumentacin
m) ndice de instrumentos
n) Diagramas de lazos
o) Esquemas elctricos
p) Matriz lgica de causa y efecto para el SIS
q) Planos que indiquen la localizacin de los equipos principales (PLG)
r) Diagramas de conexiones en gabinetes, diagramas de alambrado que indiquen la interconexin y las
terminales de todos los cables, diagramas unifilares elctricos
s) Diagramas de trayectorias y conduccin de tubings del sistema neumtico
t) Documentacin del proveedor del equipo, incluyendo especificaciones, requisitos de instalacin, y
manuales de operacin
u) Pruebas de desempeo
8.11.3.5 La aceptacin final del SIS se debe realizar despus de que el proveedor o contratista haya
demostrado a PEMEX que el SIS opera correctamente con los dems componentes de la instalacin
interrelacionados con dicho SIS y entregue la documentacin anterior.
8.12

Operacin y mantenimiento del SIS

Se debe asegurar que el SIS opere y se mantenga dentro de la seguridad funcional diseada y debe garantizar
que el NIS (SIL) objetivo de cada FIS (SIF) se mantiene durante las etapas de operacin y mantenimiento.
8.12.1

Requisitos

8.12.1.1 El proveedor o contratista debe realizar la planeacin de las actividades de operacin y mantenimiento
del SIS, y debe incluir lo siguiente:
a)
b)
c)
d)
e)

Actividades para operacin normal y anormal


Desglose de las actividades de mantenimiento preventivo y de pruebas funcionales y rigurosas
Los procedimientos, medidas y tcnicas a emplear durante la operacin y mantenimiento
Verificacin de la observancia de los procedimientos de operacin y mantenimiento
Programas de cundo se deben llevar a cabo estas actividades

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
f)
g)
h)
i)

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 74 DE 81

Equipos y herramientas requeridas para llevar a cabo las actividades de mantenimiento


Las personas, departamentos y organizaciones responsables de estas actividades
El grado de capacitacin y competencia requerido por el personal que debe llevar a cabo las actividades
de operacin y/o mantenimiento
Recopilacin de informacin relacionada con la confiabilidad de los componentes del SIS durante la fase
de operacin

8.12.1.2 El proveedor o contratista debe desarrollar en idioma espaol, los procedimientos de operacin y
mantenimiento de conformidad con la planeacin de seguridad relevante y debe proporcionar lo siguiente:
a)

b)

c)
d)
e)

f)

Acciones rutinarias requeridas para mantener la seguridad funcional del SIS "tal y como se dise", entre
otros, fijando intervalos de prueba rigurosa definidos por la determinacin del NIS (SIL); para el caso de las
vlvulas de bloqueo automatizadas este procedimiento debe utilizar alguno de los mtodos de prueba de
carrera parcial indicados en la ANSI/ISA-TR96.05.01-2008 o equivalente, con la supervisin de PEMEX.
Acciones y restricciones requeridas para prevenir un estado inseguro y/o reducir las consecuencias de un
evento peligroso durante el mantenimiento o la operacin (entre otros, cuando un sistema tiene que estar
desviado by pass para la realizacin de pruebas o mantenimiento, qu pasos adicionales de mitigacin se
deben implementar).
Informacin que se debe mantener en la falla del sistema y la tasa de demanda en el SIS.
Informacin que se debe mantener que muestre los resultados de las auditorias y pruebas en el SIS.
Procedimientos de mantenimiento a seguir cuando se presenten fallos o fallas en el SIS, incluyendo:
Procedimientos para el diagnstico y reparacin de fallos
Procedimientos para la revalidacin
Requisitos del reporte de mantenimiento
Procedimientos para el seguimiento del desempeo del mantenimiento
Garantizar que el equipo de prueba usado durante las actividades normales de mantenimiento est
calibrado y en buen estado.

