Metodos Sil Objetivo PDF

Mtodos para l a determi naci n
del SI L obj eti vo

Preparado por: Victor Machiavelo Salinas
Numero de Reporte:25012010
Risk Software Altata 35 Col Condesa CP. 06100 Mexico DF. +5255-30965496 al 99 www,risksoftware.com.mx
Risk Software S.A de C.V.
Resumen ej ecuti vo
Objetivo
El objetivo del presente reporte es mostrar los diferentes mtodos que existen para determinacin del Nivel de Integridad de
Seguridad -NIL- (Safety Integrity Level -SIL-). Esta determinacin es un requerimiento establecido en el punto numero 4 en
el ciclo de vida de seguridad de la norma IEC-61508 y en el punto numero 2 en en ciclo de vida de seguridad de la norma
IEC-61511/ANSI-ISA-SP84-2004, el presente estudio esta basado en la Tesis doctoral desarrollada por Christopher A.
Larsen en la Universidad de Ciencias y Tecnologa Noruega (NTNU) presentada en Junio del 2008, y ha sido
complementada con la experiencia practica de quien prepara el presente trabajo.
Objetivo Particular
Como objetivo particular justicaremos en este reporte la necesidad de utilizar un mtodo Cuantitativo en la determinacin
del SIL Objetivo. En los ltimos aos se ha estado utilizando mtodos Cualitativos para la determinacin de los niveles de
integridad de seguridad en proyectos de alto riesgo y crticos para la produccin de energticos en Mexico. Si bien normas
internacionales sugieren que los mtodos cualitativos pueden ser utilizados para la determinacin del SIL Objetivo, no se ha
profundizado en las consecuencias al utilizar un mtodo poco analtico, por esta razn el siguiente reporte tiene como
objetivo demostrar la necesidad de utilizar un mtodo Cuantitativo y la implementacin de una metodologa basada en el
anlisis del proceso, del la peligrosidad de este y del nivel de riesgo basado en el desempeo de los sistemas de seguridad.
Metodologa
El reporte estar basado en el anlisis de las diferentes metodologa existentes para la determinacin del SIL Objetivo
recomendadas en diferentes normas y al nal presentaremos un caso real de la determinacin del SIL Objetivo y las
diferencias, pros y contras de los diferentes mtodos.
1) Mtodo Cuantitativo descrito en la norma IEC 61508
Este mtodo parte del establecimiento del nivel de riesgo tolerable aceptado por la organizacin, el cual esta basado en las
estrategias corporativas o legales de la empresa, pas o estado en el cual se encuentra la empresa que determinara el nivel
SIL Objetivo. Existen tres criterios para el establecimiento del nivel de riesgo tolerable, 1) Riesgo Individual, 2) Riesgo Social
y 3) Riesgo Corporativo (analizaremos a detalle los conceptos de riesgo tolerable en un siguiente reporte). Bsicamente el
riesgo tolerable es el numero de veces que una Funcin Instrumentada de Seguridad (SIF) puede fallar, tambin podemos
denirlo como de veces por ao que una consecuencia no deseada ocurre en el proceso. Generalmente se obtienen estos
valores de tablas o matrices que muestran la frecuencia de un evento y sus consecuencias. La matriz #1 muestra un
ejemplo de esta determinacin. Es comn encontrar diferentes matrices dependiendo del pas, compaa, tipo de industria,
criterios corporativos, la determinacin del nivel de riesgo tolerable requiere de un profundo conocimiento de los peligros y
riesgos en la industria y contar con grupos corporativos dedicados a jar los criterios de frecuencia y consecuencia, esto
depende directamente de la localizacin del proceso, la interaccin con la sociedad y ciudades y los materiales y productos
Mtodos en la Determinacin del SIL Objetivo 1
utilizados, desafortunadamente en Mexico no existe una legislacin ni un criterio corporativo que je los riesgos tolerables
para las empresas publicas y privadas, generalmente utilizamos criterios establecidos en normas o compaas extranjeras.
Frecuencia Consecuencia Consecuencia Consecuencia Consecuencia
Catastrco Critico Marginal Despreciable
Frecuente
I I I II
Probable
I I II III
Ocasional
I II III III
Remoto
II III III IV
Improbable
III III IV IV
Increble
IV IV IV IV
MATRIZ #1 CLASIFICACION DEL RIESGO DE ACUERDO A IEC 61508
El siguiente paso es la determinacin del riesgo del Equipo Bajo Control (EUC). El riesgo es una medida que utiliza la
probabilidad y la consecuencia. El riesgo para un equipo bajo control consiste en la medida de la consecuencia no deseada
y la relacin de demandas del sistema sin considerar medidas de proteccin. La forma de calcular este valor es por medio
de tcnicas cuantitativas como son los Anlisis de Arboles de Fallas (FTA) o los Diagramas de Bloques de Conabilidad
(RBD) (IEC 61508, 2003).
El paso nal es el calculo de la Reduccin de Riesgos Necesarios para cumplir con el riesgo tolerable. Este se obtiene al
dividir el numero de veces por ao que la Funcin Instrumentada de Seguridad (SIF) falla entre el numero de Demandas por
Ao. El resultado obtenido es el Numero Aceptable de Veces que la SIF puede Fallar por Ao que viene siendo la
Probabilidad de Falla sobre Demanda (PFD), el nivel SIL es jado de acuerdo a la matriz #2, y bajo los criterios de un
experto.
