1 OBJETIVO

Determinar el Nivel de Integridad de Seguridad (SIL) requerido por una

instalación nueva o existente a modificar, considerando las Capas de Protección
Independientes (IPL) existentes, con el fin de evaluar la necesidad de implantar
un Sistema Instrumentado de Seguridad (SIS) que cumpla con el nivel de Riesgo
Aceptable establecido en esta norma para la IPPN.

2 ALCANCE Y APLICACIÓN
Esta norma establece los principios básicos, métodos y criterios para la
determinación del SIL de las instalaciones de la Industria Petrolera y
Petroquímica (IPPN), a objeto reducir el nivel de riesgo de las instalaciones hasta
un nivel de Riesgo Aceptable (ver Fig. 1), por medio de la aplicación de medidas
costo–efectivas.
Esta norma no cubre las funciones de seguridad de los sistemas instrumentados
de seguridad, así como los tipos de arquitectura que pueden ser utilizadas. En
relación a las funciones y arquitectura de los SIS, ver Especificación PDVSA
K–336.
El alcance de esta norma se limita a la ejecución de estudios
cualitativos/cuantitavos asociados a los sistemas de protección bajo evaluación.
Para los estudios integrales de riesgos de las instalaciones, referirse a la norma
PDVSA IR–S–02.
Los requerimientos establecidos por leyes, reglamentos, decretos o normas
oficiales vigentes prevalecerán sobre lo contemplado en la presente Guía,
excepto cuando ésta sea más exigente.
En general, esta norma está basada en la aplicación de las últimas técnicas y
prácticas de identificación de peligros y evaluación de riesgos establecidas por
organizaciones reconocidas a nivel internacional, y en la experiencia de la IPPN.
La aplicación de esta norma debe ser realizada por un equipo multidisciplinario
con experiencia y adiestramiento en confiabilidad, operabilidad y mantenibilidad,
conformado como mínimo por las especialidades de Procesos, Instrumentación,
Mantenimiento, Operaciones e Ingeniería de Riesgos y liderizado por el personal
de Ingeniería de Riesgos.
Esta norma aplica para aquellos Sistemas Instrumentados de Seguridad (SIS)
cuya función principal es prevenir de forma automática la ocurrencia del evento
peligroso bajo estudio. También aplica para aquellos sistemas de mitigación que
involucren elementos sensores, “logic solver” y elementos finales que requieran
del cálculo de una Probabilidad de Falla en Demanda (PFD) para garantizar su
disponibilidad y funcionalidad en caso de ocurrencia del evento peligroso.
3 REFERENCIAS
3.1 PDVSA – Petróleos de Venezuela
IR–S–00 Definiciones.
IR–S–02 Criterios para el Análisis Cuantitativo de Riesgos.
IR–P–01 Safety Interlock Systems, Emergency Isolation, Emergency
Depressurization and Emergency Venting Systems.
K – 336 Safety Instrumented Systems.

3.2 ISA – International Society for Measurement and Control

ISA S84.01 Application of Safety Instrumented Systems for the Process
Industry.
3.3 IEC– International Electrotechnical Commission
IEC–61508 Functional Safety of Electric/ Electronic/ Programmable
Electronic Systems.
3.4 CCPS – Center for Chemical Process Safety
Guidelines for Safe Automation of Chemical Processes.
Process Equipment Reliability Data.
3.5 OREDA
Offshore Reliability Data Handbook

4 DEFINICIONES
Para otras definiciones ver documento PDVSA IR–S–00 “Definiciones” y PDVSA
K–336 “Safety Instrumented Systems”.

4.1 Nivel de Riesgo Aceptable

Es el nivel máximo de riesgo establecido para las instalaciones con potencial de
afectar a terceros, personal propio, ambiente o equipos.

4.2 Sistema Instrumentado de Seguridad (SIS)

Sistema compuesto de sensores, “logic solver” y elementos finales de control
cuyo propósito es llevar el proceso de un estado seguro cuando se violan unas
condiciones predeterminadas de seguridad.

