Pdvsa: Manual de Ingeniería de Riesgos

PDVSA
MANUAL DE INGENIERÍA DE RIESGOS

VOLUMEN 1
PDVSA N TITULO
IR–P–02 NIVEL DE INTEGRIDAD (SIL) DE UN SISTEMA

INSTRUMENTADO DE SEGURIDAD (SIS)
2 SEP.14 REVISIÓN GENERAL 30 G.F. M.T. N.V.

Cambio de autoridades en la Gerencia Corporativa de
1 NOV.08 18 V.S. L.T. L.T.
Seguridad Industrial
0 MAR.02 APROBADA 17 L.T. J. B. Y. S.
REV. FECHA DESCRIPCIÓN PAG. REV. APROB. APROB.
APROB. Mariette De Brito FECHA SEP.14 APROB. Mario Capaldo FECHA SEP.14
PDVSA, 2005 ESPECIALISTAS

MANUAL DE INGENIERÍA DE RIESGOS PDVSA IR–P–02
REVISION FECHA
NIVEL DE INTEGRIDAD (SIL)
PDVSA DE UN SISTEMA INSTRUMENTADO 2 SEP.14
DE SEGURIDAD (SIS) Página 1
Menú Principal Indice manual Indice norma
“La información contenida en este documento es propiedad de Petróleos de

Venezuela, S.A. Está prohibido su uso y reproducción total o parcial, así como
su almacenamiento en algún sistema o transmisión por algún medio
(electrónico, mecánico, gráfico, grabado, registrado o cualquier otra forma) sin
la autorización por escrito de su propietario. Todos los derechos están
reservados. Ante cualquier violación a esta disposición, el propietario se
reserva las acciones civiles y penales a que haya lugar contra los infractores.”
Las Normas Técnicas PDVSA son de obligatorio cumplimiento del marco

regulatorio en materia de Seguridad Industrial, Ambiente e Higiene
Ocupacional y como parte del Control Interno de PDVSA para salvaguardar
sus recursos, verificar la exactitud y veracidad de la información, promover la
eficiencia, economía y calidad en sus operaciones, estimular la observancia de
las políticas prescritas y lograr el cumplimiento de su misión, objetivos y metas,
es un deber la participación de todos en el ejercicio de la función contralora,
apoyada por la Ley orgánica Contraloría General de la República y Sistema
Nacional de Control Fiscal, Artículos 35–41.
REVISION FECHA
Índice
1 OBJETIVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2 ALCANCE Y APLICACIÓN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3 REFERENCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3.1 Petróleos de Venezuela, S.A. (PDVSA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3.2 International Electrotechnical Commission (IEC) . . . . . . . . . . . . . . . . . . . . 4
4 ABREVIATURAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
5 DEFINICIONES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
5.1 Análisis de Capas de Protección (LOPA) . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
5.2 Función Instrumentada de Seguridad (SIF) . . . . . . . . . . . . . . . . . . . . . . . . . 4
5.3 Función de Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
5.4 Nivel de Integridad de Seguridad (SIL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
5.5 Probabilidad de Falla en Demanda (PFD) . . . . . . . . . . . . . . . . . . . . . . . . . . 5
5.6 Seguridad Funcional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
5.7 Sistema Instrumentado de Seguridad (SIS) . . . . . . . . . . . . . . . . . . . . . . . . . 5
6 GENERALIDADES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
6.1 Metodología para Determinar la Necesidad de un SIS
y su Correspondiente SIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
7 METODOLOGÍAS PARA LA DETERMINACIÓN
DEL SIL DEL SIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
7.1 Métodos Cualitativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
7.2 Método Semicuantitativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
7.3 Método Cuantitativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
8 BIBLIOGRAFÍA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
9 ANEXOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
REVISION FECHA
1 OBJETIVO
Determinar el Nivel de Integridad de Seguridad (SIL) de una o más Funciones
Instrumentadas de Seguridad (SIF) requeridas para una instalación nueva o
existente a modificar, considerando las Capas de Protección Independientes
(IPL) existentes, con el fin de evaluar la necesidad de implantar un Sistema
Instrumentado de Seguridad (SIS) que cumpla con el nivel de Riesgo Tolerable
establecido en esta norma técnica PDVSA.
2 ALCANCE Y APLICACIÓN
Esta norma técnica PDVSA establece los principios básicos, métodos y criterios
para la determinación del SIL de las instalaciones de PDVSA, sus Filiales y
Empresas Mixtas, a objeto de reducir el nivel de riesgo de las instalaciones hasta
un nivel de Riesgo Tolerable.
El alcance de esta norma se limita a la ejecución de estudios cualitativos,
semicuantitativos y cuantitativos asociados a los sistemas de protección
identificados en los estudios de seguridad.
Esta norma no tiene como alcance la determinación de las especificaciones de
los requisitos de seguridad (SRS), así como los tipos de arquitectura que pueden
ser utilizadas. Para ello debe aplicarse lo establecido en el documento PDVSA
K–336.
Esta norma aplica para aquellos Sistemas Instrumentados de Seguridad (SIS)
cuya función principal es prevenir de forma automática la ocurrencia del evento
peligroso bajo estudio. También aplica para aquellos sistemas de mitigación que
involucren elementos sensores, “logic solver” y elementos finales que requieran
del cálculo de una Probabilidad de Falla en Demanda (PFD) para garantizar su
disponibilidad y funcionalidad en caso de ocurrencia del evento peligroso.
3 REFERENCIAS
Las siguientes normas y códigos contienen disposiciones que al ser citadas,
constituyen requisitos de esta Norma PDVSA. Para aquellas normas referidas sin
año de publicación será utilizada la última versión publicada.
3.1 Petróleos de Venezuela, S.A. (PDVSA)

