SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

ISA EXPO CONTROL 2010

Pasos en la determinación del SIL;

desde establecer un objetivo de riesgo
hasta seleccionar el valor adecuado
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Dr Alejandro Torres
Sinopsis

• Exposición de la metodología para la determinación del

Nivel SIL en Sistemas Instrumentados de Seguridad
(SIS)

• Abarcando todas las etapas:

– Desde el establecimiento de un objetivo de riesgo
– Hasta la selección final del valor adecuado del SIL

• Basado en un enfoque semicuantitativo acorde con la

norma IEC 61511*

*IEC 61511 - Functional Safety – Safety Instrumented Systems for the Process Industry
Sector
SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD
 Introducción

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Conceptos básicos

• Peligro (Hazard)
– Condición que potencialmente puede causar daño a la vida
humana

• Riesgo (Risk)
– Combinación de la probabilidad (o frecuencia) de ocurrencia de
un peligro y su nivel de consecuencias (severidad)

Riesgo = frecuencia x severidad

• La severidad se mide generalmente en número de vidas

humanas que se pueden llegar a perder
• La frecuencia en número de eventos peligrosos por año
SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD
 Conceptos básicos

• Sistema Instrumentado de Seguridad (SIS)

– Según la definición de IEC 61511, un sistema instrumentado
utilizado para implementar Funciones Instrumentadas de
Seguridad
– Es una capa de protección con la función de contribuir a las
reducción del riesgo presentado por la planta

• Función Instrumentada PT1

Safety
de Seguridad (SIF) controller
LS1 Pressure
measurement
Product
– Función implementada por
un SIS para llevar la planta TT1
Chemical
a un estado seguro en Temperature reactor
presencia de una condición Process
measurement

peligrosa fluids FC1

– P.E. Protección de Control valve

sobrepresión de un reactor Product

químico
SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD
Conceptos básicos

• Nivel de Integridad de Seguridad (SIL)

– Medida de la probabilidad de un SIS de ejecutar su función de
seguridad como respuesta a un peligro
– Cuatro niveles, cuantificados en términos de la probabilidad de
falla bajo demanda promedio (PFDavg) para sistemas que
trabajan en modo de baja demanda

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Método semicuantitativo para
selección del SIL
• De especial valor cuando el riesgo tolerable se puede
especificar en forma numérica
• Más preciso que los métodos cualitativos
• Provee mejor justificación y documentación del proceso
de toma de decisiones

Pasos:
1. Establecer el objetivo de riesgo (riesgo tolerable)
2. Desarrollar identificación de peligros
3. Desarrollar análisis de riesgos
4. Comparar riesgo actual contra el riesgo objetivo
5. Asignar funciones de seguridad SIFs
6. Determinar el SIL de cada SIF
SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD
Criterio de riesgo y riesgo objetivo

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Objetivo de riesgo (risk target)

• El primer paso en la selección del SIL de un SIS es

establecer cual es el “objetivo de riesgo”
• Este depende del nivel de riesgo que se considera
“aceptable” o por lo menos “tolerable”
• Para esto se requiere de un marco de referencia o
“criterio de riesgo”
• No existe un criterio universal, y este varía también de
acuerdo al tipo de industria (y de país a país)
• El “criterio de riesgo” es un estándar que permite traducir
juicios de criterio en valores numéricos de riesgo

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Tolerancia de riesgo (TOR framework)

El marco de referencia para la tolerancia de riesgo* se resume en tres

niveles:

ALARP significa “tan bajo como sea razonablemente practicable” (as

low as reasonably practicable)
*Health & Safety Executive, “Reducing risk, protecting people. HSE’s decision-making
process”, 2001
SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD
Reducción de riesgo

El objetivo del análisis SIL es dar un número que refleje el nivel de

reducción de riesgo que debe proporcionar el SIS: el Factor de
Reducción de Riesgo (RRF)

• Para reducir el riesgo

se debe disminuir la
frecuencia o la
severidad.

