Automatizacion Proceso Regeneracion Reactor Dcs Abb

David Bravo Segovia
AUTOMATIZACIN DEL PROCESO DE REGENERACIN

DE UN REACTOR QUMICO
TRABAJO FINAL DE MSTER
dirigido por el Prof. Alfonso Romero Nevado
Mster en Ingeniera Electrnica
Tarragona
2015
Esta pgina se ha dejado en blanco intencionadamente
URV AUTOMATIZACIN DEL PROCESO DE REGENERACIN DE UN REACTOR QUMICO 2/173

TABLA DE CONTENIDOS
Introduccin .................................................................................................................. 8
Estructura del proyecto ................................................................................................. 9
1. Descripcin del proceso a automatizar....................................................................... 9
Reactor qumico .................................................................................................. 10
Proceso de regeneracin de un reactor qumico industrial .................................... 13
Objetivo de la automatizacin ............................................................................. 16
2. Nomenclaturas y definiciones.................................................................................. 17
Definicin de la instrumentacin asociada al proceso .............................................. 17
Temporizadores................................................................................................... 17
Botoneras software, permisos de operador (SBtn)............................................... 17
Botoneras de campo o setas de emergencia (HS) ................................................. 18
Vlvulas automticas (ABV) y vlvulas automticas de seguridad (EBV) ........... 18
Confirmacin de vlvula abierta y cerrada (ZSC, ZSO) ....................................... 19
Discrepancia DIDO ............................................................................................. 19
Activacin de rels y estado de rels (XY, XA, XS) ............................................ 20
Transmisores de variables de proceso analgicos (PT, TT, FT)........................ 21
Transmisores de variables de proceso discretos (PSH, PSL, LSL).................... 22
Actuadores y vlvulas de control (CV) ................................................................ 22
Compresor de Regeneracin ................................................................................ 23
Convencin de programacin .................................................................................. 26

Secuencias........................................................................................................... 26
Nombres de instrumentos, vlvulas y motores ..................................................... 27
Eventos y alarmas ............................................................................................... 29
Arquitecturas de disparo, enclavamiento o alarma ............................................... 29
Instrumento fuera de servicio .............................................................................. 30
Jerarqua operacional........................................................................................... 31
Deshabilitacin de disparos de seguridad LOPA.................................................. 32

Comunicacin entre aplicaciones (MMS) ............................................................ 32
Interaccin entre SIS y BPCS .............................................................................. 33
Disparo BPCS en LOPA ..................................................................................... 34
Alarma instrumento SIS fuera de servicio ............................................................ 34
Actuadores y motores SIS ................................................................................... 35
3. Implementacin y desarrollo ................................................................................... 38

Definicin de equipos asociados al sistema ............................................................. 38
Lazos de control de proceso ................................................................................ 43
Definicin de la estrategia de control de proceso ..................................................... 48

Secuencias de proceso ......................................................................................... 48
Anlisis LOPA particular del proceso...................................................................... 58

Lazos de Seguridad instrumentada SIS .................................................................... 64
4. Estudio de recursos materiales y humanos ............................................................... 67
Recursos materiales................................................................................................. 67
Recursos humanos................................................................................................... 72
5. Programacin del proceso ....................................................................................... 76
6. Entrenamiento operacional ...................................................................................... 80
Formacin a Operadores y responsables de planta ................................................... 80
Formacin a equipos de mantenimiento ................................................................... 81
Comisionado, puesta en marcha y entrega de proyecto ............................................ 83
Anexo A: Anlisis y evaluacin de escenarios de seguridad ........................................ 85
Anexo B: Diseo del sistema de control .................................................................... 120
Anexo C: Estructura de cdigo en el sistema 800xA Industrial IT ............................. 147
Anexo D: Listado y mapeado de seales de E/S ........................................................ 168
Bibliografa ............................................................................................................... 173

ILUSTRACIONES
Ilustracin 1 Esquema del reactor a regenerar ...................................................................................... 12
Ilustracin 2 Esquema del sistema de regeneracin ............................................................................... 15
Ilustracin 3 Diagrama de gas de sello del compresor ........................................................................... 24
Ilustracin 4 Diagrama de vibraciones y temperaturas de cojinete del compresor .................................. 25
Ilustracin 5 Diagrama de funciones secuencial..................................................................................... 27
Ilustracin 6 Convencin de programacin de instrumentacin SIS compartida ..................................... 35
Ilustracin 7 Convencin para elementos finales SIS comandados desde BPCS ....................................... 36
Ilustracin 8 Diagrama del circuito de regeneracin .............................................................................. 39
Ilustracin 9 Detalle del lazo de control de temperatura ........................................................................ 44
Ilustracin 10 Detalle del lazo de control de presin .............................................................................. 45
Ilustracin 11 Detalle del lazo de control de aire.................................................................................... 46
Ilustracin 12 Detalle del lazo de control de Hidrgeno ......................................................................... 47
Ilustracin 13 Detalle del lazo de control de Hidrgeno ......................................................................... 57
Ilustracin 14 Detalle de lazos de seguridad SIS..................................................................................... 67
Ilustracin 15 Grfico general de proceso.............................................................................................. 78
Ilustracin 16 Grfico general deposito decantador............................................................................... 79
Ilustracin 17 Grfico general compresor de regeneracin .................................................................... 80
Ilustracin 18 Capas de Proteccin de un proceso.................................................................................. 91
Ilustracin 19 Riesgo tolerable y ALARP................................................................................................. 94
Ilustracin 20 Lazos de seguridad seriados ............................................................................................ 98
Ilustracin 21 Lazos de seguridad en paralelo........................................................................................ 99
Ilustracin 22 Probabilidad de fallo vs. Tiempo operacin.................................................................... 101
Ilustracin 23 PFD vs. Test interval ...................................................................................................... 102
Ilustracin 24 Disparo BPCS + SIS ........................................................................................................ 118
Ilustracin 25 Disparo BPCS ................................................................................................................ 118
Ilustracin 26 Arquitectura de la plataforma de control....................................................................... 120
Ilustracin 27 Comunicacin entre controladores y mdulos E/S.......................................................... 122
Ilustracin 28 Comunicacin entre controladores y mdulos E/S.......................................................... 124
Ilustracin 29 Distribucin en armario de control ................................................................................ 124
Ilustracin 30 Conexin del cable RCU ................................................................................................. 125
Ilustracin 31 Conexin Optical ModuleBus......................................................................................... 126
Ilustracin 32 Conexin de clsteres.................................................................................................... 127
Ilustracin 33 Panel ProfiBus con seleccin de direcciones ................................................................... 128
Ilustracin 34 Panel ProfiBus, conexin de cableado ............................................................................ 128
Ilustracin 35 Distribucin cableado ProfiBus ...................................................................................... 129
Ilustracin 36 Esquema del SS823 ....................................................................................................... 130
Ilustracin 37 Arquitectura de alimentaciones sobre los mdulos de hardware .................................... 130

Ilustracin 38 Arquitecturas de alimentacin de mdulos .................................................................... 131
Ilustracin 39 Convencin de alimentacin de PM865 redundante ...................................................... 132
Ilustracin 40 Convencin de direcciones IP para la red de control ....................................................... 135
Ilustracin 41 Convencin de direcciones IP para la red de cliente/servidor y control ........................... 136
Ilustracin 42 Conexionados tpicos sobre mdulos de seales analgicas de entrada ......................... 138
Ilustracin 43 Convencin de conexin de instrumentos pasivos .......................................................... 138
Ilustracin 44 Convencin de conexin de instrumentos activos........................................................... 138
Ilustracin 45 Conexionados tpicos sobre mdulos de seales digitales de entrada ............................. 140
Ilustracin 46 Convencin de conexin de seales digitales de entrada................................................ 140
Ilustracin 47 Conexionados tpicos sobre mdulos de seales digitales de salida ................................ 143
Ilustracin 48 Convencin de conexin de seales digitales de salida ................................................... 143
Ilustracin 49 Conexionados tpicos sobre mdulos de seales analgicas de salida............................. 145
Ilustracin 50 Estructura de cdigo ..................................................................................................... 148
Ilustracin 51 Enlace de lectura desde campo al cdigo de control ...................................................... 154
Ilustracin 52 Enlace de escritura desde el cdigo de control a campo ................................................. 155
Ilustracin 53 Funcionamiento del objeto de lectura de una variable de proceso.................................. 157
Ilustracin 54 Funcionamiento del objeto de escritura de una variable de proceso ............................... 158
Ilustracin 55 Creacin de un canal de comunicacin MMS ................................................................. 159
Ilustracin 56 Publicacin de una variable en MMS ............................................................................. 160
Ilustracin 57 Lectura de una variable en MMS ................................................................................... 160
Ilustracin 58 Comunicacin de una variable en MMS ......................................................................... 162
Ilustracin 59 Comunicacin entre aplicacin de simulacin y control a travs del Hardware ............... 165
Ilustracin 60 Interactuacin entre variables simuladas y el hardware................................................. 166
Ilustracin 61 Funcionamiento de un objeto de simulacin .................................................................. 167

TABLAS
Tabla 1 Tiempos de regeneracin.......................................................................................................... 38
Tabla 2 Equipos del sistema de regeneracin ........................................................................................ 42
Tabla 3 Lazos de control de regeneracin .............................................................................................. 48
Tabla 4 Pasos de la secuencia de regeneracin...................................................................................... 56
Tabla 5 Tabla 1 Anlisis LOPA Proceso de regeneracin ......................................................................... 59
Tabla 8 Tabla 1 Anlisis LOPA Compresor de regeneracin .................................................................... 62
Tabla 9 Tabla 2 Anlisis LOPA Compresor de regeneracin .................................................................... 63
Tabla 10 Detalle lazo instrumentado SIS 60001 ..................................................................................... 64
Tabla 13 Nmero de seales de E/S en controlador A (PM866) .............................................................. 68
Tabla 14 Nmero de seales de E/S en controlador R (PM865) .............................................................. 68
Tabla 15 Listado de materiales para zona 2 .......................................................................................... 70
Tabla 16 Listado de armarios para Zona 2............................................................................................. 71
Tabla 17 Listado de armarios para Zona 3............................................................................................. 71
Tabla 18 Lista de programas necesarios para zona 3 ............................................................................. 72
Tabla 19 Valor medio de tiempo dedicado al proyecto por seal de E/S ................................................. 74
Tabla 20 Niveles de SIL........................................................................................................................ 100
Tabla 21 Arquitecturas de disparos ..................................................................................................... 106
Tabla 22 Requerimientos para Elementos Finales ................................................................................ 108
Tabla 23 Requerimientos para Elementos Sensores ............................................................................. 109
Tabla 24 Factor de riesgo por producto qumico .................................................................................. 116
Tabla 25 Factor por Evento Iniciador ................................................................................................... 117
Tabla 26 Probabilidad de Exposicin ................................................................................................... 117
Tabla 27 Factor de Probabilidad de Ignicin ........................................................................................ 117
Tabla 28 Clases de direcciones IP ........................................................................................................ 134
Tabla 29 Tamao de telegramas MMS................................................................................................ 163
Tabla 30 Listado general seales de E/S .............................................................................................. 170
Tabla 31 Distribucin de seales de E/S en Controlador A.................................................................... 171
Tabla 32 Distribucin de seales de E/S en Controlador R .................................................................... 172

Introduccin
El proyecto presentado en este documento pretende ser una gua para la automatizacin
del proceso de regeneracin de cualquier reactor qumico, en este caso concretando
sobre un reactor de hidrocarburos ampliamente utilizado en la industria actual.
En primer lugar, analiza el proceso de regeneracin de un reactor de este tipo, dando a

conocer los aspectos fsico-qumicos ms importantes, principalmente los aspectos
automatizables del proceso y las variables fsicas que son necesarias medir y controlar.
Se propone tambin una convencin de programacin, que no ser ms que una gua
bsica a la hora de realizar el programa de control, para optimizar su rendimiento y
minimizar los fallos del sistema de control.
Como complemento y a la vez base de cualquier estudio de automatizacin, se analizan

los riesgos de seguridad del proceso mediante herramientas de anlisis y protecciones a
tener en cuenta para evitarlos mediante lazos de seguridad instrumentados.
Utilizando estas normas, se desarrolla el programa de control y los lazos de seguridad

junto a la definicin, diseo e implementacin de la instrumentacin asociada para el
control del proceso, teniendo en cuenta los recursos materiales y humanos asociados al
proyecto, basndose en la plataforma de control distribuido ABB Industrial IT 800xA de
la empresa Asea Brown Boveri S.A.
Por ltimo, describe brevemente el comisionado y puesta en marcha del sistema

desarrollado, validacin de lazos de seguridad y entrega de la instalacin al cliente final.

Estructura del proyecto
El siguiente diagrama muestra la estructura y desarrollo del presente proyecto.

Cada una de las tareas especificadas ser imprescindible para completar el proyecto en
su totalidad.
INTRODUCCIN
DESCRIPCIN DE PROCESO
DEFINICIN DE LA INSTRUMENTACIN
DEFINICIN DE LA ESTRATEGIA DE CONTROL
ESTUDIO DE SEGURIDAD DEL PROCESO
ESTUDIO DE RECURSOS MATERIALES Y HUMANOS
PROGRAMACIN
SIMULACIN Y VALIDACIN
ENTRENAMIENTO OPERACIONAL
COMISIONADO Y PUESTA EN MARCHA

1. Descripcin del proceso a automatizar
Definiciones previas
Reactor qumico
Un reactor qumico es un equipo tipo depsito en cuyo interior tiene lugar una reaccin
qumica, estando ste diseado para maximizar la conversin y selectividad de la misma
con el menor coste posible. Si la reaccin qumica es catalizada por una enzima
purificada o por el organismo que la contiene, se habla de birreactor. El diseo de un
reactor qumico requiere conocimientos de termodinmica, cintica qumica,
transferencia de masa y energa, as como de mecnica de fluidos, balances de materia y
energa que son necesarios y que no se tratarn en el presente proyecto. Por lo general se
busca conocer el tamao y tipo de reactor, as como el mtodo de operacin. En base a
los parmetros de diseo se espera poder predecir con cierta certidumbre la conducta de
un reactor ante ciertas condiciones, por ejemplo un salto en escaln en la composicin
de entrada.
Los tipos de reactores qumicos se clasifican segn:
Modo de operacin
Discontinuos: son aquellos que trabajan por cargas o batches, es decir, se
introduce una alimentacin o carga y se espera un tiempo dado determinado por
la cintica de la reaccin, tras el cual se saca el producto final.
Continuos: reactores que trabajan de forma continua, no por batches.
Tipo de flujo interno

Ideales: se describen con ecuaciones lineales sencillas y no contemplan efectos
fsicos complejos o perturbaciones. Son los modelos ideales.
No ideales: consideran el patrn de flujo, la existencia de zonas muertas dentro
del reactor donde el material no circula, adems consideran una dinmica de
fluidos ms compleja, suelen describirse conociendo la cintica de las
reacciones, la RTD del flujo, el tipo de mezclado pudiendo ser este tardo o

inmediato, y conociendo si el tipo de fluido es micro o macro fluido. Son los
reactores reales.
Fases que albergan

Homogneos: tienen una nica fase, liquida o gas.
Heterogneos: tienen varias fases, gas-solido, liquido-solido, gas-liquido, gas-
liquido-solido.
El presente proyecto aborda la regeneracin de un reactor de hidrogenacin cataltica de

operacin continua utilizado para la obtencin de 1-buteno (1BE) de alta pureza,
mediante la hidrogenacin selectiva de 1,3-butadieno (BD) y compuestos acetilnicos
sobre catalizadores de Pd/Al2 O3. Se trata pues de un reactor cataltico de lecho fijo con
la mezcla de hidrocarburos e H2 fluyendo en flujo ascendente. Las temperaturas de
operacin van desde valores ambientes hasta alrededor de 50-60 C. Las presiones son
lo suficientemente altas como para mantener los hidrocarburos en fase lquida. Despus
de la purificacin cataltica de esta corriente el contenido de diolefinas y compuestos
acetilnicos no debe superar las 10 ppm. Estas especificaciones deben lograrse con
mnimas prdidas de 1BE. En la ilustracin 1 se observa un diagrama del circuito
bsico de proceso del reactor qumico a regenerar.

Ilustracin 1 Esquema del reactor a regenerar
Proceso de regeneracin de un reactor qumico industrial
Durante la operacin de hidrogenado, el rendimiento del catalizador utilizado disminuye

por lo que se debe regenerar para recuperar la produccin completa. Este catalizador tiene
ciertos ciclos de regeneracin posibles, despus de los cuales debe ser reemplazado. Para
regenerar el catalizador se utiliza el sistema de regeneracin del reactor.
La regeneracin del catalizador consiste en quemar hidrocarburos pesados utilizando aire

para oxidar el subproducto adherido a la superficie del catalizador y la posterior reduccin
del catalizador con hidrgeno para reactivar la superficie activa del mismo.
El sistema de regeneracin es un sistema de ciclo cerrado. El medio de regeneracin es

nitrgeno caliente. Dependiendo del paso de secuencia exacto de la regeneracin, el
nitrgeno tambin contendr pequeas cantidades de aire o hidrgeno, que harn que las
molculas de hidrocarburo adheridas al catalizador combustionen y desaparezcan, dejando
limpio el catalizador para ser utilizado de nuevo.
La regeneracin se realiza circulando a contracorriente una cantidad ms o menos

constante de gas de regeneracin (10000 kg/h), normalmente nitrgeno a una presin de 10
kg/cm2. Esto se realiza a travs de un compresor. Varios intercambiadores de calor y
calentadores proporcionan el calor necesario para conseguir la temperatura del gas de
regeneracin adecuada o para enfriarlo despus de que se haya finalizado la regeneracin.
Las operaciones que se realizan durante el proceso de regeneracin son las siguientes:
STRIPPING
Se realiza recirculando nitrgeno caliente a travs del reactor y arrastrando los
hidrocarburos que se desprenden ms fcilmente del catalizador.
OXIDACIN
El objetivo de esta operacin es la combustin de los hidrocarburos que queden en

el catalizador. Para ello se recircula nitrgeno y aire caliente con hasta un 3 % de
oxgeno a travs del reactor.
REDUCCIN
Esta operacin se realiza para reactivar los catalizadores. Se hace mediante la

recirculacin de nitrgeno caliente con un % bajo de hidrgeno.
Los componentes ms pesados se condensan en un enfriador de aire o ventilador y se

separan en un depsito separador.
El lquido sobrante se enva normalmente desde este depsito al depsito de recogida de

lquidos residuales de la regeneracin.
Los lquidos almacenados en este depsito residual se envan a una estacin de carga de
cisternas para poder eliminarlos posteriormente en un incinerador externo.
Los componentes ms ligeros de la regeneracin se purgan al sistema de gas de venteo para

quemarlos en la caldera o la antorcha de la planta principal, dependiendo del paso de
secuencia de la regeneracin y de la situacin de la caldera (si est o no en marcha).
En la ilustracin 2 se observa un esquema bsico del proceso de regeneracin del reactor.

Entrada Entrada Entrada
N2 Aire H2
Gas de regeneracin
desde reactores Impurezas Impurezas a
Sub-rea 2 Sub rea 4
De estacin
Reactor en
Sistema de Lquido Impurezas del Carga/Descarga
regeneracin
Regeneracin lquido de
Gas de
regeneracin a los
reactores
D-23 Fuel Oil Off-Gas
Off-gas a a a
Sistema de fuel Sistema de Fuel Sistema de Fuel
Ilustracin 2 Esquema del sistema de regeneracin

Objetivo de la automatizacin
El proceso de regeneracin de un reactor de este tipo es en cierta media manual, es decir,

requiere en gran parte de la atencin e intervencin del operador de planta para el arranque
del proceso y cambios entre operaciones que llamaremos pasos de secuencia de la
regeneracin o Steps.
Los principales objetivos de la automatizacin de este proceso son:
Mantener las temperaturas del reactor dentro de los rangos y limites en cada uno de
los pasos del proceso, evitando que alcancen valores que puedan daar el reactor o
incluso incurrir en un incidente de proceso o seguridad de la planta.
Controlar las temperaturas de reaccin mediante controles de caudal de H2, O2 y
aire, consiguiendo que el catalizador se regenere de forma adecuada sin llegar a ser
daado por exceso de temperatura o por cambios muy rpidos de las mismas.
Reducir al mximo el tiempo del proceso de regeneracin del reactor, puesto que un
reactor est pensado para producir un producto y mientras se regenera no estamos
rentabilizndolo.
Facilitar y mejorar las maniobras del personal de operaciones, automatizando
aquellas operaciones ms delicadas y peligrosas debido a la complejidad o la
situacin de los elementos a utilizar.
URV AUTOMATIZACIN DEL PROCESO DE REGENERACIN DE UN REACTOR QUIMICO

16/173
2. Nomenclaturas y definiciones
En este apartado se definen diferentes objetos y controles utilizados en el proyecto tanto a
nivel de instrumentacin como de sistema de control.
Definicin de la instrumentacin asociada al proceso
Temporizadores
El temporizador ser un objeto de cdigo que permitir retardar una determinada orden o
evento durante un tiempo establecido, devolviendo un valor de tipo lgico. Existen
diferentes tipos de temporizadores:
Temporizado a la activacin (TON). Efecta un
time
retardo sobre su salida (Q) con respecto a su entrada
(In) durante time segundos ante flanco positivo de la
In
entrada. En caso de deteccin de flanco negativo de
su entrada antes de time segundos, se anula el ET
retardo. Se expresa introduciendo la condicin de
activacin y el retardo entre parntesis. [TON(In, Q
time)].
Temporizado a la desactivacin (TOF). Efecta un

time
retardo sobre su salida (Q) con respecto a su entrada
(In) durante time segundos ante flanco negativo de la In
entrada. El tiempo que mantiene su salida es un ciclo
de programa (ciclo de scan). Se expresa ET
introduciendo la condicin de activacin y el retardo
entre parntesis. [TOF(In, time)]. Q
Temporizado pulsante (TP). Efecta un pulso de

time segundos ante deteccin de flanco positivo de time time
su entrada (In). Este tipo de temporizado no resetea

su contador interno si el estado de la entrada cambia In
dentro del intervalo de tiempo establecido. Se ET

expresa introduciendo la condicin de activacin y el
retardo entre parntesis. [TP(In, time)]. Q
Botoneras software, permisos de operador (SBtn)

Las botoneras implementadas por software sern accesibles desde la estacin de trabajo
(OS). Sern permisos del operador para que el proceso o secuencia contine o realice una
accin determinada.

El valor de salida de una botonera ser de tipo lgico, es decir, podr optar el valor falso o
cierto segn se ordene.
Pueden ser habilitadas o inhabilitadas para operar de forma condicional. Cuando no pueda
ser operada (inhabilitado), el valor de salida ser falso.
Existirn dos tipos de botoneras:
Interruptor: Quedar fijado un valor de forma constante hasta que se solicite el
cambio desde la ventana interfaz de acceso.
Pulsador: El valor del pulsador har cambiar el estado de la botonera durante un
ciclo de programa cuando se ordene desde la ventana de interfaz de acceso.
Siempre seguir la siguiente secuencia: falso, cierto, falso.
La representacin en el sistema de control ser similar a la esta figura:
Botoneras de campo o setas de emergencia (HS)

La botoneras de campo sern seales lgicas que adoptarn el valor falso o cierto
dependiendo del valor de tensin que encuentre la entrada en el mdulo de E/S. Por
convencin global del cliente, se establecen dos estados de tensin: 24 VDC 0 VDC.
Las seales relacionadas con la seguridad de la instalacin o las personas, irn con lgica
negada para detectar una anomala por corte de cable y llevar a una posicin de seguridad
los elementos finales relacionados.
La representacin en el sistema de control ser similar a la esta figura:
Vlvulas automticas (ABV) y vlvulas automticas de seguridad (EBV)

La alimentacin del actuador de la vlvula desde el sistema de control se determinar en
dos niveles de tensin:
24 VDC 0 VDC.
De forma general, todas las vlvulas de seguridad sern vlvulas de aislamiento y por
tanto, normalmente se disearn con la posicin de seguridad a fallo cierre (FC: Fail
Closed). Existen tambin ciertas vlvulas que por diseo de proceso interesa que sean
fallo abierto (FO: Fail Open).

Por convencin del cliente, en la planta de regeneracin todas las vlvulas de seguridad
(EBV) tendrn vinculadas una botonera de campo y una botonera por software accesible
desde OS para llevarlas a su posicin de seguridad.
Este tipo de vlvulas lleva asociada una lgica de activacin consistente en una serie de
condiciones de apertura anidadas que harn abrir la ABV cuando la lgica sea cierta o la
mantendrn cerrada si alguna de las condiciones no se cumple.
La representacin en el sistema de control ser similar a estas figuras:
Para las vlvulas de seguridad con botonera de seguridad la representacin ser similar a
esta figura:
Confirmacin de vlvula abierta y cerrada (ZSC, ZSO)

Para conocer el estado de las vlvulas del proceso, es necesario instrumentar las vlvulas
mediante los llamados finales de carrera. Los englobaremos en dos tipos: confirmacin de
vlvula abierta (ZSO) y confirmacin de vlvula cerrada (ZSC). La variable ser de tipo
lgica y siempre se definir de la siguiente forma: con interruptor cerrado, llegar tensin
de 24 VDC en bornes de la tarjeta E/S del sistema de control e indicar con cierto que la
vlvula se encuentra abierta (si es ZSO) o cerrada (si es ZSC); con interruptor abierto,
llegar 0 VDC al sistema de control para indicar con falso que la vlvula no se encuentra
abierta (si es ZSO) no se encuentra cerrada (si es ZSC).
En el sistema de control se representar por convenio en color gris la vlvula cerrada y
color verde la vlvula abierta, independientemente de si la vlvula automtica es fallo abre
o fallo cierra.
Discrepancia DIDO
Todas las vlvulas instrumentadas tendrn una alarma vinculada para conocer si la vlvula
est en buen estado o no: ser la alarma de discrepancias DIDO. El uso de sufijo DIDO

viene dado por el uso coloquial que hace referencia a entradas discretas (DI Digital
Input) y a salidas discretas (DO Digital Output). Una vlvula se definir en estado
correcto cuando se cumpla cualquiera de las siguientes condiciones:
- Orden de apertura y confirmacin de vlvula abierta (ZSO = cierto y/o ZSC =
falso)
- Orden de cierre y confirmacin de vlvula cerrada (ZSC = cierto y/o ZSO = falso)
Normalmente, todas la vlvulas definidas a fallo cierre (FC) debern contener una
confirmacin de vlvula cerrada (ZSC). Las vlvulas definidas a fallo abre (FO) debern
contener una confirmacin de vlvula abierta. En el caso de vlvulas definidas a fallo
ltimo estado (FL), siempre contendrn confirmaciones de abierta y cerrada.
Cuando el estado de la vlvula sea una variable crtica para el proceso, se podr disponer
de dos confirmaciones de estado para asegurar que la vlvula no se encuentra a media
apertura.
Para que no aparezca la alarma de discrepancias DIDO durante la apertura o cierre, deber
existir un temporizado de activacin de la alarma dependiendo del tamao de la vlvula y
de las caractersticas del actuador elctrico-neumtico.
La misma filosofa se utilizar para conocer el estado de los motores de planta.
Activacin de rels y estado de rels (XY, XA, XS)

La activacin de rels gestionado desde el sistema de control permite el arranque y paro de
equipos, dispositivos, sirenas de emergencia, solenoides, etc.
Cuando una seal tenga que ver con la activacin de rels que gestionen avisos sonoros o
visuales de alarmas, sistemas externos dedicados a anunciar anomalas o situaciones de
emergencia, etc. desde el sistema de control, se har uso de seales de salida discreta de 0
VDC 24 VDC (XA).
En el caso de seales que gestionan rels para la activacin de motores de bombas y
vlvulas o solenoides de corte, se har uso del mismo tipo de seal (XY).
Para conocer el estado de un equipo va rel, se hace uso de seales discretas (0 VDC 24
VDC) de entrada al sistema de control (XS).
En algunos casos, se hace necesario comunicar seales entre diferentes controladores de la
misma o diferente plataforma de control, siendo uno el emisario y otro el destinatario de
esa informacin. El uso de rels en esos casos es comn. En el caso del control de motores,
en planta siempre existir un centro de control de motores que controlar, diagnosticar y
proteger el motor mediante rels inteligentes. A este centro de control de motores (CCM)

le llegar una seal de salida del sistema de control (XY) que indicar la peticin de
arranque por parte del sistema de control. Adems, el CCM enviar seales del estado del
motor, como motor en marcha (XS), potencia activa consumida (JT), o listo para arranque
(RD).
La representacin en el sistema de control ser similar a esta figura, 0- gris para representar
el estado FALSE y 1-verde para el estado TRUE:
Para el caso de los motores y bombas:

Aero-refrigerador Motor/Bomba
Transmisores de variables de proceso analgicos (PT, TT, FT)

Los transmisores de variables de proceso formarn parte de un lazo instrumentado
alimentado a 24 VDC. Los elementos podrn ser activos, es decir, los que gobiernan la
alimentacin del lazo; o bien, pasivos, es decir, la alimentacin ser proporcionada por el
sistema de control. As, el instrumento efectuar la funcin de transduccin en ambos
casos para hacer variar la corriente de lazo (entre 4 mA y 20 mA).
Normalmente, existirn los siguientes tipos de transmisores en la planta: transmisores de
presin (PT), transmisores de presin diferencial (PdT), transmisores de caudal (FT),
transmisores de temperatura (TT), transmisores de nivel (LT), transmisores de potencia
elctrica (JT), transmisores de corriente elctrica (IT), transmisores de concentracin dada
por analizadores (AT), transmisores de vibracin mecnica (VT), etc.
En el caso de disponer de transmisores con visualizacin en campo, se introducir la letra
I en el nombre del instrumento (LIT, PIT, PdIT, FIT)
Temperatura Presin Caudal Nivel (SIS)

Analizadores Presin diferencial
Transmisores de variables de proceso discretos (PSH, PSL, LSL)

Los transmisores de variables de proceso discretas son instrumentos que aportan
informacin sobre el estado de una determinada variable de proceso de forma discreta, es
decir, indicarn al sistema de control si una variable de proceso se encuentra por debajo o
por encima de una consigna sintonizada en el instrumento. Normalmente, se har uso de
transmisores de variables discretos para aportar informacin adicional o para enclavar
equipos con el fin de protegerlos. Los transmisores de variables de proceso discretos no
son recomendados para su uso sobre lazos instrumentados de seguridad (SIS) puesto que
una variable fundamental para disear estos lazos es la cobertura de diagnstico (DC). Se
puede hacer uso de transmisores de variables de proceso discretos inteligentes o utilizar
tres niveles de estado para aumentar esa cobertura de diagnstico, pero como se ha
comentado previamente, en el proyecto se determina la convencin de uso de dos estados
(24 VDC 0 VDC).
La nomenclatura utilizada para describir un transmisor de estas caractersticas es poner
inicialmente la inicial de la variable de proceso, posteriormente la letra S haciendo
referencia a la palabra interruptor en ingls Switch y posteriormente el nivel de
deteccin, alto (H) o bajo (L). Los ms tpicos sern presostatos (PSH, PSL), levostatos
(LSH, LSL) y termostatos (TSH, TSL).
La representacin en el sistema de control ser similar a esta figura, 0- gris para representar
el estado FALSE y 1-verde para el estado TRUE:
Actuadores y vlvulas de control (CV)

Los actuadores analgicos y vlvulas de control son instrumentos que transforman las
variables de salida analgicas del sistema en posiciones de vlvula, normalmente en el
rango de apertura de una vlvula de control, entre 0 % y 100 % de apertura. En el sistema

ABB, 0 % significa siempre vlvula cerrada y 100 % significa vlvula abierta
completamente. Forman parte de un lazo instrumentado alimentado a 24VDC y comandado
por un lazo de control en corriente (4-20 mA), con deteccin de fallo en la propia tarjeta
del sistema de control, de forma que si desconectamos el instrumento, el sistema registra
un fallo de instrumento.
La nomenclatura utilizada para identificar una vlvula de control ser poner las iniciales
IP y a continuacin el nmero de tag asignado a la vlvula.
Este tipo de vlvulas lleva asociada una lgica posicional de activacin consistente en una
serie de condiciones de apertura anidadas que harn posicionar la CV a un valor de
apertura determinado por programa cuando la lgica sea cierta o la mantendrn por control
automtico si alguna de las condiciones no se cumple.
El tanto por ciento de apertura se refleja en el sistema como relleno de la figura
correspondiente en color verde y el valor de apertura asociado.
Cerrada Abierta 100 %
Compresor de Regeneracin
El compresor de regeneracin es bsicamente un motor elctrico que gira a alta velocidad
impulsando una bomba centrifuga a travs de una caja reductora que multiplica la fuerza
ejercida por el motor elctrico sobre el eje de la bomba reduciendo su velocidad.
La bomba impulsa el nitrgeno que llega al conducto de aspiracin y lo expulsa a mayor
presin por el conducto de impulsin, calentando tambin el gas debido a la compresin.
Para mantener limpia y libre de sobrecalentamiento la unin axial entre el motor y la
reductora de la bomba se usa el denominado sello seco, que consiste en introducir
nitrgeno a cierta presin en la caja de unin, lo que hace que no haya prcticamente
friccin entre las piezas, evitando altas temperaturas y contaminantes tpicos de los sellos
hmedos.
La ilustracin 3 representa el compresor con su instrumentacin asociada en el sistema de
control:

Ilustracin 3 Diagrama de gas de sello del compresor
La bomba o compresor propiamente dicho que proporciona presin al gas de proceso debe
estar lubricado constantemente con aceite lubricante para evitar las altas temperaturas
provocadas por la friccin entre las piezas del compresor. Para ello se dispone de un
circuito de lubricacin compuesto a su vez por una bomba de lubricacin movida por un
motor elctrico que succiona aceite de una balsa, lo distribuye por el circuito de lubricacin
hacia el compresor y retorna de nuevo a la balsa haciendo un circuito cerrado. Cualquier
fuga en el circuito de aceite es susceptible de provocar no solo contaminacin del medio
ambiente, sino bloqueos y sobrecalentamiento del compresor, llegando a daarlo en ltima
instancia, por lo que la presin y temperatura del circuito de lubricacin debe ser
monitorizada por el sistema de control.
Otro aspecto importante a tener en cuenta en cualquier mquina rotativa son las
vibraciones. Un desalineamiento excesivo en el sistema motor-compresor puede provocar
la rotura del eje o de cualquier componente mecnico del sistema, llevando a una parada de
proceso, lo que supondr perdidas econmicas tanto en produccin como en
mantenimiento. Para evitar y controlar las vibraciones, el sistema motor-compresor dispone
de una unidad de control de la empresa Bentley-Nevada externa al sistema de control que
monitoriza tanto las vibraciones midindolas con acelermetros dispuestos tanto en el
motor como en el compresor, como las temperaturas de los cojinetes de apoyo de los ejes,
y enva estos datos mediante comunicacin OPC al sistema principal de control de ABB. El
sistema Bentley-Nevada es un sistema de control dedicado exclusivamente a monitorizar
vibraciones y temperaturas de sistemas mecnicos rotativos, programado con lazos de
control independientes que efectuarn el paro de la mquina en caso de altas o muy altas

vibraciones y/o temperaturas de cojinetes, informando al sistema de control principal de
proceso. En la ilustracin 4 observamos una representacin de la instrumentacin del
compresor en el sistema de control.
Ilustracin 4 Diagrama de vibraciones y temperaturas de cojinete del compresor

Convencin de programacin
Para poder entender la estrategia de control desarrollada, en esta seccin se definen
previamente una serie de normas bsicas de programacin a seguir en la implementacin
del programa de control del proceso. Estas normas son aplicables independientemente de la
plataforma utilizada, pero en el proyecto se especifican para la plataforma de control
IndustrialIT 800xA de ABB.
Secuencias
Una secuencia define el conjunto de tareas automticas o manuales a realizar en un proceso
determinado en un orden determinado. Se compone de pasos independientes y transiciones
entre ellos de forma que el proceso slo podr estar en un paso o estado determinado en
cada momento.
Se acostumbra a representar en los sistemas de control como un diagrama de funciones
secuencial (ms conocido como SFC, del ingls Sequential Function Chart).
Paso o Step
El paso define las tareas automticas o manuales necesarias para un momento determinado
del proceso. El desarrollo de estas tareas condicionar el avance de la secuencia en el
proceso determinado.
Transicin
La transicin es el nexo de unin entre pasos y determina si se cumple el conjunto de
condiciones para acceder al siguiente paso. La transicin puede ser automtica, manual o
automtica con confirmacin manual del operador.
SFC
Es el diagrama de funciones secuencial se utiliza para representar una secuencia. Su
aspecto es de la ilustracin 5.

