AB-IYO-ED-09-221-01 PLC Enclavv de Seguridad PDF

Tipo de normativa: ESPECIFICACIÓN DE DISEÑO
Ámbito de aplicación: E&P YPF

Propietario: INGENIERÍA Y OBRAS
Título: ED(EP)-I-02.02 SISTEMA DE Código: AB-IYO-ED-09-221-01 Revisión: 01
ENCLAVAMIENTO CON PLC DE
SEGURIDAD Página 1 de 31
ÍNDICE
1. GENERAL ........................................................................................................................................... 3
1.1. Objeto y alcance .................................................................................................................................. 3
1.2. Abreviaturas y Normas aplicadas ......................................................................................................... 4
2. CARACTERISTICAS GENERALES ..................................................................................................... 5

2.1. Generalidades de las normas IEC 61508 / 61511 ................................................................................ 5
2.2. Aplicación de las normas IEC 61508 / 61511 ....................................................................................... 7
2.3. Elementos de un SE acorde a las normas IEC 61508 / 61511.............................................................. 8
3. MODULOS DE INTERFAZ CON EL PROCESO................................................................................... 9

3.1. Armarios de Control ............................................................................................................................. 9
3.2. Fuentes de Alimentación.................................................................................................................... 12
3.3. Controladores .................................................................................................................................... 13
3.4. Sistema de Entradas y Salidas........................................................................................................... 14
3.5. Entradas Analógicas .......................................................................................................................... 16
3.6. Entradas Digitales.............................................................................................................................. 16
3.7. Salidas Digitales ................................................................................................................................ 17
4. MODULOS DE INTERFAZ CON EL OPERADOR .............................................................................. 17

4.1. Generalidades ................................................................................................................................... 17
4.2. Estaciones de Operación ................................................................................................................... 18
4.3. Estaciones de Operación remotas ..................................................................................................... 18
4.4. Estación de Ingeniería o Programación del PLC ................................................................................ 18
4.5. Impresoras......................................................................................................................................... 19
5. SISTEMAS DE COMUNICACIONES.................................................................................................. 20
6. OTROS MODULOS ........................................................................................................................... 21

6.1. Timer Clock - Sincronización.............................................................................................................. 21
6.2. Interfaz con otros sistemas ................................................................................................................ 21
7. ALIMENTACIONES ELECTRICAS..................................................................................................... 21
7.1. Generalidades ................................................................................................................................... 21
7.2. Fallo eléctrico .................................................................................................................................... 22
7.3. Tierra del Sistema.............................................................................................................................. 23
8. CRITERIOS DE REDUNDANCIA ....................................................................................................... 23
9. CRITERIOS DE RESERVAS ............................................................................................................. 23
10. DESCRIPCION FUNCIONAL ............................................................................................................. 23

10.1. Generalidades ................................................................................................................................... 23
10.2. Funciones Básicas............................................................................................................................. 24
10.3. Sistema de Alarmas........................................................................................................................... 24
11. DOCUMENTACION ........................................................................................................................... 27

11.1. Generalidades ................................................................................................................................... 27
RUIZ BRICEÑO, CORINA COLO DEL ZOTTO,

MARÍA CARLOS AGUSTIN
11 08 09
Validación Aprobación Validación Aprobación D M A

E&P YPF Fecha
SI ESTE DOCUMENTO ESTÁ IMPRESO, ES UNA COPIA NO CONTROLADA
11.2. Documentación de la Ingeniería de Detalle ........................................................................................ 27

11.3. Documentación del Proveedor ........................................................................................................... 28
12. PRUEBAS DE ACEPTACION DEL SISTEMA .................................................................................... 29

12.1. Pruebas de Aceptación en Fábrica (Pruebas FAT)............................................................................. 29
12.2. Pruebas de Aceptación en Campo (Pruebas SAT) ............................................................................. 30
13. SUMINISTRO DE PLC DE SEGURIDAD ........................................................................................... 30

13.1. Modalidades de compra..................................................................................................................... 30
13.2. Preparación para envío, embalaje y marcado .................................................................................... 31
14. FORMACION..................................................................................................................................... 31
15. REPUESTOS..................................................................................................................................... 31

11 08 09

E&P YPF Fecha
1. GENERAL
1.1. Objeto y alcance
1.1.1. La presente Especificación de Diseño (ED) aplica exclusivamente cuando se utiliza un PLC de
Seguridad como operador lógico de un Sistema de Enclavamientos, tanto en Instalaciones de
Superficie (E&P) de YPF nuevas como existentes.
1.1.2. Esta ED continua la filosofía expresada en el ítem VI “Disposiciones Generales y transitorias” de la

norma SCOR N-15 “Gestión de los sistemas instrumentados de seguridad (SIS)”, respecto de:
• Cronograma de aplicación de la normativa

• Implementación progresiva de las diversas etapas del ciclo de vida de los SIS (ver Tabla I, SCOR N-15)
• Riesgo de referencia (ver ítem 2 y Anexo C de la SCOR N-15)
• Normas internas referenciadas (ver Fig.2, SCOR N-15)
• Normas IEC 61508 y 61511.
1.1.3. El presente documento es una adenda de la Especificación ED(EP)-I-02.00 “Generalidades de un

Sistema de Enclavamientos” y por lo tanto debe entenderse como complementario de esta última.
1.1.4. Para todo lo que explícitamente no se trate en esta Especificación, será de aplicación lo dicho en la
Especificación general ED(EP)-I-02.00.
1.1.5. El presente documento forma parte de la última edición de las Especificaciones Técnicas de YPF y
hace referencia, así mismo, a la última edición de las Normas y Códigos citados y/o aplicables.
1.1.6. Este documento se complementa en cada proyecto con una Especificación Particular, compuesta por
los siguientes documentos:
• Los Datos Básicos de Diseño (en lo sucesivo DBD) emitidos para el mismo y que recoge los
aspectos particulares del mismo.
• Especificación Funcional del SE específico de la planta: Define los criterios a emplear en la
configuración y programación del Sistema.
• Los típicos de Entradas / Salidas, Descripción Funcional, Diagramas Causa Efecto, Diagramas
Lógicos de Enclavamientos correspondientes.
• Los documentos de Ingeniería (Lista de entradas /salidas con datos de configuración, formación de
multicables, etc.).
1.1.7. En caso de discrepancia entre los documentos de una Requisición, prevalecerá el siguiente orden de
prioridad:
• Legislación aplicable.(siempre y cuando en las Hojas de Datos, en la Requisición o en esta

Especificación de Diseño salvo en los puntos expresamente aprobados por YPF)
• Hoja de Datos y Documentación de Ingeniería.
• Requisición de Materiales.
• Esta Especificación de Diseño.
• En caso de existir reformas en Unidades existentes, la Especificación Funcional del SE de la
Planta.
1.1.8. Se tendrá en cuenta que la Especificación particular y la Requisición de Compra no deben entrar en

11 08 09

E&P YPF Fecha
conflicto con esta Especificación de Diseño salvo en los puntos expresamente aprobados por YPF.
1.1.9. Las excepciones o modificaciones a la presente Especificación que el Vendedor considere hacer
deberán ser incluidas por escrito en la oferta.
1.1.10.Todas las excepciones se tratarán en un único documento donde se hará referencia al punto concreto
de esta ED objeto de la excepción así como a los motivos de la misma.
1.1.11.Sólo serán admitidas las desviaciones o excepciones a la Especificación que se reflejen explícitamente
en el pedido final para compra.
1.1.12.El cumplimiento de las reglas y recomendaciones de esta Especificación de Diseño no exime al

Fabricante de los equipos de ninguna de sus responsabilidades y garantías contractuales.
1.2. Abreviaturas y Normas aplicadas
CPU ................................... Unidad central de Proceso

CRT ................................... Pantalla de Tubo Catódico (Cathode Ray Tube)
DBD ................................... Datos Básicos de Diseño
DMR................................... Dual Module Redundant (Redundancia con Módulos Duplicados)
E/S ..................................... Entradas / Salidas
FAT .................................... Pruebas de aceptación en fábrica (Factory Acceptance Test)
IPL ..................................... Capas de Protección independientes (Independent Protection Layers)
LCD ................................... Pantalla de Cristal Líquido (Liquid Crystal Display)
OPC ................................... OLE (Object Linking and Embedding) for Process Control
PFDAVG............................... Probabilidad Media de Fallo bajo demanda (Probability Fail on Demand
Average)
PLC.................................... Controlador Lógico Programable.
RRF ................................... Factor de Reducción de Riesgo (Risk reduction Factor)
SAI…………………………...Sistema de Alimentación Ininterrumpida.
SAT.................................... Pruebas de aceptación en Planta (Site Acceptance Test)
SCADA .............................. Sistema de Control y Adquisición de datos.
SC / SCD ........................... Sistema de Control / Sistema de Control Distribuido.
SE ..................................... Sistema de Enclavamientos.
SIF. .................................... Función Instrumentada de Seguridad (Safety Instrumented Function)
SIL ..................................... Nivel de Integridad de Seguridad (Safety Integrity Level)
SIS ..................................... Sistema Instrumentado de Seguridad (Safety Instrumented System)
TFT .................................... Transistor de Película delgada (Thin Film Transistor).
TMR ................................... Triple Module Redundant (Redundancia con Módulos Triplicados)
Normas externas aplicadas
IEC 61508 Functional safety of electrical/electronic/programmable safety-related systems.

IEC 61511 Functional safety - Safety instrumented systems for the process industry sector.
IEC 61131-3 Programmable Controllers. Programming Languages.
IEC 61000 Electromagnetic Compatibility.
ISA 18.1 Annunciator Sequences and Specifications – Formerly.
CENELEC EN 60617 Graphical Symbols for Diagrams.

11 08 09

E&P YPF Fecha
Normas internas
ED(EP)-I-01.01 Software de control supervisor y adquisición de datos (SCADA)

ED(EP)-I-02.00 Generalidades de un sistema de enclavamientos
ED(EP)-I-04.03 Sistemas instrumentados de seguridad. Procedimiento de aceptación en planta pruebas
y validación
ED(EP)-J-13.00 Conexionado eléctrico de instrumentos.
SCOR 12 Análisis de riesgos en proyectos nuevos y en modificaciones.

