Preparado por: Victor Machiavelo Salinas Numero de Reporte:25012010 Risk Software Altata 35 Col Condesa CP. 06100 Mexico DF. +5255-30965496 al 99 www,risksoftware.com.mx Risk Software S.A de C.V. Resumen ej ecuti vo Objetivo El objetivo del presente reporte es mostrar los diferentes mtodos que existen para determinacin del Nivel de Integridad de Seguridad -NIL- (Safety Integrity Level -SIL-). Esta determinacin es un requerimiento establecido en el punto numero 4 en el ciclo de vida de seguridad de la norma IEC-61508 y en el punto numero 2 en en ciclo de vida de seguridad de la norma IEC-61511/ANSI-ISA-SP84-2004, el presente estudio esta basado en la Tesis doctoral desarrollada por Christopher A. Larsen en la Universidad de Ciencias y Tecnologa Noruega (NTNU) presentada en Junio del 2008, y ha sido complementada con la experiencia practica de quien prepara el presente trabajo. Objetivo Particular Como objetivo particular justicaremos en este reporte la necesidad de utilizar un mtodo Cuantitativo en la determinacin del SIL Objetivo. En los ltimos aos se ha estado utilizando mtodos Cualitativos para la determinacin de los niveles de integridad de seguridad en proyectos de alto riesgo y crticos para la produccin de energticos en Mexico. Si bien normas internacionales sugieren que los mtodos cualitativos pueden ser utilizados para la determinacin del SIL Objetivo, no se ha profundizado en las consecuencias al utilizar un mtodo poco analtico, por esta razn el siguiente reporte tiene como objetivo demostrar la necesidad de utilizar un mtodo Cuantitativo y la implementacin de una metodologa basada en el anlisis del proceso, del la peligrosidad de este y del nivel de riesgo basado en el desempeo de los sistemas de seguridad. Metodologa El reporte estar basado en el anlisis de las diferentes metodologa existentes para la determinacin del SIL Objetivo recomendadas en diferentes normas y al nal presentaremos un caso real de la determinacin del SIL Objetivo y las diferencias, pros y contras de los diferentes mtodos. 1) Mtodo Cuantitativo descrito en la norma IEC 61508 Este mtodo parte del establecimiento del nivel de riesgo tolerable aceptado por la organizacin, el cual esta basado en las estrategias corporativas o legales de la empresa, pas o estado en el cual se encuentra la empresa que determinara el nivel SIL Objetivo. Existen tres criterios para el establecimiento del nivel de riesgo tolerable, 1) Riesgo Individual, 2) Riesgo Social y 3) Riesgo Corporativo (analizaremos a detalle los conceptos de riesgo tolerable en un siguiente reporte). Bsicamente el riesgo tolerable es el numero de veces que una Funcin Instrumentada de Seguridad (SIF) puede fallar, tambin podemos denirlo como de veces por ao que una consecuencia no deseada ocurre en el proceso. Generalmente se obtienen estos valores de tablas o matrices que muestran la frecuencia de un evento y sus consecuencias. La matriz #1 muestra un ejemplo de esta determinacin. Es comn encontrar diferentes matrices dependiendo del pas, compaa, tipo de industria, criterios corporativos, la determinacin del nivel de riesgo tolerable requiere de un profundo conocimiento de los peligros y riesgos en la industria y contar con grupos corporativos dedicados a jar los criterios de frecuencia y consecuencia, esto depende directamente de la localizacin del proceso, la interaccin con la sociedad y ciudades y los materiales y productos Mtodos en la Determinacin del SIL Objetivo 1 Risk Software S.A de C.V. utilizados, desafortunadamente en Mexico no existe una legislacin ni un criterio corporativo que je los riesgos tolerables para las empresas publicas y privadas, generalmente utilizamos criterios establecidos en normas o compaas extranjeras. Frecuencia Consecuencia Consecuencia Consecuencia Consecuencia Catastrco Critico Marginal Despreciable Frecuente I I I II Probable I I II III Ocasional I II III III Remoto II III III IV Improbable III III IV IV Increble IV IV IV IV MATRIZ #1 CLASIFICACION DEL RIESGO DE ACUERDO A IEC 61508 El siguiente paso es la determinacin del riesgo del Equipo Bajo Control (EUC). El riesgo es una medida que utiliza la probabilidad y la consecuencia. El riesgo para un equipo bajo control consiste en la medida de la consecuencia no deseada y la relacin de demandas del sistema sin considerar medidas de proteccin. La forma de calcular este valor es por medio de tcnicas cuantitativas como son los Anlisis de Arboles de Fallas (FTA) o los Diagramas de Bloques de Conabilidad (RBD) (IEC 61508, 2003). El paso nal es el calculo de la Reduccin de Riesgos Necesarios para cumplir con el riesgo tolerable. Este se obtiene al dividir el numero de veces por ao que la Funcin Instrumentada de Seguridad (SIF) falla entre el numero de Demandas por Ao. El resultado obtenido es el Numero Aceptable de Veces que la SIF puede Fallar por Ao que viene siendo la Probabilidad de Falla sobre Demanda (PFD), el nivel SIL es jado de acuerdo a la matriz #2, y bajo los criterios de un experto. Nivel de