Elementos de seguridad

1 Pag. 1 de 24

SISTEMAS INSTRUMENTADOS DE SEGURIDAD

CURSO DE CAPACITACION

ARPO CAPACITACION, ESPECIALIDAD E INTEGRACION DE SISTEMAS, S.C.

Material de apoyo para programa de Certificación.

Curso:

ELEMENTOS DE UN SISTEMA INSTRUMENTADO DE

SEGURIDAD. Dirigido a operadores Activo Cantarell en Sistemas Instrumentados

de Seguridad

2 Pag. 2 de 24




CONTENIDO OBJETIVOS: .................................................................................................................................................3 1. PANORAMA GENERAL. ..................................................................................................................4

1.1. DEFINICIÓN DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD. ................................................6 1.2. ELEMENTOS DE UN SIS. ..............................................................................................................7

1.3.1. Controlador. ....................................................................................................................7 1.3.2. Interfase Humano-Máquina de un SIS...................................................................10 1.3.3. Válvulas de Corte (SDV). ...........................................................................................13 1.3.4. Transmisores. ...............................................................................................................16 1.3.5. Interruptores de Alta /Baja Presión........................................................................17 1.3.6. Tableros de Control Local. .......................................................................................18 1.3.7. Estaciones Manuales de paro (Circuitos Supervisados). ...............................19 1.3.8. Pruebas de funcionalidad. ........................................................................................20

2. ARQUITECTURA DE LOS SISTEMAS DE SEGURIDAD. ......................................................22 2.1 CARACTERÍSTICAS DE LOS SISTEMAS DE PARO POR EMERGENCIA. .....................................22 2.2 CARACTERÍSTICAS DE LOS SISTEMAS DE GAS Y FUEGO. .......................................................24

3 Pag. 3 de 24




OBJETIVOS: ELEMENTOS DE UN SISTEMA INSTRUMENTADO DE SEGURIDAD. Proporcionar los elementos teóricos necesarios para que el Operador pueda describir y reconocer todos los elementos de un sistema instrumentado de seguridad para poder conocer su funcionamiento y la importancia de cada elemento en el sistema de Paro por Emergencia.

4 Pag. 4 de 24




1. Panorama general. Existen importantes razones por las cuales es necesario implementar dentro de las industrias con procesos de alto riesgo, sistemas instrumentados de seguridad (SIS) para protección de vidas, instalaciones y ambiente (ver API-14C), sin que estos sistemas tengan que afectar al proceso de producción bajo condiciones normales de operación. Una idea errónea es ver al SIS como una caja negra, que solamente ocasiona retrasos y disparos en falso de los dispositivos de cierre, ya que estos efectos se presentan cuando no se han configurado correctamente los parámetros de disparo de acuerdo a las condiciones de la instalación o proceso, o se han realizado cambios en la estructura interna del proceso sin tomar en cuenta las condiciones de diseño del Sistema Instrumentado de Seguridad (SIS), o por desconocimiento en la operación de estos sistemas. Cuando se tiene una buena administración de los cambios, así como de los ajustes que necesariamente deben realizarse tanto en el proceso como en los sistemas de seguridad, el proceso y los SIS no presentan problema alguno y conviven de manera óptima. Para mantener la armonía entre el proceso y la seguridad es necesario que estén involucrados en la configuración del SIS, los responsables de verificar los niveles de operación de proceso, aunque sea a nivel de asesoría o de revisión de los niveles configurados. En procesos donde existen posibilidades de fugas, en áreas donde se presente el desgaste de equipos, y exista corrosión de tuberías, es necesario contar con sistemas de seguridad que brinden protección. El propósito de un SIS es monitorear un proceso industrial y alarmar o ejecutar acciones preprogramadas para prevenir la consecución de un evento peligroso, o bien para mitigar las consecuencias de que dicho evento ocurriese. Los Sistemas Instrumentados de Seguridad son muy importantes en la administración de riesgos debido a que reducen o evitan las consecuencias de los peligros al personal, al ambiente e instalaciones. Los riesgos deben prevenirse como un objetivo inicial del diseño y deben ser mitigados para reducir el riesgo al personal. Por lo tanto, los Sistemas Instrumentados de Seguridad (SIS) cumplen una función primordial evitando los eventos de riesgo o minimizando la severidad de las consecuencias al personal, medio ambiente e instalaciones.

5 Pag. 5 de 24




Entre las características de Un Sistema Instrumentado de Seguridad (SIS) hay que tener presente que estos sistemas: • No mejora la producción del proceso • No incrementa la eficiencia del proceso • Abate costos al reducir las pérdidas de producción. • Su función esta enfocada a Seguridad.