SCOR 15 Gestión de sistemas instrumentados de seguridad.
2. CARACTERISTICAS GENERALES
2.1. Generalidades de las normas IEC 61508 / 61511
2.1.1. Dentro del ámbito de las normas IEC 61508 / 61511 se definen las Capas de Protección Independientes
(Independent Protection Layers: IPL) como las salvaguardias utilizadas para mitigar el riesgo del
proceso. Las IPL difieren de la visión tradicional en que deben cumplir con los siguientes criterios:
• Específica: una IPL es capaz de detectar y prevenir o mitigar las consecuencias de eventos
potencialmente peligrosos como “runaway”, fugas o explosiones.
• Independiente: una IPL es independiente de todas las otras capas de protección asociadas con la
identificación de un evento peligroso. La independencia requiere que su comportamiento no este
afectado por el fallo de otra capa de protección, o por las condiciones que causan que otra capa de
protección falle. La capa de protección debe ser también independiente de la causa de iniciación.
• Fiable: La protección proporcionada por la IPL reduce el riesgo especificado en una cantidad
conocida y especificada.
• Auditable: La IPL está diseñado para permitir validación periódica de la función de protección.
El propósito de estos criterios es asegurar que cada IPL puede proporcionar una reducción del riesgo
mensurable y predecible. La reducción del riesgo, debe ser de al menos un orden de magnitud para
alcanzar el estatus de IPL.
2.1.2. Una vez conocidos los riesgos de una Planta, debe realizarse el análisis de IPL para establecer la
reducción de riesgo requerida para cada IPL. Para realizar dicho análisis, se identifican los eventos
peligrosos y se determinan sus potenciales causas y consecuencias. A continuación se evalúan las IPL
utilizadas para prevenir o mitigar cada evento peligroso y se asigna a cada una de ellas los objetivos de
Reducción de Riesgo basado en su diseño específico. El análisis IPL no está completo hasta que el
riesgo residual se ha reducido hasta un nivel tolerable.
2.1.3. Los SE constituyen una IPL. Dentro del ámbito de la norma IEC 61508 / 61511 reciben la
denominación de SIS (Sistemas Instrumentados de Seguridad). Un SIS se define como aquel Sistema
instrumentado utilizado para mitigar los riesgos del proceso relacionados con incidentes catastróficos.
Incluye por lo tanto, los instrumentos, el operador lógico (relés, PLC, etc.), los actuadores (válvulas,
variadores, etc.), las alimentaciones (aire, energía eléctrica, etc.) y todo tipo de accesorios y periféricos.
2.1.4. El conjunto formado por los instrumentos, el operador lógico, los actuadores, las alimentaciones y
accesorios para mitigar un determinado riesgo se denominan Función Instrumentada de Seguridad
(SIF). Para cada SIF es obligatorio calcular el Factor de Reducción de Riesgo (RRF) que se
correlaciona directamente con el SIL requerido.
2.1.5. A la hora de diseñar cada SIF se deberá tener en cuenta el SIL requerido para establecer los requisitos

11 08 09

E&P YPF Fecha
de tolerancia a fallo, tasas de fallos de equipos, intervalos de mantenimiento, etc.
2.1.6. El rendimiento o la disponibilidad de un SIS se define en función del PFDavg (Probabilidad media de fallo
bajo demanda). En la tabla siguiente se indica la correlación entre SIL, Disponibilidad, PFDavg, y RRF.
Safety Integrity Disponibilidad requerida Probabilidad de fallo bajo RRF: Reducción del riesgo
Level (SIL) demanda (PFDavg) (1/PFD)
4 > 99,99% E-005 a E-004 10.000 a 100.000
3 99,90 – 99,99% E-004 a E-003 1.000 a 10.000
2 99,00 – 99,90% E-003 a E-002 100 a 1.000
1 90,00 – 99,00% E-002 a E-001 10 a 100
2.1.7. Hay diversos factores que afectan dicho rendimiento, aunque no siempre es posible actuar sobre
dichos factores por la filosofía de operación de la planta. Lo importante es ajustar estos factores para
conseguir la mejor combinación posible que nos permita alcanzar el SIL requerido. Los factores más
importantes son los siguientes:
2.1.8. Tasa de fallos (Failure Rate: FR). Es un índice del número de fallos por hora [1/hora]. Se define como la
inversa de MTTF (Mean Time To Failure / Tiempo Medio Para Fallo) expresado en horas.
 1  1
FR   =
 hora  8760  hora  * MTTF [año]
 año 
 
Donde MTTF es el tiempo esperado para que el sistema dé un fallo. Este dato se obtiene de valores
experimentales, dividiendo el número de fallos entre el número de unidades en servicio.
FR es el parámetro que más incide en el PFDavg. Pero en la práctica es difícil de cambiar, ya que implica
sustituir el equipo por otro de menor tasa de fallos o mejorar las condiciones ambientales si está sujeto a
estrés de algún tipo (ambiente corrosivo, altas temperaturas, alta humedad, etc.).
2.1.9. Fracción de fallo seguro (Fraction Safe Failure: FSF). Los fallos se pueden catalogar según dos
criterios: si son detectables o no; y si conducen al sistema a una situación segura o peligrosa.
DETECTABLE (D) INDETECTABLE (U)

SITUACIÓN SEGURA (S) SD SU
SITUACIÓN PELIGROSA (D) DD DU
Se define FSF como la fracción de fallos que conducen a la planta a una situación segura frente a los
fallos totales:
FRSD + FRSU
FSF [%] =
FRSD + FRSU + FRDD + FRDU
Sobre este parámetro pueden tener impacto condiciones tales como acción a fallo de la válvula.

11 08 09

E&P YPF Fecha
2.1.10. Cobertura de los diagnósticos (Diagnostic Coverage: DC). La cobertura de los diagnósticos se
refiere a la fracción de fallos que pueden ser detectados o localizados y por lo tanto posibilitan la
reparación en el tiempo especificado.
Se define DCSAFE como la fracción de fallos detectables que conducen a la planta a una situación segura
frente a los fallos detectables totales que llevan la planta a una situación segura:
DC SAFE [%] =
FRSD
FRSD + FRSU
Se define DCDANGER como la fracción de fallos detectables que conducen a la planta a una situación
peligrosa frente a los fallos detectables totales que llevan la planta a una situación peligrosa:
DC DANGER [%] =
FR DD
FR DD + FR DU
El efecto sobre el rendimiento del sistema de seguridad es enorme.
2.1.11.Causa común (Common Cause: CC). Los fallos de un sistema pueden ser aleatorios o sistemáticos. La
probabilidad de que se den simultáneamente dos fallos aleatorios es muy baja. Pero ante fallos
sistemáticos puede ocurrir que exista una causa común que produzca la aparición de más de un fallo
simultáneamente. Por ejemplo el fallo del ventilador de un PLC puede provocar el fallo simultáneo de
varios canales.
Cuando las funciones de seguridad se diseñan del tipo tolerante a fallo, entonces este parámetro es el
que más influye en la determinación de PFDavg. La estimación de este parámetro es muy difícil (ver IEC
61508 Parte 6 Anexo D).
La causa común está relacionada con la diversidad y puede reducirse utilizando dispositivos diferentes o
de distinto Fabricante.
2.1.12.Tiempo medio para hacer las reparaciones (Mean Time To Repair: MTTR). Para los valores normales
de trabajo, este parámetro suele tener una influencia pequeña en PFDavg.
2.1.13.Intervalo de pruebas fuera de línea (Off-line Proof Test Interval: TI). Este parámetro suele tener una
influencia grande en PFDavg. Cuanto antes se detecte un fallo, antes se puede reparar. Si se disminuye
en un factor de 10 disminuye el PFDavg en la misma proporción.
El problema es que muchas veces no es posible reducir TI porque para realizar estos test puede ser
necesario parar la planta o una porción de ella.
2.2. Aplicación de las normas IEC 61508 / 61511
2.2.1. Los criterios que determinan el tipo de análisis de riesgos en cada proyecto nuevo o modificación
vienen expresados en la SCOR N-12 y SCOR 15. Cuando sea necesario realizar la actividad de
Análisis Cuantitativo de Riesgos (ACR) o cuando se realice un análisis Semicuantitativo de Riesgos, se
llevará a cabo simultáneamente el cálculo del Nivel de Integridad de Seguridad (SIL) de cada riesgo y
será obligatorio que el diseño del Sistema de Enclavamientos sea acorde con las normas IEC 61508 /
615111 (salvo indicación expresa en contra de YPF).
2.2.2. En estos casos, se deberá utilizar como Operador Lógico de un SE, un PLC de Seguridad. Se entiende
por PLC de Seguridad aquel Controlador Lógico Programable que está específicamente diseñado de
acuerdo a las normas DIN 19.250 y / o IEC 61.508 / 615111. Se trata, por lo tanto, de equipos con

11 08 09

E&P YPF Fecha
certificación AK y/o que estén considerados aptos para aplicaciones SIL 1-3.
2.2.3. Los PLC de Seguridad se caracterizan por proporcionar una alta disponibilidad de la Función de
Seguridad. En caso de fallo del sistema, garantizan la puesta a “cero lógico” de todas las salidas y por
lo tanto la parada de la Unidad de Proceso.
2.3. Elementos de un SE acorde a las normas IEC 61508 / 61511
2.3.1. Aunque la normativa de referencia es IEC 61508 / 61511, que se refiere a Sistemas Instrumentados de
Seguridad (SIS) en esta Especificación nos vamos a referir preferentemente a una parte de los SIS
denominada Operador Lógico (o Logic Solver) de la que forman parte los PLC de Seguridad.
2.3.2. Sin embargo, deberá tenerse en cuenta que la Ingeniería responsable del SE proporcionará para la
totalidad de la función (iniciador, operador lógico actuador, y todos los elementos involucrados)
a). En fases iníciales del Proyecto: el cálculo del SIL requerido para alcanzar la Reducción de Riesgo
especificada.
b). Como documentación final: el cálculo del SIL de cada SIF para comprobar que cumple con el SIL
requerido.
2.3.3. Los elementos del SE distintos del Operador Lógico, (principalmente instrumentos y actuadores) no
presentan requisitos específicos que difieran de lo indicado en la Especificación ED(EP)-I-02.00
“Generalidades del Sistema de Enclavamientos”. No obstante, teniendo en cuenta los factores citados
que afectan a los SIS, se pueden dar una serie de recomendaciones para aumentar, cuando así se
requiera, la disponibilidad de actuadores y detectores:
• Usar detectores y actuadores con una Tasa de fallos pequeña (especialmente aquellos
certificados para aplicaciones SIL1-3).
• Con el objetivo de no saturar al Mantenimiento, no se recomienda disminuir el Intervalo de

Prueba de los equipos por debajo de los doce meses. Pero para facilitar su labor, se
recomienda el uso de equipos que puedan probarse en marcha total o parcialmente.
Un ejemplo son las pruebas periódicas de agarrotamiento de actuadores (Partial Stroke Test).
Consisten en realizar movimientos parciales de la carrera del actuador para comprobar que no está
agarrotado. Dichas pruebas pueden ser manuales o automáticas.
• Duplicidad de detectores y actuadores.
• Diversidad: usar instrumentos diferentes para detectar el mismo riesgo:
c). Usar instrumentos de distintos Fabricantes.
d). Usar instrumentos que utilicen distintos principios de medida.
e). Usar instrumentos que midan distintas variables capaces de detectar el mismo riesgo.
• Utilizar equipos con una alta cobertura de diagnósticos. Esto implica lo siguiente:
f). Utilizar preferentemente transmisores en vez de switches (presostatos, levostatos, termostatos,

etc.).