• El SIS generalmente
aborda la reducción de
la frecuencia

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

 Criterio de riesgo en el Reino Unido

• Riesgo social Curva F-N

– Relación entre la frecuencia estimada
de un peligro y el número de posibles
víctimas (>1)
– Un marco de referencia es el estudio
del Advisory Committee on Dangerous
Substaces Study (ACDS): “Major
hazards of the transport of dangerous
substances”, 1991.

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Clasificación de severidad

• Las denominaciones de la clasificación se establecen

utilizando términos que describen el nivel de
consecuencias o de frecuencia

• El siguiente es un ejemplo de una clasificación industrial:

– Menor <1 víctima – Solo heridas a personal en campo
– Significativo 1-10 víctimas – Víctimas entre personal en campo:
operadores y mantenimiento
– Critico 10-100 – Entre víctimas hay personal administrativo
(trabajando en la vencidad de la planta). Tal vez público general
– Catastrófico >100 – El accidente sobrepasa los límites de la planta
y afecta comunidades aledañas, contando entre las víctimas
personas ajenas a la planta (público general)

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Matriz de clases de riesgo

• La combinación de severidad y frecuencia se puede

expresar en una matriz
• La matriz combina los dos factores, y las clases de
riesgo son seleccionadas con el criterio ACDS 1991
• Las clases representan las zonas del TOR

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Establecer el objetivo de riesgo

• La matriz de riesgo anterior representa el riesgo total de

la planta
• Si existen 10 peligros diferentes, la frecuencia de riesgo
total se puede dividir entre 10
• Ejemplo: Para el nivel catastrófico, el umbral de riesgo
aceptable es 1x10-6/año. Para cada peligro la frecuencia
aceptable sería entonces 1x10-7/año

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Identificación de peligros
(Hazard identification)

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Identificación de peligros

• Consiste en hacer un análisis cuidadoso para identificar

todos los potenciales eventos peligrosos y su
importancia
• Técnicas para identificación de peligros son:
– HAZOP
– Análisis de modos de falla y efectos (FMEA)
– What-if análisis
– Análisis causa-efecto

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

FMEA

• El propósito principal del FMEA es identificar los modos

en que un componente puede fallar y determinar los
efectos de tales fallas
• Pasos:
1. Definir el sistema a estudiar
2. Identificar cada modo de falla
3. Identificar la causa de cada falla
4. Identificar los efectos de cada modo de falla
5. Identificar la criticalidad de efecto (consecuencias)
6. Emitir el reporte

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Ejemplo: Planta GNL

Planta terminal exportadora de Gas Natural Licuado (GNL)

Feed
gas Feed gas Condensate
metering Fractionation
Refrigerant

Liquefaction Train

Feed gas Mercury Acid gas Cooling/ Liquefaction/

compression removal removal dehydration refrigeration

LNG tanker
LNG storage
loading

• GNL una mezcla de hidrocarburos: Principal componente metano (93-99%)

con otros hidrocarburos y gases inertes y gases ácidos
• La planta esta localizada en puerto en la costa
• Frente a la planta existe un área residencial de 5000 habitantes

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Ejemplo: Planta GNL
Scale: 0.01:75m

Shoreline

Impoundment
basin Compressor
house
LNG storage
tank

Administrative
Flare Building
LNG
stack
Train

Site
entrance
Eff
Treat

Highway

Residential
area
CCR = Central
control room
Lab = laboratory

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Propiedades y peligros del GNL

Los peligros del GNL resultan de tres factores

principales:
1. Temperatura criogénica
– 162oC a temperatura ambiente
– Puede provocar fragilización y fracturas en metales
2. Características de dispersión
– Al derramarse forma una acumulación líquida que tiende a
evaporarse (expansión)
– Tiende a dispersarse a nivel del suelo (mas pesado que el
aire)
3. Inflamabilidad
– Ignición de mezcla inflamable

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Características del tanque y unidad de
descarga

• Taque: capacidad 150,000 m3

• Almacenamiento a -161oC
• Operación de descarga a 6000m3/hr a 4.0 barg
• Brazo de descarga y brazo de retorno, con un sistema
PERC (Powered Emergency Release Coupling)
• Gas de retorno manejado por un compresor BOG
• Dos estados de operación: descarga y recirculación
• Bomba de recirculación para evitar rollover
• Cuenca de embalse para contener derrames del tanque
y la unidad de descarga

