Conceptos de Seguridad Funcional

Fundamentos de Seguridad
Funcional
Normatividad

Ciclo de vida de la seguridad

funcional
Estructuración de un Proyecto
Análisis Costo - Beneficio
SEGURIDAD FUNCIONAL EN PLANTAS
INDUSTRIALES
Conceptos Básicos
Seguridad y Productividad

Su negocio está comprometido

con la seguridad
Su negocio depende de la
productividad
Elmundo pide negocios rentables
operando de manera segura
¿Qué es la Seguridad Funcional?

Parte de la seguridad
que depende del
correcto funcionamiento
de los componentes y/o
equipos asociados con
una función operativa
crítica para el proceso.
La falla en la seguridad
funcional puede colocar
en riesgo a las personas,
los activos y/o el medio
ambiente.
¿Qué buscamos con la seguridad funcional?

Minimizar el riesgo de
destrucción ó deterioro
de activos
Minimizar las Víctimas
fatales en accidentes.
Impacto al medio
ambiente.
Mejorar la imagen de
nuestras compañías.
Rentabilidad y
confiabilidad
¿Qué buscamos con la seguridad funcional?

Incendio fábrica plásticos Colombia Explosion Refinería Puerto Rico

¿Qué impulsa la productividad y rentabilidad de planta?

Diseño inicial del proceso y su eficiencia

La confiabilidad de los equipos
Mínimas fallas y paradas de planta
Inversiones en equipos y operación
Gastos operativos – Mantenimiento & Operación
¿Cómo impacta la Seguridad Funcional mi operación?

Identificación y análisis de riesgos

Selección de arquitecturas confiables
y seguras
Diseño de la configuración segura
mínima de equipos asociados a
funciones críticas
Definiciónde intervalos de prueba –
mantenimiento
Análisis cuantitativo de “spurious
trips”.
¿Cómo impacta la Seguridad Funcional mi operación?

“Benchmarking” para identificar el

nivel de riesgo tolerable de mi
operación
Reaseguradoras- primas
¿Necesitan los sistemas ser
apagados para efectuar pruebas
operativas?
Qué tan disponible, seguro y
confiable es mi sistema de
seguridad
Imagen de mi compañía – Clase
mundial.
¿Qué se requiere entonces de la Seguridad Funcional?

Un diseño que maximice

la disponibilidad y confiabilidad de
la seguridad en mi proceso
¿Qué se requiere entonces de la Seguridad Funcional?

Minimice el riesgo y probabilidad

de un desastre
¿Qué se requiere entonces de la Seguridad Funcional?

Que minimice el riesgo de falsos

disparos o “spurious trips”
¿Qué se requiere entonces de la Seguridad Funcional?

Me ofrezca sistemas que reduzcan

mi CAPEX y OPEX manteniendo
la operación en un nivel de riesgo
tolerable
La importancia de la planeación…..

Specification
44%

Changes after Design &

Commissioning Implementation
20% 15%
Operation & Installation &
Maintenance Commisioning
15% 6%
Fallas de hardware
y software caen en
esta categoría
Fuente: Health & Safety Executive, UK
Los estándares en Seguridad Funcional

International Performance IEC61513 :

Based Standard For All Nuclear Sector
Industries
(Applies to suppliers)

IEC62061 : Machinery
Sector

IEC61511 : Specific To
Process Industry
Sector
(Applies to End Users
and integrators)
Los estándares en Seguridad Funcional
Seguridad Funcional: Estructuración proyecto
El ciclo de vida de la Seguridad Funcional

Rev. 4 – Noviembre/10
FASE DE ANÁLISIS: El análisis y cuantificación del riesgo

Determina peligros y eventos

peligrosos del proceso.
La secuencia de eventos.
Riesgos de proceso
relacionados con el evento.
Estima las consecuencias del
evento.
Cuantifica el riesgo (ACR).
Los requerimientos para
reducción del riesgo.
Determina SIFs necesarias.
Métodos para identificación de peligros

Análisisde peligros y
Operabilidad, HAZOP
Análisis What-if.
Árboles de falla (FAULT TREE)
Experiencia.

