Professional Documents
Culture Documents
ÍNDICE
1. GENERAL ........................................................................................................................................... 3
1.1. Objeto y alcance .................................................................................................................................. 3
1.2. Abreviaturas y Normas aplicadas ......................................................................................................... 4
5. SISTEMAS DE COMUNICACIONES.................................................................................................. 20
7. ALIMENTACIONES ELECTRICAS..................................................................................................... 21
7.1. Generalidades ................................................................................................................................... 21
7.2. Fallo eléctrico .................................................................................................................................... 22
7.3. Tierra del Sistema.............................................................................................................................. 23
14. FORMACION..................................................................................................................................... 31
15. REPUESTOS..................................................................................................................................... 31
1. GENERAL
1.1.1. La presente Especificación de Diseño (ED) aplica exclusivamente cuando se utiliza un PLC de
Seguridad como operador lógico de un Sistema de Enclavamientos, tanto en Instalaciones de
Superficie (E&P) de YPF nuevas como existentes.
1.1.4. Para todo lo que explícitamente no se trate en esta Especificación, será de aplicación lo dicho en la
Especificación general ED(EP)-I-02.00.
1.1.5. El presente documento forma parte de la última edición de las Especificaciones Técnicas de YPF y
hace referencia, así mismo, a la última edición de las Normas y Códigos citados y/o aplicables.
1.1.6. Este documento se complementa en cada proyecto con una Especificación Particular, compuesta por
los siguientes documentos:
• Los Datos Básicos de Diseño (en lo sucesivo DBD) emitidos para el mismo y que recoge los
aspectos particulares del mismo.
• Especificación Funcional del SE específico de la planta: Define los criterios a emplear en la
configuración y programación del Sistema.
• Los típicos de Entradas / Salidas, Descripción Funcional, Diagramas Causa Efecto, Diagramas
Lógicos de Enclavamientos correspondientes.
• Los documentos de Ingeniería (Lista de entradas /salidas con datos de configuración, formación de
multicables, etc.).
1.1.7. En caso de discrepancia entre los documentos de una Requisición, prevalecerá el siguiente orden de
prioridad:
1.1.8. Se tendrá en cuenta que la Especificación particular y la Requisición de Compra no deben entrar en
conflicto con esta Especificación de Diseño salvo en los puntos expresamente aprobados por YPF.
1.1.9. Las excepciones o modificaciones a la presente Especificación que el Vendedor considere hacer
deberán ser incluidas por escrito en la oferta.
1.1.10.Todas las excepciones se tratarán en un único documento donde se hará referencia al punto concreto
de esta ED objeto de la excepción así como a los motivos de la misma.
1.1.11.Sólo serán admitidas las desviaciones o excepciones a la Especificación que se reflejen explícitamente
en el pedido final para compra.
Normas internas
2. CARACTERISTICAS GENERALES
2.1.1. Dentro del ámbito de las normas IEC 61508 / 61511 se definen las Capas de Protección Independientes
(Independent Protection Layers: IPL) como las salvaguardias utilizadas para mitigar el riesgo del
proceso. Las IPL difieren de la visión tradicional en que deben cumplir con los siguientes criterios:
• Específica: una IPL es capaz de detectar y prevenir o mitigar las consecuencias de eventos
potencialmente peligrosos como “runaway”, fugas o explosiones.
• Independiente: una IPL es independiente de todas las otras capas de protección asociadas con la
identificación de un evento peligroso. La independencia requiere que su comportamiento no este
afectado por el fallo de otra capa de protección, o por las condiciones que causan que otra capa de
protección falle. La capa de protección debe ser también independiente de la causa de iniciación.
• Fiable: La protección proporcionada por la IPL reduce el riesgo especificado en una cantidad
conocida y especificada.
• Auditable: La IPL está diseñado para permitir validación periódica de la función de protección.
El propósito de estos criterios es asegurar que cada IPL puede proporcionar una reducción del riesgo
mensurable y predecible. La reducción del riesgo, debe ser de al menos un orden de magnitud para
alcanzar el estatus de IPL.
2.1.2. Una vez conocidos los riesgos de una Planta, debe realizarse el análisis de IPL para establecer la
reducción de riesgo requerida para cada IPL. Para realizar dicho análisis, se identifican los eventos
peligrosos y se determinan sus potenciales causas y consecuencias. A continuación se evalúan las IPL
utilizadas para prevenir o mitigar cada evento peligroso y se asigna a cada una de ellas los objetivos de
Reducción de Riesgo basado en su diseño específico. El análisis IPL no está completo hasta que el
riesgo residual se ha reducido hasta un nivel tolerable.
2.1.3. Los SE constituyen una IPL. Dentro del ámbito de la norma IEC 61508 / 61511 reciben la
denominación de SIS (Sistemas Instrumentados de Seguridad). Un SIS se define como aquel Sistema
instrumentado utilizado para mitigar los riesgos del proceso relacionados con incidentes catastróficos.
Incluye por lo tanto, los instrumentos, el operador lógico (relés, PLC, etc.), los actuadores (válvulas,
variadores, etc.), las alimentaciones (aire, energía eléctrica, etc.) y todo tipo de accesorios y periféricos.
2.1.4. El conjunto formado por los instrumentos, el operador lógico, los actuadores, las alimentaciones y
accesorios para mitigar un determinado riesgo se denominan Función Instrumentada de Seguridad
(SIF). Para cada SIF es obligatorio calcular el Factor de Reducción de Riesgo (RRF) que se
correlaciona directamente con el SIL requerido.
2.1.5. A la hora de diseñar cada SIF se deberá tener en cuenta el SIL requerido para establecer los requisitos
2.1.6. El rendimiento o la disponibilidad de un SIS se define en función del PFDavg (Probabilidad media de fallo
bajo demanda). En la tabla siguiente se indica la correlación entre SIL, Disponibilidad, PFDavg, y RRF.
Safety Integrity Disponibilidad requerida Probabilidad de fallo bajo RRF: Reducción del riesgo
Level (SIL) demanda (PFDavg) (1/PFD)
2.1.7. Hay diversos factores que afectan dicho rendimiento, aunque no siempre es posible actuar sobre
dichos factores por la filosofía de operación de la planta. Lo importante es ajustar estos factores para
conseguir la mejor combinación posible que nos permita alcanzar el SIL requerido. Los factores más
importantes son los siguientes:
2.1.8. Tasa de fallos (Failure Rate: FR). Es un índice del número de fallos por hora [1/hora]. Se define como la
inversa de MTTF (Mean Time To Failure / Tiempo Medio Para Fallo) expresado en horas.
1 1
FR =
hora 8760 hora * MTTF [año]
año
Donde MTTF es el tiempo esperado para que el sistema dé un fallo. Este dato se obtiene de valores
experimentales, dividiendo el número de fallos entre el número de unidades en servicio.
FR es el parámetro que más incide en el PFDavg. Pero en la práctica es difícil de cambiar, ya que implica
sustituir el equipo por otro de menor tasa de fallos o mejorar las condiciones ambientales si está sujeto a
estrés de algún tipo (ambiente corrosivo, altas temperaturas, alta humedad, etc.).
2.1.9. Fracción de fallo seguro (Fraction Safe Failure: FSF). Los fallos se pueden catalogar según dos
criterios: si son detectables o no; y si conducen al sistema a una situación segura o peligrosa.
Se define FSF como la fracción de fallos que conducen a la planta a una situación segura frente a los
fallos totales:
FRSD + FRSU
FSF [%] =
FRSD + FRSU + FRDD + FRDU
Sobre este parámetro pueden tener impacto condiciones tales como acción a fallo de la válvula.