Integridad de Seguridad NIL (SIL) Probabilidad de Falla Sobre Demanda Promedio (PFDave) 4 <=10 -5 a <10 -4 3 <=10 -4 a <10 -3 2 <=10 -2 a <10 -3 1 <=10 -1 a <10 -2 MATRIZ #2 NIVELES DE INTEGRIDAD DE SEGURIDAD Mtodos en la Determinacin del SIL Objetivo 2 Risk Software S.A de C.V. Si bien este mtodo utiliza clculos cuantitativos para la determinacin del riesgo del equipo bajo control, al nal la seleccin del nivel SIL es un mtodo de aproximacin ya que se requiere de un buen juicio para seleccionar exactamente en que rango se seleccionara el SIL. 2) Mtodo de Matriz de Riesgo El mtodo de la matriz de riesgo o matriz de peligros es uno de los mas populares ya que es muy simple de utilizar, este utiliza la frecuencia y la consecuencia para determinar cualitativamente el nivel SIL, jando una categora para cada relacin existente en la matriz. La matriz #3 muestra esta relacin. Menor Fr e- cu en cia Serio Extenso SIL2 SIL3 SIL3 SIL1 SIL2 SIL3 NR SIL1 SIL3 Alta Me- dia Baja Consecuencia (Severidad) MATRIZ #3 MATRIZ FRECUENCIA CONSECUENCIA Las consecuencias pueden ser expresadas en trminos de perdidas humanas, econmicas, ambientales o de imagen a la empresa, y la frecuencia puede ser expresada en trminos de la frecuencia en que se presenta el evento indeseable, alto, mediano o bajo. El problema con las matrices de riesgo es que la seleccin del SIL Objetivo esta basada en trminos de una evaluacin cualitativa, algunas empresas han calibrado sus matrices de acuerdo a su experiencia y tipo de aplicacin y pueden proveer una gua rpida en la evaluacin del nivel SIL Objetivo, sin embargo dejar a criterio de personas la seleccin del SIL Objetivo podra no ser una buena idea ya que pueden perderse de vista factores externos o experiencias externas en procesos similares que puedan representar un potencial problema de presentarse combinaciones de eventos no previstas por el analista, las matrices de frecuencia contra consecuencia son muy utilizadas en el anlisis de peligros y operacin (HAZOP) el cual es un mtodo analtico cualitativo para la determinacin de los peligros en los procesos, tal vez por esta razn se ha extendido el uso de matrices calibradas para la determinacin de los niveles de SIL Objetivo. 3) Mtodo de Matriz de Capas de Seguridad. La matriz de capas de seguridad es una matriz de seguridad a la cual se le adicionan capas de proteccin (PL) la matriz #4 muestra un ejemplo de matriz con capas de seguridad. Una capa de seguridad (PL) de acuerdo a la IEC 61511es un grupo de equipos y/o medidas administrativas de control que operan de forma conjunta con otras capas de proteccin para mitigar los riesgos de proceso. Una capa de proteccin (PL) debe de disminuir los riesgos en un factor de al menos de 10 y deber de cumplir con los requerimientos establecidos por la IEC 61511, 2003 que mostramos a continuacin: Mtodos en la Determinacin del SIL Objetivo 3 Risk Software S.A de C.V. Especcos: Una Capa de Proteccin deber estar diseada para prevenir o mitigar las consecuencias de un evento potencialmente peligroso. Independiente: Una Capa de Proteccin deber ser independiente de otras capas y no deber de tener una falla de causa comn (CCF). Conable: Una Capa de Proteccin deber actuar de acuerdo a la intencin de su diseo. Auditable: Una Capa de Proteccin deber estar diseada para que pueda ser validada. Un Sistema Instrumentado de Seguridad (SIS) es considerado como una capa de proteccin (IEC 61511. 2003). a) Un solo SIL3 no provee del nivel de reduccin de riesgo requiere modicaciones b) Un solo SIL3 podra no proporcionar el nivel de reduccin de riesgo requiere revisin c) Probablemente no se requiere de un SIS MATRIZ #4 MATRIZ CON CAPAS DE SEGURIDAD La clasicacin de la frecuencia de los eventos peligrosos adaptada de la IEC 61511 se muestra en la tabla #1 Mtodos en la Determinacin del SIL Objetivo 4 Risk Software S.A de C.V. Tipo de Evento Posibilidad/ Rango Cualitativo Eventos como mltiples fallas en diversos instrumentos, vlvulas, mltiples errores humanos en un ambiente libre de tensiones o fallas en equipos de proceso. Bajo Eventos como fallas en instrumentos y vlvulas en redundancia, o liberacin de productos en reas de carga y descarga de productos Medio Eventos como fugas en proceso, fallas de instrumentos y vlvulas simples o errores humanos que generan una pequea liberacin de productos. Bajo Los sistemas debern de estar de acuerdo a normas que indican que una funcin de control debe de fallar con una frecuencia menor de 10 E-1 por ao Los sistemas debern de estar de acuerdo a normas que indican que una funcin de control debe de fallar con una frecuencia menor de 10 E-1 por ao TABLA #1 FRECUENCIA DE UN EVENTO PELIGROSO DE ACUERDO A IEC 61511 4) Mtodo de Grcos de Riesgo El mtodo de grcos de riesgo fue desarrollado con la publicacin de la norma Alemana DIN 19250 publicada en 1994, y es un mtodo muy popular en la determinacin del nivel de SIL Objetivo. Este mtodo cualitativo basado en categoras. Las categoras utilizadas son las consecuencias y