Nivel de Integridad de
Seguridad NIL (SIL)
Probabilidad de Falla Sobre
Demanda Promedio
(PFDave)
4
<=10
-5
a <10
-4
3
<=10
-4
a <10
-3
2
<=10
-2
a <10
-3
1
<=10
-1
a <10
-2
MATRIZ #2 NIVELES DE INTEGRIDAD DE SEGURIDAD
Si bien este mtodo utiliza clculos cuantitativos para la determinacin del riesgo del equipo bajo control, al nal la seleccin
del nivel SIL es un mtodo de aproximacin ya que se requiere de un buen juicio para seleccionar exactamente en que
rango se seleccionara el SIL.
2) Mtodo de Matriz de Riesgo
El mtodo de la matriz de riesgo o matriz de peligros es uno de los mas populares ya que es muy simple de utilizar, este
utiliza la frecuencia y la consecuencia para determinar cualitativamente el nivel SIL, jando una categora para cada relacin
existente en la matriz. La matriz #3 muestra esta relacin.
Menor
Fr
e-
cu
en
cia
Serio Extenso
SIL2 SIL3 SIL3
SIL1 SIL2 SIL3
NR SIL1 SIL3
Alta
Me-
dia
Baja
Consecuencia (Severidad)
MATRIZ #3 MATRIZ FRECUENCIA CONSECUENCIA
Las consecuencias pueden ser expresadas en trminos de perdidas humanas, econmicas, ambientales o de imagen a la
empresa, y la frecuencia puede ser expresada en trminos de la frecuencia en que se presenta el evento indeseable, alto,
mediano o bajo. El problema con las matrices de riesgo es que la seleccin del SIL Objetivo esta basada en trminos de
una evaluacin cualitativa, algunas empresas han calibrado sus matrices de acuerdo a su experiencia y tipo de aplicacin y
pueden proveer una gua rpida en la evaluacin del nivel SIL Objetivo, sin embargo dejar a criterio de personas la seleccin
del SIL Objetivo podra no ser una buena idea ya que pueden perderse de vista factores externos o experiencias externas en
procesos similares que puedan representar un potencial problema de presentarse combinaciones de eventos no previstas
por el analista, las matrices de frecuencia contra consecuencia son muy utilizadas en el anlisis de peligros y operacin
(HAZOP) el cual es un mtodo analtico cualitativo para la determinacin de los peligros en los procesos, tal vez por esta
razn se ha extendido el uso de matrices calibradas para la determinacin de los niveles de SIL Objetivo.
3) Mtodo de Matriz de Capas de Seguridad.
La matriz de capas de seguridad es una matriz de seguridad a la cual se le adicionan capas de proteccin (PL) la matriz #4
muestra un ejemplo de matriz con capas de seguridad. Una capa de seguridad (PL) de acuerdo a la IEC 61511es un grupo
de equipos y/o medidas administrativas de control que operan de forma conjunta con otras capas de proteccin para
mitigar los riesgos de proceso. Una capa de proteccin (PL) debe de disminuir los riesgos en un factor de al menos de 10 y
deber de cumplir con los requerimientos establecidos por la IEC 61511, 2003 que mostramos a continuacin:
Especcos: Una Capa de Proteccin deber estar diseada para prevenir o mitigar las consecuencias de un evento
potencialmente peligroso.
Independiente: Una Capa de Proteccin deber ser independiente de otras capas y no deber de tener una falla de causa
comn (CCF).
Conable: Una Capa de Proteccin deber actuar de acuerdo a la intencin de su diseo.
Auditable: Una Capa de Proteccin deber estar diseada para que pueda ser validada.
Un Sistema Instrumentado de Seguridad (SIS) es considerado como una capa de proteccin (IEC 61511. 2003).
a) Un solo SIL3 no provee del nivel de reduccin de riesgo requiere modicaciones
b) Un solo SIL3 podra no proporcionar el nivel de reduccin de riesgo requiere revisin
c) Probablemente no se requiere de un SIS
MATRIZ #4 MATRIZ CON CAPAS DE SEGURIDAD
La clasicacin de la frecuencia de los eventos peligrosos adaptada de la IEC 61511 se muestra en la tabla #1
Tipo de Evento Posibilidad/
Rango Cualitativo
Eventos como mltiples fallas en diversos instrumentos, vlvulas,
mltiples errores humanos en un ambiente libre de tensiones o fallas
en equipos de proceso.
Bajo
Eventos como fallas en instrumentos y vlvulas en redundancia, o
liberacin de productos en reas de carga y descarga de productos
Medio
Eventos como fugas en proceso, fallas de instrumentos y vlvulas
simples o errores humanos que generan una pequea liberacin de
productos.