2.1.10. Cobertura de los diagnósticos (Diagnostic Coverage: DC). La cobertura de los diagnósticos se
refiere a la fracción de fallos que pueden ser detectados o localizados y por lo tanto posibilitan la
reparación en el tiempo especificado.
Se define DCSAFE como la fracción de fallos detectables que conducen a la planta a una situación segura
frente a los fallos detectables totales que llevan la planta a una situación segura:
DC SAFE [%] =
FRSD
FRSD + FRSU
Se define DCDANGER como la fracción de fallos detectables que conducen a la planta a una situación
peligrosa frente a los fallos detectables totales que llevan la planta a una situación peligrosa:
DC DANGER [%] =
FR DD
FR DD + FR DU
2.1.11.Causa común (Common Cause: CC). Los fallos de un sistema pueden ser aleatorios o sistemáticos. La
probabilidad de que se den simultáneamente dos fallos aleatorios es muy baja. Pero ante fallos
sistemáticos puede ocurrir que exista una causa común que produzca la aparición de más de un fallo
simultáneamente. Por ejemplo el fallo del ventilador de un PLC puede provocar el fallo simultáneo de
varios canales.
Cuando las funciones de seguridad se diseñan del tipo tolerante a fallo, entonces este parámetro es el
que más influye en la determinación de PFDavg. La estimación de este parámetro es muy difícil (ver IEC
61508 Parte 6 Anexo D).
La causa común está relacionada con la diversidad y puede reducirse utilizando dispositivos diferentes o
de distinto Fabricante.
2.1.12.Tiempo medio para hacer las reparaciones (Mean Time To Repair: MTTR). Para los valores normales
de trabajo, este parámetro suele tener una influencia pequeña en PFDavg.
2.1.13.Intervalo de pruebas fuera de línea (Off-line Proof Test Interval: TI). Este parámetro suele tener una
influencia grande en PFDavg. Cuanto antes se detecte un fallo, antes se puede reparar. Si se disminuye
en un factor de 10 disminuye el PFDavg en la misma proporción.
El problema es que muchas veces no es posible reducir TI porque para realizar estos test puede ser
necesario parar la planta o una porción de ella.
2.2.1. Los criterios que determinan el tipo de análisis de riesgos en cada proyecto nuevo o modificación
vienen expresados en la SCOR N-12 y SCOR 15. Cuando sea necesario realizar la actividad de
Análisis Cuantitativo de Riesgos (ACR) o cuando se realice un análisis Semicuantitativo de Riesgos, se
llevará a cabo simultáneamente el cálculo del Nivel de Integridad de Seguridad (SIL) de cada riesgo y
será obligatorio que el diseño del Sistema de Enclavamientos sea acorde con las normas IEC 61508 /
615111 (salvo indicación expresa en contra de YPF).
2.2.2. En estos casos, se deberá utilizar como Operador Lógico de un SE, un PLC de Seguridad. Se entiende
por PLC de Seguridad aquel Controlador Lógico Programable que está específicamente diseñado de
acuerdo a las normas DIN 19.250 y / o IEC 61.508 / 615111. Se trata, por lo tanto, de equipos con
certificación AK y/o que estén considerados aptos para aplicaciones SIL 1-3.
2.2.3. Los PLC de Seguridad se caracterizan por proporcionar una alta disponibilidad de la Función de
Seguridad. En caso de fallo del sistema, garantizan la puesta a “cero lógico” de todas las salidas y por
lo tanto la parada de la Unidad de Proceso.
2.3.1. Aunque la normativa de referencia es IEC 61508 / 61511, que se refiere a Sistemas Instrumentados de
Seguridad (SIS) en esta Especificación nos vamos a referir preferentemente a una parte de los SIS
denominada Operador Lógico (o Logic Solver) de la que forman parte los PLC de Seguridad.
2.3.2. Sin embargo, deberá tenerse en cuenta que la Ingeniería responsable del SE proporcionará para la
totalidad de la función (iniciador, operador lógico actuador, y todos los elementos involucrados)
a). En fases iníciales del Proyecto: el cálculo del SIL requerido para alcanzar la Reducción de Riesgo
especificada.
b). Como documentación final: el cálculo del SIL de cada SIF para comprobar que cumple con el SIL
requerido.
2.3.3. Los elementos del SE distintos del Operador Lógico, (principalmente instrumentos y actuadores) no
presentan requisitos específicos que difieran de lo indicado en la Especificación ED(EP)-I-02.00
“Generalidades del Sistema de Enclavamientos”. No obstante, teniendo en cuenta los factores citados
que afectan a los SIS, se pueden dar una serie de recomendaciones para aumentar, cuando así se
requiera, la disponibilidad de actuadores y detectores:
• Usar detectores y actuadores con una Tasa de fallos pequeña (especialmente aquellos
certificados para aplicaciones SIL1-3).
Un ejemplo son las pruebas periódicas de agarrotamiento de actuadores (Partial Stroke Test).
Consisten en realizar movimientos parciales de la carrera del actuador para comprobar que no está
agarrotado. Dichas pruebas pueden ser manuales o automáticas.
e). Usar instrumentos que midan distintas variables capaces de detectar el mismo riesgo.
• Utilizar equipos con una alta cobertura de diagnósticos. Esto implica lo siguiente:
• Para disminuir los fallos debidos a Causa Común se tomarán las siguientes medidas:
l). No compartir tomas de instrumentos (al menos entre instrumentos del mismo SE).
m). Las señales de instrumentos que detecten el mismo riesgo, se conectarán a tarjetas diferentes
ubicadas en bastidores (racks) diferentes (con alimentaciones distintas).
2.3.4. Los límites del PLC de Seguridad serán por una parte las borneras de entrada al sistema de todas las
señales de proceso y parámetros que se especifiquen, sean de carácter analógico o discreto, y todas
las salidas a válvulas u otros elementos finales de enclavamiento y mando. Por otra parte, los límites
también los constituyen los elementos de interfaz con el Operador o Consola de Operación (pantallas,
teclados, impresora, etc.) y los Módulos de interfaz con otros sistemas o periféricos. Dependiendo del
proyecto, la interfaz con el operador puede estar compartido con el Sistema de Control o ser
independiente para el Sistema de Enclavamientos.
3.1.1. Los armarios de Control se instalarán en zona segura (salvo indicación expresa en el documento DBD).
Inicialmente están destinados a ubicar los siguientes elementos de control e interconexión:
• Controladores.
• Fuentes de Alimentación y los correspondientes convertidores AC/DC.
• Tarjetas de E/S, tanto de tipo analógico como digital.
• Aisladores / separadores / relés cuando sean necesarios.
• Borneras de entradas.
• Equipos auxiliares: por ejemplo módulos o equipos para integración de vías de comunicaciones o
similar.
• Temperatura 5 a 45º C.
• Choque térmico máximo 1º C/min.
• Humedad relativa 20-90 % (no condensable).
•
3
Polvo 0.1 mg/m , 0 – 0.5 micrón.
3.1.3. Los armarios deben cumplir al menos con un IP-45 cuando se encuentren en Salas de Racks
acondicionadas. En el caso de E/S remotas en Campo o en Salas no acondicionadas, deberán ser IP-
55 y se validara en cada DBD.
3.1.4. La construcción de los armarios se realizará de acuerdo con el estándar del Fabricante, sin embargo,
deberán tenerse en cuenta los requisitos expuestos a continuación:
3.1.5. Los armarios estarán constituidos por diferentes módulos de tamaño estándar, no se permitirá unir más
de 5 módulos y en cualquier caso este número y dimensiones dependerá de la disponibilidad de
espacio para cada proyecto.