4.3 Nivel de Integridad de Seguridad (SIL)

Nivel de integridad (SIL1, SIL2 ó SIL3) de los Sistemas Instrumentados de
Seguridad (SIS), el cual se define en función de la Probabilidad de Falla en
Demanda (PFD).
5 GENERALIDADES
Los procedimientos de determinación del SIL han sido desarrollados para
estudiar procesos, sistemas de control de procesos, operaciones, riesgo
inherente al proceso, etc. en una forma sistemática, lo cual reduce la subjetividad
en la identificación de áreas y/o sistemas críticos y permite jerarquizar la
importancia relativa de cada evento peligroso no deseado.
La utilización de los métodos de análisis cualitativos y cuantitativos para definir
el SIL de un SIS, han sido concebidos para reforzar la aplicación de las mejores
prácticas de Ingeniería, con el fin de obtener elementos de juicio para soportar
acciones que permitan alcanzar el nivel de seguridad requerido de las
instalaciones.
Fig 1. REDUCCIÓN DE RIESGO: CONCEPTOS GENERALES

(c) (b) (a)

Riesgo Riesgo
Aceptable inherente del
proceso +
BPCS
Reducción de Riesgo Necesaria

Riesgo Parcial cubierto por Sistema Riesgo Parcial cubierto por Capas de
Instrumentado de Seguridad (SIS) Protección Independientes IPL(s)

RIESGO

Reducción de Riesgo alcanzado por IPL(s) y/o SIS

* BPCS: Sistema de Control Básico de Proceso (Basic Process Control System).

 En la Figura 1, se puede apreciar como el riesgo inherente al proceso (incluyendo
el Sistema de Control Básico de Proceso – BPCS) (punto a) debe ser reducido
hasta un nivel de Riesgo Aceptable (punto c). Esta reducción de riesgo debe estar
cubierta por medio del uso de Capa(s) de Protección Independiente(s)
[Independent Protection Layers (IPL)] (punto b); si el punto (b) no coincide con
el punto (c), la reducción del riesgo remanente será cubierto por un SIS para
alcanzar el nivel de Riesgo Aceptable. Es importante destacar, que las medidas
de reducción de riesgo deberán ser sustentadas por Análisis Costo–Beneficios
y de acuerdo a lo establecido en la norma PDVSA IR–S–02.
En general la metodología establecida por esta norma para determinar la
necesidad de un SIS y su correspondiente SIL se presenta en la Figura 2 y se
describe a continuación:
1. Estudio del proceso + BPCS
En esta etapa se busca conocer el proceso objeto de la evaluación para lo cual
se recomienda disponer, entre otros, de los siguientes documentos y planos:

• Filosofía de Operación y Control.

• Estudio de Análisis Preliminar de Peligros (A.P.P.).
• Diagramas de Flujo de Proceso (DFP).
• Diagramas de Tuberías e Instrumentación (DTI).
• Planos de Ubicación de Plantas y Equipos.
• Especificación del BPCS.
2. Identificación de Peligros
Durante esta etapa, se deben identificar los peligros y sus causas que pudiesen
ocasionar liberación incontrolada de energía y/o productos tóxicos, afectando a
terceros, personal propio, ambiente y/o equipos.
La identificación de peligros pretende encontrar las condiciones de eventos
peligrosos presentes en una planta o proceso. Los métodos y técnicas
recomendados por esta norma para la identificación de peligros y las causas
iniciadoras de las mismos, son:
– Estudios de Riesgos y Operabilidad (HAZOP)
– What If? (“Que pasaría si....?”)
– Modos de Fallas, Efectos y Análisis de Criticidad (FMEA/FMECA)
– Arbol de Fallas (FTA)
– Arbol de Eventos (ETA)
Cada uno de los métodos antes indicados, se describen en la norma PDVSA
IR–S–02.
 Fig 2. METODOLOGÍA PARA DETERMINAR LA NECESIDAD DE UN SIS Y SU
CORRESPONDIENTE SIL

INICIO

ESTUDIO DEL PROCESO

+ BPCS

IDENTIFICACIÓN DE PELIGROS/LAZOS CRITICOS

IDENTIFICACIÓN DE CAPAS INDEPENDIENTES DE

PROTECCIÓN

SELECCIONAR METODOLOGíA (CUALITATIVA/CUANTITATIVA)

