Selección y Verificación de La PDF

PDVSA
MANUAL DE INGENIERÍA DE DISEÑO

VOLUMEN 9–II
GUÍA DE INGENIERÍA
PDVSA N TITULO
90620.1.117 SELECCIÓN Y VERIFICACIÓN DE LA
ARQUITECTURA DE UN SISTEMA INSTRUMENTADO
DE SEGURIDAD (SIS)
1 ENE.11 Revisión de la sección 3 “Referencias” 32 C.E. L.T. L.T.
0 NOV.02 ORIGINAL 30 N.L. Y.K. R.R.
REV. FECHA DESCRIPCION PAG. REV. APROB. APROB.
APROB. Cesar Eizaga FECHA ENE.11 APROB. Luis Tovar FECHA ENE.11
PDVSA, 2005 ESPECIALISTAS

GUIA DE INGENIERÍA PDVSA 90620.1.117
REVISION DATE
SELECCIÓN Y VERIFICACIÓN
PDVSA DE LA ARQUITECTURA DE UN SISTEMA 1 ENE.11
INSTRUMENTADO DE SEGURIDAD (SIS) Page 1
Menú Principal Indice manual Indice volumen Indice norma
“La información contenida en este documento es propiedad de Petróleos de

Venezuela, S.A. Está prohibido su uso y reproducción total o parcial, así como
su almacenamiento en algún sistema o transmisión por algún medio
(electrónico, mecánico, gráfico, grabado, registrado o cualquier otra forma) sin
la autorización por escrito de su propietario. Todos los derechos están
reservados. Ante cualquier violación a esta disposición, el propietario se
reserva las acciones civiles y penales a que haya lugar contra los infractores.”
“Las Normas Técnicas son de obligatorio cumplimiento en todas las

organizaciones técnicas como parte del Control Interno de PDVSA para
salvaguardar sus recursos, verificar la exactitud y veracidad de la información,
promover la eficiencia, economía y calidad en sus operaciones, estimular la
observancia de las políticas prescritas y lograr el cumplimiento de su misión,
objetivos y metas, es un deber la participación de todos en el ejercicio de la
función contralora, apoyada por la Ley Orgánica de la Contraloría General de
la República y Sistema Nacional de Control Fiscal, Artículos 35–39”.
REVISION DATE
Índice
1 OBJETIVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2 ALCANCE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
3 REFERENCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
3.1 IEC– International Electrotechnical Commission . . . . . . . . . . . . . . . . . . . . . 2
3.2 ISA – Instrumentation, Systems and Automation Society . . . . . . . . . . . . . 2
3.3 PDVSA – Petróleos de Venezuela . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
4 DEFINICIONES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
4.1 Función Instrumentada de Seguridad o “Safety Instrumented
Function (SIF)” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
4.2 Nivel de Parada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
5 SIMBOLOGÍA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
6 GENERALIDADES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
7 PROCEDIMIENTO DE USO DEL PROGRAMA SIL–SIS.XLS . . . . . 4
7.1 Sensores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
7.2 Controladores CPU (Logic Solvers) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
7.3 Elementos Finales de Control (Válvulas) . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
7.4 Tabla Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
7.5 Tabla Costo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
7.6 Tabla de Ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
8 CRITERIOS UTILIZADOS PARA LOS CÁLCULOS . . . . . . . . . . . . . 6
9 PASOS PARA EL CÁLCULO DE DESEMPEÑO DEL SIS . . . . . . . . 7
10 PROCEDIMIENTO/EJEMPLO CÁLCULO DE LOS ÍNDICES DE
SEGURIDAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
10.1 Ejemplo de Cálculo de Desempeño del SIS . . . . . . . . . . . . . . . . . . . . . . . . . 8
10.2 Solución . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
11 BIBLIOGRAFÍA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
REVISION DATE
1 OBJETIVO
El objetivo de esta guía es ofrecer una metodología para evaluar la capacidad de
desempeño de las arquitecturas de un Sistema Instrumentado de Seguridad (SIS)
que permita seleccionar la mejor opción analizada –bajo los criterios de
costo–riesgo–beneficio– que cumpla con el Nivel de Integridad de Seguridad
[Safety Integrity Level (SIL)] previamente determinado para cada una de las
funciones de protección –Safety Instrumented Function (SIF)– y proporcionar
información adicional a los usuarios de cómo las diferentes opciones de diseño
impactan la actuación del SIS.
2 ALCANCE
El alcance de esta guía es el de evaluar la capacidad de desempeño de un SIS
para satisfacer el SIL previamente determinado y aplica a todos los diseños de SIS
a ser desarrollados de acuerdo a la norma PDVSA K–336, “Safety Instrumented
Systems”. Esta guía suministra herramientas que suplementan a la norma
PDVSA K–336.
Para verificar la arquitectura del SIS se usa el programa SIL–SIS.xls propiedad
de PDVSA. El uso del mismo se describe en esta guía.
Este documento no cubre los métodos y criterios para la determinación del SIL
requerido para cada función de seguridad, ya que el mismo deberá ser
suministrado utilizando los lineamientos indicados por la Norma PDVSA IR–P–02,
“Nivel de Integridad (SIL) de un Sistema Instrumentado de Seguridad (SIS)”,
del Manual de Ingeniería de Riesgo (MIR). Tampoco está dentro del alcance de
esta guía el diseño conceptual de las Funciones Instrumentadas de Seguridad
(SIF’s) que conforman el SIS, el cual deberá ser suministrado por el Análisis de
Riesgos de Procesos.
3 REFERENCIAS
3.1 IEC– International Electrotechnical Commission
IEC–61508; Functional Safety of Electric/ Electronic/ Programmable Electronic
Systems.
IEC 61511; Functional Safety: Safety Instrumented Systems for the Process
Industry Sector
3.2 ISA – Instrumentation, Systems and Automation Society

ISA TR84.00.02 Technical Reports: Safety Instrumented Functions (SIF) –
Safety Integrity Level (SIL)
3.3 PDVSA – Petróleos de Venezuela

K–300 “Instrumentation Introduction”.
REVISION DATE
K–336 “Safety Instrumented Systems”.

IR–S–00 “Definiciones”
IR–S–02 “Criterios para el Análisis Cuantitativo de Riesgos”
IR–P–01 “Safety Interlock Systems,Emergency Isolation, Emergency
Depressurization and Emergency Venting Systems”.
IR–P–02 “Nivel de Integridad (SIL) de un Sistema Instrumentado de
Seguridad (SIS)”.
4 DEFINICIONES
Las definiciones de las normas PDVSA K–336 y PDVSA K–300 son aplicables a
esta guía. A continuación se listan definiciones adicionales.
4.1 Función Instrumentada de Seguridad o “Safety Instrumented

Function (SIF)”
Es una función compuesta por la función del elemento iniciador, la de la unidad
de procesamiento de la lógica y la función del elemento final con el propósito de
prevenir o mitigar una condición riesgosa.
4.2 Nivel de Parada