Bajo
Los sistemas debern de estar de acuerdo a normas que indican que una funcin de control
debe de fallar con una frecuencia menor de 10 E-1 por ao
Los sistemas debern de estar de acuerdo a normas que indican que una funcin de control
debe de fallar con una frecuencia menor de 10 E-1 por ao
TABLA #1 FRECUENCIA DE UN EVENTO PELIGROSO DE ACUERDO A IEC 61511
4) Mtodo de Grcos de Riesgo
El mtodo de grcos de riesgo fue desarrollado con la publicacin de la norma Alemana DIN 19250 publicada en 1994, y
es un mtodo muy popular en la determinacin del nivel de SIL Objetivo. Este mtodo cualitativo basado en categoras.
Las categoras utilizadas son las consecuencias y frecuencias de un evento peligroso, pero tambin la probabilidad de que
una persona se encuentre en el rea afectada y la posibilidad de que esta pueda evadir el peligro. Mostramos en la gura #1
la representacin de un grco de riesgos, los parmetros de riesgo pueden ser tomados de la norma IEC 61511.
El parmetro de Consecuencias (C) describe el resultado probable del evento peligroso, y esta compuesto por cuatro
categoras, Ca es el valor menos severo y el rango de afectacin esta dado por la lesin de una persona, Cb representa
lesiones serias para una o varias lesiones, Cc representa muerte de varias personas y Cd fatalidad de mltiples personas.
El parmetro de tiempo de exposicin (F) nos indica la fraccin de tiempo que la persona expuesta al peligro se encuentra
en el rea del evento, Fb indica un riesgo mayor que Fa, y generalmente se selecciona Fa cuando el tiempo de ocupacin
es aproximadamente de 10% o menor.
La posibilidad de que el personal evite el peligro es incorporado en el parmetro (P). Este reeja los mtodos y logstica
implementados para que el personal pueda escapar del rea peligrosa, Pb representa un riesgo mayor que Pa, la norma IEC
61511 proporciona una lista de cumplimientos para que la posibilidad pueda ser tomada como Pa.
El parmetro nal es la relacin de demandas (W), la cual es la frecuencia por ao en que se presenta la consecuencia no
deseada sin la funcin instrumentada de seguridad (SIF). W1 indica una relacin de demandas es de 0.03 por ao. W2
indica entre 0.03-0.3 y W3 mas de 3 relaciones de demanda por ao.
Figura #1 GRAFICO DE RIESGO
En la gura #1 observamos el ujo de decisin que va de izquierda a derecha, los valores de SIL son sugeridos en esta
gura, cada empresa y cada aplicacin deber de revisar y ajustar el grco de riesgo de acuerdo a sus propios criterios,
esto resulta particularmente difcil dado que es un mtodo cualitativo y no seria extrao encontrar que las empresas tiendan
a relajar el nivel de integridad de seguridad SIL, es por esto que se recomienda que si se ha tomado la decisin de utilizar
grcos de riesgos estos sean calibrados.
5) Grcos de Riesgo Calibrados
El mtodo de Grco de Riesgo Calibrado es un mtodo Semi-Cuantitativo, y utiliza los mismos parmetros utilizados en el
grco de riesgos.
Calibracin signica asignar valores numricos a los parmetros. Esto permite una determinacin mas precisa del SIL
Objetivo y una toma de decisin mas objetiva. La calibracin depende de los valores que se tomen para el riesgo individual
y social, as como los criterios corporativos de las empresas y regulaciones estatales y de cada pas.
Los valores de consecuencias pueden ser cualicados como el numero de fatalidades, pero en muchas instancias una falla
no causa una fatalidad inmediata, lo cual nos hace introducir el concepto de Vulnerabilidad (V) que es una funcin de la
concentracin de peligro y la duracin a la exposicin. Multiplicando la vulnerabilidad por el numero de personas presentes
en el rea expuesta, la tabla #2 muestra los valores para un grco de riesgo calibrados donde se muestran los valores de
vulnerabilidad.
Parmetro de Riesgo Clasicacin
Consecuencias (C)
Numero de Fatalidades
Puede ser calculado como: Numero de personas presentes
cuando el rea expuesta a un peligro es ocupada. y la
Vulnerabilidad dado el peligro identicado:
V= 0.01 (Liberacin pequea cantidad de material txico o
explosivo)
V= 0.1 (Liberacin grande cantidad de material txico o
explosivo)
V= 0.5 (Idem al anterior pero con alta probabilidad de ignicin o
afectacin txica)
V= 1 (Ruptura o explosin)
Ca Dao Menor
Consecuencias (C)
explosivo)
explosivo)
afectacin txica)
Cb 0.01< No de Fatalidades < 0.1
Consecuencias (C)
explosivo)
explosivo)
afectacin txica)
Cc 0.1 < No de Fatalidades <1.0
Consecuencias (C)
explosivo)
explosivo)
afectacin txica)
Cd No de Fatalidades >1.0
Ocupacin (F)
Porcentaje del tiempo que el rea expuesta es ocupada durante
un periodo de tiempo normal de trabajo
Fa Ocupacin < 0.1 Ocupacin (F)
Porcentaje del tiempo que el rea expuesta es ocupada durante
un periodo de tiempo normal de trabajo Fb
Posibilidad de Evitar el Peligro (P) Pa El peligro puede ser prevenido por acciones
que el operador realiza, despus de que el
SIS ha fallado
Posibilidad de Evitar el Peligro (P)
Pb Si no hay acciones posibles.
