NRF 045 Pemex 20101

NRF-045-PEMEX-2010
COMITÉ DE NORMALIZACIÓN DE PETRÓLEOS MEXICANOS

Y ORGANISMOS SUBSIDIARIOS
28 de Junio de 2010
SUBCOMITÉ TÉCNICO DE NORMALIZACIÓN DE
PÁGINA 1 DE 81 PEMEX - EXPLORACIÓN Y PRODUCCIÓN
SEGURIDAD FUNCIONAL – SISTEMAS

INSTRUMENTADOS DE SEGURIDAD – PARA
LOS PROCESOS DEL SECTOR INDUSTRIAL
Esta norma cancela y sustituye a la NRF-045-PEMEX-2002 de fecha 17 de mayo de 2003.
SEGURIDAD FUNCIONAL – SISTEMAS NRF-045-PEMEX-2010
Comité de Normalización de INSTRUMENTADOS DE SEGURIDAD –
PARA LOS PROCESOS DEL SECTOR REV. 0
Petróleos Mexicanos y
Organismos Subsidiarios INDUSTRIAL PÁGINA 3 DE 81
CONTENIDO
CAPÍTULO PÁGINA
0 INTRODUCCIÓN ................................................................................................................................4
1 OBJETIVO ..........................................................................................................................................5
2 ALCANCE ...........................................................................................................................................5
3 CAMPO DE APLICACIÓN ..................................................................................................................5
4 ACTUALIZACIÓN ...............................................................................................................................5
5 REFERENCIAS ...................................................................................................................................6
6 DEFINICIONES ...................................................................................................................................8
7 SÍMBOLOS Y ABREVIATURAS ..................................................................................................... 14
8 DESARROLLO ................................................................................................................................ 16
8.1 Administración de la seguridad funcional ............................................................................. 17
8.2 Requisitos del Ciclo de Vida de Seguridad ........................................................................... 22
8.3 Verificación............................................................................................................................ 24
8.4 Análisis y evaluación de riesgos del proceso ....................................................................... 24
8.5 Asignación de funciones de seguridad para capas de protección ....................................... 26
8.6 Especificación de los Requisitos de Seguridad-ERS del SIS para paro por emergencia .... 29
8.7 Diseño e ingeniería del equipo del SIS ................................................................................. 31
8.8 Requisitos para los programas de aplicación incluyendo criterios de selección para los
programas de utilerías .......................................................................................................... 51
8.9 Pruebas de aceptación en fábrica (FAT) del SIS ................................................................. 66
8.10 Instalación y “comisionamiento” del SIS ............................................................................... 68
8.11 Validación de seguridad del SIS ........................................................................................... 69
8.12 Operación y mantenimiento del SIS ..................................................................................... 73
8.13 Modificación del SIS ............................................................................................................. 76
8.14 Desmantelamiento del SIS ................................................................................................... 77
8.15 Requisitos de Información y documentación ........................................................................ 77
9 RESPONSABILIDADES .................................................................................................................. 78
9.1 PEMEX .................................................................................................................................. 78
9.2 Proveedores o contratistas ................................................................................................... 79
10 CONCORDANCIA CON NORMAS MEXICANAS O INTERNACIONALES ................................... 79
11 BIBLIOGRAFÍA ............................................................................................................................... 80
12 ANEXOS .......................................................................................................................................... 80
12.1 Formato de matriz lógica de causa y efecto del SIS ............................................................ 80
0 INTRODUCCIÓN
Dentro de las principales actividades que se llevan a cabo en Petróleos Mexicanos se encuentra el diseño,
construcción, operación y el mantenimiento de las instalaciones para la extracción, recolección,
almacenamiento, medición, transporte, procesamientos primario y secundario de hidrocarburos, así como la
adquisición de materiales y equipos requeridos, para cumplir con eficacia y eficiencia los objetivos de la
empresa.
Esta norma refiere a los Sistemas Instrumentados de Seguridad (SIS) para el Sistema de Paro por Emergencia
aplicados a la industria de procesos de PEMEX, basado en la especificación del modelo del ciclo de vida, e
incluye los componentes y subsistemas requeridos para soportar las funciones instrumentadas de seguridad
(FIS), que involucran sensores, resolvedores lógicos y elementos finales.
PEMEX emite la presente norma de referencia para definir los requisitos del ciclo de vida del Sistema
Instrumentado de Seguridad y su aplicación en los Sistemas de Paro por Emergencia en las instalaciones de
Petróleos Mexicanos y Organismos Subsidiarios. Para lograr lo anterior es requerida la participación de las
diversas disciplinas de ingeniería para unificar criterios, aprovechar las experiencias diversas y conjuntando los
resultados con las investigaciones nacionales e internacionales.
Este documento normativo se realizó en atención y cumplimiento a:
Ley Federal sobre Metrología y Normalización y su Reglamento

Ley de Obras Públicas y Servicios Relacionados con las Mismas y su Reglamento
Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público y su Reglamento
Ley General de Equilibrio Ecológico y la Protección al Ambiente y sus Reglamentos
Guía para la Emisión de Normas de Referencia de Petróleos Mexicanos y Organismos Subsidiarios (CNPMOS-
001, Rev.1, 30 septiembre 2004)
En esta norma participaron, por parte de Pemex:
Pemex-Exploración y Producción (PEP)

Pemex-Gas y Petroquímica Básica (PGPB)
Pemex-Petroquímica (PPQ)
Pemex-Refinación (PREF)
Petróleos Mexicanos (DCO-DCIDP)
Por parte externa:
INSTITUTO MEXICANO DEL PETRÓLEO

SCHNEIDER ELECTRIC MÉXICO
SMART SAFETY & CONTROL PROVIDER, S.A. DE C.V.
INVENSYS SYSTEMS MÉXICO, S.A.
ROCKWELL AUTOMATION DE MÉXICO
EXIDA CONSULTING MÉXICO
ABB MÉXICO S.A. DE C.V.
GE FANUC INTELLIGENT PLATFORMS
REDCA CURSOS Y SISTEMAS S.A. DE C.V.
ISA MÉXICO
SIEMENS
ARPO SINERGIA TECNOLÓGICA, S.A. DE C.V.
EMERSON PROCESS MANAGEMENT S.A. DE C.V.
MEDSA/SSCE
1 OBJETIVO
Establecer los requisitos técnicos y documentales que se deben cumplir en la contratación y/o para la
adquisición de los Sistemas Instrumentados de Seguridad aplicables a los Sistemas de Paro por Emergencia
en las instalaciones de procesos industriales de Petróleos Mexicanos y Organismos Subsidiarios. Además,
establecer los requisitos técnicos y documentales para: Administración de la seguridad funcional de los
Sistemas Instrumentados de Seguridad.
2 ALCANCE
Esta norma de referencia establece las obligaciones para especificar el diseño, instalación, pruebas,
“comisionamiento”, operación, mantenimiento, modificación y desmantelamiento de los Sistemas
Instrumentados de Seguridad aplicables a los Sistemas de Paro por Emergencia, Sistemas de Protección de
Presión de Alta Integridad (HIPPS), y la metodología para verificar que se cumplan dichos requisitos en los
procesos industriales de las instalaciones de PEMEX.
Para el caso de los siguientes sistemas se deben tomar en cuenta:
Sistemas de control de quemado (BMS) (aplica solo para acciones que generen el paro de emergencia)
Sistemas de paro neumático (no aplica la parte de resolvedor lógico)
Sistemas de gas y fuego (no aplica la selección de NIS (SIL)
En el caso de SIS existentes diseñados y construidos de acuerdo con normas, códigos, estándares, o prácticas
anteriores a la emisión de esta norma de referencia, PEMEX debe determinar en sus bases de licitación los
requisitos y etapas del ciclo de vida de seguridad funcional que se deben aplicar.
3 CAMPO DE APLICACIÓN
Esta norma de referencia es de aplicación general y de observancia obligatoria en la contratación o adquisición

de un bien o servicio objeto de la misma, que lleven a cabo los centros de trabajo de Petróleos Mexicanos y sus
Organismos Subsidiarios. Por lo que debe ser incluida en los procedimientos de contratación: licitación pública,
invitación a cuando menos tres personas, o adjudicación directa, como parte de los requisitos que deben
cumplir el proveedor, contratista o licitante.
Así mismo esta norma de referencia es de aplicación y cumplimiento estricto en todas las áreas de PEMEX, en
el caso que realice cualquiera de las etapas con personal propio.
4 ACTUALIZACIÓN
Las sugerencias para la revisión de esta norma deben ser enviadas al secretario técnico del Subcomité Técnico
de Normalización (SUTEN) de PEP, quien debe realizar la actualización de acuerdo a la procedencia de las
mismas. Sin embargo, esta norma se debe revisar y actualizar, al menos, cada 5 años o antes, si las
sugerencias o recomendaciones de cambio lo ameritan.
Las propuestas y sugerencias de cambio deben elaborarse en el formato CNPMOS-001-A01, de la Guía para
la Emisión de Normas de Referencia CNPMOS-001, Rev.1 del 30 de septiembre de 2004 y dirigirse a:
Pemex-Exploración y Producción
Subdirección de Distribución y Comercialización
Representación de la Gerencia de Administración del Mantenimiento
Bahía de Ballenas # 5, edificio “D”, planta baja, entrada por Bahía del Espíritu Santo S/N
Col. Verónica Anzures. C. P. 11300 México, D. F.
Teléfono directo: 19-44-92-86, conmutador: 19-44-25-00, extensión: 3-80-80, fax: 3-26-54
Correo electrónico: luis.ortiz@pemex.com
5 REFERENCIAS
5.1 IEC 60654-1:1993 Industrial-process measurement and control equipment - Operating conditions - Part
1: Climatic conditions. Edition 2.0 (Equipo de medición y control para la industria de proceso –Condiciones de
operación Parte 1 Condiciones climáticas. Edición 2.0)
5.2 IEC 60654-3:1983 Operating conditions for industrial-process measurement and control equipment. Part
3: Mechanical influences. Edition 1.0 (Condiciones de operación para equipo de medición y control para la
industria de proceso. Edición 1.0)
5.3 IEC 61000-6-2:2005 Electromagnetic compatibility (EMC) – Part 6: Generic standards – Section 2:
Immunity for industrial environments (Compatibilidad electromagnética (CEM) – Parte 6: Normas genéricas –
Sección 2: Inmunidad en entornos industriales)
5.4 IEC 61000-6-4:2006 Electromagnetic compatibility (EMC) – Part 6: Generic standards – Section 4:
Emission standard for industrial environments (Compatibilidad electromagnética (CEM) – Parte 6: Normas
genéricas – Sección 4: Norma de emisiones en entornos industriales)
5.5 IEC 61131-2:2007 Programmables controllers – Part 2 Equipment requirements and test (Controladores
programables – Parte 2 Pruebas y requisitos para el equipo)
5.6 IEC 61131-3:2003 Programmable controllers - Part 3 Programming languages (Controladores

programables – Parte 3 Lenguajes de programación)
5.7 IEC 61326-1:2008 Electrical equipment for measurement, control and laboratory use–EMC requirements
– Part 1: General requirements CORRIGENDUM 1 - Edition 1.0 (Equipo eléctrico de medición, control y para uso
de laboratorio –Requerimientos de CEM Parte 1 Requerimientos generales CORRIGENDUM 1 – Edición 1.0)
5.8 IEC 61508-1:1998 Functional safety of electrical/electronic/programmable electronic safety-related

systems – Part 1: General requirements (Seguridad funcional de los sistemas eléctricos / electrónicos /
electrónicos programables relacionados con la seguridad - Parte 1: Requisitos generales)

systems – Part 2: Requirements for electrical/electronic/programmable electronic safety related systems
(Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la
seguridad - Parte 2: Requisitos para los sistemas eléctricos / electrónicos / electrónicos programables
relacionados con la seguridad)

systems – Part 3: Software requirements (Seguridad funcional de los sistemas eléctricos / electrónicos /
electrónicos programables relacionados con la seguridad - Parte 3: Requisitos de los programas “software”)

systems – Part 4: Definitions and abbreviations (Seguridad funcional de los sistemas eléctricos / electrónicos /
electrónicos programables relacionados con la seguridad - Parte 4: Definiciones y abreviaturas)

systems – Part 5: Examples of methods for the determination of safety integrity levels (Seguridad funcional de
los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 5:
Ejemplos de métodos para la determinación de los niveles de integridad de seguridad)

systems – Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (Seguridad funcional de los
sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Parte 6: Guía de
aplicación de la IEC 61508-2 y IEC 61508-3)

systems – Part 7: Overview of techniques and measures (Seguridad funcional de los sistemas eléctricos /
electrónicos / electrónicos programables relacionados con la seguridad - Parte 7: Descripción de técnicas y
medidas)
5.15 IEC 61511-1:2003 Functional safety - Safety instrumented systems for the process industry sector - Part
1: Framework, definitions, system, hardware and software requirements. Corrigendum 1 November 2004.
(Seguridad Funcional - Sistemas Instrumentados de Seguridad – Para los Procesos del Sector Industrial – Parte
1: Marco de referencia, definiciones, sistema, requisitos del software y hardware Corrigendum 1 Nov 2004)
5.16 IEC 61511-2:2004 Functional safety – Safety instrumented systems for the process industry sector –
Part 2: Guidelines for the application of IEC 61511-1. (Seguridad Funcional - Sistemas Instrumentados de
Seguridad – Para los Procesos del Sector Industrial – Parte 2: Guía de aplicación de la IEC 61511-1)
5.17 IEC 61511-3:2004 Functional safety – Safety instrumented systems for the process industry sector –
Part 3: Guidance for the determination of the required safety integrity levels. (Seguridad Funcional - Sistemas
Instrumentados de Seguridad – Para los Procesos del Sector Industrial – Parte 3: Guía para la determinación
del nivel de integridad de seguridad requerido)
5.18 IEC TR 61508-0:2005 Functional Safety of electrical/electronic/programmable electronic safety-related

systems– Part 0: Functional safety and IEC 61508. (Seguridad funcional de los sistemas eléctricos / electrónicos
/ electrónicos programables relacionados con la seguridad - Parte 0: Seguridad funcional y la IEC 61508)
5.19 NOM-001-SEDE-2005 Instalaciones Eléctricas (Utilización)
5.20 NOM-008-SCFI-2002 Sistema general de unidades de medida
5.21 NRF-018-PEMEX-2007 Estudios de riesgo
5.22 NRF-036-PEMEX-2003 Clasificación de Áreas Peligrosas y Selección de Equipo Eléctrico
5.23 NRF-049-PEMEX-2006 Inspección de bienes y servicios

5.24 NRF-111-PEMEX-2006 Equipos de Medición y Servicios de Metrología
5.25 NRF-152-PEMEX-2006 Actuadores para válvulas
5.26 NRF-204-PEMEX-2008 Válvulas de bloqueo de emergencia (válvulas de aislamiento de activación

remota)
5.27 NRF-226-PEMEX-2009 Desplegados gráficos y bases de datos del sistema digital del monitoreo y
control de procesos
6 DEFINICIONES
6.1 Árbol de fallas. Representación gráfica lógica y organizada de las condiciones ó factores que causan o
contribuyen a que ocurra un evento no deseado definido.
6.2 Arquitectura. Arreglo del equipo y/o elementos de programas en un sistema (El arreglo de los
subsistemas del Sistema Instrumentado de Seguridad-SIS, Estructura interna de un subsistema del SIS, Arreglo
de programas, entre otros).
6.3 Auditoria de la seguridad funcional. Inspección sistemática e independiente para determinar si los
procedimientos específicos de los requisitos de seguridad funcional cumplen con lo establecido en la planeación
de forma que sean implementados eficazmente y que son los requeridos para alcanzar los objetivos
especificados.
6.4 Calidad. Totalidad de características de una entidad que tienen que ver con su capacidad para
satisfacer las necesidades establecidas e implícitas.
6.5 Canal. Elemento o grupo de elementos que desempeñan una función de manera independiente. El
término puede ser usado para describir un SIS completo o una parte de este, como sensores o elementos
finales.
6.6 Capas de protección. Cualquier mecanismo independiente que reduce el riesgo por control, prevención
o mitigación y que pueden ser entre otros: equipo de proceso, sistema de control básico de proceso,
procedimientos administrativos, y/o respuestas planeadas para protección contra un riesgo inminente.
6.7 Ciclo de vida de los programas. Secuencia de actividades durante un período de tiempo que va desde
la concepción hasta el desuso del programa, incluye las fases de requisitos, desarrollo, prueba, integración,
instalación y modificación.
6.8 Ciclo de vida de seguridad. Secuencia de actividades involucradas en la implantación de las funciones
instrumentadas de seguridad desde el diseño conceptual hasta el desmantelamiento de todas las funciones
instrumentadas de seguridad.
6.9 Cobertura de Diagnóstico-CD. Relación de la tasa de fallas detectadas respecto de la tasa total de
fallas de un componente o subsistema de un Sistema Instrumentado de Seguridad, detectados mediante
pruebas de diagnóstico, no incluye las fallas detectadas mediante pruebas rigurosas. Se utiliza para calcular la
tasa de fallas detectadas (λdetectadas) y no detectadas (λnodetectadas) de la tasa total de fallas (λtasa total de fallas) de la
siguiente manera: λdetectadas = CD × λtasa total de fallas y λnodetectadas = (1-CD) × λtasa total de fallas.
6.10 Comisionamiento. Es la verificación y confirmación de que el SIS cumple con las características
especificadas en la documentación del diseño detallado y se encuentra listo para las pruebas de prearranque
(cuando PEMEX lo solicite en su proceso licitatorio) y/o validación OSAT.
6.11 Complejidad. Un indicador del número de grados de libertad al cometer errores.
6.12 Comunicación externa. Intercambio de datos entre el SIS y una variedad de sistemas o dispositivos
que se encuentran fuera del SIS. Esto incluye interfaces del operador compartidas, interfaces de
ingeniería/mantenimiento, sistemas de adquisición de datos, entre otros.
6.13 Comunicación interna. Intercambio de datos entre diferentes dispositivos dentro de un procesador
electrónico programable dado. Esto incluye conexiones de plano posterior “back plane” del canal de
comunicación “bus”, E/S (I/O) del canal de comunicación “bus” locales o remotas, entre otros.
6.14 Confiabilidad. Probabilidad de que un sistema pueda desempeñar una función definida bajo
condiciones especificadas para un periodo de tiempo dado.
6.15 Consecuencia. Resultado real o potencial de un evento no deseado, medido por sus efectos en las
personas, en el ambiente, en la producción y/o instalaciones, así como la reputación e imagen.
6.16 Daño. Lesiones físicas o en la salud de las personas, ya sea directa o indirectamente, como
consecuencia de los daños a la propiedad o el medio ambiente.
6.17 Demanda. Una condición ó evento que requiere que el SIS lleve a cabo una acción requerida para
prevenir un evento peligroso, ó para mitigar sus consecuencias.
6.18 Desenergizado para disparo. Circuitos SIS en donde las salidas y dispositivos se encuentran
energizados en operación normal. Cuando se suspende el suministro de energía se produce una acción de
disparo.
6.19 Desmantelamiento. La remoción completa de un SIS de su servicio activo.
6.20 Desmantelamiento parcial. Es un caso particular de modificación, el cual consiste en la remoción de

una ó más Funciones Instrumentadas de Seguridad-FIS (SIF) del SIS.
6.21 Detectada, revelada. Con relación a las fallas, se refiere a las fallas del equipo y fallos en los
programas encontrados por pruebas de diagnóstico o durante la operación normal.
6.22 Disparos en falso. Activación de cualquier Función Instrumentada de Seguridad-FIS (SIF)

perteneciente al SIS, sin existir una demanda real en campo.
6.23 Disponibilidad. Probabilidad de que un SIS es capaz de desempeñar un servicio de seguridad bajo
demanda (en operación). Un SIS no está disponible si se encuentra en un estado de falla (seguro o peligroso),
o que se encuentre en mantenimiento.
6.24 Diversidad. Uso de dispositivos y equipos con diferentes tecnologías o métodos de diseño que
desempeñen una función de seguridad común, de manera que se minimicen las fallas de causa común.
6.25 Documento normativo “equivalente”. Es el documento normativo alterno al que se cita en una NRF,
emitido por una entidad de normalización, y que se puede utilizar para la determinación de los valores y
parámetros técnicos del bien o servicio que se esté especificando, siempre y cuando presente las evidencias
documentales, que demuestren que cumple como mínimo, con las mismas características técnicas y de calidad
que establezca el documento original de referencia.
6.26 Eléctrico/Electrónico/Electrónico Programable-E/E/EP. Basado en tecnología eléctrica (E) y/o

electrónica (E) y o electrónica programable-EP.
6.27 Electrónica Programable-EP. Componentes electrónicos o dispositivos que forman parte de un

Procesador Electrónico Programable basados en la tecnología de los microprocesadores. El término engloba
tanto el equipo como programas y unidades de entrada y de salida.
6.28 Elemento final. Parte de un sistema instrumentado de seguridad que implementa la acción física
requerida para lograr un estado seguro.
6.29 Energizado para disparo. Circuitos SIS en donde las salidas y dispositivos se encuentran
desenergizados en operación normal. Cuando a dichos circuitos se les aplica energía se produce una acción de
disparo.
6.30 Error. Discrepancia entre un valor o condición calculada, observada, o medida y valor o condición
teóricamente verdadera, correcta o especificada.
6.31 Error humano. Falla de acción humana o falta de acción que produce un resultado imprevisto.
6.32 Especificación de Requisitos de Seguridad-ERS. La que contiene los requisitos de seguridad

(funcionales y de integridad) de las funciones instrumentadas de seguridad y como se deben diseñar e
implementar en el sistema instrumentado de seguridad.
6.33 Estado seguro. Estado que debe tener el equipo o proceso bajo control después de la operación
requerida del SIS.
6.34 Evaluación de la seguridad funcional. Investigación, basada en evidencias, para evaluar la seguridad
funcional alcanzada por una o más capas de protección.
6.35 Falla. Terminación de la capacidad de una unidad funcional para desempeñar una función requerida.
6.36 Falla de causa común. Falla resultado de uno o más eventos, causando fallas a dos o más
componentes separados en un sistema de múltiples componentes, conduciendo a una falla del SIS.
6.37 Falla de modo común. Falla de dos o más componentes de la misma manera, provocando el mismo
resultado erróneo.
6.38 Fallas no detectadas, no reveladas. Se refiere a los fallos de hardware y software no encontrados por
pruebas de diagnóstico o durante la operación normal.
6.39 Falla peligrosa. Falla que tiene el potencial de poner el sistema instrumentado de seguridad en un
estado peligroso o de falla en su operación.
6.40 Falla segura. Es una falla la cual no tiene el potencial para poner el Sistema Instrumentado de
Seguridad en un estado peligroso o de falla para funcionar.
6.41 Fallas sistemáticas. Fallas debido a errores (incluyendo equivocaciones y omisiones) en las
actividades del ciclo de vida de seguridad, las cuáles causan que el SIS falle bajo alguna combinación particular
de entradas o bajo ciertas condiciones ambientales, que sólo pueden ser eliminada por una modificación del
diseño o del proceso de fabricación, procedimientos operacionales, documentación u otros factores relevantes.
6.42 Fallo. Condición anormal que puede causar una reducción o pérdida de la capacidad de una unidad
funcional para desempeñar una función requerida.
6.43 Fase. Periodo dentro del ciclo de vida de seguridad donde las actividades descritas en esta norma se
deben llevar a cabo.
6.44 Filosofía de operación. Este documento debe contener la narrativa - diagramas lógicos y narrativa -
diagramas causa y efecto.
6.45 Fracción de falla segura. Fracción del total de la tasa de fallas aleatorias del equipo de un dispositivo
que resulta en una falla segura o falla peligrosa detectada.
6.46 Función Instrumentada de Seguridad-FIS (SIF). Función de seguridad con un NIS (SIL) específico
para lograr la seguridad funcional y que puede ser una FIS (SIF) de protección o una FIS (SIF) de control.
6.47 Función instrumentada de seguridad de control. FIS (SIF) con un NIS (SIL) específico operando en
modo continuo que es requerido para prevenir que surja una condición peligrosa y/o para mitigar sus
consecuencias.
6.48 Función de seguridad. Función para ser implementada por un SIS, u otros sistemas relacionados con
la tecnología de seguridad los cuales son destinados para lograr o mantener un estado seguro para el proceso,
con respecto a un evento específico peligroso.
6.49 Función instrumentada de seguridad en modo bajo demanda. Acción especifica que debe tomar
una función instrumentada de seguridad FIS (SIF) en respuesta a las condiciones de demanda del proceso. En
presencia de falla peligrosa de la Función Instrumentada de Seguridad FIS (SIF) un peligro potencial solo
ocurrirá si existe un evento de falla en el proceso o en el SCBP (BPCS) o SDMC (Ver definición modo de
operación).
6.50 Función instrumentada de seguridad en modo continúo. Es aquélla en la cual en presencia de una
falla peligrosa de la Función Instrumentada de Seguridad FIS (SIF) ocurrirá un peligro potencial sin que se
presente una falla adicional a menos que se tome acción para prevenirlo. (Ver definición modo de operación).
6.51 Homologar (calibrar). Tomar el criterio de aceptación del riesgo de cada organismo subsidiario de
PEMEX o en su defecto tomar la indicada en la NRF-018-PEMEX-2007.
6.52 Intervalo de prueba. Intervalo de tiempo entre pruebas funcionales.
6.53 Integridad de seguridad. Probabilidad promedio de que una FIS (SIF) se desempeñe
satisfactoriamente bajo las condiciones y período de tiempo establecidos.
6.54 Lenguaje de Variabilidad Completa-LVC (FVL). Lenguaje diseñado para ser comprensible para los
programadores de computadoras y proporciona la capacidad para implementar una amplia variedad de
funciones y aplicaciones (A, Pascal, lenguaje ensamblador, C++, Java, SQL, entre otros).
6.55 Lenguaje de Variabilidad Limitada-LVL. Lenguaje diseñado para ser comprensible por los usuarios
del sector de proceso, y proporciona la posibilidad de combinar funciones predefinidas de aplicaciones
específicas, de librería, para implementar las especificaciones de los requisitos de seguridad (de acuerdo con
IEC-61131-3).
6.56 Lenguaje Fijo de Programación-LFP (FPL). Lenguaje de programación, donde el usuario solo
configura algunos parámetros (rangos, niveles de alarma, entre otros).
6.57 Manual de seguridad. Manual que define la forma en que el dispositivo, subsistema o sistema puede
ser aplicado bajo condiciones de seguridad.
6.58 Modo de operación. Existen dos modos de operación de un Sistema Instrumentado de Seguridad,
dependiendo de la frecuencia de demanda los cuales son:
Modo de demanda baja (En demanda).- es el modo en el cual la frecuencia de demandas para la
operación del SIS no es mayor de una por año y no es mayor que el doble de la frecuencia de pruebas.
Modo de demanda alta (Continuo).- es el modo en el cual la frecuencia de demandas para la
operación del SIS es mayor de una por año o es mayor que el doble de la frecuencia de pruebas.
6.59 Modo degradado. Es aquél estado en el cuál el SIS aún está operando satisfactoriamente pero se
encuentra vulnerable con respecto a fallas posteriores.
6.60 Nivel de Integridad de Seguridad-NIS (SIL). Es un nivel discreto para la especificación de los
requisitos de integridad de las funciones instrumentadas de seguridad a ser asignadas a sistemas
instrumentados de seguridad. Cada nivel discreto se refiere a cierta probabilidad de que un sistema referido a
seguridad realice satisfactoriamente las funciones de seguridad requeridas bajo todas las condiciones
establecidas en un periodo de tiempo dado. Ver Tablas 2 y 3
6.61 Peligro. Fuente potencial de daño.
6.62 Probabilidad de Falla bajo Demanda-PFD. Un valor que indica la probabilidad de que un SIS falle para
responder a una demanda.
6.63 Procesador lógico. Sistema o elemento electrónico diseñado para tomar las acciones requeridas sobre
la base de una lógica determinada, estos sistemas incluyen módulos de entrada y salida.
6.64 Programas de aplicación. Programa específico para la aplicación del usuario. En general, contiene
secuencias de la lógica, permisivos, límites y expresiones que controlan la entrada, salida, los cálculos, las
decisiones requeridas para cumplir los requisitos de las FIS.
6.65 Programas de utilerías. Herramientas del programa para la creación, modificación, y la documentación
de los programas de aplicación. Estas herramientas del programa no son requeridas para el funcionamiento del
SIS.
6.66 .Programas embebidos. Programa que es parte del sistema suministrado por el fabricante y no es
accesible para su modificación por el usuario final.
6.67 Prueba en línea. Prueba requerida para confirmar la correcta operación del SIS cuando el equipo o
proceso que está bajo su control, está en operación.
6.68 Prueba funcional. Actividad periódica para verificar que el SIS esta en operación de acuerdo a la
especificación de los requisitos de seguridad.
6.69 Prueba integral. En caso de que el SIS forme parte de un proyecto integral en el cual existan otros
equipos que tengan una interrelación con el SIS, se realizan las pruebas integrales del SIS que confirmen la
funcionalidad requerida del sistema completo, incluyendo la lógica de acuerdo a las especificaciones de los
requisitos de diseño. Esta verificación se realiza después de que las pruebas OSAT del SIS han sido
completadas.
6.70 Prueba rigurosa. Prueba desarrollada para revelar fallos no detectados en un sistema instrumentado
de seguridad a fin de que, si es requerido, el sistema se pueda restaurar conforme a su funcionalidad de diseño.
6.71 Reducción de riesgo objetivo. Reducción requerida del riesgo a un nivel tolerable.
6.72 Redundancia. Uso de múltiples elementos o sistemas, para desempeñar la misma función. Puede ser
implementada por elementos idénticos (redundancia idéntica) o por elementos diferentes (redundancia diversa).
6.73 Relé. Relevador. Tecnología usada en Sistemas Instrumentados de Seguridad basada en señales
lógicas discretas (encendido/apagado).
6.74 Resolvedor lógico. Aquélla parte del SCBP (BPCS) o SIS que desempeña una o más funciones
lógicas, pueden ser las siguientes:
- Sistemas eléctricos lógicos usando tecnología electro-mecánica
- Sistemas lógicos electrónicos usando tecnología electrónica
- Sistemas lógicos “Electrónico Programable” (EP) usando sistemas electrónicos programables
Así mismo, entre otros, los sistemas pueden ser: eléctricos, electrónicos, electrónicos programables,
neumáticos e hidráulicos. Los sensores y elementos finales no forman parte del resolvedor lógico.
6.75 Riesgo. Combinación de la frecuencia de ocurrencia del daño y la gravedad de ese daño.
6.76 Riesgo del proceso. Los riesgos derivados de las condiciones del proceso causados por eventos
anormales [incluyendo mal funcionamiento del SCBP (BPCS) o SDMC].
6.77 Riesgo tolerable. Riesgo que es aceptado en un contexto determinado sobre la base de los valores
actuales de la sociedad.
6.78 Seguridad. Libre de un riesgo inaceptable.
6.79 Seguridad funcional. Parte de la seguridad total relacionada con el proceso y el SCBP (BPCS) o
SDMC que depende del correcto funcionamiento del SIS y otras capas de protección.
6.80 Sensor. Dispositivo o combinación de dispositivos que miden las condiciones del proceso
(transmisores, interruptores de proceso, interruptores de posición, entre otros).
6.81 Sistema. Conjunto de elementos, que interactúan de acuerdo a un diseño, un elemento de un sistema
puede ser otro sistema, llamado un subsistema, que puede ser un sistema de control o un sistema controlado y
puede incluir el equipo, programas y la interacción humana.
6.82 Sistema de control básico de proceso-SCBP (BPCS) o SDMC. Sistema que responde a señales de
entrada del proceso, sus equipos asociados, a otros sistemas programables y/o un operador y genera señales
de salida causando que el proceso y sus equipos asociados operen en el modo deseado, pero que no
desempeña ninguna función instrumentada de seguridad.
6.83 Sistemas de paro neumático. Sistema de seguridad que opera con suministro de aire o gas y es
aplicable en donde no está disponible la energía eléctrica.
6.84 Sistemas de seguridad. Es todo aquél sistema que implanta las funciones de seguridad requeridas
para mantener un estado seguro en el equipo bajo control.
6.85 Sistema Instrumentado de Seguridad-SIS. Es un sistema compuesto por sensores, resolvedores