PARA DETERMINAR EL SIL DEL SIS

MÉTODO CUALITATIVO MÉTODO CUANTITATIVO

ESTIMAR EFECTIVIDAD DE
VER TABLAS 4 Y 5 CAPAS DE PROTECCIÓN

ESTIMAR ESTIMAR ESTIMAR ESTIMAR

FRECUENCIAS CONSECUENCIAS FRECUENCIAS CONSECUENCIAS

CUANTIFICAR EL
NO RIESGO
FIN APLICA UN
SIS

SI
RIESGO SI
VER TABLA 8 ACEPTABLE FIN
OBTENER SIL DEL SIS
NO

ESTABLECIMIENTO
SIL DEL SIS
 3. Identificación de Capas Independientes de Protección Diferentes del SIS.
Una vez que los peligros hayan sido identificados, se debe proceder a la
identificación, descripción y documentación de las IPL, para ser consideradas en
la estimación de frecuencia del evento peligroso en estudio. En el Anexo A, se
muestra una breve descripción de las IPL.
4. Seleccionar Método Cualitativo/Cuantitativo para la Determinación del SIL.
Una vez cumplidos los pasos anteriores, se selecciona el método cualitativo y/o
cuantitativo descritos en la Sección 6 “Metodologías para la Determinación del
SIL del SIS”.
5. Estimación de Frecuencia y Consecuencias.
En este paso se debe estimar la frecuencia de ocurrencia de los peligros
identificados, asi como la severidad de sus consecuencias, con el objeto de
cuantificar el riesgo.
6. Establecer Nivel de Riesgo Aceptable para la Instalación.
Seleccionar el nivel de Riesgo Aceptable de acuerdo a la clasificación de la
instalación y compararla con el nivel de riesgo determinado en el punto anterior.
Este paso sólo aplica para la metodología cuantitativa.
7. ¿Se requiere un SIS?.
Si el riesgo determinado en el punto 5 resulta mayor que el nivel de Riesgo
Aceptable seleccionado en el punto 6, entonces se requiere un SIS, que cubra
la brecha o diferencia.

6 METODOLOGÍAS PARA LA DETERMINACIÓN DEL SIL DEL

SIS
La Figura 3 muestra en forma general la metodología para la determinación del
SIL.
Fig 3. METODOLOGÍA PARA LA DETERMINACIÓN DEL NIVEL DE INTEGRIDAD DE
SEGURIDAD (SIL)

Riesgo (R) = F x C
C

Consecuencia
del Evento
Peligroso
Capa de Protección
Independientes (IPL) y/o Sistema
Riesgo del Riesgo
Proceso + BPCS
F Instrumentado de Seguridad (SIS)
necesarios para lograr la Aceptable
Reducción de Riesgo
Frecuencia de
Ocurrencia del Reducción Necesaria
Evento Peligroso de Riesgo:

F R

Proceso + BPCS

Los análisis cualitativos pueden presentar cierto nivel de incertidumbre y tienden

a dar resultados conservadores, no obstante, la ventaja principal de esta
metodología es su simplicidad, lo cual conlleva a un requerimiento menor de
tiempo para el establecimiento del SIL. En caso de obtener un SIL mayor o igual
a 2 usando el método cualitativo, se debe validar este cálculo aplicando la
metodología cuantitativa.
Los análisis cuantitativos requieren un mayor esfuerzo que los cualitativos, pero
permiten alcanzar el desempeño requerido con una mejor relación entre la
reducción de riesgo y la inversión.
A continuación se muestran tres métodos para determinar el nivel de integridad
de seguridad de los sistemas instrumentados de seguridad, dos de ellos
cualitativos y uno cuantitativo.