IR–S–00 Definiciones.
IR–S–01 Filosofía de Diseño Seguro.
IR–S–02 Criterios para el Análisis Cuantitativo de Riesgos.
K – 336 Sistemas Instrumentados de Seguridad: Seguridad Funcional
para Procesos Industriales.
REVISION FECHA
3.2 International Electrotechnical Commission (IEC)

61508–5 Functional safety of electrical/electronic/programmable
electronic safety related systems.
61511–3 Functional Safety – Safety Instrumented Systems for the process
industry sector – Part 3: Guidance for the determination of the
requiered safety integrity levels.
61025 Fault Tree Analysis (FTA).
4 ABREVIATURAS
ETA: Análisis de Árbol de Eventos / Event Tree Analysis
FMEA/FMECA: Modo de Fallas, Efectos y Análisis de Criticidad / Failure Mode
and Effects Analysis.
FTA: Análisis de Árbol de Fallas / Fault Tree Analysis.
HAZOP: Estudios de Riesgo y Operabilidad / Hazard and Operability.
IPL: Capa de Protección Independiente / Independent Protection
Layer.
LOPA: Análisis de Capas de Protección / Layer of Protection Analysis
PFD: Probabilidad de Falla en Demanda /Probability Failure Demand.
SIF: Función Instrumentada de Seguridad /Safety Instrumented
Function.
SIL: Nivel de Integridad de Seguridad / Safety Integrity Level.
SIS: Sistema Instrumentado de Seguridad/ Safety Integrity System.
SRS: Especificaciones de los Requisitos de Seguridad / Safety
Requirements Specification.
5 DEFINICIONES
Para otras definiciones ver normas técnicas PDVSA IR–S–00, PDVSA K–336 y
PDVSA IR–S–01.
5.1 Análisis de Capas de Protección (LOPA)

Se utiliza para determinar la necesidad de agregar IPLs para la reducción de
riesgos, lo cual también puede usarse con IPLs diferentes a una SIF.
5.2 Función Instrumentada de Seguridad (SIF)

Es la función de seguridad con un SIL especificado que es necesaria para
alcanzar la seguridad funcional y que puede ser una función instrumentada de
seguridad de protección o una función instrumentada de seguridad de control.
REVISION FECHA
5.3 Función de Seguridad

Es la función a ser implementada por un SIS, sistemas de seguridad no basados
en componentes eléctricos o electrónicos, o facilidades externas, cuya intención
es alcanzar o mantener un estado seguro para el proceso con respecto a un
evento de pérdida específico.
5.4 Nivel de Integridad de Seguridad (SIL)