frecuencias de un evento peligroso, pero tambin la probabilidad de que una persona se encuentre en el rea afectada y la posibilidad de que esta pueda evadir el peligro. Mostramos en la gura #1 la representacin de un grco de riesgos, los parmetros de riesgo pueden ser tomados de la norma IEC 61511. El parmetro de Consecuencias (C) describe el resultado probable del evento peligroso, y esta compuesto por cuatro categoras, Ca es el valor menos severo y el rango de afectacin esta dado por la lesin de una persona, Cb representa lesiones serias para una o varias lesiones, Cc representa muerte de varias personas y Cd fatalidad de mltiples personas. El parmetro de tiempo de exposicin (F) nos indica la fraccin de tiempo que la persona expuesta al peligro se encuentra en el rea del evento, Fb indica un riesgo mayor que Fa, y generalmente se selecciona Fa cuando el tiempo de ocupacin es aproximadamente de 10% o menor. La posibilidad de que el personal evite el peligro es incorporado en el parmetro (P). Este reeja los mtodos y logstica implementados para que el personal pueda escapar del rea peligrosa, Pb representa un riesgo mayor que Pa, la norma IEC 61511 proporciona una lista de cumplimientos para que la posibilidad pueda ser tomada como Pa. El parmetro nal es la relacin de demandas (W), la cual es la frecuencia por ao en que se presenta la consecuencia no deseada sin la funcin instrumentada de seguridad (SIF). W1 indica una relacin de demandas es de 0.03 por ao. W2 indica entre 0.03-0.3 y W3 mas de 3 relaciones de demanda por ao. Mtodos en la Determinacin del SIL Objetivo 5 Risk Software S.A de C.V. Figura #1 GRAFICO DE RIESGO En la gura #1 observamos el ujo de decisin que va de izquierda a derecha, los valores de SIL son sugeridos en esta gura, cada empresa y cada aplicacin deber de revisar y ajustar el grco de riesgo de acuerdo a sus propios criterios, esto resulta particularmente difcil dado que es un mtodo cualitativo y no seria extrao encontrar que las empresas tiendan a relajar el nivel de integridad de seguridad SIL, es por esto que se recomienda que si se ha tomado la decisin de utilizar grcos de riesgos estos sean calibrados. 5) Grcos de Riesgo Calibrados El mtodo de Grco de Riesgo Calibrado es un mtodo Semi-Cuantitativo, y utiliza los mismos parmetros utilizados en el grco de riesgos. Calibracin signica asignar valores numricos a los parmetros. Esto permite una determinacin mas precisa del SIL Objetivo y una toma de decisin mas objetiva. La calibracin depende de los valores que se tomen para el riesgo individual y social, as como los criterios corporativos de las empresas y regulaciones estatales y de cada pas. Los valores de consecuencias pueden ser cualicados como el numero de fatalidades, pero en muchas instancias una falla no causa una fatalidad inmediata, lo cual nos hace introducir el concepto de Vulnerabilidad (V) que es una funcin de la concentracin de peligro y la duracin a la exposicin. Multiplicando la vulnerabilidad por el numero de personas presentes en el rea expuesta, la tabla #2 muestra los valores para un grco de riesgo calibrados donde se muestran los valores de vulnerabilidad. Mtodos en la Determinacin del SIL Objetivo 6 Risk Software S.A de C.V. Parmetro de Riesgo Clasicacin Consecuencias (C) Numero de Fatalidades Puede ser calculado como: Numero de personas presentes cuando el rea expuesta a un peligro es ocupada. y la Vulnerabilidad dado el peligro identicado: V= 0.01 (Liberacin pequea cantidad de material txico o explosivo) V= 0.1 (Liberacin grande cantidad de material txico o explosivo) V= 0.5 (Idem al anterior pero con alta probabilidad de ignicin o afectacin txica) V= 1 (Ruptura o explosin) Ca Dao Menor Consecuencias (C) Numero de Fatalidades Puede ser calculado como: Numero de personas presentes cuando el rea expuesta a un peligro es ocupada. y la Vulnerabilidad dado el peligro identicado: V= 0.01 (Liberacin pequea cantidad de material txico o explosivo) V= 0.1 (Liberacin grande cantidad de material txico o explosivo) V= 0.5 (Idem al anterior pero con alta probabilidad de ignicin o afectacin txica) V= 1 (Ruptura o explosin) Cb 0.01< No de Fatalidades < 0.1 Consecuencias (C) Numero de Fatalidades Puede ser calculado como: Numero de personas presentes cuando el rea expuesta a un peligro es ocupada. y la Vulnerabilidad dado el peligro identicado: V= 0.01 (Liberacin pequea cantidad de material txico o explosivo) V= 0.1 (Liberacin grande cantidad de material txico o explosivo) V= 0.5 (Idem al anterior pero con alta probabilidad de ignicin o afectacin txica) V= 1 (Ruptura o explosin) Cc 0.1 < No de Fatalidades <1.0 Consecuencias (C) Numero de Fatalidades Puede ser calculado como: Numero de personas presentes cuando el rea expuesta a un peligro es ocupada. y la Vulnerabilidad dado el peligro identicado: V= 0.01 (Liberacin pequea cantidad de material txico o explosivo) V= 0.1 (Liberacin grande cantidad de material txico o explosivo) V= 0.5 (Idem al anterior pero con alta probabilidad de ignicin o