3.1.6. En salas de rack se recomienda la utilización de armarios con posibilidad de ingreso por la parte
delantera y trasera del mismo, las medidas de los mismos serán aprobadas por YPF. En caso de
tableros de montaje exterior se realizarán según ED(EP)-J-09.00; sus dimensiones, robustez, seguridad
serán especificadas en los DBD de cada Proyecto.
3.1.7. La entrada de cables se realizará por la parte inferior tanto en los montajes exteriores a través de
conduit, como en las salas de rack pero en este caso, a través del falso suelo existente, siempre que
sea posible.
3.1.8. Cada armario irá dotado de llave de cierre de seguridad. Se admiten puertas dobles. Con indicación de
puerta abierta en el respectivo SCADA. Todos los armarios llevarán una etiqueta identificativa en lugar
visible.
3.1.9. Si fuese necesario irán equipados con extractores de aire, (uno por módulo) dimensionados de acuerdo
con la cantidad de calor a disipar, generado por los equipos que vayan instalados dentro del armario.
De ser necesario de acuerdo a la zona geográfica se colocaran resistencias calefactoras dentro de los
tableros.
3.1.10.En la parte superior o techo existirá a disposición del servicio de mantenimiento de la planta una
lámpara con interruptor para iluminación del interior del armario.
3.1.11.En parte accesible existirá a disposición del servicio de mantenimiento de la planta una toma de
corriente del voltaje considerado estándar en la Instalación de Superficie (230 V 50 Hz, etc.).
3.1.12.Las alimentaciones a cada una de las fuentes, así como al ventilador instalado, las lámparas,
resistencias calefactoras y tomas de corriente, serán independientes unas de las otras.
3.1.13.Los armarios estarán diseñados de tal forma que puedan incorporar un sistema de detección de
humos.
3.1.14.La protección contra interferencias de radio y magnéticas, será de acuerdo con las Normas IEC 61000.
Los PLC de los SE tendrán independencia física y funcional del resto de los sistemas de
Instrumentación o Control.
3.1.15.Los armarios contenidos en las salas de rack estarán construidos en diferentes módulos siguiendo una
distribución racional en la que en una cara del modulo se ubiquen las regletas de borneras, en otra los
racks de E/S, en otro los separadores galvánicos y en otro CPU, fuentes de alimentación,
transformadores, etc. En los de montaje exterior se determinara en los DBD de acuerdo a las
3.1.16.La ubicación de los elementos arriba expuestos se hará siguiendo los siguientes criterios:
3.1.18.Se recomienda que los equipos y tarjetas electrónicas sean enchufables, para montar en rack,
diseñados de tal modo que puedan ser sustituidos en servicio.
3.1.19.Se requiere que exista una bornera frontera entre los módulos de E/S y los cables de campo. Esta
bornera frontera formará parte del armario que contenga el sistema pero estará físicamente separada
de la electrónica. En ningún caso las Entradas / Salidas podrán ir cableadas directamente a las tarjetas.
Todos los multicables de E/S se incorporarán al sistema a través de regletas de borneras simples con
la misma disposición y etiquetado del multicable correspondiente.
3.1.20.Cada entrada / salida tendrá a su disposición en el armario de interfaz 2 ó más borneras, según el tipo
de elemento para su conexión con los cables de campo. Todas las reservas del PLC estarán cableadas
e identificadas hasta las borneras fronteras.
3.1.21.Las borneras se agruparán de acuerdo a la composición de los multicables que lleguen al equipo. Las
regletas de borneras se identificarán igual que el multicable que reciben. Todos los pares/ternas de
reserva que vengan en los multicables se cablearán a borneras.
3.1.22.Las borneras irán identificadas por el lado de campo con el nombre de la señal y por el lado del sistema
con la dirección física dentro del sistema (nº de controlador, nº de módulo y nº de canal) o al menos
regleta y par.
3.1.23.En general, tanto para circuitos de seguridad intrínseca (borneras azules) como para los que no lo son
(borneras grises), se preverán los siguientes tipos de borneras:
a). Borneras fusibles individuales en los comunes de cada una de las salidas con tensión.
3.1.25.Las borneras serán para montar sobre guía, inaflojables, en material no higroscópico y certificadas por
un organismo competente El perfil para borneras con relé de seguridad intrínseca (S.I.), se instalará
horizontalmente. Todas serán adecuadas para alojar, como mínimo, conductores de 2,5 mm2.
3.1.26.Todos los puentes entre borneras que sean necesarios se realizarán con barreta de interconexión.
3.1.27.La sección del cableado a utilizar será de 0,5 mm2 como mínimo, para las señales a 24 V y 1,5 mm2
como mínimo para solenoides y alimentación eléctrica.
3.1.28.En caso de instalarse en los armarios del PLC tanto las borneras de interconexión con los equipos
eléctricos como los relés de salida, se agruparán por cuadros eléctricos y diferenciados del resto del
sistema de enclavamientos en una sección o compartimiento independiente en donde se alojarán con
la suficiente accesibilidad. Las entradas de Electricidad estarán en regleta independiente de las salidas.
3.1.29.Electricidad facilitará la sigla del servicio y cuadro eléctrico correspondiente a cada señal.
Instrumentación se responsabilizará de la interconexión con los cuadros eléctricos ejecutando la
adquisición de todos los cables de interconexión, realizando, con la colaboración de Electricidad, los
planos de interconexión según el ejemplo de la Hoja de Datos HD(EP)-J-1100.01
3.1.30.Cuando los elementos iniciadores estén localizados en zona clasificada, las entradas llevarán
elementos “asociados” de Seguridad intrínseca “EEx i” con separación galvánica. Se evitará, en el caso
de utilizar aisladores galvánicos con más de un canal, asociar al mismo aislador señales de distintos
Sistemas de Enclavamientos.
Los equipos de S.I. y sus regletas estarán separados de los demás, los cables irán por cablecanales
separados y las tapas de los cablecanales serán de color azul.
3.2.1. Las fuentes de Alimentación irán ubicadas en el interior de los armarios de control. Deberán cumplir los
siguientes requisitos
3.2.2. Tensión de entrada: 230/110 V y 50Hz (confirmar en cada caso la tensión estándar).
3.2.3. Tensión de salida: 230/110 V 50Hz ó 24 Vcc según lo determine el consumidor final.
3.2.4. Serán 100% redundantes cuando lo determinen los DBD, de acuerdo al SIL que surja del análisis de
riesgos.
3.2.5. Cuando lo determinen los DBD (de acuerdo al nivel SIL que surja del análisis de riesgos), tendrán doble
entrada de tensión de alimentación.
3.2.6. Estarán dotadas de protección por sobretensión ante sobrepicos de corriente en caso de alimentación
230 / 110 V, 50 Hz, tanto si están alimentadas desde corriente segura (SAI), como de NO segura.
3.2.9. Dotadas de monitoreo de aviso en caso de sobrecalentamiento y fallo, tanto por un led local como por
alarma en la Interfaz del Operador.
3.2.10.Siempre que sea posible enchufables para montar en rack, diseñadas de tal modo que puedan ser
sustituidas en servicio.
3.2.11.Las alimentaciones (24 Vcc) desde las fuentes de alimentación deberán estar cableadas de forma que
garanticen la doble alimentación a los diferentes componentes (CPU, tarjetas E/S, etc.)
