Taller 5: PHA (LOPA) y SIL

Nombre: Álvaro Hernández Báez Código: 201822458

1. En la ilustración 1 se puede observar un separador que toma la alimentación de una línea
de flujo. Se evaluará la clasificación SIL requerida de la función PSHH. El equipo de HAZOP
identificó dos escenarios de sobre presión para este sistema:

Ilustración 1 Sistema de separación

I. Falla catastrófica de las piezas internas de cerámica estrangulador PCV – 1.

II. Falla cerrada de la válvula PV -1.
Tabla 1. Elementos de instrumentación y control del sistema

ABREVIACIÓN ELEMENTO
PCV 1 Pressure Control Valve
PSV 1 Pressure Safety Valve
PT1 Pressure Transmitter
PIC 1 – 2 Pressure Indicator Controller
PV 1 – 2 Pressure Valve
SDV 1 Shutdown Valve
S Soleniod
PSHH Pressure Switch High for Pressure Above PSH

1.1 Árboles que describen los posibles sucesos finales en el sistema

En la ilustración 2 se muestra las diferentes capas de protección que pueden existir para un
determinado sistema, el cual está siendo analizado por medio de LOPA. Es importante que en el
análisis a realizar se verifique que cada una de las capas presentes sean independientes. Además,
cabe resaltar que las capas 3, 4 y 5 corresponden a capas preventivas, mientras que 6 y 7 son capas
de mitigación.
 Ilustración 2 Layers of Protections (AIChE-CCPS)

De acuerdo a esto, para cada evento identificado en el HAZOP, se traza los arboles de fallas,
que representan una relación entre capas y probabilidades de falla, como se muestra en las
ilustraciones 3 y 4.

Ilustración 3. Árbol de fallas para evento I

Ilustración 4. Árbol de fallas para evento II

En el caso del evento I, el escenario que se tiene en cuenta es la sobrepresión en el separador debido
a una falla catastrófica en la válvula de control de presión (PCV-1). Para la construcción del árbol se
tuvo en cuenta la probabilidad de falla de cada capa de protección que se tuvo en cuenta. En este
caso se tiene que la probabilidad de que ocurra una sobrepresión en el separador es igual a 0,00001,
es decir que fallen las dos capas de protección. La probabilidad de que la válvula de seguridad se
active y el gas se vaya a venteo es de 0,99999 y la probabilidad de que las dos capas de seguridad
funcionen y se tenga éxito es de 0,9999.

Haciendo un análisis análogo para el evento II se tiene que la probabilidad de que fallen el lazo de
control básico y la válvula de seguridad de presión (PSV-1), y se genera la sobrepresión es de
0,00001. La probabilidad de que falle el lazo de control básico y funcione la válvula de seguridad es
del 0,99999 y finalmente la probabilidad de éxito, o sea, que funcionen las dos barreas de seguridad
es del 0,9999.

1.2 Análisis de las capas de protección existentes

Para los dos casos es importante tener en cuenta que cada capa que sea considerada en el análisis
como una IPL, debe ser efectiva en la ejecución de su función más rápido que el proceso en el cual
se tiene una desviación, para prevenir la consecuencia final que se está evitando. Además, de
acuerdo con la ilustración 2, la primera capa de protección que se tiene en cuenta es el diseño del
equipo de proceso, sin embargo, como no se tiene la información suficiente acerca del diseño su
nivel de confianza es bajo y por lo tanto uno podría asumir una probabilidad de falla bajo demanda
(PFD) igual a 1.

En el caso del evento I, la siguiente capa de protección que se tiene es la válvula de alivio (PSV-1), la
cual una vez falle la válvula de control de presión (PCV-1), se activará y permitirá que el gas se libere
para que vaya a venteo, también para determinar el nivel de confianza de esta barrera es importante
tener en cuenta si ha recibido mantenimiento. Para este caso, de acuerdo con el análisis HAZOP, se
ha sugerido se implemente un Switch de presión que se activará cuando la alarma de presión está
indicando que la presión alcanzó un valor muy alto, su nivel de confianza dependerá de si existe una
acción manual o automática, puesto que si es manual dependerá si es ejecutada correctamente por
el operario. Cuando está barrera fallé se sigue produciendo un aumento en la presión del recipiente
a tal punto que se genere la sobrepresión suficiente para que el recipiente falle.