Cumplimiento de normas
(NFPA, NEC, IEC, ANSI/ISA)
El concepto de Capas de Protección

REDUCEN
LAS
CONSECUENCIAS
DEL
EVENTO PELIGROSO

REDUCEN
LA
FRECUENCIA
DEL
EVENTO
PELIGROSO

TOMADO DE IEC 61511-1

El concepto de Capas de Protección

TOMADO DE ARC WHITE PAPER - 2004

Control de proceso vs Seguridad de Proceso

IEEE:
“The safety system design shall be such that credible failures in and consequential
actions by other systems shall not prevent the safety system from meeting the
requirements”.
ANSI/ISA S84.01:
“Separation between BPCS and SIS functions reduces the probability that both
control and safety functions become unavailable at the same time, or that inadvertent
changes affect the safety functionality of the SIS”.
La región ALARP (As low as reasonably practicable)

REGION ALARP
Se toma el riesgo si se
obtiene un beneficio a
cambio

Se analiza la viabilidad
económica de entrar
en esta región
Identificación de la Función Instrumentada de Seguridad

Acción de seguridad con

un SIL especificado
necesario para alcanzar
la seguridad funcional.
EL SIL está asociado a la
SIF, no al sistema de
seguridad SIS.

TOMADO DE INDUSTRIAL SAFETY, RISK ASSESSMENT AND

SHUTDOWN SYSTEMS – MACDONALD D., 2004
Determinación del Nivel de Integridad de Seguridad (SIL)

Fault Tree Analysis

Safety Valve Lifts
1/762 Years
Métodos Cuantitativos
2003 Temp. Switches
AND
w/solenoid & AOV
3 Month Testing
PROCESS
1/71 Yrs. Interval
DEMAND

1.1 / Year

OR

Event Tree Analysis

1/110 Yrs
Sol. Valve Air Op. Valve
1/357 Yrs. 1/454 Yrs.

OR

1/330 Yrs.
1/330 Yrs. 1/330 Yrs.

AND AND AND

Temp.Sw.#1 Temp.Sw.#2 Temp.Sw.#2 Temp.Sw.#3 Temp.Sw.#1 Temp.Sw.#3

1/9 Yrs. 1/9 Yrs. 1/9 Yrs. 1/9 Yrs. 1/9 Yrs. 1/9 Yrs.