3.2.12.Todo el equipo de control (controladores, tarjetas de E/S, aisladores, etc.) deberá ser alimentado por
dos fuentes distintas cuando el SIL definido luego del análisis de riesgo, así lo requiera.
3.2.13.Las fuentes deben garantizar una salida estable, incluso ante cambios en la tensión de alimentación de
± 15 % y cambios de temperatura de ± 10º C.
3.2.14.Queda prohibido alimentar los instrumentos de campo desde fuentes de otros sistemas (por ejemplo
desde el SCD).
3.3. Controladores
3.3.1. Los controladores irán ubicados en el interior de los armarios de control preferiblemente en zona segura
(salvo indicación expresa en el documento DBD). Deberán cumplir los siguientes requisitos
3.3.2. Todas las configuraciones con la certificación adecuada y/o aptas para el SIL requerido, son aceptables
siempre que además alcancen una disponibilidad del SE elevada
Hardware:
3.3.3. Serán enchufables para montar en rack, diseñados de tal modo que puedan ser sustituidos en servicio.
3.3.4. Estarán basados en microprocesadores de al menos 32 bits que podrán seguir actuando
autónomamente, incluso ante una interrupción en las comunicaciones con el resto de módulos del
sistema (tarjetas de E/S, interfaz del operador, módulos de interfaz con otros equipos, etc.).
3.3.5. La memoria de programa será de estado sólido y programable, sin necesidad de extraerla de la Unidad
Central. En caso de ser volátil (RAM), tendrá respaldo de baterías (mínimo 72 h. de autonomía). El
cambio de baterías, si la unidad está normalmente alimentada en ese momento, se podrá realizar sin
que afecte al funcionamiento normal del sistema.
3.3.6. El estado de la batería será indicado exteriormente mediante una alarma que indique baja carga de
batería y que permanecerá hasta que no se sustituya y llevará además un contacto para uso externo.
Se prefiere que, desde que se indique el desgaste de la batería, se disponga de al menos 30 días para
recambiar la misma sin peligro de borrado de la memoria, en caso de fallo de tensión.
3.3.7. En caso de fallo del sistema, las salidas llevarán a la planta a posición segura (disparo) y se avisará al
operador.
3.3.8. La configuración / interconexión entre controladores y fuentes de alimentación será aquella que permita
el mayor grado de redundancia que requiera el SIL establecido. Cada controlador deberá ser
alimentado al menos por dos fuentes de alimentación distintas.
Software:
3.3.12.Será posible configurar diferentes ciclos o tiempos de ejecución para cada una de las funciones.
3.3.13.El programa de aplicación podrá cargarse al controlador mientras esté en servicio, de tal forma que no
exista en ningún momento pérdida de adquisición de datos ni de seguridad del proceso. Además,
permitirá realizar cambios on-line en la configuración.
3.3.14.El software realizará autodiagnósticos y dispondrá de indicadores luminosos que muestren su estado
funcional. Estos diagnósticos también estarán disponibles en la interfaz de operación.
3.4.1. Las tarjetas de E/S se instalarán en chasis denominados bastidores o racks, en las salas de racks
(zona segura), en los mismos tipos de armarios que los módulos de control. También podrán ubicarse
alejados de ellos, ya sea en salas remotas o ubicados directamente en campo, dependiendo del
análisis de riesgos. En este caso, la instalación deberá cumplir los requisitos que obligue la
clasificación eléctrica del área y los DBD.
3.4.2. La utilización de racks de E/S alejados de la CPU (racks remotos) deberá limitarse en lo posible y
requerirá la autorización explícita de YPF. La comunicación entre dichos racks remotos y la CPU
deberá realizarse según lo requiera el análisis de riesgos y las normas IEC 61508, IEC 61511. Un
ejemplo típico son los racks remotos ubicados en la Sala de Control que incorporan las señales de
pulsadores y lámparas instalados en la Consola de Operación.
3.4.4. Serán redundantes si así lo determina el análisis de riesgos. Todas las señales criticas para la
seguridad (SIL>=1) se cablearán a tarjetas de Seguridad o Seguras a Fallo (Fail Safe). En caso de fallo
van a posición de seguridad.
3.4.5. Las señales No críticas para la seguridad se podrán cablear a tarjetas estándar.
3.4.6. Como regla general, y según lo requiera el análisis de riesgos, serán redundantes aquellas señales que
produzcan disparos en procesos considerados críticos para las personas, el medio ambiente o la
producción.
3.4.7. La redundancia puede lograrse duplicando tarjetas o utilizando tarjetas cuya electrónica esté duplicada
o triplicada por canal.
3.4.8. Los elementos iniciadores podrán ser simples, duplicados o triplicados, dependiendo del SIL requerido.
a). Todas las señales simples que produzcan un disparo de seguridad, independientemente de su
procedencia, se cablearán a tarjetas de Seguridad redundantes.
b). Todas las señales de elementos duplicados o triplicados que produzcan un disparo de seguridad,
independientemente de su procedencia, podrán cablearse a tarjetas de Seguridad No
Redundantes, diferentes y ubicadas en bastidores (racks) diferentes.
3.4.9. Los elementos actuadores podrán ser simples o duplicados, dependiendo del SIL requerido.
a). Todas las acciones sobre un elemento simple asociadas a un disparo de seguridad, se cablearán
desde tarjetas de Seguridad redundantes.
b). Todas las acciones sobre elementos duplicados asociadas a un disparo de seguridad, podrán
cablearse desde tarjetas de Seguridad No Redundantes, diferentes y ubicadas en bastidores
(racks) diferentes.
3.4.10.De ser necesario, el sistema dispondrá de tarjetas adecuadas para aquellas señales que requieran una
resolución de scan de al menos 1 milisegundo y estampado de tiempo en la propia tarjeta, con objeto
de conocer el orden en que se han producido determinados eventos.
3.4.12.La configuración / interconexión entre tarjetas y fuentes de alimentación será aquella que permita el
mayor grado de redundancia y satisfaga los requisitos surgidos del análisis de riesgos.
3.4.13.Siempre que sea posible, enchufables para montar en rack, diseñadas de tal modo que puedan ser
sustituidas en servicio y a prueba de cortocircuito.
3.4.14.Normalmente los Fabricantes disponen de tarjetas aisladas canal a canal; estas tarjetas deben
utilizarse cuando las señales están fuera de área clasificada, evitando que el fallo de una señal o canal
influya en el resto de señales. Las señales de Seguridad Intrínseca (SI) se conectarán mediante
aisladores galvánicos separados de las tarjetas.
3.4.18.En todos los casos los circuitos de seguridad intrínseca estarán físicamente separados de los que no
lo son.
3.4.20.Cuando los elementos iniciadores estén duplicados o triplicados y estén asociados a circuitos de
seguridad intrínseca, deberán ir cada uno a diferente tarjeta de separadores galvánicos.
3.4.21.En cualquier caso, en cada proyecto, antes de adoptar estos criterios como definitivos, requerirá la
aprobación de YPF.
3.5.1. La transmisión de señales analógicas al PLC será preferiblemente realizada en 4-20 mA, lineal
(respecto a la variable transmitida) y aislada.
3.5.2. Siempre que esté disponible, se incluirá además un protocolo digital como complemento a la señal 4-
20 mA, pero sólo para fines auxiliares (mantenimiento, medidas secundarias en transmisores
multivariables, etc.). Este protocolo será según se indique en los DBD del proyecto.
3.5.3. YPF indicará en los DBD, la manera en que la información asociada a la gestión inteligente del
instrumento llegue a la sala de control (por ejemplo mediante tarjetas aptas para protocolo HART de
manera que la información asociada llegue de conjuntamente con la señal 4-20 mA).