Paso_1
Paso_2
Paso_3
Leyenda
Paso_4
Manual
Automtica con confirmacin Manual
Paso_5 Automtica
Ilustracin 5 Diagrama de funciones secuencial
Con el objetivo de dar nombre a la instrumentacin y a las variables de cdigo necesarias

para definir la estrategia de control, efectuaremos una definicin previa de las variables
ms comunes y de ese modo, ayudar a la interpretacin de la estrategia definida.
Nombres de instrumentos, vlvulas y motores
Instrumentos, vlvulas y motores

TTT- XX nnn
Nmero de objeto
Nmero de equipo
Tipo de objeto
[ABV, PIT, LT]
Ejemplos:
ABV60811, vlvula de alimentacin de gas de sello del compresor
EBV60538, vlvula de bloqueo de entrada de gas al calentador
FT60533, transmisor de caudal de gas al reactor.
XY60610, Arrancar calentador elctrico.
Instrumentos, vlvulas y motores que forman parte de un lazo instrumentado de

seguridad (SIS)
SIS_TTT- XX nnn
Nmero de objeto
Nmero de equipo
Tipo de objeto
[ABV, PIT, LT]

Ejemplos:
SIS_EBV61021, vlvula de emergencia de bloqueo de alimentacin de aire a planta
SIS_TT11535A, transmisor de temperatura del lecho (2A) del reactor.
Instrumentos, vlvulas y motores que forman parte de un disparo acreditado en LOPA

(BPCS)
Los elementos del sistema que forman parte de un lazo LOPA se identifican en el proyecto
utilizando las iniciales BPCS (del ingls Basic Process Control System) en su
descripcin en el sistema de control, y adems, en los grficos aparecen las iniciales
LOPA (del ingls Layer Of Protection Analysis) justo al lado del dibujo del
instrumento. Informacin detallada sobre BPCS y LOPA se encuentra en el Anexo A:
Anlisis y evaluacin de escenarios de seguridad de este mismo documento.
BPCS_TTT- XX nnn
Nmero de objeto
Nmero de equipo
Tipo de objeto
[ABV, PIT, LT]
Ejemplos:
BPCS_AT60534, Analizador de O2 de alto rango.

Eventos y alarmas
En el sistema IndustrialIT 800xA de ABB, las alarmas se distribuyen en prioridades,

pudiendo usar hasta un mximo de 32 niveles. En el proyecto se usan 5 niveles de
prioridad, siendo 1 el ms crtico y cuyas alarmas son ms importantes de atender por el
operador y 5 el nivel ms leve. Cada uno de estos niveles est identificado en el sistema
por un color fcilmente distinguible por el operador, as como una sonoridad diferente para
cada uno. Cuando un elemento tenga una alarma, aparecer reflejada tanto en el indicador
de instrumento del grfico, como en su panel individual, as como en lista de alarmas
correspondiente. Los niveles de alarma son:
1. Crtico, color rojo;
2. Disparo LOPA, tanto BPCS como ORA (del ingls Operator Response
Alarm), color violeta. (Ver Anexo A: Anlisis y evaluacin de escenarios de
seguridad)
3. Severo, color naranja
4. Warning, color amarillo
5. Atencin requerida, color azul
Todas las alarmas son registradas e historiadas en el sistema, pudiendo ser consultadas por
el personal de planta diariamente para su anlisis y mejora del rendimiento de la planta.
Asimismo, tambin quedan registrados los eventos e intervenciones manuales de
operacin, que son operaciones, cambios de consigna, aperturas/cierres de vlvulas, etc,
que no son necesariamente una alarma para el operador pero que quedan registrados para
su anlisis y/o auditoria posterior.
Ejemplos:
PT61007_P_HH, alarma de muy alta presin en depsito de condensados D63.
SIS_TT11512_T_HH, disparo de seguridad SIS por muy alta temperatura en el reactor.
Arquitecturas de disparo, enclavamiento o alarma

Las arquitecturas que se utilizarn en la programacin de disparos, enclavamientos o
alarmas en el proyecto sern una de las siguientes:

1oo1 Arquitectura simple
El disparo, enclavamiento o alarma acontecer cuando el nico instrumento que forma el
elemento sensor se encuentre fuera de servicio, est en fallo o se d la condicin de superar
la consigna de activacin.
1oo2D Arquitectura doble

El disparo, enclavamiento o alarma acontecer cuando cualquiera de los dos instrumentos
que forman el elemento sensor se encuentre con la condicin de superar la consiga de
activacin. En el caso en que uno de los instrumentos se site fuera de servicio o en fallo,
la arquitectura degradar a la configuracin 1oo1.
En el caso que con la arquitectura degradada a 1oo1 su nico instrumento que forma el
elemento sensor (pues el otro se encuentra fuera de servicio) se site fuera de servicio o
fallo, el disparo, enclavamiento o alarma acontecer.
2oo3D Arquitectura triple

El disparo, enclavamiento o alarma acontecer cuando dos de los tres instrumentos que
forman el elemento sensor supere la consigna de activacin. En el caso en que uno de los
instrumentos se site fuera de servicio o en fallo, la arquitectura se degradar a 1oo2.
La arquitectura 1oo2 efecta la activacin del disparo, enclavamiento o alarma cuando
cualquiera de los dos instrumentos supera la condicin de activacin o cualquiera se sita
fuera de servicio.
Instrumento fuera de servicio

Se definir como instrumento fuera de servicio cuando se d cualquiera de los siguientes
casos:
Deteccin de fallo de instrumento o de lazo de instrumentacin.
Instrumento forzado desde panel para suministrar al sistema de control un valor establecido
por operacin o para situarlo fuera de servicio.
En algunos casos puede interesar considerar un instrumento fuera de servicio nicamente

cuando se detecta su estado anmalo o fallo en el lazo de corriente de instrumentacin. La
intencin de tener la posibilidad de forzar el instrumento es incrementar la fiabilidad de
proceso.

Forzar un instrumento tendr el mismo efecto que se haya detectado su anomala. En
cualquier caso, el efecto ser el mismo: degradar la arquitectura utilizada para generar
disparos de seguridad, enclavamientos o alarmas; o bien lo activar en caso de utilizar la
arquitectura 1oo1.
En el caso de disponer redundancia, no se permitir efectuar el forzado de ms de un
instrumento.
Cuando un instrumento se encuentre fuera de servicio, aparecer la alarma correspondiente
en el panel de control, as como en la lista de alarmas correspondiente.
Jerarqua operacional
El estado de una vlvula o de un motor puede venir dado por tres tipos de rdenes
diferentes:
1. Orden de activacin o desactivacin de seguridad. Cuando se detecta una condicin
de alarma y adems es necesario enclavar o disparar la vlvula o el motor en
particular, la activacin de un disparo de seguridad debe situar el proceso en
situacin segura.
2. Orden de activacin o desactivacin manual. En determinadas operaciones o en
tareas de reconocimiento y prueba de actuadores, es necesario poder ordenar de
forma manual la posicin del motor o la vlvula al estado deseado.
3. Orden de activacin o desactivacin automtico. Todas las secuencias de proceso
definen cmo deben situarse los elementos vinculados para poder llevar a cabo el
proceso.
La jerarqua definida, por orden de prioridad se establece de la siguiente forma:

La orden dada por la activacin de un disparo de seguridad o enclavamiento ser
prioritaria ante cualquier peticin ejercida de forma manual o automtica.
La orden establecida de forma manual por operacin, se antepondr a la orden
automtica dada por la secuencia. De ese modo se abre camino a operaciones
especiales o testeo de equipos.
Finalmente, la orden automtica se sita en el ltimo escaln de la pirmide
jerrquica. Generalmente, los procesos se podrn llevar a cabo siempre que las
vlvulas y motores se encuentren en modo automtico.

Deshabilitacin de disparos de seguridad LOPA
En ocasiones especiales, puede ser necesario efectuar la deshabilitacin de un disparo de

seguridad (SIS) o de un disparo acreditado en LOPA (BPCS). La inhabilitacin de una
funcin de seguridad debe estar muy bien justificada y debe efectuarse una evaluacin de
riesgos especfica para el disparo deshabilitado en particular. La deshabilitacin de un
disparo de seguridad siempre ir acompaada de un procedimiento de operacin para suplir
la funcin de seguridad mediante la inspeccin y la actuacin manual.
Por convencin de planta, todos los elementos finales de un lazo de seguridad dispondrn
de una alarma de alta prioridad que acontecer cuando la seal de salida del sistema de
control se haya posicionado en manual, tomando como efecto la deshabilitacin del lazo de
seguridad.
Comunicacin entre aplicaciones (MMS)
El protocolo de comunicacin utilizado en gran parte de los sistemas de automatizacin

para enlazar datos entre diferentes aplicaciones y clientes es el conocido como MMS. El
protocolo MMS (del ingls Manufacturing Message Specification) fue concebido
inicialmente por la empresa General Motors hacia el ao 1988 con el objetivo de integrar
los dispositivos de los diferentes fabricantes y evitar las islas de automatizacin generadas
por protocolos definidos de forma particular.
La normativa ISO 9506, a lo largo de sus seis partes define los servicios, protocolos y
estndares destinados a robtica, control numrico, controladores lgicos programables y
control de procesos.
El objetivo de este apartado es dar a conocer la operativa de los servicios MMS que sern
utilizados en este proyecto de automatizacin, as como establecer una convencin
estndar para todo el conjunto de comunicaciones entre aplicaciones entre controladores.
Para ms informacin sobre MMS consultar el Anexo B: Diseo del sistema de control en
el apartado Estructura de comunicaciones MMS en ABB Industrial IT

Interaccin entre SIS y BPCS

Todos los elementos que forman parte de un lazo de seguridad instrumentado (SIS) deben
programarse en la llamada zona de seguridad con un nivel de integridad definido que en
nuestro caso no es mayor a un SIL-2.
Definiremos una convencin para cada una de las combinaciones de comunicacin
dependiendo de las caractersticas de la informacin a comunicar entre aplicaciones SIS y
BPCS que podemos agrupar en tres bloques: instrumentacin SIS compartida con BPCS
acreditada en LOPA, instrumentacin SIS compartida con BPCS no acreditada en LOPA,
rdenes establecidas en BPCS para actuar sobre actuadores SIS.
Instrumentacin SIS compartida con BPCS acreditada en LOPA
Tal como se expone en el apartado Compartir elementos SIS y BPCS con crdito en LOPA
del Anexo A: Anlisis y evaluacin de escenarios de seguridad en ocasiones es interesante
compartir elementos de un lazo instrumentado de seguridad con la zona de cdigo bsica
de proceso (BPCS).
Compartir elementos que forman parte de lazos SIS y a su vez, son compartidos en lazos
acreditados en BPCS es una tarea delicada pues se puede poner en riesgo la integridad del
lazo de seguridad instrumentado. Por ese motivo definiremos la siguiente convencin:
Instrumentacin SIS compartida con BPCS no acreditada en LOPA
La necesidad de utilizar instrumentacin SIS para efectuar controles o generar alarmas

informativas y enclavamientos (no acreditados en LOPA) en zona BPCS hace necesario
definir cmo tratar estas comunicaciones.
En el caso de necesitar el valor de proceso de un elemento sensor mltiple para efectuar el
control de una determinada variable de proceso actuando sobre una vlvula controladora,
debemos seguir la misma convencin que se defini en el apartado anterior: se tomar el
valor mayor, menor o el valor medio publicado desde SIS.
En el caso de clculos de alarmas y disparos no acreditados, se puede hacer uso de la
misma convencin comentada anteriormente o tratar cada instrumento virtual e integrarlo
con una arquitectura determinada (1oo1, 1oo2D o 2oo3D).

Disparo BPCS en LOPA
Los elementos sensores SIS sern programados en una aplicacin SIS con el nivel de
integridad necesario para asumir las exigencias de LOPA (nivel de integridad configurable
en el entorno de programacin) as como el disparo y el elemento final; pero tambin se
encargar de calcular el valor mayor y menor (arquitecturas de sensor redundante) para ser
comunicado mediante protocolo MMS hacia BPCS. Nunca se efectuar la comunicacin
individual de los instrumentos que forman parte del elemento sensor SIS para realizar el
clculo colateral en BPCS siguiendo la arquitectura redundante deseada (1oo2D o 2oo3D),
sino que se har uso directamente del mayor, menor o valor medio y del estado global del
elemento sensor. El estado global del elemento sensor no ser ms que el resultado de una
funcin lgica que establecer que al menos un elemento sensor se encuentra en servicio.
As, la arquitectura que se seguir para elementos BPCS acreditados en LOPA con
instrumentacin compartida con SIS se tratar como una arquitectura 1oo1.
Alarma instrumento SIS fuera de servicio
Un aspecto importante con respecto a los lazos instrumentados de seguridad es anunciar

correctamente cundo un instrumento o un elemento final del lazo se encuentra fuera de
servicio para proceder a su reparacin en un intervalo tiempo inferior al MTTR (del ingls
Mean Time To Restore) para cumplir con las exigencias del IEC-61508.
La zona de cdigo de alta integridad (SIS) debe contener el cdigo perteneciente al disparo
de seguridad. La programacin de alarmas informativas debe efectuarse en aplicaciones
integridad normal (BPCS). As, para anunciar que un elemento SIS se encuentra fuera de
servicio es necesario efectuar la publicacin del estado de cada integrante del elemento
sensor o elemento final y programar una alarma en la zona BPCS.

Ilustracin 6 Convencin de programacin de instrumentacin SIS compartida
Definiremos como elementos virtuales aquellos elementos programados en BPCS que

representan el estado y el valor de elementos programados en SIS. En la ilustracin
expresada, los elementos virtuales sern Sis_Instr 1, Sis_Instr 2 y Sis_Instr 3.
Cabe destacar que la ilustracin trata de expresar la comunicacin de variables desde la
perspectiva funcional y no desde la perspectiva de implementacin. Tal como se ve en el
apartado Comunicacin entre aplicaciones (MMS) del Anexo C: Estructura de cdigo en el
sistema 800xA Industrial IT, no existe un canal de comunicaciones para cada variable a
comunicar sino que existe un canal que engloba todas las variables. Si no fuera as,
incurriramos en una falta sobre la convencin definida e incrementaramos
innecesariamente la carga del controlador.
Actuadores y motores SIS
Un elemento final residente en zona SIS tiene una estructura que define el siguiente
comportamiento:
Una vlvula o un motor programado en SIS pueden ser operados de forma manual
nicamente para situarlo en su posicin de seguridad. As, si una vlvula est definida a
fallo cierre, desde la zona de cdigo SIS la nica operacin manual que se puede ejercer
sobre la vlvula es ordenar el cierre. Por ende, nos podemos cuestionar cmo abrir esta
vlvula si resulta imposible desde SIS. La respuesta se encuentra en el uso de
comunicacin MMS con la orden de apertura calculada desde BPCS.

Este comportamiento implica la definicin de un objeto virtual en BPCS para ordenar la
accin que site el elemento final en la situacin contraria a la posicin de seguridad.
El elemento SIS siempre jerarquiza su posicin dependiendo de la lgica de disparo, que se
antepondr ante peticiones desde BPCS y posiciones en manual del objeto en particular.
La operativa de gestionar manualmente el elemento se efectuar mediante peticiones desde
BPCS.
En BPCS se define una lgica de disparo y una lgica de apertura o arranque. As, la
variable a comunicar indicar la peticin de abrir o arrancar el elemento AutoCmd, ya sea
por orden automtica Logic o por peticin manual SBtn.
Aplicacin SIS Aplicacin BPCS
Sensor
Instrumento 1
Elemento Final
Instrumento 2
Instrumento 3
AutoCmd := not SafetyLogic and
(Logic or SBtn)
Lgica de
disparo
(2oo3) [Condiciones de
SafetyLogic disparo/enclavamiento]
VoteCmd
[Condiciones de
Logic arranque/apertura]
Elemento AutoCmd
Final SBtn [Botonera por software]
ZSC / ZSO
Vlvula 1 Vlvula 1
ALM_Valv1_DIDO
Ilustracin 7 Convencin para elementos finales SIS comandados desde BPCS
En la ilustracin mostrada, el SafetyLogic hace referencia al resultado de una funcin

lgica que resume todo el conjunto de disparos y enclavamientos del elemento final (en
este caso particular, la vlvula) que no son de alta integridad (SIL). El Logic hace
referencia al resultado de una funcin lgica que resume el conjunto de condiciones de
apertura/arranque del elemento final. Finalmente, SBtn ser una botonera de apertura/cierre
o arranque/paro por peticin manual de operacin. Cuando AutoCmd es cierto, el elemento
final abrir o arrancar si VoteCmd se encuentra en falso.
En el caso de vlvulas de emergencia (EBV) que formen parte de lazos instrumentados de
seguridad, los pulsadores de emergencia de campo y cuadro de control vinculados se
integrarn dentro de la lgica de disparo (SafetyLogic).
Para conocer el estado del elemento final SIS y generar la alarma de discrepancias DIDO,
se publicar por MMS hacia BPCS el estado del final de carrera que llega a SIS por E/S,

teniendo en cuenta los tiempos necesarios de comunicacin adems del requerido por el
elemento final en cambiar de estado.
El retardo que supone la comunicacin MMS, mayor de 2 s, sugiere que debemos

considerar aquellos disparos considerados como de alta velocidad. En aquellos casos en los
que un disparo no acreditado en LOPA deba efectuar el paro de un elemento final SIS en
menos de 2 s, es necesario programar en la aplicacin SIS aquella instrumentacin
vinculada a ese disparo como si se tratara de un disparo SIS.

3. Implementacin y desarrollo
Definicin de equipos asociados al sistema
El sistema de regeneracin necesita de una planificacin detallada de utilizacin por parte

de operacin de planta. Es el personal de operaciones quien decide cundo se debe
regenerar el catalizador, cuando cambiar de reactor, que cantidad de aire y/o hidrgeno
introducir en el proceso, dependiendo del ciclo de desgaste del catalizador y de su uso. El
tiempo estimado para realizar la regeneracin de un reactor de este tipo y la frecuencia de
las regeneraciones se refleja en la siguiente tabla:
Reactor Tiempo de regeneracin (das) Tiempo entre regeneraciones

(das)
R-40 30 90
Tabla 1 Tiempos de regeneracin
Para entender el proceso que se describir a continuacin y con el fin de seguir la estrategia
de control detallada en forma de secuencia descrita en el siguiente apartado, es necesario
observar el diagrama especfico del proceso de regeneracin de la ilustracin 8 con los
equipos asociados al proceso detallados.

38/173
Ilustracin 8 Diagrama del circuito de regeneracin
URV AUTOMATIZACIN DEL PROCESO DE REGENERACIN DE UN REACTOR QUIMICO 39/173

En este apartado se describe de forma detallada los equipos principales del sistema de
regeneracin.
Compresor
El compresor de regeneracin, C-625, se utiliza para establecer el caudal necesario durante
los diferentes pasos del proceso de regeneracin del catalizador del reactor. El compresor
funciona como soplante para que el caudal se mantenga durante el ciclo cerrado y
compense las prdidas de presin del sistema.
Calentador de resistencias e intercambiador

El calentador elctrico HTR-620 y el intercambiador de regeneracin E-621 se utilizan
para calentar los gases de regeneracin. E-621 se bypasea en la puesta en marcha y en el
paso de refrigeracin.
Enfriador de aire
El enfriador de aire E-622 se utiliza para condensar los hidrocarburos y las impurezas de
los gases de regeneracin. Tambin es necesario para bajar la temperatura de succin del
compresor.
Enfriador de agua
El enfriador de agua de regeneracin E-627 y el enfriador de aire de regeneracin E-626 se
utilizan para enfriar los gases de regeneracin que van al reactor en el paso de
enfriamiento.
Separador
El separador de regeneracin D-623 se utiliza para separar los hidrocarburos, y otras
impurezas de la corriente de gases regeneracin.
Bomba de regeneracin
La bomba de regeneracin, P-624 se utiliza para vaciar el separador de regeneracin D-623
cuando est lleno de hidrocarburos, que se envan al sistema de Fuel Oil.
Analizadores
El sistema de regeneracin contiene dos analizadores de oxgeno:

40/173
Un analizador de alto rango situado en la succin del compresor. La finalidad de
este analizador es controlar el contenido de oxgeno del gas de regeneracin durante
el paso de oxidacin.
Un analizador de bajo rango situado en el depsito D-623. La finalidad de este
analizador es comprobar que el contenido de oxgeno sea lo suficientemente bajo
despus de purgar el sistema para pasar al paso de reduccin.
Otros componentes
La conexin de hidrgeno y aire al sistema de regeneracin se realiza a travs de una
conexin especial: un codo movible.
El motivo de hacerlo de este modo es el de evitar el riesgo de tener H2 y O2 conectados al
mismo tiempo y, por tanto, crear una mezcla explosiva. El codo deber sacarse de la
posicin de descanso a H2 o a aire, en funcin de lo requiera el proceso de regeneracin.
Otra lnea de defensa para evitar este escenario es que el sistema siempre se purgue con
nitrgeno antes de introducir hidrgeno y que el caudal de oxgeno durante el paso de
oxidacin se mantenga en niveles bajos.
En la siguiente tabla se resumen los equipos que componen el sistema de regeneracin y
sus caractersticas principales:

Equipo Descripcin Diseo
Tipo: centrfuga politrpica. Compresor de 1 fase.
Materiales de construccin: acero al carbono.
Caudal: 11110 kg/h
Compresor de
C-625 Potencia: 212 kw
regeneracin.
T/P de operacin de entrada/salida:
55 C / 105 C
5.7 / 9 kg/cm2g
Tipo: calentador elctrico.
Calentador elctrico de Materiales de construccin: Cr-Mo
HTR-620
regeneracin. Capacidad calorfica: 0.75 Gcal/h
T/P de operacin: 500 C, 9 kg/cm2g
Tipo: intercambiador Hairpin.
Materiales de construccin: Cr-Mo
Intercambiador de
E-621 Capacidad calorfica: 0.73 Gcal/h
regeneracin.
T/P de operacin:
125 C/ 450 C, 9 kg/cm2g
Tipo: enfriador de aire de tiro forzado.
Enfriador de aire de
E-622 Capacidad calorfica: 0.28 Gcal/h
regeneracin.
T/P de operacin:
155 C, 9 kg/cm2g
Tipo: Enfriador de aire tiro forzado.
Enfriador de aire de Materiales de construccin: acero al carbono.
E-626
regeneracin. Capacidad calorfica: 0.16 Gcal/h
T/P de operacin: 125 C , 9 kg/cm2g
Tipo: BEM.
Enfriador de agua de
E-627 Capacidad calorfica: 0.15 Gcal/h.
regeneracin.
T/P de operacin:
55 C, 9 kg/cm2g
Tipo: depsito vertical ASME.
Depsito de Materiales de construccin: acero al carbono.
D-623
regeneracin. Dimensiones 1.5 m x 2.5 m
T/P de operacin: 40 C/ 4.7 kg/cm2g
Tipo: ANSI horizontal centrfuga.
Materiales de construccin: 316 acero inoxidable.
P-624 Bomba de regeneracin.
Potencia: 2.2 kw
T/P de operacin: 40 C/ 10 kg/cm2g
Tabla 2 Equipos del sistema de regeneracin

Consideraciones especiales
La purga continua del sistema de regeneracin se realiza a travs de la vlvula de control
de venteo situada en D-623. Esta purga se realiza controlando la presin y la finalidad es
evitar la acumulacin de inertes (CO, CO2) en el sistema. La purga normal va a travs del
sistema de venteo donde se quema en lanzas dedicadas en los quemadores de la caldera.
La purga/inertizado de nitrgeno se realiza en el ciclo abierto con nitrgeno hacia la
antorcha. Hay una lnea especial de nitrgeno que pincha en la descarga del compresor para
esta purga. Es importante inertizar antes del paso de reduccin, ya que existe la posibilidad
de tener una mezcla explosiva si no se hace adecuadamente.
Cuando se para el compresor de regeneracin, la lnea de nitrgeno que alimenta la succin
del compresor permanece abierta para mantener el caudal de nitrgeno a travs del sistema
y evitar cualquier dao por altas temperaturas.
Demasiado hidrgeno u oxgeno durante la regeneracin podra causar puntos calientes y
dao en el catalizador. Para evitar esto, se han limitado las adiciones de oxgeno e
hidrgeno y tambin hay un primer paso en ambos casos con concentracin baja de
oxgeno e hidrgeno.
Lazos de control de proceso

En esta seccin se definen los lazos de control necesarios en la automatizacin del proceso
de regeneracin del reactor, controles de caudal, de presin y de potencia cuya finalidad
ser mantener las temperaturas del reactor dentro de los parmetros de operacin
requeridos en cada paso de la secuencia de proceso.
HTR620_TC: Control de temperatura del gas de regeneracin mediante un controlador PI

cuya variable de medida ser la temperatura de salida del calentador TT60531 y la salida
ser la potencia suministrada a las resistencias del calentador TY60518.

Ilustracin 9 Detalle del lazo de control de temperatura
D623_PC_FC: Este lazo de control se divide en dos partes:

Control de la presin del sistema de regeneracin mediante un controlador PI
Maestro/esclavo cuyas variables de medida sern la presin redundante en cabeza
del depsito D-623, mediante los instrumentos PT61007 y PT61014 para el
maestro, el caudal de venteo FT61012 para el esclavo y cuya salida ser actuar
sobre una vlvula de control CV61013 de venteo hacia FuelGas.
Control de la presin de nitrgeno de entrada al sistema mediante un controlador PI
Maestro/esclavo cuyas variables de medida sern el caudal de entrada de nitrgeno
FT61026 para el maestro, la presin redundante en cabeza del depsito D-623,
mediante los instrumentos PT61007 y PT61014 para el esclavo y cuya salida ser
actuar sobre la vlvula de control CV61027 de aporte de nitrgeno al sistema.

Ilustracin 10 Detalle del lazo de control de presin
O2_FC: Control directo del caudal de aire introducido en el sistema mediante un

controlador PI cuya variable de medida ser el caudal de aire FT61019, y cuya salida ser
la vlvula de control CV61020. Este control tiene dos limitaciones:
Limitacin por alto contenido en oxgeno, dado por el analizador de bajo rango
AT60534, que acta sobre un controlador PI cuya salida limita la apertura de la
vlvula CV61020 cuando se cumpla la condicin 1 %vol O2 en el paso OXLOW o
bien 3 %vol O2 en en el paso OXHI.
Limitacin por alta temperatura en lechos del reactor, dado por la condicin de que
al menos uno de los termopares de las parejas distribuidas en el reactor
(SIL_TT115XXAB) supere la temperatura mxima permitida para el paso en que se
encuentre la secuencia, que acta sobre un controlador PI cuya salida limita la
apertura de la vlvula CV61020 cuando se cumpla la condicin.

Ilustracin 11 Detalle del lazo de control de aire
H2_FC: Control directo del caudal de hidrogeno introducido en el sistema mediante un

controlador PI cuya variable de medida ser el caudal de hidrogeno FT61016 y cuya salida
ser actuar sobre la vlvula de control CV61017. Este control tiene la siguiente limitacin:
Limitacin por alta temperatura en lechos del reactor, dado por la condicin de que
al menos uno de los termopares de las parejas distribuidas en el reactor
(SIL_TT115XXAB) supere la temperatura mxima permitida para el paso en que se
encuentre la secuencia, que acta sobre un controlador PI cuya salida limita la
apertura de la vlvula CV61017 cuando se cumpla la condicin.

Ilustracin 12 Detalle del lazo de control de Hidrgeno
C625_MinFC: Control del caudal mnimo del compresor mediante un controlador PI cuya
variable de medida es el caudal en la succin del compresor FT60503 y cuya salida ser
actuar sobre la vlvula de control CV60506 situada en la impulsin del compresor.
E671_Bypass: Este no ser un control real como tal. De lo que se trata es de hacer una
transicin suave del caudal a travs del intercambiador hacia el bypass y viceversa,
mediante la actuacin sobre las vlvulas de control CV60536 de entrada al intercambiador
y CV60537 de bypass.
D623_LC: Control de nivel del depsito condensados mediante un control de banda muerta
que abre la vlvula automtica ABV61108 cuando se alcanza un nivel de 50 % y la cierra
cuando el nivel es del 10 % o bien cuando la secuencia est en el paso de vaciado.
En la siguiente tabla se resumen los lazos de control detallados y sus correspondientes

instrumentos

Medida
Finalidad Salida Control Tipo control Limitaciones
Proceso
Control
HTR620_TC temperatura gas TT60531 TY60518 PI Simple
regeneracin
Control presin PT61007 CV61013 PI Maestro/
D623_PC_FC
gas regeneracin PT61014 CV61027 Esclavo
Control caudal AT60534_HH
O2_FC FT61019 CV61020 PI Simple
aire SIL_TT115XXAB_HH
Control caudal
H2_FC FT61016 CV61017 PI Simple SIL_TT115XXAB_HH
Hidrogeno
Control caudal
C625_MinFC FT60503 CV60506 PI Simple
mnimo compresor
Control caudal CV60536
E671_Bypass Bypass
intercambiador CV60537
Control nivel
D623_LC deposito ABV61108 Banda muerta
condensados
Tabla 3 Lazos de control de regeneracin
Definicin de la estrategia de control de proceso
Secuencias de proceso
La estrategia de control del proceso de regeneracin seguir los siguientes pasos:
Mantenimiento MW (fuera de servicio): el sistema est no operativo, las alarmas
correspondientes deshabilitadas y todas las mquinas asociadas al proceso estn tambin en
mantenimiento y paradas. Se utiliza este paso cuando no se usa el sistema o bien cuando es
necesaria alguna reparacin de mantenimiento de alguno de sus componentes. La
transicin desde PW a MW y viceversa se realiza por orden de operador manual desde
panel.
Espera de proceso PW: el sistema se prepara para pasarlo a mantenimiento o bien alinearlo
para ser utilizado. En este ltimo caso, se presuriza con nitrgeno a una pequea
sobrepresin para evitar que entre aire en el sistema. Las alarmas estn habilitadas, todos

los motores se encuentran parados, todas las vlvulas en posicin segura excepto las
vlvulas de control de presin del D-623 que mantendrn la presin de consigna.
La transicin desde MW a PW y viceversa se realiza por orden de operador manual desde
panel. La transicin desde VACIO a PW se realiza por orden de operador manual desde
panel y siempre que no est el reactor en regeneracin.
Purga PURGE: Antes de conectar el reactor al sistema de regeneracin se debe drenar y

purgar. Se asla el reactor de las lneas normales de proceso con doble bloqueo y purga.
Una vez alineados el reactor y el sistema de regeneracin, se presuriza todo el sistema con
nitrgeno desde la descarga del compresor con la purga hacia el venteo activa. Se utiliza un
totalizador de nitrgeno para saber la cantidad introducida. Todas las alarmas estn
habilitadas y los motores parados.
La transicin desde PW a PURGE se realiza por orden de operador manual desde panel
siempre que se cumplan las siguientes condiciones:
No exista fallo de ningn instrumento SIL AND
La secuencia del reactor est en el paso de regeneracin AND
La secuencia del sistema de aceite est activa en RUN
Presurizacin PRESS: El sistema junto con el reactor est presurizado con nitrgeno a un
caudal de 100 kg/h a travs de la succin del compresor. La purga hacia el venteo est
activa. Los ventiladores estn en marcha. El caudal de N2 pasa a travs de HTR-620 pero
el calentador est apagado. El intercambiador E-621 est bypaseado. La bomba P-624
arranca automticamente si el nivel de D-623 es suficiente y por permiso de operador. El
caudal a travs del bypass del calentador est bloqueado. Todas las alarmas estn
habilitadas.
La transicin de PURGA a PRESS se realiza por orden de operador manual desde panel
Analizador de bajo rango de O2 =< 0.01 vol % y sin fallo AND
Ventiladores E-622 alineados por permiso de operador AND
Compresor C-625 alineado por permiso de operador AND
Presin en D-623 > Presin mnima

La transicin desde VACIO a PRESS para continuar el proceso de regeneracin despus de
una interrupcin se realiza por orden de operador manual desde panel siempre que se
cumplan las siguientes condiciones:
Ventiladores E-622 alineados por permiso de operador AND
Compresor C-625 alineado por permiso de operador AND
Secuencia del reactor en paso de regeneracin.
Calentamiento HEAT: es el paso de Stripping en el que el nitrgeno introducido en el

sistema se calienta mediante el calentador HTR-620. Se pone en marcha el calentador y se
comienza a calentar con una consigna de temperatura de salida que se incremente 20 C por
hora hasta la consigna final de 290 C. Se mantiene el caudal de N2 a 100 kg/h. Cuando la
temperatura de retorno del reactor sea mayor que la de descarga del compresor +10 C, se
comienza a circular la corriente a travs del intercambiador E-21 y cerrando el bypass
gradualmente. El control de nivel del depsito D-623 est habilitado y activo. Todas las
alarmas estn habilitadas. El control de presin de purga hacia el sistema de venteo est
habilitado y activo. La bomba P-624 arranca automticamente si el nivel de D-623 es
suficiente y por permiso de operador.
La transicin desde PRESS a HEAT se realiza por orden de operador manual desde panel
Compresor C-625 en marcha AND
Temperatura de salida del reactor > 54 C AND
Vlvula Bypass E-621 > 90 %
Oxidacin baja OXLOW: Es el primer paso de oxidacin consistente en quemar los

hidrocarburos introduciendo aire en el sistema. En este paso se mantiene el nivel de
oxgeno al 1 % vol O2. El control de nivel del depsito D-623 est habilitado y activo.
Todas las alarmas estn habilitadas. El control de presin de purga hacia el sistema de
venteo est habilitado y activo. Se mantiene el caudal de N2 a 100 kg/h. Se introduce aire
con un caudal de 80 kg/h mediante un control con limitacin por alta concentracin de
oxigeno que har tambin que al final de la regeneracin el consumo de oxigeno sea menor
(menos oxgeno en el reactor y ms en el reciclo). Se realiza control del caudal de aire
introducido y de la mxima temperatura del reactor para que no sobrepase los 420 C.