8.12.1.3 La operacin y mantenimiento se deben llevar a cabo en conformidad con los procedimientos
anteriores (ver 8.12.1.2 de esta norma de referencia).
8.12.1.4 Los operadores deben estar capacitados en la funcin y operacin del SIS en su rea. Esta
capacitacin debe asegurar lo siguiente:
a)
b)
c)
d)
e)
f)
g)
h)
i)

Que comprendan las funciones del SIS (puntos de disparo y las acciones resultantes que son tomadas por
el SIS).
Los peligros contra los que el SIS est protegiendo.
La operacin de todos los interruptores de desvo y bajo qu circunstancias estos se deben usar.
La operacin de cualquier estacin manual de paro y la actividad de arranque manual y cundo estas
estaciones manuales se deben activar.
Expectativa en la activacin de las alarmas de diagnstico (entre otros, qu medidas se deben tomar
cuando se activa alguna alarma del SIS, indicando que hay un problema en el SIS).
La capacidad de programacin o configuracin del SIS.
La aplicacin de la lgica del SIS.
Entendimiento de los requisitos operacionales del sistema tanto desde la perspectiva del(os) operador(es)
como desde la perspectiva del(os) ingeniero(s) a cargo del SIS.
Entendimiento de los estndares y normas existentes a la fecha referidos al uso de SIS, incluyendo a esta
norma de referencia.

8.12.1.5 El personal de mantenimiento se debe capacitar segn sea requerido para mantener el pleno
desempeo funcional del SIS (equipo y programas) dirigidos a su integridad.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 75 DE 81

8.12.1.6 Para que el personal de operacin, instrumentacin y mantenimiento de PEMEX operen y mantengan
de manera efectiva el SIS, el proveedor o contratista del SIS junto con personal de PEMEX deben identificar el
nivel de capacitacin de acuerdo al rol y responsabilidades del personal de PEMEX. Para cumplir con lo anterior
se deben impartir los siguientes cursos:
a)
b)

Configuracin de: IHM (HMI), procesador lgico EP, instrumentacin de campo y SFIs
Cursos de operacin y mantenimiento del SIS. Dichos cursos deben considerar los siguientes temas:
filosofa de operacin, mantenimiento preventivo, pruebas de diagnstico y pruebas rigurosas del SIS,
interpretacin de fallos y diagnsticos, instalacin y operacin de los programas de aplicacin, supervisin
y alarmas, arranque y puesta en servicio del SIS. Todos los cursos impartidos deben ser en idioma
espaol.

8.12.1.7 Por lo tanto el proveedor o contratista debe dar la capacitacin y efectuar la evaluacin del personal
que opere el SIS. La capacitacin debe considerar lo indicado en el 8.12.1.4 de esta norma de referencia.
8.12.1.8 Las discrepancias entre el comportamiento esperado y el comportamiento real del SIS se deben
analizar y, en caso requerido, las modificaciones se deben realizar de tal manera que la seguridad se
mantenga. Debe incluir el monitoreo de lo siguiente:
a)
b)
c)
d)

Las acciones tomadas siguiendo la demanda en el sistema


Las fallas del equipo que forman parte del SIS establecido durante las pruebas de rutina o la demanda real
La causa de las demandas
La causa de los disparos falsos

8.12.1.9
seguir:
a)
b)

Los procedimientos de operacin y mantenimiento pueden requerir revisin, en tal caso, se debe

Auditorias de seguridad funcional


Las pruebas en el SIS

8.12.1.10 Se deben desarrollar procedimientos escritos en idioma espaol para llevar a cabo la prueba
rigurosa para cada FIS (SIF), con objeto de revelar fallas peligrosas no detectadas por el diagnstico. Estos
procedimientos escritos de prueba deben describir cada una de las etapas que se llevan a cabo y deben incluir:
a)
b)
c)

La operacin correcta de cada sensor y elemento final


La accin lgica correcta
Las alarmas e indicaciones correctas

8.12.2

Prueba rigurosa e inspeccin

8.12.2.1 Prueba rigurosa


8.12.2.1.1 Las pruebas rigurosas peridicas se deben llevar a cabo mediante un procedimiento escrito (ver
8.12.1.10 de esta norma de referencia) para revelar fallos no detectados que permitan al SIS funcionar en
conformidad con la ERS.
8.12.2.1.2 El SIS completo se debe someter a prueba incluyendo los sensores, resolvedor lgico y los
elementos finales (entre otros, cierre de vlvulas y paro de motores).
8.12.2.1.3 La frecuencia de las pruebas rigurosas se deben decidir usando el clculo de PFD prom