3.5.4. Todas las señales irán aisladas galvánicamente canal a canal, las señales de seguridad intrínseca
mediante aisladores separados de las tarjetas y el resto mediante tarjetas adecuadas.
3.5.5. Los aisladores galvánicos de nueva adquisición serán compatibles con el protocolo de comunicación
utilizado y certificados de acuerdo al SIL determinado en los estudios realizados, no filtrando ni
distorsionando la señal digital asociada al mismo.
3.5.6. Los aisladores galvánicos serán individuales y de un solo canal. Cada canal estará dotado de fusible
independiente o de un circuito de protección independiente.
3.6.1. Los módulos de E/S tendrán pilotos (diodos luminosos LED, o similar) de indicación de estado de cada
E/S.
3.6.2. Todas las señales que lleguen de CCM, vendrán a través de relés con contactos libres de potencial.
3.6.4. Las tarjetas de aislamiento galvánico podrán ser de doble canal. En este caso solo podrán conectarse
señales de la misma Función de Seguridad (con excepción de las señales de elementos duplicados).
3.6.5. Se usarán con entradas procedentes de contactos secos (libres de tensión) que serán interrogados
3.6.6. Deberán admitir también señales procedentes de sensores inductivos tipo NAMUR y entradas de
pulsos.
3.7.1. Serán todas a 24 Vcc, directas en tensión o a través de relé de interposición con bobina de 24 Vcc. En
este último caso, los contactos de salida serán conmutados, con rating mínimo de 2 A @ 125 Vcc / 5 A
110 Vca, 230 Vca.
3.7.3. Las salidas Tipo 1 y Tipo 2 se usarán para salidas activas (alimentadas desde el PLC) y la Tipo 3 para
salidas pasivas (las interrogadas por la tensión del equipo receptor de las mismas).
3.7.4. La salida Tipo 2 se usará siempre que se dé cualquiera de las circunstancias siguientes:
3.7.5. La tensión “V” de las salidas Tipo 2 es suministrada por el gabinete del PLC, ya sea en 24 Vcc desde
sus propias fuentes o bien en otra tensión desde un distribuidor interno de corriente.
3.7.6. Todos los relés de salida tendrán la certificación adecuada al SIL requerido.
4.1. Generalidades
4.1.1. En cada proyecto, y según lo requerido por el análisis de riesgos, se indicará en el DBD, el tipo de
Interfaz con el Operador:
a). Estaciones compartidas con el Sistema de Control. Sólo admisible cuando la comunicación SC-SE
sea de solo lectura y cualquier falla en el SC no afectara el funcionamiento del SE
b). Estaciones independientes para el Sistema de Enclavamientos con SCADA según ED(EP)-I-01.01
4.1.3. Las estaciones independientes se tratan a continuación. Se incluyen en este apartado tanto las
estaciones de Operación como las de Ingeniería o Programación del PLC. Ambos tipos de estaciones
se ubicarán en las denominadas Salas de Control o de Ingeniería / Mantenimiento (respectivamente).
Las condiciones ambientales en dichas Salas (temperatura, humedad, luminosidad, etc.) vendrán
determinadas por las normativas vigentes en cada momento sobre Seguridad e Higiene en el Trabajo.
Por tanto, la adaptación de las estaciones a dichas normas resulta imperativa.
4.2.1. Las Estaciones de Operación son manejadas por los operadores de planta para labores de
monitorización y supervisión de los enclavamientos de seguridad del proceso. Se agrupan en Consolas,
siendo cada Consola manejada por un único operador. Cada consola es un conjunto de entre 1 y 2
Estaciones de Operación.
4.2.2. El número de Estaciones por consola se definirá en cada proyecto en el documento DBD. Se admitirán
consolas de una única estación cuando en la misma sala se encuentren otras consolas desde las que
se pueda acceder a la monitorización y control de todo el sistema.
4.2.3. La alimentación no es necesario que sea redundante, pero si segura. Si hubiera varias estaciones en la
misma consola o en la misma sala, dichas estaciones se alimentarán desde dos SAI, de forma que la
mitad de las estaciones estén conectadas a cada SAI.
4.2.4. Para SCADA basados en tecnología Windows y/o Cliente-Servidor debe considerarse la existencia de
una de las siguientes opciones:
• SAI auxiliar para permitir el cierre ordenado de la estación, con autonomía suficiente para realizar
dicha tarea conectada a la alimentación segura. Existirá software destinado al cierre automático y
ordenado de las aplicaciones, así como del sistema operativo ante caídas de alimentación del
sistema y entrada en servicio de las SAI auxiliares.
• Transfer switch conectado a doble alimentación que garantice el suministro ininterrumpido de
alimentación a las estaciones de la consola.
4.2.5. Cada Estación de Operación contará con el equipamiento necesario de acuerdo al sistema
instalado/solicitado y a los requisitos surgidos del análisis de riesgos.
4.3.1. En caso necesario (si así se indica en el DBD) se podrán instalar estaciones de operación remotas
individuales (de las mismas características que las anteriores) en:
a). Salas alejadas del cuarto de control, acondicionadas climáticamente y consideradas como zona
no clasificada. Dichas estaciones tendrán las mismas características que las estaciones de la consola
y además podrán ser configuradas sólo para visualización, inhibiéndose el mando.
b). Paneles locales en campo. Dichos equipos tendrán las mismas funcionalidades que los
anteriores, pero su clasificación eléctrica será adecuada para el entorno en el que se instale.
4.4.2. Se recomienda utilizar una única estación para configurar todos los PLC del SE. Cada estación
constará como mínimo con los requisitos solicitados para dicho sistema.
4.4.3. De manera eventual, la Estación de Ingeniería podrá utilizarse como estación de operación, sin que se
requieran tareas de configuración complejas ni licencias adicionales.
• Funciones de configuración.
• La pantalla de programación mostrará el estado en tiempo real de cualquier señal del sistema.
• Comprobación del funcionamiento de la lógica en tiempo real.
• Posibilidad de programar “en línea”, es decir, que se puedan realizar modificaciones en la lógica,
sin tener que parar el equipo y por lo tanto la Planta.
• Se podrán forzar (puentear) Entradas o Salidas con la Unidad de Programación, por personal
autorizado (ver IEC 61511).
• Compilación de los programas y carga de los mismos al sistema.
• Configuración de informes.
• Test y diagnósticos del sistema.
4.4.5. Dicha estación dispondrá del software y de todas las licencias necesarias para llevar a cabo las
funciones anteriores.
4.4.6. Se podrá realizar la programación con los lenguajes de programación que marca la norma IEC 61131-3
Programmable Controllers - Part 3: Programming Languages.
4.4.7. El Sistema dispondrá de funciones de seguridad certificadas para poder programar la parte de
seguridad de la aplicación.
4.4.8. Los contadores o temporizadores se deben hacer vía soft, formando parte integral de la programación
del PLC. Si hay temporizadores o contadores cuyo valor de consigna se ha de cambiar con frecuencia,
(por ejemplo mensual), se realizarán vía interfaz de operación (SCADA o estación de operación SC),
mediante pantalla protegida con clave de acceso.
4.4.9. Se deberá poder limitar, bajo llave y/o según los DBD la posibilidad de programación a personal no
autorizado.
4.4.10.Es imprescindible que la grabación de un programa “back up” no requiera detener la Unidad Central.
4.5. Impresoras
• Volcados de pantalla.
• Impresión de sinópticos y overviews.