afectacin txica) V= 1 (Ruptura o explosin) Cd No de Fatalidades >1.0 Ocupacin (F) Porcentaje del tiempo que el rea expuesta es ocupada durante un periodo de tiempo normal de trabajo Fa Ocupacin < 0.1 Ocupacin (F) Porcentaje del tiempo que el rea expuesta es ocupada durante un periodo de tiempo normal de trabajo Fb Posibilidad de Evitar el Peligro (P) Pa El peligro puede ser prevenido por acciones que el operador realiza, despus de que el SIS ha fallado Posibilidad de Evitar el Peligro (P) Pb Si no hay acciones posibles. Relacin de Demandas (W) W1 Relacin Demandas < 0.1 por ao Relacin de Demandas (W) W2 0.1D <Relacin Demandas <10D por ao Relacin de Demandas (W) W3 Para Relacin de Demandas >10D TABLA #2 EJEMPLO TOMADO DE IEC 61511 PARA LA CREACION DE GRAFICOS DE RIESGO CALIBRADOS. Debemos tener en cuanta que la vulnerabilidad (V) y la posibilidad de evitar el peligro (P) son dos diferentes parmetros, V tiene que ver con la escalacin y P tiene que ver con la prevencin del peligro por parte del operador (IEC 61511,2003). De acuerdo a Marszal y Scharpf (2002) los Rangos Potenciales de Perdidas de Vida (PLL) tambin pueden ser utilizados como una medida de las consecuencias. El valor de PLL es el numero esperado de fatalidades en una poblacin durante un periodo de tiempo especico (NORSOK Z-013, 2003). Hacemos notar que que hay que tener cuidado cuando se toman los valores de PLL como medida de consecuencia, por que este valor incorpora tanto la probabilidad como la consecuencia. El parmetro F es generalmente una medicin de porcentaje del tiempo que el personal puede estar expuesto en el rea peligrosa y Fa deber ser utilizada para valores menores de 0.1 (IEC 61511, 2003, Marszal y Scharpf, 2002). Considerremos a Pa cuando todas las condiciones requeridas por la IEC 61511-3 se cumplan y Pb si no se cumplen. El factor de demanda W es el numero de veces por ao que ocurre el evento peligroso en ausencia de las funciones instrumentadas de seguridad SIF. D es un factor de calibracin que debe hacer que el resultado en el grco de riesgo se mantenga en niveles de riesgo tolerable. Mtodos en la Determinacin del SIL Objetivo 7 Risk Software S.A de C.V. 6) Comentarios a los Mtodos Los cuarto mtodos discutidos con anterioridad son utilizados en la industria de forma frecuente, su seleccin y utilizacin depende de varios factores y polticas de cada campaa, algunos puntos a considerar al seleccionar alguno de estos mtodos son: 1. Se cuenta con polticas claras en la denicin del riesgo y peligro en los procesos. 2. Se cuenta con personal calicado para la determinacin de un evento utilizando herramientas com arboles de falla y diagramas de conabilidad. 3. Se tiene identicado los riesgos tolerables para cada aplicacin e industria. 4. Las grcas de riesgo han sido desarrolladas para cada aplicacin y consideran las diferencias en los procesos, y sus consecuencias. 5. Las matrices y los grcos de riesgo se han vericado con los datos reales de proceso. 6. Se desarrollo una metodologa clara y documentada para calibrar las matrices y grcos de riesgo. 7. Se cuenta con personal calicado (Certicado) para evaluar las matrices y grcos de riesgo, el personal tiene la experiencia para utilizar mtodos que requieren el establecimiento de criterios en los procesos. 8. Se han desarrollado anlisis y/o simulaciones para identicar la frecuencia de los eventos o se utilizan valores publicados en literatura. 9. Se han desarrollado anlisis y/o simulaciones para determinar las consecuencia o se utilizan valores publicados en la literatura. 10. Se tiene una poltica clara y documentada respecto a que metodologa utilizar, que considere la aplicacin, el proceso y la ubicacin de las instalaciones. De no cumplirse con estos puntos se deber de optar por otras formas de obtener el SIL Objetivo de preferencia utilizando mtodos cuantitativos/semi-cuantitativos que permitan obtener resultados conables minimizando juicios basados en criterios personales. La tabla #3 muestra la informacin mnima requerida por cada uno de los cuatro mtodos de determinacin de SIL Objetivo analizados. Caractersti cas Cuantitativo IEC 61608 Matriz de Riesgo Grca de Riesgo Grca de Riesgo Calibrada LOPA GRAFICA DE RIESGO CON CAPAS DE PROTECCION Cuantitativo X -- -- -- X X Cualitativo -- X X -- X Semi Cuantitativo -- -- -- X X Riesgo Tolerable X -- -- -- X Frecuencia del Evento X X X X X X Mtodos en la Determinacin del SIL Objetivo 8 Risk Software S.A de C.V. Caractersti cas Cuantitativo IEC 61608 Matriz de Riesgo Grca de Riesgo Grca de Riesgo Calibrada LOPA GRAFICA DE RIESGO CON CAPAS DE PROTECCION Consecuenci a del Evento X X X X X X Riesgo del Equipo Bajo Control X -- -- -- X Reduccin del Riesgo Residual X -- -- -- X Tiempo de Exposicin al Peligro -- -- X X -- X Posibilidad de Evitar el peligro -- -- X X -- X Relacin de Demandas -- -- X X X X Vulnerabilida d -- -- -- X -- -- Requiere mtodo analtico FTA/ RBD X -- -- -- X -- % Basado en Clculos vs Criterios 50/50 0/100 0/100 20/80 80/20 60/40 TABLA #3 