Es el nivel discreto (de 1 a 3) para especificar los requerimientos de probabilidad
media de que un SIS desarrolle las SIFs requeridas, bajo las condiciones
establecidas dentro de un periodo de tiempo establecido.
5.5 Probabilidad de Falla en Demanda (PFD)

Es la probabilidad de que un sistema no ejecute la función para el cual fue
diseñado al momento de ser requerido.
5.6 Seguridad Funcional

Es el desarrollo de un proceso dentro de un nivel de riesgo tolerable dependiendo
del correcto funcionamiento de SIS y de otras capas de protección.
5.7 Sistema Instrumentado de Seguridad (SIS)

Es un sistema instrumentado empleado para realizar una o más SIFs y está
compuesto por sensores, “logic solver” y elementos finales de control.
6 GENERALIDADES
Los procedimientos de determinación del SIL han sido desarrollados para
estudiar procesos, sistemas de control de procesos, operaciones, riesgos
inherentes al proceso, entre otros, en una forma sistemática; lo cual reduce la
subjetividad en la identificación de áreas o sistemas críticos y permite jerarquizar
la importancia relativa de cada evento peligroso no deseado.
La utilización de los métodos de análisis cualitativos, semicuantitativos y
cuantitativos para definir el SIL de un SIS, han sido concebidos para reforzar la
aplicación de las mejores prácticas de Ingeniería, con el fin de obtener elementos
de juicio para soportar acciones que permitan alcanzar el nivel de seguridad
requerido de las instalaciones.
En la Figura 1, se puede apreciar como el riesgo inherente al proceso (incluyendo

el sistema de control básico de proceso – BPCS) (punto a) debe ser reducido
hasta un nivel de riesgo tolerable (punto c). Esta reducción de riesgo debe estar
cubierta por medio del uso de capas de protección independientes (IPL, por sus
REVISION FECHA
siglas en ingles) (punto b); si el punto (b) no coincide con el punto (c), la reducción
del riesgo remanente será cubierto por un SIS para alcanzar el nivel de riesgo
tolerable. Es importante destacar, que las medidas de reducción de riesgo a
implantar deberán ser económicamente justificables y pueden ser evaluadas por
un análisis costo–beneficio, como es establecido en la norma técnica PDVSA
IR–S–02.
Fig 1. REDUCCIÓN DE RIESGO: CONCEPTOS GENERALES
(c) (b) (a)

Riesgo Riesgo
Aceptable inherente del
proceso +
BPCS
Reducción de Riesgo Necesaria
Riesgo Parcial cubierto por Sistema Riesgo Parcial cubierto por Capas de
Instrumentado de Seguridad (SIS) Protección Independientes IPL(s)
RIESGO
Reducción de Riesgo alcanzado por IPL(s) y/o SIS
* BPCS: Sistema de Control Básico de Proceso (Basic Process Control System).
Las metodologías descritas en esta norma técnica deben ser realizadas por un
equipo multidisciplinario con experiencia y formación en la determinación del SIL,
así como, en las áreas de confiabilidad, operabilidad y mantenibilidad,
conformado, como mínimo, por las especialidades de Procesos,
Instrumentación, Mantenimiento, Operaciones e Ingeniería de Riesgos y
liderizado por personal competente en el área de seguridad funcional.
6.1 Metodología para Determinar la Necesidad de un SIS y su
Correspondiente SIL
En general la metodología establecida por esta norma para determinar la
necesidad de un SIS y su correspondiente SIL se presenta en la Figura 2 y se
describe a continuación:
REVISION FECHA
Fig 2. METODOLOGÍA PARA DETERMINAR LA NECESIDAD DE UN SIS Y SU

CORRESPONDIENTE SIL
INICIO
ESTUDIO DEL PROCESO + BPCS
IDENTIFICACIÓN DE PELIGROS/LAZOS CRITICOS
IDENTIFICACIÓN DE CAPAS INDEPENDIENTES DE

PROTECCIÓN
SELECCIONAR METODOLOGíA (CUALITATIVA/SEMICUANTITATIVA/

CUANTITATIVA) PARA DETERMINAR EL SIL DEL SIS
MÉTODO CUALITATIVO MÉTODO SEMICUANTITATIVO / CUANTITATIVO
ESTIMAR ESTIMAR ESTIMAR ESTIMAR