• Eventos del sistema y alarmas de proceso.
• Trabajos de Ingeniería.
4.5.3. Las funciones de impresión podrán realizarse desde cualquier estación de la consola, aunque las
impresoras se conecten físicamente sólo a una de las estaciones o a un servidor.
5. SISTEMAS DE COMUNICACIONES
5.1.1. Los PLC correspondientes al SE de cada área de proceso de Planta deberán conectarse en una red
mediante un protocolo estándar comúnmente aceptado. El mal funcionamiento de dicha red no debe
afectar el sistema de seguridad.
5.1.2. A esta red es donde se debe conectar el SCADA de visualización o la conexión al SC (salvo que YPF
indique explícitamente lo contrario en el documento DBD).
5.1.5. El Proveedor del PLC, debe indicar en su oferta todas las particularidades de su equipo relacionadas
con el sistema de comunicaciones, para aprobación de YPF.
5.1.6. El Proveedor del PLC del SE deberá indicar con el mayor detalle posible las características mecánicas,
eléctricas y recomendaciones de instalación de los cables de comunicación.
5.1.7. La Ingeniería decidirá en que pedido incluir los medios de comunicación entre distintos sistemas.
6. OTROS MODULOS
6.1.1. La sincronización de todos los equipos implicados en el control y seguridades de la planta se realizará
desde un Master Clock con resolución de 1 milisegundo. Dicho Master Clock parte del SC o externo
(GPS o similar).
6.2.1. Mediante estos módulos el sistema podrá intercambiar datos tanto con los ordenadores externos del
sistema de información de la Unidad de Superficie, como con otros sistemas de control (ya sean tipo
SCD, tipo PLC o basados en PC), de medición de nivel de tanques, de control de máquinas, redes de
válvulas motorizadas, etc.
• Soporte físico: RS-232-C , RS-422 ó RS-485, Ethernet y los determinados por los DBD
• Protocolo de comunicaciones adecuado para conexiones será aprobado por YPF y ampliamente
aceptado en el entorno industrial
7. ALIMENTACIONES ELECTRICAS
7.1. Generalidades
7.1.1. La alimentación a los elementos del PLC del SE será con corriente segura. La forma de lograr la
alimentación segura difiere en función de la Instalación de Superficie, debiendo verificarse en los DBD
la manera de implementar y mantener dicha alimentación según lo requerido por el análisis de
seguridad realizado.
7.1.3. La alimentación a los equipos será a través de transformadores de aislación con separación galvánica y
pantalla de Faraday.
7.1.4. La alimentación de 24Vcc serán suministrada por al menos dos fuentes de alimentación redundantes.
Todas las fuentes de alimentación tendrán un sistema de respaldo (back-up) de manera que el fallo de
una de ellas no afecte a la operación. Por medio de un relé de mínima tensión se detectará cuando hay
7.1.5. La alimentación a equipos críticos se diseñará de tal forma que satisfaga lo requerido por el análisis de
seguridad realizado.
7.1.6. Los separadores galvánicos se alimentarán siempre a 24 Vcc y a través de una termomagnética para 8
unidades como máximo, agrupándose por equipos o zonas de riesgo.
7.1.7. La alimentación a electroválvulas será a través de termomagnéticas bipolares individuales para cada
solenoide. Previa autorización de YPF, se aceptarán alimentaciones a grupos de electroválvulas.
7.1.8. La protección a los comunes de entradas críticas para la seguridad, será por dos termomagnéticas
unipolares de 1 A por cada conjunto de señales agrupadas por equipos y para un máximo de 32
entradas, cerrando el circuito
7.1.9. La protección a los comunes de entradas NO críticas, será con una sola termomagnética, también
cerrando el lazo por cada grupo de señales de un equipo, una regleta o para un máximo de una tarjeta
(32 entradas).
7.1.10.Los comunes (negativo) salidas, señalizaciones, etc., se alimentarán con una termomagnética,
cerrando el lazo por cada grupo de señales de un equipo, regleta o tarjeta (máximo 32 salidas).
7.1.11.Se pondrá especial atención a si los aisladores de seguridad intrínseca utilizados requieren fuentes de
alimentación certificadas.
7.1.12.La alimentación del alumbrado del armario, tomas auxiliares, etc. se hará a través de circuitos
independientes de la alimentación al equipo de lógica y resto del sistema de enclavamientos, con
objeto de evitar posibles interferencias en el funcionamiento del sistema.
7.1.13.Los gabinetes con salidas a solenoides tendrán alimentación de corriente segura una por cada grupo o
unidad controlada (ver ED(EP)-J-13.04).
7.1.14.La alimentación a equipos auxiliares, tales como: fuentes de alimentación auxiliares, interfaz de
visualización, impresora, modem, etc. se alimentarán de SAI y si es posible, de diferente SAI del que
alimenta la CPU. Se protegerá siempre a través de termomagnético bipolares.
7.1.15.Durante el desarrollo de la Ingeniería, se desarrollará un esquema unifilar donde figure con claridad la
distribución de las alimentaciones, prestando especial atención a las agrupaciones que se realicen para
cada interruptor termomagnético. Esta documentación requerirá la aprobación de YPF.
7.1.16.El Proveedor entregará los cables de alimentación y los cables de señal de interconexión entre los
diversos equipos, aun cuando su uso sea esporádico (por ejemplo entre la Unidad Central y la Unidad
de Programación, etc.).
7.2.1. Se deberá especificar qué ocurriría en caso de fallo eléctrico, momentáneo o continuado, en cada parte
del sistema, ya sea por fallo de alimentación suministrada por YPF o en la alimentación final al equipo
(después de las baterías en caso de existir éstas).
7.2.2. Se deberán desglosar los pasos que habría que dar, y su duración, para volver a poner el sistema
totalmente en servicio cuando se restablezca la tensión.
7.2.3. Las baterías de apoyo (si existen) deberán llevar un sistema que detecte su mal funcionamiento previo
a su entrada en servicio y que sea capaz de indicar su estado, tanto con indicadores luminosos como a
través de la interfaz de operación.
7.3.1. El Proveedor especificará claramente las necesidades y disposición de las tomas de tierra y red
equipotencial, desde los puntos de vista funcional, de seguridad intrínseca y de protección ante
descargas atmosféricas y sobre tensiones.
7.3.2. Se seguirán las especificaciones y recomendaciones del Proveedor en cuanto a apantallamiento, tomas
de tierra, etc.
8. CRITERIOS DE REDUNDANCIA
El criterio de redundancia será determinado para adecuar la instalación del SE al nivel de SIL
determinado en el estudio de seguridad. Se verificara este criterio en:
Módulos de control
Módulos de E/S
Consolas de operación
Sistemas de comunicación
9. CRITERIOS DE RESERVAS
9.1.1. Los gabinetes de E/S una vez finalizadas deberán disponer como mínimo de un 30 % de espacio de
reserva, para ubicación de futuros equipos y cableado.
9.1.2. Los controladores y sus memorias, utilizarán al final del proyecto y en ciclo de máxima ocupación,
menos del 70% de su capacidad.
9.1.3. Al final del proyecto y en recuento global de tarjetas y canales deberá de existir una disponibilidad de
reservas del 20%. El criterio de reparto entre los distintos armarios de control será el más equilibrado
posible.
9.1.4. Todas las reservas deberán ser configuradas y cablearse a las borneras fronteras
10.1. Generalidades
10.1.1.El PLC estará provisto de un software de sistema de uso general y de un software de aplicación
especifico para cada proyecto.
• El sistema operativo.