lógicos y elementos finales que tiene el propósito de llevar al proceso a un estado seguro cuando se han
violado condiciones predeterminadas. Otros términos comúnmente usados son Sistema de Paro por
Emergencia (ESD) o Sistema de Seguridad del Proceso o “Interlocks” de seguridad.
6.86 Tasa de demanda. La frecuencia con el cuál un SIS es requerido para realizar su función.
6.87 Tasa de fallas (λ). Es la tasa promedio a la cual se espera que ocurran fallas de los componentes del
SIS.
6.88 Tiempo medio de disparo en falso. Tiempo medio para que se presente una falla del SIS que resulta
en un paro en falso del proceso o del equipo bajo control.
6.89 Tiempo medio de reparación. El tiempo medio para reparar un elemento del SIS. Este tiempo abarca
los tiempos involucrados desde que la falla ocurre hasta que la reparación se ha completado y el dispositivo ha
regresado a operación normal.
6.90 Tolerancia a fallos. Es la capacidad de una unidad funcional para continuar desempeñando una
función requerida en la presencia de fallos o errores.
6.91 Tolerancia a fallos de hardware. Es la capacidad de una unidad funcional para continuar
desempeñando la función de seguridad en la presencia de una o más fallas peligrosas en hardware.
6.92 Validación. Confirmación por medio de revisión y suministro de evidencia objetiva de que los requisitos
particulares para un uso específico son totalmente cumplidos.
6.93 Verificación. Confirmación por medio de revisión y suministro de evidencia objetiva del cumplimiento
total de los requisitos para cada fase del ciclo de vida de seguridad.
7 SÍMBOLOS Y ABREVIATURAS
ACP Análisis de Capas de Protección
ANSI American National Standards Institute (Instituto de Estándares Nacionales Americanos)
BMS Burner Management System (Sistemas de Control de Quemado)
BPCS Basic Process Control System (SCBP Sistema de Control Básico de Proceso)
CD Cobertura de Diagnostico
CNPMOS Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios
E/E/EP Eléctrico/Electrónico/Electrónico Programable
EMC Electromagnetic compatibility (CEM Compatibilidad electromagnética)
EP Electrónicos Programables
FAT Factory Acceptance Test (Pruebas de Aceptación en Fábrica)

FMEA Failure Modes and Effects Analysis (AMFE Análisis de Modos de Falla y Efectos)
FPL Limited Variability Language (LFP Lenguaje Fijo de Programación)
FRR Factor de Reducción de Riesgo
FVL Full Variabilty Language (LVC Lenguaje de Variabilidad Completa)
HFT Hardware Fault Tolerance (TFE Tolerancia a Fallos en Equipo)
HIPPS High Integrity Pressure Protection Systems (Sistemas de Protección de Presión de Alta Integridad)
HMI Human Machine Interface (IHM Interfase Humano Maquina)
IEC International Electrotechnical Commission (Comisión Electrotécnica Internacional)
I/O Input/Output [E/S Entrada(s)/Salida(s)]
ISA International Society of Automation (Sociedad Internacional de Automatización)
LVL Limited Variability Language (Lenguaje de Variabilidad Limitada)
MTTF Mean Time To Failure (Tiempo Medio de Falla)
MTTFs Mean Time to Failure Spurious (Tiempo Medio entre Disparos en Falso)
MTTR Mean Time To Repair (Tiempo Medio de Reparación)
OREDA Offshore Reliability Data (Datos de Confiabilidad Costa fuera)
OSAT On Site Acceptance Test (Pruebas de Aceptación en Sitio)
PEMEX Petróleos Mexicanos y Organismos Subsidiarios
PFDprom Probabilidad de falla bajo demanda objetivo promedio
SDMC Sistema Digital de Monitoreo y Control
SFF Safe Failure Fraction (FFS Fracción de Falla Segura)
SIF Safety Instrumented Function (FIS Función Instrumentada de Seguridad)
SILavg Safety Integrity Level average (NISprom Nivel de Integridad de Seguridad promedio)
SIS Safety Instrumented System (Sistema Instrumentado de Seguridad)
SRAM Static Random Access Memory (Memoria Estática de Acceso Aleatorio)
SRS Safety Requirement Specification (ERS Especificación de los Requisitos de Seguridad)
TÜV Technischer Uberwachungs Veriein (Entidad de Pruebas Alemana)

λ Tasa de fallas
Para los efectos de esta norma de referencia con relación a símbolos y abreviaturas de las unidades de medida,
aplica NOM-008-SCFI-2002
8 DESARROLLO
En la mayoría de los procesos industriales, la mejor seguridad se logra por un diseño inherentemente seguro
del proceso. Las capas de protección juegan un papel importante para la reducción de riesgo. En caso de ser
requerido, esto se puede combinar con un sistema de protección para tratar cualquier riesgo residual
identificado, tal es el caso de los Sistemas Instrumentados de Seguridad (SIS) de tecnología electrónica
programable.
Los SIS son muy importantes en la administración de riesgos en los procesos industriales debido a que
cumplen una función primordial disminuyendo su probabilidad de los eventos de riesgo o minimizando la
severidad al personal, al medio ambiente y a las instalaciones. Los riesgos se deben prevenir como un objetivo
inicial desde el inicio del ciclo de vida de seguridad funcional y deben ser reducidos a un nivel tolerable
aceptable.
Esta norma de referencia tiene dos conceptos que son fundamentales para su aplicación; el Ciclo de Vida de
Seguridad y los Niveles de Integridad de Seguridad; y describe todas las fases del Ciclo de Vida de Seguridad
desde el inicio conceptual, diseño, implementación, operación y mantenimiento hasta el desmantelamiento de
los SIS.
El proveedor o contratista encargado del diseño o suministro de los SIS debe cumplir con esta norma de
referencia para la determinación y aplicación de los SIS para los Sistemas de Paro por Emergencia de las
diferentes instalaciones petroleras de PEMEX.
El proveedor o contratista durante el desarrollo de las actividades que contempla esta norma de referencia debe
seguir el esquema de la Figura 1 en la cual se describe la relación entre las funciones instrumentadas de
seguridad y otras funciones, y el esquema de la Figura 2 la cual describe las fases del ciclo de vida de
seguridad y las etapas de evaluación de la seguridad funcional del SIS.
Inicio
No ¿Es una función Si

instrumentada?
Si No Si ¿Función No
instrumentada de
Relacionada seguridad?
con seguridad
No Control básico
relevante de proceso y/o
función de
protección de
los bienes
Continuo Demanda Función

Modo instrumentada
de seguridad de
protección
Otros Función
medios de Instrumentada Prevención Mitigación
reducción de seguridad de ¿Tipo?
de riesgo control
Función Función
Instrumentada Instrumentada
de seguridad de de seguridad
prevención de mitigación
Sistema de
Paro por
Emergencia
Esta figura especifica las actividades que se deben llevar a cabo, pero no detalla sus
requisitos específicos según lo punteado
Figura 1. Relación entre las funciones instrumentadas de seguridad y otras funciones
Para lograr la implantación de la seguridad funcional de un SIS se deben contemplar los requisitos establecidos
en el ciclo de vida de la figura 2. PEMEX debe determinar cuáles requisitos debe desarrollar el proveedor o
contratista y cuales requisitos proporciona PEMEX.
8.1 Administración de la seguridad funcional
El modelo del ciclo de vida indica en su requisito 10, ver figura 2 de esta norma de referencia, que debe existir
una administración de la seguridad funcional y evaluación y auditoria, por lo tanto la organización (PEMEX) en
sus funciones de calidad puede contar con estas actividades que cubran la implantación de la administración o
en su defecto tiene que definir en sus bases de licitación la contratación de estos servicios.
8.1.1 Requisitos
8.1.1.1 General
El proveedor o contratista si así lo solicitó PEMEX debe identificar, evaluar y establecer las políticas y
estrategias para la administración de la seguridad funcional.
8.1.1.2 Organización y recursos
El proveedor o contratista, si así lo solicitó PEMEX debe llevar a cabo las actividades para la implantación de la
administración de la seguridad del SIS y debe identificar e informar las responsabilidades que se han asignado
a las personas, departamentos, organismos u otras unidades que estén encargados de realizar y revisar cada
una de las fases del Ciclo de Vida de Seguridad de los SIS aplicables para Sistemas de Paro por Emergencia.
8.1.1.3 Evaluación y administración de riesgos
El personal responsable para llevar a cabo la evaluación y administración de riesgos debe tener identificados
los peligros, evaluando los riesgos y haber determinado la reducción de riesgos como se define en 8.4 análisis y
evaluación de riesgos de proceso, en esta norma de referencia.
8.1.1.4 Planeación
El personal responsable de la implantación de la administración de seguridad funcional debe realizar la

planeación de la misma para definir las actividades que se requieren llevar a cabo en conjunto con las
personas, departamentos, organismos u otras unidades responsables de estas actividades. Esta planeación se
debe actualizar cuando así sea requerido por PEMEX durante todo el Ciclo de Vida de Seguridad del SIS.
8.1.1.5 Implementación y “monitoreo”
Una vez concluidas las actividades de análisis y evaluación de riesgos, Evaluación y Auditoria, Verificación y
Validación, el grupo de trabajo de la implantación de la administración por parte del proveedor o contratista
debe elaborar los procedimientos para garantizar el seguimiento y cumplimiento de las recomendaciones que
surgieron relacionadas con el SIS.
8.1.1.5.1 Los procedimientos deben evaluar el desempeño de los SIS contra los requisitos técnicos y
documentales de esta norma de referencia y de los requisitos específicos del proyecto para:
a) Identificar y prevenir casos de fallas sistemáticas que pueden poner en peligro la seguridad de la
instalación
b) Evaluar si las tasas de fallas peligrosas de los SIS están en conformidad con el diseño
c) Evaluar la tasa de demanda sobre las FIS (SIF) durante la operación real para verificar los requisitos del
nivel de integridad
8.1.1.6 Evaluación, auditoria y revisiones
8.1.1.6.1 Evaluación de la seguridad funcional

El personal responsable para llevar a cabo la evaluación de la seguridad funcional debe contar con
procedimientos para asegurar que todos los requisitos y etapas a evaluar se cumplan (ver 8.1 de esta norma de
referencia).
8.1.1.6.1.1 El proveedor o contratista debe incluir al menos un especialista certificado, en seguridad funcional
para la validación y la evaluación funcional de las etapas 1, 2 y 3 del ciclo de vida de seguridad (ver figura 2 de
esta norma de referencia) y este debe ser certificado (como lo establece la Ley Federal sobre Metrología y
Normalización) en Seguridad Funcional por Exida (Certified Functional Safety Expert CFSE) o por TÜV
(Functional Safety Expert FSE), quien debe ser una tercería en el equipo de trabajo para el diseño del proyecto
(SIS). El responsable por parte del proveedor o contratista al planear una evaluación de la seguridad funcional
debe considerar:
a) El alcance de la evaluación
b) Quién va a participar
c) Las habilidades, responsabilidades y autoridades del equipo de evaluación
d) La información que se genera como resultado de la evaluación
e) La identidad de cualquier otro organismo de seguridad involucrada en la evaluación
f) Los recursos requeridos para completar la actividad de evaluación
g) El nivel de independencia del equipo de evaluación
h) Los medios por los cuales la evaluación se debe renovar después de las modificaciones
8.1.1.6.1.2 Se deben identificar durante la planeación de la seguridad las etapas del ciclo de vida de seguridad
en las cuales se deben llevar a cabo las actividades de evaluación de la seguridad funcional.
8.1.1.6.1.3 Después de que se haya realizado alguna modificación durante la operación, se deben introducir
los nuevos peligros identificados en las actividades adicionales de evaluación de la seguridad funcional.
8.1.1.6.1.4 Al término de cada una de las siguientes etapas, el proveedor o contratista debe realizar las
actividades de evaluación de la seguridad funcional (ver Figura 2 de esta norma de referencia).
a) Etapa 1. Análisis y evaluación de riesgos, identificación de las capas de protección y la especificación

de los requisitos de seguridad
b) Etapa 2. Diseño del SIS
c) Etapa 3. Instalación, “comisionamiento” y validación final del SIS y desarrollo de procedimientos de
operación y de mantenimiento
d) Etapa 4. Adquisición experiencia en la operación y mantenimiento
e) Etapa 5. Modificación y desmantelamiento de un SIS
Así mismo, al inicio y término de cada una de las etapas, el proveedor o contratista debe cumplir con todos los
lineamientos de seguridad industrial que se tengan establecidos en cada centro de trabajo de Petróleos
Mexicanos y Organismos Subsidiarios en instalaciones terrestres y costa fuera.
8.1.1.6.1.5 Para determinar el número, el tamaño y el alcance de la evaluación de las actividades de la

seguridad funcional se deben tomar en cuenta los siguientes factores:
a) Tamaño del proyecto

b) Grado de complejidad
c) Nivel de Integridad de Seguridad-NIS (SIL)
d) Duración del proyecto
e) Consecuencia en un evento de falla
f) Grado de normalización de las características de diseño
g) Requisitos normativos de seguridad
h) La experiencia previa con un diseño similar
Administración Estructura y Análisis de riesgos y Verificación

planeación del peligros del proceso
de la
(8.4)
seguridad ciclo de vida 1
funcional y de seguridad
evaluación y Asignación de funciones de
auditoria de seguridad para las capas de
protección
la seguridad (8.5)
2
funcional
Especificación de
requisitos específicos de
seguridad para los SIS
(8.6 y 8.8)
3 Diseño y desarrollo
de otras maneras de
Etapa 1 reducción de riesgo
(8.5)
Diseño e ingeniería de los
sistemas instrumentados
de seguridad
(8.7 y 8.8)
4
Etapa 2
Instalación,
comisionamiento y
validación
5 (8.10 y 8.11)
Etapa 3
Operación y mantenimiento
(8.12)
6
Etapa 4 8.3, 8.8.4 y
8.2 8.8.7
Modificación
8.1 7 (8.13)
Etapa 5
Desmantelamiento
10 11 (8.14) 9
8
Simbología
Dirección del flujo de información
Requisitos no detallados en esta norma de referencia
Requisitos detallados en esta norma de referencia
NOTA 1. Las etapas 1 a la 5 están definidas en 8.1.1.6.1.2 al 8.1.1.6.1.5 de esta norma de referencia
Figura 2. Fases del ciclo de vida de seguridad y etapas de evaluación de la seguridad funcional del SIS
8.1.1.6.1.6 El personal responsable del proveedor o contratista debe realizar al menos una evaluación de
seguridad funcional para asegurar que los peligros del proceso y equipo asociado estén bajo control. Como
mínimo debe realizar una evaluación de la seguridad funcional antes de que se presenten los peligros
identificados (etapa 3). El equipo de evaluación del proveedor o contratista antes de que se presenten dichos
peligros debe confirmar que:
a) Se ha realizado el análisis y evaluación de riesgos (ver 8.4 de esta norma de referencia)

b) Se han aplicado las recomendaciones derivadas del análisis y evaluación de riesgos al SIS
c) Se han ejecutado los procedimientos de cambios al diseño del proyecto
d) Se han atendido las recomendaciones derivadas de la evaluación anterior de la seguridad funcional
e) El SIS está diseñado, construido e instalado de conformidad con la especificación de los requisitos de
seguridad de esta norma de referencia y de los requisitos específicos del proyecto, y se han identificado
y resuelto las diferencias
f) Se encuentran en el sitio de la instalación los procedimientos de seguridad, operación, mantenimiento y
emergencia relativos al SIS, en idioma español
g) Se ha realizado la planeación de la validación del SIS
h) Se ha terminado la capacitación de los empleados y se ha proporcionado al personal de operación y
mantenimiento la información requerida acerca del SIS
8.1.1.6.1.7 Cuando las herramientas de producción y desarrollo se utilicen para cualquier actividad del ciclo de
vida de seguridad, se deben sujetar a una evaluación de la seguridad funcional.
8.1.1.6.2 Auditoria y revisión
Los resultados de la evaluación, así como toda la información relevante de la seguridad funcional deben estar
disponibles junto con cualquier recomendación procedente de esta evaluación.
8.1.1.6.2.1 El personal responsable de la implantación de la administración de la seguridad funcional por parte

del proveedor o contratista debe definir y ejecutar los procedimientos para cumplir con la auditoria por una
tercería, los cuales deben incluir la frecuencia de las actividades de auditoria y el grado de independencia entre
los participantes que realizan el trabajo y los que realizan las actividades de auditoria además del registro y
seguimiento de las actividades.
8.1.1.6.2.2 El proveedor o contratista para la implantación de la administración de la seguridad funcional debe

tener en sitio los procedimientos de modificación para iniciar, documentar, revisar, aprobar y aplicar los cambios
en el SIS.
8.1.1.7 Administración de la configuración del SIS
El proveedor o contratista debe tener disponibles para la consulta de PEMEX los procedimientos para la
administración de la configuración del SIS durante las fases del Ciclo de Vida de Seguridad de los programas y
del SIS, en particular debe especificar lo siguiente:
a) La etapa de implementación del control formal de la configuración

b) Los procedimientos autorizados que se deben utilizar para la identificación única de todas las partes
que constituyen una partida de equipo y programas, en idioma español
c) Los procedimientos autorizados para prevenir la entrada de servicio de las partidas no autorizadas, en
idioma español
8.2 Requisitos del Ciclo de Vida de Seguridad
El proveedor o contratista previo a la primera etapa del ciclo de vida de seguridad del SIS y para el caso de esta
norma de referencia debe contar con el diseño conceptual del proceso incluyendo las filosofías de operación,
los diagramas de tubería e instrumentación y diagramas de flujo de proceso, planos de localización general del
equipo, las hojas de datos del equipo de proceso y la especificación técnica del sistema básico de control del
proceso, tomando en consideración las condiciones ambientales del lugar.
El proveedor o contratista debe aplicar el Ciclo de Vida de Seguridad el cual debe comprender las actividades
para la implantación de los Sistemas Instrumentados de Seguridad (SIS) desde la concepción inicial hasta el
desmantelamiento (ver Figura 2 de esta norma de referencia). Sin embargo, las primeras etapas del Ciclo de
Vida de Seguridad, marcadas con línea intermitente en la Figura 2 de esta norma de referencia, el análisis y
evaluación de riesgos de proceso y la asignación de funciones de seguridad para las capas de protección, se
encuentran fuera del alcance de los requisitos específicos de la presente norma de referencia. Los resultados
de estas etapas son datos de entrada al desarrollo de esta norma de referencia, por lo anterior, la eficacia y
eficiencia en la aplicación de esta norma de referencia depende de la confiabilidad y exactitud de dichos datos.
El proveedor o contratista debe cumplir con los objetivos de este numeral para lo cual debe definir las fases,
establecer los requisitos, y organizar las actividades del Ciclo de Vida de Seguridad; así mismo asegurar que
exista una planeación que asegure que los SIS deben cumplir los requisitos de seguridad de esta norma de
referencia y los requisitos específicos del proyecto.
8.2.1 Requisitos
El proveedor o contratista debe definir durante la planeación de seguridad que se incorporen los requisitos de
esta norma de referencia en el Ciclo de Vida de Seguridad.
8.2.1.1 Cada fase del Ciclo de Vida de Seguridad se debe definir en términos de entradas, salidas y
actividades de verificación, conforme a la Tabla 1 de esta norma de referencia:
Fase o actividad del Ciclo de Requisitos

Vida de Seguridad numeral
Objetivos Entradas Salidas
Figura 2 de esta norma
Titulo de referencia
Caja numero
1 Análisis y Determinar los peligros y 8.4 Diseño de proceso, Una descripción de los
evaluación de eventos peligrosos del planos de peligros, de la función de
riesgos proceso y los equipos distribución de seguridad requerida y de
asociados, la secuencia personal, objetivos la reducción de los riesgos
de eventos que de seguridad, asociados
condujeron al evento estas metas las
peligroso, los riesgos debe suministrar
asociados del proceso PEMEX (según el
con el evento peligroso, organismo
los requisitos para la subsidiario) y de
reducción de los riesgos y acuerdo al
las funciones de proyecto que esté
seguridad requeridas desarrollando.
para lograr la reducción
de riesgo objetivo
2 Asignación de Asignación de las 8.5 Una descripción de Descripción de la
funciones de funciones de seguridad las FIS (SIF) asignación de los
seguridad para las para las capas de requeridas y los requisitos de seguridad
capas de protección y para cada requisitos de (ver 8.5 de esta norma de
protección FIS, el NIS (SIL) asociado integridad de referencia)
seguridad
asociados
Fase o actividad del Ciclo de Requisitos

Vida de Seguridad numeral
Objetivos Entradas Salidas
Figura 2 de esta norma
Titulo de referencia
Caja numero
3 Especificación de Especificar los requisitos 8.6 Descripción de la requisitos de seguridad de
los requisitos de para cada SIS, en asignación de los los SIS; requisitos de
seguridad del SIS términos de las FIS (SIF) requisitos de seguridad de los
y su integridad de seguridad (ver 8.5 programas
seguridad asociada, a fin de esta norma de
de lograr la seguridad referencia)
funcional requerida
4 Diseño e Diseñar el SIS para 8.7 y 8.8.4 Requisitos de Diseño del SIS en
ingeniería del SIS satisfacer los requisitos seguridad del SIS conformidad con los
de las FIS (SIF) y la requisitos de seguridad
integridad de seguridad Requisitos de del SIS, planeación para
seguridad de los pruebas de integración del
programas SIS
5 Instalación, Integrar y probar el SIS 8.8.3, 8.10 y Diseño del SIS Funcionamiento completo
“comisionamiento” 8.11 del SIS de conformidad
y validación del Validar que el SIS cumple Plan de pruebas de con los resultados del
SIS en todo respecto de los integración del SIS diseño de SIS de las
requisitos de seguridad pruebas de integración del
en términos de FIS (SIF) Requisitos de SIS
y de integridad de seguridad del SIS
seguridad requerida Resultados de las
Plan para la actividades de
validación de la instalación,
seguridad del SIS “comisionamiento” y
validación
6 Operación y Garantizar que la 8.12 Requisitos del SIS Resultados de las
mantenimiento del seguridad funcional del actividades de operación y
SIS SIS se mantiene durante Diseño del SIS mantenimiento
la operación y
mantenimiento Plan para
operación y
mantenimiento del
SIS
7 Modificación del Hacer correcciones, 8.13 Requisitos de Resultados de la
SIS mejoras o adaptaciones seguridad del SIS modificación del SIS
al SIS, garantizar que el revisados
NIS (SIL) objetivo es
alcanzado y mantenido
8 Desmantelamiento Garantizar la correcta 8.14 Requisitos de FIS (SIF) puesta fuera de
revisión, organización del seguridad e servicio.
sector, y garantizar que información del
las FIS (SIF) proceso como
permanezcan. quedaron
Construidos.
9 Verificación del Probar y evaluar los 8.3, 8.8.7 Plan para la Resultados de la
SIS resultados de una fase verificación del SIS verificación del SIS para
proporcionada para para cada fase cada fase
garantizar la exactitud y
consistencia con respecto
a los productos y normas
establecidas, como
entrada a esa fase
10 Evaluación de la Investigar y llegar a una 8.1 Planeación para la Resultados de la
seguridad decisión sobre la evaluación de la evaluación de la seguridad
funcional del SIS seguridad funcional seguridad funcional funcional del SIS
alcanzada por el SIS del SIS
Requisitos de
seguridad del SIS
Tabla 1. Vista general del Ciclo de Vida de Seguridad