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Asignación de SIFs

Pre-asignación de SIFs basada en la norma EN 1473*

ESD ESD ESD

I I TI
I JETTY
11
PI
08
FI TI PI PT PIC PI
13 13 13 12 12 11 Flare TI
Return to Vapour return line 08

SV- SV- ESD

liquefaction 109 108 SV-107
HV-30
unit I
N2 HIC
PIC 04
NV-3
10 N2
N2
M HV-29
HV-28 ESD
PT
10
I
ESD SV-106
PIC ZS
I CCS
02 ESD ESD 102

HIC I HIC I HV-27

02 03 N2
PERC
TI PI
II HS
06 06
02 02

BOG line
Loading line N2
HV-26
ESD PERC
FT SV-103 SV-105
HIC I PIC N2 01 TI
01 01 ESD FIC HV-13 07
HV-24
ZS
101
TI
I ESD 101
PT LL
PI LNG
01
01 ESD FIC
I SV-104
07
Gas feed Carrier
HH
01 I I
I N2
From SV-102 TI LIC ESD ESD
HV-25
HV-21 04 101
liquefaction N2
N2 LL
unit NV-1
HV-23
HH Recirculation line
SV-101 HV-12
TI
PIC ESD
03 HS
101
HV-11 HV-22 Diversion line RV-02 101A/ I
LL B
N2 TI
02 PT DI LI NV-2 PDI ESD
02 01 01 HS
RV-01 01 102A/ I
B
I
ESD
ESD HS
103A/ I
B

ESD
HS
104A/ I
M ESD B
ESD
I HS
105A/ I
B

M MCC
ESD
ESD safety
I function
TI
05
II HS
01 01 Electric signal

*EN 1473 (1997) Installation and equipment for Liquefied Natural Gas; Design of
onshore installations

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Ejemplo del FMEA

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Peligros principales identificados

1. Liberación de GNL a través de válvulas de alivio del

tanque de almacenamiento por rollover
2. Falla y fuga en las líneas de descarga/retorno del Jetty,
con gran inventario
3. Falla y fuga de los brazos de descarga, menor
inventario pero mayor probabilidad debido a falla
mecánica (sujeto a estrés por movimiento del barco)
4. Compresor, probabilidad de fugas a la salida
presurizada. El mayor peligro una explosión violenta
debido al confinamiento del compresor

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

 Análisis de riesgos
Análisis de consecuencias

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Escenarios considerados

• Escenario 1 – Fuga de vapor de GNL del tanque de

almacenamiento a través de las válvulas de alivio como
consecuencia de rollover
• Escenario 2a – Fuga de la línea de descarga del jetty por
ruptura o falla de brida
• Escenario 2b – Fuga del brazo de descarga (por ruptura
o desacoplamiento accidental)
• Escenario 3 – Fuga a alta presión a la salida del
compresor y explosión (VCE)
• Escenario 4 – Fuga en el tren de licuefacción y explosión
(VCE)

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Posibles consecuencias

• Las consecuencias resultan principalmente de la ignición

de la fuga

• Jet fire – ignición inmediata de fuga presurizada

• Pool fire – ignición retardada de una acumulación líquida
de GNL
• Flash fire – ignición retardada de una nube de GNL
• Vapour Cloud Explosion (VCE) – Ignición violenta de
una nube de gas en un espacio confinado

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Modelado de consecuencias

• Modelado se hace comúnmente utilizando programas

de simulación (p.e. BP Cirrus)
• Pasos:
1. Identificar cantidad y velocidad de la fuga/derrame (source
term)
2. Modelar el comportamiento de dispersión. En este caso fases
líquida y gaseosa debido a evaporación del líquido al
dispersarse
3. Determinar la modalidad y tipo de fuego en caso de ignición
4. Estimar el número posible de víctimas (de acuerdo al área de
afectación)