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 76 DE 81

8.12.2.1.4 Todas las deficiencias detectadas durante la prueba rigurosa se deben reparar de una manera
segura y oportuna.
8.12.2.1.5 En algunos intervalos peridicos (determinados por PEMEX), la frecuencia de las pruebas se deben
re-evaluar en funcin de diversos factores, entre ellos los datos histricos de pruebas, la experiencia de la
planta, la degradacin del equipo, programas y la confiabilidad de los programas.
8.12.2.1.6 Cualquier cambio en la lgica de aplicacin requiere una prueba rigurosa completa. Excepciones a
esto son permitidas en su caso si la revisin de la informacin y las pruebas parciales de los cambios se llevan
a cabo para garantizar que los cambios se implementaron correctamente.
8.12.2.2 Inspeccin
Conforme a los programas de mantenimiento cada SIS debe ser inspeccionado visualmente para asegurar que
no se hayan realizado modificaciones no autorizadas y no se observe algn deterioro (entre otros: la falta de
pernos o cubiertas de instrumentos, abrazaderas oxidadas, alambres desconectados, tubos conduits rotos,
trazas de calor rotas, y aislamiento faltante).
8.12.2.3 Documentacin de las pruebas rigurosas e inspeccin
PEMEX debe mantener registros que certifiquen que las pruebas rigurosas e inspeccin se concluyeron de
acuerdo con lo requerido. Estos registros deben incluir la siguiente informacin como mnimo:
a)
b)
c)
d)
e)

Descripcin de las pruebas e inspecciones realizadas


Las fechas de las pruebas e inspecciones
Nombre de las personas quienes realizaron las pruebas e inspecciones
Nmero de serie u otro identificador nico del sistema probado; entre otros, el nmero de lazo, nmero de
identificacin, nmero de equipo, y nmero de FIS (SIF)
Los resultados de las pruebas e inspeccin (entre otros, condiciones de "tal y como se encontr" y "tal y
como se dej")

8.13

Modificacin del SIS

Los proveedores o contratistas deben cumplir con las modificaciones a cualquier SIS siempre y cuando estn
debidamente planeadas y revisadas por PEMEX antes de hacer el cambio, y garantizar que la integridad de la
seguridad requerida del SIS se mantiene a pesar de los cambios al SIS.
8.13.1

Requisitos

8.13.1.1 Antes de llevar a cabo cualquier modificacin de un SIS, los procedimientos para autorizar y controlar
los cambios se deben tener en sitio. Los procedimientos deben incluir un mtodo entendible para identificar y
solicitar el trabajo por hacer y los peligros que puedan resultar.
8.13.1.2 Se debe llevar a cabo un anlisis para determinar el impacto sobre la seguridad funcional como
resultado de la modificacin propuesta. Cuando el anlisis muestre que la modificacin propuesta pueda
impactar la seguridad, entonces se debe regresar a la primera fase del ciclo de vida de seguridad, afectado por
la modificacin.
8.13.1.3 La actividad de modificacin no debe comenzar sin la debida autorizacin de PEMEX. La informacin
adecuada se debe mantener para todos los cambios en el SIS y debe incluir:
a)

Una descripcin de la modificacin o cambio

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
b)
c)
d)
e)
f)
g)
h)
i)

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 77 DE 81

La razn para el cambio


Los peligros identificados que pueden ser afectados
Un anlisis del impacto de la actividad de modificacin en el SIS
Todas las aprobaciones requeridas para los cambios
Las pruebas usadas para comprobar que el cambio se implemento correctamente y el SIS se desempea
de acuerdo a lo requerido
El historial de la configuracin
Las pruebas usadas para verificar que el cambio no ha afectado negativamente las partes del SIS que no
se modificaron
El programa para la ejecucin de los cambios