11 08 09

E&P YPF Fecha
g). Utilizar preferentemente equipos inteligentes capaces de comunicar su estado mediante un

protocolo digital (preferiblemente HART).
h). Utilizar sistemas con detección de apertura del circuito.
• Para aumentar la fracción de fallos seguros (FSF) se deberá estudiar:
i). El efecto del fallo de señal a las válvulas.
j). El estado normal de los switches (abiertos o cerrados), etc.
• Para disminuir los fallos debidos a Causa Común se tomarán las siguientes medidas:
k). Duplicar las alimentaciones.
l). No compartir tomas de instrumentos (al menos entre instrumentos del mismo SE).
m). Las señales de instrumentos que detecten el mismo riesgo, se conectarán a tarjetas diferentes
ubicadas en bastidores (racks) diferentes (con alimentaciones distintas).
2.3.4. Los límites del PLC de Seguridad serán por una parte las borneras de entrada al sistema de todas las
señales de proceso y parámetros que se especifiquen, sean de carácter analógico o discreto, y todas
las salidas a válvulas u otros elementos finales de enclavamiento y mando. Por otra parte, los límites
también los constituyen los elementos de interfaz con el Operador o Consola de Operación (pantallas,
teclados, impresora, etc.) y los Módulos de interfaz con otros sistemas o periféricos. Dependiendo del
proyecto, la interfaz con el operador puede estar compartido con el Sistema de Control o ser
independiente para el Sistema de Enclavamientos.
2.3.5. La Arquitectura básica de un PLC de Seguridad del SE estará compuesta por:
• Módulos de interfaz con el proceso (Módulos de E/S) y control.

• Módulos de interfaz con el operador.
• Sistema de comunicaciones que una los bloques anteriores.
• Otros Módulos (por ejemplo de interfaz con sistemas externos).
3. MODULOS DE INTERFAZ CON EL PROCESO
3.1. Armarios de Control
3.1.1. Los armarios de Control se instalarán en zona segura (salvo indicación expresa en el documento DBD).
Inicialmente están destinados a ubicar los siguientes elementos de control e interconexión:
• Controladores.
• Fuentes de Alimentación y los correspondientes convertidores AC/DC.
• Tarjetas de E/S, tanto de tipo analógico como digital.
• Aisladores / separadores / relés cuando sean necesarios.
• Borneras de entradas.
• Equipos auxiliares: por ejemplo módulos o equipos para integración de vías de comunicaciones o
similar.
3.1.2. Estarán diseñados para trabajar en las siguientes condiciones ambientales:

11 08 09

E&P YPF Fecha
• Temperatura 5 a 45º C.
• Choque térmico máximo 1º C/min.
• Humedad relativa 20-90 % (no condensable).
•
3
Polvo 0.1 mg/m , 0 – 0.5 micrón.
3.1.3. Los armarios deben cumplir al menos con un IP-45 cuando se encuentren en Salas de Racks
acondicionadas. En el caso de E/S remotas en Campo o en Salas no acondicionadas, deberán ser IP-
55 y se validara en cada DBD.
3.1.4. La construcción de los armarios se realizará de acuerdo con el estándar del Fabricante, sin embargo,
deberán tenerse en cuenta los requisitos expuestos a continuación:
3.1.5. Los armarios estarán constituidos por diferentes módulos de tamaño estándar, no se permitirá unir más
de 5 módulos y en cualquier caso este número y dimensiones dependerá de la disponibilidad de
espacio para cada proyecto.
3.1.6. En salas de rack se recomienda la utilización de armarios con posibilidad de ingreso por la parte
delantera y trasera del mismo, las medidas de los mismos serán aprobadas por YPF. En caso de
tableros de montaje exterior se realizarán según ED(EP)-J-09.00; sus dimensiones, robustez, seguridad
serán especificadas en los DBD de cada Proyecto.
3.1.7. La entrada de cables se realizará por la parte inferior tanto en los montajes exteriores a través de
conduit, como en las salas de rack pero en este caso, a través del falso suelo existente, siempre que
sea posible.
3.1.8. Cada armario irá dotado de llave de cierre de seguridad. Se admiten puertas dobles. Con indicación de
puerta abierta en el respectivo SCADA. Todos los armarios llevarán una etiqueta identificativa en lugar
visible.
3.1.9. Si fuese necesario irán equipados con extractores de aire, (uno por módulo) dimensionados de acuerdo
con la cantidad de calor a disipar, generado por los equipos que vayan instalados dentro del armario.
De ser necesario de acuerdo a la zona geográfica se colocaran resistencias calefactoras dentro de los
tableros.
3.1.10.En la parte superior o techo existirá a disposición del servicio de mantenimiento de la planta una
lámpara con interruptor para iluminación del interior del armario.
3.1.11.En parte accesible existirá a disposición del servicio de mantenimiento de la planta una toma de
corriente del voltaje considerado estándar en la Instalación de Superficie (230 V 50 Hz, etc.).
3.1.12.Las alimentaciones a cada una de las fuentes, así como al ventilador instalado, las lámparas,
resistencias calefactoras y tomas de corriente, serán independientes unas de las otras.
3.1.13.Los armarios estarán diseñados de tal forma que puedan incorporar un sistema de detección de
humos.
3.1.14.La protección contra interferencias de radio y magnéticas, será de acuerdo con las Normas IEC 61000.
Los PLC de los SE tendrán independencia física y funcional del resto de los sistemas de
Instrumentación o Control.
3.1.15.Los armarios contenidos en las salas de rack estarán construidos en diferentes módulos siguiendo una
distribución racional en la que en una cara del modulo se ubiquen las regletas de borneras, en otra los
racks de E/S, en otro los separadores galvánicos y en otro CPU, fuentes de alimentación,
transformadores, etc. En los de montaje exterior se determinara en los DBD de acuerdo a las

11 08 09

E&P YPF Fecha
necesidades de cada proyecto.
3.1.16.La ubicación de los elementos arriba expuestos se hará siguiendo los siguientes criterios:
• Ordenación de controladores y tarjetas en concordancia con la distribución típica existente en

planta y los requisitos de redundancia exigidos, aprobados previamente por el cliente.
• Ubicación de las fuentes de alimentación teniendo en cuenta dimensiones, interferencias y
disipaciones.
• En el interior, todas las fuentes de calor (Ej.: transformadores, fuentes de alimentación) irán
instalados a en la parte superior de los armarios.
• Los interruptores y termomagnético estarán accesibles.
3.1.17.Cada sección de armarios estará provista de un terminal de tierra.
3.1.18.Se recomienda que los equipos y tarjetas electrónicas sean enchufables, para montar en rack,
diseñados de tal modo que puedan ser sustituidos en servicio.
3.1.19.Se requiere que exista una bornera frontera entre los módulos de E/S y los cables de campo. Esta
bornera frontera formará parte del armario que contenga el sistema pero estará físicamente separada
de la electrónica. En ningún caso las Entradas / Salidas podrán ir cableadas directamente a las tarjetas.
Todos los multicables de E/S se incorporarán al sistema a través de regletas de borneras simples con
la misma disposición y etiquetado del multicable correspondiente.
3.1.20.Cada entrada / salida tendrá a su disposición en el armario de interfaz 2 ó más borneras, según el tipo
de elemento para su conexión con los cables de campo. Todas las reservas del PLC estarán cableadas
e identificadas hasta las borneras fronteras.
3.1.21.Las borneras se agruparán de acuerdo a la composición de los multicables que lleguen al equipo. Las
regletas de borneras se identificarán igual que el multicable que reciben. Todos los pares/ternas de
reserva que vengan en los multicables se cablearán a borneras.
3.1.22.Las borneras irán identificadas por el lado de campo con el nombre de la señal y por el lado del sistema
con la dirección física dentro del sistema (nº de controlador, nº de módulo y nº de canal) o al menos
regleta y par.
3.1.23.En general, tanto para circuitos de seguridad intrínseca (borneras azules) como para los que no lo son
(borneras grises), se preverán los siguientes tipos de borneras:
a). Borneras fusibles individuales en los comunes de cada una de las salidas con tensión.
b). Borneras seccionables para el resto de los casos.
3.1.24.Las alimentaciones a electroválvulas se instalarán con interruptor termomagnético de intensidad

adecuada. Cuando el interruptor abarque varias electroválvulas, se podrán poner, además del
interruptor automático, previa aprobación de YPF, borneras seccionables con fusibles en cada una de
las electroválvulas.
3.1.25.Las borneras serán para montar sobre guía, inaflojables, en material no higroscópico y certificadas por
un organismo competente El perfil para borneras con relé de seguridad intrínseca (S.I.), se instalará
horizontalmente. Todas serán adecuadas para alojar, como mínimo, conductores de 2,5 mm2.
3.1.26.Todos los puentes entre borneras que sean necesarios se realizarán con barreta de interconexión.

11 08 09

E&P YPF Fecha
3.1.27.La sección del cableado a utilizar será de 0,5 mm2 como mínimo, para las señales a 24 V y 1,5 mm2
como mínimo para solenoides y alimentación eléctrica.
3.1.28.En caso de instalarse en los armarios del PLC tanto las borneras de interconexión con los equipos
eléctricos como los relés de salida, se agruparán por cuadros eléctricos y diferenciados del resto del
sistema de enclavamientos en una sección o compartimiento independiente en donde se alojarán con
la suficiente accesibilidad. Las entradas de Electricidad estarán en regleta independiente de las salidas.
3.1.29.Electricidad facilitará la sigla del servicio y cuadro eléctrico correspondiente a cada señal.
Instrumentación se responsabilizará de la interconexión con los cuadros eléctricos ejecutando la
adquisición de todos los cables de interconexión, realizando, con la colaboración de Electricidad, los
planos de interconexión según el ejemplo de la Hoja de Datos HD(EP)-J-1100.01
3.1.30.Cuando los elementos iniciadores estén localizados en zona clasificada, las entradas llevarán
elementos “asociados” de Seguridad intrínseca “EEx i” con separación galvánica. Se evitará, en el caso
de utilizar aisladores galvánicos con más de un canal, asociar al mismo aislador señales de distintos
Sistemas de Enclavamientos.
Los equipos de S.I. y sus regletas estarán separados de los demás, los cables irán por cablecanales
separados y las tapas de los cablecanales serán de color azul.
3.2. Fuentes de Alimentación
3.2.1. Las fuentes de Alimentación irán ubicadas en el interior de los armarios de control. Deberán cumplir los
siguientes requisitos
3.2.2. Tensión de entrada: 230/110 V y 50Hz (confirmar en cada caso la tensión estándar).
3.2.3. Tensión de salida: 230/110 V 50Hz ó 24 Vcc según lo determine el consumidor final.
3.2.4. Serán 100% redundantes cuando lo determinen los DBD, de acuerdo al SIL que surja del análisis de
riesgos.
3.2.5. Cuando lo determinen los DBD (de acuerdo al nivel SIL que surja del análisis de riesgos), tendrán doble
entrada de tensión de alimentación.
3.2.6. Estarán dotadas de protección por sobretensión ante sobrepicos de corriente en caso de alimentación
230 / 110 V, 50 Hz, tanto si están alimentadas desde corriente segura (SAI), como de NO segura.
3.2.7. La disposición física de las fuentes de alimentación tendrá en cuenta:
• Accesibilidad para tareas de mantenimiento

• Disipación de calor
• No interferencias
3.2.8. Serán del tipo cortocircuitables.
3.2.9. Dotadas de monitoreo de aviso en caso de sobrecalentamiento y fallo, tanto por un led local como por
alarma en la Interfaz del Operador.
3.2.10.Siempre que sea posible enchufables para montar en rack, diseñadas de tal modo que puedan ser
sustituidas en servicio.