6 Pag. 6 de 24




1.1. Definición de Sistemas Instrumentados de Seguridad.

Un sistema instrumentado de seguridad es un conjunto de elementos en que incluyen sensores, procesadores lógicos y elementos de control, cuya finalidad es llevar el proceso, instalaciones y equipo a un estado seguro cuando se presenta una perturbación predeterminada. Otros términos que se emplean de forma común y en ocasiones limitados son: Sistemas de Paro de Emergencia SPPE (o ESD por sus siglas en ingles), sistemas de paro seguro SPS (SSD por sus siglas en ingles) y sistemas de protección seguro. Un Sistema Instrumentado de Seguridad (SIS) es un sistema de control que consta de sensores para monitoreo continuo de las variables de proceso, uno o más controladores (o solucionadores de lógica) diseñado para aplicaciones de seguridad y elementos finales de control que serán los equipos o elementos de proceso en que se reflejará la acción del sistema de seguridad, y que funcionan en conjunto para detectar y prevenir o mitigar óptimamente los efectos de un evento peligroso. En la figura siguiente, se muestran a manera de bloques, los elementos principales que conforman los SIS así como los elementos alternativos con que se involucra el SIS (Interfaz Humano máquina y Sistema básico de control de proceso).

Figura 1: Elementos de un SIS.

EL SIGUIENTE DIAGRAMA DELIMITA LOS COMPONENTES BASICOS DE UN SISTEMA INSTRUMENTADO DE SEGURIDAD:

SOLUCIONADOR LOGICO SENSORES

ELEMENTOS FINALES

LOGICA

INTERFAZ DEL USUARIO

CONTROL BASICO DE PROCESO

7 Pag. 7 de 24




1.2. Elementos de un SIS. 1.3.1. Controlador. Como se mencionó anteriormente, los Sistemas de Seguridad están integrados por un equipo de control denominado Sistema Electrónico Programable (o PLC para aplicaciones de seguridad) encargado de enviar o recibir señales de campo u otros sistemas, así mismo de ejecutar la lógica de control para mantener al proceso en su estado más seguro. Mediante éstas características se pueden desarrollar secuencias de control, e implementar las siguientes funciones: retardos de tiempo, contadores, comparaciones, operaciones aritméticas, etc. Estos equipos de control diseñados para aplicaciones de seguridad normalmente están compuestos por: • Dos o tres procesadores en un chasis principal (Unidad de control). • Al menos un chasis principal. • Dos módulos de alimentación por cada chasis instalado. • Módulos de comunicación para red (control e información). • Módulos para comunicación de tipo serial y programación. • Módulos de entrada y salida para señales de campo, tipo analógico y/o

digital. • Y terminales de conexión para cableado de campo. Estos equipos pueden ser de distintas marcas o fabricantes, así como se pueden considerar distintas tecnologías y características, como por ejemplo tecnologías Duales (1oo2), duales con diagnóstico (2oo2D), Triples (2oo3) y cuádruples (2oo4), Lo anterior de acuerdo al nivel integral de seguridad (SIL) con la que se desee cumplir. Procesador lógico. Debido a que estos equipos seden estar diseñados para aplicaciones de seguridad, el procesador lógico debe estar diseñado bajo el criterio de “falla segura” para asegurar la protección en caso de pérdida de energía para el equipo o bien cuando falla el sistema o alguno de sus componentes principales. Cada elemento del controlador deben contar con autodiagnóstico, así como incluir en la lógica interna de cada Unidad de procesamiento (CPU) rutinas diagnósticas y de prueba automática en línea para cada módulo, y detección de

8 Pag. 8 de 24




fallas para determinar el estado de cada módulo o del subconjunto que está dentro del sistema. La unidad de control debe ser capaz de funcionar de acuerdo a los parámetros climáticos propios del sitio de instalación, ser resistente a los golpes, vibración, descargas electrostáticas, eléctrico e interferencia electromagnética y de radiofrecuencia. El procesador lógico debe cumplir con las características de funcionalidad y certificados mencionadas en el estándar IEC-61508, con características de seguridad tales como clave de acceso administrativo, para operación y control de accesos. Módulos de Entrada/salida Los módulos de entrada/salida no deben tener ningún punto singular de falla en modo común que pueda afectar más de un canal. En caso de falla de un canal o módulo de entrada/salida del dispositivo, se debe tener la capacidad de detectar la falla mediante las características de autodiagnóstico y mostrar la alarmando por algún medio físico o de comunicaciones. Los módulos de entrada/salida deben contar con los siguientes diagnósticos y protecciones por canal: diagnóstico y protección de corto circuito y/o sobrecorriente y diagnóstico de circuito abierto. Todos los módulos de entrada/salida del procesador deben poder ser reemplazados en línea sin interrumpir la energía eléctrica y sin requerir herramientas especiales; el reemplazo comprenderá la configuración automática sin que cause interrupción o disturbios en el monitoreo, lógica y actuación del sistema. En el caso de requerirse, los contactos de salida del sistema lógico deben estar normalmente cerrados. Es responsabilidad del contratista proporcionar datos del Tiempo Medio entre fallas (MTTF) del procesador lógico, tasa de fallas del revolvedor lógico, el listado de los modos de fallas no reveladas y la frecuencia con que ocurren fallas identificadas, así como especificar el método utilizado y la fuente de dichos datos. Equipo Tricon. El Tricon es un sistema de control tolerante a falla, basado en la arquitectura triple modular redundante y se selecciona para aplicaciones en procesos críticos tales como: Sistemas de Paro de Emergencia, Sistemas de Control de