2003_SD1

Markov models
Reliability Block Diagrams
DETERMINACION DE SIL
 MÉTODO CUANTITATIVO.
 1. Riesgo meta:
 Existen varios métodos para determinar el riesgo meta en forma cuantitativa. La
determinación del riesgo meta está fuera del alcance de este curso (ver paper:
Techniques for Assigning A Target Safety Integrity Level, por Angela E. Summers ), sin
embargo, típicamente se asigna una frecuencia del evento impactante, en función de la
severidad de las consecuencias. Supongamos que la política de la empresa es, que para
eventos que pueden causar daños materiales y muerte a personal de la empresa la
frecuencia máxima tolerable es de un evento cada 10.000 años, es decir, 10-4 eventos
por año (este es entonces el riego meta del ejemplo).
 EJEMPLO...
 2. Evento impactante: Emisión de líquidos y gases inflamables
 3. Estimación de frecuencias: Se debe estimar la frecuencia del evento iniciador
sin las capas de protección, pero con el sistema
básico de control. El método típico para la
estimación de frecuencias es el árbol de fallas.
DETERMINACION DE SIL
MÉTODO CUANTITATIVO...
EJEMPLO...(Estimación de la frecuencia del evento iniciador)
DETERMINACION DE SIL
MÉTODO CUANTITATIVO...
EJEMPLO...(Estimación de la frecuencia del evento impactante)
DETERMINACION DE SIL
MÉTODO CUANTITATIVO...
EJEMPLO...(Definición de la función instrumentada de seguridad y su SIL)
DETERMINACION DE SIL
MÉTODO CUANTITATIVO...
EJEMPLO...(Definición de la función instrumentada de seguridad y su SIL)
DETERMINACION DE SIL
MÉTODO CUALITATIVO (Matriz de riesgo) ...
 En este caso para la estimación de las frecuencias del evento impactante se establecen
tres categorías: Baja, Media y Alta. La selección de cuál de las categorías debe ser dada
se debe hacer en base a la historia o registro en experiencias similares si estos datos no
están disponibles, entonces se puede usar la siguiente tabla de la norma IEC- 61511-3.
 DETERMINACION DE SIL
 MÉTODO CUALITATIVO (Matriz de riesgo) ...
 Para estimar el riesgo, se debe estimar también la severidad del evento impactante
además de la frecuencia de ocurrencia. Al igual que el caso de la frecuencia, la
severidad se clasifica en tres categorías: Extenso, Moderado y Menor, de acuerdo a la
siguiente tabla.
DETERMINACION DE SIL
MÉTODO CUALITATIVO (Matriz de riesgo) (ISA S84.01 e IEC-61511) ...
 EJEMPLO...(Estimación del SIL de la SIF)
DETERMINACION DE SIL
MÉTODO SEMI-CUALITATIVO (Gráfico de riesgo) (IEC-61511) ...
 De acuerdo a la norma IEC-61511, el riesgo en la industria de procesos es una función de los
siguientes parámetros:
 Las consecuencias de la situación peligrosa. (C). Las consecuencias se evalúan en función del
numero de fatalidades o lesiones serias que pueden ocurrir como consecuencia del peligro o evento
impactante, y se debe considerar la cantidad de personas expuestas cuando la zona está ocupada.
 La probabilidad de que el lugar expuesto esté ocupado (porcentaje de ocupación). (F). La ocupación
se estima calculando la fracción de tiempo que el área está ocupada.