11 08 09

E&P YPF Fecha
3.2.11.Las alimentaciones (24 Vcc) desde las fuentes de alimentación deberán estar cableadas de forma que
garanticen la doble alimentación a los diferentes componentes (CPU, tarjetas E/S, etc.)
3.2.12.Todo el equipo de control (controladores, tarjetas de E/S, aisladores, etc.) deberá ser alimentado por
dos fuentes distintas cuando el SIL definido luego del análisis de riesgo, así lo requiera.
3.2.13.Las fuentes deben garantizar una salida estable, incluso ante cambios en la tensión de alimentación de
± 15 % y cambios de temperatura de ± 10º C.
3.2.14.Queda prohibido alimentar los instrumentos de campo desde fuentes de otros sistemas (por ejemplo
desde el SCD).
3.3. Controladores
3.3.1. Los controladores irán ubicados en el interior de los armarios de control preferiblemente en zona segura
(salvo indicación expresa en el documento DBD). Deberán cumplir los siguientes requisitos
3.3.2. Todas las configuraciones con la certificación adecuada y/o aptas para el SIL requerido, son aceptables
siempre que además alcancen una disponibilidad del SE elevada
Hardware:
3.3.3. Serán enchufables para montar en rack, diseñados de tal modo que puedan ser sustituidos en servicio.
3.3.4. Estarán basados en microprocesadores de al menos 32 bits que podrán seguir actuando
autónomamente, incluso ante una interrupción en las comunicaciones con el resto de módulos del
sistema (tarjetas de E/S, interfaz del operador, módulos de interfaz con otros equipos, etc.).
3.3.5. La memoria de programa será de estado sólido y programable, sin necesidad de extraerla de la Unidad
Central. En caso de ser volátil (RAM), tendrá respaldo de baterías (mínimo 72 h. de autonomía). El
cambio de baterías, si la unidad está normalmente alimentada en ese momento, se podrá realizar sin
que afecte al funcionamiento normal del sistema.
3.3.6. El estado de la batería será indicado exteriormente mediante una alarma que indique baja carga de
batería y que permanecerá hasta que no se sustituya y llevará además un contacto para uso externo.
Se prefiere que, desde que se indique el desgaste de la batería, se disponga de al menos 30 días para
recambiar la misma sin peligro de borrado de la memoria, en caso de fallo de tensión.
3.3.7. En caso de fallo del sistema, las salidas llevarán a la planta a posición segura (disparo) y se avisará al
operador.
3.3.8. La configuración / interconexión entre controladores y fuentes de alimentación será aquella que permita
el mayor grado de redundancia que requiera el SIL establecido. Cada controlador deberá ser
alimentado al menos por dos fuentes de alimentación distintas.
3.3.9. La sincronización desde un Master Clock, será determinada en los DBD.
Software:
3.3.10.El software de aplicación residirá en memoria no volátil.
3.3.11.Dispondrá de una librería de acuerdo a IEC 61131-3

11 08 09

E&P YPF Fecha
3.3.12.Será posible configurar diferentes ciclos o tiempos de ejecución para cada una de las funciones.
3.3.13.El programa de aplicación podrá cargarse al controlador mientras esté en servicio, de tal forma que no
exista en ningún momento pérdida de adquisición de datos ni de seguridad del proceso. Además,
permitirá realizar cambios on-line en la configuración.
3.3.14.El software realizará autodiagnósticos y dispondrá de indicadores luminosos que muestren su estado
funcional. Estos diagnósticos también estarán disponibles en la interfaz de operación.
3.3.15.Permitirá realizar una simulación off-line de la aplicación.
3.4. Sistema de Entradas y Salidas
3.4.1. Las tarjetas de E/S se instalarán en chasis denominados bastidores o racks, en las salas de racks
(zona segura), en los mismos tipos de armarios que los módulos de control. También podrán ubicarse
alejados de ellos, ya sea en salas remotas o ubicados directamente en campo, dependiendo del
análisis de riesgos. En este caso, la instalación deberá cumplir los requisitos que obligue la
clasificación eléctrica del área y los DBD.
3.4.2. La utilización de racks de E/S alejados de la CPU (racks remotos) deberá limitarse en lo posible y
requerirá la autorización explícita de YPF. La comunicación entre dichos racks remotos y la CPU
deberá realizarse según lo requiera el análisis de riesgos y las normas IEC 61508, IEC 61511. Un
ejemplo típico son los racks remotos ubicados en la Sala de Control que incorporan las señales de
pulsadores y lámparas instalados en la Consola de Operación.
3.4.3. Serán dispositivos dotados de procesador.
3.4.4. Serán redundantes si así lo determina el análisis de riesgos. Todas las señales criticas para la
seguridad (SIL>=1) se cablearán a tarjetas de Seguridad o Seguras a Fallo (Fail Safe). En caso de fallo
van a posición de seguridad.
3.4.5. Las señales No críticas para la seguridad se podrán cablear a tarjetas estándar.
3.4.6. Como regla general, y según lo requiera el análisis de riesgos, serán redundantes aquellas señales que
produzcan disparos en procesos considerados críticos para las personas, el medio ambiente o la
producción.
3.4.7. La redundancia puede lograrse duplicando tarjetas o utilizando tarjetas cuya electrónica esté duplicada
o triplicada por canal.
3.4.8. Los elementos iniciadores podrán ser simples, duplicados o triplicados, dependiendo del SIL requerido.
a). Todas las señales simples que produzcan un disparo de seguridad, independientemente de su
procedencia, se cablearán a tarjetas de Seguridad redundantes.
b). Todas las señales de elementos duplicados o triplicados que produzcan un disparo de seguridad,
independientemente de su procedencia, podrán cablearse a tarjetas de Seguridad No
Redundantes, diferentes y ubicadas en bastidores (racks) diferentes.
3.4.9. Los elementos actuadores podrán ser simples o duplicados, dependiendo del SIL requerido.
a). Todas las acciones sobre un elemento simple asociadas a un disparo de seguridad, se cablearán
desde tarjetas de Seguridad redundantes.

11 08 09

E&P YPF Fecha
b). Todas las acciones sobre elementos duplicados asociadas a un disparo de seguridad, podrán
cablearse desde tarjetas de Seguridad No Redundantes, diferentes y ubicadas en bastidores
(racks) diferentes.
3.4.10.De ser necesario, el sistema dispondrá de tarjetas adecuadas para aquellas señales que requieran una
resolución de scan de al menos 1 milisegundo y estampado de tiempo en la propia tarjeta, con objeto
de conocer el orden en que se han producido determinados eventos.
3.4.11.Dotadas de monitoreo de aviso en caso de fallo, autochequeos e indicación de fallo de funcionamiento;

en particular: sensor fuera de servicio, señal en simulación, circuito abierto, cortocircuito y fallo de
alimentación eléctrica. Estos diagnósticos también estarán disponibles en la interfaz de operación.
3.4.12.La configuración / interconexión entre tarjetas y fuentes de alimentación será aquella que permita el
mayor grado de redundancia y satisfaga los requisitos surgidos del análisis de riesgos.
3.4.13.Siempre que sea posible, enchufables para montar en rack, diseñadas de tal modo que puedan ser
sustituidas en servicio y a prueba de cortocircuito.
3.4.14.Normalmente los Fabricantes disponen de tarjetas aisladas canal a canal; estas tarjetas deben
utilizarse cuando las señales están fuera de área clasificada, evitando que el fallo de una señal o canal
influya en el resto de señales. Las señales de Seguridad Intrínseca (SI) se conectarán mediante
aisladores galvánicos separados de las tarjetas.
3.4.15.Las señales procedentes de instrumentos alimentados externamente a más de 24 V, deben ir

separadas galvánicamente por aisladores individuales separados de las tarjetas.
3.4.16. Las señales de entrada se agruparán por tipos y procedencias:
a) Señales procedentes de planta: con o sin aislamiento galvánico (según se especifique).

b) Señales procedentes del SC y del frente de la Consola de Operación (pulsadores, conmutadores,
monitor de alarmas, etc.) mediante contacto libre de tensión sin aislamiento galvánico.
c) Señales procedentes de detectores de proximidad (finales de carrera, etc.) libres de tensión: con
aisladores galvánicos (excepto donde se indique lo contrario).
d) Señales procedentes de subestación eléctrica mediante contactos libres de tensión: sin aislamiento
galvánico.
3.4.17. Las señales de salida se agruparán por tipos y destinos.
a) Señales a lámparas / anunciador de alarma en paneles locales. Salvo excepciones definidas

durante la Ingeniería de Detalle, la salida será a 24 Vcc alimentadas desde el PLC.
b) Señales a electroválvulas, alimentadas a 220 Vca, 115 Vca, 110 V cc ó 24 Vcc según se indique en los
DBD.
c) Contactos libres de tensión para CCM a 230 Vca y 5 A mínimo (alimentados por otros).
d) Señales a lámparas de señalización o alarma, mediante contactos libre de tensión, alimentados
externamente a 24 Vcc.
e) Contactos libres de tensión para alarmas en el SC.
3.4.18.En todos los casos los circuitos de seguridad intrínseca estarán físicamente separados de los que no
lo son.
3.4.19.Funcionalidades asociadas a buses de campo. Salvo indicación expresa en el DBD, no se solicitarán

funcionalidades relativas a buses de campo en las señales de entradas y salidas (el protocolo HART no

11 08 09

E&P YPF Fecha
se considera un bus de campo)
3.4.20.Cuando los elementos iniciadores estén duplicados o triplicados y estén asociados a circuitos de
seguridad intrínseca, deberán ir cada uno a diferente tarjeta de separadores galvánicos.
3.4.21.En cualquier caso, en cada proyecto, antes de adoptar estos criterios como definitivos, requerirá la
aprobación de YPF.
3.5. Entradas Analógicas
3.5.1. La transmisión de señales analógicas al PLC será preferiblemente realizada en 4-20 mA, lineal
(respecto a la variable transmitida) y aislada.
3.5.2. Siempre que esté disponible, se incluirá además un protocolo digital como complemento a la señal 4-
20 mA, pero sólo para fines auxiliares (mantenimiento, medidas secundarias en transmisores
multivariables, etc.). Este protocolo será según se indique en los DBD del proyecto.
3.5.3. YPF indicará en los DBD, la manera en que la información asociada a la gestión inteligente del
instrumento llegue a la sala de control (por ejemplo mediante tarjetas aptas para protocolo HART de
manera que la información asociada llegue de conjuntamente con la señal 4-20 mA).
3.5.4. Todas las señales irán aisladas galvánicamente canal a canal, las señales de seguridad intrínseca
mediante aisladores separados de las tarjetas y el resto mediante tarjetas adecuadas.
3.5.5. Los aisladores galvánicos de nueva adquisición serán compatibles con el protocolo de comunicación
utilizado y certificados de acuerdo al SIL determinado en los estudios realizados, no filtrando ni
distorsionando la señal digital asociada al mismo.
3.5.6. Los aisladores galvánicos serán individuales y de un solo canal. Cada canal estará dotado de fusible
independiente o de un circuito de protección independiente.
3.5.7. Conversión A/D de al menos 12 bits + signo.
3.5.8. Tarjetas de entradas analógicas aptas para:
• Instrumentos a 2 hilos: alimentación del equipo desde tarjeta en 24 Vcc.