Es el conjunto de Funciones Instrumentadas de Seguridad (SIF) que comparten
el mismo logic solver y uno o más elementos finales con igual acción de control
y de protección.
5 SIMBOLOGÍA
PFD = Probabilidad de Falla en Demanda (Probability of Failure on Demand)
RRF = Risk Reduction Factor (RRF=1/PFD)
FTR = Fault Trip Rate
l = Failure Rate
frd = Dangerous Fraction (Failure Rate)
ld = Failure Rate Dangerous
C = Diagnostic Factor
ldd = Failure Rate Dangerous Detected
ldu = Failure Rate Dangerous Undetected
b = Common Cause Factor
lddn = Failure Rate Dangerous Detected Normal (No common cause)
ldun = Failure Rate Dangerous Undetected Normal (No common cause)
REVISION DATE
lddc = Failure Rate Dangerous Detected Common (Common cause)

lduc = Failure Rate Dangerous Undetected Common (Common cause)
frs = Safe Fraction (Failure Rate)
ls = Failure Rate Safe
lsn = Failure Rate Safe Normal (No common cause)
lsc = Failure Rate Safe Common (Common cause)
MTTR = Mean Time To Repair
TI = Periodicidad de las Inspecciones al Sistema
RT = Tiempo promedio requerido para las reparaciones.
SD = ”Shutdown Time” o Tiempo de Parada. Generalmente se supone igual
a MTTR
SRS = Especificación Requerida de Seguridad.
SIF = Función Instrumentada de Seguridad
6 GENERALIDADES
Para verificar el cumplimiento del SIL requerido por cada una de las Funciones
de Protección (SIF), que conforman el SIS, existen metodologías tales como:
Ecuaciones Simplificadas, Análisis de Árbol de Falla y Modelos de Markov entre
otras, las cuales están descritas en los Reportes Técnicos ISA TR84.00.02.
El método recomendado y usado en esta guía es el Análisis de Árbol de Falla, por
ser relativamente sencillo mientras que proporciona resultados de precisión
adecuada para los diseños de la Corporación. El método de las Ecuaciones
simplificadas es más sencillo pero no proporciona suficiente precisión en los
resultados. El método de Markov es algo más preciso pero su uso es más
complejo.
7 PROCEDIMIENTO DE USO DEL PROGRAMA SIL–SIS.xls

La selección de la arquitectura para el diseño del SIS se logra utilizando el
programa “SIL–SIS.xls”, el cual esta basado en las ecuaciones derivadas a través
del método de árbol de fallas para evaluar el desempeño de las diferentes
arquitecturas del SIS.
El programa esta estructurado en cinco (5) hojas de cálculo de Microsoft Excel,
donde se evalúa el desempeño de cada elemento del SIF: (Sensores, controlador,
válvula, resumen y costo) y una hoja adicional de comentarios de ayuda.
7.1 Sensores
En esta hoja, se calculan los valores PFD y PFS de los posibles arreglos de
sensores (1oo1, 1oo2, 2oo3, 2oo2, 1oo1D, 2oo2D y 1oo2D) con base en los datos
REVISION DATE
de entrada requeridos y que la misma hoja solicita. Los cálculos son realizados
con base en las ecuaciones de cada arreglo y los resultados de los mismos son
mostrados.
7.2 Controladores CPU (Logic Solvers)

En esta hoja, se calculan los valores PFD y PFS de los posibles arreglos de
controladores (1oo1, 1oo2, 2oo3, 2oo2, 1oo1D, 2oo2D y 1oo2D) en base a la data
de entrada requerida y que es solicitada en la misma hoja. Los cálculos son
realizados de acuerdo a las ecuaciones de cada arreglo y los resultados de los
mismos son mostrados.
7.3 Elementos Finales de Control (Válvulas)

Las opciones consideradas en esta hoja son: una válvula de cierre (configuración
1oo1) y dos válvulas de seguridad (shutoff) en serie (configuración 1oo2) y en
paralelo (configuración 2oo2), los datos requeridos se introducen en la misma
hoja de cálculo. Los cálculos son realizados basándose en las ecuaciones de
cada arreglo y los resultados de los mismos son mostrados.
7.4 Tabla Resumen

Es una hoja con el resumen de los resultados (PFD, RRF, PFS, el SIL y costo) de
todas las posibles combinaciones de las diferentes configuraciones posibles de
los arreglos de Sensores–Controladores–Válvulas. Se incluye un botón selector
del SIL requerido, el cual permite iluminar la combinación que cumpla el
desempeño.
7.5 Tabla Costo

Se presenta una hoja para introducir los costos de los diferentes elementos
(sensores, elementos finales de control, controladores CPU y costo por
mantenimiento) que inciden en el costo final del SIS para las diferentes
arquitecturas posibles.
7.6 Tabla de Ayuda

Se presenta una tabla de ayuda con la descripción de todos los elementos que
componen el SIS y de los diferentes comandos de ayuda para ordenamiento de
los resultados indicados en la Tabla de Resumen.
REVISION DATE
8 CRITERIOS UTILIZADOS PARA LOS CÁLCULOS

Los criterios en los que se basa el cálculo de los índices de seguridad PFD y PFS
son los siguientes:
El SIS a ser evaluado será diseñado, instalado y mantenido de acuerdo a la
norma PDVSA K–336 (IEC 61511 adecuada a nuestras necesidades).
La tasa de falla de los componentes es constante durante la vida del sistema.
Componentes redundantes tienen iguales ratas de falla y tienen el mismo
comportamiento operacional.
Se asume que las fallas de los componentes individuales es estadísticamente
independiente de los otros componentes, esto es, la falla de cualquier
componente no inducirá a falla a los otros componentes.
El Tiempo de Reparación de los componentes es constante durante la vida del
Sistema.
Cuando un componente falla, éste permanecerá en falla hasta ser reparado.
Se asumen dos modos de falla: “Falla Segura” (S: Safe) y “Falla Peligrosa”(D:
Dangerous) para un sistema inherentemente seguro (Desenergizar para
disparar).
Se asume inspecciones y reparaciones perfectas: Esto es, al ser intervenido
el sistema por el mantenedor, todas las piezas y circuitos del equipo son
inspeccionadas y reparadas.
La aproximación (MTTF=1/ ) es utilizada dado que se asume tasas de fallas
constantes, es decir, que la distribución es exponencial. Igualmente las
ecuaciones son válidas cuando la rata de reparación es mucho mayor que la
rata de falla (1/MTTR>> a).
Para niveles de parada con múltiples Funciones de Seguridad (SIF) y
diferentes valores de SIL, se deberá diseñar primero la arquitectura del SIS
para el mayor SIL de este nivel de parada, luego diseñar para el resto de los
SIF’s a los diferentes niveles de SIL de cada uno, manteniendo el mismo
arreglo de procesador (CPU) y de los elementos finales de control que resultó
del primer cálculo para el SIL más exigente. Este proceso se repetirá para todos
los niveles de parada del SIS.
Ejemplo: Si el Nivel de Parada 1 tiene cinco funciones instrumentadas de
seguridad (SIF) (lazos críticos) de las cuales una es SIL 3, dos SIL 2 y dos SIL
1; se deberá calcular el primer arreglo para la SIF con el SIL mas exigente (SIL
3). Supongamos que el resultado es la siguiente arquitectura: 2oo3 1oo2D
1oo2. Para la siguiente función de seguridad (una de las SIL 2) se realizan los
cálculos para diversas arquitecturas de sensores, pero utilizando las mismas
arquitecturas del CPU (1oo2D) y de los elementos finales de control (1oo2). Así
se continúa hasta completar todos los SIF correspondientes a este nivel de
parada.
REVISION DATE
9 PASOS PARA EL CÁLCULO DE DESEMPEÑO DEL SIS