8.13.1.4 La modificacin se debe realizar con personal calificado y capacitado. Todo el personal afectado debe
ser notificado de los cambios y capacitado con respecto a los cambios.
8.13.1.5 Todos los cambios a los procedimientos operativos, informacin de seguridad del proceso, y
documentacin general del SIS se deben verificar y actualizar antes de volver a poner en operacin al SIS.
8.13.1.6 Toda la documentacin se debe proteger contra destruccin, prdida o modificacin no autorizada.
8.14

Desmantelamiento del SIS

El proveedor o contratista debe realizar un proceso de revisin del plan de desmantelamiento para garantizar
que la remocin del SIS no impacte al proceso o unidades circundantes y que existan los medios de seguridad
para proteger al personal, al equipo y al medio ambiente durante los trabajos de desmantelamiento bajo una
supervisin autorizada por parte de PEMEX.
8.14.1

Requisitos

8.14.1.1 Antes de llevar a cabo cualquier desmantelamiento de un SIS, se deben tener en sitio los
procedimientos elaborados por el proveedor o contratista y revisados por PEMEX y tener el control de cambios
revisado por PEMEX.
8.14.1.2 Los procedimientos se deben basar en los anlisis de riesgo de la instalacin, identificando y
solicitando los trabajos por realizar e identificar los peligros que puedan resultar.
8.14.1.3 El proveedor o contratista debe realizar una evaluacin del impacto en la seguridad funcional como
resultado de la actividad propuesta de desmantelamiento. Dicha evaluacin debe incluir una actualizacin del
anlisis y evaluacin de riesgos para determinar el alcance y la profundidad que las fases subsecuentes del
ciclo de vida de seguridad que se deben retomar. La evaluacin debe considerar:
a)
b)

La seguridad funcional durante la ejecucin de las actividades de desmantelamiento


El impacto en las unidades operativas adyacentes y los servicios auxiliares de la instalacin debido al
desmantelamiento del SIS

8.14.1.4 Durante la administracin de la seguridad funcional se deben utilizar los resultados de los anlisis de
impacto para volver a activar los requisitos relevantes de esta norma de referencia, incluyendo los de reverificacin y re-validacin.
Las actividades de desmantelamiento no se deben iniciar sin la debida autorizacin de PEMEX.
8.15

Requisitos de Informacin y documentacin

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 78 DE 81

El proveedor o contratista debe entregar a PEMEX conforme lo requiera en las bases de licitacin toda la
documentacin que se cita a continuacin, adems debe garantizar que la informacin requerida est
disponible y documentada, a fin de que todas las fases del ciclo de vida de seguridad se puedan desempear
de manera efectiva, para que la verificacin, validacin y evaluacin de las actividades de la seguridad funcional
se puedan realizar eficazmente. Para la estructura de la documentacin ver el Anexo A de la IEC 61508-1
8.15.1

Requisitos

8.15.1.1 La documentacin requerida por esta norma de referencia debe estar disponible y:
a)
b)
c)
d)
e)

Describir la instalacin, sistema o equipo y el uso de la misma


Ser exacta
Ser fcil de entender
Satisfacer la finalidad para la cual est destinada
Estar disponible en una forma accesible y conservable

8.15.1.2 La documentacin debe tener una nica identidad por lo que debe ser posible referenciar las
diferentes partes.
8.15.1.3 La documentacin debe tener las denominaciones, indicando el tipo de informacin.
8.15.1.4 La documentacin debe ser trazable a los requisitos de esta norma.
8.15.1.5 La documentacin debe tener un ndice de revisin (nmeros de versin) para que sea posible
identificar las diferentes versiones de la informacin.
8.15.1.6 La documentacin debe ser estructurada para hacer posible la bsqueda de informacin relevante.
Debe ser posible identificar la ltima revisin (versin) de un documento.
8.15.1.7 Toda la documentacin relevante debe ser revisada, enmendada, aprobada y estar bajo el control de
un esquema de control de la informacin.
8.15.1.8 La siguiente documentacin se debe mantener:
a)
b)
c)
d)
e)
f)