• Instrumentos a 4 hilos: alimentación del equipo desde fuente independiente.
3.5.9. Estarán dotadas de filtros de ruido.
3.6. Entradas Digitales
3.6.1. Los módulos de E/S tendrán pilotos (diodos luminosos LED, o similar) de indicación de estado de cada
E/S.
3.6.2. Todas las señales que lleguen de CCM, vendrán a través de relés con contactos libres de potencial.
3.6.3. Dichos relés tendrán la certificación adecuada al SIL requerido.
3.6.4. Las tarjetas de aislamiento galvánico podrán ser de doble canal. En este caso solo podrán conectarse
señales de la misma Función de Seguridad (con excepción de las señales de elementos duplicados).
3.6.5. Se usarán con entradas procedentes de contactos secos (libres de tensión) que serán interrogados

11 08 09

E&P YPF Fecha
desde el PLC a 24 Vcc generados por la propia tarjeta de entradas.
3.6.6. Deberán admitir también señales procedentes de sensores inductivos tipo NAMUR y entradas de
pulsos.
3.7. Salidas Digitales
3.7.1. Serán todas a 24 Vcc, directas en tensión o a través de relé de interposición con bobina de 24 Vcc. En
este último caso, los contactos de salida serán conmutados, con rating mínimo de 2 A @ 125 Vcc / 5 A
110 Vca, 230 Vca.
3.7.2. Tendrán siempre una de las tres configuraciones eléctricas siguientes:
3.7.3. Las salidas Tipo 1 y Tipo 2 se usarán para salidas activas (alimentadas desde el PLC) y la Tipo 3 para
salidas pasivas (las interrogadas por la tensión del equipo receptor de las mismas).
3.7.4. La salida Tipo 2 se usará siempre que se dé cualquiera de las circunstancias siguientes:
• Tensión del elemento actuado mayor de 24 Vcc.

• Potencia del elemento actuado superior al 75% de potencia nominal máxima del canal de salida a
24 Vcc.
• Distancia grande al elemento actuado que pueda causar una caída de tensión imposible de realizar
empleando 24 Vcc.
3.7.5. La tensión “V” de las salidas Tipo 2 es suministrada por el gabinete del PLC, ya sea en 24 Vcc desde
sus propias fuentes o bien en otra tensión desde un distribuidor interno de corriente.
3.7.6. Todos los relés de salida tendrán la certificación adecuada al SIL requerido.
4. MODULOS DE INTERFAZ CON EL OPERADOR
4.1. Generalidades
4.1.1. En cada proyecto, y según lo requerido por el análisis de riesgos, se indicará en el DBD, el tipo de
Interfaz con el Operador:
a). Estaciones compartidas con el Sistema de Control. Sólo admisible cuando la comunicación SC-SE
sea de solo lectura y cualquier falla en el SC no afectara el funcionamiento del SE
b). Estaciones independientes para el Sistema de Enclavamientos con SCADA según ED(EP)-I-01.01
4.1.2. En el caso de Estaciones compartidas, lo que se hace es comunicar el SE con el SC mediante un

sistema de comunicaciones adecuado a los requisitos del estudio de seguridad y visualizar los puntos
del SE como si fueran elementos del SC. En este caso es imperativo tener un sistema que permita
discriminar tanto las alarmas de Primer defecto, como la asignación correcta de datado (Time stamp) a

11 08 09

E&P YPF Fecha
todos los eventos del SE.
4.1.3. Las estaciones independientes se tratan a continuación. Se incluyen en este apartado tanto las
estaciones de Operación como las de Ingeniería o Programación del PLC. Ambos tipos de estaciones
se ubicarán en las denominadas Salas de Control o de Ingeniería / Mantenimiento (respectivamente).
Las condiciones ambientales en dichas Salas (temperatura, humedad, luminosidad, etc.) vendrán
determinadas por las normativas vigentes en cada momento sobre Seguridad e Higiene en el Trabajo.
Por tanto, la adaptación de las estaciones a dichas normas resulta imperativa.
4.2. Estaciones de Operación
4.2.1. Las Estaciones de Operación son manejadas por los operadores de planta para labores de
monitorización y supervisión de los enclavamientos de seguridad del proceso. Se agrupan en Consolas,
siendo cada Consola manejada por un único operador. Cada consola es un conjunto de entre 1 y 2
Estaciones de Operación.
4.2.2. El número de Estaciones por consola se definirá en cada proyecto en el documento DBD. Se admitirán
consolas de una única estación cuando en la misma sala se encuentren otras consolas desde las que
se pueda acceder a la monitorización y control de todo el sistema.
4.2.3. La alimentación no es necesario que sea redundante, pero si segura. Si hubiera varias estaciones en la
misma consola o en la misma sala, dichas estaciones se alimentarán desde dos SAI, de forma que la
mitad de las estaciones estén conectadas a cada SAI.
4.2.4. Para SCADA basados en tecnología Windows y/o Cliente-Servidor debe considerarse la existencia de
una de las siguientes opciones:
• SAI auxiliar para permitir el cierre ordenado de la estación, con autonomía suficiente para realizar
dicha tarea conectada a la alimentación segura. Existirá software destinado al cierre automático y
ordenado de las aplicaciones, así como del sistema operativo ante caídas de alimentación del
sistema y entrada en servicio de las SAI auxiliares.
• Transfer switch conectado a doble alimentación que garantice el suministro ininterrumpido de
alimentación a las estaciones de la consola.
4.2.5. Cada Estación de Operación contará con el equipamiento necesario de acuerdo al sistema
instalado/solicitado y a los requisitos surgidos del análisis de riesgos.
4.3. Estaciones de Operación remotas
4.3.1. En caso necesario (si así se indica en el DBD) se podrán instalar estaciones de operación remotas
individuales (de las mismas características que las anteriores) en:
a). Salas alejadas del cuarto de control, acondicionadas climáticamente y consideradas como zona
no clasificada. Dichas estaciones tendrán las mismas características que las estaciones de la consola
y además podrán ser configuradas sólo para visualización, inhibiéndose el mando.
b). Paneles locales en campo. Dichos equipos tendrán las mismas funcionalidades que los
anteriores, pero su clasificación eléctrica será adecuada para el entorno en el que se instale.
4.4. Estación de Ingeniería o Programación del PLC
4.4.1. Destinada a configuración de hardware y software del PLC.
4.4.2. Se recomienda utilizar una única estación para configurar todos los PLC del SE. Cada estación

11 08 09

E&P YPF Fecha
constará como mínimo con los requisitos solicitados para dicho sistema.
4.4.3. De manera eventual, la Estación de Ingeniería podrá utilizarse como estación de operación, sin que se
requieran tareas de configuración complejas ni licencias adicionales.
4.4.4. La Estación de Ingeniería permitirá realizar las siguientes funciones:
• Funciones de configuración.
• La pantalla de programación mostrará el estado en tiempo real de cualquier señal del sistema.
• Comprobación del funcionamiento de la lógica en tiempo real.
• Posibilidad de programar “en línea”, es decir, que se puedan realizar modificaciones en la lógica,
sin tener que parar el equipo y por lo tanto la Planta.
• Se podrán forzar (puentear) Entradas o Salidas con la Unidad de Programación, por personal
autorizado (ver IEC 61511).
• Compilación de los programas y carga de los mismos al sistema.
• Configuración de informes.
• Test y diagnósticos del sistema.
4.4.5. Dicha estación dispondrá del software y de todas las licencias necesarias para llevar a cabo las
funciones anteriores.
4.4.6. Se podrá realizar la programación con los lenguajes de programación que marca la norma IEC 61131-3
Programmable Controllers - Part 3: Programming Languages.
4.4.7. El Sistema dispondrá de funciones de seguridad certificadas para poder programar la parte de
seguridad de la aplicación.
4.4.8. Los contadores o temporizadores se deben hacer vía soft, formando parte integral de la programación
del PLC. Si hay temporizadores o contadores cuyo valor de consigna se ha de cambiar con frecuencia,
(por ejemplo mensual), se realizarán vía interfaz de operación (SCADA o estación de operación SC),
mediante pantalla protegida con clave de acceso.
4.4.9. Se deberá poder limitar, bajo llave y/o según los DBD la posibilidad de programación a personal no
autorizado.
4.4.10.Es imprescindible que la grabación de un programa “back up” no requiera detener la Unidad Central.
4.5. Impresoras
4.5.1. En cada consola existirán impresoras:
• Blanco y Negro Laser.

• Color (Laser o Chorro de tinta). Esta última puede ser compartida con otros sistemas.
4.5.2. Se utilizarán para las siguientes funciones:
• Volcados de pantalla.
• Impresión de sinópticos y overviews.
• Eventos del sistema y alarmas de proceso.
• Trabajos de Ingeniería.

11 08 09

E&P YPF Fecha
4.5.3. Las funciones de impresión podrán realizarse desde cualquier estación de la consola, aunque las
impresoras se conecten físicamente sólo a una de las estaciones o a un servidor.
5. SISTEMAS DE COMUNICACIONES
5.1.1. Los PLC correspondientes al SE de cada área de proceso de Planta deberán conectarse en una red
mediante un protocolo estándar comúnmente aceptado. El mal funcionamiento de dicha red no debe
afectar el sistema de seguridad.
5.1.2. A esta red es donde se debe conectar el SCADA de visualización o la conexión al SC (salvo que YPF
indique explícitamente lo contrario en el documento DBD).
5.1.3. El sistema de comunicaciones tendrá las siguientes características:
• Los cables de comunicaciones irán protegidos contra interferencias electromagnéticas y daños

mecánicos. YPF y el Proveedor verificarán para cada proyecto, las distancias y topología del
terreno y determinarán el modo más adecuado para realizar las comunicaciones.
• Serán de conexión y desconexión sencilla.
• La conexión de un nuevo elemento no debe provocar interrupción en las comunicaciones.
• En general será redundante cuando lo determine el nivel de seguridad .
• El sistema realizará autochequeos del estado de las comunicaciones tanto de la vía principal como
de la de reserva, indicando su estado tanto con indicadores luminosos como a través de la interfaz
de operación.
• Existirá conmutación automática ante fallo de una línea de comunicación, de tal forma que no
exista en ningún momento pérdida de adquisición de datos ni la necesidad de intervención del
operador de sala. También dispondrá de un sistema de conmutación manual de la vía principal a la
de reserva para prueba y/o reparación.
• La velocidad de transmisión será superior a los 10 Mbits/segundo y tendrá capacidad de gestionar
al menos 10.000 tags.
• Protocolo de comunicaciones adecuado para conexiones será determinado por los DBD y será
ampliamente aceptado en el entorno industrial.
• Topología tipo BUS.
• Medio de transporte. Como mínimo par trenzado, fibra óptica o el que determine los DBD.
• Cantidad mínima de nodos de conexión a la red, 32.
• Opcionalmente se considerará como muy ventajoso, que el equipo pueda disponer de conexión
directa Ethernet, TCP/IP y OPC.
5.1.4. La gestión de la comunicación podrá ser:
• Master-slave (maestro / esclavo), donde un nodo gestiona las comunicaciones.

• Peer-to-peer, donde todos los nodos tienen el mismo acceso ya sea en configuración tipo CSMA /
CD (Carrier Sense Multiple Access / Collision detection) o token-passing (paso de testigo).
5.1.5. El Proveedor del PLC, debe indicar en su oferta todas las particularidades de su equipo relacionadas
con el sistema de comunicaciones, para aprobación de YPF.
5.1.6. El Proveedor del PLC del SE deberá indicar con el mayor detalle posible las características mecánicas,
eléctricas y recomendaciones de instalación de los cables de comunicación.
5.1.7. La Ingeniería decidirá en que pedido incluir los medios de comunicación entre distintos sistemas.