Relacin de Demandas (W) W1 Relacin Demandas < 0.1 por ao Relacin de Demandas (W)
W2 0.1D <Relacin Demandas <10D por ao
Relacin de Demandas (W)
W3 Para Relacin de Demandas >10D
TABLA #2 EJEMPLO TOMADO DE IEC 61511 PARA LA CREACION DE GRAFICOS DE RIESGO CALIBRADOS.
Debemos tener en cuanta que la vulnerabilidad (V) y la posibilidad de evitar el peligro (P) son dos diferentes parmetros, V
tiene que ver con la escalacin y P tiene que ver con la prevencin del peligro por parte del operador (IEC 61511,2003).
De acuerdo a Marszal y Scharpf (2002) los Rangos Potenciales de Perdidas de Vida (PLL) tambin pueden ser utilizados
como una medida de las consecuencias. El valor de PLL es el numero esperado de fatalidades en una poblacin durante un
periodo de tiempo especico (NORSOK Z-013, 2003). Hacemos notar que que hay que tener cuidado cuando se toman los
valores de PLL como medida de consecuencia, por que este valor incorpora tanto la probabilidad como la consecuencia.
El parmetro F es generalmente una medicin de porcentaje del tiempo que el personal puede estar expuesto en el rea
peligrosa y Fa deber ser utilizada para valores menores de 0.1 (IEC 61511, 2003, Marszal y Scharpf, 2002).
Considerremos a Pa cuando todas las condiciones requeridas por la IEC 61511-3 se cumplan y Pb si no se cumplen.
El factor de demanda W es el numero de veces por ao que ocurre el evento peligroso en ausencia de las funciones
instrumentadas de seguridad SIF. D es un factor de calibracin que debe hacer que el resultado en el grco de riesgo se
mantenga en niveles de riesgo tolerable.
6) Comentarios a los Mtodos
Los cuarto mtodos discutidos con anterioridad son utilizados en la industria de forma frecuente, su seleccin y utilizacin
depende de varios factores y polticas de cada campaa, algunos puntos a considerar al seleccionar alguno de estos
mtodos son:
1. Se cuenta con polticas claras en la denicin del riesgo y peligro en los procesos.
2. Se cuenta con personal calicado para la determinacin de un evento utilizando herramientas com arboles de
falla y diagramas de conabilidad.
3. Se tiene identicado los riesgos tolerables para cada aplicacin e industria.
4. Las grcas de riesgo han sido desarrolladas para cada aplicacin y consideran las diferencias en los procesos, y
sus consecuencias.
5. Las matrices y los grcos de riesgo se han vericado con los datos reales de proceso.
6. Se desarrollo una metodologa clara y documentada para calibrar las matrices y grcos de riesgo.
7. Se cuenta con personal calicado (Certicado) para evaluar las matrices y grcos de riesgo, el personal tiene la
experiencia para utilizar mtodos que requieren el establecimiento de criterios en los procesos.
8. Se han desarrollado anlisis y/o simulaciones para identicar la frecuencia de los eventos o se utilizan valores
publicados en literatura.
9. Se han desarrollado anlisis y/o simulaciones para determinar las consecuencia o se utilizan valores publicados
en la literatura.
10. Se tiene una poltica clara y documentada respecto a que metodologa utilizar, que considere la aplicacin, el
proceso y la ubicacin de las instalaciones.
De no cumplirse con estos puntos se deber de optar por otras formas de obtener el SIL Objetivo de preferencia utilizando
mtodos cuantitativos/semi-cuantitativos que permitan obtener resultados conables minimizando juicios basados en
criterios personales. La tabla #3 muestra la informacin mnima requerida por cada uno de los cuatro mtodos de
determinacin de SIL Objetivo analizados.
Caractersti
cas
Cuantitativo
IEC 61608
Matriz
de
Riesgo
Grca de
Riesgo
Grca de
Riesgo
Calibrada
LOPA GRAFICA DE
RIESGO CON
CAPAS DE
PROTECCION
Cuantitativo X -- -- -- X X
Cualitativo -- X X -- X
Semi
Cuantitativo
-- -- -- X X
Riesgo
Tolerable
X -- -- -- X
Frecuencia
del Evento
X X X X X X
Caractersti
cas
Cuantitativo
IEC 61608
Matriz
de
Riesgo
Grca de
Riesgo
Grca de
Riesgo
Calibrada
LOPA GRAFICA DE
RIESGO CON
CAPAS DE
PROTECCION
Consecuenci
a del Evento
X X X X X X
Riesgo del
Equipo Bajo
Control
X -- -- -- X
Reduccin
del Riesgo
Residual
X -- -- -- X
Tiempo de
Exposicin al
Peligro
-- -- X X -- X
Posibilidad
de Evitar el
peligro
-- -- X X -- X
Relacin de
Demandas
-- -- X X X X
Vulnerabilida
d
-- -- -- X -- --
Requiere
mtodo
analtico FTA/
RBD
X -- -- -- X --
% Basado en
Clculos vs
Criterios
50/50 0/100 0/100 20/80 80/20 60/40
TABLA #3 REQUERIMIENTOS DE INFORMACION PARA CADA METODO
Como podemos observar en la tabla #3 solo el mtodo cuantitativo de la IEC 61508 toma en cuanta el riesgo tolerable, el
riesgo al cual esta sometido el equipo bajo control y la reduccin del riesgo. Los mtodos basados en matriz y grco de
riesgo parten de criterios establecidos por parmetros preestablecidos y no se enfocan en el calculo y determinacin de
frecuencias y consecuencias y condiciones dadas por el proceso, es por esta razn que de forma estricta no representan
una real practica de ingeniera en la determinacin del SIL Objetivo.