9 Pag. 9 de 24




Turbinas, Sistemas de Administración de Calderas y Sistemas de Protección contra Gas y Fuego, los cuales requieren máxima seguridad y una operación ininterrumpida, como es el caso de plataformas de producción de crudo, o terminales de almacenamiento y distribución. La implementación del Tricon mejora la seguridad, incrementa la productividad y reduce tiempos de mantenimiento y operación. Un sistema de control tolerante a fallas identifica y compensa las fallas en los elementos de sistemas de control y permite repararlos al mismo tiempo, realizando tareas sin interrupción del proceso. Un sistema de control de alta integridad como el TRICON es empleado en procesos críticos que requieren un grado significativo de seguridad y disponibilidad.

Figura 2. TMR Tricón.

La arquitectura triple modular redundante emplea tres sistemas de control en paralelo aislados y diagnósticos extensivos integrados en un solo sistema. Normalmente, y para una mayor confiabilidad, el sistema utiliza una lógica de voto dos de tres para proveer alta integridad, libre de error, operación ininterrumpida de procesos con puntos de falla. Para asegurar la mayor integridad posible del sistema todo el tiempo, el TRICON: • Provee arquitectura Triple Modular Redundante (TMR), donde cada uno de los tres procesadores ejecutan independientemente el programa de control, y software / hardware especializado con un mecanismo de "voteo" para todas las salidas y entradas.

10 Pag. 10 de 24




Figura 3. Arquitectura Triple.

• Soporta ambientes industriales severos. • Permite la instalación y reparación en campo a niveles modulares mientras los controladores están en operación. Reemplazo de módulos de entrada y salida sin modificar el cableado.

1.3.2. Interfase Humano-Máquina de un SIS.

Interfases de Operación De acuerdo a las definiciones y especificaciones resumidas en la Norma NRF045 de PEMEX, las interfases con el operador sirven para comunicar información al operador sobre el estado operativo de los elementos del SIS, incluyéndose diagnósticos del equipo y dispositivos, así como de las variables de proceso monitoreadas por el sistema, y debido a que esta interfaz es un elemento alternativo en el SIS la operación del sistema no debe depender de la interfase, ya que no siempre puede estar funcionando o estar disponible. La interfase del operador debe usarse para comunicar información entre el SIS y el operador y debe Incluir los siguientes componentes.

a) Interfase humano – maquina para desplegados de pantalla. b) Tableros que contengan lámparas, estaciones de botones,

indicadores, e interruptores. c) Anunciadores (alarmas audibles y visibles). d) Impresoras. e) Cualquier combinación de éstos.

La presentación de la información al operador debe ser clara y de fácil compresión y con un diseño que permita una rápida interpretación de las alarmas y avisos graves. Entre las opciones de operación, se debe cuidar de no permitirse “botones en Pantalla” configurados para desencadenar un paro de emergencia.

11 Pag. 11 de 24




Si el diseño requiere el uso de acciones en operación, el sistema debe contar con los medios para proteger contra errores del operador. Estos controles de operación deben instalarse o configurarse asegurando que sólo el personal autorizado pueda cambiar datos o acceder a los programas, empleándose de preferencia el acceso mediante contraseñas administradas por una autoridad responsable del sistema. La información del estado del Sistema Instrumentado de Seguridad SIS que es crítica para mantener el Nivel Instrumentado de Seguridad NIS (o SIL por sus siglas en ingles) debe estar disponible en la interfase del operador. Como parte de esta información se debe incluir: a) Secuencia del proceso. b) La indicación de que se ha activado la acción protectora del SIS. c) La indicación de que una función de protección está desviada. d) La indicación de que la(s) acción(es) es (son) automática(s) tal como la

degradación del voteo del sistema y/o manejo de la falla ocurrida. e) El estado de los sensores y los elementos finales del control. f) La pérdida de energía y su localización, cuando ésta pérdida afecte a la

seguridad. g) Los resultados de diagnósticos de la comparación. h) Fallas del equipo debido a las condiciones ambientales que afectan al SIS. i) Histórico de alarmas y secuencia de eventos. j) Pantallas operativas de mantenimiento periódico. k) Registro para control y auditoria del mantenimiento del sistema. l) Guías de operación para procedimientos críticos.