REQUERIMIENTOS DE INFORMACION PARA CADA METODO Como podemos observar en la tabla #3 solo el mtodo cuantitativo de la IEC 61508 toma en cuanta el riesgo tolerable, el riesgo al cual esta sometido el equipo bajo control y la reduccin del riesgo. Los mtodos basados en matriz y grco de riesgo parten de criterios establecidos por parmetros preestablecidos y no se enfocan en el calculo y determinacin de frecuencias y consecuencias y condiciones dadas por el proceso, es por esta razn que de forma estricta no representan una real practica de ingeniera en la determinacin del SIL Objetivo. El uso de valores preestablecidos basados en criterios dados por las empresas o por los expertos siempre estarn sujetos a la interpretacin, adicionalmente debemos tambin considerar las caractersticas de los procesos y la forma en que los peligros y los riesgos se presentan en cada equipo, proceso e instalacin nunca son los mismos, tampoco deberan ser las Mtodos en la Determinacin del SIL Objetivo 9 Risk Software S.A de C.V. mismas las bases y criterios de la determinacin de las frecuencias y consecuencias de los eventos peligrosos. Resulta tambin difcil de entender que se utilicen los mismos criterios para instalaciones localizadas en diferentes ubicaciones geogrcas, y que ademas no se considere importante la determinacin del riesgo individual/social/corporativo. La gura #2 nos presenta un modelo de decisin para la seleccin del SIL Objetivo,aqu se considera que los mtodos de matriz de riesgos y grcos de riesgos son mas adecuados cuando se desea realizar una validacin o vericacin rpida de las funciones instrumentadas de seguridad existentes o bien se encuentra en una fase de desarrollo de ingeniera bsica y no se cuenta con toda la informacin para utilizar un mtodo cuantitativo mas detallado. FIGURA #2 FLUJO PARA LA DETERMINACION DEL METODO SIL Consideramos que la seguridad en los procesos industriales no debe estar basada en criterios sino en clculos detallados y en la conrmacin de forma numrica que se esta cumpliendo con los requerimientos de seguridad deseados, es muy importante aclarar que si la determinacin del SIL Objetivo es clara y sustentada, no solo nos ayudara a la determinacin del SIL Proporcionado por el Sistema Instrumentado de Seguridad (SIS) tambin nos ayudara a determinar las reas peligrosas del proceso y los elementos que pueden generar condiciones riesgosas, la gura #2 introduce una nueva metodologa llamada LOPA (Layer Of Protections Analysis) Anlisis de Capas de Proteccin el cual es el mtodo cuando se desea calcular el SIL Objetivo y compararlo con el SIL Proporcionado por el SIS y la ponderacin que otras funciones de seguridad tienen en la reduccin del riesgo as como consideraciones operativas del proceso. Mtodos en la Determinacin del SIL Objetivo 10 Risk Software S.A de C.V. 7) LOPA Anlisis de Capas de Proteccin. La metodologa de LOPA fue introducida a principios de los aos 90s, y ha ganado popularidad en los ltimos aos como tcnica para la determinacin del SIL. En la literatura encontramos que LOPA es referida como una tcnica de valoracin del riesgo y como una herramienta de anlisis de riesgos. Otras aplicaciones que se han desarrollado entorno a LOPA son como herramienta de planeacin de inversin, investigacin de accidentes y manejo de cambios. De acuerdo a Marszal y Scharpf (2002) LOPA puede ser visto como un tipo especial de anlisis de arboles de eventos (ETA) el cual tiene el propsito de determinar la frecuencia de una consecuencia indeseada, esto puede ser evitado por medio de un juego de capas de proteccin. La aproximacin evala el peor escenario/caso, donde todas las capas de proteccin deben de fallar para que se presente la consecuencia. La frecuencia de la consecuencia indeseada es calculada al multiplicar la Probabilidad de Falla Sobre Demanda (PFD) de las diferentes capas de proteccin por la demanda del sistema de proteccin (representada por la frecuencia). Comparando el resultado de la frecuencia de la consecuencia indeseada con la frecuencia de riesgo tolerable se identica la reduccin de riesgo necesaria y el nivel de SIL apropiado puede ser seleccionado (Marszal y Scharpf ,2002, CCPS, 2004). LOPA es un mtodo semi-cuantitativo que utiliza categoras numricas para estimar los parmetros requeridos para calcular la reduccin del riesgo necesario con ciertos criterios de aceptacin (CCPS, 2001). En una Valoracin Cuantitativa de Riesgos (QRA) los modelos matemticos y la simulacin son frecuentemente utilizados para para estimar los daos o la escalacion de estos, como son los anlisis de dispersin, modelos de sobre-presin en explosiones o fuegos. En adicin los Arboles de Falla (FTA) y otros mtodos son utilizados para calcular la frecuencia del evento. En LOPA juicios simplicados, tablas y referencias bibliogrcas son utilizadas para obtener los nmeros deseados, pero tambin es posible partir de los valores simulados y calculados como en las valoraciones cuantitativas de riesgo, dando una mayor certeza a LOPA. LOPA obtiene