En las hojas “Sensores”, “Válvulas”, “Controlador” y “Costo” del programa
“SIL–SIS.xls” se introducen los valores correspondientes en las casillas con fondo
de color amarillo para calcular el índice de reducción de riesgo.
Para calcular el Indice de Reducción de Riesgo (“Risk Reduction Factor”, RRF)
se deben seguir los pasos indicados a continuación:
Listar las Funciones Instrumentadas de Seguridad (SIF) objeto del análisis y
sus SIL asociados, que son producto del Análisis de Riesgos del Proceso.
Generar la Matriz Causa – Efecto del nivel de parada a ser calculado, indicando
todas las funciones de seguridad (SIF), sus valores de SIL requerido y las
acciones de control de los elementos finales (abrir/ cerrar, arrancar/ parar, etc.).
Definir parámetros tales como el tiempo entre inspecciones (TI), el cual
típicamente esta apuntando a un año (8.760 horas) y el tiempo promedio de
reparación (RT), el cual usualmente es de 8 horas para sensores y elementos
finales y de 4 horas para los procesadores del PES.
Estimar el porcentaje de causa común ( ) para cada uno de los elementos que
componen el SIF. En el caso de elementos donde no existe redundancia este
valor debe ser 0%.
Identificar los tiempos promedio a falla (MTTF) de los sensores, PES y
elementos finales, los cuales se deben obtener de fuentes como: Data histórica
de fallas en las plantas, fabricantes y bases de datos universales como
OREDA. Estos datos deben estar disgregados entre ”paradas falsas (o
seguras)” y ”paradas peligrosas”.
Identificar el factor de auto diagnóstico (DC) de todos los dispositivos que
componen la SIF, el cual define la capacidad de diagnóstico de cada elemento,
este parámetro se puede fijar de acuerdo a datos de los fabricantes, IEC61511
y referencias prácticas.
Nota: al usar datos de fabricantes, considerar su tendencia hacia el lado
optimista. Se recomienda realizar un análisis de sensibilidad con
estos valores.
Una vez definidos todos los parámetros e índices arriba indicados, los mismos
son introducidos en las hojas de cálculo SIL–SIS.xls y se comienzan a analizar
los resultados sobre la base de los siguientes criterios:
Analizar las funciones de seguridad (SIF) una por una, comenzando por la más
exigente (mayor valor de SIL).
Seleccionar las arquitecturas que cumplan con un PFDavg que se ubique en el
50% del rango del SIL requerido, es decir, para requerimientos de SIL 1 el
PFDavg deberá estar en el orden de 1/50, para SIL 2 un PFDavg 1/500, para SIL
3 un PFDavg 1/5.000.
REVISION DATE
De las arquitecturas anteriormente seleccionadas verificar cual tiene el menor

costo.
10 PROCEDIMIENTO/EJEMPLO CÁLCULO DE LOS ÍNDICES

DE SEGURIDAD
A continuación se presenta un ejemplo de diseño de arquitectura de un SIS para
demostrar el uso del programa SIL–SIS.xls. Para ver un ejemplo más completo
refiérase al anexo B.
10.1 Ejemplo de Cálculo de Desempeño del SIS

En el presente ejemplo se muestra el procedimiento de cálculo para obtener los
índices de seguridad de un SIS. Sí se desea efectuar el cálculo de estos índices
en forma automática haciendo uso del archivo Excel “SIL–SIS.xls” se indica que
datos deben ser ingresados en cada uno de los campos del archivo Excel
“SIL–SIS.xls” y se indica también en que unidad, así como también se indica
donde leer los resultados.
El procedimiento aquí presentado indica como se deben efectuar los cálculos en
forma manual.
Sí se selecciona la opción automática mediante el uso del archivo Excel los pasos
aquí señalados son ejecutados por el computador para arrojar los resultados
(Indices de Seguridad).
Calcular el Indice de Reducción de Riesgo (“Risk Reduction Factor”, RRF) del
siguiente sistema:
Especificaciones o características del Sistema:
10.1.1 General
El sistema en su totalidad será inspeccionado una vez por año, es decir cada 8760
horas.
El tiempo promedio de reparación (RT o MTTR) será de 8 horas para los sensores
y las válvulas, y de 4 horas para los elementos del procesador.
Se considerará que el tiempo por reparación será el mismo tanto para la
reparación de fallas ocultas descubiertas durante las pruebas manuales, así
como, el de las reparaciones ante las falsas paradas.
Indice  de fallas de causa común es 1% y aplica sólo al procesador. Para los
sensores y las válvulas no aplica  por ser arquitecturas sencillas 1oo1.
10.1.2 Sensores
8 sensores con un MTBF igual a 50 años.
Los sensores son sencillos (sin redundancia).
REVISION DATE
El factor de diagnóstico (DC) de los sensores es 0%.

10.1.3 Válvulas
3 válvulas de salida con un MTBF igual a 50 años para el modo de falla segura
(false trip) y 50 años para el modo peligroso (dangerous)
Las válvulas son sencillas (sin redundancia).
Se requiere que todas las válvulas operen frente a una demanda.
El factor de diagnóstico de las válvulas es de 0%.
10.1.4 Procesador o Logic Solver
El procesador está integrado por una tarjeta de entrada, una unidad central de
procesamiento (CPU) y una tarjeta de salida.
El arreglo o arquitectura del Procesador es 2oo3 en todos sus elementos.
Tarjeta de Entrada y Tarjeta de Salida.
Tanto la tarjeta de entrada como la tarjeta de salida tienen un MTTF de 50 años
(ambos modos combinados).
La tarjeta de salida tienen una fracción de 60% para fallas falsas (False Trip) y la
de entrada de 75%.
Tanto la tarjeta de entrada como la tarjeta de salida tienen un factor de diagnóstico
de 99%.
Unidad Central de Procesamiento (CPU).
El CPU tiene un MTTF de 10 años en ambos modos combinado.
El CPU tiene una fracción de 75% para fallas falsas (False Trip).
El factor de diagnóstico del CPU es de 99%.
10.2 Solución
A continuación se calcula el RRF y MTTFsp (MTTFS) siguiendo el procedimiento
establecido.
10.2.1 Determinar el PFD y MTTFS de los sensores:
a. Se recomienda realizar un dibujo esquemático de la Arquitectura del SIS.
REVISION DATE
Sensores TMR Válvulas

1 al 8
Arquitectura de los sensores:

1oo1
b. Determinar el número de elementos que generan una falla segura, cant_segura
8
(Observación/Comentario: Generalmente todos los dispositivos, en este caso 8)
c. Determinar el número de elementos que generan una falla en demanda (para
cálculo de PFD), cant_peligrosa 1
(Observación/Comentario: Generalmente solo un dispositivo. Esto es debido a
que la demanda llega sobre un solo lazo de acuerdo a IEC 61508.)
d. Determinar el factor de diagnóstico o cobertura “C” que poseen los elementos
sensores: 0%
e. Determinar el tiempo promedio para fallar (“Mean Time To Failure”), MTTF.
50 años para cada modo, lo que quiere decir que cada 50 años se puede presentar
una falla falsa (“False Trip”) y una falla peligrosa, para un total de 2 fallas cada 50
años, o lo que el lo mismo 1 falla cada 25 años, con una fracción de 50% para
ambos casos.
Entonces,
MTTF = 25 años
f. Determinar la fracción de fallas que corresponden a Falla Segura, frs, y a la
fracción que corresponde a Falla Peligrosa, frd.
frs = 50% y frd = 50%
g. Establecer cual será el tiempo promedio para reparación MTTR ó RT.
8 horas
REVISION DATE
Este valor, por las condiciones establecidas para este ejemplo, será igual al
ShutDown Time (SD).
h. Establecer cual será el tiempo de inspección de los equipos, TI

8760 horas
i. Determinar cual es el factor  de causas de falla común.

0%
En las tablas 1 y 2 se muestra la entrada de datos de este ejemplo.
TABLA 1.
Cant (segura) 8
Cant (Peligrosa) 1
b 0%
MTTR 8
T1 8760
SD 8
Horas Año 8760
Los valores en la columna titulada Seguridad corresponden a datos de

transmisores críticos diseñados especialmente para funciones de seguridad y con
aprobación TÜV. Los datos de la columna Normal corresponden a los valores de
este ejemplo.
TABLA 2.
Normal Seguridad
MTFF (Seguro) 50 100 Años
MTFF (Peligroso) 50 100 Años
DC 0% 99% %
j. Procedimiento de Cálculo en los Sensores.