FRECUENCIAS CONSECUENCIAS FRECUENCIAS CONSECUENCIAS
ESTIMAR EFECTIVIDAD DE CUANTIFICAR EL

CAPAS DE PROTECCIÓN RIESGO
ESTIMAR EFECTIVIDAD DE
NO CAPAS DE PROTECCIÓN
FIN APLICA UN
SIS
SI
RIESGO SI
ESTABLECIMIENTO FIN
TOLERABLE
SIL DEL SIS
NO
ESTABLECIMIENTO
SIL DEL SIS
REVISION FECHA
6.1.1 Estudio del proceso + BPCS

En esta etapa se busca conocer el proceso objeto de la evaluación para lo cual
se recomienda disponer, entre otros, de los siguientes documentos y planos:
Filosofía de Operación y Control.
Estudio de Análisis Preliminar de Peligros (APP).
Diagramas de Flujo de Proceso (DFP).
Diagramas de Tuberías e Instrumentación (DTI).
Diagramas Causa – Efecto.
Planos de Ubicación de Plantas y Equipos.
Especificación del BPCS.
6.1.2 Identificación de Peligros
Durante esta etapa, se deben identificar los peligros y sus causas que pudiesen
ocasionar liberación incontrolada de energía o productos tóxicos, afectando a
terceros, personal propio, ambiente o equipos.
La identificación de peligros pretende encontrar las condiciones de eventos
peligrosos presentes en una planta o proceso. Los métodos y técnicas
recomendados por esta norma para la identificación de peligros y las causas
iniciadoras de las mismas, son:
– Estudios de Riesgos y Operabilidad (HAZOP)
– What If? (“Que pasaría si....?”)
– Modos de Fallas, Efectos y Análisis de Criticidad (FMEA/FMECA)
– Árbol de Fallas (FTA)
– Árbol de Eventos (ETA)
Como guía general para determinar que escenarios requieren ser evaluados con
mayor profundidad, se puede emplear la matriz de riesgos indicada en el Anexo
A. Aquellas relaciones causa–consecuencia con un riesgo alto o medio–alto y
eventos con consecuencias igual o superior a la calificación de ”Serio” podrían
requerir un SIS.
REVISION FECHA
6.1.3 Identificación de Capas Independientes de Protección Diferentes del SIS.

Una vez que los peligros hayan sido identificados, se debe proceder a la
identificación, descripción y documentación de las IPL, para ser consideradas en
la estimación de frecuencia del evento peligroso en estudio. En el Anexo B, se
muestra una breve descripción de las IPLs.
6.1.4 Seleccionar Método Cualitativo/Semicuantitativo/Cuantitativo para la
Determinación del SIL.
Una vez cumplidos los pasos anteriores, se selecciona uno de los métodos
descritos en el punto 6 de esta Norma Tecnica. Independientemente de la
metodología a utilizar, se debe analizar causa por causa los efectos sobre las
personas, al ambiente y las perdidas económicas.
6.1.5 Estimación de Frecuencia y Consecuencias.
En este paso se debe estimar la frecuencia de ocurrencia de los peligros
identificados, así como la severidad de sus consecuencias, con el objeto de
cuantificar el riesgo. Al estimar las consecuencias se debe analizar
individualmente la severidad tanto para personas, el ambiente y pérdidas
económicas.
6.1.6 Establecer Nivel de Riesgo Tolerable para la Instalación.
Seleccionar el nivel de Riesgo Tolerable de acuerdo con la clasificación de la
instalación para así evaluar que las protecciones incorporadas en el sistema han
sido suficientes o no.
6.1.7 Determinación de la Necesidad de un SIS
Si el riesgo determinado en el punto 5.1.5 resulta mayor que el nivel de Riesgo
Tolerable seleccionado en el punto 5.1.6, entonces se requiere un SIS, que cubra
la brecha o diferencia.
7 METODOLOGÍAS PARA LA DETERMINACIÓN DEL SIL DEL

SIS
La Figura 3 muestra en forma general la metodología para la determinación del
SIL, estas metodologías se encuentran ampliamente explicadas en los
documentos IEC 61508.5 e IEC 61511.3.
REVISION FECHA
Fig 3. METODOLOGÍA PARA LA DETERMINACIÓN DEL NIVEL DE INTEGRIDAD DE