• El sistema de autodiagnóstico.
• El sistema de configuración de la Red (nodos).
• El sistema de configuración de la interfaz con el proceso (controladores y E/S).
• El sistema de configuración del interfaz hombre – máquina, siempre que sea independiente al del
SCD.
• Configuración de los registros históricos de variables, eventos y alarmas.
10.2.1.El PLC deberá tener las funciones y métodos de programación que marca la norma IEC 61131-3
Programmable Controllers - Part 3: Programming Languages.
10.3.1.Una alarma es un aviso al operador de que debe tomar una acción en un periodo de tiempo
relativamente corto.
10.3.3.Las alarmas serán activadas bien por Software del Sistema de Enclavamientos sobre las señales de
medida que llegan al mismo, procedentes de transmisores, o bien por interruptores (presostatos,
interruptores de nivel, etc.) de campo actuados por el propio proceso que llegan al Sistema de
Enclavamientos como señal discontinua, dando alarma.
10.3.5.El sistema de detección de alarmas debe proporcionar un temprano aviso de que hay un problema que
requiere la intervención del operador mientras se minimizan las alarmas innecesarias o sin sentido.
Para conseguir esto se debe elegir el tipo de alarma más adecuado para cada parámetro. El sistema de
detección de alarmas de señales analógicas debe tener al menos las siguientes:
10.3.6.Únicamente se configurarán las alarmas que aparezcan en los P&ID o en la base de datos de la
Ingeniería.
• Alarma de receta: útil en procesos discontinuos donde se debe cambiar la prioridad o el umbral de
alarma, según el momento de la receta.
• Validación de alarmas por combinaciones o secuencias: la alarma solo se genera cuando se
cumple una combinación o secuencia de condiciones que indica la existencia de un problema.
• Rearme automático: si una alarma se ha silenciado pero continua activa durante un tiempo
predeterminado, vuelve a generar la señal audible.
• Modificación dinámica de alarmas: consiste en la modificación de los parámetros de las alarmas
(umbral, prioridad, banda-muerta, etc.) en función del modo de operación de la Planta.
• Alarmas adaptativas: consiste en el uso combinado de umbrales fijos y velocidad de cambio o
desviación. Cuando nos encontramos lejos del umbral se relaja la velocidad de cambio o
desviación, a medida que nos acercamos se endurece la velocidad de cambio o desviación.
10.3.8.La prioridad de una alarma es la definición del grado de urgencia asociada a una alarma y por lo tanto
el orden en que el operador debe tomar la acción correctiva cuando hay varias alarmas simultáneas.
El grado de urgencia de una alarma depende de la severidad de las consecuencias y del tiempo
disponible y requerido para que se tome la acción correctiva y tenga el efecto deseado.
Existirán como mínimo tres niveles de prioridad de alarmas: baja, alta y emergencia. Además a cada
alarma de un mismo punto se podrá configurar independientemente un nivel de prioridad.
10.3.9.La señal audible debe dar la máxima información posible acerca de la prioridad de la alarma y el área
de la Planta afectada. Permite:
10.3.10. Todas las alarmas que intervengan en los sistemas de enclavamientos deberán generarse con
discriminación del 1er. defecto, según la norma ISA 18.1 secuencia F1A. El resto se generarán según
la secuencia A. Las alarmas serán enviadas a la impresora en el mismo orden en que han sido
detectadas en el PLC y recogiendo la hora, minuto, segundo y centésima de segundo en que han
ocurrido. El almacenamiento histórico de las alarmas producidas no podrá ser borrado. El PLC tendrá al
menos la capacidad de almacenar como mínimo los últimos 10.000 eventos.
10.3.11. El operador debe ser capaz de identificar rápidamente la causa del problema que ha producido la
alarma. Para ello el sistema de visualización debe proporcionar al menos los siguientes mecanismos:
• Lista de alarmas activas ordenadas por tiempo o por prioridad (seleccionable por operador). Dicho
listado constará al menos de la siguiente información básica: nombre, servicio, prioridad, tipo de
alarma, valor de la variable y hora en que se produjo. La información de este lista seguirá un código
de colores, intermitencias y luminosidades adecuado para discriminar las alarmas por su prioridad y
su estado de reconocimiento. Seleccionando la alarma activa debe poder irse a un esquemático,
grupo o detalle que nos de información de la situación.
• Presentación de alarmas en gráficos de operación mediante la aparición de iconos de alarmas,
cambios de colores, intermitencias, etc.
• Identificación de primer defecto dentro de un grupo de alarmas con discriminación de milisegundos
en la detección de las alarmas.
• Reconocimiento de alarmas individual, mediante una tecla de pantalla o del teclado de operación.
10.3.12. El operador debe acceder rápidamente al esquemático apropiado para tomar la acción correctiva.
Para permitir ello, el sistema de visualización debe tener las siguientes funciones:
10.3.13. Todas las modificaciones tanto en la configuración de alarmas como en su activación / desactivación
deben hacerse desde las pantallas de operación e Ingeniería. Pero teniendo en cuenta que los
• Acceso de seguridad: deben estar limitados con una clave o llave física, el acceso al cambio de los
parámetros de alarma, tales como umbrales, prioridad o simplemente la activación o desactivación.
• Ante cualquier cambio debe quedar grabado la fecha y hora, así como, quien lo realizo.
• Almacenar las alarmas (tag, prioridad, hora de aparición, hora de reconocimiento, hora de
desaparición).
• Identificación de alarmas inactivas o suprimidas.
• Identificación de alarmas continuas (que no desaparecen en un tiempo dado).
• Impresión de la información básica de la alarma (nombre, servicio, prioridad, tipo de alarma, valor
de la variable y hora en que se produjo), tanto en tiempo real como con datos historizados.
• Análisis de alarmas, post-eventos.
• Creación de una base de datos “viva” con todas las alarmas y todos sus parámetros.
10.3.15. En los cambios de estado en las Entradas y Salidas, las alarmas serán indicadas en pantalla e
impresora en una línea que contenga:
10.3.16. Se evitará hacer repeticiones innecesarias en la descripción (Ej.: PSLL-023 Baja presión...); así como
incluir en la descripción de un elemento iniciador información referente a elementos finales (Ej.: FSLL-
022 Paro del horno), en estos casos se pondrán dos mensajes, uno para el elemento inicial y otro
para el final.
10.3.17. En la sigla de los elementos actuadores de enclavamientos de utilizará la letra “S” (Ej.: PSL) en vez
de la “A” (Ej.: PAL) para que haya una mayor diferenciación con los Sistemas de Alarmas
convencionales.
10.3.18. La secuencia de aparición en pantalla / impresora de los mensajes será: primero la causa, luego el
efecto. En una parada de la planta se podrá seguir a posteriori paso a paso en qué orden se actuaron
los elementos iniciadores y finales. Para ello se requiere que el sistema sea capaz de conservar el
orden de aparición de, al menos 60 mensajes.
11. DOCUMENTACION
11.1. Generalidades
11.1.1. Esta documentación debe adecuarse a las SCOR N-12 Y SCOR N-15
11.1.2. En la oferta, el Proveedor indicará el consumo total estimado y la máxima tolerancia admitida por su
equipo respecto a la alimentación suministrada por otros. En los ventiladores de refrigeración indicará
su tensión de alimentación y consumo. Asimismo especificará la disipación de calor, con objeto de
realizar el estudio del sistema de aire acondicionado.
11.1.3. Toda la documentación de carácter particular asociada al pedido, deberá haber sido previamente
aprobada por la Ingeniería responsable del Proyecto.
