Diseo conceptual del SIS

NOTA - ESTA CLAUSULA ES PARTE DE ESTA NORMA Y CONTIENE

REQUISITOS OBLIGATORIOS.

Objetivos
Definir los requisitos necesarios para desarrollar y verificar un Diseo conceptual
del SIS que cumpla con las Especificaciones de Requisitos de Seguridad.

Requisitos de diseo conceptual

6.2.1 La arquitectura de Sistemas de Seguridad Instrumental (SIS) para cada

funcin de seguridad se seleccionar para cumplir con el Nivel de Integridad de
Seguridad (SIL) requerido. (P. Ej., La arquitectura seleccionada puede ser uno de
uno [1oo1], 1oo2 de votacin, 2oo3 de votacin, etc.)
6.2.2 Un SIS puede tener una sola funcin de seguridad o mltiples funciones de
seguridad que tengan un solver lgico comn y / o dispositivos de entrada y salida.
Cuando varias funciones de seguridad comparten componentes comunes, los
componentes comunes deben satisfacer el SIL ms alto de la funcin de seguridad
compartida.
Los componentes del sistema que no son comunes deben cumplir los requisitos
del SIL para la seguridad
Funcin que abordan. Cuando se combinan varios SIS en un sistema en el que
comparten una lgica comn o componentes, aumenta el potencial de fallas de
causa comn. La programacin, la accesibilidad, el mantenimiento, las fuentes de
alimentacin y la seguridad son problemas comunes tpicos de la causa a
considerar.
6.2.3 La SIL deseada deber satisfacerse mediante una combinacin de las
siguientes consideraciones de diseo:
A) Separacin - idntica o diversa (vase B.1 para orientacin)
B) Redundancia - idntica o diversa (vase B.2 para orientacin)
C) Consideraciones de diseo de software (vase B.3 para orientacin)
D) Seleccin de tecnologa (vase B.4 para orientacin)
E) Velocidades de falla y modos de falla (ver B.5 para orientacin)
F) Arquitectura (vase orientacin B.6)
G) Fuentes de alimentacin (vase B.7 para orientacin)
H) Fallos de causa comn (vase B.8 para orientacin)
I) Diagnstico (vase B.9 para orientacin)
J) Dispositivos de campo (vase B.10 para orientacin)
K) Interfaz de usuario (vase B.11 para orientacin)
L) Seguridad (vase B.12 para orientacin)
M) Prcticas de cableado (vase B.13 para orientacin)
N) Documentacin (vase B.14 para orientacin)
O) Intervalo de prueba funcional (vase B.15 para orientacin)

7 Diseo detallado del SIS

NOTA - ESTA CLAUSULA ES PARTE DE ESTA NORMA Y CONTIENE
REQUISITOS OBLIGATORIOS.
7.1 Objetivo
Proporcionar requisitos detallados para el diseo de los Sistemas Instrumentados
de Seguridad (SIS) para cumplir con los requisitos de las especificaciones de
requisitos de seguridad y diseo conceptual.
7.2 Requisitos generales
7.2.1 El diseo del SIS deber ser capaz de cumplir con el Nivel de Integridad de
Seguridad (SIL).
7.2.2 El SIS puede incluir funciones de secuenciacin para llevar el proceso o
mantenerlo en un estado seguro.

7.2.3 El SIS puede contener uno o ms enclavamientos o funciones de seguridad.

7.2.4 Los documentos de diseo del SIS estarn bajo control de un programa
formal de revisin y liberacin.
7.2.5 El fabricante del equipo utilizado en el servicio SIS mantendr un programa
formal de revisin y liberacin del equipo, incluyendo el software correspondiente.
El uso de marcas visibles O interfaces de usuario para identificar esta informacin
es aceptable (por ejemplo, nmero de parte, nmero de serie, nmero de lote,
etc.).
7.2.6 El diseo garantizar que el hardware y el software utilizados en una
aplicacin sean compatibles.
7.2.7 La accin de cualquier funcin que no sea de seguridad, si es implementada
por el SIS, no interrumpir o comprometer ninguna funcin de seguridad del SIS.
7.2.8 Se definirn los estados de seguridad requeridos para cada componente SIS
requerido para la funcin de seguridad.
7.2.9 El SIS se disear de forma que una vez que haya colocado el proceso en
un estado seguro, deber permanecer en el estado seguro hasta que se haya
iniciado un reinicio. El requisito para un reinicio manual o automtico debe ser
como se define en las especificaciones de requisitos de seguridad.
7.2.10 Se debern suministrar medios manuales, independientemente del
solucionador lgico, para actuar los elementos finales del SIS, a menos que se
indique lo contrario en las Especificaciones de Requisitos de Seguridad.