Interfase Humano Máquina (IHM). La Interfaz Humano Máquina IHM es el equipo que se emplea para visualizar mediante desplegados gráficos en un monitor, el estado de las señales que recibe el controlador electrónico /lógico /programable desde campo (entradas/salidas) en tiempo real. Establece una comunicación sencilla entre el usuario y el sistema. Permite a ingenieros, supervisores, administradores y operadores visualizar e interactuar con el desarrollo de toda una aplicación a través de representaciones gráficas de sus procesos de producción. En sistemas productivos se cuida la forma de presentar al operador las órdenes obtenidas del sistema experto, debido a que información excesiva o confusa dificulta la actuación en tiempo real. Para los desplegados gráficos, generalmente se distinguen dos grupos de pantallas: • Las pantallas dinámicas de sistema. Agrupamos en este concepto todas

aquellas pantallas de carácter dinámico que nos suministran información en

12 Pag. 12 de 24




tiempo real del estado de la instalación y que nos permiten la interacción con el Sistema.

• Las pantallas del “Sistema”. Estas pantallas son usadas para la impresión

de reportes, la apertura de hojas de cálculo, bases de datos, editor de textos, cambios de usuarios. En ella se podrán visualizar el estado en tiempo real de las válvulas SDV's del sistema de paro por emergencia. Así como el número y las características del último escenario seleccionado (función que depende del diseño particular de los modos de operación en la instalación).

Los desplegados relacionados con el SIS se deben identificar claramente para evitar la confusión del operador en una situación de emergencia. Los operadores deben tener fácil acceso a los desplegados relacionados con la seguridad, esto mediante un botón o por contacto directo en la pantalla que dará el acceso a una jerarquía del desplegado. Se debe dar al operador información suficiente en un desplegado para que visualice rápidamente la información crítica y ser coherente. En el diseño del desplegado. Se deben emplear códigos de colores, indicadores brillantes, y datos importantes resaltados para guiar al operador a la información importante y reducir la posibilidad de confusión. Los mensajes deben estar claros y concisos. Debe usarse la interfase del operador y un sistema asociado (como un sistema de control distribuido) para proporcionar automáticamente información relacionada con la seguridad, registrando en archivos históricos los eventos y funciones de alarmas. Las condiciones anotadas deben incluir los eventos del SIS (como el disparo y eventos previos al disparo). Alarmas del sistema. Toda alarma crítica será anunciada de manera sonora y visible de modo continuo hasta que sea reconocida por el operador mediante un medio físico o en pantalla. Los desplegados visuales deben ser intermitentes y de un color codificado para poder distinguir entre diferentes alarmas prioritarias. Deben usarse también diferentes tonos audibles para distinguir entre diferentes alarmas prioritarias. Las alarmas del SIS deben ser fácilmente visibles para el operador y deben ser reconocidas fácilmente con respecto a otras alarmas. El operador debe ser capaz de ver siempre que está pasando en el SIS aún cuando falle el Sistema de Control Básico de Proceso SCBP (BPCS por sus siglas en ingles). Por tanto, las alarmas para el SCBP y para el SIS deben estar separadas físicamente para minimizar la posibilidad de que fallas de modo común en los subsistemas de alarmas afecten la operación tanto del SIS como del SCBP.

13 Pag. 13 de 24




Impresora(s). Las impresoras conectadas al Sistema Instrumentado de Seguridad SIS no deben comprometer la función de seguridad si la impresora falla. Los SIS conectados a un Sistema de Control Básico de Proceso SCBP pueden utilizar recursos de éste para realizar sus funciones de registro relacionados con la seguridad y el informe de las funciones. Las Impresoras deben documentar la secuencia de eventos, la información, los diagnósticos, y otros eventos relacionados con la seguridad y alarmas, registrados con tiempo en el cual ocurrió, fecha y número de identificación. La impresión de alarmas debe llevarse a cabo mediante una impresora dedicada exclusivamente para este propósito, no debe mandar a impresión una hoja por cada alarma y debe ser de manera continua. La impresora de reportes podrá compartirse con la de otro sistema. 1.3.3. Válvulas de Corte (SDV). Estos dispositivos son empleados para realizar el aislamiento, de forma automática, de la instalación (es) y/o equipo (s) ante una contingencia. Las válvulas de corte, también llamadas elementos finales de control, se encargan de parar el flujo de la producción en la línea en que se encuentran instaladas. La válvula de corte cuenta con un actuador, que es el encargado de proveer la fuerza mecánica (neumática) para el movimiento de la válvula; y de una solenoide que es el dispositivo que recibe la señal digital desde el controlador electrónico /lógico /programable para propiciar el movimiento del actuador. La conexión entre la solenoide y el controlador electrónico/lógico/programable, se realiza mediante un circuito supervisado, el cual le da la capacidad al controlador electrónico/lógico/programable para registrar y, en dado caso, alarmar ante una ausencia de carga en el lazo de control (circuito abierto). Una vez que las señales de los dispositivos sensores de campo (transmisores, interruptores o estaciones manuales) enviaron una señal de inicio de secuencia al controlador electrónico /lógico /programable y, de acuerdo a la lógica programada en éste último, se envía una señal digital a estos dispositivos