La transicin desde HEAT a OXLOW se realiza por orden de operador manual desde panel
Temperatura de entrada al reactor >= 320 C AND
Diferencia entre la mxima y la mnima temperatura del reactor =< 30 C AND
Codo de entrada de Aire/Hidrgeno alineado a aire de planta AND
Analizador de alto rango de oxigeno alineado y sin fallo AND
Consigna de aire a introducir en el sistema correcta AND
Secuencia del reactor en el paso de regeneracin
Oxidacin alta OXHI: Es la segunda etapa de la oxidacin para quemar los hidrocarburos
adheridos al catalizador introduciendo aire al sistema. En este paso se aumenta el nivel de
oxgeno al 3 % vol O2. El control de nivel del depsito D-23 est habilitado y activo.
Todas las alarmas estn habilitadas. El control de presin de purga hacia el sistema de
venteo est habilitado y activo. Se mantiene el caudal de N2 a 100 kg/h. Se incrementa la
temperatura de salida del calentador HTR-620 a 20 C/hora hasta los 380 C. Se realiza
control del caudal de aire introducido y de la mxima temperatura del reactor para que no
sobrepase los 420 C.
La transicin desde OXLOW a OXHI se realiza por orden de operador manual desde panel
Consigna de aire a introducir en el sistema correcta AND
Temperatura de lechos del reactor >= 330 C AND
Inertizacin TEMPER: En este paso intermedio, el reactor se purga y se enfra con

nitrgeno hasta los 180 C antes de iniciar los pasos de reduccin. El control de nivel del
depsito D-623 est habilitado y activo. Todas las alarmas estn habilitadas. El control de
presin de purga hacia el sistema de venteo est habilitado y activo. Se mantiene el caudal
de N2 a 100 kg/h. Se para la introduccin de aire al sistema de regeneracin. El compresor
C-625 se mantiene en marcha.
La transicin desde OXHI a TEMPER se realiza por orden de operador manual desde panel

Comprobacin por el operador mediante grficos de temperaturas de que no existe
ms combustin del catalizador en el reactor, las temperaturas son estables, con un
tiempo mnimo de 15 minutos.
La transicin desde OXHI a TEMPER se realiza para activar un catalizador nuevo que no
necesita ser limpiado, se realiza por orden de operador manual desde panel siempre que se
cumplan las siguientes condiciones:
Reduccin baja REDLOW: Este es el primer paso de la activacin de la superficie del

catalizador a baja temperatura mediante la introduccin de un bajo caudal de hidrogeno en
el sistema. El control de nivel del depsito D-623 est habilitado y activo. Todas las
habilitado y activo. Se mantiene el caudal de N2 a 100 kg/h. Se introduce Hidrogeno
mediante control de caudal a incrementando 0.3 kg/h por segundo hasta alcanzar los
3 kg/h. Se mantiene el control de temperatura mxima del reactor para no sobrepasar los
310 C.
La transicin desde TEMPER a REDLOW se realiza por orden de operador desde panel
Temperatura de entrada al reactor >= 150 C AND
Diferencia entre la mxima y la mnima temperatura del reactor =< 30 C AND
Codo de entrada de Aire/Hidrgeno alineado a hidrogeno de planta AND
Consigna de hidrogeno a introducir en el sistema correcta entre 0.3 y 3.5 kg/h AND
Consigna de nitrgeno a introducir en el sistema correcta AND
Es importante que todas las temperaturas de entrada, de lechos y de salida del reactor se
hayan estabilizado antes de entrar en este paso de la regeneracin.
La mxima de cualquiera de las temperaturas de lecho del reactor har que se pare la
regeneracin.
Durante la primera reduccin se producen las siguientes reacciones:
CuO + H2 Cu + H2O
Cu2O + H2 2 Cu + H2O

Reduccin alta REDHI: Este es el segundo paso de la activacin de la superficie del
catalizador a alta temperatura mediante la introduccin de un alto caudal de hidrogeno en
el sistema. El control de nivel del depsito D-623 est habilitado y activo. Todas las
habilitado y activo. Se mantiene el caudal de N2 a 100 kg/h. Se introduce Hidrogeno
mediante control de caudal a incrementando 0.3 kg/h por segundo hasta alcanzar los
5 kg/h. Se mantiene el control de temperatura mxima del reactor para no sobrepasar los
310 C. Se trata de incrementar la temperatura de salida del reactor unos 20 C por hora
hasta alcanzar los 270 C.
La transicin desde REDLOW a REDHI se realiza por orden de operador manual desde
panel siempre que se cumplan las siguientes condiciones y el operador verifique que la
temperatura de lecho situada ms al fondo del reactor ha alcanzado la temperatura mxima
y ha cado 20 C:
Consigna de hidrogeno a introducir en el sistema correcta entre 0.3 y 5 kg/h AND
Consigna de nitrgeno a introducir en el sistema correcta
Es importante que todas las temperaturas de entrada, de lechos y de salida del reactor se
hayan estabilizado antes de entrar en este paso de la regeneracin.
La mxima de cualquiera de las temperaturas de lecho del reactor har que se pare la
regeneracin.
Enfriamiento COOL: En este paso el reactor se enfra con una corriente de nitrgeno
mientras se purga. El control de nivel del depsito D-623 est habilitado y activo. Todas las
habilitado y activo. Se introduce un caudal de N2 a 20-200 kg/h a travs de la succin del
compresor C-625. Se para la alimentacin de hidrogeno al sistema.
Se trata de decrementar la temperatura de salida del reactor a 20 C por hora hasta los
alcanzar los 100 C y despus apagar el calentador, bypaseando gradualmente el E-621.
Cuando E-621 est completamente bypaseado, se alinea la corriente de nitrgeno al
enfriador E-626 y se cierra la corriente al calentador HTR-620. Una vez la temperatura de
salida del reactor est por debajo de 60 C, se alinea la corriente de nitrgeno al enfriador
de agua E-627 y se cierra el bypass del E-27.
La transicin desde REDHI a COOL se realiza por orden de operador manual desde panel

Tiempo definido con las temperaturas de lecho a 260 C cumplido AND
Consigna de nitrgeno a introducir en el sistema correcta
Paro STOP: En este paso las vlvulas se llevan a su posicin segura excepto las vlvulas
de control de presin a venteo hasta que la presin es de aproximadamente 1 barg.
Entonces la vlvula de bloqueo de presin hacia la caldera se abre para despresurizar el
sistema, despus de lo cual, el control de presurizacin continua activo. Todos los motores
de paran.
La transicin desde COOL a STOP se realiza por orden de operador manual desde panel
Temperaturas del lecho del reactor < 45 C AND
Temperatura de salida del calentador HTR-620 < 45 C
Vaciado EMPTY: En este paso el depsito D-623 se drena manualmente por

procedimiento de operacin. Todas las vlvulas automticas se llevan a su posicin segura.
El control de presin continua activo y alineado a la caldera. Todos los motores estn
parados. La bomba P-24 se arranca manualmente y se abren las vlvulas para drenar el D-
623.
La transicin desde STOP a EMPTY se realiza por orden de operador desde panel.
La transicin desde SHUTDOWN a EMPTY se realiza por orden de operador manual
desde panel siempre que se haya reseteado las alarmas de disparo por las que la unidad
entr en el paso de SHUTDOWN.
Emergencia SHUTDOWN: El propsito de este paso es llevar la unidad a una posicin

segura en caso de emergencia o necesidad del proceso, en el que todas las vlvulas
automticas irn a su posicin segura y los motores se pararn. El control de caudal de
nitrgeno seguir activo y se hace pasar el caudal de N2 a 100 kg/h a travs de la descarga
del compresor C-625 cerrando el caudal a la succin. El control de presin a la caldera
seguir activo.
La transicin a este paso ser automtica desde cualquier paso excepto desde MW y PW
cuando se cumpla alguna de estas condiciones:
Paro manual de emergencia, tanto hardware como software OR
Muy alto nivel en depsito de condensados D-623 OR

Disparo por fallo del compresor C-625
o Muy altas vibraciones OR
o Muy alta temperatura de cojinetes OR
o Muy baja presin de aceite de lubricacin OR
o Muy baja presin de gas de sello OR
o Muy alta presin de gas de sello OR
o Muy alto consumo elctrico del compresor
En la tabla 4 se resumen los pasos de la secuencia de regeneracin del reactor:

Finalidad Nitrgeno Aire Hidrogeno Temperatura
MW Mantenimiento N/A
PW Espera Proceso 2.5 kg/h
PURGE Purga Reactor 2.5 kg/h
Presurizacin
PRESS 100 kg/h
Sistema
Calentamiento
HEAT 100 kg/h 290 C
Sistema
Stripping a baja 80 kg/h
OXLOW 100 kg/h 320 C
temperatura < 1 % O2
Stripping a alta 80 kg/h
OXHI 100 kg/h 330 C
temperatura < 3 % O2
Enfriamiento para
TEMPER 100 kg/h 180 C
reduccin
Reduccin a baja < 0.01 %
REDLOW 100 kg/h 3 kg/h 170 C
temperatura O2
Reduccin alta < 0,01 %
REDHI 100 kg/h 5 kg/h 260 C
temperatura O2
Enfriamiento y
COOL purga antes de 200 kg/h 160 C
parada
STOP Parada del sistema 2.5 kg/h 45 C
EMPTY Vaciado del circuito
Parada de
SHUTDOWN 100 kg/h
Emergencia
Tabla 4 Pasos de la secuencia de regeneracin

En la ilustracin siguiente se observa la secuencia completa del proceso de regeneracin
con todos los steps definidos y sus transiciones:
Ilustracin 13 Detalle del lazo de control de Hidrgeno

57/173
Anlisis LOPA particular del proceso
En este apartado se enumeran los escenarios LOPA (del ingls Layer Of Protection
Analysis) que podran ocurrir durante el proceso de regeneracin de un reactor de
hidrogenacin de hidrocarburos, sin entrar en detalle del porqu de su definicin y anlisis
en LOPA, estudio mucho ms extenso, delicado, laborioso y largo que corresponde a un
equipo de personas de diferentes disciplinas de seguridad, instrumentacin, control y
construccin, por lo que no ser objeto de estudio en el presente proyecto. Para poder
entender en que se basa un anlisis LOPA particular de un proceso se hace necesario ver el
Anexo A: Anlisis y evaluacin de escenarios de seguridad donde se recogen las normas y
conceptos generales de este tipo de herramientas.
El anlisis LOPA particular comprende dos partes diferenciadas, una de los escenarios que
afectan directamente al reactor y a la regeneracin y la otra que afecta al compresor de
regeneracin, mquina que se debe proteger de accidentes y eventos indeseados para no
producir derrames y/o prdidas de econmicas.
Es por ello que se realiza el anlisis desde dos puntos de vista bien diferenciados:
Anlisis de escenarios de seguridad: se trata de analizar las consecuencias de un

evento o accidente que puede implicar riesgo para las personas, medio ambiente y
alrededores de la factora.
Anlisis de escenarios de prdidas econmicas: se trata de realizar el estudio de los

escenarios que implican prdidas econmicas para la empresa, que puedan
significar paradas prolongadas de equipos o secciones de la planta, dando todo ello
lugar a prdida de produccin temporal.
Seguidamente al anlisis LOPA particular se incluye una tabla particular para cada lazo de
instrumentacin SIS implementado, donde se detalla datos particulares del escenario a
evitar, as como rangos de instrumentos, tolerancias, configuracin de los sensores, etc.

Anlisis LOPA del proceso de regeneracin
Numero Descripcin escenario Tipo de escenario Riesgo Evento Iniciador Evento Habilitador Probabilidad de exposicin Diseo de planta BPCS Alarma Operador SIS Otras protecciones Notas
Daos en el reactor SRPS760001

y/o el catalizador Fallo del operador al Guia de diseo y Procedimiento crtico que
Excursin de
debido a altas finalizar la fase de Envio de N2 caliente a la mantenimiento requiere Press-Depress antes
R1.1 temperatura del reactor
temperaturas. Stripping aunque no atmsfera basado en de pasar N2 caliente y requiere
durante la regeneracin
Prdidas del se ha completado normativa IEC un tiempo mnimo de caudal
catalizador <1MM$ circulante
Resultado 0 Business 6 1 1 2 2
BPCS60001 Cierra vlvula de

Ciierra vlvula comn de bloqueo de aire por
Demasiado oxigeno H2 y aire por deteccin deteccin de altas Instrumentacin:
Daos en el reactor
debido al fallo del lazo de alto nivel de Oxigeno temperaturas - AT60534 Analizador Oxigeno
y/o el catalizador Guia de diseo y
Excursin de de control SIF60002_A1 to _A12 - TT115XXA/B temperaturas lechos
debido a altas Envio de N2 caliente a la mantenimiento
R1.2 temperatura del reactor Sensores: Sensor: SIS Sensors reactor
temperaturas. atmsfera basado en
durante la regeneracin FT61019 (1oo1) AT60534 (1oo1) TTs SIS A y B del - EBV61024
Prdidas del normativa IEC
FE: FE: reactor por lecho - SIS_EBV61021 Aire a
catalizador <1MM$
CV61020 (1oo1) EBV61024 (1oo1) (1oo2d) regeneracin
Final Element
SIS_EBV61021 (1oo1)
Resultado 0 Business 6 1 1 2 1 1
BPCS60002_A1 to A12
Cierre de la vlvula Cierra vlvula de
Demasiado Hidrgeno
comn de H2 y aire por bloqueo de H2 por
en el step de
Daos en el reactor altas temperaturas del deteccin de altas Instrumentacin:
reduccin debido al
y/o el catalizador Guia de diseo y reactor temperaturas - TT115XXA/B temperaturas lechos
Excursin de fallo del lazo de
debido a altas Envio de N2 caliente a la mantenimiento Sensores: SIF60001_A1 to _A12 reactor
R1.3 temperatura del reactor control
temperaturas. atmsfera basado en TT's BPCS A y B del SIS Sensors - EBV61024
durante la regeneracin Sensores:
Prdidas del normativa IEC reactor por lecho TTs A and B for reactor - SIS_EBV61018 Hidrgeno a
FT61016 (1oo1)
catalizador <1MM$ (1oo2D) (1oo2d) regeneracin
FE:
FE: Final Element
CV61017 (1oo1)
EBV61024 (1oo1) SIS_EBV61018 (1oo1))
Resultado 0 Business 6 1 1 2 1 1
BPCS60004
Cerrar vlvula de aire a
regeneracin por
Fallo del operador al
La concentracin deteccin de alta
alinear hacia la Guia de diseo y Instrumentacin:
Explosin en la normal de Oxigeno concentracin de
Oxigeno en la cabeza de antorcha cuando se mantenimiento - AT61505 analizador de oxigeno
R2.1 cabeza de la en el step de oxigeno
la antorcha est introduciendo basado en - SIS_EBV61021 Aire a
antorcha oxidacin es del 3%, Sensor:
aire en la normativa IEC regeneracin
por debajo del LOC AT61505 (1oo1)
regeneracin
FE:
EBV61021 (1oo1)
Resultado 0 Seguridad 6 1 2 2 1
Tabla 5 Tabla 1 Anlisis LOPA Proceso de regeneracin

BPCS760004
Cerrar vlvula de aire a
regeneracin por
SRPS760003
deteccin de alta
Fallo de la vlvula de Guia de diseo y Procedimiento crtico indica las Instrumentacin:
Explosin en la concentracin de
Oxigeno en la cabeza de control que abre mantenimiento acciones a realizar en caso de - AT61505 analizador de oxigeno
R2.2 cabeza de la oxigeno
la antorcha totalmente basado en alta concentracin de oxigeno - SIS_EBV761021 Aire a
antorcha Sensor:
CV761020 normativa IEC para evitar enviarlo a la regeneracin
AT61505 (1oo1)
antorcha
FE:
EBV761021 (1oo1)
Guia de diseo y
Envio de Hidrgeno
Sobrepresin del PSV625 se abre por 7,5Kg de H2 en 15 mantenimiento PSV625 est tarada a 13,6
R3.1 a la atmosfera
sistema con Hidrgeno sobrepresin minutos basado en Kg/cm2
atravs de PSV625
normativa IEC
Resultado 0 Seguridad 5 1 2 2
BPCS60005 SIF60005
Cerrar vlvula de N2 por Cerrar vlvula de H2 por
alta presin en cabeza alta presin en cabeza Instrumentacin:
Fallo del lazo de
D623 D623 - SIS_PT61007
Retroceso de H2 desde H2 en el sistema de control de H2 Guia de diseo y
Sensores: Sensores: - SIS_PT61014
el reactor de N2 puede crear Sensores: mantenimiento
R4.1 PT61007 SIS_PT61007 - SIS_EBV61018 hidrgeno a
regeneracin hacia el atmosferas FT61016 (1oo1) basado en
PT61014 SIS_PT61014 regeneracin
sistema de N2 inflamables FE: normativa IEC
(3 credits SIL2+BPCS) (3 credits SIL2+BPCS) - CV61027 control nitrgeno a
CV61017 (1oo1)
(2oo2D) FE: regeneracin
FE SIS_EBV61018 (1oo1)
CV61027 (1oo1)
BPCS60006
Daos en el Alta temperatura de
Muy alto set point de Guia de diseo y OD60001 Instrumentacin:
catalizador que Error del operador al salida para el calentador
temperatura debido a un mantenimiento Bypass del - TT60531 temperatura salida del
R5.1 requiere sustitucin. introducir el SP de Sensores:
error del operador, de basado en calentador durante calentador
Prdidas del temperatura TT60531 (1oo1)
programa o diseo normativa IEC ms de 900 sec. - EY60519A marcha calentador
catalizador < 1MM$ FE:
EY60519A (1oo1)

Fallo del lazo de BPCS60007

Daos en el Bypass del calentador por Instrumentacin:
Muy alto set point de control de temperatura Guia de diseo y OD60001
catalizador que alta temperatura de salida - TT60531 temperatura salida del
temperatura debido a un Sensores: mantenimiento Bypass del
R5.2 requiere sustitucin. Sensores: calentador
error del operador, de TT60510 (1oo1) basado en TT760531 (1oo1)
calentador durante
Prdidas del - EY60519A marcha calentador
programa o diseo FE: normativa IEC FE: ms de 900 sec.
catalizador < 1MM$ - EBV60915
EY60519A (1oo1) EBV760915 (1oo1)
Purga de regeneracin
alineada hacia la SRPS760004
La concentracin
antorcha cuando ocurre Guia de diseo y Procedimiento crtico que Instrumentacin:
Explosin en la normal de Oxigeno
un disparo de caldera Disparos de caldera mantenimiento indica com actuar en caso de - TT60531 temperatura salida del
R6.1 cabeza de la en el step de
puede crear una mezcla de planta basado en disparo de caldera mientras se calentador
antorcha oxidacin es del 3%,
explosiva en caso de normativa IEC purga el sistema de - EY60519A marcha calentador
por debajo del LOC
que la purga contenga regeneracin
Oxigeno
OD60002
Alarma de alta
temperatura a la
salida del E622
Guia de diseo y
Temperaturas de diseo alerta al operador Instrumentacin:
Fallo del sistema de mantenimiento
R6.2 excedidas en D623, para solucionar el - TT61008 temperatura salida del
ventilacin E622 basado en
E622 y C625 problema y parar la refrigerador E622
normativa IEC
regeneracin si es
necesario
Sensor:
TT61008 (1oo1)
Resultado 1 Business 5 1 2 1 Se acepta un gap de 1 crdito

Anlisis LOPA del compresor de regeneracin
Fuga de liquido en
BPCS60003
D7623 debido a fallo
El mayor nivel detectado
del lazo de nivel
en D623 entre
Sensores: Instrumentacin:
LT61029
LT61029 Guia de diseo y LT61029
Dao en el LIT61002
LIT61002 mantenimiento - LT61002
C1.1 Daos en el compresor compresor. (2oo2) cierra las
(1oo2) basado en - ABV61108
Reparacin <1MM$ ABV6118
FE: normativa IEC - ABV61109
ABV61109 y para el
ABV61108 - EY61101A marcha compresor
compresor
ABV61109
EY60501A
EY61101A (P624)
(1oo2)
Resultado 0 Business 5 2 2 1
BPCS60008
Paro del compresor por
altas vibraciones
Fallo del lazo de
Sensores:
control de caudal que Instrumentacin:
VT60715
no abre la vlvula de Guia de diseo y - FT 60503
Dao en el VT60721
Alta presin de descarga control mantenimiento - CV60506
C1.2 compresor. VT60716
del compresor Sensores: basado en - Sensores de vibraciones Bentley
Reparacin <1MM$ VT60717
FT60503 (1oo1) normativa IEC Neavada
VT60718
FE: - EY61101A marcha compresor
VT60719
CV60506 (1oo1)
(2oo2 de cada cojinete)
FE:
EY60501A (1oo1)
SIF60008
baja presin de aceite
Dao en el Guia de diseo y de lubricacin Instrumentacin:
Prdida de aceite de
compresor Fallo del regulador mantenimiento Sensores: - PIT60604
C2.1 lubricacin en cojinetes
Reparacin PCV basado en PIT60604 - PIT60603
y daos en el equipo
>100M$. normativa IEC PT60603 - EY61101A marcha compresor
(2oo2)
FE:
EY60501A (1oo1)
BPCS60009
Arranuqe automtico de
SIF60008
la bomba de reserva por
de lubricacin
Dao en el Fallo mecnico de la Guia de diseo y de lubricacin Instrumentacin:
Prdida de aceite de Sensores:
compresor bomba de aceite mantenimiento Sensores: - PIT60604
C2.2 lubricacin en cojinetes PIT60604
Reparacin LOP625A o basado en PIT60604 - PIT60603
y daos en el equipo PT60603
>100M$. LOP625B normativa IEC PT60603 - EY61101A marcha compresor
(2oo2)
(2oo2)
2 creditos BPCS+SIL
FE:
FE:
EY60501A (1oo1)
EY60620A (1oo1)
Tabla 8 Tabla 1 Anlisis LOPA Compresor de regeneracin

SIF60008
OD60002
El operador Instrumentacin:
Dao en el Guia de diseo y de lubricacin
Prdida de aceite de bypasea o - PIT60604
compresor Embotellamiento de mantenimiento Sensores:
C2.3 lubricacin en cojinetes reemplaza el filtro - PIT60603
Reparacin los Filtros de aceite basado en PIT60604
y daos en el equipo por alta presin - PDT60606
>100M$. normativa IEC PT60603
diferencial - EY61101A marcha compresor
(2oo2)
PDT60606 (1oo1)
FE:
EY60501A (1oo1)
SIF60008
OD60003 Instrumentacin:
Dao en el Muy bajo nivel en el Guia de diseo y de lubricacin
Prdida de aceite de El operador aade - PIT60604
compresor depsito de aceite mantenimiento Sensores:
C2.4 lubricacin en cojinetes aceite alertado por - PIT60603
Reparacin debido a prdidas basado en PIT60604
y daos en el equipo muy bajo nivel - LIT60610
>100M$. graduales normativa IEC PT60603
LIT60610 (1oo1) - EY61101A marcha compresor
(2oo2)
FE:
EY60501A (1oo1)
BPCS60008
altas vibraciones
Sensores:
Exceso de vibraciones Fallo mecnico de los VT60715
Dao en el Guia de diseo y Instrumentacin:
del compresor o turbina. cojinetes debido a VT60721 SRPS60005
compresor mantenimiento - Sensores de vibraciones Bentley
C2.5 Daos en la mquina y corrosin o mala VT60716 Programa de monitorizacin de
Reparacin basado en Nevada
envio de gases a la calidad de VT60717 la calidad del aceite
>100M$. normativa IEC - EY61101A marcha compresor
atmosfera componentes VT60718
VT60719
FE:
EY60501A (1oo1)
BPCS60010
altas vibraciones
Sensores:
Exceso de vibraciones VT60709
Dao en el Guia de diseo y Instrumentacin:
del compresor o turbina. VT60710
compresor Fallo mecnico del eje mantenimiento - Sensores de vibraciones Bentley
C2.6 Daos en la mquina y VT60713
Reparacin principal basado en Nevada
envio de gases a la VT60714
>100M$. normativa IEC - EY61101A marcha compresor
atmosfera VT60711
VT60712
FE:
EY60501A (1oo1)
Tabla 9 Tabla 2 Anlisis LOPA Compresor de regeneracin

Lazos de Seguridad instrumentada SIS
Numero SIF SIF 760001_A1_A12 Controlador R Nivel SIL Requerido 1
Are a Proce so 76
R1.3
Descripcin del
Temperatura del reactor excede los limites durante la regeneracin
e scenario
Business TF=6
Demasiado Hidgeno introducido durante el paso de reduccin. Fallo del lazo de control bsico.
Evento Inicador Sensores: FT761016 (1oo1)
Elementos Finales: CV761017 (1oo1)
Daos en el reactor y/o el catalizador debido a altas temperaturas.
Prdidas del catalizador <1MM$"
Analisis de Rie sgos Demasiado Hidrgeno debido al fallo del lazo de control
Sensores: FT761016 (1oo1)
FE: CV761017 (1oo1)
Capas de
proteccin Capa de Proteccin Descripcin
Ide pe ndiente s
Cerrar Vlvula comn de aire e Hidrgeno al reactor
Acin BPCS por deteccin de altas temperaturas en lechos del
reactor
Actuacin de operador ante alarma con procedimiento
Cerrar EBV de Hidrgeno por deteccin de altas
temperaturas en lechos del reactor
SIF 760001_A1 to _A12
Sensores: Termopares de lechos del reactor
Funcin SIF-A
12 lazos de 2 termopares (1oo2D) por reactor
(diferentes sensores, mismo elemento final)
FE: Vlvula de bloqueo de H2 individual
EBV761018 (1oo1)
Funcin SIF-B
Ortos Sistemas de Protecin
Descripcin de la Disparo por temperaturas: Cierre de la vlvula de bloqueo de H2 EBV761018 (1oo1) por deteccin de alta
funcin temperatura en un temopar (1oo2D) de una de las 12 parejas de termopares redundantes dispuestas en cada uno
instrumentada de de los lechos del reactor.
Seguridad (SIF)
Re que rimie ntos de Configuracin del sensor: 1oo2D
Diseo SIS Fiabilidad requerida del sensor: 97%
Precisin requerida del sensor: +/- 2.0 %
Nivel de Integridad (SIL) 1
Configuracin del lazo SIS
Tag de l MTTF MTTF SIS compartido MTTR Intervalo de
Configuracin Tipo de ele me nto
instrumento (aos) (aos) con BPCS? (Horas) testeo (TI)
TT11XX12A >50 Si-SIL2 72
Dual Termopares <=6 aos
TT11XX12B >50 Si-SIL2 72
ABB AC800 HI Controlador R <= 8 Years
Simple Vlvulas de bloqueo EBV761018 >25 >100 NO 72 <=24 meses
Datos de calibracin del sensor(es) SIS
Rango de Precisin Consigna Consigna de
Tag del instrumento
Configuracin del Sensor calibracin requerida de disparo fallo
TT11XX12A 0-500 C +/- 2.0 % 310 C <3.6 mA
TT11XX12B 0-500 C +/- 2.0 % 310 C <3.6 mA
Datos de calibracin del elemeto(s) final SIS
Condicin de
Configuracin del ele mento final Tag del instrumento
fallo
EBV761018 Fallo cierra
Tabla 10 Detalle lazo instrumentado SIS 60001

64/173
Numero SIF SIF 760002_A1_A12 Controlador R Nivel SIL Requerido 1
Are a Proce so 76
R1.2
Descripcin del
Temperatura del reactor excede los limites durante la regeneracin
e scenario
Business TF=6
Demasiado Oxgeno introducido durante el paso de reduccin. Fallo del lazo de control bsico.
Daos en el reactor y/o el catalizador debido a altas temperaturas.
Prdidas del catalizador <1MM$"
Analisis de Rie sgos Demasiado Hidrgeno debido al fallo del lazo de control
FE: CV761020 (1oo1)
Capas de
Ide pe ndiente s
Cerrar Vlvula comn de aire e Hidrgeno al reactor
Acin BPCS por deteccin de altas temperaturas en lechos del
reactor
Cerrar EBV de Aire por deteccin de altas
temperaturas en lechos del reactor
SIF 760002_A1 to _A12
Sensores: Termopares de lechos del reactor
Funcin SIF-A
12 lazos de 2 termopares (1oo2D) por reactor
(diferentes sensores, mismo elemento final)
FE: Vlvula de bloqueo de H2 individual
EBV761021 (1oo1)
Funcin SIF-B
Descripcin de la Disparo por temperaturas: Cierre de la vlvula de bloqueo de Aire EBV761021 (1oo1) por deteccin de alta
funcin temperatura en un temopar (1oo2D) de una de las 12 parejas de termopares redundantes dispuestas en cada uno
instrumentada de de los lechos del reactor.
Seguridad (SIF)
Precisin requerida del sensor: +/- 2.0 %
TT11XX12A >50 Si-SIL2 72
Dual Termopares <=6 aos
TT11XX12B >50 Si-SIL2 72
Tag del instrumento
TT11XX12A 0-500 C +/- 2.0 % 430 C <3.6 mA
TT11XX12B 0-500 C +/- 2.0 % 430 C <3.6 mA
Condicin de
Configuracin del ele mento final Tag del instrumento
fallo

Numero SIF SIF 760005 Controlador R Nivel SIL Requerido 2
Are a Proce so 76
R4.1
Descripcin del
Retroceso de H2 desde el reactor de regeneracin hacia el sistema de N2 puede crear atmsferas inflmables
e sce nario
Seguridad TF=6
Fallo del lazo de control bsico
Alta presin en D7623 debido a retroceso de H2 hacia sistema de N2
Analisis de Riesgos FE: CV761017 (1oo1)
Capas de
Ide pe ndie nte s
SIL2+BPCS: Cerrar vlvula de N2 CV761027 (1oo1)
Acin BPCS por deteccin de alta presin en cabeza D7623,
snesores PT761007, PT761014 (2oo2D)
SIL2+BPCS: Cerrar vlvula de H2 EBV761018
(1oo1) por deteccin de alta presin en cabeza
D7623, sensores PT761007, PT761014 (2oo2D)
Funcin SIF-A
Funcin SIF-B
Descripcin de la Disparo por presin: Cierre de la vlvula de bloqueo de Hidrgeno EBV761018 (1oo1) por deteccin de alta
funcin presin en dos medidores de presin (2oo2D) redundante dispuestas en la cabeza del deposito de regeneracin.
instrumentada de
Seguridad (SIF)
Precis in requerida del sensor: +/- 2.0 %
PT761007 >50 Si-SIL3 72
Dual Medidores de presin <=6 aos
PT761014 >50 Si-SIL3 72
Tag del instrumento
2
PT761007 0-10 kg/cm +/- 2.0 % 8 Kg/cm2 <3.6 mA
2
PT761014 0-10 kg/cm +/- 2.0 % 8 Kg/cm2 <3.6 mA
Condicin de
Configuracin del e lemento final Tag del instrumento
fallo
En el sistema de control los lazos de seguridad SIS se representarn mediante grficos

dedicados a tal efecto como el que ilustra la siguiente figura:

Ilustracin 14 Detalle de lazos de seguridad SIS
4. Estudio de recursos materiales y humanos
Recursos materiales
Durante el desarrollo de este proyecto se ha indicado la instrumentacin necesaria para
poder efectuar la automatizacin del proceso de regeneracin del reactor qumico, pero
en este apartado se hace mencin y anlisis de los recursos necesarios para llevarlo a
cabo. Todo ello se basa en la arquitectura usada por la plataforma de control 800xA
Industrial IT de ABB, detallada en el Anexo B: Diseo del sistema de control.
La distribucin de seales realizada es la descrita en el apartado Error! Reference

source not found., recogido en el Anexo D: Listado y mapeado de seales de E/S, donde
se detalla tambin un listado de todas las seales del sistema.
En las siguientes tablas se expresa el nmero de seales por controlador, como por tipo
de seal, as como la cantidad de mdulos de E/S de cada tipo, las seales utilizadas en
cada uno de ellos y el nmero de seales libres. Tambin se refleja el tanto por ciento de

seales utilizadas de cada tipo, dato que aporta una idea de la ocupacin del sistema de
control para posibles futuras ampliaciones. Observar que se sigue una cierta norma de
mantener al menos un 30 % de seales libres de ocupacin en el sistema.
CI854 CI854
1 BPCS Procso 2 BPCS Electricas
AI845 DI840 AO845 DO840 AI845 DI840 AO845 DO840
Libres 34 20 14 27 12 21 6 8
A Usadas 38 28 10 21 4 11 2 8
Total 72 48 24 48 16 32 8 16
N Modulos 9 3 3 3 2 2 1 1
% Usado 52.8% 58.3% 41.7% 43.8% 25.0% 34.4% 25.0% 50.0%
Tabla 13 Nmero de seales de E/S en controlador A (PM866)
ModuleBus
SIL
AI880 DI880 AO880 DO880
Libres 42 22 0 23
R Usadas 54 10 0 9
Total 96 32 0 32
N Modulos 12 2 0 2
% Usado 56.3% 31.3% 0.0% 28.1%
Tabla 14 Nmero de seales de E/S en controlador R (PM865)
A continuacin se lista el hardware requerido para la Zona 2, es decir, controladores,

tarjetas, armarios, etc.

El hardware requerido para la Zona 2 se lista a continuacin:

Hardware Zona 2
Mdulo Descripcin Sistema A Sistema R Cantidad Coste unitario Coste total
El paquete incluye:
-PM865, CPU, 2 unidades
-TP830, Baseplate, ancho=115mm, 2 unidades
-TK850, cable de expansin CEX-bus
PM865K02 1 1 15.780,00 15.780,00
-TB807, Terminal Modulebus, 2 unidades
-TK851, RCU-Link cable
-Batera de memria de back-up, 1 para cada CPU
El paquete incluye:
-PM866, CPU redundante, 2 unidades
-TP830, Baseplate, ancho=115mm, 2 unidades
PM866K02 -TK850, cable de expansin CEX-bus 1 1 12.130,00 12.130,00
-TK851, RCU-Link cable
-Batera de memria de back-up, 1 para cada CPU
Mdulo para CPU de seguridad, Conexin por CEX Bus a travs

del mdulo de conectividad BC810 CEX Bus.
SM810K01 2 2 3.905,00 7.810,00
-SM810, Mdulo de seguridad
-TP855, Baseplate, ancho=60mm
Mdulo extensor de CEX bus:
-BC810, Unidad de interconexin, 2 unidades
BC810K02 -TP857, Baseplate, ancho =60mm 1 1 2 603,00 1.206,00
TK851, Cable de Interconexin
TB850, Terminal CEX-BUS, 2 unidades
TB840A Modem Optical Module bus 8 8 184,00 1.472,00
TY801K01 Paquete de 8 shunts 11 12 23 50,00 1.150,00
PROFIBUS DP-V1:
CI854AK01 -CI854,Interface de communicacin 2 2 963,00 1.926,00
-TP854, Baseplate, ancho=60mm
Cable herramienta RJ45 a Dsub-9, largo 3m para conexin PC a
TK212A 1 1 2 15,00 30,00
controlador
CI840A PROFIBUS DP-V1, Interface de communicacin 4 4 494,00 1.976,00
Mdulo analgico de entradas.
Redundante o simple 1x8ch. HART
AI845 0(4)..20mA, 0(1)..%v, 12bit, 0.1%, 11 11 580,00 6.380,00
Aislamiento 50V
Distrubucin de potencia limitada en corriente
Mdulo analgico de entradas SIL
Redundante o simple 1x8ch. HART
AI880A 0(4)..20mA, 0(1)..%v, 12bit, 0.1%, 12 12 880,00 10.560,00
Aislamiento 50V
Distrubucin de potencia limitada en corriente
Mdulo analgico de salidas
Redundante o simple1x8ch. HART
AO845 4 4 690,00 2.760,00
4..20mA, 12bit, 0.1%, Rlmax 750 ohm
Aislamiento 50V
Mdulo de entradas digitales
Redundante o simple
DI840 5 5 425,00 2.125,00
24Vdc, 1x16ch
Aislamiento 50V
Mdulo de entradas digitales SIL
Redundante o simple
DI880A 2 2 425,00 850,00
24Vdc, 1x16ch
Aislamiento 50V
Mdulo de salidas digitales
Redundante o simple
DO840 4 4 515,00 2.060,00
24Vdc, 0.5A, 2x8ch.
Aislamiento 50V
Mdulo de salidas digitales SIL
Redundante o simple
DO880 2 2 898,00 1.796,00
24Vdc, 0.5A, 2x8ch.
Aislamiento 50V
TU840 Base para mdulo TB840A 7 7 200,00 1.400,00
TU843 Base para mdulos DI840 y DI880 13 4 17 160,00 2.720,00
TU845 Base para mdulos AI845 y AI880A 11 12 23 160,00 3.680,00
TK811V015 Cable fibra ptica, Largo=1.5m con conector duplex 8 8 23,00 184,00
Unidad de terminacion de Mdulo, MTU para 1+1 CI840
Soprte para redundancia
TU846 Mdulos de montaje vertical, incluye: 2 2 230,00 460,00
1 Conector de alimentacin
2 TB807 terminador ModuleBus
Coste Total 78.455,00
Tabla 15 Listado de materiales para zona 2

Los armarios donde residirn los equipos de zona 2 (ver Anexo A), sern los siguientes:
Armarios y alimentaciones para Zona 2

Descripcin Cantidad Coste unitario Coste total
Armario Rittal 220 x 1200 x 400 mm 4 9.780,00 39.120,00
Fuente alimentacin con sistema de diagnostico 8 350,00 2.800,00
Tabla 16 Listado de armarios para Zona 2
El material requerido para la zona 3 recomendados por ABB ser el siguiente:
Hardware Zona 3
Servidor DELL PowerEdge R610 6 4.900,00 29.400,00
DELL 3524 Ethernet Switch - red Servidor/Cliente 1 440,00 440,00
Armario DELL PowerEdge 4210 1 2.800,00 2.800,00
Estaciones de trabajo DELL T3500 desktop (soporte 3 monitores) 2 1.950,00 3.900,00
Monitor DELL 2007 FP 6 480,00 2.880,00
Altavoces DELL AS501 SoundBar para Monitores DELL 2007 FP 2 40,00 80,00
Tabla 17 Listado de armarios para Zona 3
La distribucin de los servidores ser la siguiente:

2 servidores de conectividad (Red de control / Red Cliente Servidor)
3 servidores de aspectos (Red Cliente Servidor)
1 servidor de histricos (Red Cliente Servidor)
Los servidores y clientes requerirn del siguiente software para operar en la plataforma
de control, del cual se detallan sus precios de venta aproximados en fecha Noviembre de
2014.