7.2.11 Cualquier fallo nico detectado que cause un fallo de SIS dar como
resultado una accin de fallo automtica, predeterminada y segura; Y / o una
condicin de proceso segura si la accin de respuesta apropiada es
Emprendido.
7.2.12 El diseo aplicar cdigos y normas para clasificaciones ambientales y de
reas peligrosas (por ejemplo, NFPA 70, Cdigo Elctrico Nacional, Artculo 500)
(vase C.5 para orientacin).
7.2.13 Los circuitos de alimentacin de entrada / salida SIS se separarn de los
circuitos utilizados para cualquier otro fin, salvo cuando el sensor o el elemento de
control final se compartan de conformidad con lo dispuesto en 7.4.2.2 y 7.4.3.1.

7.3 Solucionador lgico SIS

7.3.1 El proveedor de soluciones lgicas deber proporcionar un diseo integrado
que incluya, en su caso, mdulos de entrada, mdulos de salida, dispositivos de
interfaz de mantenimiento, comunicaciones y software de utilidad. El diseo
integrado deber estar documentado.
7.3.2 El proveedor de solucionador lgico deber proporcionar los datos de tiempo
medio a fallar (MTTF), el listado de modo de fallo encubierto y la frecuencia de
ocurrencia de fallos encubiertos identificados. El mtodo y los datos Se
proporcionarn las fuentes para lo anterior.
7.3.3 Los solucionadores lgicos del PES deben tener mtodos (internos y / o
externos) para proteger contra fallos ocultos (p. Ej., Comparacin del rendimiento
del solucionador lgico con la accin del proceso, software incorporado o de
aplicacin que prueba el rendimiento del solucionador lgico).
7.3.4 El solucionador lgico debe separarse del BPCS (ver B.1 para orientacin),
excepto cuando algunas aplicaciones tienen funciones combinadas BPCS y SIS
en un solo "solucionador lgico" (por ejemplo, turbinas de gas). En estos casos, el
solucionador lgico BPCS / SIS deber cumplir con el SIL (vase C.1 para
orientacin adicional).

7.3.5 El solucionador lgico deber estar diseado para asegurar que el proceso
no se reinicie automticamente cuando se restaure la alimentacin, a menos que
el Anlisis de Riesgos del Proceso indique que esto es apropiado.
7.4 Dispositivos de campo
7.4.1 Requisitos generales
7.4.1.1 Energizar para disparar circuitos discretos de entrada / salida debe aplicar
un mtodo (por ejemplo, monitor de fin de lnea,
Tal como la corriente del piloto continuamente supervisada para asegurar la
continuidad del circuito; La corriente del piloto no debe ser de magnitud suficiente
para afectar el funcionamiento de E / S adecuado) para asegurar la integridad del
circuito.
7.4.1.2 Cuando se utilice una entrada / salida remota, se evaluar conjuntamente
con el solucionador lgico
(Vase orientacin B.6).

7.4.1.3 Cada dispositivo de campo individual debe tener su propio cableado

dedicado a la entrada / salida del sistema, excepto en los siguientes casos: A)
Mltiples sensores discretos conectados en serie a una sola entrada si los
sensores supervisan la misma condicin de proceso (por ejemplo, sobrecargas del
motor) B) Mltiples elementos de control finales conectados (FCE) a una sola
salida si cada FCE presta la misma condicin de proceso C) Sistemas aprobados
por el usuario tales como sistemas de deteccin de incendios y gases D) Vase
1.2.10 para ISA SP50 Fieldbus.
7.4.1.4 Se seleccionarn e instalarn dispositivos de campo para minimizar los
fallos que pudieran relacionar informacin inexacta debido a las condiciones
derivadas del proceso y las condiciones ambientales. Las condiciones que se
deben considerar incluyen corrosin, congelacin de materiales en tuberas,
slidos en suspensin, polimerizacin, coquizacin y temperaturas y extremos de
presin.
7.4.2 Requisitos del sensor
7.4.2.1 Los sensores inteligentes deben estar protegidos contra escritura para
evitar modificaciones inadvertidas desde una ubicacin remota, a menos que una
revisin de seguridad adecuada permita el uso de lectura / escritura.
7.4.2.2 Los sensores para SIS deben estar separados de los sensores para el
Sistema BPCS (Basic Process Control System). Se permiten dos excepciones
siempre que el fallo del sensor no cree una condicin que el SIS pretenda proteger
contra:
A) Si se utilizan sensores redundantes, pueden conectarse tanto al BPCS como al
SIS siempre que cualquier fallo en el BPCS no afecte al correcto funcionamiento
del sensor ni a la capacidad del SIS para leer correctamente el sensor (vase B.
1.5).
B) Si el PHA determina que una o ms capas de proteccin distintas del BPCS y
del SIS ofrecen proteccin redundante a la proporcionada por el sensor (para ms
Anexo A).
7.4.2.3 Se proporcionarn diagnsticos de sensores, vendedores o usuarios
suministrados segn se requiera para cumplir con el SIL (ver B.9 para orientacin).
7.4.3 Requisitos del elemento de control final
7.4.3.1 No se utilizar una vlvula de control del BPCS como nico elemento final
para el SIL 3. Se requerir una revisin de seguridad para utilizar una sola vlvula
de control BPCS como nico elemento final para SIL 1 y 2. Para ms informacin,
vase B.1.6.
7.4.3.2 Arrancadores de motor Los arrancadores de motor suelen ser comunes
tanto para el BPCS como para el SIS, a menos que el anlisis de riesgos del
proceso dicte lo contrario (vase B.10.4.3 para orientacin).