14 Pag. 14 de 24




Figura 4: Válvula de Corte (SDV)

De acuerdo a las NRF45 de PEMEX y API6D, las válvulas deben seleccionarse de acuerdo a las condiciones específicas del proceso y la función deseada. Por lo tanto, esta permitido el empleo de válvulas de bola, de mariposa, o algún otro tipo que justifique su uso en aplicaciones de seguridad, se debe asegurar que sean bridadas e instaladas de tal forma que cada brida de la válvula sea conectada a la contrabrida de tubería correspondiente, evitando así la presencia de espárragos que vayan de lado a lado de la válvula. Otros factores que deben considerarse para la determinación de los requerimientos de válvulas son: tiempo de cierre, tipo de cierre, o clase de fuga (la clase de fuga debe seleccionarse de acuerdo con el ANSI/FCI 70-2 (11.4) y el API-553 (11.6). Así, en estos estándares, para la clase II, la máxima fuga permitida es de 0.5% de la capacidad, para la clase III, la máxima fuga permitida es de 0.1% de la capacidad, para la clase IV es de 0.01% de la capacidad, para la clase V, se permiten 0.0005 ml por minuto de agua por pulgada de diámetro de orificio por lb/pulg2 diferencial (5 x 10-12m3 por segundo de agua por milímetro de diámetro de orificio por bar diferencial), la clase VI no se debe exceder 6.75 ml por minuto y 45 burbujas por minuto para un diámetro nominal de 8 pulgadas. Las válvulas deben llevarse a una posición segura en caso de falla de energía. Cuando aplique y de acuerdo al diseño en particular de ciertas instalaciones es necesario contar con válvulas de desvío y de bloqueo, sobre todo en aquellas válvulas del SIS que cierran a falla de aire/energía y que de probarse en línea causen serios problemas operacionales, en otras ocasiones, es necesario proveer a la válvula del SIS sólo con bloqueos (por ejemplo en válvulas que a falla abren). En los casos donde se requiera contar con desvío y bloqueos, se debe considerar la instalación de dos válvulas de purga/venteo (dependiendo del servicio en la línea) instaladas entre las válvulas de bloqueo corriente arriba

15 Pag. 15 de 24




y corriente abajo de la válvula del SIS, en este caso, se deben utilizar interruptores de posición que alarmen en el cuarto de control del SIS cuando la válvula de desvío sea abierta o cuando alguna de las válvulas de bloqueo sean cerradas. Las válvulas de desvío (by pass) y de bloqueo deben ser mecánicamente enclavadas a fin de evitar que las válvulas de corte del SIS puedan ser desviadas o bloqueadas respectivamente de forma inadvertida. Las válvulas deben dimensionarse de acuerdo al IEC 60534-2 (ver 10.5). Todas las válvulas deben de contar con indicadores de posición local. Se debe rotular con flechas en ambos lados de la válvula la dirección del flujo. Actuadores. El actuador debe contar con un indicador local que muestre la posición de la válvula. En caso de pérdida de señal o suministro de aire la válvula debe tomar una posición segura y emitir una señal de alarma. Dependiendo de la evaluación del nivel de integridad NIS (SIL) se determina el empleo de actuadores sencillos de retorno por resorte operados neumática o hidráulicamente, hidráulicos, neumáticos o actuadores de doble acción. En caso de requerirse actuadores hidráulicos, el acumulador debe ser de tipo pistón con indicador de posición, deben existir tanques de suministro de respaldo neumático cargados con nitrógeno instalados cerca de la válvula. A menos que este justificado por las condiciones de operación se podrán emplear actuadores hidráulicos o eléctricos. La localización de la válvula de corte con respecto a la válvula de control dependerá de la posición de dicha válvula de control, si se encuentra a la entrada de un sistema, la válvula de corte debe estar localizada corriente abajo de la válvula de control, en caso de que la válvula de control se encuentre a la salida de un sistema, la válvula de corte debe localizarse corriente arriba de la válvula de control.

Figura 5.- Actuador de SDV.