Software Zona 3
Windows 2008 Server (1 por servidor) 6 150,00 900,00
Microsoft Excel 2010 (1 por servidor, 1 por cliente) 8 130,00 1.040,00
Microsoft Word 2010 (1 por servidor, 1 por cliente) 8 122,00 976,00
Winzip con licencia para 8 usuarios (1 por servidor, 1 por cliente) 8 30,00 240,00
Symantec Antivirus V15 (1 por servidor, 1 por cliente) 8 55,00 440,00
ABB Industrial IT 800xA System version 5.2 1 8.000,00 8.000,00
Licencia para 100 CLP's 3 900,00 2.700,00
Licencia para 100 CLP's HI (SIS) 2 1.050,00 2.100,00
Tabla 18 Lista de programas necesarios para zona 3
Recursos humanos
Los recursos humanos necesarios para documentar y programar el proyecto de

automatizacin del presente proyecto estn determinado por el intervalo de tiempo
comprendido entre el momento en que se inicia el proyecto y la entrega a operacin.
El proceso del proyecto desde la perspectiva de la automatizacin lo podemos englobar
en los siguientes apartados:
Creacin de la estrategia de control bsica. Una visin general del proceso es

importante para poder dar una idea global al equipo del proyecto. Por tanto, en
este apartado nicamente se hace mencin de algunos equipos relacionados con
el proceso y algunos diagramas de instrumentacin generales.
Creacin de la estrategia de control en detalle. Para implementar el cdigo de
control segn las exigencias del representante de operaciones, es necesaria una
documentacin fiable y clara de cmo debe funcionar el proceso. Esta
documentacin adems debe integrar los lazos de seguridad instrumentada
extrados del anlisis de riesgos del proceso.
Desarrollo de cdigo de control que abarque soluciones especficas del proyecto.
La implementacin de cdigo especfico en forma de librera propias del
proyecto para realizar determinadas funcionalidades que las libreras por defecto
instaladas en la plataforma de control no contempla, es una tarea que debe
realizarse previamente la implementacin de cdigo en las aplicaciones que
describen los procesos. Un libro de convenciones de la programacin es una

herramienta fundamental para implementar cdigo estandarizado entre los
diferentes integrantes de un equipo de automatizacin.
Desarrollo del cdigo de control del proceso. Este apartado tiene la misin de
traducir la estrategia de control en detalle a cdigo para que el proceso funcione
tal como se ha definido inicialmente.
Simulacin y validacin del cdigo de control con el representante de
operaciones. La realimentacin por parte del representante de operaciones que
aporte una opinin y una crtica slida har que el resultado final del proyecto
sea el correcto. La inexistencia de esta realimentacin puede desencadenar
muchos problemas cuando el proceso se encuentre en marcha, reduciendo
drsticamente la efectividad del equipo de proyecto, alargando tiempos y costes.
Creacin del material de entrenamiento y sesiones de formacin operacional. La
documentacin de entrenamiento servir de material bsico en la instruccin de
operadores y personal de planta. Una disciplina estricta en la actualizacin y
correccin de esta documentacin evitar problemas a la hora de operar el
proceso. Esta documentacin deber servir de gua a modo de consulta cuando el
proyecto se haya entregado a planta.
Comisionado de lazos de instrumentacin y validacin de lazos de seguridad
instrumentada. El comisionado de lazos de instrumentacin asegurar que toda
la instrumentacin y los actuadores de planta estarn correctamente conectados a
la plataforma de control. Toda la instrumentacin ser supervisada previamente
a su instalacin para asegurar que los rangos establecidos en la estrategia de
control es correcta. La validacin de los lazos de seguridad asegurar que tanto
los elementos sensores, la funcin de seguridad y los elementos finales
funcionan correctamente. Para ello se provocan las condiciones de disparo
mediante la actuacin directa sobre la variable de proceso en la medida de lo
posible.
Puesta en marcha y seguimiento. La puesta en marcha del proceso y su
supervisin ser la ltima parte del proceso del proyecto. Se comprobar que el
proceso funciona tal como se defini por el responsable de operaciones y se
sintonizarn controladores o funciones nicamente accesibles cuando el proceso
se encuentra en marcha.

Datos experimentales
El equipo de proyecto considerar la necesidad de diferentes ingenieros de
automatizacin para la ejecucin del proyecto, tales como:
Ingeniero snior (> 5 aos experiencia) para implementar la estrategia de
control.
Ingeniero snior (> 5 aos experiencia) para la implementacin de cdigo de
control.
Ingeniero junior (> 1 ao experiencia) para la implementacin de grficos y
gestin de histricos.
El tiempo de experiencia del ingeniero tendr un impacto directo en tiempo de
ejecucin, considerando que una persona con experiencia consolidada abarcar los
problemas de una forma ms efectiva en la relacin productividad versus el tiempo
dedicado. Sin embargo, ingenieros con menos experiencia aportarn grandes dosis de
efectividad ante tareas menos crticas pero de no menos importancia que acaparan largos
intervalos de tiempo para su desarrollo.
Una tcnica para conocer qu recursos de ingeniera son necesario para el proyecto es a
travs de un indicativo del volumen del proyecto. El nmero de seales de entrada y
salida es un indicador muy claro del volumen del proyecto.
Por experiencia y mediante el anlisis de histricos de imputacin de horas en funcin
de los diferentes apartados definidos previamente, se ha desarrollado la siguiente tabla
que indica el tiempo medio dedicado al proyecto de automatizacin por cada seal E/S
en proyectos ejecutados con personal snior:
Valor medio
Actividad
(h/IO)
Creacin de la estrategia de control bsica. 0,2
Creacin de la estrategia de control en detalle 2,0
Desarrollo de cdigo de control que abarque solucines especficas del proyecto 0,2
Desarrollo del cdigo de control del proceso 1,8
Simulacin y validacin del cdigo de control con el representante de operaciones 0,5
Creacin del material de entrenamiento y sesiones de formacin operacional 0,7
Comisionado de lazos de instrumentacin y validacin de lazos de seguridad instrumentada 0,8
Puesta en marcha y seguimiento 0,4
TOTAL 6,6
Tabla 19 Valor medio de tiempo dedicado al proyecto por seal de E/S
La tabla adjunta toma en consideracin los siguientes aspectos:

Tiene en cuenta la programacin y todas las acciones relacionadas con la
consideracin de lazos instrumentados de seguridad.

Los profesionales considerados son ingenieros con ms de 5 aos de experiencia.
El comisionado de los lazos de instrumentacin se limita a la supervisin y al
apoyo del equipo de comisionado formado por instrumentistas y comisarios de
supervisin.
La creacin de la estrategia de control se refiere a la tarea de documentar la operativa
del proceso especificado por el representante de operacin y a la integracin de la
instrumentacin de campo con la plataforma de control.
En el caso del proyecto de automatizacin de la regeneracin de un reactor qumico, el

nmero total medio de horas dedicadas ser:
tTOTAL = t h / IO nIO
tTOTAL = 6.6437 2880 h
El equipo de automatizacin de este proyecto se compondr de un ingeniero para la
creacin de la estrategia de control (960 horas) y posteriormente entrarn dos ingenieros
de automatizacin adicionales para abarcar el resto de tareas especificadas en la tabla
(960 horas cada ingeniero).

El objetivo de la siguiente seccin es explicar la estructura de cdigo y el formato de
las reglas que configuran el comportamiento de los objetos definidos en la aplicacin
de control; no pretende desarrollar pequeos matices a tener en cuenta para procesos
particulares. Para su mejor entendimiento se recomienda consultar el Anexo C:
Estructura de cdigo en el sistema 800xA Industrial IT, donde se detallan los
pormenores de la programacin en esta plataforma de control.
5. Programacin del proceso
La implementacin y desarrollo de la estrategia de control definida engloba todos los

objetivos particulares que en su conjunto satisfarn las necesidades del proceso
establecidas por las diferentes disciplinas del equipo de proyecto previamente. El
proceso debe funcionar tal y como se ha definido en la estrategia de control y con el
nivel de riesgo tolerable especificado, adems debe presentar grficamente todos sus
equipos y variables de proceso de forma coherente fiel a un mismo patrn: supervisar y
controlar el proceso de forma dinmica y de la forma ms efectiva posible.
La programacin del cdigo de control sobre ABB Industrial IT 800xA se efecta en un
entorno de programacin particular, denominado Control Builder M, que se basa en la
creacin de objetos y reglas para definir el comportamiento de los procesos. Por tanto,
el primer paso hacia la implementacin del programa ser definir, mediante el uso de
libreras de cdigo particulares, la funcionalidad bsica de cada uno de los elementos
presentes en el proceso. Este paso lo definiremos como desarrollo de soluciones
particulares del proyecto y se limitar a implementar todas la libreras de cdigo
necesarias que contendrn cada objeto particular como vlvulas, motores o sensores de
diferentes tipos. Cada objeto podr contener objetos denominados simples, es decir,
objetos de menor nivel de definicin; o denominados objetos compuestos, es decir,
objetos definidos por un conjunto de objetos simples o compuestos.
Podemos definir un objeto simple como un conjunto de sentencias de cdigo bsicas
que determinan el valor de sus variables internas en funcin de otras variables internas o
externas. A modo de ejemplo, podemos citar que una alarma dispone de un
temporizador (funcin bsica) que se activa en funcin del estado de las variables
externas que representan el estado de las variables de proceso. As, el elemento

compuesto que llamamos alarma se compone de al menos tres elementos simples, un
elemento capturador de seal, un comparador y un temporizador.
Una vez dispongamos de las libreras especficas de nuestro proyecto, pasaremos a
efectuar la implementacin de la aplicacin especfica de los procesos definidos. En
este paso se obtendrn los objetos instanciados en la aplicacin y se definirn las reglas
de cdigo para un correcto funcionamiento.
La ltima parte de la implementacin y desarrollo del cdigo de control ser la
representacin de procesos y los objetos que los constituyen en los diagramas
presentados en las pantallas de operacin.
En el anexo B, se explica una breve introduccin de la estructura de cdigo del ABB
Industrial IT 800xA.
A continuacin se presentan algunos grficos generales del sistema de regeneracin

programado en el sistema de control

Ilustracin 15 Grfico general de proceso

Ilustracin 16 Grfico general deposito decantador

Ilustracin 17 Grfico general compresor de regeneracin
6. Entrenamiento operacional
Formacin a Operadores y responsables de planta

Una correcta operatividad del proceso es fundamental para evitar paros indeseados y
mantener el proceso dentro de los lmites de operacin segura. As, el personal de
operacin deber ser instruido en las siguientes reas:
Estrategia de control. Tanto si el proceso es nuevo como si se trata de un proceso
existente modificado, el personal de operacin debe ser consciente de ello.
Acompaar esta formacin mediante procedimientos de operacin puede ser una
buena praxis para situar en primer plano las necesidades que acontecern una
vez el proyecto finalice.

Plataforma de control. Tanto operadores como responsables de planta debern
conocer el funcionamiento de la plataforma de control. Interpretar y reconocer
alarmas, configurar pantallas de tendencias para una mejor interpretacin del
proceso y manipular objetos (vlvulas, motores, instrumentacin, etc.) son tareas
bsicas que se deben conocer a la perfeccin.
Conocimiento operacional aplicable de la norma IEC61508. Los operadores son
los elementos ms cercanos al proceso y forma parte de su responsabilidad
llevar a cabo acciones manuales ante alarmas (acreditadas en LOPA) y
supervisar que las tareas de mantenimiento de los lazos de seguridad se cumplen.
Para ello, es imprescindible que estos operadores reciban una formacin
especfica sobre el concepto de lazos SIS y sobre los procedimientos de
actuacin ante alarmas acreditadas.
La formacin puede ser una buena herramienta para detectar posibles fallas en la
estrategia de control establecida y formas de operatividad del proceso poco amigables.
Los posibles cambios futuros no podrn resultar demasiado crticos ni embarazosos,
pero la experiencia aportada por operacin puede significar una mayor confortabilidad,
y por tanto, mayor seguridad. Son tareas primordiales escuchar a operacin, razonar las
decisiones tomadas sobre estrategia de control y la operatividad del proceso y tomar
acciones correctivas en caso necesario.
Formacin a equipos de mantenimiento

El mantenimiento de la instalacin es fundamental para un correcto funcionamiento del
proceso. Se debe instruir al equipo de mantenimiento del hardware de la plataforma de
control para que sea capaz de detectar, diagnosticar y reparar la posible anomala
presentada.
El equipo de mantenimiento debe ser capaz de diagnosticar tanto anomalas sobre la
plataforma de control (incluyendo servidores y clientes) como de la instrumentacin
presente en campo. El diagnstico de las seales desde el interfaz de usuario del sistema
de control permitir conocer rpidamente dnde se ubica el problema.
Para la revisin de instrumentos como accin surgida de necesidades de mantenimiento
de lazos de seguridad (SIS), deber soportarse con procedimientos de mantenimiento y
procedimientos de operacin. Los tcnicos deben saber navegar en el proceso desde el

interfaz de usuario para poder seleccionar los equipos a revisar (tras la aprobacin del
responsable de planta).
Una formacin bsica sobre IEC61508 ayudar a mantener los procesos dentro de los
lmites de seguridad tolerable definido en el anlisis de seguridad de procesos. Conocer
las frecuencias de testeo, el tipo de testeo de los equipos y los procedimientos de
revisin es bsico para llevar a cabo estos trabajos.

Comisionado, puesta en marcha y entrega de proyecto
Comisionado
El comisionado del proyecto es el proceso de validacin de la instrumentacin y de los
elementos instalados en el proceso. La instrumentacin nueva instalada debe ser
testeada individualmente por parte del departamento de mantenimiento: que el equipo
funcione de forma correcta significa que los rangos de funcionamiento, las unidades de
medida y su sistema de diagnstico son correctos. Este proceso se efecta en la fase de
montaje del proyecto o previamente, en la recepcin del material.
Por tanto, una vez se inicia el comisionado del proyecto, los sistemas instalados deben
funcionar correctamente. El proceso de comisionado se limitar a chequear el
timbrado de cables, alimentaciones de equipos, rangos de funcionamiento definidos
en la plataforma de control, fusibles en cajas de interconexin, conexin a la plataforma
de control, etc.
Dentro de la etapa de comisionado se integra el proceso de Validacin de lazos de
seguridad: certificacin de que todos los elementos de la cadena de seguridad funcionan
correctamente. En la medida de lo posible, siempre se intentar efectuar una prueba
funcional mediante la manipulacin de la variable de proceso para observar cmo
reacciona el elemento final ante la orden aportada por la funcin de seguridad calculada
por la lgica de control. En algunos casos, no es posible efectuar la validacin del lazo
de seguridad manipulando la variable de proceso por no disponer de medios fsicos para
alcanzar determinadas consignas. A modo de ejemplo, podemos citar un lazo de presin
donde la consigna de disparo por muy alta presin se ubica en los 1500 bar: no es
posible subir esa presin manualmente o con medios locales. En estos casos justificados,
es posible efectuar la validacin de lazos de seguridad mediante simulacin de la seal
de medida, indicando la corriente al instrumento travs de comunicacin HART bus,
Profibus, FOUNDATION Field bus o bien, mediante la conexin de una fuente de
corriente reemplazando el instrumento.

Puesta en marcha
La puesta en marcha del proyecto supondr el ltimo paso previo a la entrega del
proyecto. Arrancar el proceso y demostrar su correcto funcionamiento ser el objetivo
principal de esta etapa.
Durante un periodo de tiempo determinado en funcin de la complejidad del proceso,
deber existir un soporte tcnico por parte del equipo de proyecto para corregir posibles
contratiempos que puedan surgir y que no se hayan contemplado previamente.
Entrega de proyecto
La entrega definitiva del proyecto a la planta se define como el momento en que el
equipo de proyecto culmina su labor y lo entrega en condiciones ptimas para operar.
La documentacin corregida con la ltima versin tras la puesta en marcha debe ser
suministrada tanto a planta como al equipo de mantenimiento para poder operar y
mantener la instalacin de forma ptima. La actualizacin y puesta al da de toda la
documentacin deber ser responsabilidad de planta y mantenimiento a partir de la
entrega del proyecto.

Anexo A: Anlisis y evaluacin de escenarios de
seguridad
Este apartado corresponde al proceso de efectuar la evaluacin de riesgos y el
consecuente diseo de los lazos de seguridad del proceso.
Se divide en dos partes: la primera parte define el riesgo y lo pondera para poder ser
gestionado mediante herramientas de evaluacin y cuantificacin de peligros. Adems,
efecta un recorrido de los fundamentos bsicos extrados en su mayora de la
normativa de la International Electrotechnical Commission IEC61508 y IEC61511,
definiendo variables que sern de utilidad para la definicin de la evaluacin de
riesgos particular de la regeneracin del Reactor. La segunda parte de esta seccin
hace referencia al estudio particular del proceso que objetiva este proyecto basndose
en una herramienta particular definida durante la primera parte de la seccin.
Introduccin
La Real Academia de la Lengua Espaola define el riesgo como contingencia o
proximidad de un dao.
Tener conciencia de qu es el riesgo no significa evitar la actividad para no encontrarnos
con el indeseado riesgo, sino que es un indicativo que muestra la necesidad de
proteccin sobre los elementos que interactan en esa actividad.
El riesgo se encuentra en prcticamente todo los que nos rodea y la mejor manera de
combatirlo es reducirlo en lo mximo posible. El problema existente es que no siempre
se encuentra donde se espera que exista. Este motivo justifica la idea de una herramienta
de anlisis de riesgos efectiva imperativa a la hora de pensar en realizar una determinada
actividad o proceso.
En nuestra vida cotidiana, tomamos actitudes laxas cuando nos habituamos a
determinadas circunstancias que se suceden con cierta monotona y sin riesgos
aparentes. Esta conducta se incorpora en nuestras vidas relajando nuestros sentidos y
adormeciendo nuestros reflejos. As, nos tornamos desatentos, descuidados y sin
capacidad de anticiparnos, prevernos y protegernos ante un acontecimiento peligroso.
En una determinada actividad o un determinado proceso funcionando bajo control, se
define el nivel de riesgo como la interaccin de la frecuencia de que suceda un
determinado escenario indeseado (incidentes al ao) y la consecuencia generada por esa

situacin indeseada (muertes por incidente). Podemos ejemplificar con el buen
funcionamiento de un Boeing 747 con capacidad de hasta 400 pasajeros. El sistema de
impulsin, el tren de aterrizaje, el control de temperatura y presin de cabina son
sistemas cuya fiabilidad viene impuesta por demanda de un correcto y preciso
funcionamiento de forma continuada y por el alto grado catastrfico desencadenado en
caso de anomalas humanas, elctricas o mecnicas.
Los sistemas de proteccin segura para procesos industriales tienen el objetivo de
garantizar una efectiva reduccin de los riesgos de una determinada actividad a unos
niveles apropiados de seguridad.
Hay que considerar que un ambicioso sistema de proteccin puede llegar a ser
incompatible con los costos de inversin o con la operatividad de la planta industrial.
As, se acepta una reduccin de riesgos hasta un nivel razonable o tolerable conocido
como ALARP (As Low As Reasonably Practicable) tras una minuciosa evaluacin.
Evolucin de las tcnicas de evaluacin de riesgo
El concepto de sistemas de seguridad no es algo actual. Durante los aos sesenta la

industria petroqumica opt por la instalacin de rels cableados, instalados donde se
identificaba la necesidad. El progreso de la electrnica de potencia durante la dcada de
los aos 70 impuls el uso de rels de estado slido. Durante la dcada de los aos 80 se
hace uso de controladores lgicos programables y se desarrolla el procedimiento para el
anlisis funcional de operatividad (HAZOP). Hasta finales de los aos 90 se maduran
diferentes metodologas para la identificacin sistemtica de peligros. Durante el ao
2000 aparece el concepto de procesos basados en el ciclo de vida de lazos de seguridad
(ciclo de vida SIS): se inicia con la definicin, evaluacin y anlisis del riesgo del
proceso, con un posterior diseo y la correspondiente implementacin de los lazos de
seguridad. Posteriormente define los requisitos de operacin y mantenimiento de sus
elementos y finalmente efecta su demolicin en el proceso cuando llega el final de su
ciclo.
Anlisis general

Mtodos de Anlisis y Evaluacin de riesgos
El diseo de un proceso debe contemplar todas las situaciones de riesgo y para ello,
debe efectuarse un exhaustivo anlisis para determinar las consecuencias de todas las
posibles desviaciones de proceso que se siten fuera de las condiciones operativas
normales.
El proceso de evaluacin de riesgos se puede dividir en tres fases:
Fase de identificacin de peligros.
Fase de evaluacin de los peligros.
Fase de cuantificacin de los peligros.
Una vez identificados los peligros capaces de provocar un acontecimiento de riesgo y

evaluados en su probabilidad de ocurrencia y potencial de dao, queda definido el
requerimiento mnimo de nivel de integridad en la seguridad (SIL) exigible al sistema
de proteccin para reducir los riesgos al nivel apropiado de seguridad.
Proceso de evaluacin de escenarios peligrosos
Identificacin de peligros
El anlisis de situaciones de riesgo y de dificultades operativas HAZOP (Hazard and

Operability Analysis) consiste en una tcnica estructurada para identificar riesgos
debido al mal funcionamiento de un proceso. Se trata de un proceso cualitativo.
El anlisis HAZOP debe ser efectuado por un equipo multidisciplinar constituido
normalmente por ingenieros de proyecto, de proceso, mecnico y de instrumentacin y
soportado por especialistas qumicos, de control y de seguridad.
Considerando el anlisis HAZOP desde la etapa de diseo se reduce drsticamente
problemas potenciales evitando as grandes costes por modificacin despus de haber
construido la planta.
Evaluacin y cuantificacin de peligros

El anlisis de peligros HAZAN (Hazard Analysis) es la aplicacin de mtodos
numricos para conocer bsicamente:
La probabilidad de que un peligro se manifieste, y
Las consecuencias sobre las personas, el proceso y la planta.
Para clasificar los riesgos, existen diferentes ndices que permiten identificar los
peligros de forma sistemtica y suministrar un mtodo de clasificacin por prioridades.
Los ms conocidos son:
ndice de Dow. Desarrollado por la compaa Dow Chemical Company para
identificar fuegos, explosiones y peligros por reacciones qumicas en el diseo
de plantas.
ndice de Mond: Desarrollado por la compaa Imperial Chemical Industries tras
el desastre de Flixborough (Junio del 1974), tiene ms amplitud de alcance que
el ndice de Dow.

Plataformas de proteccin
El concepto de plataformas o capas de seguridad define de forma fiable el sistema de

seguridad de la planta. Segn las caractersticas de los elementos de proteccin, se
distinguen tres tipos de capas:
Capa de proteccin de sistemas pasivos. Los sistemas de proteccin que se
encuentran en esta capa son mecanismos directos de proteccin fsica y
mecnica. Se trata de la capa de proteccin que actuar en caso de que las dems
hayan fallado para proteger a las personas, la instalacin y al medioambiente. El
sistema de proteccin pasivo debe estar en sintona con los siguientes puntos:
o Seguridad inherente. Siempre que sea posible, hay que tratar de utilizar
elementos o productos de planta que tengan una seguridad inherente o
escoger rutas de proceso que reduzcan el riesgo. Se debe evitar el uso de
elementos txicos o reactivos en la medida de lo posible.
o Inventario mnimo. Acumular productos qumicos incrementa el riesgo,
por lo que es recomendable evitar tanques entre procesos siempre que sea
posible.
o Sistemas de contencin. En el diseo del proceso se debe contemplar
elementos que permitan controlar y contener de forma segura los
productos emitidos.
o Elementos pasivos. Son elementos pasivos en el sentido de que son
puramente mecnicos y no requieren de energa exterior para proteger a
la instalacin. Los discos de ruptura, vlvulas de seguridad de presin o
rompedores de vaco y vlvulas de retencin para caudales inversos son
algunos ejemplos de elementos pasivos.
o Diseo a fallo seguro. Es muy importante efectuar un correcto diseo de
los elementos de seguridad contemplando la posicin en que quedarn
cuando no exista energa exterior. Este concepto est relacionado con los
elementos que forman parte de la capa de seguridad activa, pero la
determinacin de la situacin a la que esos elementos tienen que ir en
caso de fallo de suministro neumtico o elctrico forma parte de la
seguridad pasiva.

o Seguridad intrnseca. La instrumentacin con certificacin expresa
indicando que es intrnsecamente segura se hace obligatorio para que no
suponga un riesgo en la instalacin.
Capa de proteccin de sistemas activos. Los elementos de proteccin existentes

en esta capa actuarn si la capa del sistema de control bsico, conocido como
BPCS (del ingls Basic Process Control System) ha fallado. Los componentes
que forman parte de la capa de proteccin activa son:
o Alarmas, disparos y enclavamientos. Son los elementos ms comnmente
utilizados en la capa de seguridad activa.
La alarma informar al operador sobre un evento o una condicin
anormal ha acontecido y reclamar su atencin para tomar una accin
correctiva.
El disparo acta de forma automtica sobre un elemento final cuando una
condicin anormal acontece.
El enclavamiento tiene propsito de prevencin y acta sobre un
elemento final hasta que no desaparezca un determinado evento o la
condicin anormal.
o Sistemas de paro de emergencia. Cuando una situacin crtica acontezca
en el proceso debido a determinadas circunstancias, puede ser necesario
un paro de emergencia del proceso de forma automtica.
o Sistemas de deteccin de humo y gas. Ante la presencia de nubes
explosivas, inflamables o txicas o ante la presencia de fuego, el sistema
de deteccin de humo y gas inducir la parada del proceso de forma
manual o automtica.
Capa del sistema de control bsico. En condiciones normales de proceso y en la

mayora de situaciones donde las variables de proceso se encuentren fuera de los
rangos de funcionamiento normal, el sistema control bsico (BPCS) deber
mantener la operacin de planta dentro de los lmites de seguridad. As, la capa
BPCS no se considera un sistema de seguridad debido a que no es capaz de
proteger ante un fallo del mismo. De todos modos, el sistema de control aporta
una dosis de seguridad en el proceso muy importante reduciendo

considerablemente el uso de sistemas de proteccin mediante alarmas,
diagnsticos, controles efectivos, enclavamientos, etc.
Anlisis de las capas de proteccin

El anlisis de las capas de proteccin, llamado comnmente por la industria como
LOPA (del ingls Layer Of Protection Analysis), es una herramienta de anlisis de
riesgo de procesos.
El mtodo se inicia efectuando un anlisis de riesgos y de problemas operativos
(HAZOP) y ponderando cada riesgo identificado, teniendo en cuenta la causa que lo
provoca (Evento Iniciador) y las consecuencias desencadenadas de cada escenario
indeseado. De ese modo, el nivel de riesgo es cuantificado y permite analizar si se
requiere ms o menos nivel de integridad en la seguridad del proceso. En el caso en que
se determine la necesidad de aumentar la reduccin de riesgo y se justifique la necesidad
utilizar sistemas instrumentados de seguridad (SIS), la metodologa LOPA permite
determinar el nivel apropiado de integridad de la seguridad (SIL) para la funcin de
seguridad (SIF).
Ilustracin 18 Capas de Proteccin de un proceso
Capas de proteccin.
El conjunto de plataformas de proteccin evitar el escenario contemplado. Cada capa
de proteccin consiste en un conjunto de equipos y sistemas cuya finalidad es controlar
y reducir un determinado riesgo de proceso. Estas capas de proteccin deben incluir:

(a.1) Anlisis y evaluacin de riesgo para cuantificar el riesgo del proceso. La
determinacin correcta de la posicin de seguridad o de fallo de los equipos e
instrumentos har el proceso inherentemente seguro.
(a.2) Identificacin de las variables de proceso a ser reguladas, lmites de
control, rangos de esas variables y determinacin de los valores ptimos de
operacin.
(a.3) Procedimientos de operacin para actuar ante desviaciones del proceso y
situaciones de alarma. El personal cualificado deber ser instruido para
identificar y actuar de forma eficiente en el momento requerido.
(a.4) Una plataforma de alarmas para alertar y reclamar la actuacin de
operacin ante situaciones de proceso que vayan fuera del rgimen operacional
normal. Un sistema de enclavamientos ayudar a proteger y aliviar excesivas
tareas que podra hacer inviable la operacin manual.
(a.5) Definicin de los lmites de seguridad para cada funcin o lazo de
proteccin. En caso de superar estos lmites, un accionamiento automtico de
proteccin compuesto de componentes aptos (aprobados por una empresa oficial
certificadora) deber proteger el proceso. Estos sistemas son los llamados SIS
(del ingls Safety Instrumented System), que acostumbran a estar certificados
por las empresas TV Rheinland Group o FM Global, que cumplen con un
determinado nivel de integridad en la seguridad SIL (del ingls Safety Integrity
Level).
(a.6) Implementacin de mecanismos directos de proteccin fsica y mecnica.
A modo de ejemplo, podemos citar los discos de ruptura o las vlvulas de alivio
de presin.
Mitigacin fsica.
Si todos los mecanismos de las capas de proteccin no han sido eficientes para evitar un
determinado escenario, la mitigacin o contencin controlada reduce la severidad del
escenario pero no previene que ocurra. Ejemplos pueden ser sistemas contra incendios,
detectores de humo, muros de contencin, diques, etc.
Respuesta de Emergencia.
Procedimientos de evacuacin y actuacin en caso de emergencia. Es importante el
entrenamiento de todo el personal de planta mediante la ejecucin de simulacros de

diferentes envergaduras, desde la activacin del Plan de Emergencia Interior (PEI),
gestionado por la misma compaa; hasta la activacin del Plan de Emergencia Exterior,
gestionado por la administracin y proteccin civil. En el caso en que la actividad
industrial se encuentre prxima a poblados o ciudades, la formacin y entrenamiento en
concepto de respuesta de emergencia a los ciudadanos por parte de la administracin
toma especial importancia para reducir las consecuencias en caso de catstrofe.
Niveles de riesgo
En un anlisis de seguridad de procesos es fundamental ponderar el riesgo para conocer

qu sistemas instrumentados de seguridad se requirieren.
El riesgo se define segn la siguiente expresin:
incidentes muertes
Riesgo = HR x C (E )
ao incidente
El riesgo (Riesgo) es el producto de la frecuencia con la que un incidente peligroso

ocurre sobre un sistema dispuesto con seguridades HR Hazard Rate multiplicado por
las consecuencias debidas al evento peligroso (C(E)). Normalmente, el riesgo se expresa
en muertes por ao.
Teniendo en cuenta que las consecuencias debidas al evento estn determinadas por las
caractersticas del proceso, por la ubicacin y por los tipos de productos utilizados, el
resultado del anlisis de riesgos deber reducir al mximo la frecuencia con la que el
incidente peligroso acontezca sobre el proceso. As, se puede expresar el ratio de riesgo
HR como el producto de la frecuencia en que ocurre un evento peligroso sobre un
sistema sin protecciones DR Demand Rate y la probabilidad de que el sistema de
seguridad instalado falle (PFD) en el momento requerido:
incidentes
HR = DR x PFD
ao
Para determinar la frecuencia de que un evento peligroso acontezca en un proceso DR se
debe conocer muy bien el proceso que estamos tratando y evaluar cada situacin,
determinando la probabilidad de que un conjunto de incidentes ocurran de forma
simultnea o secuencial y provoquen el evento peligroso indeseado.

En un proceso industrial, se debe conocer la probabilidad de que acontezca un evento
indeseado inicial y la probabilidad de que el sistema de control bsico no sea capaz de
llevar el proceso a una situacin segura o la respuesta de operacin (ante una alarma) no
haya podido proceder. As, tal como se expresa en la Ilustracin 18, los sistemas de
proteccin activo y pasivo debern evitar la consecuencia indeseada.
La probabilidad de fallo en demanda PFD es una variable que depende directamente de
la fiabilidad de la capa de proteccin y requiere especial atencin a la hora de
determinar qu nivel de integridad en la seguridad requerimos para reducir el ratio de
peligrosidad sobre un sistema HR y alcanzar el nivel de riesgo tolerable (Riesgo).
Riesgo tolerable
Una reduccin de riesgos muy ambiciosa podra conducir a la inviabilidad de la
actividad industrial tanto desde la perspectiva econmica como desde la perspectiva
operativa. El concepto de ALARP, acrnimo de tan bajo como razonablemente sea
practicable (As Low As Reasonably Practicable) hace referencia al nivel de riesgo de
un determinado proceso y define un modelo para determinar un nivel de riesgo
tolerable.
El modelo ALARP establece que existen tres regiones de riesgo en una actividad
industrial:
IEC 2002
Clase
Incremento de riesgos individuales y preocupacin social
Regin inaceptable I
Regin tolerable II
Regin ampliamente aceptable III
Riesgo insignificante
Ilustracin 19 Riesgo tolerable y ALARP
Clase I: Riesgo intolerable. El riesgo no puede ser justificado excepto en situaciones

extraordinarias.

Clase II: Riesgo tolerable nicamente si la reduccin de riesgo es impracticable o los
costos son desproporcionados para implementarlo; o bien si la sociedad quiere
beneficiarse de la actividad asumiendo el riesgo asociado a ella.
Clase III: Riesgo nfimo o insignificante.

Definiciones
Fiabilidad
La fiabilidad (R) se puede definir como la probabilidad de que un determinado sistema
opere correctamente a un nivel de funcionamiento establecido. Un ejemplo de criterio
de nivel de funcionamiento establecido podra ser que se estableciera que un
instrumento tenga un correcto funcionamiento siempre que trabaje con una precisin
superior al 2 % del fondo de escala.
La fiabilidad vara con el tiempo segn las condiciones de operacin donde se
encuentra. La prdida de fiabilidad de un sistema (uR) es el complemento de la
fiabilidad. Siempre se cumplir la siguiente expresin:
R + uR = 1.0
Ratio de Fallas y tiempo medio de fallo

El ratio de fallas (l ) es el valor medio de fallos por sistema por unidad de tiempo. El
clculo de este parmetro depende directamente del tiempo medio de fallo MTTF (del
ingls Mean Time To Failure).
Supongamos que se instala un amplio nmero de instrumentos idnticos nuevos en las
mismas condiciones de operacin permitiendo su funcionamiento hasta que cada uno
falla, y que lo situamos fuera de servicio al detectar la anomala. Adems, supongamos
que podemos registrar los tiempos de cada uno de los instrumentos desde que se pone
en servicio hasta que se detecta el fallo. Entonces el tiempo medio de fallo ser la media
de los tiempos registrados hasta que todos se encuentren en fallo.
1
=
MTTF
El ratio de fallas de un determinado sistema o instrumento vara a lo largo de su vida. Se
distinguen tres fases:
Fase I: La denominada fase de mortalidad infantil, es aquella donde el ratio
elevado de fallas es debido a errores de fabricacin o diseo. Estos errores son
detectados generalmente durante pruebas del fabricante o en tareas de
comisionado. El ratio de fallas se reduce a medida que pasa el tiempo por
experiencia adquirida.