11 08 09

E&P YPF Fecha
6. OTROS MODULOS
6.1. Timer Clock - Sincronización
6.1.1. La sincronización de todos los equipos implicados en el control y seguridades de la planta se realizará
desde un Master Clock con resolución de 1 milisegundo. Dicho Master Clock parte del SC o externo
(GPS o similar).
6.2. Interfaz con otros sistemas
6.2.1. Mediante estos módulos el sistema podrá intercambiar datos tanto con los ordenadores externos del
sistema de información de la Unidad de Superficie, como con otros sistemas de control (ya sean tipo
SCD, tipo PLC o basados en PC), de medición de nivel de tanques, de control de máquinas, redes de
válvulas motorizadas, etc.
6.2.2. La comunicación se establecerá sobre las siguientes bases:
• Comunicación sólo para lectura del SE

• Certificada por el Proveedor, detallando, si es el caso, las excepciones o limitaciones del protocolo
utilizado.
6.2.3. La comunicación punto a punto se establecerá sobre las siguientes bases:
• Soporte físico: RS-232-C , RS-422 ó RS-485, Ethernet y los determinados por los DBD
• Protocolo de comunicaciones adecuado para conexiones será aprobado por YPF y ampliamente
aceptado en el entorno industrial
6.2.4. La redundancia de dicha comunicación dependerá de varios factores:
• Si la comunicación entre los sistemas es meramente informativa, podrá ser NO REDUNDANTE.

• Si la comunicación entre los sistemas es parte integral de los enclavamientos, deberá ser
REDUNDANTE.
• Cuando el SC es además la interfaz del operador al SE, deberá ser REDUNDANTE.
• De los requisitos surgidos del análisis de riesgos
7. ALIMENTACIONES ELECTRICAS
7.1. Generalidades
7.1.1. La alimentación a los elementos del PLC del SE será con corriente segura. La forma de lograr la
alimentación segura difiere en función de la Instalación de Superficie, debiendo verificarse en los DBD
la manera de implementar y mantener dicha alimentación según lo requerido por el análisis de
seguridad realizado.
7.1.2. Se proveerán termomagnéticas bipolares en cada línea.
7.1.3. La alimentación a los equipos será a través de transformadores de aislación con separación galvánica y
pantalla de Faraday.
7.1.4. La alimentación de 24Vcc serán suministrada por al menos dos fuentes de alimentación redundantes.
Todas las fuentes de alimentación tendrán un sistema de respaldo (back-up) de manera que el fallo de
una de ellas no afecte a la operación. Por medio de un relé de mínima tensión se detectará cuando hay

11 08 09

E&P YPF Fecha
un fallo en alguna de las fuentes.
7.1.5. La alimentación a equipos críticos se diseñará de tal forma que satisfaga lo requerido por el análisis de
seguridad realizado.
7.1.6. Los separadores galvánicos se alimentarán siempre a 24 Vcc y a través de una termomagnética para 8
unidades como máximo, agrupándose por equipos o zonas de riesgo.
7.1.7. La alimentación a electroválvulas será a través de termomagnéticas bipolares individuales para cada
solenoide. Previa autorización de YPF, se aceptarán alimentaciones a grupos de electroválvulas.
7.1.8. La protección a los comunes de entradas críticas para la seguridad, será por dos termomagnéticas
unipolares de 1 A por cada conjunto de señales agrupadas por equipos y para un máximo de 32
entradas, cerrando el circuito
7.1.9. La protección a los comunes de entradas NO críticas, será con una sola termomagnética, también
cerrando el lazo por cada grupo de señales de un equipo, una regleta o para un máximo de una tarjeta
(32 entradas).
7.1.10.Los comunes (negativo) salidas, señalizaciones, etc., se alimentarán con una termomagnética,
cerrando el lazo por cada grupo de señales de un equipo, regleta o tarjeta (máximo 32 salidas).
7.1.11.Se pondrá especial atención a si los aisladores de seguridad intrínseca utilizados requieren fuentes de
alimentación certificadas.
7.1.12.La alimentación del alumbrado del armario, tomas auxiliares, etc. se hará a través de circuitos
independientes de la alimentación al equipo de lógica y resto del sistema de enclavamientos, con
objeto de evitar posibles interferencias en el funcionamiento del sistema.
7.1.13.Los gabinetes con salidas a solenoides tendrán alimentación de corriente segura una por cada grupo o
unidad controlada (ver ED(EP)-J-13.04).
7.1.14.La alimentación a equipos auxiliares, tales como: fuentes de alimentación auxiliares, interfaz de
visualización, impresora, modem, etc. se alimentarán de SAI y si es posible, de diferente SAI del que
alimenta la CPU. Se protegerá siempre a través de termomagnético bipolares.
7.1.15.Durante el desarrollo de la Ingeniería, se desarrollará un esquema unifilar donde figure con claridad la
distribución de las alimentaciones, prestando especial atención a las agrupaciones que se realicen para
cada interruptor termomagnético. Esta documentación requerirá la aprobación de YPF.
7.1.16.El Proveedor entregará los cables de alimentación y los cables de señal de interconexión entre los
diversos equipos, aun cuando su uso sea esporádico (por ejemplo entre la Unidad Central y la Unidad
de Programación, etc.).
7.2. Fallo eléctrico
7.2.1. Se deberá especificar qué ocurriría en caso de fallo eléctrico, momentáneo o continuado, en cada parte
del sistema, ya sea por fallo de alimentación suministrada por YPF o en la alimentación final al equipo
(después de las baterías en caso de existir éstas).
7.2.2. Se deberán desglosar los pasos que habría que dar, y su duración, para volver a poner el sistema
totalmente en servicio cuando se restablezca la tensión.
7.2.3. Las baterías de apoyo (si existen) deberán llevar un sistema que detecte su mal funcionamiento previo

11 08 09

E&P YPF Fecha
a su entrada en servicio y que sea capaz de indicar su estado, tanto con indicadores luminosos como a
través de la interfaz de operación.
7.3. Tierra del Sistema
7.3.1. El Proveedor especificará claramente las necesidades y disposición de las tomas de tierra y red
equipotencial, desde los puntos de vista funcional, de seguridad intrínseca y de protección ante
descargas atmosféricas y sobre tensiones.
7.3.2. Se seguirán las especificaciones y recomendaciones del Proveedor en cuanto a apantallamiento, tomas
de tierra, etc.
8. CRITERIOS DE REDUNDANCIA
El criterio de redundancia será determinado para adecuar la instalación del SE al nivel de SIL
determinado en el estudio de seguridad. Se verificara este criterio en:
Módulos de control
Módulos de E/S
Consolas de operación
Sistemas de comunicación
9. CRITERIOS DE RESERVAS
9.1.1. Los gabinetes de E/S una vez finalizadas deberán disponer como mínimo de un 30 % de espacio de
reserva, para ubicación de futuros equipos y cableado.
9.1.2. Los controladores y sus memorias, utilizarán al final del proyecto y en ciclo de máxima ocupación,
menos del 70% de su capacidad.
9.1.3. Al final del proyecto y en recuento global de tarjetas y canales deberá de existir una disponibilidad de
reservas del 20%. El criterio de reparto entre los distintos armarios de control será el más equilibrado
posible.
9.1.4. Todas las reservas deberán ser configuradas y cablearse a las borneras fronteras
10. DESCRIPCION FUNCIONAL
10.1. Generalidades
10.1.1.El PLC estará provisto de un software de sistema de uso general y de un software de aplicación
especifico para cada proyecto.
10.1.2.Dentro del Software del sistema se considera:
• El sistema operativo.
• El sistema de autodiagnóstico.
• El sistema de configuración de la Red (nodos).
• El sistema de configuración de la interfaz con el proceso (controladores y E/S).
• El sistema de configuración del interfaz hombre – máquina, siempre que sea independiente al del
SCD.
• Configuración de los registros históricos de variables, eventos y alarmas.

11 08 09

E&P YPF Fecha
10.1.3. Software de aplicación.
• Configuración de la red de control.

• Configuración de la interfaz hombre-máquina (visualización).
• Programación del PLC, a través de la descripción funcional, diagramas lógicos, lista de entradas
/salidas, rangos, puntos de alarma y disparo, etc. Aportados por la Ingeniería.
10.2. Funciones Básicas
10.2.1.El PLC deberá tener las funciones y métodos de programación que marca la norma IEC 61131-3
Programmable Controllers - Part 3: Programming Languages.
10.3. Sistema de Alarmas
10.3.1.Una alarma es un aviso al operador de que debe tomar una acción en un periodo de tiempo
relativamente corto.
10.3.2.Las alarmas se centralizarán en las pantallas de enclavamientos.
10.3.3.Las alarmas serán activadas bien por Software del Sistema de Enclavamientos sobre las señales de
medida que llegan al mismo, procedentes de transmisores, o bien por interruptores (presostatos,
interruptores de nivel, etc.) de campo actuados por el propio proceso que llegan al Sistema de
Enclavamientos como señal discontinua, dando alarma.
10.3.4.Generalmente los contactos de campo estarán cerrados (excitados) en condiciones normales de

operación.
10.3.5.El sistema de detección de alarmas debe proporcionar un temprano aviso de que hay un problema que
requiere la intervención del operador mientras se minimizan las alarmas innecesarias o sin sentido.
Para conseguir esto se debe elegir el tipo de alarma más adecuado para cada parámetro. El sistema de
detección de alarmas de señales analógicas debe tener al menos las siguientes:
• Alarmas de valor absoluto: indica que el parámetro se ha acercado peligrosamente al límite.