El uso de valores preestablecidos basados en criterios dados por las empresas o por los expertos siempre estarn sujetos a
la interpretacin, adicionalmente debemos tambin considerar las caractersticas de los procesos y la forma en que los
peligros y los riesgos se presentan en cada equipo, proceso e instalacin nunca son los mismos, tampoco deberan ser las
mismas las bases y criterios de la determinacin de las frecuencias y consecuencias de los eventos peligrosos. Resulta
tambin difcil de entender que se utilicen los mismos criterios para instalaciones localizadas en diferentes ubicaciones
geogrcas, y que ademas no se considere importante la determinacin del riesgo individual/social/corporativo.
La gura #2 nos presenta un modelo de decisin para la seleccin del SIL Objetivo,aqu se considera que los mtodos de
matriz de riesgos y grcos de riesgos son mas adecuados cuando se desea realizar una validacin o vericacin rpida de
las funciones instrumentadas de seguridad existentes o bien se encuentra en una fase de desarrollo de ingeniera bsica y
no se cuenta con toda la informacin para utilizar un mtodo cuantitativo mas detallado.
FIGURA #2 FLUJO PARA LA DETERMINACION DEL METODO SIL
Consideramos que la seguridad en los procesos industriales no debe estar basada en criterios sino en clculos detallados y
en la conrmacin de forma numrica que se esta cumpliendo con los requerimientos de seguridad deseados, es muy
importante aclarar que si la determinacin del SIL Objetivo es clara y sustentada, no solo nos ayudara a la determinacin del
SIL Proporcionado por el Sistema Instrumentado de Seguridad (SIS) tambin nos ayudara a determinar las reas peligrosas
del proceso y los elementos que pueden generar condiciones riesgosas, la gura #2 introduce una nueva metodologa
llamada LOPA (Layer Of Protections Analysis) Anlisis de Capas de Proteccin el cual es el mtodo cuando se desea
calcular el SIL Objetivo y compararlo con el SIL Proporcionado por el SIS y la ponderacin que otras funciones de seguridad
tienen en la reduccin del riesgo as como consideraciones operativas del proceso.
7) LOPA Anlisis de Capas de Proteccin.
La metodologa de LOPA fue introducida a principios de los aos 90s, y ha ganado popularidad en los ltimos aos como
tcnica para la determinacin del SIL. En la literatura encontramos que LOPA es referida como una tcnica de valoracin del
riesgo y como una herramienta de anlisis de riesgos. Otras aplicaciones que se han desarrollado entorno a LOPA son
como herramienta de planeacin de inversin, investigacin de accidentes y manejo de cambios.
De acuerdo a Marszal y Scharpf (2002) LOPA puede ser visto como un tipo especial de anlisis de arboles de eventos (ETA)
el cual tiene el propsito de determinar la frecuencia de una consecuencia indeseada, esto puede ser evitado por medio de
un juego de capas de proteccin. La aproximacin evala el peor escenario/caso, donde todas las capas de proteccin
deben de fallar para que se presente la consecuencia. La frecuencia de la consecuencia indeseada es calculada al
multiplicar la Probabilidad de Falla Sobre Demanda (PFD) de las diferentes capas de proteccin por la demanda del sistema
de proteccin (representada por la frecuencia). Comparando el resultado de la frecuencia de la consecuencia indeseada con
la frecuencia de riesgo tolerable se identica la reduccin de riesgo necesaria y el nivel de SIL apropiado puede ser
seleccionado (Marszal y Scharpf ,2002, CCPS, 2004).
LOPA es un mtodo semi-cuantitativo que utiliza categoras numricas para estimar los parmetros requeridos para calcular
la reduccin del riesgo necesario con ciertos criterios de aceptacin (CCPS, 2001). En una Valoracin Cuantitativa de
Riesgos (QRA) los modelos matemticos y la simulacin son frecuentemente utilizados para para estimar los daos o la
escalacion de estos, como son los anlisis de dispersin, modelos de sobre-presin en explosiones o fuegos. En adicin los
Arboles de Falla (FTA) y otros mtodos son utilizados para calcular la frecuencia del evento. En LOPA juicios simplicados,
tablas y referencias bibliogrcas son utilizadas para obtener los nmeros deseados, pero tambin es posible partir de los
valores simulados y calculados como en las valoraciones cuantitativas de riesgo, dando una mayor certeza a LOPA.