8.2.1.2 El proveedor o contratista debe llevar a cabo la planeación de seguridad para todas las fases del Ciclo
de Vida de Seguridad, y debe definir los criterios, técnicas, medidas y procedimientos, para:
a) Garantizar que los requisitos de seguridad del SIS se han alcanzado para todos los modos relevantes
del proceso, esto incluye las funciones de seguridad y la integridad de seguridad
b) La correcta instalación y “comisionamiento” del SIS
c) La integridad de la seguridad de las FIS (SIF) después de la instalación
d) Mantener la integridad de la seguridad durante la operación
e) La administración de los riesgos durante las actividades de mantenimiento del SIS
8.3 Verificación
El proveedor o contratista debe demostrar por medio de una revisión, análisis y/o pruebas que las salidas
requeridas cumplen con los requisitos definidos para todas las fases requeridas (Figura 2 de esta norma de
referencia) del Ciclo de Vida de Seguridad identificadas por la planeación de la verificación.
8.3.1 Requisitos
Durante la planeación de la verificación, el proveedor o contratista debe definir todas las actividades requeridas
para la verificación de la fase requerida del Ciclo de Vida de Seguridad. La verificación debe cumplir con esta
norma de referencia y con lo siguiente:
a) Las actividades de verificación

b) Los procedimientos, medidas y técnicas que se deben usar para la verificación incluyendo la
implementación y resolución de las recomendaciones
c) El programa para llevar a cabo estas actividades
d) Establecer las personas, departamentos y organizaciones responsables de estas actividades incluyendo
los niveles de independencia
e) Identificar los puntos a verificar
f) Determinar cómo manejar las No-Conformidades
g) Indicar las herramientas y análisis de apoyo
8.3.1.1 La verificación se debe realizar de acuerdo con lo planeado.
8.3.1.2 Los resultados del proceso de verificación deben estar disponibles en todo momento para PEMEX.
8.4 Análisis y evaluación de riesgos del proceso
Si así lo determina PEMEX, el proveedor o contratista debe ser el responsable de realizar el Análisis y
evaluación de riesgos, y debe conformar un equipo multidisciplinario integrado por ingenieros de proceso,
especialistas de análisis y evaluación de riesgos (seguridad funcional), instrumentistas, entre otros así como al
administrador de seguridad y debe cumplir con los requisitos estipulados en la NRF-018-PEMEX-2007. El
análisis y evaluación de riesgos debe contemplar el análisis de capas “NO SIS y capas SIS de acuerdo al 8.5
del modelo del ciclo de vida y comprendido en la figura 2 de esta norma de referencia.
El análisis y evaluación de riesgos debe identificar los peligros de proceso, y llevar a cabo su valoración
(frecuencia/consecuencia) y posteriormente determinar si ese riesgo es tolerable o no, basándose en los
criterios de aceptación del riesgo específico para el sistema y/o instalación definidos por PEMEX.
Para el caso de las FIS (SIF), los resultados del análisis y evaluación de riesgos deben constituir los datos de
entrada para la determinación del NIS (SIL) “objetivo” para cada función instrumentada de seguridad y deben
cumplir con IEC 61511-3. Por otro lado, las técnicas que se deben usar para determinar el NIS (SIL) “prom”
(avg) de las FIS (SIF) propuestas o diseñadas deben cumplir con cualquiera de los siguientes documentos: ISA-
TR84.00.02-2002 - Part 2, ISA-TR84.00.02-2002 - Part 3; ISA-TR84.00.02-2002 - Part 4 o equivalentes.
En esta etapa inicial, el proveedor o contratista debe determinar:
Los peligros y eventos peligrosos del proceso y equipo asociado como SCBP (BPCS) o SDMC
La secuencia de eventos que conducen al evento peligroso
El riesgo de proceso asociado con el evento peligroso
Cualquier requisito de reducción de riesgo
Las funciones de seguridad requeridas para lograr la reducción de riesgo objetivo
Las funciones instrumentadas de seguridad (ver 8.5 de esta norma de referencia)
8.4.1 Requisitos
8.4.1.1 El proveedor o contratista durante el Análisis y Evaluación de Riesgos debe realizar y proporcionar lo
siguiente en el proceso y su equipo asociado, entre otros el SCBP (BPCS) o SDMC:
a) Una descripción de cada evento peligroso identificado y los factores que contribuyen a este (Incluyendo
errores humanos)
b) Una descripción de las consecuencias y probabilidades de los eventos
c) La consideración de las condiciones como operación normal, arranque, paro, mantenimiento, distorsión
del proceso, y paro de emergencia
d) La determinación de los requisitos para la reducción de riesgo objetivo adicional, para lograr la
seguridad requerida
e) Una descripción de las referencias para información de las medidas tomadas para reducir o eliminar los
riesgos y peligros
f) Una descripción detallada de las hipótesis hechas durante los análisis y evaluación de riesgos
incluyendo la probabilidad de tasas de demanda y las tasas de fallas del equipo, y de cualquier
consideración tomada para restringir las operaciones o intervenciones humanas
g) Asignación de las funciones de seguridad a las capas de protección tomando en cuenta la reducción
potencial en la protección efectiva debido a las fallas de causa común entre las capas de seguridad y
entre las capas de seguridad y el SCBP (BPCS) o SDMC (ver 8.5 de esta norma de referencia)
h) Identificación de aquellas funciones de seguridad aplicadas como funciones instrumentadas de
seguridad (ver 8.5 de esta norma de referencia)
8.4.1.2 La tasa de falla peligrosa de un SCBP (BPCS) o SDMC que impone una demanda sobre una capa de
-5
protección, operando en modo de demanda alta (continuo) no se debe asumir como mejor que 10 por hora
conforme a la tabla 3 de esta norma de referencia y operando en modo de demanda baja (en demanda), la
-1
probabilidad de falla bajo demanda no se debe asumir mejor que 10 conforme a la tabla 2 de esta norma de
referencia.
8.4.1.3 Cuando el SCBP (BPCS) o SDMC sea considerado como una capa independiente de protección cumpliendo con
-5
los criterios de capa independiente de protección no se le debe dar una frecuencia de falla menor de 10 en el caso de
-1
operación modo continuo ni una probabilidad de falla menor a 10 en el caso de modo de operación de demanda Baja (En
demanda). Esto no significa que el SCBP (BPCS) o SDMC sea considerado como un SIS.
8.4.1.4 La Identificación y análisis de peligros y eventos peligrosos para un proceso y la evaluación del nivel
de riesgo, se debe registrar de modo tal que la relación entre los puntos anteriores sea clara y trazable.
8.4.1.5 Los requisitos arriba mencionados no son mandatarios para que el riesgo y los objetivos de reducción
de riesgo se tengan que asignar con un valor numérico. Sólo para la etapa de Selección de NIS (SIL) “objetivo”,
se pueden usar métodos gráficos siempre y cuando PEMEX lo requiera, pero estos gráficos deben ser
invariablemente homologados (calibrado) para la aplicación según la instalación de PEMEX; para ello ver IEC
61511-3
8.5 Asignación de funciones de seguridad para capas de protección
El proveedor o contratista diseñador del SIS debe:
a) Asignar funciones de seguridad a las capas de protección

b) Determinar las FIS (SIF) requeridas
c) Determinar para cada FIS (SIF) el NIS (SIL) asociado
El proveedor o contratista no debe determinar el NIS (SIL) de manera global para un proceso o instalación.
8.5.1 Requisitos del proceso de asignación
El proveedor o contratista diseñador del SIS en el proceso de asignación debe:
a) Asignar las funciones de seguridad para capas de protección específicas, para el propósito de
prevención, control o mitigación de peligros del proceso y sus equipos asociados
b) Asignar la reducción de riesgo objetivo para las FIS
8.5.1.1 Para establecer el NIS (SIL) del SIS, el proveedor o contratista debe considerar los siguientes
parámetros:
a) La severidad de las consecuencias si el sistema de seguridad falla al operar bajo demanda

b) La probabilidad de que el personal sea expuesto al riesgo
c) Medidas de mitigación para reducir las consecuencias del evento de riesgo
d) La frecuencia con la cual el sistema de seguridad se requiere que actúe
e) Probabilidad de ocurrencia del evento peligroso
El proveedor o contratista debe seleccionar un NIS (SIL) objetivo y especificar la reducción de riesgo objetivo,
es decir, la diferencia entre los niveles de riesgo existente y tolerable, en términos de NIS (SIL). El proveedor o
contratista debe solicitar a PEMEX los criterios de riesgo tolerable.
Independientemente de la naturaleza del método a usar, el proveedor o contratista debe considerar la

evaluación de dos componentes del riesgo (la probabilidad del evento de peligro y la severidad de la
consecuencia). La asignación del NIS (SIL) objetivo se debe realizar basándose en un proceso que lleve el
riesgo del proceso a un nivel tolerable, de acuerdo con la NRF-018-PEMEX-2007
8.5.1.2 El proveedor o contratista debe especificar el NIS (SIL) objetivo de acuerdo con la Tabla 2 de esta
norma de referencia, para cada FIS (SIF) operando en modo bajo demanda. Cuando se usa la Tabla 3 de esta
norma de referencia, entonces no se deben usar en la determinación del NIS (SIL) el intervalo de prueba
rigurosa ni la tasa de demanda.
8.5.1.3 Para cada FIS (SIF) operando en modo continuo, el NIS (SIL) objetivo se debe especificar de acuerdo
con la Tabla 3 de esta norma de referencia.
Modo de operación demanda baja (En demanda)

Nivel de Integridad de seguridad Probabilidad de Falla bajo Demanda
Reducción de riesgo objetivo
NIS (SIL) objetivo promedio PFDprom
3 ≥10-4 a < 10-3 >1000 a ≤ 10000
2 ≥10-3 a < 10-2 >100 a ≤ 1000
1 ≥10-2 a < 10-1 >10 a ≤ 100
Tabla 2. Niveles de integridad de seguridad: probabilidad de falla bajo demanda
Modo de operación de demanda alta (Continuo)

Frecuencia objetivo de fallas peligrosas para desempeñar la
Nivel de Integridad de seguridad NIS (SIL)
función instrumentada de seguridad (por hora)
3 ≥10-8 a < 10-7
2 ≥10-7 a < 10-6
1 ≥10-6 a < 10-5
Tabla 3. Niveles de Integridad de Seguridad: frecuencia de fallas peligrosas de la FIS (SIF)
8.5.1.3.1 El proveedor o contratista debe definir el NIS (SIL) numéricamente a fin de proporcionar una meta
objetivo para comparar diseños y soluciones alternativos.
8.5.1.3.2 La frecuencia requerida de las fallas peligrosas por hora para un modo continuo de la FIS (SIF) se
debe determinar por el riesgo (en términos de tasa de peligro) causado por la falla de la FIS (SIF) actuando en
modo continuo, junto con la tasa de fallas de otros equipos que conducen a la misma situación de riesgo,
teniendo en cuenta las contribuciones de otras capas de protección.
8.5.1.3.3 Se debe soportar técnicamente bajo consideración de PEMEX, el usar varias funciones de menor
NIS (SIL) para satisfacer la necesidad de una función de mayor nivel [entre otros, utilizando un sistema con NIS
(SIL) 2 y uno con NIS (SIL) 1 juntos para satisfacer la necesidad de una función con NIS (SIL) 3] siempre y
cuando la reducción de riesgo alcanzada con dos o más FIS (SIF) es mayor o igual a la reducción de riesgo
requerida por la FIS (SIF) con NIS (SIL) 3
8.5.2 Requisitos en el SCBP (BPCS) o SDMC como una capa de protección
8.5.2.1 El SCBP (BPCS) o SDMC se puede identificar como una capa de protección, como se muestra en
Figura 3 de esta norma de referencia; siempre y cuando no sea la causa del peligro la falla del SCBP (BPCS) o
SDMC lo que se pretenda prevenir con la FIS (SIF).
8.5.2.2 El Factor de Reducción de Riesgo-FRR para un SCBP (BPCS) o SDMC usado como capa de
protección debe ser menor de 10.
8.5.2.3 Si se requiere un FRR para un SCBP (BPCS) o SDMC mayor de 10, entonces se debe diseñar y
cumplir con los requisitos de esta norma de referencia.
REPUESTAS DE EMERGENCIA DE LA COMUNIDAD

Radiodifusión de la emergencia
RESPUESTA DE EMERGENCIA DE LA PLANTA

Procedimientos de evacuación
MITIGACIÓN
Sistemas de mitigación mecánica
Sistemas de control instrumentados de seguridad
Sistemas de mitigación instrumentados de seguridad
Supervisión del operador
PREVENCIÓN
Sistemas de protección mecánica
Alarmas del proceso con acción correctiva del operador
Sistemas instrumentados de seguridad de control
Sistemas instrumentados de seguridad de prevención
CONTROL Y “MONITOREO”
Sistemas de control básico de proceso
Sistemas de “monitoreo” (alarmas del proceso)
Supervisión del operador
PROCESO
Figura 3. Métodos típicos de reducción de riesgo encontrados en plantas de proceso
8.5.3 Requisitos para prevenir fallas de causa común, modo común y dependientes
8.5.3.1 El proveedor o contratista debe evaluar las capas de protección mediante un Estudio de Análisis de
Capas de Protección (ACP) para asegurar que la probabilidad de falla de causa común, modo común y
dependientes entre las capas de protección, sean bajas en comparación al total de requisitos de integridad de
seguridad de las capas de protección.
8.5.3.2 La evaluación debe considerar lo siguiente:
a) La independencia entre las capas de protección

b) La diversidad entre las capas de protección
c) La separación física entre las diferentes capas de protección
d) Las fallas de causa común entre las capas de protección, y entre las capas de protección y los SCBP
(BPCS) o SDMC
8.6 Especificación de los Requisitos de Seguridad-ERS del SIS para paro por emergencia
8.6.1 Una vez determinado que se requiere un Sistema Instrumentado de Seguridad-SIS y establecido el
NIS (SIL) objetivo para cada FIS, el proveedor o contratista debe desarrollar y/o aplicar según le corresponda la
ERS para el sistema conforme a las restricciones que PEMEX imponga. La ERS del SIS se debe expresar y
estructurar de tal modo que los requisitos sean claros, precisos, verificables, sostenibles, factibles y escritos de
modo que puedan ser comprendidos y aplicados.
8.6.2 El proveedor o contratista y PEMEX deben elaborar los diagramas de causa-efecto también conocidos
como Matriz lógica de causa y efecto del SIS para documentar la ERS de un SIS. Estos diagramas se deben
desarrollar de acuerdo con el anexo 12.1 de esta norma de referencia y se deben usar para documentar los
requisitos funcionales y de integridad. Deben ser documentos claros para todas las disciplinas.
8.6.3 Los diagramas lógicos se deben usar además de los diagramas causa-efecto para funciones
complejas y basadas en tiempo, así como para secuencias complejas que no pueden ser descritas fácilmente
mediante un diagrama de causa-efecto y deben cumplir con ISA-5.2-1976 (R 1992) o equivalente.
8.6.4 La ERS debe constituir la guía para definir los requisitos de diseño, por esta razón, se debe incluir
toda la información requerida como un paquete completo y debe contener:
a) La función del sistema o componente del sistema

b) Las acciones que el sistema o componente debe realizar bajo circunstancias establecidas
(especificación funcional)
c) La integridad requerida (confiabilidad y disponibilidad) para operar en dichas circunstancias
(especificación de integridad)
d) Los requisitos de sobrevivencia una vez que un incidente mayor ha sucedido (especificación de
sobrevivencia)
8.6.5 El proveedor o contratista debe usar el NIS (SIL) de cada FIS (SIF) del SIS para establecer una
arquitectura del sistema para lograr el nivel de desempeño, seguridad e integridad requerida para que el SIS
ejecute las funciones de seguridad.
8.6.6 Se deben identificar en el Análisis y Evaluación de Riesgos las especificaciones de sobrevivencia

cuando exista un requisito específico de que un SIS permanezca operando durante o después de un incidente
mayor.
8.6.7 Para el desarrollo de la ERS el proveedor o contratista debe tener disponible la siguiente información:
a) La lista de las FIS (SIF) requeridas y el NIS (SIL) de cada FIS (SIF)
b) Los Diagramas de Flujo de Proceso-DFP y Diagramas de Tubería e Instrumentación-DTIs, hojas de
datos de proceso, hoja de especificaciones de instrumentos
c) La información del proceso (filosofía de operación, elementos finales, entre otros) e información del
análisis cuantitativo de riesgo (causa y secuencia de cada evento potencial de peligro que requiera un
SIS)
d) Las consideraciones de falla de causa común del proceso tales como corrosión, taponamiento, entre
otros.
e) Los requisitos regulatorios que impactan al SIS
f) Las consideraciones de confiabilidad, calidad y ambientales
g) La lista de consideraciones operacionales y de mantenimiento
8.6.8 Los requisitos de seguridad del SIS deben incluir la definición de los siguientes parámetros:
a) La descripción de todas las FIS (SIF) para lograr la seguridad funcional requerida y el NIS (SIL) para
cada una de ellas.
b) Los requisitos para identificar y tomar en cuenta las fallas de causa común.
c) Las acciones a tomar en caso de pérdida de la(s) fuente(s) de energía del SIS.
d) La respuesta de acción a cualquier falla detectada.
e) Los requisitos de interfase humano máquina.
f) La importancia de las interacciones de los componentes físicos del sistema/programas, e identificar y
documentar cualquier restricción para dichas interacciones. De acuerdo con 8.8.5 de esta norma de
referencia.
g) Los requisitos de diagnóstico para lograr el NIS (SIL) objetivo.
h) Los límites de inmunidad electromagnética requeridos para lograr compatibilidad electromagnética, los
cuáles deben ser fijados considerando tanto el ambiente electromagnético como los niveles de
integridad de seguridad requeridos.
i) La iniciación manual de funciones protectoras sustituye en muchos casos a la iniciación automática, por
esta razón en funciones iniciadas manualmente se debe considerar la confiabilidad humana, ya que la
integridad de los componentes físicos “hardware” de la iniciación manual no debe ser menor a aquélla
de la iniciación automática.
j) Los requisitos de mantenimiento y prueba para lograr el NIS (SIL) objetivo (intervalo mínimo de prueba).
k) La definición del estado seguro del proceso para cada FIS (SIF) identificada.
l) La definición de cualquier estado individual de proceso seguro, que cuando ocurra, conjuntamente se
desarrolle un peligro separado (sobrecarga de un tanque de almacenamiento de emergencia, relevos
múltiples al sistema de desfogue, entre otros).
m) Las fuentes de demanda consideradas y la tasa de demanda en la FIS.
n) Los requisitos para los intervalos de prueba rigurosa.
o) Los requisitos para el tiempo de respuesta del SIS para llevar el proceso a un estado seguro.
p) El NIS (SIL) y modo de operación (demanda/continuo) para cada FIS.
q) La descripción de las variables de proceso del SIS y sus puntos de disparo.
r) La descripción de las acciones de salida hacia el proceso a través del SIS y de los criterios para la
operación exitosa, los requisitos para el cierre hermético de válvulas, entre otros.
s) La relación funcional entre las entradas y salidas del proceso, incluyendo las funciones lógicas,
matemáticas y cualquier permisivo requerido representado en los diagramas lógicos o diagramas de
causa-efecto.
t) Los requisitos para el paro manual.
u) Los requisitos relativos a la desenergización para disparar. Las aplicaciones para el SIS aplicable para
Sistemas para Paro por Emergencia se deben diseñar en el modo desenergizar para disparar.
v) Los requisitos para restablecer el SIS después de un paro.
w) El proveedor o contratista debe solicitar a PEMEX el criterio mínimo de la máxima tasa de disparos en
falso permitida.
x) Los modos de fallas y respuestas deseadas del SIS (alarmas, paros automáticos, entre otros).
y) Los requisitos específicos relativos a los procedimientos para el arranque y restablecimiento arranque
del SIS.
z) Todas las interfaces entre el SIS y cualquier otro sistema [incluyendo el SCBP (BPCS) o SDMC y
operadores].
aa) La descripción de los modos de operación de la instalación (arranque automático, manual, y
semiautomático; estado estacionario, estado estacionario de no operación, reestablecimiento, paro,
mantenimiento) e identificación de las FIS (SIF) requeridas para operar dentro de cada modo.
bb) Los requisitos de seguridad de los programas de aplicación listados o enumerados en el 8.8.5 de esta
norma de referencia.
cc) Requisitos para sobreponer/inhibir/desviar incluyendo como deben ser desactivados.
dd) La especificación de cualquier acción requerida para lograr o mantener un estado seguro en el evento
de detección de fallas en el SIS. Cualquier acción se debe resolver tomando en cuenta todos los
factores humanos relevantes.
ee) El tiempo medio para reparación factible para el SIS, tomando en cuenta el tiempo de transporte,
ubicación, partes de repuesto, contratos de servicios y restricciones ambientales.
ff) La identificación de las combinaciones peligrosas de los estados de salida del SIS que se requieren
evitar
gg) Se deben identificar todas las condiciones ambientales extremas a las que pueda estar sometido el SIS.
Esto puede requerir de las siguientes consideraciones: temperatura, humedad, contaminantes, puesta a
tierra, Interferencia Electromagnética/Interferencia por Radiofrecuencia - IEM/IRF, choque/vibración,
descarga electrostática, clasificación de área eléctrica, inundación, rayos y otros factores relacionados.
hh) Se deben Identificar en conjunto los modos normal y anormal de operación para la instalación (entre
otros, arranque de la instalación) y un procedimiento individual operacional de la instalación (entre otros,
mantenimiento de equipo, calibración del sensor y/o reparación). Se pueden requerir FIS (SIF)
adicionales para apoyar estos modos de operación.
ii) La definición de los requisitos para cualquier FIS (SIF) requerida para sobrevivir a un evento de
accidente importante, entre otros, tiempo requerido para que una válvula permanezca operando en caso
de fuego.
8.6.9 La ERS de los programas, se deben derivar de la ERS indicados en 8.6 de esta norma de referencia y
de la arquitectura seleccionada del SIS.
8.6.10 Una vez terminada la ERS, esta se debe revisar por PEMEX. Una vez revisada la especificación no
deben existir cambios a menos que estén debidamente justificados por el proveedor o contratista y revisados
por PEMEX. La especificación debe llevar el registro del número de revisión correspondiente cuando se realicen
cambios durante el curso del proyecto.
8.7 Diseño e ingeniería del equipo del SIS
8.7.1 Diseño conceptual del SIS
El proveedor o contratista debe diseñar uno o más SIS para procesar la(s) FISs (SIFs) y cumplir con el o los NIS
(SIL) objetivos. El proveedor o contratista debe definir las características técnicas para la realización y
mantenimiento bajo estándares de los Sistemas Instrumentados de Seguridad SIS.
El proveedor o contratista debe desarrollar un diseño conceptual del SIS para verificar que se cumpla con los
requisitos de seguridad y de operación del NIS (SIL). Debe seleccionar una tecnología, configuración
(arquitectura), intervalo de prueba conceptual, entre otros. Posteriormente debe proceder a la verificación
cuantitativa para ver si el sistema propuesto cumple los requisitos de operación.
El diseño de los SIS para sistemas de prevención como los Sistemas de Paro por Emergencia debe estar
constituido por los siguientes elementos:
a) Elementos primarios (Sensores)

b) Resolvedor lógico
c) Elementos finales
d) Equipo “Hardware”, cuando aplique Programas “Software” adicionales requeridos para el correcto
funcionamiento del SIS
8.7.1.1 Requisitos generales

8.7.1.1.1 El proveedor o contratista durante el diseño del SIS se debe apegar a la ERS, tomando en cuenta
todos los requisitos de 8.7 de esta norma de referencia.
8.7.1.1.2 El SIS debe incluir solamente FIS (SIF) y el EP debe ser de un nivel NIS (SIL) certificado (que cubra
el NIS (SIL) más alto de cualquier FIS (SIF) que forme parte de este, considerando lo siguiente:
a) Las FIS (SIF) deben estar separadas de las funciones instrumentadas de no seguridad
b) La independencia significa, que ninguna falla en las funciones instrumentadas de no seguridad, ni en el
acceso programado a las funciones del programa de no seguridad deben causar una falla peligrosa en las
FIS (SIF)
8.7.1.1.3 Cuando se tengan FIS (SIF) de diferentes NIS (SIL), entonces el equipo y la programación
compartidos o comunes del SIS deben cumplir con el NIS (SIL) más alto a menos que se demuestre que las FIS
(SIF) del NIS (SIL) más bajo no afectan negativamente a las FIS (SIF) de los NIS (SIL) más altos.
8.7.1.1.4 Cualquier dispositivo usado para desempeñar parte de una FIS (SIF) no se debe usar para
propósitos del control básico de proceso, a menos que se realice un análisis para confirmar que el riesgo total
es aceptable.
8.7.1.2 Independencia del SIS con otros sistemas
El proveedor o contratista durante el diseño del SIS debe tomar en cuenta todos los aspectos de independencia
y dependencia entre el SIS y SCBP (BPCS) o SDMC, y el SIS y otras capas de protección.
8.7.1.2.1 El SCBP (BPCS) o SDMC se debe diseñar separado e independiente del SIS para no comprometer
la integridad funcional del SIS. La separación puede ser idéntica o diversa considerando el numeral 8.7.1.2.4:
a) La separación idéntica debe constar de dos o más unidades o componentes idénticos e independientes
entre sí.
b) La separación diversa debe constar de dos o más unidades o componentes diferentes (con diferente
tecnología, configuración, entre otros factores) e independientes entre sí, además este tipo de separación
reduce la probabilidad de fallas sistemáticas y fallas de causa común.
8.7.1.2.2 La separación entre el SCBP (BPCS) o SDMC o y SIS se debe considerar y evaluar para cumplir
con la funcionalidad de seguridad y los requisitos de integridad en los siguientes elementos:
a) Sensores
b) Elementos finales
c) Resolvedor lógico
d) Comunicación entre SIS y el SCBP (BPCS) o SDMC u otro equipo
8.7.1.2.3 En los sensores de campo, para NIS (SIL) 1 y NIS (SIL) 2, se requiere la separación idéntica entre el
SCBP (BPCS) o SDMC y el SIS para alcanzar el NIS (SIL) objetivo y para NIS (SIL) 3, la separación puede ser
idéntica o diversa entre el SCBP (BPCS) o SDMC y el SIS, para cumplir con la integridad de seguridad
requerida.
8.7.1.2.4 En los elementos finales, para NIS (SIL) 1, se puede usar una sola válvula para ambos sistemas
SCBP (BPCS) o SDMC y SIS, con la condición de que la tasa de falla, cumpla los requisitos de integridad de
seguridad. El diseño debe asegurar que las acciones del SIS prevalezcan sobre las acciones del SCBP (BPCS)
o SDMC. La falla del elemento final del SCBP (BPCS) o SDMC no debe ser la causa del peligro que se
pretende prevenir con la FIS (SIF). Para NIS (SIL) 2, se requiere la separación idéntica entre SCBP (BPCS) o
SDMC y SIS, para cumplir el NIS (SIL) objetivo. El uso de una sola válvula para SCBP (BPCS) o SDMC y SIS
requiere un análisis y revisión de seguridad, ya que de lo contrario puede no cumplirse la integridad de

seguridad requerida. Para NIS (SIL) 3, la separación debe ser idéntica o diversa entre el SCBP (BPCS) o SDMC
y SIS para alcanzar la integridad de seguridad requerida.
Se deben tomar en cuenta las siguientes consideraciones adicionales para determinar los requisitos de una
válvula:
a) Los requisitos de cierre

b) La experiencia de confiabilidad con la válvula
c) Los modos de falla de la válvula
d) Procedimientos operativos que contribuyan a que la válvula sea menos efectiva
8.7.1.2.5 En el procesador lógico EP, para NIS (SIL) 1, la separación entre el SCBP (BPCS) o SDMC y SIS
debe ser idéntica o diversa. Para NIS (SIL) 2, se requiere separación diversa entre el SCBP (BPCS) o SDMC y
el SIS. Para NIS (SIL) 3, debe existir una separación diversa entre el SCBP (BPCS) o SDMC y el SIS, para
cumplir con el NIS (SIL) objetivo.
8.7.1.3 La comunicación entre el SCBP (BPCS) o SDMC, el Sistema de Gas y Fuego y el SIS
El proveedor o contratista para efectos de esta norma de referencia debe distinguir dos tipos de comunicación
del SIS, interna y externa. La comunicación interna debe estar formada por la red de control industrial y se da al
interior de los procesadores lógicos EP y está en función de la tecnología con la que fueron construidos. La
comunicación externa se debe considerar aquella que se lleva a cabo entre un SIS y uno o más sistemas
independientes para efectuar intercambio de información de “monitoreo” (lectura) y de comandos de acción
(escritura), el proveedor o contratista debe verificar que esta comunicación no debe comprometer el NIS (SIL)
del SIS, por lo que el diseño de esta comunicación debe considerar los requisitos para comunicación de datos
de cada FIS, de acuerdo con la serie IEC 61508
8.7.1.3.1 En algunos casos se requiere comunicación entre el SIS y el SCBP (BPCS) o SDMC, esta debe ser
unidireccional con comunicación únicamente del SIS hacia el SCBP (BPCS) o SDMC.
8.7.1.3.2 Las formas básicas de comunicación externa entre SCBP (BPCS) o SDMC, Sistema de Gas y Fuego
y el SIS aceptadas por esta norma de referencia son:
a) No debe existir comunicación externa del SCBP (BPCS) o SDMC o Gas y Fuego para propósitos de
escritura hacia el SIS, la comunicación entre estos sistemas únicamente puede ser para propósitos de
lectura.
b) La comunicación a través de una red de comunicaciones entre el SCBP (BPCS) o SDMC y el SIS, se
acepta para NIS (SIL) 1 y NIS (SIL) 2, pero el uso de este método para NIS (SIL) 3 requiere del análisis y
revisiones de seguridad adicionales y de certificación de la red para ese propósito.
c) Sólo lectura en la comunicación externa del SIS al SCBP (BPCS) o SDMC. Este tipo de comunicación es
aceptable para todos los NIS (SIL) siempre y cuando la revisión y el análisis aseguren que no se
compromete a la FIS. Las medidas para protección de la escritura de la función de seguridad deben incluir:
Clave de acceso “password” para limitar el acceso a la escritura.
La aplicación de la FIS (SIF) del SIS en memoria de solo lectura ROM Read Only Memory (Memoria
de Sólo Lectura).
d) Comunicaciones externas lectura/escritura con protección a la escritura de la FIS (SIF). Este tipo de
comunicación es aceptable para NIS (SIL) 1 y 2, pero el uso de este método para NIS (SIL) 3 se requiere
de un análisis y revisiones adicionales de seguridad. Las medidas para lograr protección a la escritura de la
FIS (SIF) deben incluir:
Un límite de tiempo para acceder a la escritura.
Un interruptor de los programas “software”, entre otros, una clave de acceso, para limitar el acceso
a la escritura.
e) Comunicación externa de lectura/escritura con protección limitada o sin protección a la escritura de la FIS.
El Uso de este método para NIS (SIL) 2 requiere análisis y revisiones de seguridad adicionales. No se
debe usar este método para NIS (SIL) 3
8.7.1.4 Sistema de Control Básico de Proceso-SCBP. El proveedor o contratista debe minimizar la