Sí las condiciones del problema dan como datos de entrada MTTFS y MTTFD de
cada uno de los sensores, se puede calcular el MTTF de un sensor como:
1/MTTF=1/MTTFD + 1/MTTFS
es decir:
MTTF =(MTTFDyMTTFS) / (MTTFD+MTTFS)
REVISION DATE
Calcular  como:
 = 1/MTTF (en horas).
MTTF (horas) = 25 años  8760 horas/años = 219000 horas
 = 1/219000 = 4.56e–6
Calcular s como:
s = frs   cant_seg
s = 0.5  4.56e–6 8 = 1.83e–5
Calcular d como:
d = frd   cant_pel
d = 0.5  4.56e–6 1 = 2.28e–6
Calcular dd como:
dd = c  d
dd = 0  2.28e–6 = 0
Calcular du como:
du = (1–c)  d
du = (1–0)  2.28e–6 = 2.28e–6
Calcular sd como:
sd = c  s
sd = 0  1.83e–5 = 0
Calcular su como:
su = (1–c)  s
su = (1–0)  1.83e5 = 1.83e–5
Dado que =0, entonces:
Calcular ddn como ddn = (1–)  dd = 0
Calcular ddc como ddc =   dd = 0
Calcular dun como dun = (1–)  du = 2.28e–6
Calcular duc como duc =   du = 0
Calcular sdn como sdn = (1–)  sd = 0
Calcular sdc como sdc =   sd = 0
Calcular sun como sun = (1–)  su = 1.83e–5
Calcular suc como suc =   su = 0
REVISION DATE
k. Calcular MTTFSss de acuerdo a la arquitectura, en este caso 1oo1, como

MTTFSss = 1/(sd+su)
MTTFSss = 1 /( (0+1.824e–5) (1/8760)) años = 6.25 años
l. Calcular el PFDss de los sensores de acuerdo a la arquitectura de los mismos, en
este caso 1oo1 como:
PFD1oo1=dd*RT+(du*TI)/2
PFD1oo1 = 0 x 8 + (2.28e–6 x 8670)/2 = 1.00e–2
PFDss= 1.00e–2
Y el MTTFS del conjunto de sensores será:
MTTFS = 1/(sd+su)
MTTFS 1oo1 + 1 + 6.25 Años

(0 ) 1.83e * 5) x 8760
El factor 8760 aparece en el denominador para convertir las horas hacia años.
10.2.2 Determinar el PFD y el MTTFS del Procesador (Logic Solver) o PES:
a. Arquitectura de los módulods de entrada:
2oo3
b. Determinar el número de elementos que generan una falla segura.
1
en este ejemplo para todos los módulos del “Logic Solver”, ya que solo existe un
modulo de entradas digitales redundante 3 veces, pero considerado en la
ecuación a utilizarse por lo que se considera como uno solo. Este mismo caso es
el del módulo de salidas digitales y el de la Unidad Central de Procesamiento.
Sin embargo cuando existan funcionalmente más de un módulos, es decir con
señales de entradas diferentes, estos deben ser incluidos/considerados para el
cálculo de falla segura, pero nuevamente sin multiplicar por el número de veces
que este es redundante.
cálculo de PFD).
1
1 debe ser considerado tanto para los módulos de entrada digital, 1 también para
el módulo de entradas analógicas sí las hubiese, es decir cero en este ejemplo,
y uno también para la Unidad Central de Procesamiento. Esto es debido a que la
demanda llega sobre un solo lazo de acuerdo a IEC 61508.
REVISION DATE
d. Determinar el factor de diagnóstico o cobertura “C” que posee el procesador.

99%
MTTF inp = 50 años
MTTF cpu = 10 años
MTTF out = 50 años
frsinp = 75% y frdinp = 25%
frscpu = 60% y frdcpu = 40%
frsout = 75% y frdout = 25%
4 horas
tanto para las entradas, cpu y salidas. Así mismo el ShutDown Time(SD) será de
4 horas
h. Establecer cual será el tiempo entre inspección de los equipos, TI
8760 horas
tanto para las entradas, cpu y salidas
i. Determinar cual es el factor b de causas de falla común.
1%
tanto para las entradas, cpu y salidas
Así los valores de entrada para estos cálculos relacionados al Logic Solver serán
tal como los indicados en la Tabla 3
REVISION DATE
TABLA 3.
Entradas Salidas Entradas
Digitales Digitales Analógicas CPU
Cant. Módulos (Seguros) 1 1 0 1
Cant. Módulos (Peligrosos) 1 1 0 1
MTTF (Total) 10 10 10 10
% Failsafe 75% 60% 50% 75%
DC PLC Alto Diagnóstico (%) 99% 99% 99% 99%
b (%) 1% 1% 1% 1%
MTTR (Hs) 4 4 4 4
T1(Hs) 8760 8760 8760 8760
SD (Hs) 4 4 4 4
DC PLC Común (%) 85% 85% 85% 85%
Y siguiendo los mismos pasos dados con el análisis numérico de los sensores se
obtendrán los siguientes resultados de :
Digital Input Digital Output CPU Logic Solver

 1,14E–05 1,14E–05 1,14E–05 4,57E–05
s 8,56E–06 6,85E–06 8,56E–06 2,40E–05
d 2,85E–06 4,57E–06 2,85E–06 1,03E–05
sd 8,48E–06 6,78E–06 8,48E–06 2,37E–05
su 8,56E–08 6,85E–08 8,56E–08 2,40E–07
dd 2,83E–06 4,52E–06 2,83E–06 1,02E–05
du 2,85E–08 4,57E–08 2,85E–08 1,03E–07
sun 8,48E–08 6,78E–08 8,48E–08 2,37E–07
sdn 8,39E–06 6,71E–06 8,39E–06 2,35E–05
suc 8,56E–10 6,85E–10 8,56E–10 2,40E–09
sdc 8,48E–08 6,78E–08 8,48E–08 2,37E–07
dun 2,83E–08 4,52E–08 2,83E–08 1,02E–07
ddn 2,80E–06 4,48E–06 2,80E–06 1,01E–05
duc 2,85E–10 4,57E–10 2,85E–10 1,03E–09
ddc 2,83E–08 4,52E–08 2,83E–08 1,02E–07
Donde los ’s del Logic Solver (LS) son la suma de los ’s de los módulos de
entrada digital (DI), los módulos de salidas digitales (DO), los módulos de
entradas analógicas (AI, sí los hubiese) y de la unidad central de procesamiento
(CPU)
j. Calcular el PFDLS del Procesador de acuerdo a la arquitectura del mismo.
REVISION DATE
Tal como en el caso de los sensores calcularemos con las mismas ecuaciones los
diferentes valores de .
ǒ
PFD 2oo3 + ǒ3ń2Ǔ * l duc * TI ) 3 * l ddc * RT ) 3 * ǒl ddn * RTǓ ) ǒ3ń2Ǔ * l ddn * RT * l dun * TI ) ǒl dun * TIǓ
2
2
Ǔ
Sustituyendo
PFDLS=1.56e–5
Calcular MTTFSLS como
MTTFS LS + 1 ń ǒ3 * l suc ) 3 * l sdc ) 6 * ǒl sdn * RT * l sdn ) l sun * TI * l sdn ) l sdn * RT * lsun ) l sun * TI * l sunǓǓ
Sustituyendo
MTTFSLS = 110.9 años
10.2.3 Determinar el PFD y el MTTFS de las Válvulas:
a. Arquitectura de las válvulas:
1oo1
b. Determinar el número de elementos que generan una falla segura.
3
cálculo de PFD).
3
d. Determinar el factor de diagnóstico o cobertura “C” que poseen las válvulas.
0%
50 años para cada modo de falla, lo que quiere decir que cada 50 años se puede
presentar una falla falsa (“False Trip”) y una falla peligrosa, para un total de 2 fallas
cada 50 años, o lo que el lo mismo 1 falla cada 25 años, con una fracción de 50%
para ambos casos.
Entonces, el MTTF de cada válvula viene dado por
MTTF = 25 años
frs = 50% y frd = 50%
REVISION DATE