9.1

Los resultados del anlisis y evaluacin de riesgos y las hiptesis relacionadas


Los equipos usados para FIS (SIF) junto con sus requisitos de seguridad
La organizacin responsable del mantenimiento de la seguridad funcional
Los procedimientos para lograr y mantener la seguridad funcional del SIS
La modificacin de informacin, tal como se define en 8.13.1.3 de esta norma de referencia
El diseo, implementacin, prueba y validacin
9 RESPONSABILIDADES

PEMEX

Vigilar la aplicacin de los requisitos de esta norma de referencia, en actividades que se lleven a cabo en la
determinacin del NIS (SIL) para los SIS en los procesos industriales de las instalaciones de PEMEX.
Verificacin del cumplimiento de esta norma de referencia, debe ser realizada a travs de la constancia de
cumplimiento de los proveedores o contratistas.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 79 DE 81

Verificar que los licitantes cuenten con personal tcnico especializado con experiencia en la determinacin del
NIS (SIL) para los SIS en los procesos industriales, conforme a los lineamientos legales vigentes.
Verificar el cumplimiento del contrato establecido incluyendo los anexos tcnicos respectivos, los cuales deben
cumplir estrictamente los lineamientos marcados por esta norma de referencia.
Aplicar la Ley Federal de Metrologa y Normalizacin, la Ley de Obras Pblicas y Servicios Relacionados con
las Mismas, as como la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Pblico, en lo referente a
adquirir, arrendar o contratar bienes y servicios.
Responsabilidad de PEMEX con respecto al anlisis y evaluacin de riesgos.- PEMEX debe proporcionar la
informacin ms actualizada posible de sus instalaciones para desarrollar el anlisis y evaluacin de riesgos
para la determinacin del NIS (SIL) objetivo del SIS. En caso de que se cuente vigente por un perodo de 5
aos el anlisis y evaluacin de riesgos de la instalacin, ste debe ser proporcionado al proveedor o
contratista, para actualizarlo o complementarlo.
9.2

Proveedores o contratistas

Cumplir como mnimo los requerimientos especificados en esta norma de referencia.


Considerar dentro del organigrama del personal especialista designado para ejecutar los trabajos materia de un
determinado contrato para ejecucin de obra pblica y dentro del cual se contemple la aplicacin de esta norma
de referencia, a un responsable tcnico con experiencia previa en trabajos similares. Las firmas de ingeniera
y/o contratistas se comprometan a mantener durante el desarrollo de los trabajos y hasta su entrega final a un
responsable tcnico con la finalidad de garantizar la correcta ejecucin de los trabajos en estricto apego a los
lineamientos marcados por la norma de referencia y a los requerimientos de PEMEX.
Es responsable de la calidad final de los trabajos, materiales y servicios, ya sean proporcionados por l mismo o
por sus propios proveedores y/o subcontratistas.
Toda la documentacin y registros que se generen en los trabajos que competen a esta norma de referencia,
antes y durante el desarrollo de la construccin y/o ingeniera (procedimientos, planos, bitcoras, diagramas,
memorias, estudios, correspondencia, entre otros), se deben entregar a PEMEX en idioma espaol y conforme
a la NOM-008-SCFI-2002 (se puede poner entre parntesis otro idioma o sistema de medidas). Asimismo dicha
entrega se debe realizar por medios electrnicos e impresos, segn los requerimientos de la licitacin, y debe
estar validada con sello y rbrica del responsable de la compaa, proveedor o contratista, fabricante o el que
corresponda.
Adicionalmente a lo establecido en esta norma de referencia se debe cumplir y documentar en pruebas FAT y
OSAT a PEMEX lo estipulado en el Manual de seguridad Safety manual del equipo segn la aplicacin.
Cumplir lo estipulado en el artculo 67 de la Ley de Obras Pblicas y Servicios Relacionados con las Mismas.