la informacin del anlisis de peligros y operacin (HAZOP) o de los estudios de identicacin de peligros (HAZID) y puede ofrecer informacin para la creacin de estudios mas sosticados como QRA. La gura #2 muestra los estudios tpicos de anlisis de riesgos dependiendo de la fase en la que se encuentra la evaluacin y muestra el evento/ accidente y la vinculacin que tiene con las causas y consecuencias. La utilizacin de los Arboles de Eventos como herramienta en LOPA se encuentra mas enfocada en la determinacin y valoracin de las consecuencias y no tanto en las causas pero tambin por su interaccin con el Hazop es normal situar la aplicacin de LOPA entre los anlisis del evento y sus consecuencias. LOPA utiliza el concepto de capas de proteccin como es mostrado en la Figura #4, donde se muestran las diferentes capas de proteccin existentes y posibles en una instalacin industrial, debemos entender que para denir que puede ser denido como capa de proteccin, su denicin, aplicacin y separacin con otras capas de proteccin debe quedar claramente establecida, decimos que una salvaguarda pueda ser considerada como capa de proteccin cuando se cumplen las cuatro primicias (Especico, Independiente, Conable, Auditable) Mtodos en la Determinacin del SIL Objetivo 11 Risk Software S.A de C.V. FIGURA #3 RELACION DE METODOS DE ANALISIS LOPA utiliza el modelo de capas de proteccin y la efectividad de estas para la determinacin del SIL. FIGURA #4 CAPAS DE PROTECCION Mtodos en la Determinacin del SIL Objetivo 12 Risk Software S.A de C.V. La metodologa de LOPA ha sido interpretada y desarrollada por varios autores y compaas de forma diferente, esto ha conducido a diferencias en las deniciones y trminos utilizados, a continuacin explicaremos a detalle cada uno de los trminos utilizados en LOPA as como la metodologa de esta, tambin es importante aclarar que se debe revisar a detalle las deniciones y requerimientos para denir y aceptar cada una de las capas de proteccin mostradas en la Fig #4, situacin que no abarcaremos en este trabajo y recomendamos revisar en el libro Layer of Protection Analysis publicado en el 2001 por Center for Chemical Process Safety de AIChE, uno de los objetivos en esta seccin ser aclarar el funcionamiento y aplicacin de LOPA, partiremos de las deniciones que se generan a partir de la Fig #5. FIGURA #5 RELACION ENTRE LAS CAUSAS INICIALES, EVENTOS, DESVIACION DEL PROCESOS Y CAPAS INDEPENDIENTES DE PROTECCION Causa Inicial / Evento Inicial. Las causas iniciales o eventos iniciales son las que generan una desviacin en el proceso, no nos referimos a las causas raz bsicas. Las causas iniciales son resultado de las causas raz. El CCPS nos indica que hay tres clases de causas iniciales: 1) Eventos Externos, 2) Fallas en los Equipos y 3) Fallas Humanas. Los eventos externos son huracanes, terremotos, y en general factores externos fuera de control. Las fallas en los equipos estn dadas por fallas en los sistemas de control y proteccin as como en las fallas mecnicas de los equipos en los procesos como compresores, bombas, vlvulas, etc. Las fallas humanas pueden ser por errores en el desarrollo de la ingeniera y especicacin de los equipos, fallas por omisiones, fallas en las pruebas de los sistemas, fallas en operacin y procedimientos de emergencia. Desviaciones en el proceso. De acuerdo a la norma NORSOK Z-013 (2001) un evento accidental es denido como Evento o cadena de eventos que puede causar la perdida de la vida, daos a la salud o dao al medio ambiente. Otra denicin es La primera desviacin signicante de una situacin normal que puede causar consecuencias indeseadas (Rausand y Hoyland,2004). En la norma IEC 60300-3-9 (1995) se utiliza el termino evento peligroso en lugar de evento accidental. En los estudios de Hazop el evento accidental es referido como desviacin del proceso. Mtodos en la Determinacin del SIL Objetivo 13 Risk Software S.A de C.V. Evento/Impacto. La CCPS (2001) dene como impacto: El resultado ultimo potencial resultado de un evento peligroso. El termino Impacto puede ser expresado como el numero de heridas o fatalidades, dao a la comunidad, instalacin o negocio. De acuerdo a la IEC 61511 un Evento/Impacto es equivalente al termino Consecuencia utilizado en los estudios de Hazop. Esto implica que el evento/impacto es una consecuencia indeseada de un evento peligroso o evento accidente referido como una desviacin del proceso. Evento/Impacto es relacionado de forma cercana a una consecuencia indeseada, y la pregunta que permanece es cual es el nivel que la consecuencia y el evento/impacto representan, ya que por ejemplo podemos tener eventos/impactos intermedios y eventos/impactos nales. Por esto escojamos denir el termino evento/impacto como El primer signo de dao en personas, ambiente e instalaciones. Escenario. De acuerdo a CCPS (2001) un escenario es descrito como un par nico causa-consecuencia dado por el Hazop. En la terminologa de LOPA puede ser denido como un nico par causa-evento/impacto. Esto implica que