LOPA obtiene la informacin del anlisis de peligros y operacin (HAZOP) o de los estudios de identicacin de peligros
(HAZID) y puede ofrecer informacin para la creacin de estudios mas sosticados como QRA. La gura #2 muestra los
estudios tpicos de anlisis de riesgos dependiendo de la fase en la que se encuentra la evaluacin y muestra el evento/
accidente y la vinculacin que tiene con las causas y consecuencias. La utilizacin de los Arboles de Eventos como
herramienta en LOPA se encuentra mas enfocada en la determinacin y valoracin de las consecuencias y no tanto en las
causas pero tambin por su interaccin con el Hazop es normal situar la aplicacin de LOPA entre los anlisis del evento y
sus consecuencias.
LOPA utiliza el concepto de capas de proteccin como es mostrado en la Figura #4, donde se muestran las diferentes
capas de proteccin existentes y posibles en una instalacin industrial, debemos entender que para denir que puede ser
denido como capa de proteccin, su denicin, aplicacin y separacin con otras capas de proteccin debe quedar
claramente establecida, decimos que una salvaguarda pueda ser considerada como capa de proteccin cuando se
cumplen las cuatro primicias (Especico, Independiente, Conable, Auditable)
FIGURA #3 RELACION DE METODOS DE ANALISIS
LOPA utiliza el modelo de capas de proteccin y la efectividad de estas para la determinacin del SIL.
FIGURA #4 CAPAS DE PROTECCION
La metodologa de LOPA ha sido interpretada y desarrollada por varios autores y compaas de forma diferente, esto ha
conducido a diferencias en las deniciones y trminos utilizados, a continuacin explicaremos a detalle cada uno de los
trminos utilizados en LOPA as como la metodologa de esta, tambin es importante aclarar que se debe revisar a detalle
las deniciones y requerimientos para denir y aceptar cada una de las capas de proteccin mostradas en la Fig #4,
situacin que no abarcaremos en este trabajo y recomendamos revisar en el libro Layer of Protection Analysis publicado
en el 2001 por Center for Chemical Process Safety de AIChE, uno de los objetivos en esta seccin ser aclarar el
funcionamiento y aplicacin de LOPA, partiremos de las deniciones que se generan a partir de la Fig #5.
FIGURA #5 RELACION ENTRE LAS CAUSAS INICIALES, EVENTOS, DESVIACION DEL PROCESOS Y CAPAS
INDEPENDIENTES DE PROTECCION
Causa Inicial / Evento Inicial.
Las causas iniciales o eventos iniciales son las que generan una desviacin en el proceso, no nos referimos a las causas raz
bsicas. Las causas iniciales son resultado de las causas raz. El CCPS nos indica que hay tres clases de causas iniciales: 1)
Eventos Externos, 2) Fallas en los Equipos y 3) Fallas Humanas. Los eventos externos son huracanes, terremotos, y en
general factores externos fuera de control. Las fallas en los equipos estn dadas por fallas en los sistemas de control y
proteccin as como en las fallas mecnicas de los equipos en los procesos como compresores, bombas, vlvulas, etc. Las
fallas humanas pueden ser por errores en el desarrollo de la ingeniera y especicacin de los equipos, fallas por omisiones,
fallas en las pruebas de los sistemas, fallas en operacin y procedimientos de emergencia.
Desviaciones en el proceso.
De acuerdo a la norma NORSOK Z-013 (2001) un evento accidental es denido como Evento o cadena de eventos que
puede causar la perdida de la vida, daos a la salud o dao al medio ambiente. Otra denicin es La primera desviacin
signicante de una situacin normal que puede causar consecuencias indeseadas (Rausand y Hoyland,2004). En la norma
IEC 60300-3-9 (1995) se utiliza el termino evento peligroso en lugar de evento accidental. En los estudios de Hazop el
evento accidental es referido como desviacin del proceso.
Evento/Impacto.
La CCPS (2001) dene como impacto: El resultado ultimo potencial resultado de un evento peligroso. El termino Impacto
puede ser expresado como el numero de heridas o fatalidades, dao a la comunidad, instalacin o negocio. De acuerdo a
la IEC 61511 un Evento/Impacto es equivalente al termino Consecuencia utilizado en los estudios de Hazop. Esto implica
que el evento/impacto es una consecuencia indeseada de un evento peligroso o evento accidente referido como una
desviacin del proceso. Evento/Impacto es relacionado de forma cercana a una consecuencia indeseada, y la pregunta que
permanece es cual es el nivel que la consecuencia y el evento/impacto representan, ya que por ejemplo podemos tener
eventos/impactos intermedios y eventos/impactos nales. Por esto escojamos denir el termino evento/impacto como El
primer signo de dao en personas, ambiente e instalaciones.
Escenario.
De acuerdo a CCPS (2001) un escenario es descrito como un par nico causa-consecuencia dado por el Hazop. En la
terminologa de LOPA puede ser denido como un nico par causa-evento/impacto. Esto implica que el escenario consiste
en una relacin mayor que nicamente el evento/impacto y tambin es mucho mas que solo un resultado de una
consecuencia, en trminos concretos podemos denir al escenario como El desarrollo que tiene un evento desde la
desviacin en el procesos hasta el evento/impacto incluyendo las causas que generaron la desviacin del proceso.
Capas de Proteccin vs Capas Independientes de Proteccin.