Válvulas solenoides. El Sistema de Paro por Emergencia (SPPE) tiene como función particular realizar el paro automático en caso de emergencia, de gas y equipos involucrados en el proceso de producción de la instalación potencialmente

16 Pag. 16 de 24




peligrosa mediante el accionamiento de válvulas solenoides para la apertura y cierre de las válvulas de corte (SDV´s). De acuerdo a la norma de referencia de PEMEX NRF45, Se tiene lo siguiente para las válvulas solenoides (SDY´s): • Se deben considerar la implantación de válvulas solenoides redundantes

para aplicaciones críticas de seguridad en caso de que el diseño lo requiera.

• No se deben usar para aplicaciones de SIS válvulas solenoides con mecanismos manuales que pueden ser operados cuando la bobina sea des-energizada.

• Las válvulas solenoides deben ser capaces de soportar altas temperaturas incluyendo el calor generado por si misma, la radiación proveniente de hornos, entre otros.

• Debido a que una de las fallas más comunes en solenoides es cuando se queman las bobinas causando un disparo, deben usarse bobinas dobles para mantener al solenoide energizado si una de las bobinas se quema.

• Las válvulas solenoides pueden emplearse en líneas de señales o pulsos con aire, hidráulicos o algún otro de acuerdo a las condiciones de la instalación y de conformidad con Pemex.

• Las posiciones de montaje de válvulas solenoides deben elegirse de modo que aseguren la operación a falla segura de la válvula. Si la válvula tiene un posicionador, el solenoide debe ser instalado para ventear al actuador y no al posicionador.

1.3.4. Transmisores. Transmisores de Presión.- Los Transmisores de presión (PT´s) o Transmisores Indicadores de Presión (PIT´s) colocados en la línea corriente arriba/abajo de la válvula de corte involucrada en el sistema de paro por emergencia, tienen la función de realizar la medición de las magnitudes de presión de las líneas de producción y mediante una señal de 4-20 mA enviarla al controlador para realizar el monitoreo, y en un momento dado iniciar una secuencia de paro de forma automática, o que solamente se genere una alarma de advertencia al usuario, previniéndole del aumento o disminución de la presión. Normalmente, estos instrumentos se instalan y configuran en grupos de dos o tres dispositivos por SDV con el fin de poder realizar una votación 2 fuera de 3 (2oo3). De esta manera se tiene la certeza de que si en algún momento dado se inicio una secuencia de paro automático por alta o baja presión, al menos dos de los tres transmisores, aproximadamente, evaluarán la misma magnitud de presión (ya bien o muy alta presión, o muy baja presión).

17 Pag. 17 de 24




Figura 6. Transmisores de presión (grupo de 3 dispositivos).

Transmisores de Nivel.- Las señales de estos dispositivos de campo son utilizadas para monitorear, y en un momento dado para iniciar una secuencia de paro de forma automática, es decir que estos transmisores envían una señal analógica al controlador electrónico /lógico /programable con la información en tiempo real de niveles del área en que se encuentren instalados, para que éste a su vez realice las acciones pertinentes.

Figura 7: Trasmisor indicador de nivel

1.3.5. Interruptores de Alta /Baja Presión. Se deben instalar interruptores por alta o baja presión (PSH o PSL) para protección por daños que puedan generarse por vibración, choques, accidentes, o sobrepresión en tanques. El punto de detección debe localizarse en la parte superior de una línea horizontal o vertical. Un tramo de una línea de flujo tiene su máxima presión de trabajo permitida mayor que la presión máxima de cierre, y se protege mediante un PSH instalada en la sección corriente abajo del segmento. Los interruptores de baha presión se instalan en

18 Pag. 18 de 24




el tramo comprendido entre la fuente y el primer dispositivo de choque, con una longitud menor a 3m. Estos dispositivos de campo se utilizan para iniciar una secuencia de paro de forma automática, es decir que los interruptores envían una señal digital al controlador electrónico /lógico /programable, y éste a su vez procesa dicha señal de acuerdo a su lógica programada para tomar las acciones correspondientes. 1.3.6. Tableros de Control Local. Estos dispositivos son utilizados para poder tener control manual sobre el elemento final de control, en este caso la válvula de corte correspondiente. Las acciones que se pueden realizar con este tipo de tableros son: o Apertura Manual o Cierre Manual o Indicación local de estado de válvula (Abierta o cerrada) Tableros de Prueba Parcial. Este tipo de tablero es la versión aumentada del tablero de control local, puesto que a parte de las funciones que se pueden realizar con el tablero de control local, el tablero de pruebas parciales nos permite realizar un mantenimiento a la válvula de control local, es decir, nos permite realizar cierres parciales de la válvula para poder comprobar si ésta está en condiciones operables. Las acciones que se pueden realizar con este tipo de tableros son: o Apertura Manual o Cierre Manual o Cierre Parcial de válvula (comúnmente a un 25, 50 y 75% de cierre) o Indicación local de estado de válvula (Abierta, cerrada o en prueba)

Figura 8: Tableros de control local y de Pruebas Parciales.