6.1 Métodos Cualitativos

6.1.1 Método General de Matriz de Capas de Seguridad
El método matriz de capas de seguridad (Ver Figura 4) es un método cualitativo
que permite determinar el SIL de un SIS por medio de una estimación del riesgo,
que requiere de una evaluación de la severidad de las consecuencias de los
eventos peligrosos, y de la probabilidad de ocurrencia de todos los eventos
iniciadores que podrían conllevar a consecuencias.
 El tercer eje de la matriz requiere de una evaluación cualitativa de la efectividad
de las capas de protección previstas (tales como sistemas de protección o capas
que típicamente involucran diseño de procesos especiales, equipo del proceso,
procedimientos administrativos, planes de emergencias y/o contingencias).
Fig 4. MATRIZ DE CAPAS DE SEGURIDAD PARA LA DETERMINACIÓN DEL SIL

1 1 1 3 3 3

NA NA 1 2 2 3
2 2 2
NA NA NA 1 1 2
Y Alta
1 1 2 Z
Alta

3 3
Severidad de las
Consecuencias

NA NA 1
Baja Moderada

2 3 Moderada
Efectividad de las
Capas de Protección
1 2
Baja
X
Baja Moderada Alta NA: No requiere SIS

Frecuencia de Ocurrencia
de los Eventos Iniciadores

A continuación se describen los pasos a seguir en el uso de la Matriz de Capas

de Seguridad:
1. Identificar los peligros del proceso y sus eventos iniciadores.
2. Evaluación cualitativa de la severidad de las consecuencias de los peligros
de forma independiente a los cuales el SIS va a proteger (Eje Y).
3. Evaluación de la frecuencia de ocurrencia de todos los eventos que
pudiesen ocasionar consecuencias (Eje X).
4. Evaluación cualitativa de la efectividad de las Capas de Protección
Independientes (Diferentes al SIS) (Eje Z).
El resultado de la matriz será el valor del SIL correspondiente al SIS a instalar
para el evento particular.
En las Tablas 1 y 2, se presentan unas guías cualitativas para ayudar a determinar
las frecuencias de ocurrencia de accidentes y severidad de las consecuencias de
los eventos peligrosos, respectivamente.
 TABLA 1. FRECUENCIA DE OCURRENCIA DEL EVENTO PELIGROSO
Frecuencia
Tipo de Evento Frecuencia Rango
(veces/año) Cualitativo
Eventos de muy baja frecuencia de
ocurrencia, tales como fallas múltiples de
F<10–4 Bajo
instrumentos, errores humanos múltiples ó
fallas de equipos.
Eventos de baja frecuencia de ocurrencia,
incluye la combinación de fallas de 10–4 < F < 10–2 Moderado
instrumentos con fallas humanas.
Eventos de frecuencia mediana – alta, tales
como fallas de válvulas ó de F > 10–2 Alto
instrumentación.
TABLA 2. SEVERIDAD DE CONSECUENCIAS
Severidad Severidad del Evento
Daños menores al equipo, no implica parada del proceso,
Baja
heridas y/o daños menores al personal y al ambiente.
Daños al equipo, breve parada del proceso, heridas y/o daños
Moderada
al personal y al ambiente.
Graves daños al equipo, parada del proceso por un largo
Alta período de tiempo, consecuencias catastróficas al personal, al
ambiente y/o a terceros.
6.1.2 Método General de Gráfica de Riesgo
El método Gráfico de Riesgo simplificado está basado en la siguiente ecuación:

R (Riesgo) = f (Frecuencia) x C (Consecuencia)