SEGURIDAD (SIL)
Riesgo (R) = F x C
C
Consecuencia
del Evento
Peligroso
Capa de Protección
Independientes (IPL) y/o Sistema Riesgo
Riesgo del
Proceso + BPCS
F Instrumentado de Seguridad (SIS)
necesarios para lograr la Aceptable
Reducción de Riesgo
Frecuencia de
Ocurrencia del Reducción Necesaria
Evento Peligroso de Riesgo:
F R
Proceso + BPCS
Los análisis cualitativos pueden presentar cierto nivel de incertidumbre y tienden

a dar resultados conservadores, no obstante, la ventaja principal de esta
metodología es su simplicidad, lo cual conlleva a un requerimiento menor de
tiempo para el establecimiento del SIL. En caso de obtener un SIL mayor o igual
a 2 usando el método cualitativo se debe validar este cálculo aplicando la
metodología semicuantitativa o cuantitativa apoyado en una evaluación de
consecuencias donde se estimen los diferentes niveles de daño del evento
peligroso.
Los análisis cuantitativos requieren un mayor esfuerzo que los cualitativos, pero
permiten alcanzar el desempeño requerido con una mejor relación entre la
reducción de riesgo y la inversión.
Aunque dentro del alcance de esta norma no está la determinación de las
Funciones Instrumentadas de Seguridad (SIF) de un estudio SIL/SIS en
particular, en la Tabla A–1 se menciona una guía para la determinación de estas
funciones, basado en Riesgo y en consecuencias desarrolladas en estudios de
peligros.
A continuación se muestran los métodos más utilizados en PDVSA para
determinar el nivel de integridad de seguridad de los sistemas instrumentados de
seguridad.
REVISION FECHA
7.1 Métodos Cualitativos

7.1.1 Método General de Matriz de Capas de Seguridad
El método matriz de capas de seguridad (Ver Figura 4) es un método cualitativo
que permite determinar el SIL de un SIS por medio de una estimación del riesgo,
a través de una matriz cuyo Eje X corresponde a la frecuencia de ocurrencia de
los eventos y el Eje Y evalúa la severidad de las consecuencias de dichos
eventos.
El tercer eje de la matriz (Eje Z) requiere de una evaluación cualitativa de la
efectividad de las capas de protección previstas (tales como sistemas de
protección o capas que típicamente involucran el diseño de procesos especiales,
equipos del proceso, procedimientos administrativos, planes de emergencias o
contingencias).
Fig 4. MATRIZ DE CAPAS DE SEGURIDAD PARA LA DETERMINACIÓN DEL SIL
1 1 1
NA NA 1
2 2 2
NA NA NA
Y Alta
1 1 2 Z
Alta
3 3 3
NA NA 1
Baja Moderada
2 2 3 Moderada
Severidad
Efectividad de las
Nivel de
Capas de Protección
1 1 2
Baja
X
Baja Moderada Alta NA: No requiere SIS
Frecuencia de Ocurrencia
de los Eventos Iniciadores
A continuación se describen los pasos a seguir en el uso de la Matriz de Capas

de Seguridad:
1. Identificar los peligros del proceso y sus eventos iniciadores.
2. Evaluación de la frecuencia de ocurrencia de todos los eventos que
pudiesen ocasionar consecuencias (Eje X) a través de la guía cualitativa
indicada en la Tabla 1.
3. Evaluación cualitativa de la severidad de las consecuencias de los peligros
de forma independiente a los cuales el SIS va a proteger (Eje Y) a través de
la guía cualitativa de la Tabla 2.
4. Evaluación cualitativa de la efectividad de las Capas de Protección
Independientes (Diferentes al SIS) (Eje Z).
REVISION FECHA
Cada valor numérico de los recuadros de la matriz será el valor del SIL
correspondiente al SIS a instalar para el evento particular.
TABLA 1. FRECUENCIA DE OCURRENCIA DEL EVENTO PELIGROSO