En el caso del evento II, la siguiente capa de protección corresponde al lazo de control básico
conformado por un transmisor de señal de presión (PT1), el cual envía la señal a dos controladores
de Presión (PIC-2), que actúa la válvula de control (PV2) y envía el gas a venteo y el controlador (PIC-
1), que actúa la válvula de control (PV1) y envía el gas a un compresor. De esta capa es importante
mencionar que, a pesar que existen dos controladores, constituyen la misma capa de protección
debido a que si falla el transmisor de señal de presión, los dos controladores van a fallar
inmediatamente. De esta manera, sí esta capa de protección falla, la siguiente será la válvula de
alivio (PSV-1) que como se dijo anteriormente permite que liberar el gas del recipiente para que se
dirija hacia venteo. Finalmente, si estás dos capas de protección falla se generará la sobrepresión
dentro del recipiente y colapsará.
1.3 Definición del SIL de las capas de protección existentes.
Tabla 2. Ejemplos de probabilidad de eventos iniciadores

Causa inicial Probabilidad Probabilidad (10-x)

(eventos/año)
Falla en el lazo de control 1/10 10-1
Falla del sello 1/10 10-1
Falla de junta 1/100 10-2
Falla de equipo rotativo 1/1 100
Falla de equipo estático 1/100 10-2
Pérdida de potencia 1/10 10-1
Pérdida de servicios industriales 1/10 10-1
Operadores entrenados bajo estrés 1/(10 oportunidades)
Operadores entrenados sin estrés 1/(100 oportunidades)

Tabla 3. Probabilidad de falla en demanda (PFD) de algunas IPL's

Capa de protección Probabilidad de falla en Nivel de integridad de

independiente (IPL) demanda (PFD) seguridad (SIL)
Válvula de seguridad de procesos
1/100 2
(PSV)
Arrestador de flama 1/10 1
Lazo independiente de control 1/10 1
CRO, w/alarma, 20 minutos 1/10 1

Tabla 4. Matriz de riesgo típica

5 1 2 3 4 5
Catastrófico
4 0 1 2 3 4
Mayor
3 0 0 1 2 3
Severo
2 0 0 0 1 2
Menor
1 0 0 0 0 1
Leve
A B C D E
1/10000 1/1000 1/100 1/10 1/1
(año) (año) (año) (año) (año)

Zona aceptable
Zona Tolerable
Zona no Tolerable
 - Evento 1: Se sabe del análisis HAZOP que se considera una intensidad de la consecuencia
catastrófica, por lo cual, en la matriz de riesgo nos ubicamos en la primera fila, luego de esto
de la tabla 2 se sabe que la probabilidad de que falle un equipo estático, como lo es la válvula
de alivio, es de 1/100 por lo cual subimos por la columna C. De esta manera, quedamos en
la casilla 3, que nos dice que es necesario bajar 3 órdenes de magnitud para estar en una
zona de riesgo aceptable, por medio de la asignación de los SIL’s. De la tabla 3, se tiene que
el nivel de integridad de seguridad (SIL) para una válvula de seguridad es 2, y para el Switch
de Presión (PSHH) asignándole un SIL 1 y reduciríamos la clasificación en la matriz a la casilla
0 y estaríamos en zona de riesgo aceptable.

- Evento 2: Se considera una intensidad de la consecuencia catastrófica, teniendo en cuenta

que puede existir fatalidades y liberación de gas al medio ambiente. Según esto nos
ubicaríamos en la primera fila de la matriz de riesgo. Luego se considera que la probabilidad
de falla de la válvula es igual a 1/100, sin embargo, está válvula pertenece al lazo de control
básico y la probabilidad de falla de este es 1/10, por lo cual, teniendo en cuenta que un
análisis LOPA tiene que ser conservador, se toma el valor de probabilidad de falla más alto.
Esto nos ubicaría en la columna D de la matriz de riesgo y de esta manera el valor de
clasificación sería 4. Entonces es necesario reducir 4 órdenes de magnitud mediante la
asignación de SIL’s y estar en una zona aceptable. De acuerdo a esto, de la tabla 3 el nivel
de integridad de seguridad (SIL) para el lazo de control es de 1 y para la válvula de alivio es
de 2. Por lo cual, con esto garantizaríamos una clasificación 1 y estar en una zona de nivel
de riesgo tolerable.

1.4 Discusión de resultados y conclusiones

De los resultados de la asignación de los SIL, para el evento 1 se tiene que mediante la sugerencia
del HAZOP de incorporar un Switch de Presión Alta y junto con la válvula de alivio existente, se pudo
reducir los órdenes de magnitud necesarios para estar en una zona aceptable dentro de la matriz
de riesgo, lo cual, es lo que se busca con el análisis LOPA. Por otro lado, para el evento 2, si bien se
pudo reducir el riesgo hasta una zona tolerable, se podría aún reducir más el orden de magnitud
restante para estar en una zona de riesgo aceptable. Para esto es necesario, que se incorpore otro
transmisor de seña de presión (PT-2) al separador de modo, que esté conectado al controlador (PIC-
2) y trabaje de una forma independiente al controlador de (PIC-1), permitiendo que uno de los lazos
de control pueda fallar sin comprometer el funcionamiento del otro.