• R: Riesgo sin el sistema instrumentado de seguridad (SIS)
• f: Frecuencia del evento peligroso sin el SIS
• C: Consecuencia del evento peligroso (Las consecuencias pueden estar
relacionadas a daños asociados a personas, equipos y/o ambiente).
La frecuencia (f) de cada evento peligroso se considera influenciada por tres
factores:
• Frecuencia y tiempo de exposición en la zona peligrosa (F).
• Probabilidad de evitar el evento peligroso (P).
• Probabilidad de que el evento peligroso ocurra sin la adición de un SIS (W).
Por lo tanto, el riesgo (R) está influenciado por los siguientes parámetros:
• C: Consecuencia del evento peligroso.
• F: Frecuencia y tiempo de exposición en la zona peligrosa.
• P: Probabilidad de evitar el evento peligroso.
• W: Probabilidad de ocurrencia del evento peligroso.
 A continuación se describen los pasos a seguir en el uso del método de Gráfico
de Riesgo:
• La combinación de los parámetros de riesgo descritos anteriormente, permite
el desarrollo de la gráfica del riesgo. En la Figura 5, se puede apreciar que C1
< C2 < C3 < C4; F1 < F2; P1 < P2; W 1 < W 2 < W3.
• Los parámetros del método Gráfica de Riesgo, se describen a continuación:
– El uso de los parámetros de riesgo C, F y P conllevan a un número de
salidas X1, X2, X3, ...XN. Cada una de estas salidas son direccionadas a una
de las tres escalas de probabilidad de ocurrencia del evento peligroso (W 1,
W2 y W 3). Cada punto en esta escala es una indicación del SIL requerido.
En algunos casos particulares un SIS no es suficiente para la reducción del
riesgo requerido.
– La selección entre W1, W2 y W3 dependerá de la probabilidad de ocurrencia
del evento no deseado.
– El resultado final de la Gráfica de Riesgo puede conllevar a la obtención de:
 SIL (1, 2 ó 3). Como medida de reducción de riesgo requerida del
sistema.
 Al no requerimiento de un SIS (el cual es denotado por la letra “a”).
 Casos particulares donde un SIS no es suficiente (identificado con la
letra “b”).
La definición de los parámetros indicados en la Figura 5 (C, F, P y W) son
representados en las Tablas 3, 4, 5 y 6.

TABLA 3. SEVERIDAD DE CONSECUENCIA (C)

Parámetro Clasificación Severidad del Evento
Heridas leves al personal, sin daños al
C1 Muy Baja
ambiente o sin daños al equipo.
Lesiones mayores al personal o daños
C2 Baja menores al ambiente, daños menores al
equipo, no implica parada del proceso.
Una fatalidad o daños al ambiente
C3 Moderada recuperables al mediano plazo, daños al
equipo y breve parada del proceso.
Varias fatalidades o daño permanente al
C4 Alta ambiente, graves daños al equipo y parada
del proceso por un largo período de tiempo.
Fig 5. MÉTODO CUALITATIVO DE GRÁFICA DE RIESGO PARA DETERMINACIÓN
DEL SIL

EXTENSIÓN FRECUENCIA DE POSIBILIDAD DE PROBABILIDAD DE OCURRENCIA DEL EVENTO PELIGROSO

DEL DAÑO EXPOSICIÓN AL EVITAR EL
PELIGRO PELIGRO
W3 W2 W1
MODERADA A ALTA BAJA MUY BAJA

C1 X1
a a a
MUY BAJA

P1 X2
POSIBLE
SIL 1 a a

F1 MENOR
P2
C2
POCO POSIBLE X3
BAJA SIL 2 SIL 1 a
P1
F2 MAYOR
POSIBLE

P2
F1 MENOR
C3 POCO POSIBLE X4 a2 a1
SIL 3 SIL SIL
MODERADA P1
F2 MAYOR
POSIBLE

P2
F1 MENOR
POCO POSIBLE X5
C4 b SIL 3 SIL 2
ALTA
P1
POSIBLE
F2 MAYOR

P2 X6
b b SIL 3
POCO POSIBLE

NOTA:
a = No requiere SIS
b = un SIS no es suficiente

TABLA 4. FRECUENCIA DE EXPOSICIÓN AL PELIGRO (F).

Parámetro Clasificación Comentarios
F1 Menor Muy baja a baja frecuencia de exposición al peligro.
F2 Mayor Muy alta frecuencia de exposición al peligro.
TABLA 5. POSIBILIDAD DE EVITAR EL PELIGRO (P).
Parámetro Clasificación Comentarios
P1 Posible Posible bajo ciertas condiciones específicas (*)
P2 Poco Posible Casi imposible evitar el peligro (*).
(*) Este parámetro toma en consideración lo siguiente:
• Operación del proceso [supervisado (operado por personal entrenado ó no
entrenado) ó no supervisada.]
• Rapidez del desarrollo del evento peligroso (por ejemplo: rápido, inmediato o
lento).
• Facilidad de identificación del peligro: inmediatamente, detectado por medios
técnicos o no detectado.
 • Rutas de escape posibles: Posible o imposible en ciertas circunstancias.
TABLA 6. PROBABILIDAD DE OCURRENCIA DEL EVENTO PELIGROSO (W)