7.5 Interfaces
Esta seccin aborda todas las interfaces hombre-mquina y comunicacin con el
SIS.
Estos pueden Incluyen, pero no se limitan a
A) interfaz (es) del operador;
B) interfaz (es) de mantenimiento / ingeniera; y
C) interfaz (es) de comunicacin.

7.5.1 Requisitos de la interfaz del operador La interfaz del operador se refiere a

esos medios (por ejemplo, CRT, luces indicadoras, pulsadores, cuernos, alarmas,
etc.) utilizados para comunicar informacin entre el operador y el SIS.
7.5.1.1 El diseo del sistema de interfaz operador deber tener en cuenta la
prdida de la interfaz del operador SIS y los requisitos resultantes definidos por la
revisin de seguridad apropiada. El diseo garantizar que, en caso de fallo de la
interfaz del operador SIS, se proporcionarn suficientes medios alternos para que
el operador pueda llevar el proceso a un estado seguro y que las funciones
automticas del SIS no se vean comprometidas.
7.5.1.2 La informacin de estado del SIS que es crtica para mantener el SIL
estar disponible como parte de la interfaz del operador. Esta informacin puede
incluir
A) cuando el proceso est en su secuencia;
B) indicacin de que se ha producido una accin protectora del SIS;
C) indicacin de que se evita una funcin de proteccin;
D) indicacin de que se han producido acciones automticas como la degradacin
del voto y / o el manejo de fallas;
E) estado de los sensores y elementos finales de control;
F) la prdida de energa cuando la prdida de energa afecta la seguridad;
G) los resultados del diagnstico comparativo; y
H) fallo del equipo de acondicionamiento ambiental que sea necesario para apoyar
el SIS.
7.5.1.3 Los cambios en el software de aplicacin SIS no se permitirn desde la
interfaz del operador SIS. Cuando la interfaz de mantenimiento / ingeniera SIS se
utiliza como interfaz de
El SIS, los cambios en el software de aplicacin de esta interfaz requerirn una
revisin de seguridad adecuada
Y la seguridad de acceso. Puede haber alguna informacin relacionada con la
seguridad que deba transmitirse desde el BPCS al SIS. Por ejemplo, en sistemas
discontinuos, un SIS puede tener diferentes valores de consigna o funciones
lgicas dependiendo de la receta que se est usando. Si es as, la interfaz de
operador puede usarse para seleccionar la funcin lgica apropiada en el SIS o
puede usarse para seleccionar tablas especficas de la receta. Para estos tipos de
aplicaciones, utilice slo sistemas SIS que ofrezcan la capacidad de permitir
selectivamente la escritura a una variable SIS accesible al BPCS (vase B.1.8
para orientacin adicional) y un procedimiento de confirmacin para asegurar que
se ha transmitido la seleccin correcta Y recibido en el SIS.
La habilitacin y deshabilitacin del acceso de lectura y escritura se realizar
nicamente mediante un proceso de configuracin o programacin utilizando la
Interfaz de Mantenimiento / Ingeniera con la documentacin apropiada Y medidas
de seguridad. No se permitir que una Interfaz Operadora realice esta funcin.

7.5.2 Requisitos de interfaz de mantenimiento / ingeniera La interfaz de

mantenimiento / ingeniera es el medio proporcionado para permitir el
mantenimiento adecuado del SIS. Puede incluir instrucciones y diagnsticos que
pueden encontrarse en software, terminales de programacin, herramientas de
diagnstico, indicadores, dispositivos de derivacin, dispositivos de prueba y
dispositivos de calibracin.
7.5.2.1 El diseo de la interfaz de mantenimiento / ingeniera SIS garantizar que
cualquier fallo No afectar negativamente a la capacidad del SIS para llevar el
proceso a un estado seguro. Esto puede requerir la desconexin de Interfaces de
mantenimiento / ingeniera, tales como paneles de programacin, durante la
operacin SIS normal.