el escenario consiste en una relacin mayor que nicamente el evento/impacto y tambin es mucho mas que solo un resultado de una consecuencia, en trminos concretos podemos denir al escenario como El desarrollo que tiene un evento desde la desviacin en el procesos hasta el evento/impacto incluyendo las causas que generaron la desviacin del proceso. Capas de Proteccin vs Capas Independientes de Proteccin. El termino Capa de Proteccin fue denido en la IEC 61511 y como hemos mencionado debe de cumplir con las cuatro caractersticas (Especico, Independiente, Conable, Auditable). Entonces encontramos que hay una diferencia entre la denicin de que es una Capa de Proteccin (PL) y una Capa Independiente de Proteccin (IPL). De acuerdo a la IEC 61511 una IPL tiene las mismas caractersticas que una PL pero adicionalmente debe de proporcionar una reduccin en el riesgo en un factor de 100 (Una PL proporciona 10) y tambin debe de proporcionar una disponibilidad de al menos 0.9. Esta denicin puede parecer un poco confusa por lo que una denicin mas exacta puede ser nombrar a las PL como IPL y a las IPL como IPL de Alta Integridad. La denicin que establece la CCPS (2001) para PL es: Dispositivo, Sistema o Accin que es capas de prevenir una desviacin del proceso que pueda llevarlo a una consecuencia nal. Subsecuentemente una IPL puede ser denida como: Una Capa de Proteccin PL, capas de prevenir una desviacin del proceso que pueda llevar a una consecuencia nal independientemente de la accin de otra PL asociada al mismo evento/impacto y del par causa consecuencia del evento inicial. LOPA es un mtodo de determinacin del SIL que requiere de una metodologa para su implementacin, hay diferentes variaciones a esta metodologa que se han desarrollado por compaas u organizaciones, pero en trminos generalas LOPA es un mtodo que parte del par Causa-Consecuencia y evala las Capas Independientes de Proteccin necesarias para reducir el riesgo inicial dado por la denicin de Riesgo Individual/Social/Corporativo a un riesgo aceptable. La gura #6 nos muestra un diagrama de ujo detallado de los pasos requeridos por LOPA, como podemos observar LOPA requiere de un esfuerzo mayor que otras tcnicas pero tambin nos proporciona mucha mas informacin del procesos y sus riesgos y principalmente evita o disminuye radicalmente la utilizacin de criterios en la seleccin y determinacin del Nivel de Integridad de Seguridad SIL Objetivo y del SIL que deber ser proporcionado por el SIS. Mtodos en la Determinacin del SIL Objetivo 14 Risk Software S.A de C.V. Datos Sucien- tes? Generar y Documentar los Datos (Hazop) Trasformar los Datos de Hazop a LOPA Seleccionar los Eventos/Impactos Desarrollar los Eventos/ Impactos por Consecuencias Identicar las Causas Iniciales Determinar las Frecuencias de las Causas iniciales Seleccionar el Par inicial de las Causas Evento - Impacto Identicar las IPL y deter- minar su PFD Calcular la Posibili- dad de los Eventos Interme- dios Siguiente par Causa Evento Suma de los Eventos Intermedios El Objetivo de Riesgo se Cumple Determinar el SIL SIL > 2? Calcular la Posibilidad del Evento Mitigado Desarrollo y Documentacin de Criterios de Aceptacin de Riesgo FIN INICIO Otros Anlisis de Identica- cin de Peligros QRA QRA Mtodos en la Determinacin del SIL Objetivo 15 Risk Software S.A de C.V. El mtodo de LOPA tiene como principales caractersticas: 1. Utiliza como punto de partida el establecimiento del Criterio de Tolerancia al Riesgo, puede utilizarse el Riesgo Individual, Social o corporativo. 2. La frecuencia del evento iniciador, este valor puede ser tomado de tablas o valores publicados en bases de datos, de valores corporativos o bien de anlisis y simulaciones por medio de arboles de fallas o diagramas de bloques de conabilidad. 3. Calcula la Frecuencia de las Consecuencias no Mitigadas y de las Consecuencia Mitigadas. 4. Considera eventos o condiciones que permiten que un evento iniciador se propagu, este termino es particularmente importante en procesos tipo batch o procesos que requieren interaccin con el operador. 5. Utiliza Modicadores Condicionales, que son circunstancias o eventos que pueden suceder a la par del evento iniciador y que pueden amplicar, modicar o exponenciar el evento iniciador. 6. Considera todas las Capas Independientes de Proteccin existentes y potencialmente existentes para determinar cuando el criterio de riesgo se cumple utilizando los valores de Probabilidad de Falla Sobre Demanda (PFD), esto permite de forma fcil evaluar las modicaciones y adiciones requeridas para reducir el riesgo a un valor de riesgo necesario. 7. Proporciona informacin de los requerimientos o modicaciones que hay que realizar en el proceso para cumplir con el criterio de riesgo. LOPA es cuantitativo por que se basa en: 1. Calcula la frecuencia del evento iniciador. 2. Calcula la frecuencia de las consecuencia mitigadas y no mitigadas. 