probabilidad de que cualquier falla simple en el SCBP (BPCS) o SDMC lleve a una demanda del SIS. Todos los
modos de fallas previsibles deben ser identificados de modo que se consideren en el diseño del SIS.
En instalaciones de producción se pueden implantar funciones de protección poco críticas (con base en el
análisis y evaluación de riesgos) en el SCBP (BPCS) o SDMC siempre que se cumpla que la integridad de
seguridad no sea tan elevada como para implantar un SIS.
8.7.1.5 Sistema de gas y fuego. Los Sistemas de Detección de Gas y Fuego y el SIS deben contemplar
arquitecturas independientes, sin embargo, debe existir comunicación entre ellos. Estas requieren
consideraciones de prueba automática, para permitir la detección de fallas internas del sistema; “monitoreo” en
línea, técnicas de votación y diagnostico para asegurar que el sistema mantiene su disponibilidad para
desempeñar su función. En el caso del Sistema de Gas y Fuego la comunicación digital con el SIS debe ser
solo lectura.
8.7.1.5.1 Durante el diseño del SIS se deben considerar los requisitos para la operación, mantenimiento y
pruebas para facilitar la implementación de los requisitos del factor humano en el diseño (instalaciones de
desvío para permitir pruebas en línea y alarmar cuando está en desvío, entre otros).
8.7.1.5.2 El diseño del SIS debe tomar en cuenta las capacidades y limitaciones humanas y debe cumplir con
la tarea asignada para el personal de operación y mantenimiento. El diseño de todas las IHM (HMI) debe seguir
las buenas prácticas de los factores humanos y debe considerar la capacitación de los operadores.
8.7.1.5.3 El SIS debe ser diseñado de tal forma que una vez que ha puesto el proceso en un estado seguro,
debe permanecer en el estado seguro hasta que se haya iniciado un restablecimiento a menos que se solicite
de otra manera en la ERS.
8.7.1.5.4 Se deben proporcionar medios manuales (entre otros, botones de paro de emergencia)
independientes de los resolvedores lógicos, para actuar los elementos finales del SIS cuando así se requiera en
los requisitos específicos de seguridad del proyecto.
8.7.1.6 Complejidad. Los sistemas se deben seleccionar y diseñar para minimizar la complejidad y deben
cumplir con esta norma de referencia, y la serie IEC 61508. Cada elemento del sistema se debe especificar bajo
normas de desempeño con la funcionalidad, integridad de seguridad y sobrevivencia requeridas, y no
simplemente al más alto nivel de integridad alcanzable.
8.7.1.7 Concepto y principio de falla segura. El concepto de falla segura para plantas y equipos es llevar
al estado seguro el proceso en caso de falla del resolvedor lógico, sensores, elementos finales, fuentes de
alimentación. Este requisito se debe realizar desenergizando para disparar las salidas del SIS.
8.7.1.7.1 Durante la operación normal, con el proceso en condiciones seguras, las entradas de los sensores
de las variables de proceso, el resolvedor lógico, y salidas a los dispositivos de protección deben estar
energizados. El sistema debe interpretar el estado desenergizado de una entrada como una demanda y se
deben desenergizar las salidas requeridas para iniciar un paro seguro. Este diseño debe asegurar también un
paro seguro por pérdida del suministro eléctrico a las entradas del sistema, salidas o lógica del sistema.
8.7.1.7.2 Para aquellos subsistemas que a falla del suministro eléctrico no vayan a un estado seguro, se
deben cumplir las acciones siguientes y las indicadas en el 8.7.2.1 de esta norma de referencia.
a) Se debe detectar la pérdida de integridad del circuito (“monitoreo” al final de la línea, entre otros).
b) Se debe asegurar la integridad del suministro eléctrico usando un suministro de energía confiable
proveniente de un sistema de fuerza ininterrumpible.
c) Se debe detectar la pérdida de suministro de energía al subsistema.
8.7.1.7.3 En casos en donde no se aplique el concepto de falla segura por la naturaleza de la aplicación y se
requiera energizar alguna salida para disparo a otro sistema (sistema de gas y fuego) se debe justificar y hacer
consideraciones a fin de cumplir la integridad de seguridad requerida.
8.7.1.7.4 Se debe aplicar el principio de falla segura para el SIS de la instalación.
El proveedor o contratista debe documentar el tiempo en que el EP (PE) pueda operar en estado degradado sin
comprometer la función de seguridad.
8.7.1.8 Tasas de falla y modos de falla. El proveedor o contratista debe considerar en el diseño del SIS las
tasas de fallas reveladas y no reveladas y su implicación. Al cuantificar la confiabilidad de un sistema se
requiere de valores dentro de un intervalo de confianza del 70 por ciento para las tasas de fallas de sus
componentes. Los datos se deben obtener a partir de registros de la instalación o del sector industrial o fuentes
genéricas o en base a opinión de expertos. La opinión de expertos certificados en seguridad funcional se debe
considerar para el análisis de estos datos.
8.7.1.9 Integridad del sistema. Se refiere a la capacidad de dichos sistemas para operar bajo
circunstancias dadas y está relacionada con su confiabilidad y disponibilidad. El proveedor o contratista al
seleccionar y especificar un sistema debe considerar además:
a) Tasas de falla (reveladas y no reveladas)

b) Falla para actuar bajo demanda
c) Tiempo Medio de Reparación Real – MTTR
8.7.1.9.1 Se deben emplear intervalos de prueba y tiempos de reparación en los análisis de confiabilidad y
disponibilidad (PFDprom); en el caso de intervalos de prueba los tiempos utilizados en los cálculos no deben ser
menores a seis meses ni mayor a dos años y, para el caso de los tiempos de reparación se debe utilizar en el
cálculo un tiempo no menor a ocho horas.
8.7.1.9.2 Cuando no se disponga de información específica de los equipos o sistemas de interés, los análisis
de confiabilidad y disponibilidad se pueden basar en análisis de tasas de falla de situaciones comparables o
cálculos empleando métodos de pronóstico, como análisis de árboles de fallas o AMFE (FMEA) y aplicando
información como la contenida en la base de datos OREDA u otras de entidades colegiadas.
8.7.1.9.3 Para aplicaciones NIS (SIL) 3, se debe evitar que una falla simple pueda ocasionar la falla de todo el
sistema.
8.7.1.9.4 Para cada FIS (SIF) se debe hacer un análisis de confiabilidad y disponibilidad, y se debe
documentar formalmente para garantizar que se cumpla la integridad de seguridad requerida.
8.7.1.9.5 Se deben considerar los efectos de las fallas de causa común al calcular la integridad global del
sistema.
8.7.1.9.6 El proveedor o contratista debe proporcionar los certificados de cumplimiento conforme lo establece
la IEC-61508 emitido por TÜV, Exida, entre otros, de los elementos que componen al SIS. (Ver punto 8.7.2.4 de
esta norma de referencia).
8.7.1.10 Redundancia. El proveedor o contratista (diseñador) debe determinar los requisitos de redundancia
para lograr el NIS (SIL) y PFDprom requerida de todos los componentes del SIS como son sensores,
resolvedores lógicos EP y elementos finales. La redundancia debe aplicar tanto en los componentes físicos del
sistema como en los programas. Además el proveedor o contratista debe considerar la Tolerancia a Fallos en
Equipo “Hardware” TFE (HFT), la fracción de falla segura FFS (SFF), entre otros, ver 8.7.2.2.2 de esta norma
de referencia.
8.7.1.11 Fallas de causa común. Pueden ser provocadas por un componente único o por errores
sistemáticos en los componentes redundantes. Las fallas de causa común y los errores sistemáticos se deben
reducir por el proveedor o contratista durante el proceso de diseño considerando lo siguiente:
a) Proporcionar al proveedor o contratista información específica del proceso (códigos, números de modelo,
entre otros)
b) Verificación
c) Separación diversa/ idéntica
d) Redundancia diversa/idéntica
En algunos casos sistemas diferentes pueden compartir el mismo ambiente, cabina, operador, interfaz. Sin
embargo dichos sistemas deben contar con fuentes de energía y resolvedores lógicos entre otros separados
físicamente para evitar fallas de causa común y a la vez permitir pruebas de mantenimiento o modificaciones, lo
cuál se debe considerar durante el diseño del sistema.
8.7.1.12 Consideraciones de diseño de programas “software”. El proveedor o contratista en el diseño de

un SIS debe considerar los siguientes tipos de programas:
a) Programas integrados
b) Programas de aplicación
8.7.1.12.1 Programas integrados. Este tipo de programas deben ser parte del sistema proporcionado por el
proveedor o contratista y no pueden ser modificados por el usuario final.
El proveedor o contratista debe proporcionar los programas integrados (“software” integrado), los cuales deben
ser transparentes para la preparación de programas de aplicación. Además debe proporcionar documentación
que compruebe que:
a) Cuenta con un plan de calidad para los programas

b) Está definida la versión de los programas integrados
c) La versión de los programas integrados debe ser la misma para la etapa de configuración, pruebas y
puesta en operación
d) Se revisaron y analizaron todas las ampliaciones o arreglos a la funcionalidad de los programas integrados
contenidos en las nuevas versiones
8.7.1.12.2 Programas de aplicación (“software” de aplicación). Este tipo de programas deben contener la
lógica funcional del SIS en el procesador lógico electrónico programable, esto es las secuencias lógicas,
permisivos, límites, expresiones, entre otros, que controlan las salidas, entradas, cálculos, y decisiones
requeridas para alcanzar los requisitos funcionales de seguridad. El proveedor o contratista es el responsable
de proporcionar el programa de aplicación que cumpla con todas las especificaciones de seguridad del sistema.
8.7.1.12.2.1 En el desarrollo del programa de aplicación se debe emplear el diseño modular y debe incluir
módulos para pruebas de diagnostico.
8.7.1.12.2.2 La herramienta de configuración y los lenguajes de programación deben ser certificados de

acuerdo con IEC 61508, para la aplicación correspondiente. Dichos lenguajes deben estar de acuerdo con la
IEC-61131-3, entre otros:
a) Diagramas de escalera
b) Diagrama de bloques
c) Listado de instrucciones
d) Texto estructurado
e) Gráfico
f) Textual
8.7.1.12.2.3 Se deben establecer patrones de programación para fortalecer un estilo consistente entre el
equipo de diseño mediante la aplicación de un plan de calidad de los programas. Para evitar complejidad
innecesaria y características que dificulten el pronóstico del comportamiento del sistema, se debe considerar los
siguientes:
a) Los programas deben tener una estructura y un orden definido que garanticen la comprensión de todo lo
que ejecuta el programa en cualquier momento.
b) Cuando se apliquen secuencias anidadas, se debe minimizar el anidamiento.
8.7.1.12.2.4 Para verificar que el diseño de los programas de aplicación cumplen con cada uno de los
requisitos establecidos en la ERS, el proveedor o contratista debe realizar:
a) Un análisis que demuestre que cada uno de los requisitos de la ERS se han implementado en el diseño.
b) Una revisión conjunta con PEMEX de los diseños de las funciones críticas de seguridad.
8.7.1.12.2.5 Para confirmar que los programas de aplicación cumplen con los requisitos establecidos en la
ERS bajo todas las condiciones operativas esperadas, el proveedor o contratista debe:
a) Desarrollar pruebas a los programas para someterlos a condiciones más allá de los límites normales de los
datos, órdenes, entradas por teclado, y otras acciones
b) Desarrollar un módulo de informe de errores y un módulo que permita resolverlos
c) Desarrollar pruebas para los programas de aplicación que permitan determinar su comportamiento en
presencia de fallas de los componentes físicos “hardware”
d) Presentar documentación que respalde cada uno de los puntos anteriores
8.7.1.13 Agentes externos. El procesador lógico EP se debe diseñar de modo que el equipo electrónico
debe tener inmunidad a la radiofrecuencia electromagnética, impacto, perturbaciones ambientales que impidan
su funcionamiento, entre otras, mismas que deben cumplir con la IEC 61131-2. Las medidas tomadas deben
verificar este requisito y se deben seleccionar de acuerdo a las consecuencias que se tendrían si el equipo
fallara o presentara una degradación en sus funciones, además, el sistema no debe producir disturbios
electromagnéticos que puedan interferir con la operación de otros equipos.
8.7.1.13.1 El SIS se debe diseñar de tal forma que las funciones de protección se mantengan bajo todas las
condiciones climáticas requeridas que existen en el lugar en que se instale el SIS. Además de lo que
especifique particularmente PEMEX en su base de licitación.
8.7.1.14 Arquitectura. Se debe indicar el arreglo e interconexiones de los componentes o módulos del SIS.
La selección de ésta es una actividad que se debe desarrollar durante el diseño del sistema. La arquitectura del
SIS tiene un impacto directo en su integridad global de seguridad, influenciando asimismo en su confiabilidad.
El proveedor o contratista durante la selección de la arquitectura del SIS debe incluir las siguientes etapas:
a) Selección de diseño energizado o desenergizado para disparo

b) Selección de redundancia idéntica o diversa para los sensores, resolvedores lógicos y elementos finales
del SIS
c) Selección de redundancia para las fuentes de potencia y de suministro de energía al SIS
d) Selección de los componentes de la interfaz con el operador
e) Selección de las interfaces de comunicación entre el SIS y otros subsistemas
8.7.2 Diseño detallado del SIS
8.7.2.1 Requisitos para el comportamiento del sistema en la detección de un fallo
8.7.2.1.1 Las fallas no reveladas en el sistema obstruyen su efectividad en seguridad. El proveedor o

contratista debe tomar acciones para eliminar estos modos de falla sobre el diseño o en su caso se debe aplicar
un método de pruebas que permita revelar dichas fallas.
8.7.2.1.2 La detección de un fallo peligroso (mediante prueba de diagnóstico, prueba rigurosa o por cualquier
otro medio) en cualquier subsistema debe tolerar un fallo de equipo cumpliendo lo siguiente:
a) Lograr o mantener un estado seguro.

b) Una operación segura continua del proceso mientras la parte dañada es reparada. Si la reparación de la
parte dañada no se termina dentro del MTTR asumida se debe realizar una acción específica para lograr o
mantener el estado seguro.
8.7.2.1.3 La detección de un fallo peligroso (por prueba de diagnóstico, prueba rigurosa o por cualquier otro
medio) en cualquier subsistema sin tener redundancia y en el cual una FIS (SIF) es completamente
dependiente, en el caso que el subsistema se use solamente para FIS (SIF) operando en modo bajo demanda,
debe resultar en:
a) Una acción específica para lograr o mantener un estado seguro; o.

b) Reparar el subsistema dañado dentro del periodo de MTTR asumido en el cálculo de probabilidad de fallas
aleatorias del equipo. Durante este tiempo la seguridad perseverante del proceso se debe reforzar por
medidas y restricciones adicionales. La reducción de riesgo proporcionado por estas medidas y
restricciones debe ser al menos igual a la reducción proporcionada por el SIS en la ausencia de cualquier
falla. Las medidas y restricciones adicionales se deben especificar en los procedimientos de operación y
mantenimiento del SIS. La reparación se debe llevar dentro del tiempo medio para reparación especificado
para alcanzar o mantener un estado seguro.
8.7.2.1.4 La detección de un fallo peligroso (por prueba de diagnóstico, prueba rigurosa o por cualquier otro
medio) en cualquier subsistema sin redundancia y en el cual una FIS (SIF) es completamente dependiente, en
el caso que el subsistema se use solamente para FIS (SIF) operando en modo continuo, debe resultar en una
acción específica para alcanzar o mantener un estado seguro.
El proveedor o contratista debe especificar en la ERS la acción específica (reacción al fallo) requerida para
alcanzar o mantener un estado seguro. Esto puede consistir, del paro seguro del proceso, o esa parte del
proceso del cual depende, para la reducción del riesgo, en el subsistema dañado, u otra planeación de la
mitigación especificada. El tiempo total para detectar el fallo y ejecutar la acción debe ser menor que el tiempo
para que ocurra el evento peligroso.
8.7.2.1.5 Cuando las acciones específicas para lograr o mantener el estado seguro en cualquier subsistema
(que tolere un fallo, sin redundancia en el cual la FIS (SIF) es completamente dependiente operando en modo
bajo demanda o continuo), dependen de un operador en respuesta a una alarma (abriendo o cerrando una
válvula, entre otras), la alarma se debe considerar parte del SIS independiente del SCBP (BPCS) o SDMC.
8.7.2.1.6 Cuando las acciones específicas para lograr o mantener el estado seguro en cualquier subsistema
(que tolere un fallo, sin redundancia en el cual la FIS (SIF) es completamente dependiente operando en modo
bajo demanda o continuo), dependen de un operador notificando mantenimiento para reparar un fallo del
sistema en respuesta a una alarma de diagnóstico, esta alarma de diagnostico debe ser parte de un SCBP
(BPCS) o SDMC pero debe ser sujeta a una prueba rigurosa y a la administración del cambio junto con el resto
del SIS.
8.7.2.2 Requisitos para el equipo tolerante a fallos
8.7.2.2.1 Para FIS (SIF), los sensores, resolvedores lógicos y los elementos finales deben tener un mínimo de
equipo tolerante a fallos.
8.7.2.2.2 Para los procesadores lógicos EP, la mínima tolerancia a fallos de equipo “hardware” debe ser como
se muestra en la Tabla 4 de esta norma de referencia.
NIS (SIL) Mínima tolerancia a fallos de equipo “hardware”

FFS < 60 por ciento FFS 60 a 90 por ciento FFS > 90 por ciento
1 1 0 0
2 2 1 0
3 3 2 1
Tabla 4. Mínima tolerancia a fallos en equipo de los Procesadores Lógicos EP
8.7.2.2.3 Para todos los subsistemas (sensores, elementos finales y resolvedores lógicos no electrónicos
programables, entre otros) excepto los procesadores lógicos EP, la tolerancia mínima a fallos en el equipo debe
ser como se indica en la Tabla 5 de esta norma de referencia, de tal manera que el modo de falla dominante
sea para el estado seguro o que las fallas peligrosas sean detectadas (ver 8.7.2.1 de esta norma de referencia),
de otra forma la tolerancia a fallo debe ser incrementada por uno (ver 8.7.2.2.5 de esta norma de referencia).
8.7.2.2.4 Para todos los subsistemas (sensor, elementos finales y resolvedores lógicos, entre otros)
excluyendo procesadores lógicos EP la tolerancia mínima a fallo especificada en la tabla 5 de esta norma de
referencia, se puede reducir en uno si los dispositivos usados cumplen con todo lo siguiente:
a) El equipo del dispositivo se selecciona sobre la base de uso previo

b) El dispositivo permite ajustes únicamente de los parámetros del proceso, entre otros, rango de medición,
dirección de falla escala hacia arriba o hacia abajo
c) El ajuste de los parámetros relacionados con el proceso se encuentra protegido, entre otros de puentes,
con clave de acceso
d) La función tiene un requisito de NIS (SIL) de menos de 4
Tolerancia mínima a fallo de equipo “hardware”

NIS (SIL)
(ver 8.7.2.2.3 y 8.7.2.2.4 de esta norma de referencia)
1 0
2 1
3 2
Tabla 5. Tolerancia mínima a fallo de equipo de los sensores y elementos finales y resolvedores lógicos no-EP
8.7.2.2.5 En el caso de que el valor de la tolerancia mínima a fallo en equipo calculada con las tablas 4 y 5 de
esta norma de referencia, sea menor que las calculadas en las tablas 2 y 3 de la IEC 61508-2, debe prevalecer
la IEC 61508-2 . Por lo tanto el proveedor o contratista debe efectuar y entregar a PEMEX los dos cálculos.
8.7.2.3 Requisitos para la selección de componentes y subsistemas
El proveedor o contratista debe especificar los requisitos para la selección, integración y los criterios de
aceptación de componentes o subsistemas que se deben usar como parte de las FIS (SIF) de un SIS.
8.7.2.3.1 Requisitos generales
8.7.2.3.1.1 Los componentes y subsistemas seleccionados para uso como parte de un SIS para aplicaciones
NIS (SIL) 1 a NIS (SIL) 3 deben cumplir con IEC 61508-2 y IEC 61508-3, o también deben estar de acuerdo con
8.7.2.2, 8.7.2.3.2 al 8.7.2.3.5 de esta norma de referencia.
8.7.2.3.1.2 Los componentes y subsistemas seleccionados deben demostrar su conveniencia de uso a través
de la documentación del fabricante del equipo y los programas embebidos.
8.7.2.3.1.3 Los componentes y subsistemas deben ser consistentes con la ERS del SIS.
8.7.2.3.1.4 Diversidad. Se debe emplear para evitar que ocurran fallas de causa común, ya que el empleo de
la misma tecnología en los elementos físicos “hardware” o programas “software” puede producir fallas de causa
común. En aplicaciones SIS la diversidad se debe aplicar en elementos redundantes, sólo si esta es requerida
para alcanzar los requisitos de integridad de seguridad.
En el diseño de un SIS se debe considerar la diversidad al momento de seleccionar elementos físicos

“hardware”, programas “software” de aplicación y utilitarios.
En el caso de los elementos físicos para implementar diversidad se debe emplear:
a) Tecnología diferente
b) Componentes de fabricantes o vendedores diferentes
c) Productos diferentes del mismo fabricante
En el caso de programas “software” la diversidad debe considerar lo siguiente:
a) Programación de aplicaciones por diferentes programadores

b) Empleo de algoritmos diferentes
c) Empleo de tipos de datos, estructuras de datos y técnicas de almacenamiento de información diferentes
d) Empleo de subrutinas de manejo de excepciones y/o errores diferentes
e) En el caso de emplear librerías y subrutinas ya codificadas, se deben utilizar al menos dos librerías y
subrutinas que realicen la misma función con diferente código
f) Rutinas con cambio del orden de operaciones aritméticas en conversiones y operaciones
g) Rutinas con cambio en la secuencia de operaciones entrada y salida de información E/S, (I/O)
8.7.2.3.1.5 Procesador lógico EP. El proveedor o contratista debe diseñar e integrar el procesador lógico EP
de acuerdo a lo solicitado por esta norma de referencia y cumplir con el NIS (SIL) correspondiente.
Características mínimas a cumplir por el EP:
Debe estar diseñado conforme al concepto y principio de falla segura; en caso de pérdida de energía o bien
cuando falla el sistema o alguno de sus componentes clave.
El procesador lógico EP y sus módulos deben contar con autodiagnóstico. La lógica interna de cada procesador
lógico EP debe tener incorporadas rutinas de autodiagnósticos y de prueba automática en línea, y detección de
fallas para determinar el estado de cada módulo o del subconjunto que está dentro del sistema. La unidad de
control debe funcionar de acuerdo a los parámetros climáticos propios del sitio de instalación, ser resistente a
los golpes, vibración, descargas electrostáticas, “surge” eléctrico e interferencia electromagnética y
radiofrecuencia.
El procesador lógico EP debe cumplir por si solo íntegramente con la serie IEC-61508 y contar con la
certificación correspondiente para aplicaciones en el nivel de integridad requerido, además la configuración y el
software debe contar con características de seguridad a través de una llave física que asegure la integridad de
la configuración.
La unidad de control debe permitir mantenimiento en línea sin perder la protección. Los diagnósticos en línea
deben identificar, localizar y reportar las siguientes fallas:
a) Permanentes en las cuáles un componente del sistema o algún módulo sufre una falla irreversible
b) Temporales al azar en los cuáles los defectos sucesivos están interrelacionados
c) Intermitentes donde aparecen funcionamientos defectuosos con algún grado de periodicidad
d) De circuitos con detección de fallas
e) De memoria, todas las funciones RAM - Random Access Memory (Memoria de Acceso Aleatorio) y ROM - Read
Only Memory (Memoria de Sólo Lectura)
f) De procesador lógico EP
g) De comunicación
h) De direccionamiento e interfaz de entrada y salida
i) De módulo de entrada y salida
j) De suministro de energía
k) Problemas de sensor de campo (donde aplique)
l) Circuitos de E/S (entradas/salidas) (I/O) abiertos o en corto circuito
m) Alambres desconectados, bobinas de relé, contactos, terminales y fusibles de E/S (I/O) abiertos
El proveedor o contratista debe suministrar los manuales de instalación, programación, operación y

mantenimiento del equipo propuesto, en idioma español.
La unidad de control programable debe contar con memoria con capacidad de almacenamiento de datos para la
captura de secuencia de eventos, la cual debe mantenerse íntegra aún en el caso de falla de energía; la
memoria del programa debe ser del tipo no volátil o respaldada por batería. Se deben suministrar los medios
para tener acceso local a la información contenida en este elemento de memoria y direccionar esta base de
datos de eventos a un nivel superior de un sistema informático, si éste existe, a indicación de PEMEX, bajo las
características de compatibilidad total (protocolo de comunicación, interfaz humano máquina y demás
características del sistema informático).
El procesador lógico EP debe contar con los módulos de entrada/salida para recibir y transmitir las señales
analógicas y discretas de/hacia los dispositivos de campo, que conformen el sistema.
Se puede aplicar cualquier tecnología para desvíos de entradas debiendo el proveedor o contratista soportar
sus procedimientos de acuerdo a lo indicado en el manual de seguridad “Safety manual” del procesador EP.
En caso de falla de un canal o módulo de entrada/salida del dispositivo, el procesador lógico EP debe tener la
capacidad de detectar la falla y mostrarla, alarmando por medio de un diodo emisor de luz en el frente del
módulo en falla, así como en la interfase humano maquina.
Los módulos de entrada/salida deben contar con los siguientes diagnósticos y protecciones por canal:
diagnóstico y protección de corto circuito y/o sobrecorriente y diagnóstico de circuito abierto.
Todos los módulos de entrada/salida del procesador lógico EP deben permitir ser reemplazados en línea sin
interrumpir la energía eléctrica y sin requerir herramientas especiales; el reemplazo debe comprender la
configuración automática sin que cause interrupción o disturbios en el “monitoreo”, lógica y actuación del
sistema.
En el caso de requerirse, los contactos de salida del sistema lógico deben estar normalmente cerrados.
Es responsabilidad del proveedor o contratista proporcionar datos de MTTF del procesador lógico EP, tasa de
fallas del procesador lógico EP, el listado de los modos de fallas no reveladas y la frecuencia con que ocurren
fallas identificadas, tiempo medio entre disparos en falso (MTTFs), así como especificar el método usado y la
fuente de dichos datos.
8.7.2.3.2 Requisitos para la selección de componentes y subsistemas basados en el uso previo
8.7.2.3.2.1 El proveedor o contratista debe tener disponible la evidencia de que los componentes y
subsistemas son los requeridos para su uso en el SIS.
8.7.2.3.2.2 La evidencia de la aplicabilidad debe incluir lo siguiente:
a) Consideración de la calidad y la administración de la configuración de los fabricantes de los sistemas

b) Identificación y especificación de los componentes o subsistemas
c) Demostración del desempeño de los componentes o subsistemas en perfiles operativos y ambientes
físicos similares
d) El volumen de la experiencia operativa
8.7.2.3.3 Requisitos para la selección de componentes y subsistemas programables con LFP (FPL)
(entre otros, dispositivos de campo) basados en el uso previo
8.7.2.3.3.1 Aplican los requisitos generales, para la selección de componentes y subsistemas basados en el
uso previo de 8.7.2.3.1 y 8.7.2.3.2 de esta norma de referencia.
8.7.2.3.3.2 Se debe identificar la aplicabilidad de las características no usadas de los componentes y