Fase II: La fase normal de funcionamiento o fase en servicio se caracteriza por
un ratio de fallas constante a lo largo del tiempo.
Fase III: Existe un incremento de fallas debido a la longevidad y envejecimiento
de los sistemas o instrumentos.
Normalmente, el ratio de fallas se articula en fallos por ao o en fallos por milln de

horas.
Tiempo medio entre fallos y tiempo medio de reparacin
Supongamos que un nmero de instrumentos (n) idnticos son puestos en servicio y
testeados cada perodo de tiempo (T) y que cada equipo en fallo es reparado y puesto en
servicio, se define el tiempo medio entre fallos MTBF (del ingls Mean Time Between
Failures) como la relacin del total de instrumentos instalados y los instrumentos
fallidos (nS) durante cada perodo determinado:
nT
MTBF =
nS
El tiempo medio de reparacin MTTR (del ingls Mean Time To Repair) deber estar
incluido en el tiempo medio entre fallos para asumir la exigencia que define el tiempo
medio entre fallos (reparacin de los instrumentos fallidos dentro del intervalo T). As,
se debe cumplir la siguiente expresin:
MTTF + MTTR = MTBF
La disponibilidad A se define como la probabilidad de que un sistema funcione

correctamente en el momento requerido. De forma matemtica se puede expresar como
la fraccin entre el tiempo medio de fallo y el tiempo medio entre fallos:
MTTF MTTF MTBF
A= =
MTBF MTTF + MTTR MTBF + MTTR
La ltima aproximacin nicamente ser vlida si el tiempo medio de fallo es muy

superior al tiempo medio de reparacin.
Un concepto ampliamente utilizado es el complementario al de disponibilidad, la

indisponibilidad U. La indisponibilidad se puede expresar como:
MTTF MTTR
U = 1- A = 1- =
MTBF MTTF + MTTR

Si substituimos el tiempo medio de fallo para expresar la indisponibilidad en trminos
de ratio de fallas, obtenemos una expresin ms interesante desde la perspectiva de la
herramienta de cuantificacin del anlisis de riesgo de proceso, como observaremos ms
adelante:
MTTR
U= MTTR
1 + MTTR
La aproximacin nicamente ser vlida si el tiempo medio de fallo es muy superior al

tiempo medio de reparacin.
El trmino indisponibilidad U es muy utilizado bajo el concepto de Probabilidad de

Fallo en Demanda PFD y es fundamental a la hora de determinar qu equipos formarn
parte de nuestros lazos de seguridad. Podemos observar adems, que el tiempo medio de
reparacin es una variable fundamental a la hora de determinar la PFD y por tanto, se
introduce el concepto de diagnstico y respuesta ante anomala del instrumento. Por
ende, que un instrumento disponga de una alta fiabilidad en situacin de emergencia
(conocido como nivel de integridad en la seguridad SIL) ser contribuyente para
obtener una PFD requerida para el lazo de seguridad, pero no ser el nico requisito.
As, la capacidad de diagnstico o cobertura de diagnstico DC (del ingls Diagnostic
Coverage) juega un papel indispensable a la hora de disear el lazo de seguridad:
DD
DC =
D
La cobertura de diagnstico es la una relacin entre el nmero de fallos peligrosos

detectados l DD y el nmero total de fallos peligrosos l D. El valor idneo lgicamente es
la unidad, de modo que todos los fallos peligrosos sean detectados por el sistema para
actuar de forma segura.
Indisponibilidad de elementos en serie y en paralelo
Si consideramos que un lazo de seguridad se comprende de diferentes elementos
seriados, como los que se muestran a continuacin:
Elemento 1 Elemento 2 Elemento i Elemento n

l1 l2 li ln
Ilustracin 20 Lazos de seguridad seriados

La disponibilidad del lazo en situacin de demanda existir siempre que exista
disponibilidad de todos y cada uno de los elementos que componen el lazo. En caso de
que cualquiera de ellos falle, obviamente no existir disponibilidad.
Por ende, la disponibilidad del lazo de seguridad se puede obtener mediante la siguiente
expresin:
AL = A1 A2 A3
Substituyendo en trminos de indisponibilidad, obtenemos:
U = 1 - A U L U 1 + U 2 + ... + U i + ... + U n "U n << 1

n
U L U k
k =1
Por tanto, queda comprobado que la indisponibilidad sobre sistemas seriados ser la
suma de probabilidades de que cada elemento se encuentre indisponible.
La disposicin en paralelo suele estar relaciona con la arquitectura redundante de

elementos sensores y actuadores. As, si consideramos la siguiente estructura:
Elemento 1
l1
Elemento 2
l1
Elemento i
li
Elemento n
ln
Ilustracin 21 Lazos de seguridad en paralelo
Existir indisponibilidad del sistema cuando exista indisponibilidad de todos los

elementos.
Por tanto, podemos establecer:
n
U L = U1U 2 U i U n = U k
k =1

PFD y niveles de integridad
La Probabilidad de Fallo en Demanda PFD lo definiremos como la probabilidad de que

un sistema de seguridad no detecte una situacin insegura en el momento requerido para
evitar un escenario indeseado. As, la Probabilidad de Fallo en Demanda lo trataremos
como una particularizacin de la indisponibilidad de uno o de varios elementos que
constituyen un lazo de seguridad instrumentado SIS.
Tal como se introduce en el apartado anterior, los lazos de seguridad instrumentados se
pueden tratar como una cadena de elementos seriados constituidos por un elemento que
agrupa la funcin de sensado, otro elemento que determina la lgica de disparo y un
ltimo elemento que constituye uno o varios elementos actuadores para tomar la accin
correctiva de seguridad. Tomando las expresiones justificadas en el apartado anterior,
podemos determinar la Probabilidad de Fallo en Demanda de todo el lazo de seguridad:
PFD L = PFD S + PFD LS + PFD A
Donde,
S hace referencia al sensor
LS hace referencia a la lgica de disparo
A hace referencia al elemento actuador
La normativa IEC-61508 agrupa los niveles de integridad en la seguridad (SIL) en 4

bandas, ubicando los sistemas en una banda u otra segn la PFD que disponga el lazo:
SIL HRF PFD

0 >100 1 a 10-1
1 >101 10-1 a 10-2
2 >102 10-2 a 10-3
3 >103 10-3 a 10-4
4 >104 10-4 a 10-5
Tabla 20 Niveles de SIL

Donde,
SIL Nivel de Integridad en la Seguridad
HRF Factor de Reduccin de Riesgo
PFD Probabilidad de Fallo en Demanda
Para determinar la PFD de un lazo, se acostumbra a acotar la mxima PFD de cada

elemento para simplificar y facilitar la determinacin de un lazo instrumentado de
seguridad. As, existen empresas que asignan unas cotas en base a la experiencia sufrida
a lo largo de un intervalo de tiempo coherente para una instrumentacin y un sistema de
control especfico. De forma general, si no se dispone de esa experiencia, se
acostumbran a asignar las siguientes cotas:
Max = 0, 35PFD L Max = 0 ,15PFD L Max = 0 , 5PFD L

PFD L = PFD S + PFD LS + PFD A
El sensor puede aportar un mximo del 35 % de la PFD total, la lgica de disparo hasta
un 15 % y el elemento final o actuador, el 50 %.
La PFD de un sistema se incrementa a medida que pasa el tiempo. Un dispositivo no
tendr la misma PFD cuando acaba se ser revisado e instalado que cuando lleve un par
de aos funcionando bajo determinadas circunstancias y en un entorno determinado.
As, se define que la probabilidad de fallo en demanda depende del tiempo mediante la
siguiente expresin:
PFD = 1 - e - t
La probabilidad de fallo en demanda media la podemos obtener si asumimos que la
parte inicial de la curva es aproximadamente lineal. Esta asuncin es ms conservadora
que la propia definicin matemtica exponencial:
Aproximacin: PFD= Dt
Probabilidd de Fallo
Real: PFD= 1 e-lt
Tiempo en operacin
Ilustracin 22 Probabilidad de fallo vs. Tiempo operacin

Definiendo TI como el intervalo de chequeo del sistema que acreditar la correcta
funcionalidad hasta el prximo chequeo, tenemos:
TI
1 TI
PFD AV =
TI
0
D tt = D
2
Por tanto, se observa que la PFD depende directamente del ratio de fallos peligrosos
detectados y del tiempo de chequeo del instrumento. Esta expresin ser cierta
asumiendo que el tiempo medio para reparar el equipo es muy inferior al tiempo de
inspeccin ( MTTR << TI ).
El comportamiento de la Probabilidad de Fallo en Demanda integrando el efecto del

intervalo de testeo ser el siguiente:
PFD
PFDAV
Time
Test Interval Test Interval Test Interval
Ilustracin 23 PFD vs. Test interval

Funcin instrumentada de seguridad en Modo de demanda y en Modo contino
Segn la normativa IEC-61511, se define cada modo de la siguiente forma:
Funcin instrumentada de seguridad en Modo de Demanda: en la que una accin

especfica (eg. Cierre de vlvula) es tomada como respuesta frente a una condicin de
proceso o frente a otras demandas. En el caso de que exista una falla del lazo
instrumentado de seguridad, el peligro potencial solo acontece cuando ocurra una falla
en el proceso o en el BPCS.
Funcin instrumentada de seguridad en Modo Continuo: en la que al ocurrir una falla
peligrosa de la funcin de seguridad, el peligro potencial ocurrir sin que se produzca
falla adicional, al menos que se tome alguna accin para prevenirlo.
El tipo de modo escogido tiene que ver con la frecuencia de demandas de operacin
sobre el sistema relacionado de seguridad. El modo en demanda hace referencia a
procesos que pueden tener demanda del sistema de seguridad como mximo una vez por
ao o inferior al doble del periodo de pruebas de funcionamiento TI. ste ser el modo
escogido para el proyecto de automatizacin de la Terminal Marina de gas natural.

Redundancia, equilibrio entre seguridad y fiabilidad de proceso
La redundancia de elementos sensores o elementos finales aportar ms integridad de

seguridad en el lazo o ms fiabilidad de proceso. La fiabilidad de proceso lo
definiremos como la probabilidad de que un proceso industrial no sea interrumpido de
forma controlada por motivos de seguridad o medioambientales. En todo proceso
industrial, debe existir un balance entre fiabilidad de proceso e integridad en la
seguridad del proceso.
El objetivo de este apartado es conocer de forma conceptual el efecto de escoger una
arquitectura u otra. El anlisis del clculo de la PFD para cada arquitectura no es
inmediato (vase IEC61508-6).
Para cuantificar el efecto de asumir una arquitectura de redundancia u otra en concepto
de fiabilidad de proceso, vamos a definir las siguientes asunciones:
Sea a la fiabilidad de proceso y m la probabilidad de paro del proceso por
deteccin de anomala o demanda del lazo de seguridad, definiremos:
o =1 -
o = d + f , donde md ser la probabilidad de paro por escenario de
disparo y mf ser la probabilidad de paro por deteccin de anomala de

lazo.
Para el clculo de la fiabilidad del proceso, consideraremos un DC = 1 para
simplificar ya que el objetivo de este apartado es estudiar el efecto de las
diferentes arquitecturas escogidas. Lgicamente, cuanta menos DC se disponga
en el lazo, ms fiabilidad de proceso existir y a su vez, menos nivel de
integridad en la seguridad. Cuando se efecta la determinacin del nivel de
integridad requerida, el DC se tiene en cuenta para cumplir con las exigencias de
mxima PFD permitida.
No se contempla fallos en modo comn, es decir, causas comunes que
provoquen el fallo en la respuesta de seguridad.
El funcionamiento de cada arquitectura es la siguiente:
o 1oo1. El disparo se efecta si:
La condicin insegura acontece y es detectada
Se detecta anomala
o 1oo2. El disparo se efecta si:
La condicin insegura acontece y es detectada por un sistema
Se detecta anomala de una sistema
o 1oo2D. El disparo se efecta si:
La condicin insegura acontece y es detectada por un sistema
Se detecta anomala de ambos sistemas
La condicin insegura acontece y es detectada por ambos
sistemas
Se detecta anomala de ambos sistemas
La condicin insegura acontece y es detectada por dos sistemas
Se detecta anomala de dos sistemas
Se asume que todos los sistemas que integran cada arquitectura son idnticos.

La siguiente tabla muestra la relacin de PFD y la fiabilidad de proceso segn la
arquitectura escogida:
Probabilidad Fallo en
Arquitectura Fiabilidad de Proceso
Demanda
m1d
1oo1 PFD1 PFD 1 - d - f
m1f
m1d
m1f
1 - 2 d - 2 f
PFD1
1oo2 PFD2 PFD 2 m2d
m2f
m1d
PFD1
1 - 2d - f
2
1oo2D PFD 2 m2d
PFD2
m1f m2f
m1d m2d
m1d m2f
1 - d - f - 2 d f
2 2
2oo2D PFD1 PFD2 2PFD m1f m2d
m1f m2f
mmd mnd
PFD1 PFD2 mmf mnf
mmf mnd 1 - 3d - 3 f - 6 d f
2 2
2oo3 PFD2 PFD3
3PFD 2
PFD1 PFD3
"n, m [1,3]
nm
Tabla 21 Arquitecturas de disparos
Observando la tabla podemos llegar a las siguientes conclusiones:

Las configuraciones 1oo2 y 1oo2D (diagnstico) aumentan la integridad del sistema
considerablemente. Si consideramos un sistema con redundancia absoluta con un nivel
de integridad unitario SIL-1, estas configuraciones incrementan el nivel de integridad en
seguridad en una unidad SIL-2.
La arquitectura 2oo2D (diagnstico) supone la configuracin con mayor fiabilidad de
proceso pero tambin, la que menos nivel de integridad genera. Esto implica que ser
una configuracin que deber utilizarse en procesos de alta rentabilidad donde se
justifique una instrumentacin ms fiable y por tanto, con mayor coste econmico.
La arquitectura 2oo3D aporta un muy buen nivel de integridad que dista de la
arquitectura 2oo2D. Es una solucin que aporta la mejor relacin entre todas las
arquitecturas en el balance de nivel de integridad y fiabilidad de proceso.

Sistemas Instrumentados de Seguridad (SIS)
El Sistema de Seguridad acta como una cadena de seguridad que conecta su primer
elemento (elemento sensor) y traslada su efecto a travs de los diferentes elementos con
objeto de accionar un elemento final de proteccin. En esta analoga, podemos
establecer que la cadena ser tan fuerte como el elemento ms dbil que se encuentre
conectado. El Sistema Instrumentado de Seguridad ser tan seguro como sea su
componente ms dbil.
La Probabilidad de Fallo en Demanda PFD del Sistema Instrumentado de Seguridad nos

indicar el nivel de seguridad que dispone el lazo. Expresado de una forma anloga,
estableceremos el Nivel de Integridad en la seguridad del lazo (SIL). El momento de
determinar este nivel de integridad ser cuando se disponga de todo el anlisis LOPA
implementado aportando todos los crditos en seguridad por diseo, por probabilidades
de ocurrencia de los eventos iniciadores, tiempo de exposicin del proceso, etc. Estos
detalles los abordaremos durante el prximo captulo.
El sistema instrumentado de seguridad debe ser independiente al sistema de control de

proceso bsico BPCS y a la estrategia de control. As, la inhibicin de disparos de
seguridad deber estar estrictamente justificada y no podr ser efectuada por el sistema
bsico de control pues incrementara el factor de riesgo fuera de lo permitido.
En el diseo del lazo instrumentado de seguridad para la Terminal Marina de gas natural
se basar en arquitecturas predefinidas con disposicin de unos intervalos de testeo
prefijados para elementos sensores y elementos finales. En el caso de necesidad de
disear particularmente un determinado lazo de seguridad, se har uso de las frmulas
publicadas en el IEC 61508-6.

REQUERIMIENTOS PARA ELEMENTOS FINALES
Nivel de Integridad Nm de Intervalo de Testeo
en Seguridad (SIL) Elementos Modo de Operacin 25 aos MTTF*
Finales
1 Fallo seguro <= 5 Aos
1 2 en paralelo Fallo seguro <= 2,5 Aos
2 en serie Ambos independientes, Fallo seguro <= 6 Aos
1 Fallo seguro <= 6 Meses
2 2 en paralelo Fallo seguro <= 3 Meses
2 en serie Ambos independientes, Fallo seguro <= 5 Aos
3 2 en serie Ambos independientes, Fallo seguro <= 11 Meses
Asunciones para elementos finales

MTTF = 25 aos -- ajuste proporcional para diferentes MTTF (eg. 50 aos MTTF resultara en 1 ao de
TI para una vlvula SIL-2).
DC = 0%
Fallo por causa comn (Beta) = 2%
Tiempo mximo de TI es 6 aos
Los Intervalos de Testeo pueden ser mejorados cuando existe un mayor MTTF disponible.
Cuando ms de un elemento es utilizado para llevar a cabo la funcin de seguridad, el intervalo
de testeo debe de ser dividido entre el nmero de elementos finales.
El intervalo de testeo puede ser doblado si existe la posibilidad de situar el elemento final
en la posicion no segura al menos ms de una vez al mes.
Tabla 22 Requerimientos para Elementos Finales
Para determina el tiempo de medio de reparacin cuando existan elementos finales con
redundancia, se forzar a que el MTTR no supere el 1 % del intervalo de testeo.

REQUERIMIENTOS PARA SENSORES
Tpico MTTF para caudal y nivel es 25 aos, para presin y temperatura es 50 aos.
Nivel de Integridad Configuracin Arquitectura Tiempo Medio de Tiempo Medio de Intervalo de
en Seguridad (SIL) de Sensor Reparacin Fallo (MTTF - Testeo (TI)
(MTTR) aos)
>25 <= 3 Aos
Simple 1oo1* ---- >50 <= 6 Aos
>100 <= 6 Aos
>25
1oo2D** 72 horas >50 <= 6 Aos
1
>100
Max PFD= Dual
>25 <= 5 Aos
3.5E-02
2oo2D** 72 horas >50 <= 6 Aos
>100 <= 6 Aos
>25
Triple 2oo3** 7 Das >50 <= 6 Aos
>100
>25 <= 1 Ao
Simple 1oo1* >50 <= 2 Aos
>100 <= 3,5 Aos
>25 <= 3,5 Aos
1oo2*
---- >50 <= 6 Aos
sin diagnstico
>100 <= 6 Aos
2 >25
Max PFD= Dual 1oo2D*** 72 horas >50 <= 6 Aos
3.5E-03 >100
>25 <= 6 Meses
2oo2D** 72 horas >50 <= 1 Ao
>100 <= 2 Aos
>25
Triple 2oo3*** 7 Das >50 <= 6 Aos
>100
>25 <= 8 Meses
1oo2*
---- >50 <= 16 Meses
sin diagnstico
>100 <= 2,5 Aos
Dual
3 >25
Max PFD= 1oo2D*** 72 horas >50 <= 6 Aos
3.5E-04 >100
>25 <= 5 Aos
Triple 2oo3*** 7 Das >50 <= 6 Aos
>100 <= 6 Ao
NOTAS:
(*) Sin Diagnsticos
(**) 70% Cobertura de Diagnstico
(***) 90% Cobertura de Diagnstico
Asunciones para sensores

Fallo por causa comn (Beta) = 2%
Tiempo mximo de TI es 6 aos
Tabla 23 Requerimientos para Elementos Sensores

La herramienta de anlisis LOPA
Asunciones previas
Debido a las caractersticas de los procesos llevados a cabo en la Terminal
Marina de gas natural, se considera el sistema de seguridad en modo de
demanda.
El nivel de integridad en la seguridad (SIL) considerado en el anlisis ser el
ms conservador, tratando siempre el valor mximo de la PFD del rango
establecido. Si se requiere un lazo con SIL-2 se entender que la PFD mxima
ser 0.01; y no 0.001. (vase tabla Niveles de SIL).
Para reducir el esfuerzo de clculo de intervalos de testeo y la PFD se
considerarn las tablas de requerimientos para elementos sensores y elementos
finales presentadas en el apartado anterior. En el caso en que sea requerido una
evaluacin especfica para un determinado lazo de seguridad, se evaluar de
forma particular.
Definimos como crdito al valor discreto que representa a una determinada
probabilidad. El uso de logaritmos para ponderar las probabilidades de
ocurrencia de un determinado factor es de gran utilidad en la tarea de clculo.
As, el crdito se define como:
C = log(P( A))
Donde P( A) se define como la probabilidad de ocurrencia del evento A .
Evaluacin de riesgos
Para efectuar la evaluacin de riesgos del proceso, deberemos considerar los siguientes
apartados:
Nmero de escenario. El nmero de escenario se definir con dos nmeros naturales
separados por un punto. El primer dgito har referencia a la consecuencia indeseada y
el segundo, indexar la causa inicial que la provoc.
Descripcin del escenario. Se describir de forma resumida pero precisa el escenario
indeseado que se quiere analizar. Se incluir el nivel de riesgo resultante del anlisis
LOPA como la diferencia entre el nivel de riesgo de la consecuencia y los elementos de
seguridad de reduccin de riesgo.

Riesgo. El riesgo ser el efecto de la consecuencia indeseada. Se incluir el factor de
riesgo segn las consecuencias del escenario inseguro. En funcin de la consecuencia
indeseada, se puede hacer uso de tres tablas diferentes:
o Tabla de factor de riesgo por producto qumico especfico. Se utilizar
esta tabla en el caso en que la consecuencia del escenario sea una
emisin de producto txico que se extienda fuera de las instalaciones.
Las unidades utilizadas sern libras (lb).
La categora de riesgo viene determinado por la National Fire Protection
Association (NFPA) teniendo en cuenta los ndices de Salud (H),
Inflamabilidad (F) y Reactividad (R).
o Tabla de factor de riesgo por consecuencia especfica. Esta tabla ser
utilizada para determinar la magnitud de la consecuencia de:
Emisin de material inflamable al medioambiente teniendo como
resultado deflagraciones.
Incidentes medioambientales.
Sbitas fugas de energa.
Emisin de materiales peligrosos para contacto humano o para el
medioambiente.
o Tabla de factor de riesgo por impacto econmico en el negocio.
Evento iniciador. Se describir la causa que genera el escenario inseguro. Se incluir el

factor de reduccin de riesgo basado en la frecuencia en el que puede suceder
(eventos/ao) ese evento iniciador. El evento iniciador es un fallo sobre un equipo,
control de proceso, accin o inaccin humana que inicia el escenario inseguro. Se tendr
en cuenta las siguientes reglas:
o El evento iniciador son eventos singulares, es decir, no se consideran
fallos mltiples simultneos o secuenciales.
o Un elemento que sea causa del evento iniciador no puede dar crdito
como una capa de proteccin en el mismo escenario. Por ejemplo, si la
causa inicial de un escenario es el error de un instrumento, este
instrumento no puede tratarse como una capa de proteccin en este
escenario.
o Los errores sistemticos no se consideran como eventos iniciadores.

o El cdigo de control no se puede considerar como un evento iniciador.
Los errores conocidos en el cdigo deben ser reparados. Para evitar
errores de cdigo, se utilizarn mecanismos de validacin de cdigo por
simulacin.
Evento habilitador. En algunos casos, un evento iniciador puede no ser suficiente para
desencadenar el escenario indeseado, requiriendo un segundo evento. Esta segunda
condicin es la denominada Evento habilitador. Se define el factor del evento
habilitador como la probabilidad de que este segundo evento acontezca. Las reglas a
aplicar para asumir el factor del Evento habilitador son las siguientes:
o Para escenarios de inflamabilidad, el valor por defecto es cero.
Por Probabilidad de Ignicin (POI) se puede tomar 1, 2 3
crditos segn las caractersticas de inflamabilidad del producto
qumico y el volumen emitido.
Por Probabilidad de Explosin (POX) se puede tomar 1 2
crditos dependiendo del volumen de la nube explosiva
considerada.
Considrese un factor POI de 0, 1 o 2 para emisiones de vapor o
polvo dentro de edificios.
Considrese un factor POI de 1 si la causa de ignicin es por
descarga elctrica en depsitos subterrneos hermticos.
o Para escenarios de toxicidad, el valor por defecto ser diferente de 0.
Considrese valores de -1, 0, 1, o 2 dependiendo del volumen de
poblacin cercana y la efectividad de la respuesta de emergencia
de la comunidad.
Probabilidad de exposicin. La probabilidad de exposicin (POE) es la probabilidad
de que un nmero especfico de personas sean expuestas a una consecuencia indeseada
dada por un evento ocurrido. Se definen las siguientes reglas:
o La aportacin de 1 crdito se permite para bajas probabilidades de
exposicin (menos del 10 % del ao).
o La aportacin de 2 crditos puede ser considerado nicamente cuando la
exposicin es inferior al 1 % al ao.
o No es posible la asignacin de ms de 2 crditos por POE.
o La POE no puede ser aplicada a puestas en marcha o paradas
programadas de planta.

Capas de proteccin. Los mecanismos que evitarn el escenario indeseado se integran
en las llamadas capas de proteccin. Un requisito indispensable en LOPA es el concepto
de independencia de las capas de proteccin:
Sea el evento A y B, siendo A independiente de B si y solo si la probabilidad de
A no cambia por la ocurrencia de B, dos eventos (A y B) son independientes si
la probabilidad de que los dos ocurran es el producto de sus probabilidades.
Por ende, para que exista independencia, una capa de proteccin debe ser capaz
de prevenir un escenario indeseado sin tener en cuenta el evento iniciador o la
accin de otra capa de proteccin.
Diseo de Proceso.
Corresponde a la capa de seguridad ms interna de LOPA. El diseo del
proceso que tiene en cuenta unos rangos generosos de operacin, teniendo la
capacidad de soportar las posibles desviaciones del proceso en unos lmites
de seguridad coherentes hace que podamos evitar escenarios indeseados.
Dentro de este apartado, hay que tomar dos consideraciones: la integridad
mecnica en el diseo del proceso y el mantenimiento del mismo. Hay que
tener en cuenta que el proceso degrada su integridad mecnica a medida que
transcurre el tiempo y por tanto, tareas frecuentes de control, inspeccin y
mantenimiento son imprescindibles. Si la instalacin efecta el diseo y el
mantenimiento segn los estndares y normativas internacionales del sector
industrial especfico, puede tomar 2 crditos; en el caso en que existan
deficiencias puede tomar 1 0 crditos dependiendo de la severidad.
BPCS
El sistema de control bsico es una combinacin de sensores, controladores
y elementos finales que regula de forma automtica un proceso dentro de los
lmites de operacin. Las reglas a tener en cuenta para tomar crdito en
LOPA se exponen a continuacin:
o Si el fallo de un lazo BPCS o uno de sus elementos es el Evento
Iniciador de un escenario, el anlisis considerar que el lazo BPCS no
podr tomar crdito.
o El crdito mximo por disparo de lazo BPCS o por actuacin ante alarma
por operacin ser de la unidad.

o La alarma con actuacin de operacin que tome crdito como capa de
proteccin requiere un entrenamiento y un procedimiento escrito de
actuacin. Deber asegurar que el tiempo para tomar una accin
correctiva por parte de operacin es el suficiente para completar el
procedimiento. El fallo del elemento final que el operador haga uso para
evitar el escenario, no se considerar como Evento Iniciador. Ese mismo
elemento final no debera considerarse como elemento final de otra capa
de proteccin.
o Si el escenario considera el fallo de un nico elemento del lazo de
control, se deber considerar escenarios adicionales por fallo de otros
componentes del lazo de control.
o Si el fallo del elemento sensor es el Evento Iniciador, la funcin BPCS
asociada a ese sensor se pierde. Ni la funcin BPCS ni la actuacin por
operador por alarma podrn tomar crdito en este caso.
o Si el fallo del elemento final es el Evento Iniciador, la funcin BPCS
asociada se pierde y por tanto, no se puede tomar crdito.
o Si el fallo del controlador es el Evento Iniciador, ni la accin BPCS ni la
respuesta por Alarma sern crditos vlidos.
o nicamente se puede tomar 1 crdito por accin BPCS o 1 crdito por
Alarma para cada escenario. En el caso de disponer de sensores
redundantes, es posible utilizar los mismos sensores para tomar crdito
por accin automtica y por respuesta de operador ante alarma. En este
caso, deber tratarse como si fueran sensores pertenecientes a un lazo
SIL-2.
ORA Alarma y respuesta de operador.

La combinacin de la aparicin de una alarma y la actuacin por parte de
operacin suministrar una proteccin adicional. Deber disponer de tiempo
suficiente para tomar la accin correctiva pertinente:
o No existir crdito en LOPA cuando el operador disponga de menos de
15 min para responder.
o Se podr tomar 1 crdito cuando el operador disponga de al menos 15
min para responder y haya sido entrenado para reconocer la alarma y
responder mediante un procedimiento escrito.

o Se podr tomar 2 crditos cuando se disponga de al menos 24 horas de
respuesta ante la alarma. Los elementos sensores y finales debern ser al
menos SIL-2 para asegurar la medida correctiva. La alarma debera
activar un aviso acstico o visual al menos cada dos horas.
SIS.
Un sistema instrumentado de seguridad es una combinacin de sensores,
controladores y elementos finales que permiten una o ms funciones de
seguridad SIF. Las reglas para aplicar un SIS en LOPA son:
o Las funciones de seguridad SIF se ponen al final y nicamente si son
necesarias cuando se ha contemplado el resto de capas de proteccin.
o El factor de riesgo diferente de cero y de valor positivo indicar el tipo
de SIL necesario.
o Un factor de riesgo resultante de valor nulo o negativo indicar que la
proteccin es adecuada.
o La funcionalidad de cada SIF ser independiente del sistema de control
bsico BPCS
o La aplicacin de arquitecturas de disparo de funciones SIF (1oo2, 2oo2,
2oo3) tolerarn el fallo de algn componente sin la prdida de
efectividad del SIS y evitar el paro espurio del proceso.
o La capacidad de diagnosticar y detectar anomalas sobre sensores,
controladores o elementos finales aumentar los intervalos de testeo TI.
o La posicin de fallo de todos los elementos finales de un lazo SIS debe
ser fijado.
Otras protecciones.
En el caso de uso de otros mecanismos diferentes a los mencionados para
reducir el riesgo como otra capa independiente de proteccin, debe ser
contemplado. Puede aportar entre 1 y 3 crditos que deben ser estrictamente
justificados.

Tablas de implementacin de LOPA
El factor de riesgo
La normativa del IEC no define un mtodo de determinacin del factor de riesgo. De
forma literal, se expresa lo siguiente:
<< This annex is not intended to be a definitive account of the method but is intended to
illustrate the general principles. It is based on a method described in more detail in the
following reference:
Guidelines for Safe Automation of Chemical Processes, American Institute of Chemical
Engineers, CCPS, 345 East 47th Street, New York, NY 10017, 1997, ISBN 0-8169-0554-
1 >> [4] International Electrotechnical Comission IEC-61511 Part 3
Toda compaa que pretenda implementar el uso de la herramienta LOPA en sus

instalaciones, deber disponer de unas tablas corporativas basadas en la gua
mencionada sobre estas lneas.
Para poder ejecutar el presente proyecto, definiremos dos tipos de tablas:

Tabla de factor de riesgo por producto qumico especfico. Teniendo en cuenta la
cantidad y el tipo de producto emitido, se determinar el factor de riesgo especfico. A
modo de ejemplo, tomaremos los siguientes factores:
Tabla de factor de riesgo por producto qumico especfico

Cantidad de producto en la consecuencia indeseada, [lb]
Categora
de Menor a 10 to 100 to 1.000 to 10.000 to
riesgo 10 100 1.000 10.000 100.000 > 100.000
A 6 7 8 9 9 10
B 5 6 7 8 9 9
C 4 5 6 7 8 8
D N/A 4 5 6 7 7
E N/A N/A 4 5 5 5
Tabla 24 Factor de riesgo por producto qumico
Tabla de factor de riesgo por consecuencia. Dependiendo de las bajas personales (o del
impacto medioambiental) causadas por el escenario indeseado, se determinar un factor
de riesgo comprendido entre 4 (riesgo reducido) y 10 (riesgo elevado). La
determinacin de estos factores no es algo evidente y est fuera del alcance de este
proyecto, asumiendo unos factores intuitivos para el desarrollo del proyecto.

Factores reductores del riesgo
Factores por Evento Iniciador

Frecuencia
Factor por
del Evento
Evento Iniciador Evento
Iniciador
Iniciador
(por ao)
Fallo de lazo instrumentado BPCS 1,E-01 1
Fallo de sensor BPCS 1,E-01 1
Fallo de controlador BPCS 1,E-02 2
Fallo de vlvula de control 1,E-01 1
Regulador 1,E-01 1
Fallo de cdigo por modificacin 1,E-02 2
Cambio no autorizado sobre el cdigo de control BPCS 5,E+01 -2
Fallo por accin de operador superior a 1 vez por trimestre 1,E-01 1
Fallo por accin de operador inferior a 1 vez por trimestre 1,E-02 2
Fallo de bomba al descebarse 1,E-01 1
Fallo mecnico del sello simple de bomba 1,E-01 1
Fallo mecnico del sello doble de bomba con alarma 1,E-02 2
Fallo del arrastre magntico de bomba 1,E-02 2
Fallo de la unidad de agua de refrigeracin 1,E-01 1
Prdida de potencia elctrica 1,E-01 1
Fallo general de servicios 1,E-01 1
Intervencin de un tercer sistema 1,E-02 2
Relmpago 1,E-03 3
Fallo por manguera de carga/descarga 1,E-01 1
Ducto de fuga - < 100 m 1,E-03 3
Ducto de fuga - >100 m 1,E-02 2
Fallo de junta de expansin 1,E-02 2
Nm de tubos en Intercambiador de calor <100 tubos 1,E-02 2
Nm de tubos en Intercambiador de calor >100 tubos 1,E-01 1
IEF=1 determinado por el centro tecnolgico & Seguridad de Procesos 1,E-01 1
Tabla 25 Factor por Evento Iniciador
Probabilidad de Exposicin para LOPA

Factor de Factor de
Factor de Exposicin Probabilidad Exposicin
0.01 Probabilidad de Exposicin 1,E-02 2
0.1 Probabilidad de Exposicin 1,E-01 1
Tiempo en riesgo < 10% de tiempo 1,E-01 1
Ninguno 0
Tabla 26 Probabilidad de Exposicin
Rango de masa Gas con poca Gas con Gas con mucha
de la nube de gas probabilidad de probabilidad de probabilidad de
[lb] ignicin ignicin normal ignicin
10-100 3 2 2
100-1.000 3 2 1
1.000-1.0000 2 1 0
10.000-100.000 1 0 0
>100.000 0 0 0
Tabla 27 Factor de Probabilidad de Ignicin

Compartir elementos SIS y BPCS en LOPA
En determinadas circunstancias puede justificarse el hecho de compartir elementos de

un lazo instrumentado de seguridad con disparos que toman crdito en LOPA
ejecutados por el sistema de control bsico BPCS. Esto permite una reduccin de coste
al poder ahorrar la instalacin de instrumentacin adicional.
Si consideramos los siguientes disparos de seguridad BPCS + SIS:
Logica Elemento
Sensor Disparo Final
Sensor
Logica Elemento
Disparo Final
Sensor
Ilustracin 24 Disparo BPCS + SIS
Es posible no instalar el tercer sensor correspondiente al disparo BPCS:
Logica Elemento
Sensor
Disparo Final
Sensor
Logica Elemento
Disparo Final
Sensor
Ilustracin 25 Disparo BPCS
Las reglas para compartir elementos entre SIS y BPCS son:

El lazo SIS puede compartir elementos sensores si existe redundancia. En caso de
que no exista redundancia, el fallo inseguro de un elemento supondra el fallo
inseguro de las dos capas de proteccin.
Compartir elementos sensores que forman parte de lazos instrumentados de
seguridad requiere que la plataforma que establece la Lgica de Disparo aporte
como mnimo el nivel de integridad establecida por la suma de crditos aportado
por las dos capas de proteccin.

Los elementos compartidos debern tratarse como elementos con un nivel de
integridad en seguridad (SIL) de cmo mnimo el inmediato superior. Eso implica
que si tratamos un lazo instrumentado de seguridad SIL-n, los elementos
compartidos debern tener un nivel de integridad para formar parte de SIL-(n+1).
La cobertura de diagnstico (DC) debe ser como mnimo del 90 % para los sensores
compartidos.
Compartir elementos SIS con disparos BPCS acreditados en LOPA podra suponer un
atentado contra el principio de independencia si no considerramos la exigencia de nivel
mnimo SIL. Si se dispone de un lazo SIL-1 + BPCS acreditado, los sensores
compartidos del SIS debern ser SIL-2 y la plataforma de control debe ser capaz de
aportar 2 crditos de forma independiente SIL + BPCS o bien deberan ser programados
bajo plataforma SIL-2.
Compartir elementos supone un incremento en fiabilidad de proceso pues se evita el uso
de configuraciones 1oo1.
En el caso de compartir elementos que forman parte de alarmas y disparos acreditados
en LOPA, debern ser tratados como SIL-2 y programados en plataformas de control
independientes o SIL-2. Una amplia cobertura de diagnstico tambin ser un requisito
indispensable para compartir elementos soportados bajo BPCS.


Anexo B: Diseo del sistema de control
Arquitectura de la plataforma de control
La plataforma de control ABB Industrial IT con alta integridad en la seguridad SIL-2 se
puede considerar que se distribuye en diferentes zonas dependiendo del tipo de tareas y
de informacin que gestionan. La siguiente figura representa la distribucin de zonas de
la plataforma de control:
Workplaces
(Thin clients)
Internet
Workplaces Firewall
(Thin or rich
clients)
Zona 4 Plant Intranet
Server Workplaces
(Rich clients)
Router
Client/server
Network
Servers
Zona 3
Control Network
Controllers
Zona 2
Fieldbus
Field devices
Zona 1
Ilustracin 26 Arquitectura de la plataforma de control
Se define cada zona de la siguiente forma:
- Zona 1: Dedicada a todos los equipos, alimentaciones y cables para poder

trasladar la informacin entre cuadro, las unidades de control y el proceso.
- Zona 2: Contiene la estructura necesaria para gestionar el control del proceso y
trasladar informacin a los servidores de gestin de datos.

- Zona 3: El objetivo de esta zona es historizar, representar, comunicar a la
estructura de control, etc. toda la informacin necesaria para llevar a cabo los
procesos de la planta.
- Zona 4: La ltima zona contempla una estructura para poder observar el proceso
o para controlarlo de forma remota. Adems se pueden incluir sistemas de
control ptimo para tomar decisiones sobre el proceso.
Estructura de las zonas 1&2

La plataforma de control ABB Industrial IT determina una configuracin especfica
para instalar sistemas tanto de alta integridad en la seguridad como de control de
proceso bsico. En este proyecto, la plataforma del sistema de seguridad SIS ser
distinta de la del control bsico BPCS. Esta exigencia viene dada por la certificacin
SIL de la plataforma de ABB, que es SIL-2, lo que nos permite solamente utilizar 2
crditos LOPA en un controlador de alta integridad, de modo que para un escenario en
el que sean necesarios 3 crditos LOPA SIL-2 + BPCS, es necesario programar el lazo
BPCS en un controlador de baja integridad o BPCS que proporciona 1 crdito LOPA.
ABB certifica un nivel de integridad de hasta tres crditos (SIL-3), pero como resultado
del anlisis LOPA, se obtiene que el mayor nivel requerido es SIL-2.
Controlador SIS PM865
El mdulo de control que puede tener certificacin SIL-3 es el PM865. El puede

viene determinado por la instalacin de un mdulo de seguridad (Safety Module). En el
caso en que no se instale el mdulo de seguridad, el nivel de integridad en la seguridad
ser bsico (como si se tratara de un BPCS). En cambio, en el diseo de nuestro sistema
debemos contemplar que al menos se disponga de un SIL-2 y por tanto, se hace
obligatorio instalar una SM810. En el caso en que se requiriera un nivel SIL-3, la
instalacin del mismo mdulo de control junto con la SM811 sera obligatoria. Adems,
se considerar redundancia de equipos para obtener ms fiabilidad en el proceso.
Otra exigencia que se desprende por requerir un sistema de seguridad es el tipo de bus
de campo (FieldBus). La exigencia por parte del fabricante es utilizar el Optical
ModuleBus. sta comunicacin nicamente ser posible entre las unidades de control

(PM865) y los mdems de fibra ptica instalados en cada clster para distribuir la
informacin entre las diferentes tarjetas de entrada y salida.
La propuesta para el controlador de seguridad se puede observar en la siguiente
ilustracin:
Ilustracin 27 Comunicacin entre controladores y mdulos E/S
En el diseo del proyecto, no consideraremos la comunicacin FCI (del ingls Fieldbus

Communication Interface) y la conversin a Optical ModuleBus al tener disposicin de
este tipo de comunicacin directamente desde los mdulos de control.
Los clsteres se instalarn en armarios cercanos a la ubicacin de los armarios donde
residen los mdulos de control. Cada armario dispondr de un mximo de 7 clusters. El
mdem de ModuleBus ptico tiene una capacidad de gestionar hasta 6 mdulos de
entrada y salida (E/S). Las unidades de E/S se comunican a travs del mdem (TB840)
con las unidades de control (PM865) mediante comunicacin ptica ModuleBus. La
informacin en cada clster fluye a travs de una comunicacin elctrica ModuleBus
desde el mdem hasta cada unidad de entrada y salida.
Las seales de entrada y salida irn a unas cajas de interconexin para establecer los
lazos de instrumentacin con los elementos de campo.