8 horas
h. Establecer cual será el tiempo de inspección de los equipos, TI
8760 horas
i. Determinar cual es el factor  de causas de falla común.
0%
Cantida (Segura) 3
Cantida (Peligrosa) 3
MTBF (Seguro) 50
MTBF (Peligroso) 50
DC 0%
b 0%
MTTR (horas) 8
T1 (horas) 8760
SD (horas) 8
Procedimiento de Cálculo en las válvulas.

Primeramente se calculan los valores de , tal como en el caso de los sensores
(Debe tenerse presente que MTTF esta relacionado típicamente en años y  en
horas)
s 6,85E–06
d 6,85E–06
sd 0
su 6,85E–06
dd 0
du 6,85E–06
sun 6,85E–06
sdn 0
suc 0
sdc 0
dun 6,85E–06
ddn 0
duc 0
ddc 0
PFD1oo1=dd*RT+(du*TI)/2
REVISION DATE
Sustituyendo
PFD1oo1 = 0 x 8 + (6.85e–6 x 8670) / 2 = 3.00e–2
PFDval = 3.00e–2
Y el MTTFS del conjunto de sensores será
MTTFS = 1/(sd + su)
MTTFS 1oo1 + ( 1 + 16.67 años

0 ) 6.85e * 6) x 8760
El PFD de las válvulas viene dado por la sumatoria de los elementos que son
susceptibles a una falla en demanda (típicamente dos válvulas).
10.2.4 Determinar el PFD y el MTTFS del SIS (Sistema Completo)
a. Calcular PFD del Sistema Instrumentado de Seguridad
PFDsis = PFDss + PFDLS + PFDval
PFDsis = 1.00e–2+ 1.56e–5 + 3.00e–2
Se ha hecho uso de la ecuación simplificada donde solo se suman los tres
términos, dado que los PFD’s son mucho menor que la unidad.
Obsérvese que el PFD del Logic Solver es en este caso prácticamente
despreciable en comparación de los PFD’s de los elementos de campo, es decir,
la contribución más alta de falla en demanda esta impuesta por los sensores y las
válvulas.
PFDsis = 4.00e–2
RRFsis = 1/PFDsis
RRFsis = 1/4.00e–2
RRFsis = 25
b. Calcular el MTTFS del Sistema Instrumentado de Seguridad
s sis = s ss + s pes + s val
1 + 1 ) 1 ) 1 +
MTTFS sis MTTFS SS MTTFS LS MTTFS val
1 + 1 ) 1 ) 1
MTTFS sis 6.25 110.9 16.67 +
MTTFSsis = 4.37 años

Obsérvese como a pesar de haber utilizado un TMR (arquitectura 2oo3) con
autodiagnóstico de 99% como Logic Solver del Sistema Instrumentado de
Seguridad, el RRF del SIS sólo alcanza el valor de 25 lo cual lo hace caer en los
valores bajos de SIL 1.
REVISION DATE
11 BIBLIOGRAFÍA
OREDA – Offshore Reliability Data.
ANEXO A
REVISION DATE
ANEXO A
ECUACIONES USADAS EN EL PROGRAMA
A.1 ECUACIONES PFDAVG

Este término viene dado por el valor promedio de la Probabilidad de Falla en
Demanda
ti
PFD avr + 1t +
i
ŕ PFD dt
0
que al resolverse dan como resultado:

ECUACIONES PFD “average”
1oo1 =dd*RT+(du*TI)/2
1oo2 =(duc*TI)/2+ddc*RT+(ddn*RT) 2+((ddn*RT*dun*TI) 2)/2+((dun*TI) 2)/3
2oo3 =((3/2)*duc*TI+3*ddc*RT+3*(ddn*RT)2+(3/2)*ddn*RT*dun*TI+(dun*TI)2)
2oo2 =ddc*RT+(duc*TI)/2+2 *ddn*RT+dun*TI
1oo1D =du*TI/2
2oo2D =duc*TI/2+dun*TI
1oo2D =duc*TI/2+((dun*TI)2)/3
A.2 ECUACIONES PFS

La aproximación obtenida por la técnica de árbol de falla para las ecuaciones PFS
(Probabilidad de Falla Segura) de las arquitecturas expuestas es
ECUACIONES PFS
1oo1 =sd*SD+su*SD
1oo2 =(sdc+suc+2*sdn+2*sun)*SD
2oo3 =3*suc*SD+3*sdc*SD+6*(sdn*RT*sdn*SD+sun*TI*sdn*SD+sdn*RT*sun
*SD+sun*TI*sun*SD)
2oo2 =sdc*SD+suc*SD+2*(sdn*RT*sdn*SD+sun*TI*sdn*SD+sdn*RT*sun*SD
+sun*TI*sun*SD)
1oo1D =(sd+su+dd)*SD
2oo2D =(suc+sdc+ddc)*SD+2*((sdn+ddn)*RT*(sdn+ddn)*SD+sun*TI*(sdn+d
dn)*SD+(sdn+ddn)*RT*sun*SD+sun*TI*sun*SD)
1oo2D =(sdc+suc+ddc)*SD+(sdn*RT+ddn*RT)2+(sun*TI)2
REVISION DATE
A.3 ECUACIONES MTTFS

La aproximación obtenida por la técnica de árbol de falla para las ecuaciones
MTTFS (Tiempo medio a falla segura) de las arquitecturas expuestas es
ECUACIONES MTTFS
1oo1 =1/(sd+su)
1oo2 =1/(sdc+suc+2*sdn+2*sun)
2oo3 =1/(3*suc+3*sdc+6*(sdn*RT*sdn+sun*TI*sdn+sdn*RT*sun+sun*TI*sun))
2oo2 =1/(sdc+suc+2*(sdn*RT*sdn+sun*TI*sdn+sdn*RT*sun+sun*TI*sun))
1oo1D =1/((sd+su+dd))
2oo2D =1/((suc+sdc+ddc)+2*((sdn+ddn)*RT*(sdn+ddn)+sun*TI*(sdn+ddn)+(s
dn+ddn)*RT*sun+sun*TI*sun))
1oo2D =1/((sdc+suc+ddc)+(sdn*RT+ddn*RT)2+(sun*TI)2)
B
REVISION DATE
ANEXO B
EJEMPLO COMPLEMENTARIO
B.1 Ejemplo de un Reactor

Especificaciones Requeridas de Seguridad [Safety Requirements Specifications
(SRS)].
B.2 Requerimientos de Entrada

La siguiente información suministrada para la elaboración de la SRS, las
funciones de seguridad (SIF) y SIL’s, serán suministrados por el Análisis de
Riesgo del Proceso (PHA) realizado utilizando los lineamientos indicados por la
Norma PDVSA IR–P–02.
Una vez terminado el cálculo del SIL del Proceso, y por simple inspección de la
Tabla 1 de “Evaluación de Riesgo del Sistema / Documentación del SIL”, las
Especificaciones Requeridas de Seguridad (Safety Requirements Specifications
SRS) para el ejemplo son las siguientes:
Identificador de la Función de Seguridad SIL