10

CONCORDANCIA CON NORMAS MEXICANAS O INTERNACIONALES

Esta norma de referencia tiene una concordancia parcial de aproximadamente 65 por ciento con la internacional
IEC 61511 en el momento de su elaboracin.

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
11

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 80 DE 81

BIBLIOGRAFA

11.1
ANSI/ISA-84.00.01-2004 Part 1 (IEC 61511-1 Mod) Functional Safety: Safety Instrumented Systems
for the Process Industry Sector - Part 1: Framework, Definitions, System, Hardware and Software Requirements
(Seguridad funcional: Sistemas Instrumentados de Seguridad para el Sector de la industria de proceso - Parte
1: Marco, definiciones, sistema, requisitos del equipo y programas).
11.2
ANSI/ISA-84.00.01-2004 Part 2 (IEC 61511-2 Mod) Functional Safety: Safety Instrumented Systems
for the Process Industry Sector - Part 2: Guidelines for the Application of ANSI/ISA-84.00.01-2004 Part 1 (IEC
61511-1 Mod) Informative (Seguridad funcional: Sistemas Instrumentados de Seguridad para el Sector de la
industria de proceso - Parte 2: Guas para la aplicacin del ANSI/ISA-84.00.01-2004 Parte 1 (IEC 61511-1 Mod)
Informativa).
11.3
ANSI/ISA-84.00.01-2004 Part 3 (IEC 61511-3 Mod) Functional Safety: Safety Instrumented Systems
for the Process Industry Sector - Part 3: Guidance for the Determination of the Required Safety Integrity Levels
Informative (Seguridad funcional: Sistemas Instrumentados de Seguridad para el Sector de la industria de
proceso - Parte 3: Guas para la determinacin de los niveles de integridad de seguridad requeridos
Informativa.
11.4
ANSI/ISA-TR96.05.01-2008 Partial Stroke Testing of Automated Block Valves (Pruebas de carrera
parcial para vlvulas de bloqueo automatizadas).
11.5

API RP 552 1994 Transmission Systems. (Sistemas de transmisin).

11.6
ISA-5.2-1976 (R 1992) Binary logic diagrams for process operations (Diagramas lgicos binarios para
operaciones de procesos).
11.7
ISA-TR84.00.02-2002 - Part 2 Safety Instrumented Functions (SIF) - Safety Integrity Level (SIL)
Evaluation Techniques Part 2: Determining the SIL of a SIF via Simplified Equations. (Funcon Instrumentada de
Seguridad (FIS) Nivel de Integridad de Seguridad (NIS) Tcnicas de evaluacin parte 2: Determinacin del
NIS de una FIS va Ecuaciones Simplificadas).
11.8
ISA-TR84.00.02-2002 - Part 3 Safety Instrumented Functions (SIF) - Safety Integrity Level (SIL)
Evaluation Techniques Part 3: Determining the SIL of a SIF via Fault Tree Analysis. (Funcon Instrumentada de
Seguridad (FIS) Nivel de Integridad de Seguridad (NIS) Tcnicas de evaluacin parte 3: Determinacin del
NIS de una FIS va Anlisis de rbol de Fallas).
11.9
ISA-TR84.00.02-2002 - Part 4 Safety Instrumented Functions (SIF) - Safety Integrity Level (SIL)
Evaluation Techniques Part 4: Determining the SIL of a SIF via Markov Analysis. (Funcon Instrumentada de
Seguridad (FIS) Nivel de Integridad de Seguridad (NIS) Tcnicas de evaluacin parte 4: Determinacin del
NIS de una FIS va Anlisis de Markov).
11.10

P.1.0000.09:2005 Embalaje y marcado de equipos y materiales.

11.11

P.2.0401.02:2005 Simbologa e identificacin de instrumentos.

12

ANEXOS

12.1

Formato de matriz lgica de causa y efecto del SIS

Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios

SEGURIDAD FUNCIONAL SISTEMAS


INSTRUMENTADOS DE SEGURIDAD
PARA LOS PROCESOS DEL SECTOR
INDUSTRIAL

NRF-045-PEMEX-2010
REV. 0
PGINA 81 DE 81

You might also like