subsistemas, y se debe establecer la improbabilidad de poner en peligro las FIS (SIF) requeridas.
8.7.2.3.3.3 Se debe considerar la configuración específica y el perfil operacional del equipo y de los programas
y la evidencia de la aplicabilidad considerando las:
a) Características de las señales de entrada y salida

b) Modos de uso
c) Funciones y configuraciones usadas
d) Uso previo en aplicaciones y ambientes físicos similares
8.7.2.3.3.4 Para aplicaciones con NIS (SIL) 3, se debe realizar una evaluación formal de acuerdo con 8.1.1.6.1
Evaluación de seguridad funcional, de esta norma de referencia, del dispositivo del LFP (FPL) para demostrar
que:
a) Los dispositivos con LFP (FPL) tienen una baja probabilidad de que fallen provocando un evento peligroso
en el SIS, debido a las fallas aleatorias del equipo o a fallas sistemáticas en el equipo o programas
b) Cumplen con las normas para equipo y programas conforme a la serie IEC 61508
c) El dispositivo con LFP (FPL) ha sido usado o probado en configuraciones representativas de los perfiles
operacionales requeridos
8.7.2.3.3.5 Para aplicaciones con NIS (SIL) 3 se debe tener disponible un manual de seguridad incluyendo las
restricciones para la operación, mantenimiento y detección de fallas cubriendo las configuraciones típicas del
dispositivo de LFP (FPL) y los perfiles operacionales previstos.
8.7.2.3.4 Requisitos para la selección de los componentes y subsistemas programables con LVL
(entre otros, procesadores lógicos EP) basados en un uso previo
8.7.2.3.4.1 Los siguientes requisitos se deben aplicar solo a los procesadores lógicos electrónicos
programables usados en SIS para FIS (SIF) con NIS (SIL) 1 o NIS (SIL) 2
8.7.2.3.4.2 Aplican los requisitos de 8.7.2.3.3 de esta norma de referencia.
8.7.2.3.4.3 Cuando exista alguna diferencia entre los perfiles operacionales y los ambientes físicos de un
componente o un subsistema según previa experiencia, y son utilizados dentro del FIS (SIF) entonces se debe
identificar cualesquier diferencia y realizar una evaluación basada en análisis y prueba para demostrar que la
probabilidad de fallas sistemáticas es baja cuando es usado en el SIS.
8.7.2.3.4.4 La experiencia operacional debe tomar en cuenta:
a) El NIS (SIL) de la FIS (SIF)

b) La complejidad y funcionalidad de componente o subsistema
8.7.2.3.4.5 Para aplicaciones con NIS (SIL) 1 o 2, se debe usar un procesador lógico EP configurado para
seguridad, y debe cumplir con lo siguiente:
a) Conocer los modos de falla insegura

b) Usar técnicas para la configuración de la seguridad que tratan los modos de falla identificados
c) Con programas embebido con un buen historial en aplicaciones de seguridad
d) Debe tener protección contra modificaciones no autorizadas o involuntarias
8.7.2.3.4.6 Se debe llevar a cabo una evaluación formal del procesador lógico EP usado en una aplicación con
NIS (SIL) 2 de acuerdo con 8.1.1.6.1, de esta norma de referencia, para demostrar que:
a) Es capaz de desempeñar las funciones requeridas y que el uso previo ha mostrado que hay baja
probabilidad de que este falle en un modo el cuál podría conducir a un evento peligroso cuando sea usado
como parte del SIS, debido a las fallas aleatorias del equipo o a los fallos sistemáticos en el equipo o
programas.
b) Se deben implementar las medidas para detectar los fallos durante la ejecución del programa e iniciar las
siguientes:
“Monitoreo” de la secuencia del programa
Protección de código contra modificaciones o la detección de falla por “monitoreo” en línea
Afirmación de la falla o programación diversa
Verificar el rango de las variables o comprobar la credibilidad de los valores
Enfoque modular
Usar normas de codificación para los programas embebidos y de utilerías
Este ha sido probado en configuraciones típicas, con casos de prueba representativos de los perfiles
operacionales previstos
Han sido usados módulos y componentes que han sido verificados
El sistema ha sido objeto de un análisis dinámico y pruebas
El sistema no usa inteligencia artificial ni reconfiguración dinámica

Se han realizado pruebas documentadas de inserción de fallos
8.7.2.3.4.7 Para aplicaciones con NIS (SIL) 2 se debe tener disponible un manual de seguridad incluyendo las
restricciones para la operación, mantenimiento y la detección de fallos para cubrir las configuraciones típicas del
procesador lógico EP y los perfiles operacionales previstos.
8.7.2.3.5 Requisitos para la selección de los componentes y subsistemas programables con LVC
(FVL) (procesadores lógicos EP, entre otros)
8.7.2.3.5.1 Cuando las aplicaciones son programadas usando un LVC (FVL), el procesador lógico EP debe
cumplir con IEC 61508-2 y IEC 61508-3
8.7.2.4 Dispositivos de campo
En caso de requerirse algún componente (relevadores, barreras de seguridad intrínseca, aisladores galvánicos,
arrancadores) adicional al sensor o al elemento final en la FIS (SIF), este debe cumplir con el nivel NIS (SIL)
requerido.
8.7.2.4.1 El proveedor o contratista debe seleccionar e instalar los dispositivos de campo para reducir al
mínimo las fallas que pueden resultar en información inexacta debido a las condiciones que presentan el
proceso, las condiciones ambientales, la corrosión, congelamiento de fluidos en las tuberías, sólidos en
suspensión, polimerización, temperaturas y presiones extremas, entre otras, si así lo especifica PEMEX en sus
bases de licitación.
8.7.2.4.2 Los circuitos discretos de entrada/salida que se requieren energizar para disparar deben asegurar
la integridad al circuito.
8.7.2.4.3 Cada dispositivo de campo individual debe tener su propio alambrado dedicado de entrada/salida
del SIS, excepto en los siguientes casos:
a) Cuando los múltiples sensores discretos se conectan en serie hacia una entrada sencilla y todos los
sensores monitorean la misma condición de proceso (sobrecargas del motor, entre otros).
b) Cuando se utilice un canal de comunicación “bus” digital que cumpla con el desempeño de seguridad y los
requisitos de integridad del FIS (SIF) y tenga una certificación emitida por TÜV para el NIS (SIL)
correspondiente conforme lo establece la IEC 61508
c) Cuando múltiples elementos finales estén conectados a una única salida. Para dos válvulas conectadas a
una única salida, ambas válvulas requieren cambiar de estado al mismo tiempo para todas las FIS (SIF)
que utilicen este mismo par de válvulas.
8.7.2.4.4 Los dispositivos de campo localizados en el proceso, pertenecientes a los SIS se deben identificar
de acuerdo con la P.2.0401.02 con etiquetas o rótulos permanentes que los diferencie de los otros dispositivos
de campo de otros sistemas [SCBP (BPCS) o SDMC o sistema de gas y fuego].
8.7.2.4.5 Sensores. Cuando se especifique sensores inteligentes estos deben cumplir con lo siguiente:
8.7.2.4.5.1 Los sensores inteligentes deben estar protegidos contra escritura para prevenir la modificación
inadvertida desde una posición remota, a menos que la revisión de la seguridad permita el uso de
lectura/escritura. La revisión debe considerar los factores humanos tales como falla al seguir los
procedimientos.
8.7.2.4.5.2 Cuando se usen sensores del tipo inteligentes, se deben establecer los procedimientos que
aseguren el correcto uso del modo de salida forzada y que nunca se dejen en ese mismo modo de manera
permanente, así como también se deben de establecer procedimientos para realizar cambios en la
configuración/calibración de dichos transmisores con el uso de claves de acceso.
8.7.2.4.5.3 Los requisitos generales para operación a falla segura que se deben cumplir en los sensores son:
a) Durante una operación normal de proceso los contactos de los sensores deben estar cerrados y
energizados.
b) En el caso de falla de energía, las señales de los transmisores deben ir a un estado seguro.
c) En el caso de usar transmisores electrónicos de 4-20 mA, se deben configurar de tal forma que se pueda
aprovechar la señal de fuera de rango que normalmente ofrecen los transmisores.
d) Cuando se requieran más de dos sensores, el proveedor o contratista debe realizar conexiones separadas
a proceso para cada sensor, las señales de entrada al procesador lógico EP las debe hacer en módulos de
entrada diferentes (separados) o un módulo de entrada analógica que garantice la reducción de fallas de
causa común y cumpla con el nivel de la integridad requerida.
e) En el caso de sensores del tipo interruptores, el proveedor o contratista debe llevar a cabo los arreglos y
cálculos requeridos para realizar la supervisión de los lazos correspondientes a estos sensores, la
supervisión debe proveer la siguiente información: interruptor activado, interruptor desactivado, circuito
abierto y corto circuito.
8.7.2.4.6 Válvulas. Las válvulas de bloqueo de emergencia (de corte o cierre) se deben seleccionar de
acuerdo a las condiciones específicas del proceso y la función deseada y deben cumplir con los requisitos
técnicos y documentales de la NRF-204-PEMEX-2008 y para la prueba de carrera parcial PEMEX indicará alguno
de los métodos indicados en la ANSI/ISA-TR96.05.01-2008 o equivalente. El proveedor o contratista debe
asegurar que sean bridadas e instaladas de tal forma que cada brida de la válvula sea conectada a la contrabrida
de tubería correspondiente, evitando así la presencia de espárragos que vayan de lado a lado de la válvula.
8.7.2.4.6.1 Otros factores a considerar son los requisitos de corte, la experiencia que se tenga con las
válvulas, modos de falla de la válvula, procedimientos operativos que disminuyan su efectividad, requisitos de
pruebas, requisitos de diagnostico, requisitos de indicadores de posición o interruptores de posición, entre otros.
Estos factores junto con: la tasa de fallas, el material del cual esta fabricada, entre otros deben ser claramente
documentados.
8.7.2.4.6.2 Las válvulas se deben llevar a una posición segura en caso de falla de suministro de energía.
8.7.2.4.6.3 Cuando aplique y de acuerdo al diseño en particular de ciertas instalaciones se requiera contar con
válvulas de desvío y de bloqueo, sobre todo en aquellas válvulas del SIS que cierran a falla de aire/energía y
que en otras ocasiones al probarse en línea han causado serios problemas operacionales, se requiere proveer
a la válvula del SIS sólo con bloqueos (entre otros, en válvulas que a falla abren). En los casos donde se
requiera contar con desvío y bloqueos, se debe considerar la instalación de dos válvulas de purga/venteo
(dependiendo del servicio en la línea) instaladas entre las válvulas de bloqueo corriente arriba y corriente abajo
de la válvula del SIS, en este caso, se deben usar interruptores de posición que alarmen en el cuarto de control
del SIS cuando la válvula de desvío sea abierta o cuando alguna de las válvulas de bloqueo sean cerradas. Las
válvulas de desvío “by pass” y de bloqueo deben ser mecánicamente enclavadas a fin de evitar que las válvulas
de corte del SIS puedan ser desviadas o bloqueadas respectivamente de forma inadvertida.
8.7.2.4.6.4 Cuando se requieran más de dos válvulas, el proveedor o contratista debe realizar conexiones a
proceso y eléctricas separadas e independientes para cada válvula (ya sea que se requieran dos válvulas para el
SIS o una para el SIS y otra para el SCBP (BPCS) o SDMC, las señales de salida del procesador lógico EP deben
ser de módulos de salida separados o un modulo de salida que garantice la reducción de fallas de causa común.
8.7.2.4.6.5 Actuadores. Deben contar con un indicador local que muestre la posición de la válvula. En caso
de pérdida de señal o suministro de aire la válvula debe tomar una posición segura y emitir una señal de
alarma.
Dependiendo del NIS (SIL) se debe determinar el empleo de actuadores sencillos de retorno por resorte o
actuadores de doble acción operados neumática o hidráulicamente, o bien actuadores hidráulicos, de acuerdo
con la NRF-152-PEMEX-2006
8.7.2.4.6.6 Materiales. El proveedor o contratista debe garantizar que los materiales de los dispositivos de
campo suministrados cumplan con lo especificado en el diseño en cuanto a resistencia al medio de proceso, las
condiciones de operación, el tiempo de vida y el estrés mecánico que acompaña a la operación requerida y
deben cumplir con la NRF-204-PEMEX-2008 y en caso de que el diseño lo requiera debe cumplir con los
requisitos de sobrevivencia.
8.7.2.4.6.7 Diagnóstico de válvulas. Se debe introducir cobertura de diagnóstico para cumplir con el criterio
de confiabilidad y con el propósito de incrementar los intervalos de prueba. El diagnóstico asociado a válvulas
debe considerar dos condiciones establecidas: operación normal y diagnóstico activo.
El diagnóstico de la válvula durante operación normal debe considerar pruebas en línea, el uso de alarmas en
caso de que la válvula cambie de estado sin una señal lógica, entre otros.
Para el diagnóstico activo de la válvula se deben instalar transmisores de posición o interruptores de límite para
retroalimentar al procesador lógico EP indicando si la válvula operó correcta o incorrectamente, además se
debe llevar a cabo considerando la secuencia del paro de emergencia.
8.7.2.4.6.8 Panel de control local de válvulas. Para funciones de seguridad críticas en caso de requerirse un
panel de control local de válvulas, el acceso a éste, debe restringirse a fin de evitar el accionamiento inadvertido
o no autorizado de las válvulas.
8.7.2.4.6.9 Válvulas solenoides. Deben cumplir con los siguientes requisitos:
a) El arreglo de las válvulas solenoides debe cumplir con el NIS (SIL) requerido para cada FIS (SIF).
b) Estas válvulas solenoides deben ser de accionamiento para estado seguro, es decir, no se permiten
mecanismos de accionamiento manual.
c) La instalación o montaje debe asegurar la posición con respecto al concepto de falla segura de la válvula
solenoide, cuando esté operando en línea en un servicio crítico o cuando forme parte del accionamiento
del elemento final.
d) Cuando las válvulas solenoides se instalen dentro de un gabinete, éste debe estar protegido con
recubrimiento a prueba de fuego por un tiempo de 30 minutos. La instalación del recubrimiento a prueba de
fuego no debe propiciar el deterioro prematuro de la válvula solenoide por deficiente disipación de calor.
e) Su construcción debe evitar problemas de atoramiento o taponamiento de la válvula, que pongan en riesgo
el elemento final.
f) Las válvulas solenoides deben ser capaces de soportar altas temperaturas incluyendo el calor generado
por su misma operación, así como la radiación calorífica proveniente de hornos de calentamiento, entre
otros.
8.7.2.4.6.10 Cableado y transmisión de señales de control electrónicas del SIS. El diseño e instalación
del cableado de las señales de campo al resolvedor lógico pertenecientes al SIS, debe tomar en cuenta los
requisitos técnicos indicados del 4 al 19 del API RP 552 o equivalente.
No se debe compartir un mismo tubo “conduit” para instalar cables del SIS junto con cables de control de
proceso SCBP (BPCS) o SDMC o del sistema de gas y fuego. El número de conductores eléctricos en un tubo
“conduit” debe cumplir con el factor de relleno indicado en la tabla 10-1 del capítulo 10 de la NOM-001-SEDE-
2005, según el tamaño nominal del tubo “conduit” que aparece en la tabla 10-4 del capítulo 10 de la NOM-001-
SEDE-2005.
Se debe evitar que las rutas de cables pasen por áreas de alto riesgo o vulnerables. En casos inevitables se
requiere previa autorización de PEMEX.
8.7.2.4.6.11 Protección por fuego, onda expansiva, caída de objetos u otros. Cuando se haya
especificado (en la ERS) algún requisito de sobrevivencia, la instrumentación y componentes involucrados tales
como, actuadores, cables y cualquier otro dispositivo que formen parte del SIS se deben especificar con las
respectivas protecciones contra fuego, onda de choque, fenómenos meteorológicos y por caída de objetos
sobre ellos.
8.7.2.4.6.12 Consideraciones ambientales. En la selección de los dispositivos que conforman el SIS se

deben fijar los requisitos concernientes a calor, escarcha por heladas, protecciones por ingreso de agua
contraincendio (agua tratada, de mar, cruda, entre otros) y/o por ingreso de otros medios de extinción de fuego.
Los dispositivos eléctricos se deben seleccionar para cumplir con la clasificación de áreas peligrosas conforme
lo establece el numeral 8.2 de la NRF-036-PEMEX-2003 y ser consistentes con la filosofía o lineamientos de
seguridad de la instalación.
8.7.2.5 Interfaces. Las Interfaces Humano Máquina – IHM (HMI) y de comunicación al SIS deben incluir las:
a) Interfaces del operador

b) Interfaces de ingeniería/mantenimiento
c) Interfaces de comunicación
8.7.2.5.1 Requisitos de la interfaz del operador
8.7.2.5.1.1 La interfaz del operador sirve para comunicar información al operador tal como una acción de paro
a tomar, diagnóstico del sistema (sensor, procesador lógico EP, estado del elemento final), pérdida de energía
que impacte la seguridad, entre otros. La operación del sistema sin embargo, no debe depender de la interfaz,
ya que no siempre puede estar funcionando o estar disponible.
8.7.2.5.1.2 Cuando la interfaz del operador del SIS se realiza vía la interfaz de operador del SCBP (BPCS) o
SDMC, se debe tomar en cuenta las fallas que pueden ocurrir en la interfaz de operador del SCBP (BPCS) o
SDMC.
8.7.2.5.1.3 En el diseño se debe tomar en cuenta las fallas de la interfaz del operador del SIS, dando los
medios como alternativas para que el operador lleve al proceso a un estado seguro y que las funciones
automáticas del SIS no estén comprometidas. PEMEX debe definir con base en sus necesidades si la interfaz
del SIS es independiente de la del SCBP (BPCS) o SDMC o si dicha interfaz se integra a la del SCBP (BPCS) o
SDMC.
8.7.2.5.1.4 El diseño del SIS debe reducir al mínimo la necesidad al operador de seleccionar opciones y
desviar el sistema mientras que la unidad está operando. Si el diseño requiere el uso de las acciones del
operador, debe incluir la protección contra error del operador. Los controles se deben localizar asegurando que
sólo el personal autorizado mediante claves de acceso puede cambiar datos o acceder a los programas.
8.7.2.5.1.5 Los interruptores de desvío se deben proteger por llave física o claves de acceso para prevenir el
uso no autorizado.
8.7.2.5.1.6 Debe estar disponible la información del estado del SIS que es crítica para mantener el NIS (SIL)
como parte de la interfaz del operador. Esta información debe incluir:
a) El proceso en estado real

b) Indicación de que la acción de protección del SIS ha ocurrido
c) Indicación de que una función de protección esté desviada
d) Indicación de acción(es) automática(s) tal como la degradación de la votación y/o manejo de fallas ha
ocurrido
e) El estado de los sensores y de los elementos finales
f) La pérdida de energía donde impacta a la seguridad
g) Diagnósticos
h) Falla del equipo de aire acondicionado
i) Histórico de alarmas y secuencia de eventos
j) Pantallas operativas de mantenimiento periódico
k) Registro para control y auditoria del mantenimiento del sistema
l) Guías de operación para procedimientos críticos
8.7.2.5.1.7 El diseño de la interfaz del operador del SIS debe prevenir cambios al programa de aplicación del
SIS. Cuando se requiere enviar información de “monitoreo” de seguridad del SIS al SCBP (BPCS) o SDMC no
se debe comprometer la funcionalidad de la seguridad del SIS.
8.7.2.5.1.8 La interfaz del operador se debe diseñar usando principios de ergonomía. La presentación de la
información al operador debe ser clara y precisa. El volumen de alarmas y mensajes que se presenten al
operador en una situación delicada de la instalación debe ser administrado y revisada.
8.7.2.5.1.9 El proveedor o contratista debe asegurar que no existan botones configurados para
desencadenar el paro de emergencia.
8.7.2.5.1.10 Los requisitos basados en el control de la información presentada en pantalla se deben oficializar
y registrar, para asegurar que se cumplan dichos requisitos.
8.7.2.5.1.11 El proveedor o contratista debe proporcionar las estaciones industriales para interfaz humano
maquina y equipo de cómputo, de acuerdo a las especificaciones de la licitación.
8.7.2.5.1.12 La interfaz del operador se debe usar para comunicar información entre el SIS y el operador y
debe incluir los siguientes componentes.
a) Interfaz humano máquina para desplegados de pantalla

b) Tableros que contengan luces indicadoras, estaciones de botones, indicadores, e interruptores
c) Anunciadores (alarmas audibles y visibles)
d) Impresoras
e) Cualquier combinación de éstos
8.7.2.5.1.13 La Interfase Humano Maquina – IHM (HMI) para desplegados gráficos de pantalla. En caso
de que lo requiera PEMEX, los desplegados gráficos de pantalla pueden ser compartidos por una misma
Interfase humano máquina para las funciones de control de proceso y de seguridad funcional de un SCBP
(BPCS) o SDMC, a través de los desplegados gráficos normales de operación.
Cuando se utilice la IHM (HMI) del operador de un sistema asociado SCBP (BPCS) o SDMC para proporcionar
automáticamente información relacionada con la seguridad del proceso, registrando en archivos históricos los
eventos y funciones de alarmas. Las condiciones anotadas deben incluir los eventos del SIS (como el disparo y
eventos previos al disparo).
Cuando se tenga una IHM (HMI) dedicada para el SIS, se deben presentar los desplegados gráficos dinámicos
de vista general que proporcionen la información requerida en tiempo real del estado dinámico del proceso y
que permita la interacción del operador con el SIS. Estas pantallas de desplegados gráficos dinámicos de vista
general deben desplegar el diagrama de flujo de la seguridad del proceso que muestre de manera esquemática
cada uno de los equipos principales y la instrumentación del sistema de seguridad funcional del proceso,
cabezales y tuberías debidamente identificados mediante etiquetas mostrando el estado dinámico del proceso,
indicando los valores de operación en tiempo real de las variables de la seguridad funcional del proceso. El
diseño de los desplegados gráficos dinámicos de vista general y de detalle se debe mostrar los diferentes
instrumentos debidamente identificados y codificados mediante colores conforme a la NRF-226-PEMEX-2009.
8.7.2.5.1.14 Alarmas y eventos. Toda alarma debe ser anunciada de manera sonora y visible de modo
continuo y automático hasta que sea reconocida por el operador. Los desplegados gráficos de alarmas se
deben presentar de manera visible e intermitente con un color codificado el aviso de alarma correspondiente,
para poder distinguir entre diferentes alarmas prioritarias. Las alarmas del SIS deben ser fácilmente visibles
para el operador y deben ser reconocidas fácilmente con respecto a otras alarmas. El operador debe ser capaz
de ver siempre mediante desplegados gráficos de la interfaz humano maquina lo que está pasando en el SIS
aún cuando falle el SCBP (BPCS) o SDMC. Por tanto, las alarmas para el SCBP (BPCS) o SDMC y para el SIS
deben estar separadas físicamente para minimizar fallas de modo común en los subsistemas de alarmas y se
afecte la operación tanto del SIS como del SCBP (BPCS) o SDMC. Todo el diseño y desarrollo de alarmas y
eventos en la IHM (HMI) debe ser conforme a la NRF-226-PEMEX-2009.
8.7.2.5.1.15 Impresora(s). Las impresoras conectadas al SIS no deben comprometer ninguna función de
seguridad del SIS en caso de presentarse alguna falla en la impresora.
Los SIS pueden ser conectados a una misma interfaz humano maquina compartida con un SCBP (BPCS) o
SDMC usando así los mismos recursos de interfaz humano máquina para realizar sus funciones de registro
relacionados con la seguridad y el informe de las funciones de seguridad.
Las Impresoras deben documentar la secuencia de los eventos, la información, los diagnósticos, y otros
eventos relacionados con la seguridad y alarmas del SIS, registrados con el tiempo en el cual ocurrió, la fecha y
el número de identificación correspondiente. La impresión de alarmas y eventos debe llevarse a cabo mediante
una impresora dedicada exclusivamente para este propósito, imprimiendo cada alarma de manera continua. La
impresora de reportes puede ser compartida con otro sistema.
8.7.2.5.2 Requisitos de la interfaz de ingeniería/mantenimiento
8.7.2.5.2.1 El diseño de la IHM (HMI) de ingeniería/mantenimiento del procesador lógico EP del SIS debe
asegurar que cualquier falla de esta interfaz no debe afectar adversamente la capacidad del SIS llevar el
proceso a un estado seguro. Esto puede requerir el desconectar las interfaces de ingeniería/mantenimiento,
tales como los tableros de programación, durante la operación normal del SIS.
8.7.2.5.2.2 La IHM (HMI) de ingeniería/mantenimiento debe proporcionar las siguientes funciones de acceso
de protección segura para:
a) El modo de operación del SIS, programa, datos, medios de deshabilitar la comunicación de alarmas,
pruebas, desvíos, mantenimiento
b) El diagnóstico del SIS, servicios de manejo de fallas y votación
c) Adicionar, borrar, o modificar el programa de aplicación
d) Los datos necesarios para solucionar problemas en el SIS
e) Cuando se requiera de desvíos, se deben instalar tal que las alarmas y paros manuales de instalaciones
no sean deshabilitados
8.7.2.5.2.3 La IHM (HMI) de ingeniería/mantenimiento no se debe usar como la interfase del operador.
8.7.2.5.2.4 El permitir e inhabilitar el acceso de lectura/escritura se debe realizar solamente por una
configuración o proceso de programación usando la interfaz del ingeniería/mantenimiento con medidas de
seguridad requeridas (claves de acceso).
8.7.2.5.3 Requisitos de la interfaz de comunicación
8.7.2.5.3.1 El diseño de la interfaz de comunicación del SIS debe asegurar que cualquier falla de la interfaz de
comunicación no debe afectar la capacidad del SIS de llevar al proceso a un estado seguro.
8.7.2.5.3.2 El SIS debe ser capaz de comunicarse con el SCBP (BPCS) o SDMC y los periféricos que no
impacten en la FIS (SIF).
8.7.2.5.3.3 La interfaz de comunicación debe soportar la interferencia electromagnética del medio ambiente
incluyendo sobrecargas eléctricas sin causar alguna falla peligrosa en las FIS (SIF) de acuerdo con la IEC
61000-6-2 y IEC 61000-6-4
8.7.3 Cálculo de PFDprom de las FIS (SIF).
8.7.3.1 La probabilidad de falla en demanda promedio de cada FIS (SIF) se debe verificar mediante cálculos
comparados con el objetivo de medición de fallas cumpliendo lo especificado en las especificaciones de los
requisitos de seguridad. Se puede referir al Anexo A de la IEC 61511-2 para las técnicas disponibles para
asegurar que el diseño del SIS satisface el desempeño relacionado a las fallas de equipo aleatorias.
8.7.3.2 La probabilidad de falla calculada de cada FIS debido a fallas del equipo debe tomar en cuenta:
a) La arquitectura del SIS para cada FIS.