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Número de personas en sitio

Probabilidad de perder la vida por evento:

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Criterio de daño (endpoint distance)

• HSE “dangerous dose”* - La dosis peligrosa que causa

hasta el 1% mortalidad (o más) de la gente expuesta

• El daño se mide determinando la dosis expuesta

• En este caso por:
– Radiación térmica
– Sobrepresión por explosión

• Distancia límite al último punto peligroso

– Pool fire - Radiación térmica: 15 kW/m2
– Flash fire: distancia al límite inferior de inflamabilidad (LFL 5%)
– VCE – sobrepresión por explosión: 0.1 bar en interiores

*Health and Safety Executive, Risk criteria for land use planning in the vicinity of major
hazards, 1989
SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD
Escenario 2a – Fuga de la línea de descarga

• Tres modelos ejecutados:

– Modelo de evaporación de derrame líquido
– Modela la velocidad y expansión y evaporación de un derrame líquido
– Modelo de dispersión de vapor pesado
– Modela la dispersión de una fuga no presurizada a nivel del suelo de una
nube de vapor más pesada que el aire
– Modelo de radiación térmica de pool fire
– Modela la radiación térmica en cualquier punto alredor del fuego de una
acumulación líquida de GNL (pool)

• Escenarios considerados:
– Derrame en la cuenca de embalse (contención)
– Derrame en tierra (ejemplo utilizado aquí)
– Derrame en el mar

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Modelo de dispersión de vapor

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Modelo de radiación térmica
Pool fire due to release of LNg onto land, loading line failu
Horizontal Plane at 1.5 metres
400

300
Material : Methane

200

100 Heat Flux

5 kW/ m2
15 kW/ m2
0
32 kW/ m2
-400 -300 -200 -100 0 100 200 300 400
Flame Drag
-100 Flame

-200

-300 Down W ind

Unconfined spill 2 (m/ s)

on Land -400
All Distances in metres (m)

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Resultados simulación
Scale: 0.01:75m

Shoreline
Maximum pool
diameter
5% (LFL)
Impoundment
basin Compressor 15 kW/m2
house
LNG storage
tank

Administrative
Flare Building
LNG
stack
Train

Site
entrance
Eff
Treat

Highway

Residential
area

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Escenario 4 - VCE en el tren de licuefacción
Scale: 0.01:75m

LNG carrier

Jetty
Shoreline

Impoundment
basin Compressor
house

LNG LNG storage

tank
liquefacction
train

Fractionation
Administrative
Flare Building
stack
0.1 bar

treatment

N2/Air
Water
Refrigerant

Generation
storage
Site

Power
entrance
Eff

LAB
Work
shop
CC
R
Treat

Highway

Residential
area

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Cálculo de víctimas por escenario

• El escenario con mayor número de víctimas es el VCE

en el tren de licuefacción debido a que alcanza la zona
residencial

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

 Análisis de riesgos
Análisis de frecuencia

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Arbol de eventos (event tree)

• Arbol de eventos – Técnica que describe gráficamente

las combinaciones posibles a partir de la ocurrencia un
evento peligroso (o falla de sistema) que dan lugar a un
accidente u otro evento significativo (evento inicial)

• El árbol de eventos se utiliza para analizar la posible

secuencia de eventos que se desarrollan a partir del
evento peligroso (pos-incidente)

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Arbol de eventos - metodología

1. Identificar el evento inicial (evento peligroso)

2. Identificar los eventos posteriores
3. Identificar las capas de protección existentes
4. Construir el árbol en orden sucesiva (cronológica) de
eventos
5. Asignar la probabilidad a cada rama del árbol
6. Cuantificar la probabilidad de los últimos eventos

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Fuga de línea de descarga

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Análisis de severidad contra frecuencia

• Nótese que el escenario 1 es el único que cumple con el riesgo objetivo!

