Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fundamentos de Seguridad
Funcional
Normatividad
Parte de la seguridad
que depende del
correcto funcionamiento
de los componentes y/o
equipos asociados con
una función operativa
crítica para el proceso.
La falla en la seguridad
funcional puede colocar
en riesgo a las personas,
los activos y/o el medio
ambiente.
¿Qué buscamos con la seguridad funcional?
Minimizar el riesgo de
destrucción ó deterioro
de activos
Minimizar las Víctimas
fatales en accidentes.
Impacto al medio
ambiente.
Mejorar la imagen de
nuestras compañías.
Rentabilidad y
confiabilidad
¿Qué buscamos con la seguridad funcional?
Specification
44%
IEC62061 : Machinery
Sector
IEC61511 : Specific To
Process Industry
Sector
(Applies to End Users
and integrators)
Los estándares en Seguridad Funcional
Seguridad Funcional: Estructuración proyecto
El ciclo de vida de la Seguridad Funcional
Rev. 4 – Noviembre/10
FASE DE ANÁLISIS: El análisis y cuantificación del riesgo
Análisisde peligros y
Operabilidad, HAZOP
Análisis What-if.
Árboles de falla (FAULT TREE)
Experiencia.
Cumplimiento de normas
(NFPA, NEC, IEC, ANSI/ISA)
El concepto de Capas de Protección
REDUCEN
LAS
CONSECUENCIAS
DEL
EVENTO PELIGROSO
REDUCEN
LA
FRECUENCIA
DEL
EVENTO
PELIGROSO
IEEE:
“The safety system design shall be such that credible failures in and consequential
actions by other systems shall not prevent the safety system from meeting the
requirements”.
ANSI/ISA S84.01:
“Separation between BPCS and SIS functions reduces the probability that both
control and safety functions become unavailable at the same time, or that inadvertent
changes affect the safety functionality of the SIS”.
La región ALARP (As low as reasonably practicable)
REGION ALARP
Se toma el riesgo si se
obtiene un beneficio a
cambio
Se analiza la viabilidad
económica de entrar
en esta región
Identificación de la Función Instrumentada de Seguridad
1.1 / Year
OR
OR
1/330 Yrs.
1/330 Yrs. 1/330 Yrs.
2003_SD1
Markov models
Reliability Block Diagrams
DETERMINACION DE SIL
MÉTODO CUANTITATIVO.
1. Riesgo meta:
Existen varios métodos para determinar el riesgo meta en forma cuantitativa. La
determinación del riesgo meta está fuera del alcance de este curso (ver paper:
Techniques for Assigning A Target Safety Integrity Level, por Angela E. Summers ), sin
embargo, típicamente se asigna una frecuencia del evento impactante, en función de la
severidad de las consecuencias. Supongamos que la política de la empresa es, que para
eventos que pueden causar daños materiales y muerte a personal de la empresa la
frecuencia máxima tolerable es de un evento cada 10.000 años, es decir, 10-4 eventos
por año (este es entonces el riego meta del ejemplo).
EJEMPLO...
2. Evento impactante: Emisión de líquidos y gases inflamables
3. Estimación de frecuencias: Se debe estimar la frecuencia del evento iniciador
sin las capas de protección, pero con el sistema
básico de control. El método típico para la
estimación de frecuencias es el árbol de fallas.
DETERMINACION DE SIL
MÉTODO CUANTITATIVO...
EJEMPLO...(Estimación de la frecuencia del evento iniciador)
DETERMINACION DE SIL
MÉTODO CUANTITATIVO...
EJEMPLO...(Estimación de la frecuencia del evento impactante)
DETERMINACION DE SIL
MÉTODO CUANTITATIVO...
EJEMPLO...(Definición de la función instrumentada de seguridad y su SIL)
DETERMINACION DE SIL
MÉTODO CUANTITATIVO...
EJEMPLO...(Definición de la función instrumentada de seguridad y su SIL)
DETERMINACION DE SIL
MÉTODO CUALITATIVO (Matriz de riesgo) ...
En este caso para la estimación de las frecuencias del evento impactante se establecen
tres categorías: Baja, Media y Alta. La selección de cuál de las categorías debe ser dada
se debe hacer en base a la historia o registro en experiencias similares si estos datos no
están disponibles, entonces se puede usar la siguiente tabla de la norma IEC- 61511-3.
DETERMINACION DE SIL
MÉTODO CUALITATIVO (Matriz de riesgo) ...
Para estimar el riesgo, se debe estimar también la severidad del evento impactante
además de la frecuencia de ocurrencia. Al igual que el caso de la frecuencia, la
severidad se clasifica en tres categorías: Extenso, Moderado y Menor, de acuerdo a la
siguiente tabla.
DETERMINACION DE SIL
MÉTODO CUALITATIVO (Matriz de riesgo) (ISA S84.01 e IEC-61511) ...