Para concluir se puede decir que para realizar el análisis LOPA, se deben considerar en primera
instancia cuál es la causa (evento iniciador) y la consecuencia y estos se pueden obtener de un
análisis HAZOP. Luego es importante tener en cuenta cuál es la frecuencia con la que ocurren los
diferentes eventos iniciadores que podrían provocar eventos catastróficos y de igual manera,
cuantas barreras de protección independientes tengo teniendo en cuenta que estas deben ser
también auditables, confiables y calificables. Finalmente, se determina la probabilidad de falla en
demanda para cada capa de protección y se estima la frecuencia con la que puede ocurrir el evento
considerado, teniendo en cuenta la matriz de riesgo. De esta manera, mediante los SIL’s que asigno
a las diferentes capas de protección, puedo saber si finalmente me encuentro en una zona de riesgo
aceptable y en caso negativo, qué medidas se pueden tomar para reducir el riesgo.
2. Caso de análisis: Reactor Batch para la producción de orto-nitroanilina a partir de amoniaco y
orto-nitrobenceno, como se ilustra en la ilustración 5:

Ilustración 5. Reactor Batch

2.1 Descripción del sistema

Dentro del reactor ocurre una reacción altamente exotérmica y el escenario de interés es una
reacción cuya temperatura o tasa de aumento de temperatura está excediendo algún valor crítico.
Para este caso en particular, existe un punto de no retorno de 188°C, en el cual el calor que se
produce en la reacción no puede ser contrarrestado por la corriente de enfriamiento de la chaqueta
del reactor, lo que puede conllevar a una sobrepresión del recipiente y una posterior ruptura.
Además, se asume que el evento iniciador es un error humano, en no poder controlar
adecuadamente la corriente de entrada del reactivo límite al reactor, tal que ocurre un incremento
en la concentración del reactivo límite y así una aceleración en la velocidad de reacción (y la tasa de
generación de calor) de 2.5 veces.

2.1.1 Frecuencia del evento iniciador: Para este caso, se asume que se producen 80 batches
al año y la probabilidad de un error humano que podría resultar en una reacción fuera
de control es de 0,01 por oportunidad, o sea que en total nos resulta 80*0,01 = 0,8 o
sea aproximadamente 1.0 vez por año.
2.1.2 Severidad del escenario de accidente: La severidad que se asume es mayor, ya que
puede resultar en pérdidas por encima de USD 1’000’000, personal de la planta como
operadores pueden perder la vida y puede ser lanzado material tóxico al medio
ambiente, las comunidades y propiedades a los alrededores que pueden verse
seriamente afectadas.
2.2 Identificación de las capas de protección independientes (IPL) y sus respectivas probabilidades
de falla por demanda (PFD).
Para la identificación de las capas de protección independientes se tiene como referencia la
ilustración 2 y sus respectivas probabilidades de falla se mencionan a continuación.
Tabla 5 Probabilidad de fallas por demanda de IPLS's
Capa de protección
Descripción de la IPL
independiente (IPL)
Está relacionado con la correcta
aplicación de los principios de
1. Diseño del proceso. diseño bajo seguridad
inherente.
Está relacionado con el lazo de
2. Control básico, control básico en el equipo o la
alarmas y supervisión respuesta del operario a una
de operadores. alarma.
Esta capa se relaciona con las
alarmas configuradas para sonar
3. Alarmas críticas, cuando la temperatura excede
supervisión de algún valor predeterminado y
operadores e permitir al operador ejecutar
intervención manual. cambios como por ejemplo,
modificar el flujo de agua de
enfriamiento.
Está capa se relaciona con un
4. Safety instrumented dispositivo como SIS o ESD, el
system (SIS) o cual no depende de la
Emergency Shutdown interacción de un operador.
(ESD)
Esta capa está relacionada con
los dispositivos de alivio, que,
por lo general, son un
5. Dispositivos de
requerimiento en los códigos de
alivio
diseño de estos equipos.
Son dispositivos que se usan
para rodear un equipo y evitar
que un derrame de alguna
6. Diques sustancia se salga de control.
Probabilidad de falla por demanda
(PFD)
Se asume que el diseño de proceso
no cuenta con la suficiente
información que garantice
confiabilidad por lo tanto, su PFD =
1.0
Normalmente en estos casos se
asume un PDF no menor a 0.1, sin
embargo, en este evento se
considera que no hay sistema de
control por lo que el PFD es 1.0
Para esta capa se suele asumir un
PFD = 0.1, sin embargo, teniendo en
cuenta que el evento iniciador es
una falla humana para este caso el
PDF es igual a 1.0.
En este caso se asume que el reactor
cuenta con un SIS que consiste de
una corriente de agua que entra
directamente al reactor para
disminuir la temperatura y que su
PFD es 0.1.
Estos dispositivos por lo general, se
les asigna una probabilidad de 0.01,
sin embargo, para este caso en
particular la válvula no había tenido
mantenimiento y por lo tanto no
estaba funcionando correctamente
por lo que su PFD es de 1.0.
Para este caso, cuando el reactor se
encuentra fuera de control y
empieza a generarse una sobre
presión, el dique no es capaz de
contener una liberación de gas
tóxico. Por lo tanto se considera una
PFD de 1.0.
 Esta capa se relaciona con la Para este caso en particular, se
capacidad de reacción de las asume que personas resultan
7. Plan de emergencia
brigadas contraincendios y heridas y que el PFD para esta capa
de la planta
personal capacitado en es igual a 1.0.
búsqueda y rescate.