El termino Capa de Proteccin fue denido en la IEC 61511 y como hemos mencionado debe de cumplir con las cuatro
caractersticas (Especico, Independiente, Conable, Auditable). Entonces encontramos que hay una diferencia entre la
denicin de que es una Capa de Proteccin (PL) y una Capa Independiente de Proteccin (IPL). De acuerdo a la IEC 61511
una IPL tiene las mismas caractersticas que una PL pero adicionalmente debe de proporcionar una reduccin en el riesgo
en un factor de 100 (Una PL proporciona 10) y tambin debe de proporcionar una disponibilidad de al menos 0.9. Esta
denicin puede parecer un poco confusa por lo que una denicin mas exacta puede ser nombrar a las PL como IPL y a
las IPL como IPL de Alta Integridad. La denicin que establece la CCPS (2001) para PL es: Dispositivo, Sistema o Accin
que es capas de prevenir una desviacin del proceso que pueda llevarlo a una consecuencia nal. Subsecuentemente una
IPL puede ser denida como: Una Capa de Proteccin PL, capas de prevenir una desviacin del proceso que pueda llevar
a una consecuencia nal independientemente de la accin de otra PL asociada al mismo evento/impacto y del par causa
consecuencia del evento inicial.
LOPA es un mtodo de determinacin del SIL que requiere de una metodologa para su implementacin, hay diferentes
variaciones a esta metodologa que se han desarrollado por compaas u organizaciones, pero en trminos generalas LOPA
es un mtodo que parte del par Causa-Consecuencia y evala las Capas Independientes de Proteccin necesarias para
reducir el riesgo inicial dado por la denicin de Riesgo Individual/Social/Corporativo a un riesgo aceptable.
La gura #6 nos muestra un diagrama de ujo detallado de los pasos requeridos por LOPA, como podemos observar LOPA
requiere de un esfuerzo mayor que otras tcnicas pero tambin nos proporciona mucha mas informacin del procesos y sus
riesgos y principalmente evita o disminuye radicalmente la utilizacin de criterios en la seleccin y determinacin del Nivel de
Integridad de Seguridad SIL Objetivo y del SIL que deber ser proporcionado por el SIS.
Datos
Sucien-
tes?
Generar y Documentar los
Datos (Hazop)
Trasformar los Datos
de
Hazop a LOPA
Seleccionar los
Eventos/Impactos
Desarrollar los Eventos/
Impactos por Consecuencias
Identicar las Causas
Iniciales
Determinar las
Frecuencias de las Causas
iniciales
Seleccionar el Par inicial de las
Causas Evento - Impacto
Identicar las IPL y deter-
minar su PFD
Calcular la Posibili-
dad de los Eventos Interme-
dios
Siguiente
par Causa
Evento
Suma de los Eventos
Intermedios
El
Objetivo
de Riesgo se
Cumple
Determinar el SIL
SIL > 2?
Calcular la Posibilidad del
Evento Mitigado
Desarrollo y Documentacin
de Criterios de Aceptacin de
Riesgo
FIN
INICIO
Otros Anlisis de Identica-
cin de Peligros
QRA
QRA
El mtodo de LOPA tiene como principales caractersticas:
1. Utiliza como punto de partida el establecimiento del Criterio de Tolerancia al Riesgo, puede utilizarse el Riesgo
Individual, Social o corporativo.
2. La frecuencia del evento iniciador, este valor puede ser tomado de tablas o valores publicados en bases de
datos, de valores corporativos o bien de anlisis y simulaciones por medio de arboles de fallas o diagramas de
bloques de conabilidad.
3. Calcula la Frecuencia de las Consecuencias no Mitigadas y de las Consecuencia Mitigadas.
4. Considera eventos o condiciones que permiten que un evento iniciador se propagu, este termino es
particularmente importante en procesos tipo batch o procesos que requieren interaccin con el operador.
5. Utiliza Modicadores Condicionales, que son circunstancias o eventos que pueden suceder a la par del evento
iniciador y que pueden amplicar, modicar o exponenciar el evento iniciador.
6. Considera todas las Capas Independientes de Proteccin existentes y potencialmente existentes para
determinar cuando el criterio de riesgo se cumple utilizando los valores de Probabilidad de Falla Sobre Demanda
(PFD), esto permite de forma fcil evaluar las modicaciones y adiciones requeridas para reducir el riesgo a un
valor de riesgo necesario.
7. Proporciona informacin de los requerimientos o modicaciones que hay que realizar en el proceso para cumplir
con el criterio de riesgo.
LOPA es cuantitativo por que se basa en:
1. Calcula la frecuencia del evento iniciador.
2. Calcula la frecuencia de las consecuencia mitigadas y no mitigadas.
3. Calcula la Probabilidad de Falla sobre Demanda de cada Capa Independientes de Proteccin.
LOPA es Semi Cuantitativo por que se basa:
1. En valores de Criterio de Tolerancia al Riesgo que pueden ser generados por leyes y normas para estimar el
Riesgo Social, Individual o corporativo.