Función de Seguridad
S–1 Alta – Alta Presión del Reactor 2
S–2 Alta – Alta Temperatura del Reactor 2
S–3 Bajo Flujo Agua de Enfriamiento 1
S–4 Bajo Flujo Reactante A 1
S–5 Bajo Flujo Reactante B 1
S–6 Bajo Nivel Tanque Agua de Enfriamiento de Emergencia 1
S–7 Alto Nivel de Reactantes en el Reactor 1
S–8 Bajo Amperaje Agitador 1
REVISION DATE
Fig 1. DTI FINAL DE UN REACTOR EXOTERMICO
PSV
102 H
1 PIC
Sistema Cerrado de 102
Recolección L
ÓÓ
PSV
101
ÓÓ M PT
101
FY
101
H LT
FIC I/P 1
102
101
L
Quimico C
FT FT H
TT TIC
102A 101
101 101
FC L
Quimico A
TT
FC 102
TY
FV 101
SSV
101 I/P
1 101A
TSV
101
FY 1
102
H
FIC I/P
102
L
FT TV
103 101
FT FT
102B 102 Agua de
Enfriamiento
FC
FO
Quimico B
FC FO
SSV
101
FV
102 1
SSV
102B
REVISION DATE
B.3 Descripción del Proceso

1. El proceso del reactor exotérmico mostrado en la figura 11, es el utilizado en
la producción del químico “C”. Los químicos “A” y “B” reaccionan
proporcionalmente para producir el químico “C”. Las mayores
consideraciones de seguridad identificadas son la alta – alta presión
excediendo la presión de diseño del reactor, que pudiese resultar en la
posibilidad de una explosión y/o fuego.
2. Siendo la reacción de los químicos exotérmica, la temperatura dentro del
reactor es controlada utilizando agua de enfriamiento. Los flujos y la
agitación de los químicos “A” y “B” deben ser controlados, debido a que los
excedentes de los reactantes, la relación de los reactantes y la no agitación
de los reactantes influencian la reacción. Un análisis de peligros del proceso
ha indicado que, si las ratas de flujo de los químicos “A” y “B” excede ciertos
límites, se perdería el control de la reacción, adicionalmente, si la
temperatura de reacción no es controlada, puede resultar en una reacción
descontrolada, ambas reacciones resultan en la volatización de los
reactantes y una sobrepresión del reactor.
B.4 Requerimientos Funcionales de Seguridad

La siguiente tabla muestra una lista de los estados de seguridad para cada función
de seguridad y muestra la relación funcional entre las entradas y salidas,
incluyendo los requerimientos lógicos y la acción de los elementos finales de
control.
SF # SIL Sensor Descripción del SRS Estado del Elemento

Final de Control
S–1 2 PT–101 Si la presión del Reactor excede 125 psig. Abrir SSV–101
Cerrar SSV–101A
Cerrar SSV–102B
S–2 2 TT–101 Si la temperatura del Reactor excede 300 Abrir SSV–101
F Cerrar SSV–101A
Cerrar SSV–102B
S–3 1 FT–103 Si el Flujo de agua de enfriamiento es Abrir SSV–101
menor que 50 GPM por 15 seg. Cerrar SSV–101A
Cerrar SSV–102B
S–4 1 FT–102ª Si el Flujo del químico “A” es menor a 200 Abrir SSV–101
GPM por 15 seg. Cerrar SSV–101A
Cerrar SSV–102B
S–5 1 FT–102B Si el Flujo del químico “B” es menor a 200 Abrir SSV–101
GPM por 15 seg. Cerrar SSV–101A
Cerrar SSV–102B
REVISION DATE
SF # SIL Sensor Descripción del SRS Estado del Elemento

Final de Control
S–6 1 LT–101 Si el nivel del tanque de agua de Abrir SSV–101
enfriamiento de emergencia es menor a 5’ Cerrar SSV–101A
por 15 seg.
Cerrar SSV–102B
S–7 1 LT–102 Si el nivel de los químicos en el reactor es Abrir SSV–101
mayor al 90%. Cerrar SSV–101A
Cerrar SSV–102B
S–8 1 IT–101 Si el amperaje del motor del agitador es Abrir SSV–101
menor que 35 Amp. Cerrar SSV–101A
Cerrar SSV–102B
B.5 Especificaciones o características del Sistema:

B.5.1 General
Una vez definidos los parámetros siguiendo los pasos mencionados se tiene:
TI: 8760 horas
RT: 8 horas para sensores y 4 horas para el PES.
: 1 % para el procesador considerando arquitecturas sencillas en el resto de
los elementos.
B.5.2 Sensores.
Iniciaremos los cálculos para el SF mas exigente (mayor SIL), en este caso lo
iniciaremos con el S–1 (SIL 2).
La cantidad de elementos de entrada en este nivel de parada es de 8 sensores
con un MTBF igual a 50 años (tanto en modo falso (False Trip) como en peligroso
(Dangerous).
Los sensores son sencillos (sin redundancia).
El factor de diagnóstico (DC) de los sensores es 0%.
B.5.3 Válvulas
3 válvulas de salida con un MTBF igual a 50 años (tanto en modo “False Trip”
como en “Dangerous”).
Las válvulas son sencillas (sin redundancia), arquitectura preliminar: 1oo1.
Se requiere que todas las válvulas operen frente a una demanda.
El factor de diagnóstico de las válvulas es de 0%.
B.5.4 Procesador o Logic Solver.
El procesador está integrado por una tarjeta de entrada, una unidad central de
procesamiento (CPU) y una tarjeta de salida.
REVISION DATE
El arreglo o arquitectura preliminar del Procesador es 2oo3 en todos sus

elementos.
B.5.5 Tarjeta de Entrada y Tarjeta de Salida
Tanto la tarjeta de entrada como la tarjeta de salida tienen un MTTF de 50 años
(ambos modos combinados).
La tarjeta de salida tienen una fracción de 60% para fallas “False Trip” y la de
entrada de 75%.
Tanto la tarjeta de entrada como la tarjeta de salida tienen un factor de diagnóstico
de 99%
B.5.6 Unidad Central de Procesamiento (CPU)
El CPU tiene un MTTF de 10 años en ambos modos combinado.
El CPU tiene una fracción de 75% para fallas “False Trip”.
El factor de diagnóstico del CPU es de 99%.
B.6 SOLUCION:
B.6.1 Para la determinar el PFD y MTTFS de los sensores se usa la hoja
SENSORES:
1. Se define la arquitectura preliminar de los sensores, en nuestro caso es
configuración no redundante, por lo que la arquitectura es: 1oo1
2. Se coloca la cantidad de sensores que pueden generar una falla segura en
la casilla la Cant (segura). En la práctica generalmente se consideran todos
los sensores de este nivel de parada, en nuestro caso particular: 8.
3. Se coloca el número de sensores que pueden generar una falla peligrosa en
la casilla Cant (Peligrosa). Generalmente considera un solo sensor debido
a que la demanda llega sobre un solo lazo de acuerdo a IEC 61508). Por lo
tanto se coloca: 1.
4. En la casilla del valor de porcentaje de falla afectado por causa común ()
se coloca 0, por ser sensores no redundantes.
5. Se coloca el valor de número de horas promedio requerido para reparar una
falla (MTTR) de sensor. En nuestro caso, por las condiciones establecidas
para este ejemplo, será igual a 8 horas.
6. Se coloca en la casilla T1 el valor promedio entre mantenimiento
programado, en nuestro caso 1 año, es decir 8760 horas.
7. Se coloca en la casilla SD la cantidad de hora estimada para restablecer la
operación de la planta después de una falsa parada. En nuestro ejemplo es
igual al MTTR, es decir 8.
REVISION DATE
8. Se coloca el valor de tiempo promedio de falla en modo seguro (MTTF