Frecuencia Probabilidad de
Tipo de Evento
(veces/año) Ocurrencia
Eventos de muy baja probabilidad de
ocurrencia, tales como fallas múltiples W1
de instrumentos, errores humanos Fr <10–4
múltiples ó fallas espontáneas de Muy Baja
equipos.
Eventos de baja probabilidad de
ocurrencia, incluyen la combinación de W2
10–4 < Fr < 10–2
fallas de instrumentos con fallas Baja
humanas.
Eventos de probabilidad mediana alta, W3
tales como fallas de válvulas ó de Fr > 10–2
instrumentación. Moderada a Alta

6.2 Método Cuantitativo

Este método se fundamenta en la estimación de frecuencias y cálculo de
consecuencias. Para la estimación de frecuencias, se utiliza la técnica de árbol
de fallas. Los Análisis de Arbol de Fallas son diagramas de lógica que
sistemáticamente despliegan la secuencia de fallas, que comienza con eventos
iniciadores y combina las fallas de equipos/instrumentos/sistemas y errores
humanos y finaliza en un evento peligroso definido como evento tope. Por otro
lado, para el cálculo de consecuencias, se utiliza la técnica de Arbol de Eventos
y paquetes de simulación.
La norma PDVSA IR–S–02 “Criterios para el Análisis Cuantitativo de Riesgo”,
presenta con mayor detalle las técnicas de Arbol de Fallas/Arbol de Eventos,
criterios de daños y cálculo de consecuencias, así como la base de datos de fallas
de equipos y errores humanos requerida para su uso. No obstante las siguientes
referencias pueden ser usadas como complemento de esta base de datos:
• “OffShore Reliability Data” (OREDA)
• “Process Equipment Reliability Data – CCPS”.
6.2.1 Método General
Los pasos del método cuantitativo son los siguientes:
1. Identificar del Riesgo Aceptable permitido por PDVSA de acuerdo a la Tabla
No. 8.
2. Identificar peligros del proceso.
3. Identificar capas de protección independientes.
4. Determinar la frecuencia de ocurrencia de las consecuencias (evento final)
que origina el evento iniciador, por medio del siguiente procedimiento:
a. Elaborar el árbol de fallas (demandas) y calcular la frecuencia de
ocurrencia del evento iniciador, utilizando las diferentes tasas de falla de
las estadísticas referenciadas.
b. Calcular las consecuencias del evento iniciador a través de árbol de
eventos y programas de simulación.
c. Cuantificar el riesgo asociado al evento iniciador, utilizando la frecuencia
determinada en el punto 4a y las consecuencias de punto 4b. Este es el
valor del riesgo real presente en la instalación. A este valor se le puede
llamar Rr (Riesgo real).
5. Calcular el valor de frecuencia de ocurrencia final del riesgo identificado
(Rf), multiplicando el aporte de las capas independientes de protección
(AIPL), por el valor Rr. Si este valor no cumple con el valor del Riesgo
Aceptable, es necesario agregar un SIS.
6. Determinar la probabilidad de falla en demanda (PFDav) que permita
reducir el riesgo hasta la meta de nivel de riesgo establecido (Riesgo
Aceptable), dividiendo el valor del Riesgo Aceptable, entre el valor de
frecuencia de ocurrencia final del riesgo (Rf):
Riesgo Aceptable Riesgo Aceptable
PFDav = =
Rf Rr x AIPL