 La probabilidad de evitar la situación peligrosa. (P). Depende de la posibilidad que tengan las
personas expuestas al peligro de ser alertadas de la situación y de poder escapar de la misma, en
caso de falla de la SIF a ser implantada.
 La tasa de demanda o frecuencia de ocurrencia de la situación peligrosa en ausencia de la SIF cuyo
SIL se desea estimar. (W)
DETERMINACION DE SIL
MÉTODO SEMI-CUALITATIVO (Gráfico de riesgo) Ejemplo de calibración del gráfico ...
DETERMINACION DE SIL
MÉTODO SEMI-CUALITATIVO (Gráfico de riesgo) Ejemplo de calibración del gráfico ...
DETERMINACION DE SIL
 MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)...
 El método LOPA consiste en la generación de una tabla (ver tabla 6) con cada uno de
los eventos impactantes (1) identificados en el HAZOP. Para cada uno de estos eventos
se debe establecer su severidad (2), la causa iniciadora (3), la tasa de ocurrencia del
evento iniciador (4), las capas de protección existente y su probabilidad de falla (5),
para finalmente determinar la frecuencia del evento impactante sin SIS (6). Si esta
frecuencia no satisface el riesgo meta, entonces se debe implantar una SIF con el nivel
SIL (7) necesario para llevar la frecuencia del evento impactante al nivel tolerable (8)
(Riesgo meta).
 DETERMINACION DE SIL
MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)...
1. Evento impactante: En la columna 1 de la tabla se debe colocar cada uno de los
eventos impactantes identificados en el HAZOP.
2. Severidad: Existen tres niveles de severidad de acuerdo a la siguiente tabla:
 DETERMINACION DE SIL
 MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)...
3. Evento iniciador o causa: Todos los iniciadores estadísticamente independientes del
evento impactante se deben listar en la columna 3.
4. Frecuencia del iniciador: En la columna 4 se debe indicar la frecuencia en eventos
por año del iniciador o causa. En algunos casos esto se puede hacer mediante el
desarrollo de un árbol de fallas (ver método cuantitativo), o en base a estadísticas o
experiencia previa. También se puede usar como referencia la tabla #3 tomada de la
norma IEC-61511.
5. Probabilidad de falla bajo demanda de cada una de las IPL: Se debe indicar para
cada una de las capas de protección independientes el grado de protección, expresado
en la probabilidad de falla bajo demanda (PFD) de la misma. Los criterios que debe
cumplir una IPL se encuentran definidos en la sección de conceptos básicos. En la tabla
LOPA se listan las IPL típicas, entre ellas elementos incluidos en el diseño del proceso,
como por ejemplo una chaqueta de protección a un recipiente.
6. Capas de mitigación (Incluidas en las IPL): Las capas de mitigación son típicamente
mecánicas, estructurales o procedimentales. Si existen se deben listar, e indicar su
probabilidad de falla bajo demanda. Algunas de las capa típicas de mitigación son:
DETERMINACION DE SIL
 MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)...
VALVULAS DE ALIVIO
• DIQUES
• ZONAS DE ACCESO RESTRINGIDO
• SISTEMAS DE DILUVIO
• PROCEDIMIENTOS DE EVACUACIÓN