seguro) de los sensores. En nuestro ejemplo se usan sensores sin
diagnóstico es decir se llena la columna “normal” y el valor definido es de.
50 años para el modo seguro (false trip). La columna correspondiente a
“seguridad” es para sensores con aprobación TUV, en este ejemplo se deja
en blanco.
9. Se coloca el valor de tiempo promedio de falla en modo peligroso (MTTF
peligroso) de los sensores. En nuestro ejemplo se usan sensores sin
diagnóstico es decir se llena la columna “normal” y el valor definido es de
50 años para el modo peligroso (dangerous). La columna correspondiente
a “seguridad” es para sensores con aprobación TUV, en este ejemplo se deja
en blanco.
10. Se coloca en la casilla DC el valor del porcentaje de diagnóstico de los
sensores. En nuestro ejemplo son sensores sin diagnóstico, es decir 0% en
la columna “normal”. La columna correspondiente a “seguridad” es para
sensores con aprobación TUV, en este ejemplo se deja en blanco.
11. Los resultados se muestran en la tabla de resultados.
Para una configuración de sensores no redundante, en la fila 1oo1 se
observa que el tiempo promedio entre falla MTTF es de 6.25 años y la
probabilidad de falla en demanda PFD es de 0.01.
En la misma tabla se muestran los valores de MTTF y PFD para otras
configuraciones con los mismos tipos sensores.
B.6.2 Para determinar el PFD y el MTTFS del Procesador (Logic Solver) o PES y
la Unidad de Procesamiento (CPU) se usa la hoja CONTROLADOR:
1. Se define la arquitectura preliminar del Logic Solver. En el ejemplo se indica
que es 2oo3.
2. Se coloca en la casilla Cant. Módulos (seguros), columna entradas digitales,
la cantidad de elementos de entrada digital que pueden generar una falla
segura, en este ejemplo el Logic Solver posee una sola tarjeta de entrada
de tipo digital, aún cuando es redundante 3 veces, el número de tarjeta es
una, por lo que se coloca: 1.
3. Se coloca en la casilla Cant. Módulos (seguros), columna salidas digitales,
la cantidad de elementos de salida digital que pueden generar una falla
segura, en este ejemplo el Logic Solver posee una sola tarjeta de salida de
tipo digital, aún cuando es redundante 3 veces, el número de tarjeta es una,
por lo que se coloca: 1.
4. Se coloca en la casilla Cant. Módulos (seguros), columna entradas
analógicas, la cantidad de elementos de entrada analógica que pueden
generar una falla segura, en este ejemplo el Logic Solver no posee tarjeta
de entrada de tipo analógica, por lo que se coloca: 0.
REVISION DATE
5. Se coloca en la casilla Cant. Módulos (peligroso), columna entradas

digitales, la cantidad de elementos de entrada digital que pueden generar
una falla en demanda o falla peligrosa, en este ejemplo el Logic Solver posee
una sola tarjeta de entrada de tipo digital, aún cuando es redundante 3
veces, el número de tarjeta es una, por lo que se coloca: 1.
6. Se coloca en la casilla Cant. Módulos (peligroso), columna salidas digitales,
la cantidad de elementos de salida digital que pueden generar una falla en
demanda o falla peligrosa, en este ejemplo el Logic Solver posee una sola
tarjeta de salida de tipo digital, aún cuando es redundante 3 veces, el número
de tarjeta es una, por lo que se coloca: 1.
7. Se coloca en la casilla Cant. Módulos (peligroso), columna entradas
analógicas, la cantidad de elementos de entrada analógica que pueden
generar una falla en demanda o falla peligrosa, en este ejemplo el Logic
Solver no posee tarjeta de entrada de tipo analógica, por lo que se coloca:
0.
8. Se coloca el valor total (suma MTTF en modo seguro y MTTF en modo
peligroso) de tiempo entre falla (MTTF) de la tarjeta de entradas digitales.
En nuestro ejemplo: 50.
peligroso) de tiempo entre falla (MTTF) de la tarjeta de salidas digitales. En
nuestro ejemplo: 50.
peligroso) de tiempo entre falla (MTTF) de la tarjeta de entradas analógicas.
En nuestro ejemplo: 0.
11. Se coloca el valor de fracción porcentual de falla segura de la tarjeta de
entrada digital en la casilla % Failsafe, columna entradas digitales. En el
ejemplo el valor es 75%.
salida digital en la casilla % Failsafe, columna salidas digitales. En el ejemplo
el valor es 60%.
entrada analógica en la casilla % Failsafe, columna entradas analógicas. En
nuestro caso no existe tarjeta de entrada analógica, por lo que el valor es 0%.
14. Se coloca el valor de fracción porcentual de falla segura del procesador
(CPU) en la casilla % Failsafe, columna CPU. En el ejemplo el valor es 75%.
15. Se coloca el valor de factor de diagnóstico de la tarjeta de entrada digital en
la casilla DC PLC alto diagnóstico, columna Entradas digitales. En el ejemplo
este tiene un valor de 99%.
REVISION DATE
16. Se coloca el valor de factor de diagnóstico de la tarjeta de salida digital en

la casilla DC PLC alto diagnóstico, columna Salidas digitales. En el ejemplo
este tiene un valor de 99%.
17. Se coloca el valor de factor de diagnóstico de la tarjeta de entrada analógica
en la casilla DC PLC alto diagnóstico, columna Entradas analógicas. En
nuestro caso no existe tarjeta de entrada analógica, por lo que el valor es 0%.
18. Se coloca el valor de factor de diagnóstico del procesador (CPU) en la casilla
DC PLC alto diagnóstico, columna CPU. En el ejemplo este tiene un valor
de 99%.
19. Se coloca el porcentaje de factor de falla del CPU originada por causa común
en la casilla  columna CPU. En el ejemplo este valor es 1%.
20. Se coloca el valor del tiempo promedio requerido para reparar una falla
(MTTR) del CPU. En el ejemplo son 4 horas.
21. Se coloca en la casilla T1, columna CPU el valor promedio entre
mantenimiento programado, en nuestro caso 1 año, es decir 8760 horas.
22. En la casilla SD (Hs), columna CPU se coloca el número de horas que se
requiere para restaurar la operación después de un paro falso. En el ejemplo
este valor es de 4 horas.
Para un Logic Solver con configuración 2oo3., en la fila 2oo3 se observa que
el tiempo promedio entre falla MTTF es de 110.9 años y la probabilidad de
falla en demanda PFD es de 1.56 e–5.
configuraciones de Logic Solver.
B.6.3 Para la determinar el PFD y MTTFS de las válvulas se usa la hoja VÁLVULAS:
1. Se define la arquitectura preliminar de las válvulas, en nuestro caso son
válvulas sin redundancia, por lo que la arquitectura es: 1oo1
2. Se coloca en casilla Cantidad (segura), la cantidad de válvulas que pueden
generar una falla segura. En la práctica generalmente se consideran todos
las válvulas de este nivel de parada, en nuestro caso particular: 3.
3. Se coloca el número de válvulas que pueden generar una falla peligrosa en
la casilla Cantidad (Peligrosa). Generalmente se consideran todas las
válvulas de ese mismo nivel del nivel de parada, en nuestro ejemplo: 3.
4. Se coloca el valor de tiempo promedio para fallar en modo seguro MTBF
(seguro) de las válvulas. En nuestro ejemplo es de 50 años.
5. Se coloca el valor de tiempo promedio para fallar en modo peligroso MTBF
(peligroso) de las válvulas. En nuestro ejemplo es de 50 años.
REVISION DATE
6. Se coloca en la casilla DC el factor de porcentaje de diagnóstico de las