2.3 Árbol de fallas para el evento

Para construir el árbol de falla se tuvo en cuenta las 5 primeras capas de protección que están
involucradas en el escenario de accidente que es la ruptura del reactor y sus respectivas
probabilidades de falla por demanda consideradas en la tabla

Ilustración 6 Árbol de fallas para el evento de ruptura del reactor

Como se puede ver en el árbol de fallas, nos resulta que la probabilidad de que ocurra una ruptura
del reactor es de 0,1 veces al año o lo que es igual 1 vez cada 10 años.

2.4 Análisis de capas existentes y asignación de su nivel de integridad de seguridad (SIL)

Para la asignación del SIL para cada capa de protección que ha sido tenida en cuenta para el análisis
se tiene en cuenta, la matriz de riesgos de la ilustración 2. En primer lugar, teniendo en cuenta la
severidad mayor del escenario, en la matriz nos ubicamos en la segunda fila, luego con la frecuencia
del evento iniciador igual a 1 vez por año, subimos por la fila E y quedamos en la casilla 4 y como se
dijo anteriormente es necesario reducir 4 órdenes de magnitud.
2.5 Análisis de capas de protección adicionales

De acuerdo con la matriz de riesgos, nos encontramos en una zona no aceptable y por lo tanto para
llegar hasta una zona aceptable es necesario reducir 4 órdenes de magnitud por medio de la adición
de otras capas de protección que se enuncian a continuación:

- El reactor debe ser puesto en marcha únicamente cuando esté funcionado el sistema
automático de alimentación al reactor. Esto puede reducir la frecuencia del evento iniciador
de 1 vez al año a 0,1 veces al año o lo que es lo mismo se le asigna SIL 1.
- La integridad y operabilidad del SIS, el cual activa una corriente de agua que entra
directamente, puede ser mejorada y de esta manera la probabilidad de falla del SIS pasaría
de 0,1 a 0,01 veces al año que corresponde a un SIL 2.
- Cuando las válvulas de alivio son debidamente probadas y se les hace constante
mantenimiento pueden reducir su probabilidad de falla por demanda de 1.0 a 0,01 como se
muestra en la tabla 3 y de esta manera su asignación de SIL 2.

2.6 Análisis de resultados y conclusiones

De los resultados se puede decir que la adición de nuevas capas de protección consistió en
robustecer algunas capas que ya se tenían como es el caso del SIS y realizar el mantenimiento a las
válvulas de alivio y esto permitió reducir 3 órdenes de magnitud y la adición de un sistema
automatizado de alimentación permitió reducir 1 orden de magnitud. En general se redujo los
órdenes de magnitud necesarios para pasar en la matriz de riesgos de una zona no aceptable a una
zona aceptable. Esto quiere decir que, con la adición de dichas capas, la frecuencia de que ocurra
una ruptura del reactor pasó de 1 x 10-1 (1 vez cada 10 años) a 1 x 10-5 (1 vez cada 100000 años), lo
cual es una reducción considerable.

Finalmente, se puede concluir que el análisis de LOPA debe ser conservador, ya que como se vio en
este caso la mayoría de las capas no generaban un nivel de confianza suficiente y por lo tanto, su
probabilidad de falla por demanda se asumió lo más alta posible de esta forma se garantiza que el
riesgo no se está subestimando y de esta manera conducir a un escenario de accidente que pueda
generar pérdidas económicas y peor aún, pérdidas de vida de personas.

3. Referencias

Roy E. Sanders,Practicing chemical process safety: a look at the layers of protection, Journal of
Hazardous Materials, Volume 115, Issues 1–3, 2004, Pages 141-147, ISSN 0304-3894,
https://doi.org/10.1016/j.jhazmat.2004.05.010.

Ronald J. Willey, Layer of Protection Analysis, Procedia Engineering, Volume 84, 2014, Pages 12-22,
ISSN 1877-7058, https://doi.org/10.1016/j.proeng.2014.10.405.

CCPS (Center for Chemical Process Safety), Layer of Protection Analysis: Simplified Process Risk
Assessment, 2001, Pages 292, ISBN: 978-0-816-90811-0.