b) La razón de fallas estimadas de cada subsistema, que cause una falla peligrosa del SIS las cuales son
detectadas y no detectadas por pruebas de diagnóstico.
c) La susceptibilidad del SIS a fallas de causa común.
d) La cobertura de diagnóstico de cualquier prueba de diagnóstico periódica (determinadas de acuerdo con
IEC 61511-2 el intervalo asociado de la prueba de diagnóstico y la confiabilidad por el diagnóstico de las
instalaciones.
e) Los intervalos en los cuales se llevan a cabo las pruebas rigurosas.
f) Los tiempos para reparación de las fallas detectadas.
g) La razón estimada de falla peligrosa de cualquier proceso de comunicación en cualquiera de los modos
que causaran una falla peligrosa del SIS (detectadas y no detectadas por pruebas de diagnóstico).
h) La razón estimada de falla peligrosa de cualquier respuesta humana en cualquiera de los modos que
cause una falla peligrosa del SIS (detectado y no detectado por las pruebas de diagnóstico).
i) La susceptibilidad a los disturbios de la compatibilidad electromagnética CEM (EMC) (de acuerdo a IEC
61326-1).
j) La susceptibilidad a las condiciones climáticas y mecánicas (de acuerdo a IEC 60654-1 y a IEC 60654-3).
La Probabilidad de Falla en Demanda promedio (PFD prom) de cada FIS debe ser menor o igual que la PFDprom
especificada en el documento Especificación de Requisitos de Seguridad (ERS), esto se debe verificar
mediante cálculos.
Los métodos de modelado para cálculo de PFD prom y de otras métricas importantes como el tiempo medio entre
Disparos en Falso (MTTFs) y su elección dependen de la experticia del analista. Los métodos son varios, entre
los que se listan: (ver IEC 61508-6, Anexo B):
- Simulación
- Análisis Causa Consecuencia
- Análisis de Árbol de Fallas
- Modelos Markovianos
- Diagramas de Bloques de Confiabilidad
8.8 Requisitos para los programas de aplicación incluyendo criterios de selección para los
programas de utilerías
8.8.1 Requisitos generales
8.8.1.1 Se debe considerar alguno de los siguientes programas para su aplicación en los SIS conforme a lo
solicitado por PEMEX en los requisitos específicos del proyecto:
a) Programas:
Programas de aplicación.
Programas de utilerías, herramientas de programa usadas para desarrollar y verificar los programas
de aplicación, entre otros.
Programas embebidos, programas suministrados como parte del fabricante del procesador lógico EP,
entre otros.
b) Lenguajes de desarrollo de programas:
Lenguajes fijos de programas LFP (FPL)
Lenguajes de variabilidad limitada (LVL)
Lenguajes de variabilidad completa LVC (FVL)
8.8.1.2 El desarrollo y la modificación de programas de aplicación o uso de LFP (FPL) o LVL hasta NIS (SIL)
3 debe cumplir con esta norma de referencia. El desarrollo y la modificación de las aplicaciones de programas
utilizando LVC (FVL) deben cumplir con la serie IEC 61508.
8.8.1.3 Los programas de utilerías junto con el manual de seguridad del fabricante el cual define la forma en
que el procesador lógico EP puede ser aplicado en condiciones de seguridad se deben seleccionar y aplicar de
conformidad con los requisitos de 8.8.7 de esta norma de referencia, la selección de programas embebidos
usando LVC (FVL) se debe ajustar a lo indicado en 8.8.5.1.11 a), de esta norma de referencia, y deben cumplir
con la serie IEC 61508.
8.8.2 Requisitos del ciclo de vida de seguridad de los programas de aplicación
8.8.2.1 Los programas de aplicación usados en el SIS por parte de los fabricantes, proveedores o contratistas
deben cumplir con el ciclo de vida indicado en la Figura 4 de esta norma de referencia, y deben:
a) Definir las actividades requeridas para desarrollar los programas de aplicación para cada subsistema
programable del SIS.
b) Definir cómo seleccionar, controlar y aplicar los programas de utilerías usados para desarrollar los
programas de aplicación.
c) Asegurar de que existe una planeación adecuada a fin de que los objetivos de la seguridad funcional
asignados a los programas de aplicación se cumplan.
Especificación de los Arquitectura *

requisitos de del subsistema
seguridad (ERS) del del SIS
SIS
Requisitos de seguridad del equipo
Equipo Equipo no
procesador programable
lógico EP
Selección del procesador Diseño y

lógico EP incluyendo los desarrollo de
programas embebidos equipo no
programable
Requisitos de
seguridad de los
Nota 1 programas de
aplicación
Diseño y configuración
de los programas de
Nota 1 aplicación
Integración de la Instalación y
electrónica validación
Nota 1 programable del SIS
* Entre otros, sensor,

Procesador lógico EP,
elementos finales.
Nota 1.- Alcance del numeral 8.8 de esta norma de referencia.
Figura 4. Ciclo de vida de seguridad de los programas de aplicación y su relación con el ciclo de vida
del SIS
8.8.2.2 El proveedor o contratista del SIS, debe especificar un ciclo de vida de seguridad para el desarrollo de
los programas de aplicación que cumpla con los requisitos de esta norma de referencia y debe ser considerado
durante la planeación de seguridad y estar integrado al ciclo de vida de seguridad del SIS.
8.8.2.3 Cada fase del ciclo de vida de seguridad de los programas de aplicación se debe definir en términos
de sus objetivos y actividades elementales, que requieren información de entrada y resultados de salida,
requisitos de verificación (ver 8.8.13 de esta norma de referencia) y responsabilidades (ver Tabla 6 y Figura 5
de esta norma de referencia).
8.8.2.3.1 Siempre que el ciclo de vida de seguridad de los programas de aplicación cumpla con los requisitos
de la tabla 6, se debe tomar en cuenta la profundidad, número y tamaño de las fases del modelo V que se
deben aplicar de acuerdo a la figura 6 conforme a la integridad de seguridad y la complejidad del proyecto.
8.8.2.4 El procesador lógico EP que implementa los programas de aplicación, debe cumplir con el NIS (SIL)
requerido por cada FIS (SIF).
8.8.2.5 Se deben seleccionar y aplicar los métodos, técnicas y herramientas para cada fase del ciclo de vida,
a fin de:
a) Minimizar el riesgo de introducir fallas en el programa de aplicación

b) Revelar y remover fallos que ya existen en el programa
c) Asegurar que los fallos remanentes en el programa no conduzcan a resultados inaceptables
d) Asegurar que los programas se mantengan durante el tiempo de vida del SIS
e) Demostrar que los programas tienen la calidad requerida
8.8.2.6 Cada fase del ciclo de vida de seguridad de los programas de aplicación se debe verificar y deben
estar disponibles los resultados (ver 8.8.13 de esta norma de referencia).
8.8.2.7 Si en alguna fase del ciclo de vida de seguridad de los programas de aplicación, se requiere de un
cambio debido a una fase anterior del ciclo de vida de seguridad, entonces esa fase anterior y las siguientes
fases se deben reexaminar y, si los cambios son requeridos se debe repetir y reverificar.
8.8.2.8 Los programas de aplicación, los programas embebidos, los programas de utilerías y el equipo en
el SIS, se deben sujetar a la administración de la configuración (ver 8.1.1.7 de esta norma de referencia).
8.8.2.9 Se debe llevar a cabo la planeación de las pruebas, las cuales deben considerar lo siguiente:
a) Las políticas para integrar los programas y el equipo

b) Casos de prueba y datos de prueba
c) Tipos de pruebas a ser desarrolladas
d) Pruebas ambientales incluyendo herramientas, apoyo de los programas y descripción de la configuración
e) Criterio de prueba en el que la terminación de la prueba debe ser juzgada
f) Ubicación física (en fábrica o en el sitio de instalación, entre otros)
g) Dependencia en la funcionalidad externa
h) Personal requerido
i) No conformidades
Ciclo de vida de seguridad de los programas
Caja 4 de la
8.8.3 Especificación de los requisitos de seguridad (ERS)
Figura 2
de los programas de aplicación
Especificación de los Especificación de los
Diseño e requisitos de las requisitos de integridad
ingeniería del funciones de seguridad de seguridad
Sistema
Instrumentado
de Seguridad
(SIS) 8.8.4 Planeación de la 8.8.5 Diseño, configuración y
validación de la simulación de los
seguridad de los programas
programas
8.8.11 Integración del EP 8.8.12 Procedimientos de

(equipo y operación y
programas) modificación de los
programas
A la caja 6 y 7
A la caja 5 de la de la figura 2
figura 2
Figura 5. Ciclo de vida de seguridad de los programas de aplicación (en fase de realización)
Especificación de Validación de
los requisitos de la seguridad
Seguridad (ERS) del SIS SIS validado
del SIS (8.11)
Arquitectura Especificación de los

del requisitos de seguridad de
subsistema los programas de aplicación
(8.8.3) EP
Prueba de
integración de los
programas de
aplicación
(8.8.11)
Diseño de la arquitectura y
programas de aplicación
(8.8.6 y 8.8.7)
Desarrollo de programas Probando los programas

de aplicación de aplicación
(8.8.8) (8.8.10)
Desarrollo de los módulos Probando módulos de

de aplicación aplicación
(8.8.8) (8.8.9)
Salida Desarrollo de códigos y pruebas

– solo LVC (FVL)
(Ver IEC 61508-3, 8.8.5.1.11 a))
Verificación
Figura 6. Ciclo de vida del desarrollo de los programas (Modelo V)

Fase del ciclo de vida de

seguridad
Información
Figura 5 Objetivos Numeral Resultados requeridos
requerida
Numero Titulo
de Caja
8.8.3 ERS de los Especificar los requisitos para 8.8.3 ERS del SIS ERS de los programas de
programas de los programas de las FIS (SIF) aplicación del SIS
aplicación para cada función del SIS Manuales de
requeridos para implementar seguridad del SIS Verificación de la información
FIS (SIF) requeridas. seleccionado
Especificar los requisitos para la Arquitectura del

integridad de seguridad de los SIS
programas para cada FIS (SIF)
asignada a ese SIS
8.8.4 Planeación de la Desarrollar un plan para validar 8.8.4 ERS de los Plan de validación de la
validación de la los programas de aplicación programas de seguridad de los programas
seguridad de los aplicación del SIS de aplicación del SIS
programas de
Verificación de la información
aplicación
8.8.5 Diseño y Arquitectura 8.8.6 ERS de los Descripción de la
desarrollo de los programas de arquitectura de diseño, entre
programas de Crear una arquitectura de los aplicación del SIS otros, la segregación de los
aplicación programas que cumpla los ERS programas de aplicación
de los programas Manuales de relacionados con los
diseño de la subsistemas del proceso y el
Revisar y evaluar los requisitos arquitectura del
puestos en los programas por la NIS (SIL). Entre otros,
equipo del SIS reconocimiento de los
arquitectura del equipo del SIS
módulos comunes de los
tales como secuencias de
bombas o válvulas.
Especificación de las
pruebas de integración de la
arquitectura y los
subsistemas de los
Verificación de la información
Diseño y Lenguajes de programación y 8.8.7 ERS de los Lista de procedimientos para
desarrollo de los herramientas de apoyo programas de el uso de los programas
programas de aplicación del SIS utilerías
aplicación Identificar un conjunto adecuado
de configuración, librería, Descripción del Verificación de la información
administración, y herramientas diseño de la
de prueba y simulación sobre arquitectura
todo el ciclo de vida de
seguridad de los programas Manuales del SIS
(programas de utilerías)) Manual de
Especificar los procedimientos seguridad del
para el desarrollo de los Procesador lógico
programas de aplicación EP seleccionado
del SIS
8.8.5 Diseño y Desarrollo de los programas de 8.8.8 Descripción de la 1) Programa de aplicación
desarrollo de los aplicación y desarrollo de los arquitectura de (entre otros, diagramas de
programas de módulos de aplicación diseño bloques de funciones, lógico
aplicación de escalera)
Implementar los programas de Lista de manuales 2) Prueba de integración y
aplicación que cumplen con los y procedimientos simulación del programa de
requisitos especificados para la del EP aplicación
aplicación de seguridad seleccionado para 3) Especificación de los
usar el programa requisitos de seguridad de
de utilerías los programas de aplicación
de propósito especial
4) Verificación de la
información
Fase del ciclo de vida de

seguridad
Información
Figura 5 Objetivos Numeral Resultados requeridos
requerida
Numero Titulo
de Caja
8.8.5 desarrollo de los Desarrollo y prueba del 8.8.9 y ERS de los Referir a IEC 61508-3
programas de programa – solo LVC (FVL) 8.8.10 programas de
aplicación aplicación de
usando Implementar lenguajes de propósito especial
lenguajes de variabilidad completa que
variabilidad cumpla los requisitos
completa especificados para la seguridad
de los programas
8.8.5 Diseño y Prueba de los programas de 8.8.9 Especificación de 1) Resultados de las pruebas
desarrollo de los aplicación para: 8.8.10 la prueba de de los programas
programas de 8.8.13 integración y
aplicación 1) Verificar que los requisitos simulación del 2) Programas del sistema
para la seguridad de los programa de verificados y probados
programas han sido logrados aplicación 3) Verificación de la
2) Mostrar que todos los (Estructura información
sistemas y subsistemas de los basada en
programas de aplicación pruebas)
interactúan correctamente para Especificación de
desempeñar sus funciones y no la prueba de
despeñan funciones no integración de la
deseadas arquitectura de los
Puede ser fusionada con la programas
siguiente fase ( 8.8.11) sujeta a
prueba satisfactoria de la
cobertura
8.8.11 Integración de la Integrar los programas en el 8.8.11 Especificación de Resultados de las pruebas
electrónica equipo procesador lógico EP la prueba de de integración del equipo y
programable objeto integración del los programas
(Equipo y equipo y los Equipo y programas
programas) programas verificados
8.9 Validación de la Validar que el SIS incluyendo la 8.9 Planes de Resultados de validación de
seguridad del seguridad de los programas de validación de la los programas y del SIS
SIS aplicación cumple con los seguridad de los
requisitos de seguridad programas y del
SIS
Tabla 6. Vista general del ciclo de vida de seguridad de los programas de aplicación
8.8.3 Especificación de requisitos de seguridad de los programas de aplicación
8.8.3.1 El proveedor o contratista debe proporcionar la ERS para cada subsistema programable del SIS para
implementar las FIS (SIF) requeridas siendo consistentes con la arquitectura del SIS. Ver la relación entre la
arquitectura de los programas y del equipo de la Tabla 7 de esta norma de referencia.
Arquitectura de los subsistemas del SIS EP

Arquitectura del equipo Arquitectura de los programas “software” (consta de los
“Hardware” programas embebidos y los programas de aplicación)
Características especificas Programas embebidos Programas de aplicación
genéricas y de aplicación en el Incluye, entre otros: Incluye, entre otros:
equipo “hardware”
- Controladores de - Funciones de entrada/salida
Incluye, entre otros: comunicaciones - Funciones derivadas (entre otros,
- Manejo de fallos verificación del sensor si es que
- Pruebas de diagnósticos “errores” este programa de aplicación no se
- Procesadores redundantes - Programa ejecutable encuentra embebido)
- Tarjetas duales de entrada/salida
Tabla 7. Relación entre el “hardware” y “software” de las arquitecturas de un SIS

8.8.3.2 Se debe desarrollar la ERS de los programas de aplicación.
8.8.3.3 La ERS de los programas para cada subsistema del SIS debe incluir:
a) La ERS de las FIS (SIF)

b) Los requisitos resultantes de la arquitectura del SIS
c) Cualquier requisito de planeación de seguridad
8.8.3.4 La ERS de los programas de aplicación debe detallar el diseño e implementación para alcanzar la
integridad de seguridad objetivo y permitir que se lleve a cabo una evaluación de la seguridad funcional y debe
considerar lo siguiente:
a) Las funciones soportadas por los programas de aplicación

b) Capacidad y tiempo de respuesta del desempeño
c) Equipo e interfaces de operador y su operabilidad
d) Los modos relevantes de operación del proceso como se especifica en la ERS del SIS
e) Acción que se lleva a cabo en los fallos en los lazos de control de las variables de procesos como el valor
del sensor fuera de rango, circuito abierto detectado, corto circuito detectado, entre otros
f) Prueba de verificación y pruebas de diagnostico de dispositivos externos (sensores y elementos finales,
entre otros)
g) “Automonitoreo” de los programas (entre otros, incluye la aplicación de vigilancia y validación del rango de
datos
h) “Monitoreo” de otros dispositivos dentro del SIS (sensores y elementos finales, entre otros)
i) Permitir pruebas periódicas de las FIS (SIF) cuando el proceso está operando
j) Referencias a los documentos de entrada (especificación de las FIS, configuración o arquitectura de los
SIS, requisitos de integridad de seguridad del equipo del SIS, entre otros)
8.8.3.5 El desarrollador de los programas de aplicación debe revisar la información de la especificación para
asegurar que los requisitos sean claros, consistentes y entendibles. Cualquier deficiencia en la ERS se debe
identificar con el desarrollador de los subsistemas del SIS.
8.8.3.6 La ERS de los programas se debe expresar y estructurar de manera que:
a) Sea clara para aquellos que van a utilizar el documento en cualquier etapa del ciclo de vida de seguridad,
debe usar terminología y descripciones que sean claras y entendibles por los operadores de la planta y de
mantenimiento, así como los programadores de aplicación
b) Sean verificables, comprobables y modificables
c) Tengan respaldo de trazabilidad hacia la ERS del SIS
8.8.3.7 La ERS de los programas de aplicación debe proveer información que permita la selección de equipo
propio y debe considerar lo siguiente:
a) Las funciones que permitan al proceso lograr o mantener un estado seguro

b) Las funciones relacionadas a la detección, alarma, y manejo de fallos en los subsistemas del SIS
c) Las funciones relacionadas a la prueba periódica de las FIS (SIF) en línea
d) Las funciones relacionadas a la prueba periódica de las FIS (SIF) fuera de línea
e) Las funciones que permiten al SIS ser modificado de modo seguro
f) Las interfaces para las funciones que no están relacionadas con la seguridad
g) La capacidad y el tiempo de respuesta del desempeño
h) Los NIS (SIL) para cada una de las funciones anteriores
8.8.3.8 Las entradas y las salidas generadas en cada una de las etapas de los programas de aplicación
durante su ciclo de vida, deben cumplir lo indicado en el ciclo de vida de seguridad de los programas de
aplicación.
8.8.3.9 El proveedor o contratista adicionalmente debe incluir los siguientes elementos, si estos son parte del
estándar de producto del procesador lógico EP y los que no sean parte de los programas específicos de
aplicación:
a) Sistema operativo
b) Sistema de manejo de comunicación
c) Dispositivos de manejo del procesador lógico EP
8.8.3.10 La evidencia de que se aplique el aseguramiento de calidad al desarrollo de los programas de

aplicación debe ser parte del plan de calidad de los programas. Los programas de aplicación deben permitir
cambios en línea sin inducir condiciones inseguras.
8.8.3.11 El plan de calidad de los programas de aplicación debe especificar o referenciar los procedimientos
para identificar fallos en los propios programas de aplicación que hayan encontrado otros usuarios y para
incorporar cualquier corrección a los programas de aplicación.
8.8.3.12 Los programas de aplicación para los cuales se disponga de datos del buen desempeño en campo se
deben emplear para el desarrollo de programas con altos estándares de aseguramiento de calidad. Sin
embargo la importancia de tales datos de desempeño en campo se debe evaluar cuidadosamente. La
evaluación debe confirmar que la evidencia de campo relaciona aplicaciones similares con la aplicación
deseada, y que el programa de aplicación no se ha modificado durante el período en el cual los datos de campo
fueron empleados. La evidencia de campo no debe ser empleada para omitir evidencia de deficiencias de
control en el diseño de los programas.
8.8.3.13 Los detalles de estándares de desempeño de los programas de aplicación que sean importantes para
las especificaciones de los requisitos totales se deben identificar en el plan de calidad de los programas. Tales
requisitos de desempeño deben incluir:
a) Restricciones de tiempo
b) Integridad, rendimiento y retraso de mensajes de comunicación
c) Los estándares de desempeño para degradación bajo condiciones de carga alta
8.8.3.14 Existe la posibilidad de que versiones subsecuentes de los programas de aplicación no sean
compatibles totalmente con elementos anteriores. La estrategia adoptada para asegurar el NIS (SIL) sobre
actualizaciones de los programas de aplicación se debe contemplar en el plan de calidad.
8.8.3.15 Los programas de aplicación sujetos a actualizaciones de versión frecuentes pueden incrementar su
tamaño de modo que se requiera actualizar el equipo de soporte. Se deben tomar precauciones en caso de que
el soporte del proveedor o contratista esté disponible por un corto periodo de tiempo a partir de la última
actualización de la versión de los programas.
8.8.4 Planeación de la validación de la seguridad de los programas de aplicación
8.8.4.1 Se debe asegurar el desarrollo de la planeación de la validación de los programas de aplicación.
8.8.4.2 La planeación de la validación de los programas de aplicación debe cumplir con 8.11 de esta norma
de referencia.
8.8.5 Desarrollo y diseño de los programas de aplicación
8.8.5.1 El proveedor o contratista debe cumplir con los siguientes requisitos generales:
8.8.5.1.1 Desarrollar una arquitectura de los programas de aplicación que sea compatible con la arquitectura del
equipo y que cumpla la ERS de los programas (ver 8.8.3 de esta norma de referencia).
8.8.5.1.2 Examinar y evaluar los requisitos que deben cumplir los programas por la arquitectura del equipo y
los programas embebidos en la arquitectura del SIS. Estos incluyen los efectos secundarios del comportamiento
del equipo y los programas del SIS, la configuración especifica de la aplicación en el equipo del SIS, la
tolerancia de fallos inherente del SIS y la interacción de la arquitectura del equipo y programas embebidos del
SIS, con los programas de aplicación para seguridad.
8.8.5.1.3 Seleccionar un conjunto adecuado de herramientas (incluyendo los programas de utilerías) para
desarrollar los programas de aplicación.
8.8.5.1.4 Diseñar y poner en práctica o seleccionar programas de aplicación que cumplan los requisitos
especificados para la seguridad de los programas (ver 8.8.3 de esta norma de referencia) que sean analizables,
verificables y capaces de modificarse de modo seguro.
8.8.5.1.5 Verificar que la ERS de los programas (en términos de los programas requeridos de las FIS) se han
alcanzado.
8.8.5.1.6 El desarrollo, las pruebas, la verificación y la validación de los programas de aplicación LVC (FVL)
deben estar de acuerdo con la IEC 61508-3
8.8.5.1.7 El método de diseño debe ser consistente con las herramientas de desarrollo y las restricciones
dadas por los subsistemas del SIS aplicados.
8.8.5.1.8 El método seleccionado de diseño y lenguaje de aplicación (LVL o LFP (FPL) debe incluir
características que proporcionen lo siguiente:
a) Modularidad y otras características tales como el control de la complejidad; donde sea posible, los
programas se deben basar en módulos de programas probados que pueden incluir funciones de librería del
usuario y reglas bien definidas para enlazar los módulos de los programas.
b) Expresión de:
Funcionalidad, idealmente como una descripción lógica o como funciones algorítmicas
Flujo de información entre elementos modulares de las funciones de aplicación
Requisitos de secuencia
Garantía de que las FIS (SIF) operan siempre dentro de las restricciones de tiempo definidas
Libertad de comportamiento indeterminado
Garantía de que los datos internos no son erróneamente duplicados, todos los tipos de datos usados
están definidos y las acciones adecuadas ocurren cuando los datos están fuera de rango o son
erróneos
Hipótesis del diseño y sus dependencias
c) Comprensión por los desarrolladores y otros que necesitan entender el diseño, desde entender una
aplicación funcional y el conocimiento de las restricciones de la tecnología.
d) Verificación y validación, incluyendo cobertura de los códigos de los programas de aplicación, cobertura
funcional de la aplicación integrada, la interfase con el SIS y su aplicación específica de la configuración
del equipo.
e) Modificación de los programas de aplicación, tales características incluyen modularidad, trazabilidad y
documentación.
8.8.5.1.9 El diseño alcanzado debe cumplir con lo siguiente:
a) Incluir las verificaciones de la integridad y la veracidad de los datos

b) Ser trazable a los requisitos
c) Ser comprobable
d) Tener la capacidad para una modificación segura
e) Mantener la complejidad y tamaño de los programas de aplicación de las FIS (SIF) hacia un mínimo
8.8.5.1.10 Cuando los programas de aplicación se implementan para FIS (SIF) de diferentes NIS (SIL), todos
los programas deben ser tratados como pertenecientes al NIS (SIL) más alto a menos que la independencia
entre las FIS (SIF) de los diferentes NIS (SIL) puedan ser mostradas en el diseño. La justificación de
independencia debe ser documentada, si la independencia es solicitada o no, el NIS (SIL) buscado de cada FIS
(SIF) se debe identificar.
8.8.5.1.11 Si las funciones de librería de un programa de cómputo de aplicación son previamente

desarrolladas para ser usadas como parte del diseño, su aplicabilidad en satisfacer la ERS de los programas de
aplicación debe ser justificada. La aplicabilidad debe estar basada en:
a) Conformidad con la IEC 61508-3 cuando se usen LVC (FVL), o.

b) Conformidad con la IEC 61511-1 cuando se usen LFP (FPL) o LVL, o.
c) Evidencia de funcionamiento satisfactorio en una aplicación similar que se ha demostrado que tiene una
funcionalidad similar o haber sido objeto de la misma verificación y procedimientos de validación como se
espera para cualquier nuevo desarrollo de programas (8.7.2.3.3 y 8.7.2.3.4 de esta norma de referencia).
8.8.5.1.12 Como mínimo, la siguiente información se debe incluir en la documentación de los programas de
aplicación o en la documentación relacionada:
a) Entidad legal (compañía o autor, entre otros)

b) Descripción
c) Trazabilidad para los requisitos funcionales de aplicación
d) Convenciones lógicas usadas
e) Funciones de librería estándar usadas
f) Entradas y salidas
g) Administración de la configuración incluyendo una historia de cambios
8.8.6 Requisitos para la arquitectura de los programas de aplicación
8.8.6.1 El diseño de la arquitectura de los programas de aplicación se debe basar en la ERS del SIS dentro
de las restricciones de la arquitectura del sistema del SIS. Debe cumplir con los requisitos del diseño del
subsistema seleccionado, su conjunto de herramientas y manual de seguridad.
8.8.6.2 La descripción del diseño de la arquitectura de los programas de aplicación debe cumplir con lo
siguiente:
a) Proveer una descripción entendible de la estructura interna y de la operación de los subsistemas del SIS y
de sus componentes.
b) Incluir la especificación de todos los componentes identificados, y la descripción de conexiones e
interacciones entre los componentes identificados (equipo y programas).
c) Identificar los módulos de programas incluidos en los subsistemas del SIS pero que no son usados en
ninguna FIS.
d) Describir el orden del procesamiento lógico de datos con respecto a los subsistemas de entradas/salidas y
la funcionalidad de los procesadores lógicos EP incluyendo cualquier limitación impuesta por tiempos de
barrido.
e) Identificar todas las no FIS (SIF) y asegurar que no afectan la operación de cualquier FIS (SIF).
8.8.6.3 Se deben identificar y justificar las razones de la elección del conjunto de métodos y técnicas usados
para desarrollar los programas de aplicación.
8.8.6.4 Los métodos y técnicas usados en el diseño de los programas de aplicación deben ser consistentes
con cualquier restricción identificada en el manual de seguridad del subsistema del SIS.
8.8.6.5 Se deben describir y justificar las características usadas para mantener la integridad de la seguridad
de todos los datos. Tales datos deben incluir datos de entrada-salida de la planta, datos de comunicaciones,
datos de operación, datos de mantenimiento y datos internos de la base de datos.
8.8.7 Requisitos para las herramientas de apoyo, manual del usuario y lenguajes de aplicación
8.8.7.1 Se debe seleccionar el conjunto de herramientas, incluyendo un subconjunto de aplicaciones del

lenguaje de programación, la administración de la configuración, simulación, herramientas de pruebas, y
cuando proceda las herramientas de medición de prueba automática de cobertura.
8.8.7.2 Se deben considerar las herramientas correspondientes para suministrar los servicios relevantes a
través de todo el tiempo de vida del SIS.
8.8.7.3 Se debe identificar el conjunto de procedimientos para el uso de las herramientas tomando en cuenta
las restricciones del manual de seguridad, conociendo las deficiencias como introducir fallos en los programas y
cualquier limitación en la cobertura de la verificación y validación anterior.
8.8.7.4 El lenguaje de aplicación seleccionado debe cumplir con lo siguiente:
a) Ser implementado usando un compilador/traductor que ha sido evaluado para establecer su adaptabilidad
para ese propósito
b) Estar definido completa y claramente o restringido para características definidas claras
c) Coincidir con las características de la aplicación
d) Contener características que faciliten la detección de errores en programación
e) Apoyar las características que coinciden con los métodos de diseño
8.8.7.5 Cuando el 8.8.7.4 de esta norma de referencia, no se cumpla, entonces se debe documentar la
justificación del lenguaje usado durante la descripción del diseño de la arquitectura del programa de aplicación
(ver 8.8.6 de esta norma de referencia), la justificación debe detallar la adaptabilidad para el propósito del
lenguaje, y cualquier medida adicional que se refiera a cualquier deficiencia detectada en el lenguaje.
8.8.7.6 Los procedimientos para el uso de los lenguajes de aplicación deben especificar buenas prácticas de
programación, evitar características genéricas de lenguaje de cómputo no seguras (características de lenguaje
no definidas, diseños no estructurados, entre otros). Se deben identificar las revisiones para detectar fallos en la
configuración para especificar los procedimientos para la documentación de los programas de aplicación.
8.8.7.7 El manual de seguridad debe abordar los siguientes puntos según proceda:
a) El uso de diagnósticos para desempeñar funciones de seguridad

b) Lista de librerías de seguridad certificadas/verificadas
c) Pruebas mandatorias y lógica de paro del sistema
d) Uso de vigilancia
e) Requisitos y limitaciones para herramientas y lenguajes de programación
f) Los NIS (SIL) para los dispositivos o sistema sean los requeridos
8.8.7.8 Se debe verificar la aplicabilidad de las herramientas.
8.8.8 Requisitos para el desarrollo de los programas de aplicación
8.8.8.1 La siguiente información debe estar disponible antes del inicio del diseño de los programas de
aplicación:
a) La ERS de los programas (8.8.3 de esta norma de referencia).