• Alarmas de desviación: avisa de una discrepancia entre señales que deberían ser iguales.
• Alarmas de velocidad de cambio: generalmente nos dan el primer aviso de un problema, pero no
deben utilizarse en señales de alto ruido.
• A cada variable analógica se le podrán asignar como mínimo dos puntos o valores de disparo.
10.3.6.Únicamente se configurarán las alarmas que aparezcan en los P&ID o en la base de datos de la
Ingeniería.
10.3.7.Se valorarán especialmente otros mecanismos de detección de alarmas tales como:
• Alarma de receta: útil en procesos discontinuos donde se debe cambiar la prioridad o el umbral de
alarma, según el momento de la receta.
• Validación de alarmas por combinaciones o secuencias: la alarma solo se genera cuando se
cumple una combinación o secuencia de condiciones que indica la existencia de un problema.
• Rearme automático: si una alarma se ha silenciado pero continua activa durante un tiempo
predeterminado, vuelve a generar la señal audible.
• Modificación dinámica de alarmas: consiste en la modificación de los parámetros de las alarmas
(umbral, prioridad, banda-muerta, etc.) en función del modo de operación de la Planta.
• Alarmas adaptativas: consiste en el uso combinado de umbrales fijos y velocidad de cambio o

11 08 09

E&P YPF Fecha
desviación. Cuando nos encontramos lejos del umbral se relaja la velocidad de cambio o
desviación, a medida que nos acercamos se endurece la velocidad de cambio o desviación.
10.3.8.La prioridad de una alarma es la definición del grado de urgencia asociada a una alarma y por lo tanto
el orden en que el operador debe tomar la acción correctiva cuando hay varias alarmas simultáneas.
El grado de urgencia de una alarma depende de la severidad de las consecuencias y del tiempo
disponible y requerido para que se tome la acción correctiva y tenga el efecto deseado.
Existirán como mínimo tres niveles de prioridad de alarmas: baja, alta y emergencia. Además a cada
alarma de un mismo punto se podrá configurar independientemente un nivel de prioridad.
10.3.9.La señal audible debe dar la máxima información posible acerca de la prioridad de la alarma y el área
de la Planta afectada. Permite:
• Discriminación por prioridad: utilizando preferentemente el volumen y la intermitencia (alto volumen

e intermitencia rápida denota prioridad elevada).
• Discriminación del área: utilizando el tono preferentemente.
• El silenciamiento de la señal audible debe ser independiente del reconocimiento de la alarma.
• Se valorará además la existencia de señales luminosas en combinación con las audibles.
10.3.10. Todas las alarmas que intervengan en los sistemas de enclavamientos deberán generarse con
discriminación del 1er. defecto, según la norma ISA 18.1 secuencia F1A. El resto se generarán según
la secuencia A. Las alarmas serán enviadas a la impresora en el mismo orden en que han sido
detectadas en el PLC y recogiendo la hora, minuto, segundo y centésima de segundo en que han
ocurrido. El almacenamiento histórico de las alarmas producidas no podrá ser borrado. El PLC tendrá al
menos la capacidad de almacenar como mínimo los últimos 10.000 eventos.
10.3.11. El operador debe ser capaz de identificar rápidamente la causa del problema que ha producido la
alarma. Para ello el sistema de visualización debe proporcionar al menos los siguientes mecanismos:
• Lista de alarmas activas ordenadas por tiempo o por prioridad (seleccionable por operador). Dicho
listado constará al menos de la siguiente información básica: nombre, servicio, prioridad, tipo de
alarma, valor de la variable y hora en que se produjo. La información de este lista seguirá un código
de colores, intermitencias y luminosidades adecuado para discriminar las alarmas por su prioridad y
su estado de reconocimiento. Seleccionando la alarma activa debe poder irse a un esquemático,
grupo o detalle que nos de información de la situación.
• Presentación de alarmas en gráficos de operación mediante la aparición de iconos de alarmas,
cambios de colores, intermitencias, etc.
• Identificación de primer defecto dentro de un grupo de alarmas con discriminación de milisegundos
en la detección de las alarmas.
• Reconocimiento de alarmas individual, mediante una tecla de pantalla o del teclado de operación.
10.3.12. El operador debe acceder rápidamente al esquemático apropiado para tomar la acción correctiva.
Para permitir ello, el sistema de visualización debe tener las siguientes funciones:
• Teclas configurables que permitan ir directamente a un esquemático. Se valorará especialmente el

que dichas teclas tengan una indicación luminosa (o “led”) que se pueda asociar con la existencia
de alarmas o eventos de interés en dicho esquemático.
• La aparición en los esquemáticos de iconos que nos permitan la navegación a ventanas de ayuda o
gráficos específicos de operación.
10.3.13. Todas las modificaciones tanto en la configuración de alarmas como en su activación / desactivación
deben hacerse desde las pantallas de operación e Ingeniería. Pero teniendo en cuenta que los

11 08 09

E&P YPF Fecha
sistemas de alarmas deben tener:
• Acceso de seguridad: deben estar limitados con una clave o llave física, el acceso al cambio de los
parámetros de alarma, tales como umbrales, prioridad o simplemente la activación o desactivación.
• Ante cualquier cambio debe quedar grabado la fecha y hora, así como, quien lo realizo.
10.3.14. Monitorización de alarmas y acciones. En todo momento se debe permitir:
• Almacenar las alarmas (tag, prioridad, hora de aparición, hora de reconocimiento, hora de
desaparición).
• Identificación de alarmas inactivas o suprimidas.
• Identificación de alarmas continuas (que no desaparecen en un tiempo dado).
• Impresión de la información básica de la alarma (nombre, servicio, prioridad, tipo de alarma, valor
de la variable y hora en que se produjo), tanto en tiempo real como con datos historizados.
• Análisis de alarmas, post-eventos.
• Creación de una base de datos “viva” con todas las alarmas y todos sus parámetros.
10.3.15. En los cambios de estado en las Entradas y Salidas, las alarmas serán indicadas en pantalla e
impresora en una línea que contenga:
a) Fecha: días - mes - año

b) Hora: hora - minuto - segundo y centésima de segundo
c) Tipo de variación:
Alarma, reposo: para contactos en general
Cierre, apertura: para fines de carrera de válvulas
Paro, marcha: para fines de carrera de máquinas
Orden de cierre, O. de apertura: para salida a válvulas
Orden de paro, O. de marcha: para salida a motores
Normal vuelta a situación de normalidad
d) Identificación: sigla completa del instrumento.
e) Descripción: prever un mínimo de 40 caracteres.
Ejemplos:
17-5-83 11:30:27:35 ACTUACION 622-PSLL-025. ENTRADA F.G. HORNO F-1
17-5-83 11:30:28:52 O. CIERRE 622-PCV-025 ENTRADA F.G. HORNO F-1
17-5-83 11:30:33:87 CIERRE 622-PCV-025 F.G. HORNO F-1 (622-ZSL-025)
10.3.16. Se evitará hacer repeticiones innecesarias en la descripción (Ej.: PSLL-023 Baja presión...); así como
incluir en la descripción de un elemento iniciador información referente a elementos finales (Ej.: FSLL-
022 Paro del horno), en estos casos se pondrán dos mensajes, uno para el elemento inicial y otro
para el final.
10.3.17. En la sigla de los elementos actuadores de enclavamientos de utilizará la letra “S” (Ej.: PSL) en vez
de la “A” (Ej.: PAL) para que haya una mayor diferenciación con los Sistemas de Alarmas
convencionales.
10.3.18. La secuencia de aparición en pantalla / impresora de los mensajes será: primero la causa, luego el
efecto. En una parada de la planta se podrá seguir a posteriori paso a paso en qué orden se actuaron
los elementos iniciadores y finales. Para ello se requiere que el sistema sea capaz de conservar el
orden de aparición de, al menos 60 mensajes.

11 08 09

E&P YPF Fecha
11. DOCUMENTACION
11.1. Generalidades
11.1.1. Esta documentación debe adecuarse a las SCOR N-12 Y SCOR N-15
11.1.2. En la oferta, el Proveedor indicará el consumo total estimado y la máxima tolerancia admitida por su
equipo respecto a la alimentación suministrada por otros. En los ventiladores de refrigeración indicará
su tensión de alimentación y consumo. Asimismo especificará la disipación de calor, con objeto de
realizar el estudio del sistema de aire acondicionado.
11.1.3. Toda la documentación de carácter particular asociada al pedido, deberá haber sido previamente
aprobada por la Ingeniería responsable del Proyecto.
11.1.4. El idioma a utilizar para la ejecución de la misma será el Castellano (o en su defecto el Inglés previa
aprobación de YPF y donde no se pueda suministrar en castellano).
Preferentemente el soporte para entrega de documentación será del tipo informático.
11.2. Documentación de la Ingeniería de Detalle
11.2.1. Además de la Especificación del equipo propiamente dicha, la Ingeniería de Detalle deberá preparar
por escrito, una Descripción de los enclavamientos, y unos diagramas lógicos, completando la
documentación preparada por la Ingeniería Básica. Confeccionará un listado de mensajes para la
pantalla e impresora de operación y completará también los diagramas de cableado realizados por el
Proveedor.
11.2.2. La Ingeniería de Detalle definirá la información a comunicar entre distintos PLC y con otros equipos
como SCD, válvulas motorizadas, etc. Esta documentación estará disponible en las pruebas de
fábrica.
11.2.3. Asimismo proporcionará un listado de pulsadores, lámparas, selectores, etc., relacionados con el PLC
e instalados fuera del mismo con sus correspondientes leyendas para sus placas de identificación.
Deberá enviar al Proveedor del equipo la lista y composición de multicables en el plazo más corto
posible.
11.2.4. Durante la fase de Ingeniería de Detalle se confeccionarán asimismo, todos los Gráficos de los
Sistemas de Enclavamientos con los detalles necesarios para implementarlos en la Unidad de
Visualización, incluyendo códigos de colores a utilizar, texto de los elementos que figuran en cada
sinóptico, cambio de color en función del estado, etc. En general se respetarán los criterios y normas
de cada Planta.
11.2.5. En caso de existir alguna Unidad paquete, tal como compresor, bomba, etc. si los esquemas lógicos
emitidos por el Proveedor no tienen el formato basado en los Planos Estándar de YPF, la Ingeniería
será responsable de la conversión.
11.2.6. Se utilizará la simbología normalizada por CENELEC EN-60617 parte 12 (elementos lógicos binarios)
y parte 13 (operadores analógicos), suplementada por los símbolos incluidos en el plano PE(EP)-I-
0200.01, hoja 1.
11.2.7. La representación de la lógica estará basada en el ejemplo descrito en el plano PE(EP)-I-0200.01,

hoja 2 o 3.según se indique en el DBD del proyecto. La representación de contactos será a planta
parada (y vacía) y relés desenergizados.

11 08 09

E&P YPF Fecha
11.2.8. La Ingeniería de Detalle deberá preparar el documento de cálculo del PFDavg y el SIL para cada SIF
de acuerdo a lo indicado en las normas IEC 61508 / 61511.
11.3. Documentación del Proveedor
11.3.1. El Proveedor generará la siguiente documentación, que será suministrada en papel y formato
electrónico. La entrega de la misma se ajustará al planning de proyecto definido por el cliente.
11.3.2. Diagramas Lógicos
El Proveedor realizará los Diagramas Lógicos basados en la información (descripción funcional,

lógicos,...) aportados por la Ingeniería basándose en los Planos Estándar de YPF.
11.3.3. Programas
a) Listado completo del programa del PLC, basado en lenguaje de programación IEC 61.131-3.
Programmable Controllers - Part 3: Programming Languages
b) Listado detallado de referencias de programas utilizadas agrupado por entradas, salidas,
alarmas y referencias internas de programa en uso.
c) En caso de transmisión o recepción de datos del PLC con otros equipos y si estos van
empaquetados en registros, se adjuntará un listado completo de señales, descripción y sus
referencias. En el programa se dejarán referencias de reserva para futuras ampliaciones.
11.3.4. Descripción del hardware
• Diagramas de bloques generales de la estructura física e interconexión de los equipos que lo

componen.
• Planos de cableado e interconexiones entre equipos.
• Planos de cableado interno.
• Planos dimensionales.
• Esquemas de distribución de alimentaciones.
• Tierras requeridas.
• Bancadas requeridas.
• Dimensión y distribución de armarios.
11.3.5. Manual de instalación
Incluirá toda la información y planos necesarios para la instalación del Sistema, como por ejemplo,
instrucciones de conexión e indicaciones necesarias para su realización, interconexiones entre
equipos, etc.
11.3.6. Manual de Operación y mantenimiento
Incluirá los procedimientos de manejo y mantenimiento del Sistema de Enclavamientos, del software
y hardware del PLC a nivel de usuario u operador, manejo de la interfase gráfica de usuario, manejo
de by-pass de mantenimiento y operación, instrucciones para administrador del Sistema, revisiones
periódicas de los elementos y test, etc.
También incluirá manuales de operación de todos los paquetes de software incluidos en el PLC.
11.3.7. Documentación de elementos adquiridos a Terceros. Comprende la documentación estándar (la

proporcionada por el Fabricante) de equipos incluidos en el PLC.