2. Puede utilizar valores publicados en tablas o bases de datos para estimar la frecuencia del evento iniciador.
3. Puede utilizar valores publicados para estimar los eventos condicionales y modicadores condicionales.
LOPA es Cualitativo por que se basa:
1. En criterios basados en experiencia para seleccionar las Capas de Proteccin necesarias y mas ecientes.
2. Criterios para asignar eventos condicionales y modicadores condicionales.
3. Criterios para seleccionar el concepto de Tolerancia al Riesgo.
LOPA utiliza normalmente una hoja de calculo que permite estructurar la informacin requerida y los clculos.
Numero de Escenario Numero de Equipo Titulo del Escenario
325 Nodo 5
Fecha Riesgo ldentificado
20/08/2009 5.1 Alta presin / 5.10 Puesta en operacin / 5.12 Durante mantenimiento
Descripcin del Escenario
Probabilidad
Descripcin de la Consecuencia
1,00E-05
fijado por la HSE
Evento lniciador 1,00E-02
1)
2)
3)
4)
Frecuencia de Todos los Modificadores Condicionales 1,E+00
Frecuencia de la Consecuencia No Mitigada 1,00E-02
1) Sistema SlS ESD 4,E-03
2)
3)
4)
1)
2)
3)
4)
PFD para lPL's 4,E-03
Frecuencia de las Consecuencias Mitigadas 3,82E-05
El Criterio de Tolerancia a Riesgo se Cumple? NO
Notas
Referencias
APl 14C y APl RP 521
Miembros del Grupo Analista
(Subsistema Produccin) Llegada de gas de Nohoch A (L 152)
Frecuencia
(por ao)
Se presenta una sobre presion en la linea de Gasoducto proveniente de Nohoch, se cuenta con un sistema de
aislamiento dado por una valvula de corte comandada por un SlS en arquitectura TMR
Explosion
Criterio de Tolerancia
al Riesgo
Frecuencia
El riesgo lndividual conciderado en esta aplicacin
esta dado por el criterio de dao individual maximo
El evento iniciador esta dado por la sobre presion en
la linea de gasoducto Nohoch, se toman los valores
de la norma NRF-018-Pemex-2007F y el valor
encontrado en el HazOp es de:
Acontecimiento o una
Condicin que lo
Permite
Modificadores
Condicionales
(si aplica)
PFD de las Capas
lndependientes de
Proteccin (lPL's)
Salvaguardas
(no-lPL's)
Acciones Requeridas
para Cumplir el
Criterio de Tolerancia
al Riesgo
Aumentar el numero de Valvulas de ESD, Realizar Pruebas parciales cada 3 o 6 Meses
Las Normas lnternacionales recomiendan que para los sistemas de sobre presion el SlS sea
conciderado como una segunda defensa, y se recomienda que mecanismos mecanicos como
valvulas de relevo sean la primer defensa.
Victor Machiavelo
FIGURA #7 HOJA TIPICA DE TRABAJO DE LOPA
8) CONCLUSIONES.
El objetivo del presente documento es el de demostrar los diferentes mtodos que existen para la determinacin del Nivel
de Integridad de Seguridad (SIL), pero tambin jamos una posicin en el tipo de mtodo adecuado para instalaciones o
procesos crticos o de importancia, encontramos que en el mundo las grandes corporaciones petroleras, qumicas y
petroqumicas utilizan LOPA como el mtodo mas adecuado, la tabla #3 muestra claramente las caractersticas de los
diferentes mtodos, y se puede observar que LOPA representa una ventaja clara debido a que nos proporciona no
solamente mtodos analticos para la determinacin de frecuencias y probabilidades, tambin nos proporciona herramienta
para el uso de criterios de ingeniera al seleccionar las diferentes capas de proteccin.
Como comentarios nales incluimos:
1. Las Matrices de Riesgos y Grcos de riesgos se basan nicamente en criterios y se requiere que las
corporaciones tengan claros sus criterios y se halla realmente desarrollado ingeniera en seguridad, aun as el
uso de nicamente criterios no es recomendable ya que cada aplicacin y proceso es diferente.
2. Las Matrices Calibradas ayudan nicamente cuando la corporacin je los criterios basados en estimaciones
y evaluaciones corporativas.
3. Los Grcos de riesgos con capas de proteccin facilitan la determinacin del SIL ya que consideran las
diferentes capas de proteccin pero no consideran la tolerancia al riesgo, no podemos aceptar que este
criterio no sea utilizado ya que si no entendemos lo que tenemos que limitar como podemos jar los criterios
de proteccin?.
4. LOPA y el Mtodo Cuantitativo de la IEC 61508 son los nicos que utilizan clculos reales para determinar la
frecuencia del evento iniciador y no criterios basados en tablas, tambin utilizan como valoracin la tolerancia
al riesgo, y en especial LOPA permite utilizar criterios de ingeniera para determinar que capa de proteccin
debe de ser utilizada.
Los comentarios de este documento expresan el punto de vista de:
Victor Machiavelo Salinas
TUV FS Expert ID-141/09
Risk Software SA de CV
victorm@risksoftware.com.mx
www.risksoftware.com,mx
Agradeceremos cualquier comentario.

Metodos Sil Objetivo PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Metodos Sil Objetivo PDF

Cargado por

Copyright:

Formatos disponibles

Mtodos para l a determi naci n

del SI L obj eti vo

También podría gustarte