válvulas. En nuestro ejemplo son válvulas sin diagnóstico, es decir 0%.
7. En la casilla del valor de porcentaje de falla afectado por causa común ()
se coloca 0, por ser válvulas no redundantes.
8. Se coloca el valor de número de horas promedio requerido para reparar una
falla (MTTR) de válvula. En nuestro caso, por las condiciones establecidas
para este ejemplo, será igual a 8 horas.
9. Se coloca en la casilla T1 el valor promedio entre mantenimientos
programados, en nuestro caso 1 año, es decir 8760 horas.
10. Se coloca en la casilla SD la cantidad de hora estimada para restablecer la
operación de la planta después de una falsa parada. En nuestro ejemplo es
igual al MTTR, es decir 8.
Para una configuración de válvulas no redundante, en la fila 1oo1 se observa
que el tiempo promedio entre falla MTTF es de 16,67 años y la probabilidad
de falla en demanda PFD es de 0,03.
configuraciones con los mismos tipos válvulas.
B.6.4 Para determinar el PFD y el MTTFS del SIS (Sistema Completo) se usa la hoja
RESUMEN
1. La arquitectura preliminar del SIS es: 1oo1, 2oo3, 1oo1
2. Se busca en la fila la configuración 1oo1 2oo3 1oo1
3. El valor de RRF del SIS (inverso de PFD) es de 25 y el valor de MTTFS del
SIS es de 4,37 años.
Obsérvese como a pesar de haber utilizado un TMR (arquitectura 2oo3) con
autodiagnóstico de 99% como Logic Solver del Sistema Instrumentado de
Seguridad, el RRF del SIS sólo alcanza el valor de 25 lo cual lo hace caer
en los valores bajos de SIL 1, siendo necesario una mejora de la
configuración para lograr el valor de SIL 2 requerido. Esto se logra de
diferentes maneras, entre las cuales pueden mencionarse las siguientes:
1. Mejoras en el desempeño de cada uno de los elementos que componen el
sistema, por ejemplo: el cambio de los elementos sensores de interruptores
por transmisores, mejorando el MTBF.
2. Cambiando la arquitectura de los componentes del sistema, ejemplo, para
la arquitectura preliminar de los sensores es de 1oo1, el RRF da igual a 100,
utilizando estos mismos elementos, pero utilizando otra arquitectura,
ejemplo, 1oo2, el RRF es según los cálculos de 7.500 (SIL 3), lo cual es una
mejora cualitativa.
REVISION DATE
3. El aspecto del costo, es considerado en la tabla de costos donde se deberá

actualizar los valores de cada componente así como los costos de
mantenimiento, para así en la hoja de resumen, poder realizar la
correspondiente comparación técnica – económica.
4. No existe una receta única para el logro de los requerimientos de cada SF,
ya que debe tenerse siempre en consideración todos los aspectos técnicos
involucrados tales como: tipos de elementos, tiempo de inspección, RRF vs
MTTFS (siempre es un compromiso entre estos dos valores), todas las
combinaciones de posibles arquitecturas y los costos de cada una de estas
combinaciones.
5. Una vez logrado el requerimiento de S–1, se repite el ejercicio para la
siguiente SF más exigente, en este caso particular del ejemplo, la S–2 es
coincidencialmente SIL 2, por lo tanto los resultados obtenidos
anteriormente, son válidos para este SIF. Continuando, pasamos al
siguiente SIF con el SIL menos exigente y tenemos el S–3 con SIL 1, en este
caso se repetirá el ejercicio solo para el sensor, manteniéndose los
resultados obtenidos para el CPU y Válvulas. El ejercicio continuara hasta
agotar todos los SIF que pertenecen a este interlock en particular.

Selección y Verificación de La PDF

Cargado por

Información del documentohacer clic para expandir la información del documento

Copyright:

Formatos disponibles

Selección y Verificación de La PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Selección y Verificación de La PDF

Cargado por

Copyright:

Formatos disponibles

PDVSA

MANUAL DE INGENIERÍA DE DISEÑO

1 ENE.11 Revisión de la sección 3 “Referencias” 32 C.E. L.T. L.T.

0 NOV.02 ORIGINAL 30 N.L. Y.K. R.R.

REV. FECHA DESCRIPCION PAG. REV. APROB. APROB.

PDVSA, 2005 ESPECIALISTAS

Menú Principal Indice manual Indice volumen Indice norma

“La información contenida en este documento es propiedad de Petróleos de

“Las Normas Técnicas son de obligatorio cumplimiento en todas las

Menú Principal Indice manual Indice volumen Indice norma

Menú Principal Indice manual Indice volumen Indice norma

3.2 ISA – Instrumentation, Systems and Automation Society

3.3 PDVSA – Petróleos de Venezuela

Menú Principal Indice manual Indice volumen Indice norma

K–336 “Safety Instrumented Systems”.

4.1 Función Instrumentada de Seguridad o “Safety Instrumented

4.2 Nivel de Parada

Menú Principal Indice manual Indice volumen Indice norma

lddc = Failure Rate Dangerous Detected Common (Common cause)

7 PROCEDIMIENTO DE USO DEL PROGRAMA SIL–SIS.xls

Menú Principal Indice manual Indice volumen Indice norma

7.2 Controladores CPU (Logic Solvers)

7.3 Elementos Finales de Control (Válvulas)

7.4 Tabla Resumen

7.5 Tabla Costo

7.6 Tabla de Ayuda

Menú Principal Indice manual Indice volumen Indice norma

8 CRITERIOS UTILIZADOS PARA LOS CÁLCULOS

Menú Principal Indice manual Indice volumen Indice norma

9 PASOS PARA EL CÁLCULO DE DESEMPEÑO DEL SIS

Menú Principal Indice manual Indice volumen Indice norma

De las arquitecturas anteriormente seleccionadas verificar cual tiene el menor

10 PROCEDIMIENTO/EJEMPLO CÁLCULO DE LOS ÍNDICES

10.1 Ejemplo de Cálculo de Desempeño del SIS

Menú Principal Indice manual Indice volumen Indice norma

El factor de diagnóstico (DC) de los sensores es 0%.

Menú Principal Indice manual Indice volumen Indice norma

Sensores TMR Válvulas

Arquitectura de los sensores:

Menú Principal Indice manual Indice volumen Indice norma

h. Establecer cual será el tiempo de inspección de los equipos, TI

i. Determinar cual es el factor  de causas de falla común.

Los valores en la columna titulada Seguridad corresponden a datos de

j. Procedimiento de Cálculo en los Sensores.

Menú Principal Indice manual Indice volumen Indice norma

Menú Principal Indice manual Indice volumen Indice norma

k. Calcular MTTFSss de acuerdo a la arquitectura, en este caso 1oo1, como

MTTFS 1oo1 + 1 + 6.25 Años

Menú Principal Indice manual Indice volumen Indice norma

d. Determinar el factor de diagnóstico o cobertura “C” que posee el procesador.

Menú Principal Indice manual Indice volumen Indice norma

Digital Input Digital Output CPU Logic Solver

Menú Principal Indice manual Indice volumen Indice norma

Menú Principal Indice manual Indice volumen Indice norma

g. Establecer cual será el tiempo promedio para reparación MTTR ó RT.

Procedimiento de Cálculo en las válvulas.

Menú Principal Indice manual Indice volumen Indice norma

MTTFS 1oo1 + ( 1 + 16.67 años