• Los otros escenarios requieren de funciones de seguridad adicionales para
proporcionar mayor deducción de riesgo

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

 Selección del SIL

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

SIFs requeridas

• Se requieren SIFs para:

1. Prevenir un derrame considerable por falla de la línea de
descarga
2. Prevenir un derrame considerable por falla del brazo de
descarga
3. Prevenir que una fuga de gas en la casa del compresor que
dure lo suficiente para llenar 1/8 de su volumen

• SIFs para la línea de descarga:

– Detección de temperaturas criogénicas, para detectar derrame
de GNL
– Disparo de la bomba de alimentación para detener el derrame
– Válvulas de corte para cerrar la línea de descarga (p.e. cuatro
válvulas seccionándola en tres segmentos de 100m) para
limitar el inventario derramado.

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Final SIFs

ESD
TI
I JETTY
11
PI
08
FI TI PI PT PIC PI
13 13 13 12 12 11 Flare TI
Return to Vapour return line 08

SV- SV- ESD

liquefaction 109 108 SV-107
HV-30
unit I
N2 HIC
GIC PIC 04
NV-3 PIC
104 104
10 N2
N2
M HV-28 ESD
HV-29
PT I
10
HS
104A/ SV-106
B TIC VIC ZS
104 104 HS 102
103A/
B
HV-27
N2
PERC

PIC
I CCS
02
I
ESD HIC

BOG line
ESD
02
HIC ZS
03 101
ESD TI PI
06 06
HIC I PIC II HS
01 01 02 02 ESD HV-26
N2
PERC
TI
I Loading SV-115
PT FT SV-103 SV-113 SV-105
01 N2 01 line TI
01 ESD HV-13 07
Gas feed HV-24 FIC
HH 101 LNG
I ESD
From TI LIC LL PI TIC Carrier
HV-21 04 101 FIC I SV-104 102
liquefaction N2 01 07
SV-102
unit N2 HV-23
HH
LL I N2
TI ESD
NV-1 HV-12 PIC ESD HV-25 HS
SV-101 03
101
RV-02
Recirculation line 101A/ I
LL B
HV-11 HV-22 Diversion line TI TIC
02 LI 101 ESD
N2 PT DI NV-2 HS
02 01 01 PDI
RV-01 01 102A/ I
B

I HS
ESD

ESD 105A/ I
B

ESD
ESD confirmed
I safety function
M MCC
ESD
Function not
I confirmed
TI
05
II HS
01 01 Electric signal

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Determinar el factor de reducción de riesgo

• El factor de reducción de riesgo se determina por:

RRF = Riesgo actual / Riesgo objetivo
• Considere que RRF= 1/PFDavg

Riesgo social del escenario de derrame de la

línea de descarga en tierra

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Análisis de frecuencia con la SIF

Ignición de
Falla de línea de SIF interrumpe Derrame hace Ignición
acumulación
descarga derrame ignición inmediata
líquida
0.999 Derrame
Y insignificante

0.3
Jet fire
Y

0.3
0.25
Y Pool fire
Y

N 0.7
N
0.001 (PFD)
N 0.75
Flash (nube) fire

N 0.7 Nube se dispersa

sin iginición

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Selección del SIL para la SIF

• Una SIF con SIL 3 y una PFDavg=1x10-3 cumple sólo

marginalmente
• Una SIF con SIL 3 y una PFDavg=5x10-3 cumple con un
margen más amplio
• Por lo tanto puede ser importante especificar el SIL y
también la PFDavg deseada!

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

 Conclusiones

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD

Conclusiones

Hemos revisado un método de determinación del SIL

1. Establecimiento de un objetivo de riesgo, basado en un criterio

de riesgo para determinar el riesgo aceptable de la planta
2. Identificación de peligros de los cuales se seleccionó un grupo
de escenarios para el siguiente análisis
3. Análisis de riesgos - nivel de consecuencias (severidad) y
frecuencia de ocurrencia para cada escenario
4. Comparación del riesgo actual contra el riesgo objetivo
5. Para los escenarios que no cumplen el riesgo objetivo,
proposición de funciones de seguridad
6. Selección del SIL basado en el Factor de Reducción de Riesgo

SEXTO FORO DE SISTEMAS INSTRUMENTADOS DE SEGURIDAD