 7. Frecuencia intermedia: Se refiere a la frecuencia de ocurrencia por año del evento sin
SIS, lo cual se calcula multiplicando la frecuencia de evento iniciador, por cada una de
las probabilidades de falla de las capas de protección independientes. Si la frecuencia
intermedia es mayor que la requerida, entonces se debe estudiar la posibilidad de
mejorar el diseño, y si no es posible, entonces se debe agregar una función
instrumentada de seguridad con la probabilidad de falla bajo demanda adecuada para
disminuir el riesgo a lo niveles tolerables.
 8. Nivel de integridad (SIL) de la SIF: Si se determinó en el paso anterior la necesidad
de una SIF, entonces si nivel SIL se determina dividiendo el riesgo meta por la
frecuencia intermedia (sin SIS).
 9. Frecuencia del evento mitigado (con SIS): Se calcula multiplicando la frecuencia
intermedia por la probabilidad de falla bajo demanda del SIS, estimada en el paso
anterior.
DETERMINACION DE SIL
 10. Riesgo Total: En el punto 9 se determina el SIL de cada una de las SIF,
sin embargo, aquí no termina el análisis LOPA. Se debe calcular el riesgo
total, para lo cual hay que sumar todas la frecuencias de eventos serios o
extensos que represente el mismo peligro, por ejemplo fuego o emisión de
gases tóxicos. Para determinar el riesgo de muerte o fatalidades total, por
causa del mismo peligro, se debe utilizar fórmulas como la siguiente:
– Riesgo de fatalidad debido a [ej. Fuego] = (frecuencia de ocurrencia
total de emisión de material inflamable) x (probabilidad de personas
en el área (ocupación)) x (probabilidad de muerte en caso de fuego)
 Si el resultado obtenido cumple con los criterios corporativos, y las leyes y
regulaciones al respecto, entonces el análisis LOPA está concluido, de lo
contrario se debe revisar dónde se deben hacer ajustes para minimizar el
riesgo total.
DETERMINACION DE SIL
 PREGUNTAS FRECUENTES
 • ¿ Puede ser el BPCS considerado una IPL ?:
 Para que el BPCS pueda ser considerado una IPL se deben cumplir las premisas
indicadas en la sección de definición de IPL. En algunos casos la falla del BPCS puede
generar una situación de peligro, sin embargo, el mismo BPCS puede alertar al
operador sobre cierta condición de riesgo. Si por ejemplo la falla del BPCS genera una
alta presión en un recipiente, pero en el mismo recipiente existe un interruptor de alta
presión conectado al BPCS a través de dispositivos independientes (ej. Controladores
diferentes) a aquellos que originan la falla, pudiendo alertar al operador sobre la
situación, entonces el BPCS puede ser considerado como ambos, iniciador y capa de
protección independiente. En todo caso, no se debe tomar la probabilidad de falla bajo
demanda del BPCS menor a 0,1, a menos que dicho BPCS haya sido diseñado de
acuerdo a las normas IEC-61508, e IEC-61511.
 ¿ Cuál es el criterio para usar uno u otro método de análisis y determinación del SIL ?
 El método a seleccionar va a depender de la complejidad de los escenarios, de la
experiencia existente en procesos similares y en condiciones similares y de la severidad
de las consecuencias.
 DETERMINACION DE SIL
 PREGUNTAS FRECUENTES...
 En términos generales para aplicaciones simples con consecuencias de poca severidad
si pueden utilizar métodos cualitativos, en la medida que aumenta la complejidad y la
severidad se deben utilizar métodos más rigurosos. Esto se ilustra en la siguiente
figura, tomada del Libro: “Layer of Protection Analysis” publicado por la AICHE – CCPS.
 DETERMINACION DE SIL
 ¿ Donde se puede conseguir información con respecto a las tasas y modos de falla de
equipos ?
Existen en el mercado diversas bases de datos de fallas de equipos. A continuación se
mencionan algunas de las mas comunmente usadas en la industria de petróleo y gas:
– "OREDA: Offshore Reliability Data Handbook," 3rd Edition, Det Norske Veritas Industri
Norge as DNV Technica, Norway, 2002.
– "Guidelines for Process Equipment Reliability Data," Center for Chemical Process Safety
of the American Institute of Chemical Engineers, NY, NY, 1989.
– • "Non-Electronic Parts Reliability Data," Reliability Analysis Center, Rome, NY,
– 1995.