7.5.2.2 La interfaz de mantenimiento / ingeniera deber proporcionar las

siguientes funciones:
A) Acceso a la proteccin de seguridad al modo de funcionamiento SIS,
programa, datos, medios de deshabilitacin de la comunicacin de alarma,
prueba, bypass, mantenimiento, etc.
B) Acceso a servicios de diagnstico, votacin y manejo de fallas del SIS
C) Acceso para agregar, borrar o modificar software de aplicacin
D) Acceso a los datos necesarios para solucionar el SIS
7.5.3 Requisitos de interfaz de comunicacin La interfaz de comunicacin se
refiere a la comunicacin de hardware y software entre el SIS y
Otros dispositivos como las interfaces de operador, interfaces de mantenimiento /
ingeniera, BPCS, red o perifricos.
7.5.3.1 El diseo de la
Interfaz de comunicacin del SIS se cerciorar de que cualquier
Comunicacin no afectar negativamente a la capacidad del SIS para llevar el
proceso a un estado seguro.
7.5.3.2 Las seales de comunicacin se aislarn de otras fuentes de energa
mediante el uso de buenas prcticas de ingeniera, como el uso de cable blindado,
manteniendo un solo plano de tierra con una sola fuente de energa dedicada o el
uso de fibra ptica.

7.6 Fuentes de alimentacin

El diseo garantizar que cada fuente de alimentacin satisfaga las necesidades
del SIS, tal como se especifica en las especificaciones de requisitos de seguridad
(vase la seccin B.7).

7.7 Entorno del sistema El entorno del sistema debe ser dirigido para asegurar una
operacin SIS adecuada. Esto puede requerir (EMI / RFI), choque / vibracin,
descarga electrosttica, clasificacin de rea elctrica, inundacin, etc.
7.7.1 Todas las condiciones ambientales a las que se exponga el SIS y las
especificaciones medioambientales de funcionamiento de todos los componentes
del SIS se tendrn en cuenta en el diseo del sistema.
7.7.2 El diseo del sistema deber tomar medidas especficas para resolver todas
las diferencias entre Condiciones y especificaciones del equipo de una manera
que permita al SIS De acuerdo con las Especificaciones de Requisitos de
Seguridad, tales como instalacin de calefaccin, ventilacin / equipo de aire
acondicionado y / o filtracin de aire.

7.8 Requisitos de la lgica de la aplicacin

7.8.1 Lgica de aplicacin para sistemas elctricos
7.8.1.1 Slo se proporcionar la lgica de la aplicacin bajo el control de un
programa formal de revisin y de control de la liberacin para su uso en un SIS.
7.8.1.2 El usuario deber proporcionar y mantener el programa de control formal
de revisin y liberacin de la lgica de la aplicacin.
7.8.1.3 El usuario debe asegurarse de que la lgica de la aplicacin est
documentada de manera clara, precisa y completa (vase B.14 para orientacin).
7.8.2 Lgica de aplicacin para sistema electrnico
7.8.2.1 Slo se proporcionar la lgica de aplicacin bajo el control de un
programa formal de revisin y de control de emisiones para su uso en un SIS.
7.8.2.2 El usuario deber proporcionar y mantener el programa de control formal
de revisin y liberacin de la lgica de la aplicacin.
7.8.2.3 El usuario debe asegurarse de que la lgica de la aplicacin est
documentada de forma clara, precisa y completa (vase la seccin B.14).
7.8.3 Lgica de aplicacin para el PES
El software discutido en esta subclusula trata las aplicaciones SIS. El software
incorporado y de utilidad se discute en la medida en que afecta al software de
aplicacin.
7.8.3.1 Slo se proporcionar y considerar para su uso en un SIS el software
bajo el control de un programa formal de revisin y de control de emisiones.
7.8.3.2 Los fabricantes y los fabricantes del SIS proporcionarn y mantendrn los
programas oficiales de revisin y liberacin de software del software embebido y
de la utilidad. El fabricante o los fabricantes tambin proporcionarn y mantendrn
una lista de errores y avisarn a los clientes de cualquier fallo del software que
pueda dar lugar a un error.
Falla al funcionar bajo demanda.
7.8.3.3 El usuario no debe modificar el SIS incorporado o software de utilidad.
7.8.3.4 El usuario deber asegurarse de que el software de aplicacin est
documentado de forma clara, precisa y completa (vanse B.3 y B.14 para
orientacin).
7.8.3.5 Los programas oficiales de revisin y liberacin de software del software
de aplicacin debern ser mantenidos por el usuario.