Frecuencia
Tipo de Evento Frecuencia Rango
(veces/año) Cualitativo
Eventos de muy baja frecuencia de
ocurrencia, tales como fallas múltiples de
F < 10–4 Bajo
instrumentos, errores humanos múltiples ó
fallas de equipos.
Eventos de baja frecuencia de ocurrencia,
incluye la combinación de fallas de 10–4 F < 10–1 Moderado
instrumentos con fallas humanas.
Eventos de probabilidad mediana alta, tales
como fallas de válvulas o de instrumentación F 10–1 Alto
(Ej: sensor, controlador o válvula de control).
TABLA 2. SEVERIDAD DE CONSECUENCIAS

Severidad Severidad del Evento
Daños menores al equipo, no implica parada del proceso, heri-
Baja
das y/o daños menores al personal y al ambiente.
Daños al equipo, breve parada del proceso, heridas y/o daños
Moderada
al personal y al ambiente.
Graves daños al equipo, parada del proceso por un largo pe-
Alta ríodo de tiempo, consecuencias catastróficas al personal, al
ambiente y/o a terceros.
7.1.2 Método General de Gráfica de Riesgo

El método Gráfico de Riesgo simplificado está basado en la siguiente ecuación:
R (Riesgo) = f (Frecuencia) x C (Consecuencia)

R: Riesgo sin el sistema instrumentado de seguridad (SIS)
f: Frecuencia del evento peligroso sin el SIS
C: Consecuencia del evento peligroso (Las consecuencias pueden estar
relacionadas a daños asociados a personas, equipos o ambiente).
La frecuencia (f) de cada evento peligroso se considera influenciada por tres
factores:
Frecuencia y tiempo de exposición en la zona peligrosa (F).
Probabilidad de evitar el evento peligroso (P).
Probabilidad de que el evento peligroso ocurra sin la adición de un SIS (W).
Por lo tanto, el riesgo (R) está influenciado por los siguientes parámetros:
REVISION FECHA
C: Consecuencia del evento peligroso.

F: Frecuencia y tiempo de exposición en la zona peligrosa.
P: Probabilidad de evitar el evento peligroso.
W: Probabilidad de ocurrencia del evento peligroso.
A continuación se describen los pasos a seguir en el uso del método de Gráfico
de Riesgo:
La combinación de los parámetros de riesgo descritos anteriormente, permite
el desarrollo de la gráfica del riesgo. En la Figura 5, se puede apreciar que C1
< C2 < C3 < C4; F1 < F2; P1 < P2; W1 < W2 < W3. (Ver Tablas 3, 4, 5 y 6)
Los parámetros del método Gráfica de Riesgo, se describen a continuación:
– El uso de los parámetros de riesgo C, F y P conllevan a un número de
salidas X1, X2, X3, ...XN. Cada una de estas salidas son direccionadas a una
de las tres escalas de probabilidad de ocurrencia del evento peligroso (W1,
W2 y W3). Cada punto en esta escala es una indicación del SIL requerido.
En algunos casos particulares un SIS no es suficiente para la reducción del
riesgo requerido.
– La selección entre W1, W2 y W3 dependerá de la probabilidad de ocurrencia
del evento no deseado. (Ver Tabla 6)
– El resultado final de la Gráfica de Riesgo puede conllevar a la obtención de:
 SIL (1, 2 ó 3). Como medida de reducción de riesgo requerida del
sistema.
 Al no requerimiento de un SIS (el cual es denotado por la letra “a”).
La función debe instalarse en el sistema de control distribuido.
 Casos particulares donde un SIS no es suficiente (identificado con la
letra “b”).
TABLA 3. SEVERIDAD DE CONSECUENCIA (C)

Parámetro Clasificación Severidad del Evento
Heridas leves al personal, sin daños al
C1 Muy Baja
ambiente o sin daños al equipo.
Lesiones mayores al personal o daños
C2 Baja menores al ambiente, daños menores al
equipo, no implica parada del proceso.
Una fatalidad o daños al ambiente
C3 Moderada recuperables al mediano plazo, daños al
equipo y breve parada del proceso.
Varias fatalidades o daño permanente al
ambiente, graves daños al equipo y parada del
C4 Alta proceso por un largo período de tiempo.
REVISION FECHA
TABLA 4. FRECUENCIA DE EXPOSICIÓN AL PELIGRO (F)

Parámetro Clasificación Comentarios
F1 Menor Muy baja a baja frecuencia de exposición al peligro.
F2 Mayor Muy alta frecuencia de exposición al peligro.
TABLA 5. POSIBILIDAD DE EVITAR EL PELIGRO (P)