Controlador BPCS PM866
En el caso del controlador de baja integridad BPCS para el que se elige el modelo
PM866, la comunicacin con las tarjetas de entrada/salida se realiza va ProfiBus, ya
que no es exigible Optical ModuleBus para controladores de proceso bsicos.
Los clsteres se instalarn en armarios cercanos a la ubicacin de los armarios donde
residen los mdulos de control. Cada armario dispondr de un mximo de 7 clusters. El
mdem ProfiBus CI854 tiene una capacidad de gestionar hasta 6 mdulos de entrada y
salida (E/S). Las unidades de E/S se comunican a travs del mdem (CI840) con las
unidades de control (PM866) mediante comunicacin ProfiBus. La informacin en cada
clster fluye a travs de una comunicacin elctrica ProfiBus desde el mdem hasta
cada unidad de entrada y salida.
La propuesta para el controlador bsico de proceso se puede observar en la siguiente

ilustracin:

Ilustracin 28 Comunicacin entre controladores y mdulos E/S
Ilustracin 29 Distribucin en armario de control
Comunicacin CEX
La comunicacin interna entre las unidades de control y otros mdulos de
comunicaciones se efecta a travs del CEX bus (del ingls Communication Expansion

Bus). La conexin se efecta por un conector lateral situado en la unidad de control.
Para poder efectuar la expansin del bus, se recomienda la instalacin del mdulo de
interconexin del Bus CEX (BC810) a travs del cual se efectuar la conexin del
mdulo de seguridad y los que en un futuro se pudieran aadir, como mdulos de
comunicacin ProfiBus, MasterBus 300, etc.
La configuracin redundante del sistema de control, exige que haya una correcta
conexin entre el sistema primario y el secundario. Para ello se hace uso del cable
conocido como cable de conexin redundante bajo el acrnimo RCU (del ingls
Redundant Control Unit). La conexin de las unidades ser la misma que se
representa a continuacin:
Ilustracin 30 Conexin del cable RCU
En la figura se puede observar un ejemplo de conexin de la unidad primaria y

secundaria, donde cada unidad se compone (de derecha a izquierda) de un mdulo de
control (PM865/PM866), un mdulo extensor de Bus CEX (BC810), un mdulo de
seguridad (SM810) y otros mdulos de comunicacin que en nuestro caso no sern
necesarios.

Para cerrar la comunicacin interna CEX, es necesario instalar un conector de final de
bus en el ltimo mdulo conectado.
Comunicacin ModuleBus
La comunicacin de fibra ptica dispone de dos cables para la transmisin Tx y
recepcin de datos Rx formando un anillo en todo su recorrido.
Ilustracin 31 Conexin Optical ModuleBus
La comunicacin de los mdulos de control con los mdems de fibra ptica ModuleBus
se efectuar en margarita tal como se expone en la siguiente figura:

Ilustracin 32 Conexin de clsteres
Puede prestar a confusin el comentario Maximum of 12 x IO units ya que

previamente se ha comentado que cada clster tena capacidad de gestionar hasta 6
unidades. Esta simplificada afirmacin haca referencia a que la capacidad mxima de
gestin se reduce a 6 unidades de E/S en modo redundante. La expresin de la figura
trata del nmero total de mdulos instalados (6 x 2).
Comunicacin ProfiBus
La comunicacin ProfiBus dispone de un cable tipo ProfiBus para la transmisin Tx y
recepcin de datos Rx formando un anillo en todo su recorrido.

Ilustracin 33 Panel ProfiBus con seleccin de direcciones
Ilustracin 34 Panel ProfiBus, conexin de cableado
La comunicacin redundante de los mdulos de control con los mdems de ProfiBus se

efectuar tal como se expone en la siguiente figura:

Ilustracin 35 Distribucin cableado ProfiBus
Alimentacin del sistema de control
Arquitectura de la red de alimentacin (zonas 1&2)

La plataforma de control ir alimentada a travs de dos sistemas de alimentacin
ininterrumpida SAI que toman tensin del panel de distribucin principal.
La existencia de alimentaciones redundantes debe considerar un conexionado sobre la
plataforma de control que respete esta redundancia.
Desde el panel de distribucin principal se distribuir 220 VAC a los armarios donde
residirn los mdulos de la plataforma de control. Los armarios estarn equipados con
una fuente de alimentacin ABB SD823, que suministrarn 24 VDC/10 A.
ABB comercializa un dispositivo de gran utilidad (SS823) que se adapta perfectamente
a las exigencias de alimentacin redundante que solicitamos para alimentar los
diferentes dispositivos de hardware dedicados al control del proceso.
La unidad SS823 est especialmente diseada para ser empleada como unidad de
supervisin de alimentaciones. La salida del dispositivo es una tensin supervisada lista
para ser conectada a los mdulos especficos. Adems proporciona seales de
diagnstico del estado de las alimentaciones de entrada.
El siguiente diagrama de bloques representa el funcionamiento bsico de esta unidad. La
seal A+ ser la entrada al mdulo procedente de la fuente de alimentacin SD823. La
salida L+ y L- irn conectadas a los mdulos.

Ilustracin 36 Esquema del SS823
Las seales de diagnstico las llamaremos SA y SB haciendo mencin al sistema A y al

sistema B respectivamente.
Los interruptores de corte o Breakers se instalarn en una caja de interconexin
intermedia prxima a las estaciones donde se ubicarn los sistemas de alimentacin
ininterrumpida.
Ilustracin 37 Arquitectura de alimentaciones sobre los mdulos de hardware
En la siguiente figura se puede ver representada la configuracin de los mdulos

comentados para asegurar una correcta y redundante alimentacin de los sistemas.

Ilustracin 38 Arquitecturas de alimentacin de mdulos
Los dispositivos propuestos cumplen con las exigencias del IEC 61508.
Las seales de diagnstico deben distribuirse a lo largo de todas las unidades que
constituyen la zona 1 para activar una alarma informativa y poder tomar una accin
correctiva.
Las bases donde se enclavan las unidades de control TP830 disponen de un conector que
integra una alimentacin externa y dos seales de diagnstico para cada sistema
alimentacin (L+, L-, SA, SB).
Para disponer de total redundancia en alimentaciones, se efecta la instalacin de 2
mdulos SS823. La conexin de estos sistemas quedar como se establece
seguidamente:

SAI-1 SAI-2
Fuente de Fuente de
alimentacin alimentacin
+VCC +VCC
A+ L- A+ L-
SA SB
SS823 SS823
L+ L+ L+ L+
+ - + -
PM865 PM865
L+ L- SA SB L+ L- SA SB
Ilustracin 39 Convencin de alimentacin de PM865 redundante
Como se puede observar, la unin de las dos alimentaciones se efecta en el mismo

conector de alimentacin de la base donde reside el controlador TP830. Los
interruptores de seguridad electrnicos utilizados sern los Phoenix Contact ECP. stos
desvan a tierra su salida cortocircuitada. La funcin de los diodos es evitar que la red de
alimentacin redundante caiga cuando acontece un cortocircuito y el contacto de
Phoenix ejecute su proteccin, mandando ambas alimentaciones a tierra.
La alimentacin de los mdems de comunicacin ptica ModuleBus y ProfiBus se
efectuar de forma anloga a la expresada en la ilustracin ya que en la base de los
mdem para E/S redundante TU840 se dispone del mismo tipo de conector que en el
caso anterior. La diferencia bsica ser que existe un nico conectar comn para los dos
mdems de modo que nicamente se conectar al borne L+ la alimentacin procedente
del sistema A y la alimentacin procedente del sistema B (en vez de dos alimentaciones
de cada sistema tal como se expresa en la ilustracin mostrada).

Comunicaciones
La ilustracin 25 mostraba el modelo de zonas de la plataforma de control. En ella se

distinguen bsicamente tres redes: la red de control, la red de cliente y servidor y la red
de planta.
Red de control
La red de control es una red de rea local LAN optimizada para una comunicacin
fiable y de alto rendimiento. Los elementos que se conectan a la red de control son los
mdulos de control y los servidores de conectividad.
La red de control se basa en el mecanismo cliente/servidor. Utiliza el protocolo MMS
(del ingls Manufacturing Message Specification) sobre RNRP (del ingls
Redundant Network Routing Protocol), desarrollado por ABB y especialmente
diseado para sus redes de automatizacin. La red RNRP est basada en el protocolo
IPv4. El protocolo permite redes fsicamente redundantes incluyendo tarjetas de red en
cada nodo. En el caso de aparicin de un error en la red, RNRP actualiza el nodo
afectado mediante su tabla de rutina IP con la direccin correcta referente al elemento
redundante en un tiempo establecido (por defecto se define a 1 s).
Una red que utiliza RNRP est constituida por una o varias zonas de red (Network
Areas). La zona de red es una estructura plana que no requiere routers. Cada zona de red
contiene dos direcciones IP independientes distinguidas por un nmero de canal o path.
El canal 0 hace referencia a la red primaria y el canal 1 a la red secundaria.
Como se efecta en cualquier nodo de una red TCP/IP, la identificacin viene dada por
su direccin IP de 32 bits (4x8 bits) que suele representarse en la forma X.Y.Z.Q con
cuatro valores decimales comprendidos entre 0 y 255.
La direccin IP consiste en una parte que identifica a la red como NetID y otra IP al
nodo como HostID. La mscara de subred determina el nmero de bits de la direccin
IP dedicados a determinar la NetID y la HostID.
Dependiendo del valor de X, las direcciones IP se dividen en tres clases:

Direccin IP en
XXXXXXXX.YYYYYYYY.ZZZZZZZZ.QQQQQQQQ
formato binario
Calse A NetID HostID
Clase B NetID HostID
Calse C NetID HostID
Valor de Rango de Mscara de

Clase NetID HostID
X direccines HostID subred
A 1-126 X Y.Z.Q X.0.0.1 - X.255.255.254 255.0.0.0
B 128-191 X.Y Z.Q X.Y.0.1 - X.Y.255.254 255.255.0.0
C 192-223 X.Y.Z Q X.Y.Z.1 - X.Y.Z.254 255.255.255.0
Tabla 28 Clases de direcciones IP
El nodo funcionando bajo RNRP se configura bajo los siguientes parmetros:

Zona de red: 0 31
Nmero de nodo: 1 500
Nmero de canal: 0 1
Las reglas a seguir de forma obligada para definir estos parmetros son:
1.- El nmero de nodo debe ser el mismo que el HostID.
2.- Todos los nodos definidos en una misma NetID deben corresponder a un mismo
canal en una zona de red determinada para poder ser observados entre ellos.
Debido a la limitacin de nmeros de nodos por red, los valores mostrados en la Tabla
28 no estarn disponibles en su totalidad. Si tomamos como ejemplo una direccin de
clase B como X.Y.12.13, el nmero de HostID ser 12*256+13 = 3085. Debido a que
este valor es superior a 500 esta direccin no sera vlida.
Por convencin de proyecto, para una direccin IP A.B.C.D se definen los parmetros
RNRP de la siguiente forma:
A . B . C . D
XXXXXXXX . XXXXXXPP . LAAAAANN . NNNNNNNN
Donde,
XXXXXXXX.XXXXXX Nmero de red
PP Nmero de canal
L Define si la red es local
AAAAA Nmero de zona de red
NN.NNNNNNNN Nmero de nodo

Por tanto, para unos parmetros definidos como los siguientes
N1.N2 Identificador de red

Canal Canal Path
rea Nmero de zona de red
Nodo Nmero de nodo
Definiremos la direccin IP como sigue:

A = N1
B = N2 + Canal
C = 4*rea
D = Nodo
Convencin de parmetros para el proyecto
Para la red de control, definiremos los siguientes parmetros:

Base de direcciones (Identificador de red) del canal 0 ser 172.16.0.0 y 172.17.0.0 para
el canal 1, con mscara de subred de 255.255.252.0
Nmero de rea = 1
Nodo inicial para servidores = 5
Nodo inicial para controladores = 64.
Por tanto, el nodo N tendr la direccin 172.16.4.(63+N) para el canal 0 y
72.17.4.(63+N) para el canal 1.
Ilustracin 40 Convencin de direcciones IP para la red de control

Red de cliente/servidor
La red de cliente/servidor sirve para comunicar los servidores entre ellos y entre las
estaciones de trabajo y servidores. Se trata de una red privada IP que utiliza direcciones
IP estticas.
En nuestro proyecto definiremos dos redes IP para obtener redundancia en la
comunicacin. Teniendo en cuenta la recomendacin de ABB para la asignacin de
redes, definiremos la siguiente convencin de diseo:
Direccin base de la red primaria ser 164.155.130.0 y 192.168.0.0 para la secundaria
con la mscara de subred 255.255.252.0.
Nmero de rea = 10
El nodo inicial para servidores ser el 2, de modo que el nodo N tendr la direccin
164.155.130.(2+N).
El nodo inicial para estaciones de trabajo ser 21.
Ilustracin 41 Convencin de direcciones IP para la red de cliente/servidor y control

Lazos de instrumentacin
En funcin del tipo de elemento conectado a la plataforma de control, estableceremos
una convencin en diseo teniendo en cuenta las caractersticas y las posibilidades de
los mdulos de E/S. Bsicamente, trataremos con cuatro tipos de mdulos:
Seales de lectura analgica

La lectura de las variables de proceso se efectuar mediante lazos de corriente variable
en el rango de 4 20 mA. Se debe diferenciar entre elementos pertenecientes a
funciones instrumentadas de seguridad y lazos de control del proceso. Dependiendo del
tipo de instrumento conectado, puede interesar alimentar el lazo de instrumentacin
desde el mdulo de E/S o disponer de una alimentacin sobre el instrumento externo.
De forma general, y en la medida de lo posible, trataremos el lazo de instrumentacin
dispuesto con un instrumento pasivo, es decir, instrumentacin que no aporte tensin al
lazo y que efecte una variacin de la corriente en funcin de la medida.
La plataforma ABB Industrial IT 800xA dispone de una variedad ms o menos grande
de mdulos de E/S para la lectura de seales, pero nosotros consideraremos bsicamente
dos tipos: AI845 para seales analgicas de entrada y AI880 para seales analgicas de
entrada de alta integridad.
El mdulo AI880 ser empleado en aquellas seales procedentes de instrumentos cuyo
valor y estado forma parte de una funcin de seguridad SIF.
Ambos mdulos de entradas analgicas disponen de una capacidad de hasta 8 canales
configurables de 020 mA y 420 mA con una resolucin de 12 bits. Cada canal
dispone de 24 VDC para alimentar instrumentacin pasiva. En funcin de cmo se
efecte el cableado de la seal de campo a la base del mdulo TU845, se podr
considerar instrumentacin activa o pasiva. La siguiente figura representa los
conexionados tpicos que podemos contemplar. Debido a que se utiliza la misma base en
un mdulo y otro, la siguiente ilustracin es extrapolable al mdulo AI845.

Ilustracin 42 Conexionados tpicos sobre mdulos de seales analgicas de entrada
En el proyecto definiremos las siguientes configuraciones para el caso activo y pasivo

respectivamente:
Ilustracin 43 Convencin de conexin de Ilustracin 44 Convencin de conexin de

instrumentos pasivos instrumentos activos

La alimentacin proporcionada por el mdulo est supervisada y dispone de un limitador
de corriente de 800 mA como mximo. La resistencia que se representa es conocida como
Shunt y ejerce dos funciones bsicas: proteccin electromagntica ante presencia de
EMIs y convertidor de corriente a tensin en la entrada del mdulo analgico. El valor de
esta resistencia es de 250 W.
Los cables se distribuirn a una regleta de interconexin con disposicin de fusible de 100
mA como mximo conectado al positivo del lazo. En el caso de tratarse de un instrumento
pasivo, se conectar al borne Bi, en el caso de conectar un instrumento activo, en el borne
Bi+1.
Seales de lectura digital

El mdulo que utilizaremos ser el DI840 para seales de proceso o bien el AI880 para
seales de alta integridad. Estos mdulos disponen de 16 canales para seales de 24 VDC
con fuente de corriente. El rango de tensiones de entrada es de entre 18 y 30 VDC y
corrientes de 7 mA a 24 VDC.
La siguiente ilustracin muestra los conexionados tpicos sobre una base TU830:
URV AUTOMATIZACIN DEL PROCESO DE REGENERACIN DE UN REACTOR QUIMICO - 139/173

Ilustracin 45 Conexionados tpicos sobre mdulos de seales digitales de entrada
Podemos considerar diferentes tipos de seales digitales de entrada, pero en el proyecto

nicamente trataremos con contactos pasivos. Casos tpicos son el uso de contactos,
optoacopladores o interruptores de proximidad, adems de rels interpuestos. La
configuracin utilizada ser la siguiente:
Ilustracin 46 Convencin de conexin de seales digitales de entrada

Del mismo modo que se efecta en las seales de lectura analgicas, se interconectar un
fusible en el terminal positivo Bi, Bi+1 de 100 mA.
En el caso de las vlvulas y motores de alta integridad, sus confirmaciones de estado irn
conexionados a mdulos de lectura de seal digital pues la confirmacin de marcha de un
elemento que forma parte de un lazo SIS, no forma parte del lazo de seguridad. El estado
de cmo est el elemento no forma parte de la funcin de seguridad, aunque s la seal de
salida y su diagnstico.

Seales de salida digital de alta integridad
Las seales que formen parte de un lazo de seguridad SIS requieren ser conectadas a
mdulos de alta integridad. Para el caso de las seales de salida digitales se utilizar el
mdulo DO880. Este mdulo dispone de 16 canales de 24 VDC con capacidad de
suministrar una corriente con limitador de 500 mA. En el caso en que la carga haga exceder
los 600 mA, el suministro de corriente se corta y una alarma de diagnstico se activar.
Para diagnosticar el estado del lazo de instrumentacin, el mdulo efecta un clculo de
impedancia en la lnea para determinar si el lazo se encuentra en cortocircuito (0 W - 400
W) o bien en circuito abierto (100 W - 2000 W). Por otro lado, dispone de una consigna de
alarma por corriente para determinar si existe cortocircuito con la salida energizada
(100 mA 160 mA) o bien en circuito abierto con la salida desenergizada (0 mA 160
mA). Las conexiones tpicas sobre la base (TU843) se efectuarn como se ilustra a
continuacin:

Ilustracin 47 Conexionados tpicos sobre mdulos de seales digitales de salida
Los elementos de salida contemplados en el proyecto sern solenoides para la actuacin de

vlvulas o rels que darn la orden de arranque y paro sobre centros de control de motores.
La conexin tpica ser la siguiente:
Ilustracin 48 Convencin de conexin de seales digitales de salida

Seales de salida digital
Las rdenes ejecutadas desde el sistema de control a los actuadores de vlvulas todo-nada u
rdenes de arranque y paro de motores sobre un CCM que no formen parte de un lazo de
seguridad se efectuarn a travs del mdulo de salida digital DO840. Del mismo modo que
ocurra con el mdulo de salida de alta integridad, ste dispone de 16 canales de 24 VDC
con una corriente mxima limitada hasta 500 mA. En este caso, si existe sobrecarga, la
corriente de salida ser limitada pero no cortada. En el caso en que la temperatura ascienda
en esta circunstancia, la salida cortar el suministro de corriente hasta que la temperatura
del mdulo no descienda de los 150 C. La base utilizada para este mdulo es igual que la
utilizada en la AI880, con lo que la conexin de los elementos de salida ser anloga a los
representados anteriormente.
Como medida de proteccin adicional, en este tipo de seales instalaremos un fusible de
500 mA en el terminal Cn. En el caso de las seales de alta integridad es optativo, pero la
determinacin tomada por el proyecto ha sido evitar esta proteccin adicional y considerar
nicamente la que aporta el mdulo electrnicamente.
Seales de salida analgicas de alta integridad

La plataforma de ABB Industrial IT 800xA no suministra mdulos de salida analgicos de
alta integridad. Conceptualmente, el disparo de seguridad de un elemento debe ser tratar
elementos de corte para una actuacin determinada. Por tanto, no tiene sentido disponer de
un mdulo de salida de este tipo. En el caso en que un elemento de salida analgico debiera
formar parte de un lazo de seguridad, se debera buscar una alternativa para crear la
funcionalidad semejante a una seal de salida discreta: disparar por seguridad una vlvula
controladora debera efectuarse mediante la interconexin de una solenoide que
desenergizar o extraer la presin neumtica de la vlvula para llevarla a su posicin de
seguridad. Obviamente, debera existir una conexin a un solenoide desde una DO880 y
tratarla con la rigurosidad merecida.
El mdulo de salida AO845 suministra 8 canales de 420 mA con una resolucin de 12
bits. La carga mxima permitida es de 750 W. La conexin que se establecer para este tipo
de seales ser la siguiente:

Ilustracin 49 Conexionados tpicos sobre mdulos de seales analgicas de salida
Repeticin de seal. Lazos particulares.

En determinadas ocasiones es necesario cablear repetidamente una misma seal a dos
controladores o ms mdulos de entrada y salida. La justificacin de efectuar este tipo de
lazos viene dado por los siguientes puntos:
Elemento sensor compartido en diferentes lazos de seguridad programados en diferentes
plataformas de control. Las funciones que forman parte de los lazos de seguridad
instrumentados SIS pueden disponer de los mismos elementos sensores. Esta circunstancia
se dar nicamente cuando los lazos surjan en diferentes escenarios. Si no fuera de ese
modo, deberamos tratar lazos de mayor integridad.
Elemento sensor que forma parte de un lazo de seguridad y comparte disparos no
acreditados en LOPA para proteger equipos. Todo elemento que es programado en zona
SIS tiene su representante, como elemento virtual, en la zona de cdigo de proceso bsico

BPCS. El retardo inducido por la comunicacin MMS puede atentar contra la integridad de
un equipo. La justificacin vendr dada si una variable de proceso debe ser considerada
con alta integridad en la seguridad y la misma debe activar un disparo en otro equipo en un
intervalo de tiempo reducido (< 2 s).

Anexo C: Estructura de cdigo en el sistema 800xA
Industrial IT
ABB Industrial IT 800xA tiene una programacin orientada a objetos. Los objetos
definidos a nivel de librera, sern posteriormente instanciados en la aplicacin de control.
En cada aplicacin, se podrn instanciar objetos CMO (del ingls Control Module
Object) o definir nuevos mdulos de cdigo SCM (del ingls Single Control Module).
La diferencia bsica entre los llamados CMO y los SCM es la repetitividad en cdigo: si un
objeto (como puede ser una vlvula) va a ser utilizado mltiples veces en la aplicacin, lo
coherente sera generar una librera mediante un CMO que defina el comportamiento de la
misma; contrariamente, si nicamente hay dos tanques, y existen diferencias sustanciales
entre ambos, ser ms til definir el comportamiento de cada uno mediante dos SCM, uno
para cada tanque.
La variabilidad de comportamiento de un objeto es contraria a la idea del uso de libreras
pues, considerar excesivos modos de funcionamiento hace enrevesada y complicada la
implementacin de un objeto.
Cada objeto dispone de dos tipos de variables en funcin del destinatario de su contenido:
Parmetros: son variables que permiten extraer informacin del interior de un
objeto hacia el exterior o introducir informacin del exterior procedente de otros
objetos o reglas calculadas en una jerarqua superior o al mismo nivel.
Variable: Las variables internas de un objeto permiten efectuar clculos internos
para definir el funcionamiento del objeto particular en funcin de parmetros u
otras variables internas. Pueden ser vistas por los hijos del objeto pero no por sus
vecinos al mismo nivel.
Como se puede apreciar, los objetos se distribuyen de forma jerrquica: los elementos ms
bsicos se encontrarn a menor nivel que los objetos que han sido constituidos por
mltiples objetos simples u objetos compuestos.
En el siguiente ejemplo, se puede observar la estructura jerrquica que caracteriza el
lenguaje de programacin de ABB Industrial IT 800xA:

Ilustracin 50 Estructura de cdigo
El comportamiento de cada objeto se puede definir de mltiples formas: lgica de

contactos, diagramas de funciones, cdigo estructurado, etc. Dentro de cada objeto, adems
de definir los parmetros de entrada y salida y las variables internas, se define el cdigo en
pestaas o Sheets. Podrn existir tantas pestaas como se requiera, pero normalmente se
definirn segn el siguiente criterio:
Input code: Esta pestaa de cdigo servir para asignar a las variables internas del
objeto el valor de los parmetros con el fin de introducir datos desde el exterior para
determinar la configuracin y el funcionamiento del mismo.
Output code: La informacin del objeto necesaria en otros objetos de su misma o
superior jerarqua deben ser enviados por parmetro hacia el exterior. As, los
parmetros de salida tomarn por valor el estado de las variables internas calculadas
en base a los parmetros de entrada y cdigo propio del objeto.
Code: En determinadas ocasiones se har uso de bloques de funciones definidos
en el sistema que requieren la asignacin de mltiples variables y devuelven
mltiples variables. Estas funciones son los llamados Function Blocks. Un
ejemplo claro de este tipo de funciones son los temporizadores (Ton, Tof, etc.). No
se debe confundir los bloques de funciones con funciones bsicas. Normalmente,
las funciones bsicas nicamente devuelven una sola variable en funcin de otras.
Ejemplos de funciones bsicas son las conversiones de tipo de datos (eg.
Dint_To_Bool). La asignacin de parmetros al bloque de funcin siempre se
pondr en esta pestaa de cdigo.

Start_Init: Cuando el nombre de la pestaa es Start_Init, el sistema entiende que
debe ejecutar este cdigo la primera vez tras descargar el programa en el
controlador. Despus, el cdigo de esta pestaa no se volver a ejecutar a no ser que
se reinicie el controlador. El clculo de nombres de objetos de jerarqua inferior o
consignas de alarmas pueden residir en esta pestaa al no ser necesario el clculo
continuado.
En determinadas ocasiones ser necesario comunicar va MMS el estado de determinadas

variables existentes a otras aplicaciones. As, la convencin de cmo efectuar esta
comunicacin se detalla en el apartado Comunicacin entre aplicaciones (MMS) de este
mismo anexo. Existir un SCM dedicado exclusivamente a las funciones de comunicacin
y en l se determinar, mediante dos pestaas de cdigo, la asignacin de variables a los
canales de comunicacin:
CommIn Code: Asignacin de las variables del canal de comunicaciones a las
variables o parmetros necesarios en la aplicacin.
CommOut Code: Asignacin a las variables de comunicacin del estado de
variables o parmetros a comunicar hacia otras aplicaciones.

Los tipos de datos que se pueden tratar en el entorno de programacin son los mismos que
los disponibles en la mayora de lenguajes de programacin en alto nivel. Todas las
variables ocupan 32 bits en memoria:
Bool: Tipo de dato que puede tomar el valor falso o cierto. La palabra clave on
o el valor entero 1 es equivalente al valor cierto; contrariamente, la palabra clave
off o el valor 0 equivale al valor falso.
Int: Tipo de dato entero con signo (16 bits con signo incluido) con rango -32768 a
32767.
Uint: Tipo de dato entero sin signo (16 bits sin signo incluido) con rango 0 a
65535.
Dint: Tipo de dato doble entero con signo (32 bits incluyendo el bit de signo) con
rango -231 a 231-1.
Word: Tipo de dato que se refiere a una cadena de 16 bits.
Dword: Tipo de dato que se refiere a una cadena de 32 bits, donde el bit de
mayor peso se gestiona como bit de signo.
Real: Tipo de dato que puede contener un rango de valores comprendido entre
1038. La sintaxis para la representacin es:
[{}{Parte entera}{Parte fraccional} e {parte exponencial}]
String: Tipo de dato que contiene una cadena de caracteres.
Los tipos de datos estructurados permiten integrar en una variable o en un parmetro un

conjunto de variables de diferentes tipos para hacer ms fcil la programacin de los
objetos. Normalmente, todos los objetos dispondrn de los siguientes parmetros:
Name: Ser una variable de tipo string[20] que determinar el nombre del objeto.
Description: Ser una variable de tipo string[40] que contendr la descripcin del
objeto.
Link: El contenido de esta variable dispondr de todos los parmetros de entrada
y de salida al objeto. Ser un tipo de dato estructurado que variar en funcin del
objeto que se est tratando. Normalmente, cada objeto dispondr de su propio tipo
de datos.
Para el caso especfico de las variables que contengan informacin de seales de entrada y
salida, existe un tipo de variable estructurada que engloba el estado de la seal y el valor de

medida que dispone. En funcin del tipo de seal de entrada y salida, se dispondr de dos
tipos estructurados diferentes:
RealIO: Tipo de dato estructurado que dispone de toda la informacin necesaria
para conocer, desde la aplicacin de control, el estado de variables de entrada y
salida de tipo analgicas (AI y AO). Se compone de las siguientes variables:
o IOValue: Variable de tipo Real que contiene la medida de la seal
procedente de campo.
o Value: Variable de tipo Real que contiene la medida de la seal
procedente de campo filtrada o manipulada (forzada). Esta variable es la que
normalmente utiliza la aplicacin de control.
o Forced: En ocasiones puede interesar efectuar un forzado de la seal de
entrada, falsificando su valor a uno ms apropiado desde la perspectiva
operacional, sobretodo, desde la perspectiva de fiabilidad de proceso. As,
cuando un instrumento est forzado, la variable Value toma por valor el
indicado por el operador desde la interfaz de usuario, obviando el valor de
IOValue. Esta variable de tipo Bool se indica con cierto cundo esta seal
est siendo forzada.
o Status: Variable de tipo Dword que contiene el estado del mdulo E/S en
una palabra de 32 bits, donde cada bit supone la activacin de un flag para
suministrar informacin de hardware a la aplicacin.
o Parameters: Variable de tipo estructurada (SignalPar) que dispone de:
Max: Variable real que indica el rango mximo de la variable
RealIO.
Min: Variable real que indica el rango mnimo de la variable
RealIO.
Units: Variable de tipo string que indica las unidades de proceso
de la variable RealIO.
BoolIO: Tipo de dato estructurado que dispone de toda la informacin necesaria
para conocer, desde la aplicacin de control, el estado de variables de entrada y
salida de tipo digital (DI y DO). Se compone de las mismas variables que la
RealIO, pero sin considerar la variable Parameters.
Enlace entre el hardware y la aplicacin de control

La informacin de proceso es captada por la instrumentacin distribuida en campo y
transmitida a la aplicacin de control para su visualizacin y posterior toma de decisin, de
forma automtica o por personal de operacin.
El instrumento acta como un transductor electrnico que convierte las unidades de
proceso en unidades de medida. Tal como se observ en el Captulo 2, en Definicin de la
instrumentacin asociada al proceso, los tipos de lazos de instrumentacin contemplados
son de corriente 420 mA o bien, de tensin 0-24 VDC. La factorizacin de las unidades
de medida a unidades de proceso se efecta en los mdulos de entrada y salida del sistema
de control, o tarjetas de I/O. Entre diferentes datos, en los mdulos de E/S se definen los
siguientes parmetros para cada seal de entrada:
Rango del instrumento y unidades de proceso. Se determina el rango de medida
activo del instrumento para efectuar la factorizacin de forma correcta. Se
menciona rango activo pues el instrumento puede tener posibilidad de cubrir un
amplio margen en la medida en la variable de proceso, pero sin embargo suministra
un determinado rango de medida configurado para un proceso particular.
Consigna de saturacin del instrumento. La consigna de saturacin del instrumento
podr ser habilitada o no teniendo en cuenta la inteligencia del instrumento (Smart
Instrument). Se define una situacin de saturacin del instrumento cuando la
variable de proceso est fuera de los rangos operacin, enviando en este caso, un
valor de corriente comprendido entre 3.6 mA y 4 mA. Normalmente, si el
instrumento es inteligente, se definir a 3.8 mA la consigna sobre las unidades de
medida.
Consigna de fallo de instrumento. La consigna de fallo del instrumento permitir
conocer cundo el instrumento ha detectado una anomala en su funcionamiento y
se ha puesto fuera de servicio enviando una corriente de menos de 3.6 mA. De ese
modo, el sistema de control entiende que el instrumento se encuentra fuera de
servicio y ejecuta alguna la accin de ir al lado ms seguro: degrada la
configuracin de disparo para el caso redundante, o dispara una alarma o una
proteccin en caso necesario.
Habilitacin de la funcin raz cuadrada sobre la seal de medida. En determinados casos
puede interesar habilitar la funcin raz cuadrada sobre el valor de medida, dependiendo de
la inteligencia del instrumento. El caso tpico es el de los caudalmetros de orificio muy
extendidos en el mbito industrial. El caudal volumtrico depende de las caractersticas del

producto, de la tubera y del orificio; pero tiene una dependencia directa de la presin
diferencial:
Q = K dP
Existen transmisores de presin con capacidad de efectuar la raz cuadrada y suministrar
un valor con dependencia lineal, lo cual es el caso ideal a utilizar, pero en algunos casos,
esa tarea se reserva para el sistema de control.
Las seales de salida del sistema de control sern tambin de naturaleza 020 mA o 0-
24 VDC tal como se defini en la Seccin 3. Los parmetros configurables sobre el
mdulo de E/S sern:
Rango de salida y unidades de proceso. Se determina el rango de la seal de salida
y las unidades para las seales de escritura analgica.
Asignacin de salida como predeterminada OSP (del ingls Output Set as
Predetermined). Permite disponer de un valor de salida predefinido cuando se
detecta una anomala en el mdulo de salida o se pierde la comunicacin con el
controlador. Existe la posibilidad de configurar la salida de modo que mantenga el
ltimo valor que dispona justo antes de detectar la anomala.
Habilitacin de seal invertida. Cuando existen elementos que funcionan con lgica
negada (como podra ser una vlvula a fallo abre), el mdulo permite ser
configurado para que invierta la orden recibida desde la aplicacin de control. Esto
permite una misma convencin para determinar siempre elemento activo y
elemento no activo en el programa de control (lgica positiva: 1 activo, 0 no
activo) independientemente de las caractersticas especficas del dispositivo
conectado.
La siguiente figura trata de representar el camino que lleva una variable medida en campo
hasta que se introduce en el cdigo de control desde la perspectiva funcional:

Plataforma de Control
Ventana interfaz de usuario

Representacin de la lectura
Real
Value IOValue
Forzado
Bool
1 Mux Real
IOModule Value
420 mA IOValue 0
Instrumento Real
IOValue
Bool
Forced
OR
Status b23 Status
Dword
Max
Real
Parameters Parameters Real
Min
Unit String
Hardware RealIO Cdigo de control
Ilustracin 51 Enlace de lectura desde campo al cdigo de control
La seal procedente desde el instrumento entra en contacto con la plataforma de control a

travs del mdulo de E/S. En este mdulo, la seal es factorizada en una variable de
medida y se integra en una variable de tipo RealIO. Cada una de estas variables integra el
valor de la medida de proceso, los rangos definidos, las unidades y el estado en que se
encuentra.
Desde el cdigo de control es posible efectuar un forzado de la seal de lectura. El efecto
de forzar lo definiremos como la accin de engaar al sistema de control indicando un
valor establecido por operacin a travs de una ventana que har de interfaz entre la
plataforma de control y el operador. Obsrvese que cuando se efecta el forzado de una
seal de entrada tiene un efecto directo sobre la variable Status. Considerar el estado de
forzado de la seal de lectura es tan importante como conocer el estado del instrumento
para poder tomar acciones sobre lazos con sensores redundantes o individuales.
En el proyecto se define que un instrumento se encuentra fuera de servicio cuando se
fuerza su variable o bien en situacin anmala (

Instrumento fuera de servicio); pero en otras ocasiones podra interesar diferenciar estas
dos situaciones y considerar que el instrumento se sita fuera de servicio nicamente
cuando est en estado anmalo, incrementando as la fiabilidad de proceso al engaar al
sistema de control indicando manualmente un valor determinado por operacin. El efecto
de forzado se efecta a travs de la ventana interfaz de usuario, donde la botonera de
forzado acta como una seal de control para seleccionar el valor procedente de campo, o
el introducido por operacin desde la misma ventana.
La Ilustracin 51 muestra cmo una seal de lectura analgica se transmite hasta la
aplicacin de control, pero hay que tener en cuenta que existen transmisores discretos, es
decir, transmisores que aportan nicamente dos estados a travs de una variable de tipo
BoolIO. El comportamiento de este tipo de seales es idntico, salvando las distancias con
respecto a las necesidades de la seal: no es necesario incluir rangos ni unidades ya que no
existe factorizacin de unidades de medida en unidades de proceso.
Plataforma de Control
Ventana interfaz de usuario

Representacin del actuador
Real
Value
Forzado
Bool
IOModule Mux 1
420 mA IOValue Real
Actuador
0 Value
IOValue Real
Forced Bool
OR
Status b23 Status
Dword
Max
Real
Parameters Parameters Real
Min
Unit String
Hardware RealIO Cdigo de control
Ilustracin 52 Enlace de escritura desde el cdigo de control a campo

La seal de salida es calculada en el cdigo de control y conectada al hardware para su
transmisin hacia campo. Del mismo modo que ocurre con las seales de entrada, es
posible efectuar un forzado de la seal de salida para sobrescribir la orden establecida por
cdigo. Esta utilidad puede ser aplicable para situaciones donde se requieren pruebas de
actuadores o cuando es necesario sobrescribir un disparo o enclavamiento bajo supervisin
y aprobacin del responsable de planta.
Cuando se instancia el cdigo de una vlvula, existe un clculo que marca el valor de la
orden de apertura o de cierre a travs de una seal de tipo BoolIO. El clculo de la orden
reside en la variable value; variable conectada al hardware para su transmisin a campo.
Si ponemos como ejemplo el caso en que se est ordenando el cierre de la vlvula (Value =
false), si la vlvula funciona correctamente indicar con su final de carrera de cerrada que
se encuentra tal como se le ha ordenado (ZSC = cierto). Si ponemos como ejemplo que se
efecta el forzado de la seal de salida, el multiplexor seleccionar el valor que marca el
operador desde la ventana de interfaz. Si se efecta un forzado a cierto, la vlvula abrir y
el interruptor de vlvula cerrada abrir (ZSC = falso). Debido a que el cdigo de control no
ha cambiado y por tanto, mantiene su orden de vlvula cerrada, al percibir que el
interruptor de vlvula cerrada indica lo contrario a lo que l ordena, surgir una alarma de
discrepancias DIDO. En este ejemplo se pone de manifiesto la existencia de un
funcionamiento segregado cuando se efectan forzados al actuar sobre el hardware
directamente, y sin cambiar el estado del cdigo de control que gestiona las rdenes de
salida.
En el cdigo de control se dispone de todas la variables relativas al estado de la seal de
salida. En la ilustracin se muestra el caso particular de variables de salida analgicas, pero
el comportamiento para seales de salida discretas tipo Bool ser exactamente el mismo,
exceptuando la necesidad de disponer de rangos y unidades.
Lectura de variables de proceso

El objeto de lectura de una seal de E/S se instancia en la aplicacin de control y se vincula
directamente a la direccin de E/S donde se conecta en el mdulo de entrada (AI880,
AI845, DI840, DI880). La variable de tipo RealIO vinculada a la seal de medida dispone
del IOValue determinado por el mdulo de entrada. En la ventana de interfaz de usuario,
existen elementos de control y de visualizacin del estado de la variable de lectura.