b) La descripción del diseño de la arquitectura de los programas de aplicación (ver 8.8.6 de esta norma de
referencia) incluyendo la identificación de la lógica de aplicación y la funcionalidad de tolerancia a fallo, una
lista de datos de entrada y salida, los módulos de programas genéricos y las herramientas de apoyo a ser
usados, y los procedimientos para programar los programas de aplicación.
8.8.8.2 Los programas de aplicación deben ser producidos de un modo estructurado para lograr:
a) Modularidad de la funcionalidad
b) Comprobabilidad de la funcionalidad (incluyendo características de tolerancia a fallos) y de estructura
interna
c) La capacidad para modificación segura
d) Trazabilidad y explicación de las funciones de aplicación y las restricciones asociadas
8.8.8.3 El diseño de cada modulo de aplicación debe direccionar la robustez, incluyendo:
a) Verificación de credibilidad de cada variable de entrada incluyendo cualquier variable usada para proveer
datos de entrada
b) Definición completa de las interfases de entrada y salida
c) Verificaciones de las configuraciones del sistema incluyendo la existencia y accesibilidad del equipo y
módulos de programas requeridos
8.8.8.4 Se debe especificar el diseño de cada módulo de programas de aplicación y las pruebas estructurales
para ser aplicadas a cada modulo de programas de aplicación.
8.8.8.5 Los programas de aplicación deben cumplir con lo siguiente:
a) Ser leíbles, entendibles y verificables

b) Satisfacer los principios relevantes de diseño
c) Satisfacer los requisitos relevantes especificados durante la planeación de la seguridad (ver 8.1.1.4 de esta
norma de referencia)
8.8.8.6 Los programas de aplicación se deben revisar para asegurar la conformidad del diseño especificado,
los principios de diseño, y los requisitos de planeación de la validación de la seguridad.
8.8.9 Requisitos para la prueba de los módulos de los programas de aplicación
8.8.9.1 Se debe verificar la configuración de cada punto de entrada a través de la lógica de procesamiento
hacia los puntos de salida, mediante técnicas de revisión, simulación, y prueba para confirmar que los datos de
estada/salida son mapeados a la correcta lógica de aplicación.
8.8.9.2 Se debe verificar cada modulo de los programas de aplicación mediante técnicas de revisión,
simulación, y pruebas para determinar que las funciones propuestas son correctamente ejecutadas y no se
ejecuten las funciones no deseadas.
Se deben realizar pruebas para los módulos específicos que están siendo probados, considerando lo siguiente:
a) Ejercitar todas las partes del modelo de aplicación

b) Ejercitar los límites de los datos
c) Calendarizar los efectos de la secuencia de ejecución
d) Implementación de una secuencia propia
8.8.9.3 Los resultados de las pruebas de los módulos de los programas de aplicación deben estar disponibles.
8.8.10 Requisitos para probar la integración de los programas de aplicación
8.8.10.1 Las pruebas a los programas de aplicación deben mostrar que todos los módulos de los programas de
aplicación y los componentes/subsistemas interactúan correctamente entre ellos y con los programas
embebidos elementales para ejecutar la función requerida.
8.8.10.2 Los resultados de las pruebas de integración de los programas de aplicación deben estar disponibles
y mostrar lo siguiente:
a) El resultado de las pruebas

b) Si se han cumplido los objetivos y criterios de la especificación de la prueba
Si hay un fallo, se deben reportar los motivos por los que se falló.
8.8.10.3 Durante la integración de los programas de aplicación, cualquier modificación a los programas se
debe sujetar a un análisis de impacto de la seguridad el cual debe determinar:
a) Los módulos de los programas que son afectados.

b) Las actividades de re-diseño y reverificación que son requeridas (ver 8.8.12 de esta norma de referencia).
8.8.11 Integración de los programas de aplicaciones con los subsistemas del SIS
8.8.11.1 El proveedor o contratista del SIS debe demostrar que los programas de aplicación cumplen la ERS
de los programas cuando corren en el equipo y programas embebidos usados en los subsistemas del SIS.
8.8.11.2 Las pruebas de integración deben ser especificadas tan pronto como sea posible en el ciclo de vida de
seguridad de los programas para asegurar la compatibilidad de los programas de aplicación con el equipo y la
plataforma de los programas embebidos, de manera que los requisitos de desempeño y funcionales de la
seguridad se deben cumplir.
8.8.11.3 Durante la prueba, cualquier modificación o cambio debe estar sujeta a un análisis de impacto de la
seguridad, el cual debe determinar:
a) Los módulos de programas que son afectados

b) Las actividades requeridas de re verificación (ver 8.8.13 de esta norma de referencia)
8.8.11.4 La siguiente información de la prueba debe estar disponible:

a) Productos de configuración bajo prueba

b) Productos de configuración que apoyan las pruebas (herramientas y funcionalidad externa)
c) Personal involucrado
d) Casos de pruebas y escritos de pruebas
e) Los resultados de las pruebas
f) Si se han cumplido los objetivos y criterios de las pruebas
g) Si existe una falla, las razones de la falla, el análisis de las fallas y los registros de la corrección incluyendo
la reprueba y reverificación (ver 8.8.11.3 de esta norma de referencia)
8.8.12 Procedimientos de modificación de los programas [LFP (FPL) y LVL]
8.8.12.1 Asegurar que los programas continúen cumpliendo la ERS de los programas después de su
modificación.
8.8.12.2 Las modificaciones se deben desarrollar de acuerdo con 8.1.1.6.2.2 y 8.1.1.7 y 8.11 de esta norma de
referencia, con los siguientes requisitos adicionales:
a) Antes de la modificación se debe llevar a cabo un análisis de los efectos de la modificación en la seguridad
del proceso y del estado del diseño de los programas y sea usado para dirigir la modificación
b) Debe estar disponible la planeación de la seguridad para la modificación y reverificación
c) Las modificaciones y reverificaciones se deben realizar de acuerdo con la planeación
d) Se debe considerar la planeación de las condiciones requeridas durante la modificación y pruebas
e) Toda la documentación afectada por la modificación se debe actualizar
f) Deben estar disponibles todos los detalles de las modificaciones al SIS (registro)
8.8.13 Verificación de los programas de aplicación
8.8.13.1 Demostrar que la información sea satisfactoria.
8.8.13.2 Demostrar que los resultados de salida satisfagan los requisitos definidos en cada fase del ciclo de
vida de seguridad de los programas de aplicación.
8.8.13.3 Se debe llevar a cabo la planeación de la verificación para cada fase del ciclo de vida de los
programas de aplicación de acuerdo con 8.3 de esta norma de referencia.
8.8.13.4 Se deben verificar los resultados de cada fase para cumplir con lo siguiente:
a) La suficiencia de las salidas desde una fase del ciclo de vida en particular contra los requisitos para esa
fase
b) La suficiencia de la revisión, inspección y/o prueba de cobertura de las salidas
c) Compatibilidad entre las salidas generadas en diferentes fases del ciclo de vida
d) Corrección de los datos.
8.8.13.5 La verificación también debe abordar lo siguiente:
a) Comprobabilidad
b) Legibilidad
c) Trazabilidad
8.8.13.6 Las funciones no seguras y las interfaces de proceso integradas con las funciones y señales
relacionadas con la seguridad se deben verificar para:
a) No tener interferencia con las funciones de seguridad

b) Protección contra la interferencia con las funciones de seguridad en el caso de anomalías de las funciones
no seguras
8.9 Pruebas de aceptación en fábrica (FAT) del SIS
Estas pruebas deben ser aplicadas a todos los elementos que forman parte del SIS.
Cuando el SIS este diseñado con un procesador lógico EP, el proveedor o contratista debe cumplir con 8.2.2
(Nivel II) de la NRF-049-PEMEX-2006 y lo siguiente:
8.9.1 Probar el procesador lógico EP y los programas asociados del SIS para asegurar que cumplen los
requisitos definidos en la ERS e identificar y corregir los errores asociados a la configuración programación del
SIS antes de su instalación en la planta de PEMEX.
8.9.2 Especificar la necesidad de una FAT durante la fase de diseño de proyecto del SIS.
8.9.3 Especificar lo siguiente en la planeación de una FAT en el protocolo de pruebas previamente revisado
por PEMEX:
a) El proveedor o contratista debe solicitar a PEMEX el listado enunciativo más no limitativo de pruebas que
debe cumplir para realizar en el proceso de pruebas (FAT).
b) Los tipos de pruebas a ser desarrolladas incluyendo la prueba de funcionalidad del sistema EP; pruebas de
desempeño (tiempo, confiabilidad y disponibilidad, integridad, objetivos de seguridad y restricciones), las
pruebas ambientales (incluyen compatibilidad electromagnética, tiempo de vida y pruebas de tensión),
pruebas de interfaz, pruebas en modos degradado y/o de fallo, pruebas de excepción, aplicación de los
manuales de mantenimiento y operación del SIS. Casos de prueba, descripción de la prueba y los datos de
prueba.
c) La dependencia en otros sistemas/interfaces.
d) Herramientas y entorno de la prueba.
e) Configuración del procesador lógico EP.
f) Criterios de prueba en los que la terminación de la prueba debe ser evaluada.
g) Procedimientos para adoptar medidas correctivas en caso de falla de la prueba.
h) Habilidades y función del personal de la prueba.
i) Ubicación física.
8.9.4 Las FAT se deben llevar a cabo con la versión de “hardware” y “software” adquirida con el contrato.
8.9.5 Las FAT se deben llevar a cabo de conformidad con la planeación de las FAT. Estas pruebas deben
mostrar que toda la lógica se desempeñe correctamente.
8.9.6 Para cada prueba realizada, se debe seguir lo siguiente:
a) La versión de la planeación de la prueba que se está usando

b) La característica de desempeño y la FIS (SIF) que se está probando
c) Los procedimientos de prueba detallados y descripciones de las pruebas
d) Un registro cronológico de las actividades de prueba
e) Las herramientas, equipos e interfaces utilizadas
8.9.7 El SIS debe ser completamente probado antes de ser enviado por el proveedor o contratista a
PEMEX.
8.9.7.1 En las pruebas FAT debe participar el personal involucrado en las etapas de diseño, construcción,
planeación y verificación del sistema bajo prueba.
8.9.7.2 El SIS se debe revisar y probar en un ambiente controlado de temperatura y humedad, de manera que
cualquier problema se pueda resolver y corregir usando los recursos disponibles en el sitio del proveedor o
contratista. Las pruebas FAT deben aclarar y rectificar cualquier duda o error en el desarrollo de la prueba.
8.9.7.3 El número de participantes depende de la complejidad y del tamaño del EP del SIS. Se deben definir
las responsabilidades de cada persona participante en la FAT y en éstas debe participar el siguiente personal:
a) El proveedor o contratista, es el responsable de conducir y coordinar las pruebas FAT, así como de
preparar los procedimientos (protocolo) de prueba requeridos en el 8.9.3 de esta norma de referencia.
b) Representantes de PEMEX.
8.9.7.4 El proveedor o contratista debe probar y verificar el desempeño del equipo y programas del EP del
SIS el cual incluye los módulos de entrada/salida, las terminales de conexión, el cableado interno, los
procesadores lógicos EP, los módulos de interfase de comunicación y la IHM (HMI), la
configuración/programación de los programas (de operación y de aplicación), así como la redundancia del
sistema.
8.9.7.5 Las pruebas al procesador lógico EP del SIS se deben realizar usando los siguientes criterios:
a) Inspección visual
b) Cableado interior de los gabinetes
c) Fuentes de alimentación y su redundancia
d) Simulando entradas, usualmente digitales, pulsos, 4-20 mA, o termopar y observando la respuesta del
sistema
e) Probando las salidas, usualmente digitales o de 4-20 mA
f) Creando varios escenarios de falla para probar los sistemas de respaldo
g) Pruebas de la lógica no interactiva, esto es, la lógica que no requiere una retroalimentación de los
dispositivos de campo para operar.
h) Prueba completa de la lógica. Esto es, probar funcionalmente el procesador lógico EP la interfaz del
operador, con simuladores de entrada y salida (discretos y analógicos) que simulen las entradas/salidas de
campo. La prueba se debe realizar verificando la lógica mostrada en las matrices de causa y efecto. En la
simulación, se debe usar la misma interfaz del operador que va a ser usada en el sitio.
i) Se debe probar la lógica del procesador lógico EP al 100 por ciento.
8.9.7.6 La simulación lógica se debe hacer de manera escrita en el procesador lógico EP, las salidas deben
estar ligadas a las entradas dentro de la simulación, de modo que cuando una salida es enviada desde el
procesador lógico EP, debe obtenerse una confirmación de que el dispositivo de salida ha operado. De este
modo, la lógica es interactiva con los dispositivos de campo.
8.9.7.7 Todos los equipos usados para la calibración y pruebas deben presentar certificados de calibración
vigentes por parte del proveedor o contratista, emitidos por un organismo de certificación debidamente
acreditado y aprobado cumpliendo con lo indicado en el 8.2.4 de la NRF-111-PEMEX-2006
8.9.7.8 Los resultados de las FAT se deben documentar, indicando:
a) Los casos de prueba

b) Los resultados de la prueba
c) Si se cumplieron los objetivos y criterios de la prueba
8.9.7.9 Si hay una falla durante la prueba, las razones de la falla se deben documentar y analizar y se deben
implementar las acciones correctivas requeridas.
8.9.8 Durante las FAT, cualquier cambio o modificación debe ser objeto de un análisis de seguridad para
determinar:
a) El grado de impacto sobre cada función instrumentada de seguridad

b) El alcance de repetición de la prueba debe ser definido y ejecutado
8.10 Instalación y “comisionamiento” del SIS
Cuando PEMEX establezca en sus bases de licitación el suministro e instalación del SIS debe cumplir entre
otros con lo siguiente:
8.10.1 El embalaje y transportación del equipo es responsabilidad del proveedor o contratista quien debe
garantizar la integridad de los equipos que conforman el SIS. El embalaje y marcado de materiales y equipos
para su embarque debe cumplir con los numerales 8.1.1 al 8.1.2, 8.1.6, 8.1.9 y 8.2 al 8.4 de la
P.1.0000.09:2005
8.10.2 En esta etapa, el proveedor o contratista debe asegurar que la instalación del SIS incluyendo los
dispositivos de campo estén de acuerdo con el diseño detallado, los planos y la ERS, así mismo debe llevar a
cabo las pruebas de “comisionamiento” del SIS de modo que esté listo para la validación final del sistema.
8.10.3 En la planeación de la instalación y “comisionamiento” del SIS se deben definir todas las actividades
requeridas para éste propósito. El proveedor o contratista debe proporcionar lo siguiente:
a) Lista de actividades de instalación y “comisionamiento”

b) Los procedimientos, medidas y técnicas que se deben utilizar para la instalación y “comisionamiento”
c) Programa de desarrollo de dichas actividades y tiempos de ejecución
d) Las personas, departamentos y organizaciones responsables de estas actividades
8.10.4 El proveedor o contratista debe integrar en la planeación global del proyecto la planeación de la
instalación y “comisionamiento”.
8.10.5 Todos los componentes del SIS se deben instalar de acuerdo con el plan de diseño e instalación (ver
8.10.3 de esta norma de referencia).
8.10.6 Se debe cumplir con los siguientes requisitos generales asociados al proceso de instalación:
a) El proveedor o contratista debe considerar la instalación del SIS de manera separada con respecto al
trabajo eléctrico y electrónico de otros sistemas.
b) El proveedor o contratista debe asegurar que el paquete de diseño esté completo.
c) Todos los dispositivos montados en campo deben ser instalados de modo que permitan fácil acceso tanto
para el mantenimiento como para las pruebas en línea que puedan ser llevadas a cabo.
d) Se debe proteger a todos los dispositivos de campo de daño físico o ambiental previo a la instalación.
e) El proveedor o contratista no debe realizar ningún cambio o desviación de los diagramas de diseño sin
previa autorización de PEMEX en forma escrita y debidamente registrada.
8.10.7 El “comisionamiento” debe constituir una verificación física que confirme que el SIS y todos los
elementos que lo integran se encuentren físicamente instalados de acuerdo al diseño y listos para las pruebas
OSAT. Dicho “comisionamiento” lo debe realizar el proveedor o contratista bajo la supervisión de PEMEX.
8.10.8 El SIS se debe comisionar en conformidad con la planeación en la preparación para la validación final
del sistema.
8.10.9 Las actividades de “comisionamiento” deben incluir, pero no se limitan a la confirmación de lo

siguiente:
a) El sistema de tierras de instrumentos se ha conectado correctamente

b) Los Sistemas de Fuerza Ininterrumpible – SFI se han conectado correctamente y están en funcionamiento
c) No hay daños físicos presentes
d) Todos los instrumentos han sido debidamente calibrados
e) Todos los dispositivos de campo son operables
f) Las señales de entradas/salidas del resolvedor lógico son operables
g) Las interfaces con otros sistemas y periféricos son operables
8.10.10 El proveedor o contratista debe elaborar registros del “comisionamiento” del SIS, indicando los
resultados de la prueba y si se han cumplido los objetivos y criterios identificados durante la fase de diseño. Si
hay una falla, se deben registrar las razones de dicha falla.
8.10.11 Cuando la instalación no se ajusta a la información del diseño se debe evaluar la diferencia por una
persona calificada por parte del proveedor o contratista el probable impacto sobre la seguridad determinada. Si
se establece que no se tiene ningún impacto en la seguridad, la información sobre el diseño se debe actualizar
a "como quedo construido". Si la diferencia tiene un impacto negativo sobre la seguridad, la instalación debe
ser modificada para cumplir con los requisitos de diseño.
8.10.12 Pruebas funcionales en línea. Para todas aquellas aplicaciones en las cuales no sea práctico o sea
difícil llevar a cabo pruebas funcionales fuera de línea, el proveedor o contratista debe proporcionar
procedimientos para llevar a cabo pruebas funcionales en línea. Dichos procedimientos deben incluir las
pruebas funcionales de los elementos finales hasta donde sea posible.
8.11 Validación de seguridad del SIS
Una vez que se ha terminado la instalación y el “comisionamiento”, el proveedor o contratista debe realizar la
validación de la seguridad del SIS (OSAT) y entregarla a PEMEX.
Se debe validar a través de la inspección y pruebas, que el SIS instalado y “comisionado” y sus FIS (SIF)
asociadas alcancen los requisitos establecidos en la ERS.
8.11.1 Requisitos
8.11.1.1 El proveedor o contratista debe presentar el acta de aceptación de las pruebas FAT; así mismo la
planeación de la validación del SIS debe ser entregada a PEMEX previamente a definir todas las actividades
requeridas para su validación. Se deben incluir los siguientes puntos y cumplir con 8.2.3 (Nivel III) de la NRF-
049-PEMEX-2006
a) La validación de actividades incluyendo la validación del SIS con respecto a la ERS incluyendo la
aplicación y la resolución de recomendaciones resultantes.
b) La validación de todos los modos relevantes de operación del proceso y su equipo asociado incluyendo:
La preparación para uso, incluyendo calibración y ajuste
El arranque, automático, manual, semi-automático, en estado estable de operación
La re-configuración, paro, mantenimiento
Las condiciones anormales razonablemente previsibles, entre otros, aquellas identificadas a través de
la fase de análisis de riesgos
c) Los procedimientos, medidas y técnicas usadas para la validación.

d) Cuándo estas actividades se deben llevar a cabo.
e) Las personas, departamentos y organizaciones responsables de estas actividades y los niveles de
independencia de las actividades de validación.
f) La referencia a la información con la que se debe llevar a cabo la validación (Matriz lógica de causa y
efecto del SIS, entre otras).
g) Entre las actividades que se incluyen están prueba de lazos, procedimientos de calibración, simulación de
los programas de aplicación, entre otras.
8.11.1.2 La planeación adicional de la validación para los programas de aplicación de seguridad debe incluir lo
siguiente:
a) La identificación de los programas de seguridad que requieren ser validados para cada modo de operación
del proceso antes de comenzar el “comisionamiento”.
b) La información sobre la estrategia técnica para la validación incluyendo:
Técnicas manuales y automatizadas
Técnicas estáticas y dinámicas
Técnicas estadísticas y analíticas
c) De acuerdo con b), las medidas (técnicas) y los procedimientos que se deben usar para confirmar que
cada FIS (SIF) se ajusta a los requisitos especificados para los programas de las FIS (SIF) (ver 8.8.3 de
esta norma de referencia) y los requisitos específicos para la integridad de seguridad de los programas (ver
8.8.3 de esta norma de referencia).
d) Las necesidades del entorno en el que las actividades de la validación son llevadas a cabo (para probar
esto se deben incluir herramientas calibradas y equipo, entre otros).
e) El criterio de pasa/falla para el cumplimiento de validación de los programas, incluyendo:
El proceso requerido y señales de entrada del operador con sus secuencias y valores
Las señales de salida anticipadas con sus secuencias y valores
Otro criterio de aceptación, entre otros, el uso de la memoria, tiempo y el valor de las tolerancias
f) Las políticas y procedimientos para la evaluación de los resultados de la validación, en particular las fallas.
8.11.1.3 Cuando se requiera que la exactitud de la medición sea parte de la validación entonces los
instrumentos usados para esta función deben ser calibrados con una incertidumbre requerida a la aplicación y
con trazabilidad hacia patrones nacionales o internacionales y certificados por un organismo de certificación
debidamente acreditado y aprobado de acuerdo con el 8.2.4 de la NRF-111-PEMEX-2006, si no es posible una
calibración, se debe usar y documentar un método alternativo.
8.11.1.4 La validación del SIS y sus FIS (SIF) asociadas deben estar de conformidad con la validación de la
planeación del SIS. Las actividades de validación deben incluir, pero no limitarse a lo siguiente:
a) El SIS debe desempeñarse bajo los modos de operación normal y anormal (arranque, paro, entre otras)
que se señalan en la ERS.
b) Confirmación de que la interacción adversa del SCBP (BPCS) o SDMC y otros sistemas conectados no
afectan la integridad y operación del SIS.
c) Verificar que el SIS se comunica correctamente (en caso requerido), con el SCBP (BPCS) o SDMC o
cualquier otro sistema o red.
d) Los sensores, el resolvedor lógico, y los elementos finales operan en conformidad con la ERS, incluidos
todos los canales redundantes.
e) La documentación del SIS es consistente con el sistema instalado.
f) Confirmación de que la FIS (SIF) opera tal como se especifica en valores no válidos de las variables de
proceso (fuera del rango, entre otros).
g) Que la secuencia de paro activada sea la correcta.
h) El SIS proporciona indicaciones visuales de que está operando de acuerdo a lo requerido.
i) Los cálculos que se incluyen en el SIS son correctos.

j) Las funciones de restablecimiento parcial y total del SIS se realizan tal como se definen en la ERS.
k) Las funciones de desvío y restablecimiento del desvío operan correctamente.
l) Los permisivos de arranque operan correctamente.
m) El sistema de paro manual opera correctamente.
n) Los intervalos de pruebas rigurosas están documentadas en los procedimientos de mantenimiento.
ñ) Las funciones de alarma de diagnóstico se realizan de acuerdo a lo requerido.
o) Confirmar que el SIS opera como se requiere cuando se presenta el evento de pérdida de servicios
(energía eléctrica, neumática o hidráulica) y cuando se restablecen los servicios el SIS retorna al estado
deseado.
p) Confirmación que la inmunidad a la Compatibilidad Electromagnética - CEM especificada en la ERS (ver
8.6 de esta norma de referencia), se ha logrado.
8.11.1.5 La validación de los programas debe mostrar que todos los requisitos especificados de seguridad de
los programas (ver el 8.8.5 de esta norma de referencia) se ejecutan correctamente, y los `programas no ponen
en peligro los requisitos de seguridad bajo condiciones de fallo del SIS en un modo degradado de operación o
por la ejecución de la funcionalidad de los programas no definidos en la especificación. La información de las
actividades de validación debe estar disponible.
8.11.1.6 Los resultados de la validación del SIS deben proporcionar la siguiente información:
a) La versión de la planeación de la validación del SIS que está siendo usada

b) La FIS (SIF) bajo prueba (o análisis), junto con la referencia específica al requisito identificado durante la
planeación de la validación del SIS
c) Herramientas y equipo usado, junto con los datos de calibración
d) Los resultados de cada prueba
e) La versión de la especificación de prueba usada
f) Los criterios para la aceptación de las pruebas de integración
g) La versión del equipo y programas del SIS que están siendo probados
h) Cualquier discrepancia entre los resultados esperados y los actuales
i) El análisis hecho y las decisiones adoptadas sobre la conveniencia de continuar con la prueba o emitir una
solicitud de cambio, en el caso de que se produzcan discrepancias
8.11.1.7 Cuando se producen discrepancias entre los resultados previstos y los reales, el análisis efectuado y
las decisiones adoptadas sobre la conveniencia de continuar con la validación o la emisión de una solicitud de
cambio y volver a una etapa anterior del ciclo de vida de desarrollo, debe estar disponible como parte de los
resultados de la validación de seguridad.
8.11.1.8 Después de la validación del SIS y ya “comisionado” para reducir los peligros identificados (Etapa 3
del modelo del ciclo de vida, ver figura 2 de esta norma de referencia), se deben llevar a cabo las siguientes
actividades:
a) Regresar a su posición normal todas las funciones de desvío (entre otras, el forzamiento del resolvedor
lógico y los sensores forzados, las alarmas deshabilitadas).
b) Verificar que todas las válvulas de aislamiento del proceso cumplan con los requisitos y procedimientos de
arranque del proceso.
c) Retirar todos los materiales de prueba (entre otros, los fluidos).
d) Eliminar todos los forzamientos y si aplica eliminar todos los forzamientos inhabilitados.
8.11.2 Validación integral del SIS

8.11.2.1 En caso de que el SIS forme parte de un proyecto integral en el cuál existan otros sistemas [SCBP
(BPCS) o SDMC y Sistema de gas y fuego] que tengan interrelación con el SIS, el proveedor o contratista debe
realizar pruebas integrales del SIS que confirmen la funcionalidad correcta de todos los sistemas del proyecto
integral, incluyendo la lógica de acuerdo a la ERS. Esta verificación se debe realizar después de que la
validación del SIS se ha realizado de manera satisfactoria.
8.11.2.2 El proveedor o contratista debe presentar lo siguiente antes de iniciar las pruebas integrales:
a) El acta de aceptación de las pruebas de validación OSAT del SIS.

b) El plan de validación (protocolo) de las pruebas integrales revisado por PEMEX, el cual debe contener: las
actividades a realizar, responsables, cómo se van realizar, criterios de aceptación y formatos de registros.
8.11.2.3 La documentación requerida para soportar las pruebas integrales debe incluir los siguientes puntos:
a) Procedimientos de la verificación completa de las pruebas integrales.