11 08 09

E&P YPF Fecha
11.3.8. Procedimientos de pruebas
Contendrá el protocolo de pruebas de cada uno de los elementos que componen el Sistema de forma
individual, así como la descripción de las pruebas de integración del Sistema completo.
11.3.9. Certificados legales, donde se requieran.
11.3.10. Certificado completo del nivel SIL del equipo (incluyendo las limitaciones) e Informe del organismo
certificador.
11.3.11. Todos los datos de los equipos y materiales alcance de su suministro, necesarios para calcular el
PFDavg y el SIL para cada SIF de acuerdo a lo indicado en las normas IEC 61508 / 61511. (Tasas de
fallos, MTTR, MTTF, etc.).
11.3.12. Licencias a nombre del comprador de todo el Software necesario tanto para Operación como para
Programación
11.3.13. Documento descriptivo del proyecto en donde se detallan los medios empleados en la instalación de
acuerdo con los requisitos marcados por la directriz.
11.3.14. Documentación del software desarrollado
Incluirá el código fuente de toda la programación específicamente desarrollada por el Proveedor para
esta aplicación.
11.3.15. Con posterioridad a la puesta en marcha del Sistema, el Proveedor deberá revisar la documentación
que lo requiera con los datos finales.
La Ingeniería estudiará si se precisa cualquier otra documentación.
11.3.16. La Ingeniería y el Proveedor proporcionarán cualquier información que se precise para el montaje o
posibles modificaciones futuras en cableados o programación.
12. PRUEBAS DE ACEPTACION DEL SISTEMA
12.1. Pruebas de Aceptación en Fábrica (Pruebas FAT)
12.1.1. Las pruebas se harán siguiendo un manual de procedimientos redactado por el Proveedor y aprobado
por YPF. Verificarán la norma SCOR N-15 y consistirán en:
• Recuento de materiales y se comprobará, además de las dimensiones indicadas en los planos, la

funcionalidad desde el punto de vista de buen mantenimiento, disposición de borneras, tarjetas,
posibilidades de reparaciones (montaje, desmontaje), etc.
• Pruebas de Hardware
Incluye, aunque no está limitado a ellas, las pruebas de todas las E/S, tarjetas, fuentes de
alimentación, pantallas, comunicaciones, sistema de cableado, todos los periféricos existentes,
pruebas de la monitorización de línea de E/S e interfases con terceros. También se comprobará la
autonomía del equipo en ausencia de una alimentación, así como la redundancia del mismo.
• Pruebas de Software
Las pruebas de software serán hechas en todos los programas estándar: bases de datos, editor,
estado en caso de fallo, diagnóstico de errores, arranque automático después de fallo de energía,
alarmas, curvas, registros, etc.
• Pruebas de funcionamiento de los programas de aplicación.

11 08 09

E&P YPF Fecha
• Prueba de la base de datos de entradas y salidas: chequeo de rango, direcciones de E/S,

ajuste de alarmas, tratamiento de alarmas por pantalla.
• Pruebas de enclavamientos y programas: Se simularán todas las señales exteriores y se
comprobará que el programa basado en los Diagramas Lógicos cumple la funcionalidad
deseada.
• Gráficos de operación; Chequeo de los listados de alarmas y mensajes, de los puntos
representados en los gráficos y navegación entre gráficos.
• Inspección de la documentación.
12.1.2. Siempre que sea posible, las pruebas de comunicación con equipos de terceros se realizarán de
forma conjunta con presencia de los técnicos de ambos sistemas
12.1.3. Cuando la interfaz del SE sean las pantallas del SC, se deberán realizar obligatoriamente las pruebas
conjuntas de comunicación.
12.1.4. Las pruebas se realizarán, por parte de YPF, en los talleres del Proveedor, que entregara todos los
equipos y personal necesario para llevarlo a cabo (independientemente de que sean objeto o no de
esta Requisición).
12.1.5. Caso de que en la inspección se detecte algún defecto en los materiales, mecanización, ensamblaje,
etc., se procederá a la sustitución o reparación del equipo. Bajo ciertas circunstancias se podrá
rechazar toda la partida defectuosa.
12.1.6. Para el envío del equipo a planta será necesaria la aprobación del cliente final.
12.2. Pruebas de Aceptación en Campo (Pruebas SAT)
12.2.1. Después de superadas las pruebas de fábrica, el sistema será transportado a obra e instalado.
12.2.2. Se incluirá en el alcance del Proveedor, la supervisión de montaje y puesta en marcha por su
personal especializado, realizando la integración, verificación y validación según las normas ED(EP)-
I-04.03 “SIS. Procedimiento estándar de aceptación en planta, prueba y validación” y la SCOR N-15
“Ciclo de vida del SIS”. Es necesario que se indique el alcance de cada una de estas tareas, en
cuanto se refiere a tiempo de duración, personal, etc.
12.2.3. En ningún caso se considerará tiempo de puesta en marcha, la corrección de errores claramente
imputables al diseño o mal funcionamiento del Sistema, si esto llegara a ocurrir.
12.2.4. El Proveedor deberá comprobar el cableado interno del sistema, las comunicaciones entre módulos
del PLC, la alimentación del sistema, sistema de tierras y dará tensión.
12.2.5. Procederá a cargar la aplicación y verificar el estado de las comunicaciones.
12.2.6. Asimismo se encargará de la integración con equipos de terceros. En estas pruebas se requiere la
asistencia conjunta del Proveedor del PLC y de los proveedores de los equipos a comunicar.
12.2.7. El Proveedor demostrará la funcionalidad y operatividad del sistema.
13. SUMINISTRO DE PLC DE SEGURIDAD
13.1. Modalidades de compra
13.1.1. Bajo cualquier modalidad de compra, el Vendedor debe contar con una homologación por YPF para

11 08 09

E&P YPF Fecha
el producto considerado.
13.2. Preparación para envío, embalaje y marcado
13.2.1. Estarán de acuerdo con la Especificación general ED(EP)-B-01.00 de YPF.
14. FORMACION
14.1.1. Se definirá en los DBD si dentro del alcance del pedido se incluyen cursos de formación, reseñando
duración de los mismos, programa y lugar de celebración, aunque preferentemente estos cursos se
darán en la Instalación de Superficie donde se lleve adelante el proyecto.
15. REPUESTOS
15.1.1. Los repuestos necesarios para la puesta en marcha y operación durante dos años del equipo y
vendrán indicados en el formato estándar de YPF con precios unitarios para cada uno de ellos.

11 08 09

E&P YPF Fecha

AB-IYO-ED-09-221-01 PLC Enclavv de Seguridad PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

AB-IYO-ED-09-221-01 PLC Enclavv de Seguridad PDF

Uploaded by

Copyright:

Available Formats

Tipo de normativa: ESPECIFICACIÓN DE DISEÑO

Ámbito de aplicación: E&P YPF

2. CARACTERISTICAS GENERALES ..................................................................................................... 5

3. MODULOS DE INTERFAZ CON EL PROCESO................................................................................... 9

4. MODULOS DE INTERFAZ CON EL OPERADOR .............................................................................. 17

6. OTROS MODULOS ........................................................................................................................... 21

8. CRITERIOS DE REDUNDANCIA ....................................................................................................... 23

9. CRITERIOS DE RESERVAS ............................................................................................................. 23

10. DESCRIPCION FUNCIONAL ............................................................................................................. 23

11. DOCUMENTACION ........................................................................................................................... 27

RUIZ BRICEÑO, CORINA COLO DEL ZOTTO,

Validación Aprobación Validación Aprobación D M A

11.2. Documentación de la Ingeniería de Detalle ........................................................................................ 27

12. PRUEBAS DE ACEPTACION DEL SISTEMA .................................................................................... 29

13. SUMINISTRO DE PLC DE SEGURIDAD ........................................................................................... 30

RUIZ BRICEÑO, CORINA COLO DEL ZOTTO,

Validación Aprobación Validación Aprobación D M A

1.1. Objeto y alcance

1.1.2. Esta ED continua la filosofía expresada en el ítem VI “Disposiciones Generales y transitorias” de la

• Cronograma de aplicación de la normativa

1.1.3. El presente documento es una adenda de la Especificación ED(EP)-I-02.00 “Generalidades de un

• Legislación aplicable.(siempre y cuando en las Hojas de Datos, en la Requisición o en esta

RUIZ BRICEÑO, CORINA COLO DEL ZOTTO,

Validación Aprobación Validación Aprobación D M A

1.1.12.El cumplimiento de las reglas y recomendaciones de esta Especificación de Diseño no exime al

1.2. Abreviaturas y Normas aplicadas

CPU ................................... Unidad central de Proceso

Normas externas aplicadas

IEC 61508 Functional safety of electrical/electronic/programmable safety-related systems.

RUIZ BRICEÑO, CORINA COLO DEL ZOTTO,

Validación Aprobación Validación Aprobación D M A

ED(EP)-I-01.01 Software de control supervisor y adquisición de datos (SCADA)

SCOR 12 Análisis de riesgos en proyectos nuevos y en modificaciones.

2.1. Generalidades de las normas IEC 61508 / 61511

RUIZ BRICEÑO, CORINA COLO DEL ZOTTO,

Validación Aprobación Validación Aprobación D M A

de tolerancia a fallo, tasas de fallos de equipos, intervalos de mantenimiento, etc.

4 > 99,99% E-005 a E-004 10.000 a 100.000

3 99,90 – 99,99% E-004 a E-003 1.000 a 10.000

2 99,00 – 99,90% E-003 a E-002 100 a 1.000

1 90,00 – 99,00% E-002 a E-001 10 a 100

DETECTABLE (D) INDETECTABLE (U)

RUIZ BRICEÑO, CORINA COLO DEL ZOTTO,

Validación Aprobación Validación Aprobación D M A

El efecto sobre el rendimiento del sistema de seguridad es enorme.

2.2. Aplicación de las normas IEC 61508 / 61511

RUIZ BRICEÑO, CORINA COLO DEL ZOTTO,

Validación Aprobación Validación Aprobación D M A

2.3. Elementos de un SE acorde a las normas IEC 61508 / 61511

• Con el objetivo de no saturar al Mantenimiento, no se recomienda disminuir el Intervalo de

• Duplicidad de detectores y actuadores.

• Diversidad: usar instrumentos diferentes para detectar el mismo riesgo:

c). Usar instrumentos de distintos Fabricantes.

d). Usar instrumentos que utilicen distintos principios de medida.

f). Utilizar preferentemente transmisores en vez de switches (presostatos, levostatos, termostatos,

RUIZ BRICEÑO, CORINA COLO DEL ZOTTO,

Validación Aprobación Validación Aprobación D M A

g). Utilizar preferentemente equipos inteligentes capaces de comunicar su estado mediante un

h). Utilizar sistemas con detección de apertura del circuito.

• Para aumentar la fracción de fallos seguros (FSF) se deberá estudiar:

i). El efecto del fallo de señal a las válvulas.

j). El estado normal de los switches (abiertos o cerrados), etc.

k). Duplicar las alimentaciones.