Instrumento
RealIO
AIObject_1
[FieldAI] FieldAI.Value Real
420 mA
Obtencin de FieldAI.IOValue Real
IOValue FieldAI.Status Dword
la variable desde
el Hardware FieldAI.Parameters SignalPar
Value
FieldAI.Forced Bool
Status
Si instrumento Forzado entonces:
Forced FieldAI.Value := ValorOperacion; El valor de Value ser o bien IOValue
FieldAI.Forced := True; o bien el marcado por operacin si
Parameters fuerza el instrumento.
FieldAI.Status := 0xD8
Si no:
FieldAI.Value := FieldAI.IOValue
[FieldAI] RealIO
La variable FieldAI.Value es la
Escribe la variable utilizada a nivel de
variable aplicacin, aunque se dispone
al Hardware de la FieldAI.IOValue.
Ilustracin 53 Funcionamiento del objeto de lectura de una variable de proceso
La seal del instrumento se factoriza en unidades de medida y aloja en la variable

FieldAI.IOValue. El cdigo de control dispone de un vnculo directo entre el objeto de
lectura y el hardware. En funcin de cmo se encuentre el objeto controlado desde el
interfaz de usuario, trasladar el valor del hardware a la variable pertinente para tener en
cuenta en la aplicacin FieldAI.Value. En condiciones normales, el objeto de lectura no se
encontrar forzado trasladando as el valor real del instrumento. En el caso de que el
instrumento se encuentre forzado a un valor, la variable FieldAI.Value considerar el valor
determinado desde el interfaz de usuario. Finalmente, para que la siguiente lectura de la
variable de E/S sea coherente a lo establecido, el objeto de lectura escribir sobre el
mdulo de E/S el valor de Value, Status, y Forced.
El comportamiento del mdulo de entrada salida est condicionado al estado ordenado por
el objeto de lectura, pero nunca reescribir el valor IOValue ni de Parameters.
El funcionamiento del objeto de lectura de una variable de proceso digital (DI) ser
exactamente el mismo que el expuesto en la Ilustracin 53 , pero con la excepcin de que
no existir la variable Parameters por carecer de sentido.

Escritura de variables de proceso
Del mismo modo que se efecta en el objeto de lectura de variables de proceso, el objeto
de escritura de una seal de E/S se instancia en la aplicacin de control y se vincula su
variable, de tipo RealIO directamente al mdulo de salida (DO880, AO845, DO840). La
variable estructurada de la seal de salida RealIO dispone de la variable Value e IOValue
del mismo modo que sucede en el objeto de lectura explicado en el apartado anterior, pero
la diferencia con respecto al objeto de lectura es que ahora es IOValue la que toma por
valor Value o lo indicado por operacin desde la interfaz de usuario.
AOObject_2 RealIO
[FieldAO] FieldAI.Value Real
Obtencin de FieldAI.IOValue Real
Value FieldAI.Status Dword
la variable desde
Status el Hardware FieldAI.Parameters SignalPar
FieldAI.Forced Bool
Forced
Si elemento Forzado entonces:
Parameters FieldAO.IOValue := ValorOperacion; El valor de IOValue ser o bien Value
FieldAO.Forced := True; o bien el marcado por operacin si
IOValue fuerza el elemento.
FieldAO.Status := 0xD8;
Si no:
420 mA
FieldAO.IOValue := FieldAO.Value
Actuador
[FieldAO] La variable FieldAO.Value es la

RealIO
Escribe la variable utilizada a nivel de
variable aplicacin, aunque se dispone
al Hardware de la FieldAO.IOValue.
Ilustracin 54 Funcionamiento del objeto de escritura de una variable de proceso
La variable de tipo RealIO es leda por el objeto de escritura con el fin de conocer el
estado, los parmetros y el valor de salida de la plataforma de control. El objeto de
escritura determina el valor de salida a travs de la IOValue dependiendo de si el objeto de
salida se encuentra forzado o no. Finalmente, escribe el valor sobre el mdulo de salida
para transmitir la informacin a travs del lazo 420 mA hasta el actuador.
Estructura de comunicaciones MMS en ABB Industrial IT

Una variable que deba ser comunicada entre diferentes aplicaciones de la misma o de
diferente unidad controladora requiere de un canal de comunicaciones. Desde el punto de
vista de usuario de un protocolo MMS, un canal de comunicaciones MMS requiere de los
siguientes elementos:
Direccin donde conectar el canal de comunicaciones.
La direccin IP del nodo donde se quiere establecer la comunicacin es indispensable para
llevar a cabo la comunicacin. La direccin IP se determina mediante una variable de tipo
texto de al menos 17 caracteres.
Identificador del canal. Una variable de tipo Comm_Channel_MMS distingue el canal de
comunicaciones entre los diferentes canales que puedan existir a un mismo nodo.
IP: 172.16.4.64
Id_x
Parmetros MMS
Bus interno (CEX)
Nodo: 172.16.4.65
Id : Id_X
IP: 172.16.4.65
C 21
Ilustracin 55 Creacin de un canal de comunicacin MMS
En la ilustracin se muestra la creacin de un canal de comunicacin desde el nodo con IP

172.16.4.64. Desde el nodo con IP 172.16.4.65 se podr tomar lectura de las variables
publicadas desde el primer nodo.
Una vez se dispone del canal de comunicaciones con su identificador (id) establecido, se
debe efectuar las tareas de escritura y lectura.
La escritura se basa en publicar una variable especfica en el bus interno del controlador
con un identificador de tipo texto para referirse a la misma y asignando el canal de
comunicaciones determinado en la conexin (Comm_Channel_MMS). Adems, se debe
incluir una va de comunicacin determinada por un nmero entero para distinguirla entre
diferentes vas (segn la Ilustracin 55, ser C).

IP: 172.16.4.64
Id_x
Bus interno (CEX)

VarInt := VarInt +1;

Publicacin MMS
Canal: Id_X
Canal: 1
Id Variable: VarName1
Variable: VarInt
IP: 172.16.4.65
VarName1
Ilustracin 56 Publicacin de una variable en MMS
Una vez se dispone de la variable particular publicada en el bus interno, para poder usarla
en la direccin de destino es necesario efectuar la lectura de la misma. Para ello,
nicamente es necesario determinar en la funcin de lectura los siguientes parmetros:
Direccin IP del nodo que publica la variable.
Nmero de canal donde se encuentra publicada la variable
El Identificador de la variable particular a leer.
IP: 172.16.4.64
Id_x
Bus interno (CEX)
VarInt := VarInt +1;

Publicacin MMS
Canal: Id_X
Canal: 1
Variable: VarInt
IP: 172.16.4.65
Lectura MMS
Canal: Id_X
Canal: 1
Variable: VarIntDest

1 if VarIntDest > 4 then

Ilustracin 57 Lectura de una variable en MMS
Como se puede observar en la Ilustracin 57, la variable leda del bus interno no tiene por
qu tener el mismo nombre que tena en el nodo fuente. As pues, lo que s se exige es que
el identificador de la variable (VarName1) sea el mismo para poder traerla al nodo
destino.

Convencin de cdigo de comunicaciones MMS
Tras haber revisado el funcionamiento de la comunicacin MMS desde la perspectiva

operacional, seguidamente vamos a definir una convencin para efectuar la programacin
de las comunicaciones en la plataforma ABB Industrial IT 800xA utilizada en el proyecto.
Segn las caractersticas tcnicas suministradas por ABB, el mdulo PM865/866 tiene una
carga de CPU altamente dependiente de las comunicaciones de tipo MMS definidas. La
carga de CPU disminuye drsticamente si se limita el nmero de canales definidos. As, se
podra definir de dos maneras diferentes las comunicaciones MMS:
Generando un canal de comunicaciones para cada variable a comunicar.
Integrando la variable a comunicar en un canal nico de comunicaciones preestablecido.
La nica ventaja que aporta el primer mtodo es que una comunicacin anmala en un
canal especfico implicara un problema en una sola variable de comunicacin. El gran
problema es el incremento de carga en CPU que supone este mtodo limitando
drsticamente los recursos.
La forma que se escoger ser la segunda: se definirn canales de comunicacin globales
entre aplicaciones con una nica va por canal, donde se publicar una variable genrica
que contendr un nmero limitado de variables lgicas, variables numricas de tipo real y
variables de tipo texto. El nmero de variables a comunicar dentro de un mismo canal
vendr limitado por el ancho de banda de transmisin. En el apartado siguiente
(Caractersticas a tener en cuenta) entraremos en detalle del comportamiento de este tipo
de comunicacin y los lmites de uso que tiene.
La convencin de cdigo establecer que existir nicamente un mdulo de cdigo
dedicado a asignar cada variable interna de tipo genrico a la variable especfica que se
quiere publicar o leer.

IP: 172.16.4.64
Id_x
Aplicacin A
MMSComm
-VarComm
-Nivel_Tanque

VarComm.R01 := Nivel_Tanque.Value
VarComm.B01 := Nivel_Tanque.GTHH
VarComm.Str01 := Nivet_Tanque.Units
-
Value, Units, GTHH, LTLL, etc.
TK10
4..20 mA
- Nivel_Tanque LT
AI880
Bus interno (CEX)
IP: 172.16.4.65
Aplicacin B
MMSComm
-VarComm
-Nivel_Tanque

Nivel_Tanque := VarComm.R01
Nivel_Tanque.GTHH := VarComm.B01
Nivel_Tanque.Str01 := VarComm.Str01

TK10Comm
- Nivel_Tanque
1
Ilustracin 58 Comunicacin de una variable en MMS
En el ejemplo mostrado, se puede observar el camino que llevar la variable

Nivel_Tanque desde la aplicacin A donde se toma el valor de campo a travs del
mdulo de entrada analgico, hasta la aplicacin B a travs de comunicacin MMS. No se
han especificado las funciones MMS al quedar claramente reflejadas en las ilustraciones
anteriores.
Caractersticas a tener en cuenta
Debemos tener en cuenta las siguientes caractersticas a la hora de disear la comunicacin

MMS entre aplicaciones:
El comportamiento de la comunicacin MMS viene condicionada por la velocidad de
transmisin, la longitud del mensaje y la carga de la aplicacin.
La velocidad de transmisin que utiliza la plataforma ABB Industrial IT 800xA con AC800
M es de 10 Mbit/s con el uso de Ethernet.
Un mensaje largo toma ms tiempo que uno corto, pero es mucho ms eficiente utilizar
mensajes largos si se debe transmitir gran cantidad de datos.
El tamao mximo de un mensaje permitido con protocolo MMS es de 1024 bytes.
Cada mensaje requiere una cabeza de entre 60 y 70 bytes.

La siguiente tabla suministrada por ABB indica el tamao de telegrama segn el tipo de
dato comunicado:
Tabla 29 Tamao de telegramas MMS
En base a la tabla 29, definiremos dos tipos de canales:

Canal de comunicaciones con solo variables lgicas (Bool). Utilizado para comunicar
variables desde BPCS hacia aplicaciones SIS. Las variables a recepcionar desde la zona de
cdigo SIS son peticiones de arranque o apertura de vlvulas. El tamao de este tipo de
canal ser de 64 variables lgicas:
64 x 3 = 192 // 192 + 70 = 262 bytes.
Canal de comunicaciones con variables de tipo real, lgico y texto. Utilizado para
comunicar variables entre aplicaciones BPCS y desde aplicaciones SIS hacia BPCS. Se
dispondr de 40 variables de tipo booleano, 60 variables de tipo real, 20 variables de tipo
doble word (4 bytes) y 20 variables de tipo texto con 10 caracteres:
o Tipo lgica: 40 x 3 = 120 bytes

o Tipo Real: 60 x 7 = 420 bytes
o Tipo Dword: 20 x 6 = 120 bytes
o Tipo texto: 20 x (4 + (10 x 1)) = 800 bytes
TOTAL: 120 + 420 + 120 + 800 + 70 = 1530 bytes

Simulacin y validacin
La ltima fase de desarrollo de la aplicacin de control es el proceso de validacin. La

validacin consiste en la certificacin del funcionamiento y de la operativa de la aplicacin
de control implementada segn la estrategia definida. Se trata de un proceso recurrente
basado en supervisin y correccin.
La estrategia de control, la representacin del proceso y la funcionalidad de los objetos
deben ser presentadas a los representantes de planta y stos son los que debern dar su
aprobacin para la definitiva entrega de proyecto. A pesar de encontrarse involucrados en
toda la fase de desarrollo de la estrategia de control y de la convencin de programacin,
pueden aparecer divergencias entre la aplicacin deseable y la resultante por motivos de
ruido en la informacin o malas interpretaciones de la documentacin definida. El
trmino ruido hace referencia a un error en la documentacin debido a causas externas,
como podra ser una mala gestin de versiones en los documentos o anomalas sobre las
plataformas de almacenaje de sta.
La validacin de la aplicacin de control se basa en la simulacin de la funcionalidad del
proceso. As, se requerir de aplicaciones adicionales que simulen el comportamiento del
proceso como si estuviera vivo: por ejemplo, una vlvula de bloqueo deber disponer de
su correspondiente simulacin, entregando una confirmacin de estado (a la aplicacin de
control) ante una orden recibida (a la aplicacin de simulacin).
El sistema ABB Industrial IT 800xA dispone de un emulador de la plataforma de control:
es el denominado softcontroller. Softcontroller es una aplicacin que corre bajo PC con el
sistema operativo Microsoft Windows. Su instalacin es sencilla, simplemente requiere de
un PC conectado al bus de control. El emulador dispondr de una identidad en el bus de
control (direccin IP del PC) y deber estar en constante ejecucin para que se pueda
descargar la aplicacin de control sobre el emulador.
La simulacin en nuestro sistema se efectuar mediante la interactuacin de tres bloques: la
aplicacin de control, objetivo de la validacin; la aplicacin de simulacin, que
determinar el comportamiento de la simulacin; y el hardware simulado, que deber
escribir sobre la aplicacin de control los valores determinados en simulacin.
Las aplicaciones de simulacin no deben afectar a las aplicaciones de control para evitar
problemas posteriores cuando nos encontremos con el sistema real. Por ende, deber existir
una segregacin absoluta del cdigo de simulacin.

La segregacin entre el grupo formado por las aplicaciones de control y hardware con
respecto a las aplicaciones de simulacin se consigue de la siguiente forma:
El hardware simulado hace de nexo de unin entre las variables de E/S simuladas y
las variables de E/S vinculadas a la aplicacin de control.
La comunicacin MMS es el mecanismo utilizado para trasladar la informacin
entre la aplicacin de simulacin y el hardware simulado.
La disposicin de variables de comunicacin MMS definidas a nivel de controladores
permite la escritura o la lectura de las variables de E/S sobre la aplicacin de control. Al
finalizar el proceso de simulacin, estas variables deben ser borradas puesto que en la
aplicacin real no son necesarias y tambin para evitar sobrecargar sin necesidad el
controlador.
Aplicacin de Aplicacin de
control simulacin
Hardware Comunicacin
Vnculo directo
MMS
Ilustracin 59 Comunicacin entre aplicacin de simulacin y control a travs del Hardware
El bloque hardware, adems de incluir todos los mdulos de E/S y de comunicaciones

externas, tiene la posibilidad de definir variables para ser comunicadas internamente a
travs de MMS. Este tipo de variables, conocidas como Variables de Acceso (Access
Variables) se definen a nivel de controlador. No tiene diferencia con respecto a las
variables de comunicacin MMS definidas en las aplicaciones de control, pero desde el
punto de vista de estructura de cdigo, este tipo de variables facilitan la implementacin de
la simulacin:
No requieren de ningn mdulo de conexin pues simplemente publican las
variables de acceso en el bus interno del controlador. La aplicacin de simulacin
deber disponer de sus mdulos de comunicacin para leer o escribir esas variables.
El vnculo entre las variables MMS con la aplicacin de simulacin se efecta de
forma idntica a la efectuada entre el hardware y la aplicacin de control.
La gran ventaja que aporta definir las variables de acceso a nivel de hardware es
que permite disponer de variables recibidas desde la aplicacin de simulacin sobre
las mismas variables de E/S vinculadas a la aplicacin de control.

La siguiente ilustracin trata de representar cmo interactan las variables simuladas sobre
las variables de la aplicacin de control vinculadas al hardware como seales E/S:
Aplicacin de control
Aplicacin_1
AIObjet_1
FieldAI (RealIO)
Aplicacin de simulacin
SimAplicacin_1
MMS
SimAIObjet_1
Hardware
Access Variables Name Path
SimAIObject_1 Aplication_1.AIObject_1.FieldAI
PM865
AI845 Name Variable

SimAIObject_1 Aplication_1.AIObject_1.FieldAI
Ilustracin 60 Interactuacin entre variables simuladas y el hardware
El objeto de simulacin (SimAIObject_1) escribe sobre la misma variable (Path), definida

con la Access Variable, que la vinculada desde el mdulo AI845 (Variable). ABB
Industrial IT 800xA permite seleccionar si el hardware es simulado o no. De ese modo, no
existe un conflicto de escritura sobre la variable de E/S
(Application_1.AIObject_1.FieldAI).
El sentido bidireccional de las flechas indica que existen procesos de lectura y escritura
sobre las variables. Para entender mejor el funcionamiento de la aplicacin de simulacin,
a continuacin se presente el diagrama de funcionamiento de un objeto de simulacin:

SimAIObject_1
FieldAI.Value Real
FieldAI.IOValue Real
[FieldAI]
FieldAI.Status Dword
Obtencin de
MMSRead(FieldAI) FieldAI.Parameters SignalPar
la variable desde
el Hardware
FieldAISim Real
[FieldAISim, StatusSim] StatusSim Dword
Determina el valor
de simulacin de La variable FieldAISim determina
la seal de E/S el valor de la variable simulada.
La variable StatusSim se calcula
FieldAI.IOValue := FieldAISim; en funcin de FieldAI.Status y de
FieldAI.Status := StatusSim; la simulacin de estado.
[FieldAI]
Escribe la
MMSWrite(FieldAI)
variable
al Hardware
Ilustracin 61 Funcionamiento de un objeto de simulacin
El funcionamiento del objeto de simulacin de una seal de entrada se basa en tres pasos:
adquisicin de la variable de entrada FieldAI por comunicacin MMS mediante el uso de
variables de acceso; la aplicacin de simulacin, determinar el valor que deber disponer
las FieldAISim en funcin del estado de otras variables y del estado del proceso; y
finalmente, la escritura de la variable de entrada FieldAI en la variable de acceso.
El comportamiento de un objeto de simulacin de escritura ser exactamente el mismo.
Un proceso de vital importancia en el desarrollo de lazos de seguridad SIS es el conocido
como Verificacin. Entre las diferentes etapas de vida de un lazo de seguridad, tras su
definicin al realizar el anlisis de riesgos de proceso, se define el proceso de Verificacin,
Comisionado y Validacin (VCV).
El proceso de Verificacin del lazo SIS es la certificacin funcional del correcto
funcionamiento del lazo de seguridad. Esta certificacin se efecta mediante simulacin de
la variable de proceso y observando las rdenes generadas por el sistema de control en base
a lo indicado por las funciones de seguridad programadas. Este proceso de Verificacin
contempla todas las combinaciones posibles para que ocurra el disparo de seguridad. En el
caso de disponer de elementos redundantes, se deben contemplar todas las situaciones
posibles en las que esos elementos se pueden encontrar (eg. instrumentos forzados o en
fallo, elementos finales en posicin manual, etc.)

Anexo D: Listado y mapeado de seales de E/S
Nombe Rango Rango

Tipo IO SIL Y/N Cabina Canal IO TAG Applicacion Equipo Descripcin Unidades
Controlador Mnimo Mximo
AI N ICJB-A11 A.M.1.37.1.1 FT60503 A Rgen C625 Caudal en la descarga kg/h 0 20000
AI N MCIJB-A21 A.M.2.37.1.1 JT60501 A Rgen C625 Potencia compresor kW 0 410
AI N ICJB-A11 A.M.1.38.1.1 FT60533 A Rgen RegSys Caudal a reactor kg/h 0 20000
AI N ICJB-A11 A.M.1.37.1.7 PIT60812 A Rgen C625 Presin alimentacin sello kg/cm2 g 0 1,4
AI N ICJB-A11 A.M.1.37.2.1 PT60504 A Rgen C625 Presin de descarga kg/cm2 g 0 20
AI N ICJB-A11 A.M.1.38.2.1 TT60502 A Rgen C625 Temperatura descarga C 0 300
AI N ICJB-A11 A.M.1.37.3.1 TT60510 A Rgen E620 Temperatura entrada C 0 500
AI N MCIJB-A21 A.M.2.37.1.2 JT60620 A Rgen LOP625B Potencia compresor kW 0 17,9
AI N ICJB-A11 A.M.1.37.1.2 TT60531 A Rgen E620 Temperatura salida C 0 700
AI N ICJB-A11 A.M.1.38.1.2 TT60532 A Rgen E621 Temp. entrada cambiador (reciclo) C 0 500
AI N ICJB-A11 A.M.1.37.1.8 PDT60543 A Rgen C625 Presin diferencial kg/cm2 0 2,5
AI N ICJB-A11 A.M.1.37.2.2 PDT60606 A Rgen LOP625 Presin diferencial filtro kg/cm2 g 0 2,5
AI N ICJB-A11 A.M.1.38.2.2 PT60603 A Rgen LOP625 Presin de aceite (2) kg/cm2 g 0 14
AI N ICJB-A11 A.M.1.37.3.2 PIT60604 A Rgen LOP625 Presin_de_aceite (1) kg/cm2 g 0 14
AI N MCIJB-A21 A.M.2.37.1.3 JT61101 A Rgen P624 Potencia bomba kW 0 5,31
AI N ICJB-A11 A.M.1.37.1.3 PIT60616 A Rgen LOP625 Presin descarga bomba kg/cm2 g 0 14
AI N ICJB-A11 A.M.1.38.1.3 TIT60608 A Rgen LOP625 Temperatura Aceite C 0 100
AI N ICJB-A11 A.M.1.37.2.3 TIT60614 A Rgen LOV625 Temperatura tanque C 0 100
AI N ICJB-A11 A.M.1.38.2.3 PDT60808 A Rgen C625 Presin diferencial salida sello kg/cm2 g 0 1,4
AI N ICJB-A11 A.M.1.37.3.3 FT60901 A Rgen RegSys Caudal lquido lavado kg/h 0 600
AI N ICJB-A11 A.M.1.37.1.4 TT60906 A Rgen E626 Temperatura salida C 0 300
AI N ICJB-A11 A.M.1.38.1.4 VT60904 A Rgen F622 Vibraciones Ventilador mm/s 0 63,5
AI N ICJB-A11 A.M.1.37.2.4 AT61030 A Rgen RegSys Analizador bajo rango O2 ppm 0 10000
AI N ICJB-A11 A.M.1.38.2.4 FT61012 A Rgen D623 Caudal a venteo / antorcha kg/h 0 1000
AI N ICJB-A11 A.M.1.37.3.4 FT61016 A Rgen RegSys Caudal alimentacin H2 kg/h 0 25
AI N ICJB-A11 A.M.1.37.1.5 FT61019 A Rgen RegSys Caudal alimentacin aire kg/h 0 400
AI N ICJB-A11 A.M.1.38.1.5 FT61026 A Rgen RegSys Caudal alimentacin N2 kg/h 0 1200
AI N ICJB-A11 A.M.1.37.2.5 TT61008 A Rgen E622 Temperatura salida ventilador C 0 300
AI N ICJB-A11 A.M.1.38.2.5 PIT61104 A Rgen P624 Presin sello kg/cm2 g 0 20
AI N ICJB-A11 A.M.1.37.3.5 LIT62008 A Rgen D640 Nivel Depsito (1) % 0 100
AI N ICJB-A11 A.M.1.37.1.6 LT62009 A Rgen D640 Nivel Depsito (2) % 0 100
AI N ICJB-A11 A.M.1.38.1.6 PT62003 A Rgen D640 Presin depsito kg/cm2 g 0 10
AI N ICJB-A11 A.M.1.37.2.6 TT62010 A Rgen D640 Temperatura Depsito C 0 300
AI N ICJB-A11 A.M.1.38.2.6 PIT62104 A Rgen P644 Presin sello kg/cm2 g 0 10
AI N ICJB-A11 A.M.1.37.3.6 LIT60610 A Rgen LOV625 Nivel tanque % 0 100
AI N MCIJB-A21 A.M.2.37.1.7 JT62101 A Rgen P644 Potencia bomba kW 0 12,99
AI N ICJB-A11 A.M.1.38.1.7 PT11523 A Reactor R140A Presin entrada reactor kg/cm2 g 0 40
AI N ICJB-A11 A.M.1.37.2.7 PIT60813 A Rgen C625 Presin ventilacin gas sello kg/cm2 g 0 1,4
AI N ICJB-A11 A.M.1.38.2.7 PDT60802 A Rgen C625 Presin diff. Entrada sello kg/cm2 g 0 1,4
AI N ICJB-A11 A.M.1.37.2.8 PT11528 A Reactor R140A Presin salida reactor kg/cm2 g 0 40
AI N ICJB-A11 A.M.1.38.2.8 PT12023 A Reactor R140B Presin entrada reactor kg/cm2 g 0 40
AI N ICJB-A11 A.M.1.37.3.8 PT12028 A Reactor R140B Presin salida reactor kg/cm2 g 0 40
AI Y ICJB-RM1 R.M.1.2.7 LIT61002 R ReactorSis D623 Nivel Depsito (1) % 0 100
AI Y ICJB-RM1 R.M.1.1.1 TT11512A R ReactorSis R140A Temp bolas cermicas (I) C -50 500
AI Y ICJB-RM1 R.M.1.2.1 TT11536A R ReactorSis R140A Temperatura lecho (4A) C -50 500
AI Y ICJB-RM1 R.M.1.3.2 TT12035A R ReactorSis R140B Temperatura lecho (2A) C -50 500
AI Y ICJB-RM1 R.M.2.2.7 LT61029 R ReactorSis D623 Nivel Depsito (2) % 0 100
AI Y ICJB-RM1 R.M.2.1.1 TT11512B R ReactorSis R140A Temp bolas cermicas (2) C -50 500
AI Y ICJB-RM1 R.M.2.2.1 TT11536B R ReactorSis R140A Temperatura lecho (4B) C -50 500
AI Y ICJB-RM1 R.M.2.3.2 TT12035B R ReactorSis R140B Temperatura lecho (2B) C -50 500
AI Y ICJB-RM1 R.M.1.2.8 AT60534 R ReactorSis RegSys Analizador alto rango O2 % vol 0 6
AI Y ICJB-RM1 R.M.1.3.8 PT61007 R ReactorSis D623 Presin Depsito (1) kg/cm2 g 0 10
AI Y ICJB-RM1 R.M.1.5.4 TT12012A R ReactorSis R140B Temp bolas cermicas (I) C -50 500

Nombe Rango Rango
AI Y ICJB-RM1 R.M.2.3.8 PT61014 R ReactorSis D623 Presin Depsito (2) kg/cm2 g 0 10
AI Y ICJB-RM1 R.M.2.4.4 TT12012B R ReactorSis R140B Temp bolas cermicas (2) C -50 500
AI Y ICJB-RM1 R.M.2.2.8 TT60509 R ReactorSis E621 Temperatura salida cambiador (reciclo) C 0 500
AO N ICJB-A11 A.M.1.38.3.1 IP60506 A Rgen C625 Vlvula control caudal mnimo
AO N ICJB-A11 A.M.1.37.4.1 IP60536 A Rgen E621 Vlvula control entrada cambiador
AO N MCIJB-A21 A.M.2.37.6.1 TY60518A A Rgen HTR620A Salida calentador
AO N ICJB-A11 A.M.1.38.3.2 IP60537 A Rgen E621 Vlvula control bypass cambiador
AO N MCIJB-A21 A.M.2.37.6.2 TY60518B A Rgen HTR620B Salida calentador
AO N ICJB-A11 A.M.1.38.3.3 IP60902 A Rgen RegSys Vlvula control caudal lquido lavado
AO N ICJB-A11 A.M.1.37.4.3 IP61013 A Rgen D623 Vlvula control de presin
AO N ICJB-A11 A.M.1.38.3.4 IP61017 A Rgen RegSys Vlvula control caudal alimentacin H2
AO N ICJB-A11 A.M.1.37.4.4 IP61020 A Rgen RegSys Vlvula control caudal alimentacin aire
AO N ICJB-A11 A.M.1.38.3.5 IP61027 A Rgen RegSys Vlvula control caudal alimentacin N2
AO N ICJB-A11 A.M.1.38.3.6 IP62004 A Rgen D640 Vlvula control depad
AO N ICJB-A11 A.M.1.37.4.6 IP62005 A Rgen D640 Vlvula control pad
DI N MCIJB-A21 A.M.2.37.3.1 ZS60501A A Rgen C625 Carro electrico listo
DI N MCIJB-A21 A.M.2.37.4.1 ZS60501B A Rgen C625 Problemas en compresor
DI N ICJB-A11 A.M.1.38.4.1 HS60539 A Rgen RegSys Seta emergencia cuadro DI (1)
DI N ICJB-A11 A.M.1.37.5.1 HS60540 A Rgen RegSys Seta emergencia cuadro DI (2)
DI N MCIJB-A21 A.M.2.37.3.2 ZS60905A A Rgen F622 Carro elctrico listo
DI N MCIJB-A21 A.M.2.37.4.2 ZS60905B A Rgen F622 Confirmacin marcha
DI N ICJB-A11 A.M.1.38.4.2 HS60541 A Rgen RegSys Seta emergencia en campo DI (1)
DI N ICJB-A11 A.M.1.37.5.2 HS60542 A Rgen RegSys Seta emergencia en campo DI (2)
DI N ICJB-A11 A.M.1.38.4.3 ZSC60535 A Rgen RegSys Vlvula analizador alto rango O2 proceso cerrada
DI N ICJB-A11 A.M.1.37.5.3 ZSO60538 A Rgen E620 Entrada cambiador Abierta
DI N ICJB-A11 A.M.1.37.5.4 ZS60610 A Rgen LOV625 Confirmacin calentador en marcha
DI N ICJB-A11 A.M.1.38.4.5 TSH60734 A Rgen C625 Alta temperatura BN
DI N ICJB-A11 A.M.1.37.5.5 TSHH60733 A Rgen C625 Muy alta temperatura BN
DI N ICJB-A11 A.M.1.38.4.6 UA60735 A Rgen C625 Problemas BN
DI N ICJB-A11 A.M.1.37.5.6 VSH60732 A Rgen C625 Alta vibracin BN
DI N ICJB-A11 A.M.1.38.4.7 VSHH60731 A Rgen C625 Muy Altas vibraciones BN
DI N ICJB-A11 A.M.1.37.5.7 ZSO60913 A Rgen E627 Entrada enfriador Abierta
DI N ICJB-A11 A.M.1.38.4.8 ZSO60915 A Rgen E627 Bypass enfriador agua Abierto
DI N ICJB-A11 A.M.1.37.5.8 UA61030 A Rgen RegSys Problema analizador bajo rango O2
DI N ICJB-A11 A.M.1.38.4.9 ZS61022A A Rgen RegSys Codo alimentacin H2 alineado
DI N ICJB-A11 A.M.1.37.5.9 ZS61022B A Rgen RegSys Codo alimentacin Aire alineado
DI N MCIJB-A21 A.M.2.37.3.10 ZS60521A A Rgen HTR620A Confirmacin calentador en marcha
DI N MCIJB-A21 A.M.2.37.4.10 ZS62101 A Rgen P644 Carro elctrico listo
DI N ICJB-A11 A.M.1.38.4.10 ZS61022C A Rgen RegSys Alineada linea H2 y aire planta
DI N ICJB-A11 A.M.1.37.5.10 ZSC61004 A Rgen D623 Purga a caldera Cerrada
DI N MCIJB-A21 A.M.2.37.3.11 ZS61101 A Rgen P624 Carro elctrico listo
DI N ICJB-A11 A.M.1.38.4.11 ZSC61024 A Rgen RegSys Linea aire planta y H2 Cerrada
DI N ICJB-A11 A.M.1.37.5.11 ZSC61025 A Rgen RegSys Alimimentacin N2 (Descarga C625) cerrada
DI N MCIJB-A21 A.M.2.37.3.12 UA60520A A Rgen HTR620A Problema en calentador
DI N MCIJB-A21 A.M.2.37.4.12 UA60520B A Rgen HTR620B Problema en calentador
DI N ICJB-A11 A.M.1.38.4.12 ZSC61028 A Rgen RegSys Alimentacin N2 Aspiracin C625 cerrada
DI N ICJB-A11 A.M.1.37.5.12 ZSC61031 A Rgen RegSys Vlvula proceso analizador bajo rango O2 cerrada
DI N MCIJB-A21 A.M.2.37.3.13 ZS60521B A Rgen HTR620B Confirmacin calentador en marcha
DI N MCIJB-A21 A.M.2.37.4.13 ZS60620 A Rgen LOP625B Carro elctrico listo
DI N ICJB-A11 A.M.1.38.4.13 ZSC61106 A Rgen D623 Entrada fondo C2001 cerrada
DI N ICJB-A11 A.M.1.37.5.13 ZSC61107 A Rgen D623 Entrada a D640 cerrada
DI N ICJB-A11 A.M.1.38.4.14 ZSC61108 A Rgen D623 Salida fondo a P624 cerrada
DI N ICJB-A11 A.M.1.37.5.14 ZSC61109 A Rgen D623 Bypass P624 cerrado
DI N ICJB-A11 A.M.1.37.5.15 ZSO60811 A Rgen C625 Vlvula alimentacin gas sello abierta
DI N ICJB-RM1 R.M.3.2.1 ZSC11012 R ReactorSis MM-142 Vlvula SIS Hidrgeno cerrada
DI N ICJB-RM1 R.M.3.2.9 ZSC60505 R ReactorSis E621 Bypass cambiador cerrado
DI N ICJB-RM1 R.M.3.2.10 ZSC61011 R ReactorSis D623 Vlvula de purga a antorcha anterior cerrada
DI N ICJB-RM1 R.M.3.2.11 ZSC61021 R ReactorSis RegSys Vlvula alimentacin aire cerrada
DI N ICJB-RM1 R.M.4.2.1 ZSC11023 R ReactorSis MM-142 Vlvula SIS Hidrgeno cerrada
DI N ICJB-RM1 R.M.4.2.9 ZSC61005 R ReactorSis D623 Vlvula de purga a antorcha posterior cerrada
DI N ICJB-RM1 R.M.4.2.10 ZSC61018 R ReactorSis RegSys Alimentacin H2 Cerrada
DI N ICJB-RM1 R.M.4.2.11 ZSO61006 R ReactorSis D623 Sangrado purga a antorcha Abierto
DI Y ICJB-RM1 R.M.4.2.14 ZSO61021 R ReactorSis RegSys Vlvula abierta alimentacin Aire de planta