3. Calcula la Probabilidad de Falla sobre Demanda de cada Capa Independientes de Proteccin. LOPA es Semi Cuantitativo por que se basa: 1. En valores de Criterio de Tolerancia al Riesgo que pueden ser generados por leyes y normas para estimar el Riesgo Social, Individual o corporativo. 2. Puede utilizar valores publicados en tablas o bases de datos para estimar la frecuencia del evento iniciador. 3. Puede utilizar valores publicados para estimar los eventos condicionales y modicadores condicionales. LOPA es Cualitativo por que se basa: 1. En criterios basados en experiencia para seleccionar las Capas de Proteccin necesarias y mas ecientes. 2. Criterios para asignar eventos condicionales y modicadores condicionales. 3. Criterios para seleccionar el concepto de Tolerancia al Riesgo. Mtodos en la Determinacin del SIL Objetivo 16 Risk Software S.A de C.V. LOPA utiliza normalmente una hoja de calculo que permite estructurar la informacin requerida y los clculos. Numero de Escenario Numero de Equipo Titulo del Escenario 325 Nodo 5 Fecha Riesgo ldentificado 20/08/2009 5.1 Alta presin / 5.10 Puesta en operacin / 5.12 Durante mantenimiento Descripcin del Escenario Probabilidad Descripcin de la Consecuencia 1,00E-05 fijado por la HSE Evento lniciador 1,00E-02 1) 2) 3) 4) Frecuencia de Todos los Modificadores Condicionales 1,E+00 Frecuencia de la Consecuencia No Mitigada 1,00E-02 1) Sistema SlS ESD 4,E-03 2) 3) 4) 1) 2) 3) 4) PFD para lPL's 4,E-03 Frecuencia de las Consecuencias Mitigadas 3,82E-05 El Criterio de Tolerancia a Riesgo se Cumple? NO Notas Referencias APl 14C y APl RP 521 Miembros del Grupo Analista (Subsistema Produccin) Llegada de gas de Nohoch A (L 152) Frecuencia (por ao) Se presenta una sobre presion en la linea de Gasoducto proveniente de Nohoch, se cuenta con un sistema de aislamiento dado por una valvula de corte comandada por un SlS en arquitectura TMR Explosion Criterio de Tolerancia al Riesgo Frecuencia El riesgo lndividual conciderado en esta aplicacin esta dado por el criterio de dao individual maximo El evento iniciador esta dado por la sobre presion en la linea de gasoducto Nohoch, se toman los valores de la norma NRF-018-Pemex-2007F y el valor encontrado en el HazOp es de: Acontecimiento o una Condicin que lo Permite Modificadores Condicionales (si aplica) PFD de las Capas lndependientes de Proteccin (lPL's) Salvaguardas (no-lPL's) Acciones Requeridas para Cumplir el Criterio de Tolerancia al Riesgo Aumentar el numero de Valvulas de ESD, Realizar Pruebas parciales cada 3 o 6 Meses Las Normas lnternacionales recomiendan que para los sistemas de sobre presion el SlS sea conciderado como una segunda defensa, y se recomienda que mecanismos mecanicos como valvulas de relevo sean la primer defensa. Victor Machiavelo FIGURA #7 HOJA TIPICA DE TRABAJO DE LOPA Mtodos en la Determinacin del SIL Objetivo 17 Risk Software S.A de C.V. 8) CONCLUSIONES. El objetivo del presente documento es el de demostrar los diferentes mtodos que existen para la determinacin del Nivel de Integridad de Seguridad (SIL), pero tambin jamos una posicin en el tipo de mtodo adecuado para instalaciones o procesos crticos o de importancia, encontramos que en el mundo las grandes corporaciones petroleras, qumicas y petroqumicas utilizan LOPA como el mtodo mas adecuado, la tabla #3 muestra claramente las caractersticas de los diferentes mtodos, y se puede observar que LOPA representa una ventaja clara debido a que nos proporciona no solamente mtodos analticos para la determinacin de frecuencias y probabilidades, tambin nos proporciona herramienta para el uso de criterios de ingeniera al seleccionar las diferentes capas de proteccin. Como comentarios nales incluimos: 1. Las Matrices de Riesgos y Grcos de riesgos se basan nicamente en criterios y se requiere que las corporaciones tengan claros sus criterios y se halla realmente desarrollado ingeniera en seguridad, aun as el uso de nicamente criterios no es recomendable ya que cada aplicacin y proceso es diferente. 2. Las Matrices Calibradas ayudan nicamente cuando la corporacin je los criterios basados en estimaciones y evaluaciones corporativas. 3. Los Grcos de riesgos con capas de proteccin facilitan la determinacin del SIL ya que consideran las diferentes capas de proteccin pero no consideran la tolerancia al riesgo, no podemos aceptar que este criterio no sea utilizado ya que si no entendemos lo que tenemos que limitar como podemos jar los criterios de proteccin?. 4. LOPA y el Mtodo Cuantitativo de la IEC 61508 son los nicos que utilizan clculos reales para determinar la frecuencia del evento iniciador y no criterios basados en tablas, tambin utilizan como valoracin la tolerancia al riesgo, y en especial LOPA permite utilizar criterios de ingeniera para determinar que capa de proteccin debe de ser utilizada. Los comentarios de este documento expresan el punto de vista de: Victor Machiavelo Salinas TUV FS Expert ID-141/09 Risk Software SA de CV victorm@risksoftware.com.mx www.risksoftware.com,mx Agradeceremos cualquier comentario. Mtodos en la Determinacin del SIL Objetivo 18 Risk Software S.A de C.V.