EJEMPLO...(Estimación del SIL de la SIF)
DETERMINACION DE SIL
MÉTODO SEMI-CUALITATIVO (Gráfico de riesgo) (IEC-61511) ...
De acuerdo a la norma IEC-61511, el riesgo en la industria de procesos es una función de los
siguientes parámetros:
Las consecuencias de la situación peligrosa. (C). Las consecuencias se evalúan en función del
numero de fatalidades o lesiones serias que pueden ocurrir como consecuencia del peligro o evento
impactante, y se debe considerar la cantidad de personas expuestas cuando la zona está ocupada.
La probabilidad de que el lugar expuesto esté ocupado (porcentaje de ocupación). (F). La ocupación
se estima calculando la fracción de tiempo que el área está ocupada.
La probabilidad de evitar la situación peligrosa. (P). Depende de la posibilidad que tengan las
personas expuestas al peligro de ser alertadas de la situación y de poder escapar de la misma, en
caso de falla de la SIF a ser implantada.
La tasa de demanda o frecuencia de ocurrencia de la situación peligrosa en ausencia de la SIF cuyo
SIL se desea estimar. (W)
DETERMINACION DE SIL
MÉTODO SEMI-CUALITATIVO (Gráfico de riesgo) Ejemplo de calibración del gráfico ...
DETERMINACION DE SIL
MÉTODO SEMI-CUALITATIVO (Gráfico de riesgo) Ejemplo de calibración del gráfico ...
DETERMINACION DE SIL
MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)...
El método LOPA consiste en la generación de una tabla (ver tabla 6) con cada uno de
los eventos impactantes (1) identificados en el HAZOP. Para cada uno de estos eventos
se debe establecer su severidad (2), la causa iniciadora (3), la tasa de ocurrencia del
evento iniciador (4), las capas de protección existente y su probabilidad de falla (5),
para finalmente determinar la frecuencia del evento impactante sin SIS (6). Si esta
frecuencia no satisface el riesgo meta, entonces se debe implantar una SIF con el nivel
SIL (7) necesario para llevar la frecuencia del evento impactante al nivel tolerable (8)
(Riesgo meta).
DETERMINACION DE SIL
MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)...
1. Evento impactante: En la columna 1 de la tabla se debe colocar cada uno de los
eventos impactantes identificados en el HAZOP.
2. Severidad: Existen tres niveles de severidad de acuerdo a la siguiente tabla:
DETERMINACION DE SIL
MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)...
3. Evento iniciador o causa: Todos los iniciadores estadísticamente independientes del
evento impactante se deben listar en la columna 3.
4. Frecuencia del iniciador: En la columna 4 se debe indicar la frecuencia en eventos
por año del iniciador o causa. En algunos casos esto se puede hacer mediante el
desarrollo de un árbol de fallas (ver método cuantitativo), o en base a estadísticas o
experiencia previa. También se puede usar como referencia la tabla #3 tomada de la
norma IEC-61511.
5. Probabilidad de falla bajo demanda de cada una de las IPL: Se debe indicar para
cada una de las capas de protección independientes el grado de protección, expresado
en la probabilidad de falla bajo demanda (PFD) de la misma. Los criterios que debe
cumplir una IPL se encuentran definidos en la sección de conceptos básicos. En la tabla
LOPA se listan las IPL típicas, entre ellas elementos incluidos en el diseño del proceso,
como por ejemplo una chaqueta de protección a un recipiente.
6. Capas de mitigación (Incluidas en las IPL): Las capas de mitigación son típicamente
mecánicas, estructurales o procedimentales. Si existen se deben listar, e indicar su
probabilidad de falla bajo demanda. Algunas de las capa típicas de mitigación son:
DETERMINACION DE SIL
MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)...
VALVULAS DE ALIVIO
• DIQUES
• ZONAS DE ACCESO RESTRINGIDO
• SISTEMAS DE DILUVIO
• PROCEDIMIENTOS DE EVACUACIÓN
7. Frecuencia intermedia: Se refiere a la frecuencia de ocurrencia por año del evento sin
SIS, lo cual se calcula multiplicando la frecuencia de evento iniciador, por cada una de
las probabilidades de falla de las capas de protección independientes. Si la frecuencia
intermedia es mayor que la requerida, entonces se debe estudiar la posibilidad de
mejorar el diseño, y si no es posible, entonces se debe agregar una función
instrumentada de seguridad con la probabilidad de falla bajo demanda adecuada para
disminuir el riesgo a lo niveles tolerables.
8. Nivel de integridad (SIL) de la SIF: Si se determinó en el paso anterior la necesidad
de una SIF, entonces si nivel SIL se determina dividiendo el riesgo meta por la
frecuencia intermedia (sin SIS).
9. Frecuencia del evento mitigado (con SIS): Se calcula multiplicando la frecuencia
intermedia por la probabilidad de falla bajo demanda del SIS, estimada en el paso
anterior.