Nombe Rango Rango
DI N ICJB-RM1 R.M.4.2.8 UA60534 R Reactor RegSys Problema analizador alto rango O2
DO N MCIJB-A21 A.M.2.37.5.1 EY60501A A Rgen C625 Poner en marcha
DO N ICJB-A11 A.M.1.38.5.1 AY60534A A Rgen RegSys Vlvula proceso analizador alto rango O2
DO N ICJB-A11 A.M.1.37.6.1 AY60534B A Rgen RegSys Vlvula calibracin analizador alto rango O2
DO N ICJB-A11 A.M.1.38.5.2 EV60535 A Rgen RegSys Vlvula Bloqueo analizador alto rango O2 proceso
DO N ICJB-A11 A.M.1.37.6.2 EV60538 A Rgen E620 Bloqueo entrada calentador
DO N MCIJB-A21 A.M.2.37.4.3 EY60501B A Rgen C625 Parar Compresor
DO N MCIJB-A21 A.M.2.37.5.3 EY60905A A Rgen F622 Poner en marcha ventilador
DO N ICJB-A11 A.M.1.38.5.3 XY60610 A Rgen LOV625 Arrancar calentador elctrico
DO N ICJB-A11 A.M.1.37.6.3 XY60730 A Rgen C625 Reseteo alarmas BN
DO N MCIJB-A21 A.M.2.37.4.4 EY60519BA A Rgen HTR620B Poner en marcha calentador
DO N ICJB-A11 A.M.1.38.5.4 EV60913 A Rgen E627 Bloqueo entrada enfriador agua
DO N ICJB-A11 A.M.1.37.6.4 EV60915 A Rgen E627 Bloqueo bypass enfriador agua
DO N MCIJB-A21 A.M.2.37.4.5 EY60620A A Rgen LOP625B Poner en marcha
DO N ICJB-A11 A.M.1.38.5.5 AY61030A A Rgen RegSys Vlvula proceso analizador bajo rango O2
DO N ICJB-A11 A.M.1.37.6.5 AY61030B A Rgen RegSys Vlvula calibracin analizador bajo rango O2
DO N ICJB-A11 A.M.1.38.5.6 EV61004 A Rgen D623 Bloqueo purga a caldera
DO N ICJB-A11 A.M.1.37.6.6 EV61024 A Rgen RegSys Bloqueo linea aire planta y H2
DO N ICJB-A11 A.M.1.38.5.7 EV61025 A Rgen RegSys Bloqueo alimentacin N2 descarga C625
DO N ICJB-A11 A.M.1.37.6.7 EV61028 A Rgen RegSys Bloqueo alimentacin N2 aspiracin C625
DO N ICJB-A11 A.M.1.38.5.8 EV61031 A Rgen RegSys Vlvula principal analizador bajo rango O2
DO N ICJB-A11 A.M.1.37.6.8 EV61106 A Rgen D623 Bloqueo entrada fondo C2001
DO N ICJB-A11 A.M.1.38.5.9 EV61107 A Rgen D623 Bloqueo entrada D640
DO N ICJB-A11 A.M.1.37.6.9 EV61108 A Rgen D623 Bloqueo salida fondo a P624
DO N ICJB-A11 A.M.1.38.5.10 EV61109 A Rgen D623 Bloqueo bypass P624
DO N ICJB-A11 A.M.1.37.6.10 EV60811 A Rgen C625 ABV alimentacin gas sello
DO N MCIJB-A21 A.M.2.37.4.11 EY61101A A Rgen P624 Poner en marcha
DO N ICJB-A11 A.M.1.37.6.11 XY60736 A Rgen C625 BN trip multiply
DO N MCIJB-A21 A.M.2.37.5.12 EY62101A A Rgen P644 Poner en marcha
DO N MCIJB-A21 A.M.2.37.5.14 EY60519AA A Rgen HTR620A Poner en marcha calentador
DO Y ICJB-RM1 R.M.3.1.1 EV11012 R ReactorSis MM-142 Vlvula Hidrgeno SIS
DO Y ICJB-RM1 R.M.3.1.10 EV61006 R ReactorSis D623 Bloqueo sangrado purga a antorcha
DO Y ICJB-RM1 R.M.3.1.11 EV61018 R ReactorSis RegSys Bloqueo alimentacin H2
DO Y ICJB-RM1 R.M.3.1.9 EY60501C R ReactorSis C625 Parada Compresor (SIL)
DO Y ICJB-RM1 R.M.4.1.1 EV11023 R ReactorSis MM-142 Vlvula Hidrgeno SIS
DO Y ICJB-RM1 R.M.4.1.8 EV60505 R ReactorSis E621 Bloqueo bypass del intercambiador
DO Y ICJB-RM1 R.M.4.1.9 EV61005 R ReactorSis D623 Vlvula de bloqueo purga a antorcha posterior
DO Y ICJB-RM1 R.M.4.1.10 EV61011 R ReactorSis D623 Vlvula de bloqueo purga a antorcha anterior
DO Y ICJB-RM1 R.M.4.1.11 EV61021 R ReactorSis RegSys Bloqueo alimentacin aire de planta
Tabla 30 Listado general seales de E/S
Mapa de seales de E/S

ICJB-A11 MICJB-A21
CLU-A-M-1-37 CLU-A-M-1-38 CLU-A-M-1-39 CLU-A-M-2-1
AM-37-01 TU845-AI845 AM-38-01 TU845-AI845 AM-39-01 TU845-AI845 AM-37-01 TU845-AI845
A.M.1.37.1.1 FT60503 A.M.1.38.1.1 FT60533 A.M.1.39.1.1 A.M.2.37.1.1 JT60501
A.M.1.37.1.2 TT60531 A.M.1.38.1.2 TT60532 A.M.1.39.1.2 A.M.2.371.2 JT60620
A.M.1.37.1.3 PIT60616 A.M.1.38.1.3 TIT60608 A.M.1.39.1.3 A.M.2.37.1.3 JT61101
A.M.1.37.1.4 TT60906 A.M.1.38.1.4 VT60904 A.M.1.39.1.4 A.M.2.37.1.4
A.M.1.37.1.5 FT61019 A.M.1.38.1.5 FT61026 A.M.1.39.1.5 A.M.2.37.1.5
A.M.1.37.1.6 LT62009 A.M.1.38.1.6 PT62003 A.M.1.39.1.6 A.M.2.37.1.6
A.M.1.37.1.7 PIT60812 A.M.1.38.1.7 PT11523 A.M.1.39.1.7 A.M.2.37.1.7 JT62101
A.M.1.37.1.8 PDT60543 A.M.1.38.1.8 A.M.1.39.1.8 A.M.2.37.1.8
A.M.1.38.1.9 A.M.1.38.1.9 A.M.1.38.1.9 A.M.1.38.1.9
A.M.1.37.1.10 A.M.1.37.1.10 A.M.1.37.1.10 A.M.1.37.1.10
A.M.1.37.1.11 A.M.1.37.1.11 A.M.1.37.1.11 A.M.1.37.1.11
A.M.1.37.1.12 A.M.1.37.1.12 A.M.1.37.1.12 A.M.1.37.1.12
A.M.1.37.1.13 A.M.1.37.1.13 A.M.1.37.1.13 A.M.1.37.1.13
A.M.1.37.1.14 A.M.1.37.1.14 A.M.1.37.1.14 A.M.1.37.1.14
A.M.1.37.1.15 A.M.1.37.1.15 A.M.1.37.1.15 A.M.1.37.1.15
A.M.1.37.1.16 A.M.1.37.1.16 A.M.1.37.1.16 A.M.1.37.1.16
AM-37-02 TU845-AI845 AM-38-02 TU845-AI845 AM-39-02 TU845-AI845 AM-37-02 TU845-AI845
A.M.1.37.2.1 PT60504 A.M.1.38.2.1 TT60502 A.M.1.39.2.1 A.M.2.37.2.1
A.M.1.37.2.2 PDT60606 A.M.1.38.2.2 PT60603 A.M.1.39.2.2 A.M.2.37.2.2
A.M.1.37.2.3 TIT60614 A.M.1.38.2.3 PDT60808 A.M.1.39.2.3 A.M.2.37.2.3
A.M.1.37.2.4 AT61030 A.M.1.38.2.4 FT61012 A.M.1.39.2.4 A.M.2.37.2.4
A.M.1.37.2.5 TT61008 A.M.1.38.2.5 PIT61104 A.M.1.39.2.5 A.M.2.37.2.5
A.M.1.37.2.6 TT62010 A.M.1.38.2.6 PIT62104 A.M.1.39.2.6 A.M.2.37.2.6
A.M.1.37.2.7 PIT60813 A.M.1.38.2.7 PDT60802 A.M.1.39.2.7 A.M.2.37.2.7
A.M.1.37.2.8 PT11528 A.M.1.38.2.8 PT12023 A.M.1.39.2.8 A.M.2.37.2.8
A.M.1.38.1.9 A.M.1.38.1.9 A.M.1.38.1.9 A.M.1.38.1.9
A.M.1.37.1.10 A.M.1.37.1.10 A.M.1.37.1.10 A.M.1.37.1.10
A.M.1.37.1.11 A.M.1.37.1.11 A.M.1.37.1.11 A.M.1.37.1.11
A.M.1.37.1.12 A.M.1.37.1.12 A.M.1.37.1.12 A.M.1.37.1.12
A.M.1.37.1.13 A.M.1.37.1.13 A.M.1.37.1.13 A.M.1.37.1.13
A.M.1.37.1.14 A.M.1.37.1.14 A.M.1.37.1.14 A.M.1.37.1.14
A.M.1.37.1.15 A.M.1.37.1.15 A.M.1.37.1.15 A.M.1.37.1.15
A.M.1.37.1.16 A.M.1.37.1.16 A.M.1.37.1.16 A.M.1.37.1.16
AM-37-03 TU845-AI845 AM-38-03 TU843-AO845 AM-39-03 TU845-AI845 AM-37-03 TU843-DI840
A.M.1.37.3.1 TT60510 A.M.1.38.3.1 IP60506 A.M.1.39.3.1 A.M.2.37.3.1 ZS60501A
A.M.1.37.3.2 PIT60604 A.M.1.38.3.2 IP60537 A.M.1.39.3.2 A.M.2.37.3.2 ZS60905A
A.M.1.37.3.3 FT60901 A.M.1.38.3.3 IP60902 A.M.1.39.3.3 A.M.2.37.3.3
A.M.1.37.3.4 FT61016 A.M.1.38.3.4 IP61017 A.M.1.39.3.4 A.M.2.37.3.4
A.M.1.37.3.5 LIT62008 A.M.1.38.3.5 IP61027 A.M.1.39.3.5 A.M.2.37.3.5
A.M.1.37.3.6 LIT60610 A.M.1.38.3.6 IP62004 A.M.1.39.3.6 A.M.2.37.3.6
A.M.1.37.3.7 A.M.1.38.3.7 A.M.1.39.3.7 A.M.2.37.3.7
A.M.1.37.3.8 PT12028 A.M.1.38.3.8 A.M.1.39.3.8 A.M.2.37.3.8
A.M.1.38.1.9 A.M.1.38.1.9 A.M.1.38.1.9 A.M.2.37.3.9
A.M.1.37.1.10 A.M.1.37.1.10 A.M.1.37.1.10 A.M.2.37.3.10 ZS60521A
A.M.1.37.1.11 A.M.1.37.1.11 A.M.1.37.1.11 A.M.2.37.3.11 ZS61101
A.M.1.37.1.12 A.M.1.37.1.12 A.M.1.37.1.12 A.M.2.37.3.12 UA60520A
A.M.1.37.1.13 A.M.1.37.1.13 A.M.1.37.1.13 A.M.2.37.3.13 ZS60521B
A.M.1.37.1.14 A.M.1.37.1.14 A.M.1.37.1.14 A.M.2.37.3.14
A.M.1.37.1.15 A.M.1.37.1.15 A.M.1.37.1.15 A.M.2.37.3.15
A.M.1.37.1.16 A.M.1.37.1.16 A.M.1.37.1.16 A.M.2.37.3.16
AM-37-04 TU843-AO845 AM-38-04 TU843-DI840 AM-39-04 TU845-AI845 AM-37-04 TU843-DI840
A.M.1.37.4.1 IP60536 A.M.1.38.4.1 HS60539 A.M.1.39.4.1 A.M.2.37.4.1 ZS60501B
A.M.1.37.4.2 A.M.1.38.4.2 HS60541 A.M.1.39.4.2 A.M.2.37.4.2 ZS60905B
A.M.1.37.4.3 IP61013 A.M.1.38.4.3 ZSC60535 A.M.1.39.4.3 A.M.2.37.4.3 EY60501B
A.M.1.37.4.4 IP61020 A.M.1.38.4.4 A.M.1.39.4.4 A.M.2.37.4.4 EY60519BA
A.M.1.37.4.5 A.M.1.38.4.5 TSH60734 A.M.1.39.4.5 A.M.2.37.4.5 EY60620A
A.M.1.37.4.6 IP62005 A.M.1.38.4.6 UA60735 A.M.1.39.4.6 A.M.2.37.4.6
A.M.1.37.4.7 A.M.1.38.4.7 VSHH60731 A.M.1.39.4.7 A.M.2.37.4.7
A.M.1.37.4.8 A.M.1.38.4.8 ZSO60915 A.M.1.39.4.8 A.M.2.37.4.8
A.M.1.38.1.9 A.M.1.38.4.9 ZS61022A A.M.1.38.1.9 A.M.2.37.4.9
A.M.1.37.1.10 A.M.1.38.4.10 ZS61022C A.M.1.37.1.10 A.M.2.37.4.10 ZS62101
A.M.1.37.1.11 A.M.1.38.4.11 ZSC61024 A.M.1.37.1.11 A.M.2.37.4.11 EY61101A
A.M.1.37.1.12 A.M.1.38.4.12 ZSC61028 A.M.1.37.1.12 A.M.2.37.4.12 UA60520B
A.M.1.37.1.13 A.M.1.38.4.13 ZSC61106 A.M.1.37.1.13 A.M.2.37.4.13 ZS60620
A.M.1.37.1.14 A.M.1.38.4.14 ZSC61108 A.M.1.37.1.14 A.M.2.37.4.14
A.M.1.37.1.15 A.M.1.38.4.15 A.M.1.37.1.15 A.M.2.37.4.15
A.M.1.37.1.16 A.M.1.38.4.16 A.M.1.37.1.16 A.M.2.37.4.16
AM-37-05 TU843-DI840 AM-38-05 TU843-DO840 AM-39-05 TU843-AO845 AM-37-05 TU843-DO840
A.M.1.37.5.1 HS60540 A.M.1.38.5.1 AY60534A A.M.1.39.5.1 A.M.2.37.5.1 EY60501A
A.M.1.37.5.2 HS60542 A.M.1.38.5.2 EV60535 A.M.1.39.5.2 A.M.2.37.5.2
A.M.1.37.5.3 ZSO60538 A.M.1.38.5.3 XY60610 A.M.1.39.5.3 A.M.2.37.5.3 EY60905A
A.M.1.37.5.4 ZS60610 A.M.1.38.5.4 EV60913 A.M.1.39.5.4 A.M.2.37.5.4
A.M.1.37.5.5 TSHH60733 A.M.1.38.5.5 AY61030A A.M.1.39.5.5 A.M.2.37.5.5
A.M.1.37.5.6 VSH60732 A.M.1.38.5.6 EV61004 A.M.1.39.5.6 A.M.2.37.5.6
A.M.1.37.5.7 ZSO60913 A.M.1.38.5.7 EV61025 A.M.1.39.5.7 A.M.2.37.5.7
A.M.1.37.5.8 UA61030 A.M.1.38.5.8 EV61031 A.M.1.39.5.8 A.M.2.37.5.8
A.M.1.37.5.9 ZS61022B A.M.1.38.5.9 EV61107 A.M.1.38.1.9 A.M.2.37.5.9
A.M.1.37.5.10 ZSC61004 A.M.1.38.5.10 EV61109 A.M.1.37.1.10 A.M.2.37.5.10
A.M.1.37.5.11 ZSC61025 A.M.1.38.5.11 A.M.1.37.1.11 A.M.2.37.5.11
A.M.1.37.5.12 ZSC61031 A.M.1.38.5.12 A.M.1.37.1.12 A.M.2.37.5.12 EY62101A
A.M.1.37.5.13 ZSC61107 A.M.1.38.5.13 A.M.1.37.1.13 A.M.2.37.5.13
A.M.1.37.5.14 ZSC61109 A.M.1.38.5.14 A.M.1.37.1.14 A.M.2.37.5.14 EY60519AA
A.M.1.37.5.15 ZSO60811 A.M.1.38.5.15 A.M.1.37.1.15 A.M.2.37.5.15
A.M.1.37.5.16 A.M.1.38.5.16 A.M.1.37.1.16 A.M.2.37.5.16
AM-38-06 TU843-DO840 AM-38-06 TU843-DI840 AM-39-06 TU843-DO840 AM-37-06 TU843-AO845
A.M.1.37.6.1 AY60534B A.M.1.38.6.1 A.M.1.39.6.1 A.M.2.37.6.1 TY60518A
A.M.1.37.6.2 EV60538 A.M.1.38.6.2 A.M.1.39.6.2 A.M.2.37.6.2 TY60518B
A.M.1.37.6.3 XY60730 A.M.1.38.6.3 A.M.1.39.6.3 A.M.2.37.6.3
A.M.1.37.6.4 EV60915 A.M.1.38.6.4 A.M.1.39.6.4 A.M.2.37.6.4
A.M.1.37.6.5 AY61030B A.M.1.38.6.5 A.M.1.39.6.5 A.M.2.37.6.5
A.M.1.37.6.6 EV61024 A.M.1.38.6.6 A.M.1.39.6.6 A.M.2.37.6.6
A.M.1.37.6.7 EV61028 A.M.1.38.6.7 A.M.1.39.6.7 A.M.2.37.6.7
A.M.1.37.6.8 EV61106 A.M.1.38.6.8 A.M.1.39.6.8 A.M.2.37.6.8
A.M.1.37.6.9 EV61108 A.M.1.38.6.9 A.M.1.39.6.9 A.M.1.38.1.9
A.M.1.37.6.10 EV60811 A.M.1.38.6.10 A.M.1.39.6.10 A.M.1.37.1.10
A.M.1.37.6.11 XY60736 A.M.1.38.6.11 A.M.1.39.6.11 A.M.1.37.1.11
A.M.1.37.6.12 A.M.1.38.6.12 A.M.1.39.6.12 A.M.1.37.1.12
A.M.1.37.6.13 A.M.1.38.6.13 A.M.1.39.6.13 A.M.1.37.1.13
A.M.1.37.6.14 A.M.1.38.6.14 A.M.1.39.6.14 A.M.1.37.1.14
A.M.1.37.6.15 A.M.1.38.6.15 A.M.1.39.6.15 A.M.1.37.1.15
A.M.1.37.6.16 A.M.1.38.6.16 A.M.1.39.6.16 A.M.1.37.1.16
Tabla 31 Distribucin de seales de E/S en Controlador A

ICJB-RM1
CLU-R-M-1 CLU-R-M-2 CLU-R-M-3 CLU-R-M-4
RM-1-01 TU845-AI880 RM-2-01 TU845-AI880 RM-3-01 TU843-DO880 RM-4-01 TU843-DO880
R.M.1.1.1 TT11512A R.M.2.1.1 TT11512B R.M.3.1.1 EV11012 R.M.4.1.1 EV11023
R.M.1.1.2 TT11543A R.M.2.1.2 TT11543B R.M.3.1.2 R.M.4.1.2
R.M.1.1.3 TT12040A R.M.2.1.3 TT12040B R.M.3.1.3 R.M.4.1.3
R.M.1.1.4 TT11535A R.M.2.1.4 TT11535B R.M.3.1.4 R.M.4.1.4
R.M.1.1.5 TT11544A R.M.2.1.5 TT11544B R.M.3.1.5 R.M.4.1.5
R.M.1.1.6 TT12041A R.M.2.1.6 TT12041B R.M.3.1.6 R.M.4.1.6
R.M.1.1.7 R.M.2.1.7 R.M.3.1.7 R.M.4.1.7
R.M.1.1.8 R.M.2.1.8 R.M.3.1.8 R.M.4.1.8 EV60505
R.M.1.1.9 R.M.1.1.9 R.M.1.1.9 EY60501C R.M.1.1.9 EV61005
R.M.1.1.10 R.M.1.1.10 R.M.1.1.10 EV61006 R.M.1.1.10 EV61011
R.M.1.1.11 R.M.1.1.11 R.M.1.1.11 EV61018 R.M.1.1.11 EV61021
R.M.1.1.12 R.M.1.1.12 R.M.1.1.12 R.M.1.1.12
R.M.1.1.13 R.M.1.1.13 R.M.1.1.13 R.M.1.1.13
R.M.1.1.14 R.M.1.1.14 R.M.1.1.14 R.M.1.1.14
R.M.1.1.15 R.M.1.1.15 R.M.1.1.15 R.M.1.1.15
R.M.1.1.16 R.M.1.1.16 R.M.1.1.16 R.M.1.1.16
RM-1-02 TU845-AI880 RM-2-02 TU845-AI880 RM-3-02 TU843-DI880 RM-4-02 TU843-DI880
R.M.1.2.1 TT11536A R.M.2.2.1 TT11536B R.M.3.2.1 ZSC11012 R.M.4.2.1 ZSC11023
R.M.1.2.2 TT11545A R.M.2.2.2 TT11545B R.M.3.2.2 R.M.4.2.2
R.M.1.2.3 TT12042A R.M.2.2.3 TT12042B R.M.3.2.3 R.M.4.2.3
R.M.1.2.4 R.M.2.2.4 R.M.3.2.4 R.M.4.2.4
R.M.1.2.5 R.M.2.2.5 R.M.3.2.5 R.M.4.2.5
R.M.1.2.6 R.M.2.2.6 R.M.3.2.6 R.M.4.2.6
R.M.1.2.7 LIT61002 R.M.2.2.7 LT61029 R.M.3.2.7 R.M.4.2.7
R.M.1.2.8 AT60534 R.M.2.2.8 TT60509 R.M.3.2.8 R.M.4.2.8 UA60534
R.M.1.1.9 R.M.1.1.9 R.M.1.1.9 ZSC60505 R.M.1.1.9 ZSC61005
R.M.1.1.10 R.M.1.1.10 R.M.1.1.10 ZSC61011 R.M.1.1.10 ZSC61018
R.M.1.1.11 R.M.1.1.11 R.M.1.1.11 ZSC61021 R.M.1.1.11 ZSO61006
R.M.1.1.12 R.M.1.1.12 R.M.1.1.12 R.M.1.1.12
R.M.1.1.13 R.M.1.1.13 R.M.1.1.13 R.M.1.1.13
R.M.1.1.14 R.M.1.1.14 R.M.1.1.14 R.M.1.1.14 ZSO61021
R.M.1.1.15 R.M.1.1.15 R.M.1.1.15 R.M.1.1.15
R.M.1.1.16 R.M.1.1.16 R.M.1.1.16 R.M.1.1.16
RM-1-03 TU845-AI880 RM-2-03 TU845-AI880 RM-3-03 RM-4-03
R.M.1.3.1 TT11538A R.M.2.3.1 TT11538B R.M.3.3.1 R.M.4.3.1
R.M.1.3.2 TT12035A R.M.2.3.2 TT12035B R.M.3.3.2 R.M.4.3.2
R.M.1.3.3 TT12044A R.M.2.3.3 TT12044B R.M.3.3.3 R.M.4.3.3
R.M.1.3.4 TT11541A R.M.2.3.4 TT11541B R.M.3.3.4 R.M.4.3.4
R.M.1.3.5 TT12038A R.M.2.3.5 TT12038B R.M.3.3.5 R.M.4.3.5
R.M.1.3.6 R.M.2.3.6 R.M.3.3.6 R.M.4.3.6
R.M.1.3.7 R.M.2.3.7 R.M.3.3.7 R.M.4.3.7
R.M.1.3.8 PT61007 R.M.2.3.8 PT61014 R.M.3.3.8 R.M.4.3.8
R.M.1.1.9 R.M.1.1.9 R.M.1.1.9 R.M.1.1.9
R.M.1.1.10 R.M.1.1.10 R.M.1.1.10 R.M.1.1.10
R.M.1.1.11 R.M.1.1.11 R.M.1.1.11 R.M.1.1.11
R.M.1.1.12 R.M.1.1.12 R.M.1.1.12 R.M.1.1.12
R.M.1.1.13 R.M.1.1.13 R.M.1.1.13 R.M.1.1.13
R.M.1.1.14 R.M.1.1.14 R.M.1.1.14 R.M.1.1.14
R.M.1.1.15 R.M.1.1.15 R.M.1.1.15 R.M.1.1.15
R.M.1.1.16 R.M.1.1.16 R.M.1.1.16 R.M.1.1.16
R.M.1.4.1 TT11540A R.M.2.4.1 TT11540B R.M.3.4.1 R.M.4.4.1
R.M.1.4.2 TT12037A R.M.2.4.2 TT12037B R.M.3.4.2 R.M.4.4.2
R.M.1.4.3 TT11539A R.M.2.4.3 TT11537B R.M.3.4.3 R.M.4.4.3
R.M.1.4.4 TT12036A R.M.2.4.4 TT12012B R.M.3.4.4 R.M.4.4.4
R.M.1.4.5 TT12045A R.M.2.4.5 TT12043B R.M.3.4.5 R.M.4.4.5
R.M.1.4.6 R.M.2.4.6 R.M.3.4.6 R.M.4.4.6
R.M.1.4.7 R.M.2.4.7 R.M.3.4.7 R.M.4.4.7
R.M.1.4.8 R.M.2.4.8 R.M.3.4.8 R.M.4.4.8
R.M.1.1.9 R.M.1.1.9 R.M.1.1.9 R.M.1.1.9
R.M.1.1.10 R.M.1.1.10 R.M.1.1.10 R.M.1.1.10
R.M.1.1.11 R.M.1.1.11 R.M.1.1.11 R.M.1.1.11
R.M.1.1.12 R.M.1.1.12 R.M.1.1.12 R.M.1.1.12
R.M.1.1.13 R.M.1.1.13 R.M.1.1.13 R.M.1.1.13
R.M.1.1.14 R.M.1.1.14 R.M.1.1.14 R.M.1.1.14
R.M.1.1.15 R.M.1.1.15 R.M.1.1.15 R.M.1.1.15
R.M.1.1.16 R.M.1.1.16 R.M.1.1.16 R.M.1.1.16
R.M.1.5.1 TT11542A R.M.2.5.1 TT11542B R.M.3.5.1 R.M.4.5.1
R.M.1.5.2 TT12039A R.M.2.5.2 TT12039B R.M.3.5.2 R.M.4.5.2
R.M.1.5.3 TT11537A R.M.2.5.3 TT11539B R.M.3.5.3 R.M.4.5.3
R.M.1.5.4 TT12012A R.M.2.5.4 TT12036B R.M.3.5.4 R.M.4.5.4
R.M.1.5.5 TT12043A R.M.2.5.5 TT12045B R.M.3.5.5 R.M.4.5.5
R.M.1.5.6 R.M.2.5.6 R.M.3.5.6 R.M.4.5.6
R.M.1.5.7 R.M.2.5.7 R.M.3.5.7 R.M.4.5.7
R.M.1.5.8 R.M.2.5.8 R.M.3.5.8 R.M.4.5.8
R.M.1.1.9 R.M.1.1.9 R.M.3.5.9 R.M.4.5.9
R.M.1.1.10 R.M.1.1.10 R.M.3.5.10 R.M.4.5.10
R.M.1.1.11 R.M.1.1.11 R.M.3.5.11 R.M.4.5.11
R.M.1.1.12 R.M.1.1.12 R.M.3.5.12 R.M.4.5.12
R.M.1.1.13 R.M.1.1.13 R.M.3.5.13 R.M.4.5.13
R.M.1.1.14 R.M.1.1.14 R.M.3.5.14 R.M.4.5.14
R.M.1.1.15 R.M.1.1.15 R.M.3.5.15 R.M.4.5.15
R.M.1.1.16 R.M.1.1.16 R.M.3.5.16 R.M.4.5.16
R.M.1.6.1 R.M.2.6.1 R.M.3.6.1 R.M.4.6.1
R.M.1.6.2 R.M.2.6.2 R.M.3.6.2 R.M.4.6.2
R.M.1.6.3 R.M.2.6.3 R.M.3.6.3 R.M.4.6.3
R.M.1.6.4 R.M.2.6.4 R.M.3.6.4 R.M.4.6.4
R.M.1.6.5 R.M.2.6.5 R.M.3.6.5 R.M.4.6.5
R.M.1.6.6 R.M.2.6.6 R.M.3.6.6 R.M.4.6.6
R.M.1.6.7 R.M.2.6.7 R.M.3.6.7 R.M.4.6.7
R.M.1.6.8 R.M.2.6.8 R.M.3.6.8 R.M.4.6.8
R.M.1.6.9 R.M.2.6.9 R.M.1.1.9 R.M.1.1.9
R.M.1.6.10 R.M.2.6.10 R.M.1.1.10 R.M.1.1.10
R.M.1.6.11 R.M.2.6.11 R.M.1.1.11 R.M.1.1.11
R.M.1.6.12 R.M.2.6.12 R.M.1.1.12 R.M.1.1.12
R.M.1.6.13 R.M.2.6.13 R.M.1.1.13 R.M.1.1.13
R.M.1.6.14 R.M.2.6.14 R.M.1.1.14 R.M.1.1.14
R.M.1.6.15 R.M.2.6.15 R.M.1.1.15 R.M.1.1.15
R.M.1.6.16 R.M.2.6.16 R.M.1.1.16 R.M.1.1.16
Tabla 32 Distribucin de seales de E/S en Controlador R

Bibliografa
[1] Reactores Qumicos, Apuntes, Fidel Cunill, Monserrat Iborra, Javier Tejero,
Universidad de Barcelona 2010
[2] Periodic Operation of Chemical Reactors, P. L. Silveston,R. R. Hudgins
[3] Lessons in Industrial Instrumentation, Tony R. Kuphaldt
[4] An Industry Guide to Control System Engineering, a Publication of
AutomationDirect.com
[5] International Electrotechnical Commission IEC-61508
[6] International Electrotechnical Commission IEC-61511
[7] Industrial IT 800xA Control and I/O. General Information and Installation,
Asea Brown Boveri S.A.
[8] Industrial IT 800xA Control and I/O. Modules and Termination Units, Asea
Brown Boveri S.A.
[9] Industrial IT 800xA Control and I/O. AC 800M Controller hardware and
Operation, Asea Brown Boveri S.A.
[10] Industrial IT 800xA Control and I/O. Communication, Protocols and Design,
Asea Brown Boveri S.A.

Automatizacion Proceso Regeneracion Reactor Dcs Abb

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Automatizacion Proceso Regeneracion Reactor Dcs Abb

Загружено:

Авторское право:

Доступные форматы

David Bravo Segovia

AUTOMATIZACIN DEL PROCESO DE REGENERACIN

TRABAJO FINAL DE MSTER

dirigido por el Prof. Alfonso Romero Nevado

Mster en Ingeniera Electrnica

URV AUTOMATIZACIN DEL PROCESO DE REGENERACIN DE UN REACTOR QUMICO 2/173

Proceso de regeneracin de un reactor qumico industrial .................................... 13

Objetivo de la automatizacin ............................................................................. 16

Botoneras software, permisos de operador (SBtn)............................................... 17

Botoneras de campo o setas de emergencia (HS) ................................................. 18

Vlvulas automticas (ABV) y vlvulas automticas de seguridad (EBV) ........... 18

Confirmacin de vlvula abierta y cerrada (ZSC, ZSO) ....................................... 19

Discrepancia DIDO ............................................................................................. 19

Activacin de rels y estado de rels (XY, XA, XS) ............................................ 20

Transmisores de variables de proceso analgicos (PT, TT, FT)........................ 21

Transmisores de variables de proceso discretos (PSH, PSL, LSL).................... 22

Actuadores y vlvulas de control (CV) ................................................................ 22

Compresor de Regeneracin ................................................................................ 23

Convencin de programacin .................................................................................. 26

Nombres de instrumentos, vlvulas y motores ..................................................... 27

Eventos y alarmas ............................................................................................... 29

Arquitecturas de disparo, enclavamiento o alarma ............................................... 29

Instrumento fuera de servicio .............................................................................. 30

Deshabilitacin de disparos de seguridad LOPA.................................................. 32

URV AUTOMATIZACIN DEL PROCESO DE REGENERACIN DE UN REACTOR QUMICO 3/173

Interaccin entre SIS y BPCS .............................................................................. 33

Disparo BPCS en LOPA ..................................................................................... 34

Alarma instrumento SIS fuera de servicio ............................................................ 34

Actuadores y motores SIS ................................................................................... 35

3. Implementacin y desarrollo ................................................................................... 38

Definicin de la estrategia de control de proceso ..................................................... 48

Anlisis LOPA particular del proceso...................................................................... 58

URV AUTOMATIZACIN DEL PROCESO DE REGENERACIN DE UN REACTOR QUMICO 4/173

URV AUTOMATIZACIN DEL PROCESO DE REGENERACIN DE UN REACTOR QUMICO 5/173

URV AUTOMATIZACIN DEL PROCESO DE REGENERACIN DE UN REACTOR QUMICO 6/173

URV AUTOMATIZACIN DEL PROCESO DE REGENERACIN DE UN REACTOR QUMICO 7/173

En primer lugar, analiza el proceso de regeneracin de un reactor de este tipo, dando a

Como complemento y a la vez base de cualquier estudio de automatizacin, se analizan

Utilizando estas normas, se desarrolla el programa de control y los lazos de seguridad

Por ltimo, describe brevemente el comisionado y puesta en marcha del sistema

URV AUTOMATIZACIN DEL PROCESO DE REGENERACIN DE UN REACTOR QUMICO 8/173

El siguiente diagrama muestra la estructura y desarrollo del presente proyecto.

DEFINICIN DE LA ESTRATEGIA DE CONTROL

ESTUDIO DE SEGURIDAD DEL PROCESO

ESTUDIO DE RECURSOS MATERIALES Y HUMANOS

COMISIONADO Y PUESTA EN MARCHA

URV AUTOMATIZACIN DEL PROCESO DE REGENERACIN DE UN REACTOR QUMICO 9/173

Los tipos de reactores qumicos se clasifican segn:

Tipo de flujo interno

URV AUTOMATIZACIN DEL PROCESO DE REGENERACIN DE UN REACTOR QUMICO 10/173

Fases que albergan

El presente proyecto aborda la regeneracin de un reactor de hidrogenacin cataltica de

URV AUTOMATIZACIN DEL PROCESO DE REGENERACIN DE UN REACTOR QUMICO 11/173

Durante la operacin de hidrogenado, el rendimiento del catalizador utilizado disminuye

La regeneracin del catalizador consiste en quemar hidrocarburos pesados utilizando aire

El sistema de regeneracin es un sistema de ciclo cerrado. El medio de regeneracin es

La regeneracin se realiza circulando a contracorriente una cantidad ms o menos

El objetivo de esta operacin es la combustin de los hidrocarburos que queden en

Esta operacin se realiza para reactivar los catalizadores. Se hace mediante la

Los componentes ms pesados se condensan en un enfriador de aire o ventilador y se

El lquido sobrante se enva normalmente desde este depsito al depsito de recogida de

Los componentes ms ligeros de la regeneracin se purgan al sistema de gas de venteo para

URV AUTOMATIZACIN DEL PROCESO DE REGENERACIN DE UN REACTOR QUMICO 14/173

D-23 Fuel Oil Off-Gas