b) Copia de la ERS.
c) Listado impreso del programa de la lógica del resolvedor lógico
d) Un diagrama de bloques del sistema integral
e) Una lista completa de las entradas/salidas
f) Diagramas de flujo de proceso y diagramas de tubería e instrumentación
g) Índice de instrumentos
h) Diagramas de lazos
i) Esquemas eléctricos
j) Matriz lógica de causa y efecto del SIS
k) Planos que indiquen la localización de los equipos principales (PLG)
l) Diagramas de conexiones en gabinetes, diagramas que indiquen la interconexión y las terminales de todos
los cables
m) Diagramas de trayectorias y conducción de “tubings” del sistema neumático
n) Documentación del proveedor del equipo, incluyendo especificaciones, requisitos de instalación, y
manuales de operación
o) La fecha en que se realizó la prueba integral
p) Referencia a los procedimientos usados en la prueba integral
q) Constancia de aceptación por parte de PEMEX de que el proveedor o contratista ha completado de
manera satisfactoria la prueba integral
8.11.2.4 Si se presenta el caso que durante la prueba integral no se cumple con los requisitos establecidos
durante el diseño, la discrepancia debe ser evaluada por el proveedor o contratista y debe informar a PEMEX
las implicaciones sobre la integridad del sistema que ocasiona esta discrepancia y si es requerido regresar a
alguna etapa anterior en el ciclo de vida de seguridad. Si hay una falla de algún elemento, se deben dar las
razones de la falla, registrarse y corregirse.
8.11.3 Aceptación final del SIS
8.11.3.1 El proveedor o contratista en conjunto con PEMEX debe verificar a través de la validación, que el SIS
fue construido, instalado y “comisionado” de acuerdo a la ERS y que se encuentra listo para operar, para lo cual
se debe realizar el acta correspondiente.
8.11.3.2 El proveedor o contratista debe generar y entregar los informes de la validación integral del SIS,
indicando los resultados de las pruebas, si se cumplieron los objetivos y los criterios identificados durante la
fase del diseño.
8.11.3.3 La documentación para la aceptación final del SIS debe estar actualizada. El proveedor o contratista
debe suministrar toda la documentación generada en todas las etapas del proyecto, el manual de operación y la
información técnica debe estar en idioma español y las unidades de acuerdo a lo que establece la Ley Federal
sobre Metrología y Normalización y su Reglamento.
8.11.3.4 La documentación requerida para la validación integral y que forma parte del proceso de aceptación
del SIS debe incluir los siguientes puntos:
a) La descripción del sistema

b) Especificación funcional del sistema
c) Diagramas de la configuración completa del sistema
d) Memorias de cálculo de la verificación del NIS (SIL)
e) Manual de usuario y licencias de los programas de usuario
f) Protocolos, informes y actas de aceptación de pruebas en fábrica FAT y en sitio OSAT
g) Procedimientos, informe y acta de aceptación de la validación integral
h) Copia de la ERS
i) Listado impreso del programa del procesador lógico EP o el diagrama (lógico, eléctrico, bloques, escalera)
del resolvedor lógico
j) Diagrama de bloques del sistema
k) Lista completa de las entradas/salidas
l) Diagramas de flujo de seguridad de proceso y diagramas de tubería e instrumentación
m) Índice de instrumentos
n) Diagramas de lazos
o) Esquemas eléctricos
p) Matriz lógica de causa y efecto para el SIS
q) Planos que indiquen la localización de los equipos principales (PLG)
r) Diagramas de conexiones en gabinetes, diagramas de alambrado que indiquen la interconexión y las
terminales de todos los cables, diagramas unifilares eléctricos
s) Diagramas de trayectorias y conducción de “tubings” del sistema neumático
t) Documentación del proveedor del equipo, incluyendo especificaciones, requisitos de instalación, y
manuales de operación
u) Pruebas de desempeño
8.11.3.5 La aceptación final del SIS se debe realizar después de que el proveedor o contratista haya
demostrado a PEMEX que el SIS opera correctamente con los demás componentes de la instalación
interrelacionados con dicho SIS y entregue la documentación anterior.
8.12 Operación y mantenimiento del SIS
Se debe asegurar que el SIS opere y se mantenga dentro de la seguridad funcional diseñada y debe garantizar
que el NIS (SIL) objetivo de cada FIS (SIF) se mantiene durante las etapas de operación y mantenimiento.
8.12.1 Requisitos
8.12.1.1 El proveedor o contratista debe realizar la planeación de las actividades de operación y mantenimiento
del SIS, y debe incluir lo siguiente:
a) Actividades para operación normal y anormal

b) Desglose de las actividades de mantenimiento preventivo y de pruebas funcionales y rigurosas
c) Los procedimientos, medidas y técnicas a emplear durante la operación y mantenimiento
d) Verificación de la observancia de los procedimientos de operación y mantenimiento
e) Programas de cuándo se deben llevar a cabo estas actividades
f) Equipos y herramientas requeridas para llevar a cabo las actividades de mantenimiento

g) Las personas, departamentos y organizaciones responsables de estas actividades
h) El grado de capacitación y competencia requerido por el personal que debe llevar a cabo las actividades
de operación y/o mantenimiento
i) Recopilación de información relacionada con la confiabilidad de los componentes del SIS durante la fase
de operación
8.12.1.2 El proveedor o contratista debe desarrollar en idioma español, los procedimientos de operación y
mantenimiento de conformidad con la planeación de seguridad relevante y debe proporcionar lo siguiente:
a) Acciones rutinarias requeridas para mantener la seguridad funcional del SIS "tal y como se diseñó", entre
otros, fijando intervalos de prueba rigurosa definidos por la determinación del NIS (SIL); para el caso de las
válvulas de bloqueo automatizadas este procedimiento debe utilizar alguno de los métodos de prueba de
carrera parcial indicados en la ANSI/ISA-TR96.05.01-2008 o equivalente, con la supervisión de PEMEX.
b) Acciones y restricciones requeridas para prevenir un estado inseguro y/o reducir las consecuencias de un
evento peligroso durante el mantenimiento o la operación (entre otros, cuando un sistema tiene que estar
desviado “by pass” para la realización de pruebas o mantenimiento, qué pasos adicionales de mitigación se
deben implementar).
c) Información que se debe mantener en la falla del sistema y la tasa de demanda en el SIS.
d) Información que se debe mantener que muestre los resultados de las auditorias y pruebas en el SIS.
e) Procedimientos de mantenimiento a seguir cuando se presenten fallos o fallas en el SIS, incluyendo:
Procedimientos para el diagnóstico y reparación de fallos
Procedimientos para la revalidación
Requisitos del reporte de mantenimiento
Procedimientos para el seguimiento del desempeño del mantenimiento
f) Garantizar que el equipo de prueba usado durante las actividades normales de mantenimiento está
calibrado y en buen estado.
8.12.1.3 La operación y mantenimiento se deben llevar a cabo en conformidad con los procedimientos
anteriores (ver 8.12.1.2 de esta norma de referencia).
8.12.1.4 Los operadores deben estar capacitados en la función y operación del SIS en su área. Esta
capacitación debe asegurar lo siguiente:
a) Que comprendan las funciones del SIS (puntos de disparo y las acciones resultantes que son tomadas por
el SIS).
b) Los peligros contra los que el SIS está protegiendo.
c) La operación de todos los interruptores de desvío y bajo qué circunstancias estos se deben usar.
d) La operación de cualquier estación manual de paro y la actividad de arranque manual y cuándo estas
estaciones manuales se deben activar.
e) Expectativa en la activación de las alarmas de diagnóstico (entre otros, qué medidas se deben tomar
cuando se activa alguna alarma del SIS, indicando que hay un problema en el SIS).
f) La capacidad de programación o configuración del SIS.
g) La aplicación de la lógica del SIS.
h) Entendimiento de los requisitos operacionales del sistema tanto desde la perspectiva del(os) operador(es)
como desde la perspectiva del(os) ingeniero(s) a cargo del SIS.
i) Entendimiento de los estándares y normas existentes a la fecha referidos al uso de SIS, incluyendo a esta
norma de referencia.
8.12.1.5 El personal de mantenimiento se debe capacitar según sea requerido para mantener el pleno
desempeño funcional del SIS (equipo y programas) dirigidos a su integridad.
8.12.1.6 Para que el personal de operación, instrumentación y mantenimiento de PEMEX operen y mantengan
de manera efectiva el SIS, el proveedor o contratista del SIS junto con personal de PEMEX deben identificar el
nivel de capacitación de acuerdo al rol y responsabilidades del personal de PEMEX. Para cumplir con lo anterior
se deben impartir los siguientes cursos:
a) Configuración de: IHM (HMI), procesador lógico EP, instrumentación de campo y SFI’s
b) Cursos de operación y mantenimiento del SIS. Dichos cursos deben considerar los siguientes temas:
filosofía de operación, mantenimiento preventivo, pruebas de diagnóstico y pruebas rigurosas del SIS,
interpretación de fallos y diagnósticos, instalación y operación de los programas de aplicación, supervisión
y alarmas, arranque y puesta en servicio del SIS. Todos los cursos impartidos deben ser en idioma
español.
8.12.1.7 Por lo tanto el proveedor o contratista debe dar la capacitación y efectuar la evaluación del personal
que opere el SIS. La capacitación debe considerar lo indicado en el 8.12.1.4 de esta norma de referencia.
8.12.1.8 Las discrepancias entre el comportamiento esperado y el comportamiento real del SIS se deben
analizar y, en caso requerido, las modificaciones se deben realizar de tal manera que la seguridad se
mantenga. Debe incluir el “monitoreo” de lo siguiente:
a) Las acciones tomadas siguiendo la demanda en el sistema

b) Las fallas del equipo que forman parte del SIS establecido durante las pruebas de rutina o la demanda real
c) La causa de las demandas
d) La causa de los disparos falsos
8.12.1.9 Los procedimientos de operación y mantenimiento pueden requerir revisión, en tal caso, se debe
seguir:
a) Auditorias de seguridad funcional

b) Las pruebas en el SIS
8.12.1.10 Se deben desarrollar procedimientos escritos en idioma español para llevar a cabo la prueba
rigurosa para cada FIS (SIF), con objeto de revelar fallas peligrosas no detectadas por el diagnóstico. Estos
procedimientos escritos de prueba deben describir cada una de las etapas que se llevan a cabo y deben incluir:
a) La operación correcta de cada sensor y elemento final

b) La acción lógica correcta
c) Las alarmas e indicaciones correctas
8.12.2 Prueba rigurosa e inspección
8.12.2.1 Prueba rigurosa
8.12.2.1.1 Las pruebas rigurosas periódicas se deben llevar a cabo mediante un procedimiento escrito (ver
8.12.1.10 de esta norma de referencia) para revelar fallos no detectados que permitan al SIS funcionar en
conformidad con la ERS.
8.12.2.1.2 El SIS completo se debe someter a prueba incluyendo los sensores, resolvedor lógico y los
elementos finales (entre otros, cierre de válvulas y paro de motores).
8.12.2.1.3 La frecuencia de las pruebas rigurosas se deben decidir usando el cálculo de PFD prom
8.12.2.1.4 Todas las deficiencias detectadas durante la prueba rigurosa se deben reparar de una manera
segura y oportuna.
8.12.2.1.5 En algunos intervalos periódicos (determinados por PEMEX), la frecuencia de las pruebas se deben
re-evaluar en función de diversos factores, entre ellos los datos históricos de pruebas, la experiencia de la
planta, la degradación del equipo, programas y la confiabilidad de los programas.
8.12.2.1.6 Cualquier cambio en la lógica de aplicación requiere una prueba rigurosa completa. Excepciones a
esto son permitidas en su caso si la revisión de la información y las pruebas parciales de los cambios se llevan
a cabo para garantizar que los cambios se implementaron correctamente.
8.12.2.2 Inspección
Conforme a los programas de mantenimiento cada SIS debe ser inspeccionado visualmente para asegurar que
no se hayan realizado modificaciones no autorizadas y no se observe algún deterioro (entre otros: la falta de
pernos o cubiertas de instrumentos, abrazaderas oxidadas, alambres desconectados, tubos “conduits” rotos,
trazas de calor rotas, y aislamiento faltante).
8.12.2.3 Documentación de las pruebas rigurosas e inspección
PEMEX debe mantener registros que certifiquen que las pruebas rigurosas e inspección se concluyeron de
acuerdo con lo requerido. Estos registros deben incluir la siguiente información como mínimo:
a) Descripción de las pruebas e inspecciones realizadas

b) Las fechas de las pruebas e inspecciones
c) Nombre de las personas quienes realizaron las pruebas e inspecciones
d) Número de serie u otro identificador único del sistema probado; entre otros, el número de lazo, número de
identificación, número de equipo, y número de FIS (SIF)
e) Los resultados de las pruebas e inspección (entre otros, condiciones de "tal y como se encontró" y "tal y
como se dejó")
8.13 Modificación del SIS
Los proveedores o contratistas deben cumplir con las modificaciones a cualquier SIS siempre y cuando estén
debidamente planeadas y revisadas por PEMEX antes de hacer el cambio, y garantizar que la integridad de la
seguridad requerida del SIS se mantiene a pesar de los cambios al SIS.
8.13.1 Requisitos
8.13.1.1 Antes de llevar a cabo cualquier modificación de un SIS, los procedimientos para autorizar y controlar
los cambios se deben tener en sitio. Los procedimientos deben incluir un método entendible para identificar y
solicitar el trabajo por hacer y los peligros que puedan resultar.
8.13.1.2 Se debe llevar a cabo un análisis para determinar el impacto sobre la seguridad funcional como
resultado de la modificación propuesta. Cuando el análisis muestre que la modificación propuesta pueda
impactar la seguridad, entonces se debe regresar a la primera fase del ciclo de vida de seguridad, afectado por
la modificación.
8.13.1.3 La actividad de modificación no debe comenzar sin la debida autorización de PEMEX. La información
adecuada se debe mantener para todos los cambios en el SIS y debe incluir:
a) Una descripción de la modificación o cambio

b) La razón para el cambio

c) Los peligros identificados que pueden ser afectados
d) Un análisis del impacto de la actividad de modificación en el SIS
e) Todas las aprobaciones requeridas para los cambios
f) Las pruebas usadas para comprobar que el cambio se implemento correctamente y el SIS se desempeña
de acuerdo a lo requerido
g) El historial de la configuración
h) Las pruebas usadas para verificar que el cambio no ha afectado negativamente las partes del SIS que no
se modificaron
i) El programa para la ejecución de los cambios
8.13.1.4 La modificación se debe realizar con personal calificado y capacitado. Todo el personal afectado debe
ser notificado de los cambios y capacitado con respecto a los cambios.
8.13.1.5 Todos los cambios a los procedimientos operativos, información de seguridad del proceso, y
documentación general del SIS se deben verificar y actualizar antes de volver a poner en operación al SIS.
8.13.1.6 Toda la documentación se debe proteger contra destrucción, pérdida o modificación no autorizada.
8.14 Desmantelamiento del SIS
El proveedor o contratista debe realizar un proceso de revisión del plan de desmantelamiento para garantizar
que la remoción del SIS no impacte al proceso o unidades circundantes y que existan los medios de seguridad
para proteger al personal, al equipo y al medio ambiente durante los trabajos de desmantelamiento bajo una
supervisión autorizada por parte de PEMEX.
8.14.1 Requisitos
8.14.1.1 Antes de llevar a cabo cualquier desmantelamiento de un SIS, se deben tener en sitio los
procedimientos elaborados por el proveedor o contratista y revisados por PEMEX y tener el control de cambios
revisado por PEMEX.
8.14.1.2 Los procedimientos se deben basar en los análisis de riesgo de la instalación, identificando y
solicitando los trabajos por realizar e identificar los peligros que puedan resultar.
8.14.1.3 El proveedor o contratista debe realizar una evaluación del impacto en la seguridad funcional como
resultado de la actividad propuesta de desmantelamiento. Dicha evaluación debe incluir una actualización del
análisis y evaluación de riesgos para determinar el alcance y la profundidad que las fases subsecuentes del
ciclo de vida de seguridad que se deben retomar. La evaluación debe considerar:
a) La seguridad funcional durante la ejecución de las actividades de desmantelamiento

b) El impacto en las unidades operativas adyacentes y los servicios auxiliares de la instalación debido al
desmantelamiento del SIS
8.14.1.4 Durante la administración de la seguridad funcional se deben utilizar los resultados de los análisis de
impacto para volver a activar los requisitos relevantes de esta norma de referencia, incluyendo los de re-
verificación y re-validación.
Las actividades de desmantelamiento no se deben iniciar sin la debida autorización de PEMEX.
8.15 Requisitos de Información y documentación

El proveedor o contratista debe entregar a PEMEX conforme lo requiera en las bases de licitación toda la
documentación que se cita a continuación, además debe garantizar que la información requerida esté
disponible y documentada, a fin de que todas las fases del ciclo de vida de seguridad se puedan desempeñar
de manera efectiva, para que la verificación, validación y evaluación de las actividades de la seguridad funcional
se puedan realizar eficazmente. Para la estructura de la documentación ver el Anexo A de la IEC 61508-1
8.15.1 Requisitos
8.15.1.1 La documentación requerida por esta norma de referencia debe estar disponible y:
a) Describir la instalación, sistema o equipo y el uso de la misma

b) Ser exacta
c) Ser fácil de entender
d) Satisfacer la finalidad para la cual está destinada
e) Estar disponible en una forma accesible y conservable
8.15.1.2 La documentación debe tener una única identidad por lo que debe ser posible referenciar las
diferentes partes.
8.15.1.3 La documentación debe tener las denominaciones, indicando el tipo de información.
8.15.1.4 La documentación debe ser trazable a los requisitos de esta norma.
8.15.1.5 La documentación debe tener un índice de revisión (números de versión) para que sea posible
identificar las diferentes versiones de la información.
8.15.1.6 La documentación debe ser estructurada para hacer posible la búsqueda de información relevante.
Debe ser posible identificar la última revisión (versión) de un documento.
8.15.1.7 Toda la documentación relevante debe ser revisada, enmendada, aprobada y estar bajo el control de
un esquema de control de la información.
8.15.1.8 La siguiente documentación se debe mantener:
a) Los resultados del análisis y evaluación de riesgos y las hipótesis relacionadas

b) Los equipos usados para FIS (SIF) junto con sus requisitos de seguridad
c) La organización responsable del mantenimiento de la seguridad funcional
d) Los procedimientos para lograr y mantener la seguridad funcional del SIS
e) La modificación de información, tal como se define en 8.13.1.3 de esta norma de referencia
f) El diseño, implementación, prueba y validación
9 RESPONSABILIDADES
9.1 PEMEX
Vigilar la aplicación de los requisitos de esta norma de referencia, en actividades que se lleven a cabo en la
determinación del NIS (SIL) para los SIS en los procesos industriales de las instalaciones de PEMEX.
Verificación del cumplimiento de esta norma de referencia, debe ser realizada a través de la constancia de
cumplimiento de los proveedores o contratistas.
Verificar que los licitantes cuenten con personal técnico especializado con experiencia en la determinación del
NIS (SIL) para los SIS en los procesos industriales, conforme a los lineamientos legales vigentes.
Verificar el cumplimiento del contrato establecido incluyendo los anexos técnicos respectivos, los cuales deben
cumplir estrictamente los lineamientos marcados por esta norma de referencia.
Aplicar la Ley Federal de Metrología y Normalización, la Ley de Obras Públicas y Servicios Relacionados con
las Mismas, así como la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público, en lo referente a
adquirir, arrendar o contratar bienes y servicios.
Responsabilidad de PEMEX con respecto al análisis y evaluación de riesgos.- PEMEX debe proporcionar la
información más actualizada posible de sus instalaciones para desarrollar el análisis y evaluación de riesgos
para la determinación del NIS (SIL) objetivo del SIS. En caso de que se cuente vigente por un período de 5
años el análisis y evaluación de riesgos de la instalación, éste debe ser proporcionado al proveedor o
contratista, para actualizarlo o complementarlo.
9.2 Proveedores o contratistas
Cumplir como mínimo los requerimientos especificados en esta norma de referencia.
Considerar dentro del organigrama del personal especialista designado para ejecutar los trabajos materia de un
determinado contrato para ejecución de obra pública y dentro del cual se contemple la aplicación de esta norma
de referencia, a un responsable técnico con experiencia previa en trabajos similares. Las firmas de ingeniería
y/o contratistas se comprometan a mantener durante el desarrollo de los trabajos y hasta su entrega final a un
responsable técnico con la finalidad de garantizar la correcta ejecución de los trabajos en estricto apego a los
lineamientos marcados por la norma de referencia y a los requerimientos de PEMEX.
Es responsable de la calidad final de los trabajos, materiales y servicios, ya sean proporcionados por él mismo o
por sus propios proveedores y/o subcontratistas.
Toda la documentación y registros que se generen en los trabajos que competen a esta norma de referencia,
antes y durante el desarrollo de la construcción y/o ingeniería (procedimientos, planos, bitácoras, diagramas,
memorias, estudios, correspondencia, entre otros), se deben entregar a PEMEX en idioma español y conforme
a la NOM-008-SCFI-2002 (se puede poner entre paréntesis otro idioma o sistema de medidas). Asimismo dicha
entrega se debe realizar por medios electrónicos e impresos, según los requerimientos de la licitación, y debe
estar validada con sello y rúbrica del responsable de la compañía, proveedor o contratista, fabricante o el que
corresponda.
Adicionalmente a lo establecido en esta norma de referencia se debe cumplir y documentar en pruebas FAT y
OSAT a PEMEX lo estipulado en el Manual de seguridad “Safety manual” del equipo según la aplicación.
Cumplir lo estipulado en el artículo 67 de la Ley de Obras Públicas y Servicios Relacionados con las Mismas.
10 CONCORDANCIA CON NORMAS MEXICANAS O INTERNACIONALES
Esta norma de referencia tiene una concordancia parcial de aproximadamente 65 por ciento con la internacional
IEC 61511 en el momento de su elaboración.
11 BIBLIOGRAFÍA
11.1 ANSI/ISA-84.00.01-2004 Part 1 (IEC 61511-1 Mod) Functional Safety: Safety Instrumented Systems
for the Process Industry Sector - Part 1: Framework, Definitions, System, Hardware and Software Requirements
(Seguridad funcional: Sistemas Instrumentados de Seguridad para el Sector de la industria de proceso - Parte
1: Marco, definiciones, sistema, requisitos del equipo y programas).
for the Process Industry Sector - Part 2: Guidelines for the Application of ANSI/ISA-84.00.01-2004 Part 1 (IEC
61511-1 Mod) – Informative (Seguridad funcional: Sistemas Instrumentados de Seguridad para el Sector de la
industria de proceso - Parte 2: Guías para la aplicación del ANSI/ISA-84.00.01-2004 Parte 1 (IEC 61511-1 Mod)
–Informativa).
for the Process Industry Sector - Part 3: Guidance for the Determination of the Required Safety Integrity Levels –
Informative (Seguridad funcional: Sistemas Instrumentados de Seguridad para el Sector de la industria de
proceso - Parte 3: Guías para la determinación de los niveles de integridad de seguridad requeridos –
Informativa.
11.4 ANSI/ISA-TR96.05.01-2008 Partial Stroke Testing of Automated Block Valves (Pruebas de carrera
parcial para válvulas de bloqueo automatizadas).
11.5 API RP 552 1994 Transmission Systems. (Sistemas de transmisión).
11.6 ISA-5.2-1976 (R 1992) Binary logic diagrams for process operations (Diagramas lógicos binarios para
operaciones de procesos).
11.7 ISA-TR84.00.02-2002 - Part 2 Safety Instrumented Functions (SIF) - Safety Integrity Level (SIL)
Evaluation Techniques Part 2: Determining the SIL of a SIF via Simplified Equations. (Funcíon Instrumentada de
Seguridad (FIS) – Nivel de Integridad de Seguridad (NIS) Técnicas de evaluación parte 2: Determinación del
NIS de una FIS vía Ecuaciones Simplificadas).
Evaluation Techniques Part 3: Determining the SIL of a SIF via Fault Tree Analysis. (Funcíon Instrumentada de
NIS de una FIS vía Análisis de Árbol de Fallas).
Evaluation Techniques Part 4: Determining the SIL of a SIF via Markov Analysis. (Funcíon Instrumentada de
NIS de una FIS vía Análisis de Markov).
11.10 P.1.0000.09:2005 Embalaje y marcado de equipos y materiales.
11.11 P.2.0401.02:2005 Simbología e identificación de instrumentos.
12 ANEXOS
12.1 Formato de matriz lógica de causa y efecto del SIS


NRF 045 Pemex 20101

Diunggah oleh

Informasi Dokumen

Deskripsi Asli:

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

NRF 045 Pemex 20101

Diunggah oleh

Hak Cipta:

Format Tersedia

NRF-045-PEMEX-2010

COMITÉ DE NORMALIZACIÓN DE PETRÓLEOS MEXICANOS

SEGURIDAD FUNCIONAL – SISTEMAS

3 CAMPO DE APLICACIÓN ..................................................................................................................5

7 SÍMBOLOS Y ABREVIATURAS ..................................................................................................... 14

Este documento normativo se realizó en atención y cumplimiento a:

Ley Federal sobre Metrología y Normalización y su Reglamento

En esta norma participaron, por parte de Pemex:

Pemex-Exploración y Producción (PEP)

Por parte externa:

INSTITUTO MEXICANO DEL PETRÓLEO

Para el caso de los siguientes sistemas se deben tomar en cuenta:

Esta norma de referencia es de aplicación general y de observancia obligatoria en la contratación o adquisición

5.6 IEC 61131-3:2003 Programmable controllers - Part 3 Programming languages (Controladores

5.8 IEC 61508-1:1998 Functional safety of electrical/electronic/programmable electronic safety-related

5.9 IEC 61508-2:2000 Functional safety of electrical/electronic/programmable electronic safety-related

5.10 IEC 61508-3:1998 Functional safety of electrical/electronic/programmable electronic safety-related

5.11 IEC 61508-4:1998 Functional safety of electrical/electronic/programmable electronic safety-related

5.12 IEC 61508-5:1998 Functional safety of electrical/electronic/programmable electronic safety-related

5.13 IEC 61508-6:2000 Functional safety of electrical/electronic/programmable electronic safety-related

5.14 IEC 61508-7:2000 Functional safety of electrical/electronic/programmable electronic safety-related

5.18 IEC TR 61508-0:2005 Functional Safety of electrical/electronic/programmable electronic safety-related

5.19 NOM-001-SEDE-2005 Instalaciones Eléctricas (Utilización)

5.20 NOM-008-SCFI-2002 Sistema general de unidades de medida

5.21 NRF-018-PEMEX-2007 Estudios de riesgo

5.22 NRF-036-PEMEX-2003 Clasificación de Áreas Peligrosas y Selección de Equipo Eléctrico

5.23 NRF-049-PEMEX-2006 Inspección de bienes y servicios

5.24 NRF-111-PEMEX-2006 Equipos de Medición y Servicios de Metrología

5.25 NRF-152-PEMEX-2006 Actuadores para válvulas

5.26 NRF-204-PEMEX-2008 Válvulas de bloqueo de emergencia (válvulas de aislamiento de activación

6.11 Complejidad. Un indicador del número de grados de libertad al cometer errores.

6.19 Desmantelamiento. La remoción completa de un SIS de su servicio activo.

6.20 Desmantelamiento parcial. Es un caso particular de modificación, el cual consiste en la remoción de

6.22 Disparos en falso. Activación de cualquier Función Instrumentada de Seguridad-FIS (SIF)

6.26 Eléctrico/Electrónico/Electrónico Programable-E/E/EP. Basado en tecnología eléctrica (E) y/o

6.27 Electrónica Programable-EP. Componentes electrónicos o dispositivos que forman parte de un

6.32 Especificación de Requisitos de Seguridad-ERS. La que contiene los requisitos de seguridad

6.52 Intervalo de prueba. Intervalo de tiempo entre pruebas funcionales.

6.61 Peligro. Fuente potencial de daño.

6.78 Seguridad. Libre de un riesgo inaceptable.

6.85 Sistema Instrumentado de Seguridad-SIS. Es un sistema compuesto por sensores, resolvedores

ACP Análisis de Capas de Protección

ANSI American National Standards Institute (Instituto de Estándares Nacionales Americanos)

BMS Burner Management System (Sistemas de Control de Quemado)

CNPMOS Comité de Normalización de Petróleos Mexicanos y Organismos Subsidiarios

E/E/EP Eléctrico/Electrónico/Electrónico Programable

EMC Electromagnetic compatibility (CEM Compatibilidad electromagnética)

FAT Factory Acceptance Test (Pruebas de Aceptación en Fábrica)

FPL Limited Variability Language (LFP Lenguaje Fijo de Programación)

FRR Factor de Reducción de Riesgo

FVL Full Variabilty Language (LVC Lenguaje de Variabilidad Completa)

HFT Hardware Fault Tolerance (TFE Tolerancia a Fallos en Equipo)

HMI Human Machine Interface (IHM Interfase Humano Maquina)

IEC International Electrotechnical Commission (Comisión Electrotécnica Internacional)

I/O Input/Output [E/S Entrada(s)/Salida(s)]

ISA International Society of Automation (Sociedad Internacional de Automatización)

LVL Limited Variability Language (Lenguaje de Variabilidad Limitada)

MTTF Mean Time To Failure (Tiempo Medio de Falla)

MTTR Mean Time To Repair (Tiempo Medio de Reparación)

OREDA Offshore Reliability Data (Datos de Confiabilidad Costa fuera)

OSAT On Site Acceptance Test (Pruebas de Aceptación en Sitio)

PEMEX Petróleos Mexicanos y Organismos Subsidiarios