19 Pag. 19 de 24




1.3.7. Estaciones Manuales de paro (Circuitos Supervisados). De acuerdo a la recomendación API 14C (Sección 4.2.6), en un sistema de Paro por Emergencia (SPPE) se deben considerar métodos manuales para iniciar el paro de la instalación por el personal que observe una condición anormal o un evento indeseable. Estas estaciones manuales de paro deben instalarse en:

• Subidas a helipuerto. • Extremo inicial (inferior) de escaleras por nivel. • Acceso a botes (muelles). • En el centro o en cada extremo de un puente entre cada plataforma. • Estaciones de evacuación de emergencia. • Cerca de las consolas de operación y durante los trabajos de

perforación. • Cerca de las salidas principales de los cuartos de la habitacional. • Otra localización en donde se requiera de estaciones de paro accesibles

para todas las áreas de la plataforma. Estas estaciones deberán instalarse de forma adecuada y deberán estar protegidas contra activaciones accidentales, así como identificadas sobre su función de paro con instrucciones claras de su activación. La instalación eléctrica de las estaciones de paro deberá de ser de des-energizar para actuar o emplear la supervisión de circuitos. Debido a la función de los elementos del sistema de paro en una plataforma, estos deberán ser de alta calidad y resistentes a la corrosión. Estos dispositivos, comúnmente llamadas botonera de paro manual o estaciones manuales de paro, son de suma importancia dentro de la configuración del sistema, ya que el accionamiento manual de estas dispositivos de campo inicia una secuencia de paro programada para llevar al proceso a un estado seguro. Debido a la importancia de estos dispositivos de campo, normalmente se les implementa con circuitos supervisados. Estos circuitos nos permiten conocer, en todo momento, el estado en que se encuentra las botoneras de paro manual, es decir, si está activada o desactivada (on-off), o si el circuito está dañado (circuito abierto o corto circuito), información que se obtiene con la finalidad de que nos permita prevenir fallas ante una emergencia, o por el contrario para poder evitar disparos en falso por un mal funcionamiento de la botonera de paro manual.

20 Pag. 20 de 24




Figura 9: Estaciones de paro manual

1.3.8. Pruebas de funcionalidad. Sistema. De acuerdo al API 14 C (Ap. D), se deben realizar pruebas periódicas al sistema incluyendo las válvulas de corte (elementos finales) como a los dispositivos sensores, tanto en la instalación final como de forma periódica en una frecuencia de pruebas de por lo menos anualmente, para garantizar la disponibilidad e integridad del sistema y garantizar un funcionamiento de acuerdo a lo programado. Antes de realizarle pruebas a los dispositivos de campo, se deberá de tomar las precauciones necesarias para evitar un paro del proceso ya sea empleando válvulas de desvío o aislar los lazos de control. Válvulas. Se deben realizar pruebas a las válvulas de corte para asegurar que se accionan de acuerdo a los parámetros de disparo configurados para las señales de los dispositivos de campo. Cada Lazo de control incluyendo las válvulas de corte deberá de probarse por lo menos anualmente y el tipo de prueba puede ser de apertura, cierre y movimiento parcial. Dispositivos analógicos. Los dispositivos analógicos realizan su función de disparo mediante una señal de 4-20 mA o 0-10 Vcd, y de acuerdo a esto, se puede obtener un diagnóstico adecuado realizándoles pruebas para obtener las alarmas correspondientes de sobrerrango o señal fuera de escala, y lectura de señal empleando un instrumento auxiliar calibrado para simulación de señal de proceso. Estos dispositivos tienen una característica de falla no segura y la seguridad de su operación depende de sus características de diseño e instalación. La frecuencia de prueba debe ser trimestralmente (una vez cada tres meses calendario).

21 Pag. 21 de 24




Contactos/relevadores Para los relevadores, las pruebas a realizarles consiste en la detección de solenoides quemadas o abiertas, contactos pegados, contactos gastados o daños físicos. Interruptores de presión El intervalo de pruebas recomendado para los interruptores de alta presión o interruptores de baja presión, así como para los interruptores de nivel es de una frecuencia mensual (una vez por cada mes calendario). Se pueden establecer otros intervalos de frecuencia de pruebas para cada dispositivo dependiendo de la experiencia de campo, políticas de operación o regulaciones de otra autoridad, para asegurar que el desempeño del dispositivos debe ser igual o mayor que el desempeño demostrado que las fecuencias de prueba recomendadas por norma.