11.1.4. El idioma a utilizar para la ejecución de la misma será el Castellano (o en su defecto el Inglés previa
aprobación de YPF y donde no se pueda suministrar en castellano).
11.2.1. Además de la Especificación del equipo propiamente dicha, la Ingeniería de Detalle deberá preparar
por escrito, una Descripción de los enclavamientos, y unos diagramas lógicos, completando la
documentación preparada por la Ingeniería Básica. Confeccionará un listado de mensajes para la
pantalla e impresora de operación y completará también los diagramas de cableado realizados por el
Proveedor.
11.2.2. La Ingeniería de Detalle definirá la información a comunicar entre distintos PLC y con otros equipos
como SCD, válvulas motorizadas, etc. Esta documentación estará disponible en las pruebas de
fábrica.
11.2.3. Asimismo proporcionará un listado de pulsadores, lámparas, selectores, etc., relacionados con el PLC
e instalados fuera del mismo con sus correspondientes leyendas para sus placas de identificación.
Deberá enviar al Proveedor del equipo la lista y composición de multicables en el plazo más corto
posible.
11.2.4. Durante la fase de Ingeniería de Detalle se confeccionarán asimismo, todos los Gráficos de los
Sistemas de Enclavamientos con los detalles necesarios para implementarlos en la Unidad de
Visualización, incluyendo códigos de colores a utilizar, texto de los elementos que figuran en cada
sinóptico, cambio de color en función del estado, etc. En general se respetarán los criterios y normas
de cada Planta.
11.2.5. En caso de existir alguna Unidad paquete, tal como compresor, bomba, etc. si los esquemas lógicos
emitidos por el Proveedor no tienen el formato basado en los Planos Estándar de YPF, la Ingeniería
será responsable de la conversión.
11.2.6. Se utilizará la simbología normalizada por CENELEC EN-60617 parte 12 (elementos lógicos binarios)
y parte 13 (operadores analógicos), suplementada por los símbolos incluidos en el plano PE(EP)-I-
0200.01, hoja 1.
11.2.8. La Ingeniería de Detalle deberá preparar el documento de cálculo del PFDavg y el SIL para cada SIF
de acuerdo a lo indicado en las normas IEC 61508 / 61511.
11.3.1. El Proveedor generará la siguiente documentación, que será suministrada en papel y formato
electrónico. La entrega de la misma se ajustará al planning de proyecto definido por el cliente.
11.3.3. Programas
a) Listado completo del programa del PLC, basado en lenguaje de programación IEC 61.131-3.
Programmable Controllers - Part 3: Programming Languages
b) Listado detallado de referencias de programas utilizadas agrupado por entradas, salidas,
alarmas y referencias internas de programa en uso.
c) En caso de transmisión o recepción de datos del PLC con otros equipos y si estos van
empaquetados en registros, se adjuntará un listado completo de señales, descripción y sus
referencias. En el programa se dejarán referencias de reserva para futuras ampliaciones.
Incluirá toda la información y planos necesarios para la instalación del Sistema, como por ejemplo,
instrucciones de conexión e indicaciones necesarias para su realización, interconexiones entre
equipos, etc.
Incluirá los procedimientos de manejo y mantenimiento del Sistema de Enclavamientos, del software
y hardware del PLC a nivel de usuario u operador, manejo de la interfase gráfica de usuario, manejo
de by-pass de mantenimiento y operación, instrucciones para administrador del Sistema, revisiones
periódicas de los elementos y test, etc.
También incluirá manuales de operación de todos los paquetes de software incluidos en el PLC.
Contendrá el protocolo de pruebas de cada uno de los elementos que componen el Sistema de forma
individual, así como la descripción de las pruebas de integración del Sistema completo.
11.3.10. Certificado completo del nivel SIL del equipo (incluyendo las limitaciones) e Informe del organismo
certificador.
11.3.11. Todos los datos de los equipos y materiales alcance de su suministro, necesarios para calcular el
PFDavg y el SIL para cada SIF de acuerdo a lo indicado en las normas IEC 61508 / 61511. (Tasas de
fallos, MTTR, MTTF, etc.).
11.3.12. Licencias a nombre del comprador de todo el Software necesario tanto para Operación como para
Programación
11.3.13. Documento descriptivo del proyecto en donde se detallan los medios empleados en la instalación de
acuerdo con los requisitos marcados por la directriz.
Incluirá el código fuente de toda la programación específicamente desarrollada por el Proveedor para
esta aplicación.
11.3.15. Con posterioridad a la puesta en marcha del Sistema, el Proveedor deberá revisar la documentación
que lo requiera con los datos finales.
11.3.16. La Ingeniería y el Proveedor proporcionarán cualquier información que se precise para el montaje o
posibles modificaciones futuras en cableados o programación.
12.1.1. Las pruebas se harán siguiendo un manual de procedimientos redactado por el Proveedor y aprobado
por YPF. Verificarán la norma SCOR N-15 y consistirán en:
12.1.2. Siempre que sea posible, las pruebas de comunicación con equipos de terceros se realizarán de
forma conjunta con presencia de los técnicos de ambos sistemas
12.1.3. Cuando la interfaz del SE sean las pantallas del SC, se deberán realizar obligatoriamente las pruebas
conjuntas de comunicación.
12.1.4. Las pruebas se realizarán, por parte de YPF, en los talleres del Proveedor, que entregara todos los
equipos y personal necesario para llevarlo a cabo (independientemente de que sean objeto o no de
esta Requisición).
12.1.5. Caso de que en la inspección se detecte algún defecto en los materiales, mecanización, ensamblaje,
etc., se procederá a la sustitución o reparación del equipo. Bajo ciertas circunstancias se podrá
rechazar toda la partida defectuosa.
12.1.6. Para el envío del equipo a planta será necesaria la aprobación del cliente final.
12.2.1. Después de superadas las pruebas de fábrica, el sistema será transportado a obra e instalado.
12.2.2. Se incluirá en el alcance del Proveedor, la supervisión de montaje y puesta en marcha por su
personal especializado, realizando la integración, verificación y validación según las normas ED(EP)-
I-04.03 “SIS. Procedimiento estándar de aceptación en planta, prueba y validación” y la SCOR N-15
“Ciclo de vida del SIS”. Es necesario que se indique el alcance de cada una de estas tareas, en
cuanto se refiere a tiempo de duración, personal, etc.
12.2.3. En ningún caso se considerará tiempo de puesta en marcha, la corrección de errores claramente
imputables al diseño o mal funcionamiento del Sistema, si esto llegara a ocurrir.
12.2.4. El Proveedor deberá comprobar el cableado interno del sistema, las comunicaciones entre módulos
del PLC, la alimentación del sistema, sistema de tierras y dará tensión.
12.2.6. Asimismo se encargará de la integración con equipos de terceros. En estas pruebas se requiere la
asistencia conjunta del Proveedor del PLC y de los proveedores de los equipos a comunicar.
13.1.1. Bajo cualquier modalidad de compra, el Vendedor debe contar con una homologación por YPF para
el producto considerado.
14. FORMACION
14.1.1. Se definirá en los DBD si dentro del alcance del pedido se incluyen cursos de formación, reseñando
duración de los mismos, programa y lugar de celebración, aunque preferentemente estos cursos se
darán en la Instalación de Superficie donde se lleve adelante el proyecto.
15. REPUESTOS
15.1.1. Los repuestos necesarios para la puesta en marcha y operación durante dos años del equipo y
vendrán indicados en el formato estándar de YPF con precios unitarios para cada uno de ellos.