Otras fuentes de datos se pueden encontrar en la página web de Exida.

(www.exida.com). En ocasiones, se toma en cuenta las tasas de fallas suministradas
por los fabricantes de los equipos, o en las bases de datos corporativas de cada
usuario.
Los niveles de Integridad de Seguridad (SIL)
Los modos de falla / distribución de ratas de falla

save
detectable

safe
undetectable
λS = λSD + λSU

λS = segura

λ SD = segura detectable
dangerous
λ SU = segura indetectable
λD = λDD + λDU undetectable
λD = peligrosa
dangerous
λ DD = peligrosa detectable
detectable
λ DU = peligrosa indetectable

GRÁFICA TOMADA DE HIMA BASICS

Las probabilidades y disponibilidades

1oo1
PFDavg = DU TI / 2
PFD (t)
SA = 1- PFDavg
PFS= (SD + SU )SD
SD: t para levantar el sistema
SIL 1 después de shutdown

SIL 2 U = PFS + PFDavg

SIL 3 PFDavg

SIL 4
test interval

time

GRÁFICA TOMADA DE HIMA BASICS

Análisis LOPA, SIL – Ejemplos
Análisis LOPA, SIL – Ejemplos
 VERIFICACION DEL SIL
 La norma IEC-61508 establece las condiciones para que un dispositivo
eléctrico/electrónico/electrónico programable, pueda ser catalogado como de
seguridad. Se establecen dos tipos de criterios, los cuales deben ser
demostrados y documentados. En general los criterios son:
– Certificados por un tercero debidamente capacitado. Esto es llevado a
cabo normalmente por organizaciones como TÜV en Europa y otros
países y “Factory Mutual” en Estados Unidos. La mayoría de los
fabricantes de PLC de seguridad hoy en día tiene certificados emitidos
por TÜV. Este certificado sólo acredita al equipo para ser utilizado en
aplicaciones hasta determinado nivel SIL y bajo las condiciones
indicadas en el manual de seguridad del equipo (“Safety Manual”). El
certificado va acompañado de un reporte que muestra las limitaciones
y alcance del certificado. Debe recordarse que se debe cumplir con
todo el ciclo de vida de seguridad para mantener el riesgo a nivel
tolerable en cierta instalación.
– El otro criterio es el denominado “Probado en uso” (“Proven in Use”),
el cual típicamente se aplica para dispositivos simples, tales como
transmisores o válvulas y requiere que se muestre evidencia del
desempeño del equipo durante cierto tiempo de vida (usualmente mas
de 10 años).
TECNOLOGIAS DISPONIBLES
TECNOLOGIAS DISPONIBLES
TECNOLOGIAS DISPONIBLES
TECNOLOGIAS DISPONIBLES
TECNOLOGIAS DISPONIBLES
TECNOLOGIAS DISPONIBLES
TECNOLOGÍAS A NIVEL DE “LOGIC SOLVER” (E/E/PE)...
LIMITACIONES DE LA ESTRUCTURA DE UN SIS CON RESPECTO AL MÁXIMO SIL...
 UN SUBSISTEMA ES TIPO “A” CUANDO:
– El modo de falla de todos sus componentes está bien definido, y El
comportamiento del sistema ante fallas está bien definido, y Existen
suficientes datos de fallas, de experiencia en campo, que demuestran
la tasa de falla declarada por el fabricante.
 UN SUBSISTEMA ES TIPO “B” CUANDO:
– El modo de falla de al menos uno de sus componentes no está bien
definido, ó El comportamiento del sistema ante ciertas fallas no está
bien definido, ó No hay suficientes datos de falla recopilados de
experiencia en campo que demuestren el cumplimiento de la tasa de
fallas.
TECNOLOGIAS DISPONIBLES
TECNOLOGIAS DISPONIBLES
TECNOLOGIAS DISPONIBLES
TECNOLOGIAS DISPONIBLES
TECNOLOGIAS DISPONIBLES
TECNOLOGIAS DISPONIBLES
TECNOLOGIAS DISPONIBLES
VERIFICACION DEL SIL
Especificación de requerimientos de seguridad (SRS)

Funcionales:
 Definición estado seguro
 Puntos de disparo y operación normal
Afectan
 Consideraciones parada manual / automática
OPEX
 Acción en pérdida energía
 Tiempo respuesta para condición segura
 Respuesta del sistema ante fallas Afectan
 Funciones de reposición e inhibiciones CAPEX
Especificación de requerimientos de seguridad (SRS)

De integridad:
 SIL de cada función
 Requerimientos de diagnóstico
 Requerimientos de mantenimiento
Afectan
 Requerimientos de “test interval”
 Requerimientos de tasa de falla segura CAPEX
 Configuración del sistema(1oo2, 2oo3,etc..)
 Integración al BPCS
REQUERIMIENTOS DE UN SIS
Costo del ciclo de vida del SIS – Un ejemplo

Se requiere definir la compra de un SIS. Se tiene:

 Compra e instalación del SIS: USD 150.000.
 PFDSIS =0.001 y PFSSIS =0.01.
 Costos operacionales anuales SIS = USD 3.000.
 Costo de un disparo falso = USD 5.000.
 Probabilidad de un evento sin tener el SIS: 0.01.
 Costo de un evento: USD 5.000.000
 El sistema será usado al menos durante 10 años.
 “Discount rate” (% que considera interés del dinero e inflación): 6%.
¿Debe comprarse el SIS?.
Costo del ciclo de vida del SIS – Un ejemplo

Costo del riesgo sin SIS = 0.01 x USD 5.000.000 = USD 50.000 / año.
Costo del riesgo con SIS = 0.01x0.001xUSD 5.000.000 = USD 50 / año.
Con SIS adicionado, el costo incremental por falso disparo es:
0.01x USD 5.000 = USD 50 / año.
La comparación de costos con / sin SIS es:
Costo del ciclo de vida del SIS – Un ejemplo

Convirtiendo gastos anuales a valor presente y acumulando para

cada año:

Como el proceso va a ser operado por al menos 10 años, el SIS es

menos costoso y debería ser adicionado en la operación.
No se consideró costos de imagen debido a un evento catastrófico.
Análisis LOPA, SIL – Ejemplos
Análisis LOPA, SIL – Ejemplos
Análisis LOPA, SIL – Ejemplos
GRACIAS!!