22 Pag. 22 de 24




2. ARQUITECTURA DE LOS SISTEMAS DE SEGURIDAD.

2.1 Características de los Sistemas de paro por emergencia. De acuerdo a la recomendación API-14C (3.2), como objetivo de un sistema de paro por se especifica que: El sistema debe prevenir la fuga de hidrocarburos del proceso y minimizar los efectos adversos de una fuga si esta se llega a presentar. A partir de esta consideración se tiene que: El sistema de paro por emergencia debe:

• Prevenir los efectos indeseables que se pueden generara en una fuga de hidrocarburos.

• Aislar el proceso o la parte del proceso afectada para detener el flujo de hidrocarburos cuando se presente una fuga o derrame.

• Acumular y recuperar el hidrocarburo líquido o gases dispersos que escapan del proceso.

• Prevenir la ignición del hidrocarburo liberado. • Detener el proceso en el caso de un incendio. • Prevenir los efectos indeseables que se pueden generar por un equipo

con hidrocarburo liberado por otra fuente. • Un efecto indeseable que puede afectar una línea es una fuga o

sobrepresión. Si un accidente externo afecta al proceso, el sistema de seguridad debe parar el proceso o la parte afectada. Si este accidente genera un incendio, el sistema de seguridad debe parar todas las actividades de la plataforma a excepción de aquellas necesarias para extinción de incendios. Un efecto indeseable se puede detectar por uno o más sensores para una variable con valores fuera de los límites de operación, condición con la cual se debe efectuar una acción de paro para proteger los componentes de proceso, API-14C (4.2.1). Estos sistemas, se deben diseñar de tal forma que se permita en una emergencia, la operación continua de las estaciones de generación eléctrica y de los sistemas de extinción de incendios. (API RP 14C C1.1.1). La acumulación de gas combustible representa un riesgo en una plataforma y entre las acciones a realizarse al detectarse una concentración, que alcance el Nivel Mínimo de Flamabilidad (L.E.L) es cerrar la fuente de combustible o eliminar todas las fuentes posibles de ignición. API RP 14C (C.1.3.1).

23 Pag. 23 de 24




Considerando los aspectos anteriores, con el sistema de paro por emergencia se debe lleva el proceso a un estado seguro, cierra las válvulas de corte para aislar equipos y líneas cuando las condiciones del proceso se salen de los rangos de operación normales y exponen al personal y equipo a condiciones de operación inseguras. a) El sistema esta basado en equipo tolerante a fallas. b) Existe una separación total entre el sistema de control del proceso y el

SPPE. Esto aplica a sus elementos: sensores, elementos finales de control y en la estación de operación usada para concentrar la información.

c) El sistema no reacciona ante una falla aparente, sino ante una real. d) El sistema realiza sus propias pruebas en línea. e) Se considera en la operación que las válvulas del SPPE su operación es a

modo de falla, posición segura a falta de energía.

Figura 10: Arquitectura del Sistema de Paro Por Emergencia

Válvulas de corte e indicaciones -SDY -YL

Señal del Sistema Digital de Gas y Fuego Señal de

instrumentos -PIT -LIT -ZT

Botones de Acción Manual - HSE - HSR - HS-BY

24 Pag. 24 de 24




2.2 Características de los Sistemas de Gas y fuego. Un sistema de Detección y alarma de gas y fuego tiene como función principal el identificar el desarrollo de una emergencia de fuego en modo de tiempo y alertar a los ocupantes del lugar y a los grupos preparados para enfrentar emergencias por fuego. Este es el papel de los sistemas para detección de fuego y alarma. Dependiendo de los escenarios para la anticipación de incendios, materiales y tipo de construcción, cantidad y tipo de ocupantes, lo crítico del contenido y misión, estos sistemas pueden desempeñar diversas funciones principales. Primero, pueden suministrar un medio para identificar el desarrollo de un incendio a través de métodos automáticos y segundo, alertar a los ocupantes del lugar de una condición de incendio y la necesidad de evacuar. Además, pueden suspender el suministro eléctrico, manipular equipos para suministro de aire u operaciones de proceso especiales y pueden emplearse a la vez para los sistemas de supresión automática de fuego. a) El sistema esta basado en equipo tolerante a fallas. b) Existe una separación total entre el Sistema de Control del Proceso y el

Sistema de G&F. Esto aplica a sus elementos: sensores, elementos finales de control y en la estación de operación usada para el monitoreo total del sistema.

c) El sistema realiza sus propias pruebas en línea. d) El Sistema de G&F cuenta con un equipo tolerante a fallas con un Nivel de

Integridad de Seguridad 3 (SIL 3), TUV AK 5 Y 6 de acuerdo a lo especificado en la norma ISA S84.01. Cabe señalar que el Sistema de G&F en su totalidad, deberá confirmarse a través de un análisis de riesgo cuantitativo que nivel de integridad presenta.

Elementos de seguridad

Documents

Transcript of Elementos de seguridad