DETERMINACION DE SIL
10. Riesgo Total: En el punto 9 se determina el SIL de cada una de las SIF,
sin embargo, aquí no termina el análisis LOPA. Se debe calcular el riesgo
total, para lo cual hay que sumar todas la frecuencias de eventos serios o
extensos que represente el mismo peligro, por ejemplo fuego o emisión de
gases tóxicos. Para determinar el riesgo de muerte o fatalidades total, por
causa del mismo peligro, se debe utilizar fórmulas como la siguiente:
– Riesgo de fatalidad debido a [ej. Fuego] = (frecuencia de ocurrencia
total de emisión de material inflamable) x (probabilidad de personas
en el área (ocupación)) x (probabilidad de muerte en caso de fuego)
Si el resultado obtenido cumple con los criterios corporativos, y las leyes y
regulaciones al respecto, entonces el análisis LOPA está concluido, de lo
contrario se debe revisar dónde se deben hacer ajustes para minimizar el
riesgo total.
DETERMINACION DE SIL
PREGUNTAS FRECUENTES
• ¿ Puede ser el BPCS considerado una IPL ?:
Para que el BPCS pueda ser considerado una IPL se deben cumplir las premisas
indicadas en la sección de definición de IPL. En algunos casos la falla del BPCS puede
generar una situación de peligro, sin embargo, el mismo BPCS puede alertar al
operador sobre cierta condición de riesgo. Si por ejemplo la falla del BPCS genera una
alta presión en un recipiente, pero en el mismo recipiente existe un interruptor de alta
presión conectado al BPCS a través de dispositivos independientes (ej. Controladores
diferentes) a aquellos que originan la falla, pudiendo alertar al operador sobre la
situación, entonces el BPCS puede ser considerado como ambos, iniciador y capa de
protección independiente. En todo caso, no se debe tomar la probabilidad de falla bajo
demanda del BPCS menor a 0,1, a menos que dicho BPCS haya sido diseñado de
acuerdo a las normas IEC-61508, e IEC-61511.
¿ Cuál es el criterio para usar uno u otro método de análisis y determinación del SIL ?
El método a seleccionar va a depender de la complejidad de los escenarios, de la
experiencia existente en procesos similares y en condiciones similares y de la severidad
de las consecuencias.
DETERMINACION DE SIL
PREGUNTAS FRECUENTES...
En términos generales para aplicaciones simples con consecuencias de poca severidad
si pueden utilizar métodos cualitativos, en la medida que aumenta la complejidad y la
severidad se deben utilizar métodos más rigurosos. Esto se ilustra en la siguiente
figura, tomada del Libro: “Layer of Protection Analysis” publicado por la AICHE – CCPS.
DETERMINACION DE SIL
¿ Donde se puede conseguir información con respecto a las tasas y modos de falla de
equipos ?
Existen en el mercado diversas bases de datos de fallas de equipos. A continuación se
mencionan algunas de las mas comunmente usadas en la industria de petróleo y gas:
– "OREDA: Offshore Reliability Data Handbook," 3rd Edition, Det Norske Veritas Industri
Norge as DNV Technica, Norway, 2002.
– "Guidelines for Process Equipment Reliability Data," Center for Chemical Process Safety
of the American Institute of Chemical Engineers, NY, NY, 1989.
– • "Non-Electronic Parts Reliability Data," Reliability Analysis Center, Rome, NY,
– 1995.
save
detectable
safe
undetectable
λS = λSD + λSU
λS = segura
λ SD = segura detectable
dangerous
λ SU = segura indetectable
λD = λDD + λDU undetectable
λD = peligrosa
dangerous
λ DD = peligrosa detectable
detectable
λ DU = peligrosa indetectable
1oo1
PFDavg = DU TI / 2
PFD (t)
SA = 1- PFDavg
PFS= (SD + SU )SD
SD: t para levantar el sistema
SIL 1 después de shutdown
SIL 4
test interval
time
Funcionales:
Definición estado seguro
Puntos de disparo y operación normal
Afectan
Consideraciones parada manual / automática
OPEX
Acción en pérdida energía
Tiempo respuesta para condición segura
Respuesta del sistema ante fallas Afectan
Funciones de reposición e inhibiciones CAPEX
Especificación de requerimientos de seguridad (SRS)
De integridad:
SIL de cada función
Requerimientos de diagnóstico
Requerimientos de mantenimiento
Afectan
Requerimientos de “test interval”
Requerimientos de tasa de falla segura CAPEX
Configuración del sistema(1oo2, 2oo3,etc..)
Integración al BPCS
REQUERIMIENTOS DE UN SIS
Costo del ciclo de vida del SIS – Un ejemplo
Costo del riesgo sin SIS = 0.01 x USD 5.000.000 = USD 50.000 / año.
Costo del riesgo con SIS = 0.01x0.001xUSD 5.000.000 = USD 50 / año.
Con SIS adicionado, el costo incremental por falso disparo es:
0.01x USD 5.000 = USD 50 / año.
La comparación de costos con / sin SIS es:
Costo del ciclo de vida del SIS – Un ejemplo