Rf: Frecuencia de ocurrencia final del riesgo

Rr: Riesgo real
AIPL: Aporte de las Capas Independientes de Protección
PFDav: Probabilidad de falla en demanda
TABLA 7. NIVELES DE INTEGRIDAD DE SEGURIDAD (SIL)
Niveles de Integridad de Probabilidad de Falla en
Seguridad (SIL) Demanda (PFD average.)
1 10–1 a 10–2
2 10–2 a 10–3
3 10–3 a 10–4
Es importante destacar, que en esta etapa es recomendable realizar un Análisis
Costo–Beneficio, donde se comparen las ventajas entre; colocación
(únicamente) de IPL, SIS (únicamente) y/o la combinación de ambas (IPL y SIS),
bajo la óptica, que los sistemas inherentemente seguros son aquellos sistemas
sencillos y simples.
Los valores del nivel de Riesgo Aceptable para la determinación del SIL del SIS
fijados para la IPPN, son los descritos en la Tabla 8.
 TABLA 8. NIVEL DE RIESGO ACEPTABLE
Nivel de Riesgo
Aceptable
Clasificación de la Instalación (ocurencias/año)
de acuerdo a la
potencialidad de daños
Normalmente atendida y no atendida con potencial de 10–6
afectar a terceros
Normalmente atendida con potencial de afectar a 10–5
personal propio y/o al ambiente
No atendida con potencial de producir pérdidas (costo 10–4
reposición, pérdida de producción) > 100M $
No atendida con potencial de dañar equipos mayores 10–3
(principales de proceso)
No atendida con potencial de dañar equipos menores 10–2
(auxiliares de proceso)
 ANEXO A
CAPAS DE PROTECCIÓN INDEPENDIENTES [IPL(S)]
Para la configuración del proceso, donde sea posible, es conveniente aplicar
decisiones para una mayor reducción de riesgo hasta niveles tolerables –
mínimos, vía cambio del diseño o de adición de IPL(s) y/o SIS.
En la Fig. A1 de “Capas Múltiples de Protección”, se muestran en forma general
algunas capas de protección independientes que podrían prevenir la(s) causa(s)
Inicial(es) del evento peligroso. Las IPL(s) deben ser diferentes para diferentes
causas iniciadoras.
En base a los requerimientos descritos en el punto siguiente “Reglas para IPL(s)”,
se podrá determinar si las capas de protección evaluadas son independientes.
Adicionalmente, se describen algunas características de las mismas.
• REGLAS PARA IPL(s)
1. Cada capa de protección debe ser independiente de las otras capas. En
otras palabras, no debe existir una falla que pueda dejar fuera de
funcionamiento dos o más capas de protección.
2. Una IPL es específicamente diseñada para prevenir o mitigar las
consecuencias de un evento peligroso.
3. La IPL se diseñará de tal manera que la misma pueda ser auditada.
4. Para efectos de esta norma, el Sistema del Control Básico de Proceso
(BPCS) no puede ser considerado como una IPL.
5. Las alarmas que son anunciadas y que son dependientes del BPCS, no se
pueden considerar como IPL adicional.
6. Cualquier otro sistema instrumentado puede ser considerado como una IPL
sí y sólo si:
– Es totalmente independiente del BPCS y del SIS.
– Su falla no es responsable de iniciar un evento peligroso.
 Fig A.1. CAPAS MULTIPLES DE PROTECCIÓN

RESPUESTA DE EMERGENCIA A LA COMUNIDAD

REDUCE
SEVERIDAD DEL RESPUESTA DE PROTECCIÓN DE PLANTA
ACCIDENTE
PROTECCIÓN FÍSICA (DIQUES DE CONTENCIÓN)
REDUCE
SISTEMA INSTRUMENTADO DE SEGURIDAD
PROBABILIDAD DE
OCURRENCIA DEL
CAPAS DE PROTECCIÓN INDEPENDIENTES (IPLs)
ACCIDENTE

PROCESO
+
BPCS

En la Fig. A.1 de “Capas Múltiples de Protección”, se aprecia como las IPL(s)

reducen la severidad así como la probabilidad del evento. En algunos casos, las
IPL(s) que reducen la severidad, no previenen todos los aspectos negativos del
evento. Este tipo de capa de protección se conoce también como capas de
mitigación, ejemplos de las mismas son: válvulas del alivio, discos de ruptura,
sensores para detección de descarga de productos al ambiente y procedimiento
de evacuación, sensores y sistema de diluvio automático. De nuevo, cada capa
debe ser independiente.