Parámetro Clasificación Comentarios
P1 Posible Posible bajo ciertas condiciones específicas (*)
P2 Poco Posible Casi imposible evitar el peligro (*).
(*) Este parámetro toma en consideración lo siguiente:
Operación del proceso [supervisado (operado por personal entrenado o no
entrenado) o no supervisada.]
Rapidez del desarrollo del evento peligroso (por ejemplo: rápido, inmediato o
lento).
Capas de protección existentes.
Facilidad de identificación del peligro: inmediatamente, detectado por medios
técnicos o no detectado.
Rutas de escape posibles: Posible o imposible en ciertas circunstancias.
TABLA 6. PROBABILIDAD DE OCURRENCIA DEL EVENTO PELIGROSO (W)
Tipo de Evento Frecuencia Probabilidad de

(veces/año) Ocurrencia
Eventos de muy baja probabilidad de F < 10–4 W1
ocurrencia, tales como fallas múltiples Muy Baja
de instrumentos, errores humanos
múltiples ó fallas espontáneas de
equipos.
Eventos de baja probabilidad de 10–4 F < 10–1 W2
ocurrencia, incluyen la combinación de Baja
fallas de instrumentos con fallas
humanas.
Eventos de probabilidad mediana alta, F 10–1 W3
tales como fallas de válvulas o de Moderada a Alta
instrumentación (Ej: sensor, controlador
o válvula de control).
REVISION FECHA
Fig 5. MÉTODO CUALITATIVO DE GRÁFICA DE RIESGO PARA DETERMINACIÓN

DEL SIL
EXTENSIÓN FRECUENCIA DE POSIBILIDAD DE PROBABILIDAD DE OCURRENCIA DEL EVENTO PELIGROSO

DEL DAÑO EXPOSICIÓN AL EVITAR EL
PELIGRO PELIGRO
W3 W2 W1
MODERADA A ALTA BAJA MUY BAJA
C1 X1
a a a
MUY BAJA
P1 X2
POSIBLE
SIL 1 a a
F1 MENOR
P2
C2
POCO POSIBLE X3
BAJA SIL 2 SIL 1 a
P1
F2 MAYOR
POSIBLE
P2
F1 MENOR
C3 POCO POSIBLE X4
SIL 3 SIL 2 SIL 1
MODERADA P1
F2 MAYOR
POSIBLE
P2
F1 MENOR
POCO POSIBLE X5
C4 b SIL 3 SIL 2
ALTA
P1
POSIBLE
F2 MAYOR
P2 X6
POCO POSIBLE
b b SIL 3
NOTA:
a = No requiere SIS
b = un SIS no es suficiente
7.2 Método Semicuantitativo

7.2.1 Análisis de Capas de Protección (LOPA)
El método LOPA comienza con los datos desarrollados en el análisis de peligros
y operabilidad (HAZOP) y tiene en cuenta que para cada peligro identificado se
deben documentar las causas iniciadoras y las capas de protección o
salvaguardas que permitan prevenir o atenuar el peligro. La metodología LOPA
determina la necesidad de agregar IPLs para la reducción del riesgo, lo cual
también puede lograrse con IPLs diferentes a una SIF. Así mismo, esta
metodología pemite la determinación del nivel de integridad de seguridad (SIL)
apropiado para las SIF en estudio. En la Tabla 7 se establecen los valores del
Riesgo Tolerable a emplear en esta herramienta.
En el Anexo C se indica un formato típico de trabajo para el desarrollo de esta
metodología. Los valores requeridos de frecuencia de eventos iniciadores, los
factores contribuyentes, los modificadores condicionales y la probabilidad de falla
REVISION FECHA
en demanda de las capas independiente de protección son referidos en las tablas

del Anexo D.
Para mayor detalle del método LOPA ver Anexo F del documento IEC 61511–3.
7.3 Método Cuantitativo

Este método se fundamenta en la estimación de frecuencias y cálculo de
consecuencias. Para la estimación de frecuencias, se utiliza la técnica de árbol
de fallas. Los Análisis de Árbol de Fallas son diagramas de lógica que
sistemáticamente despliegan la secuencia de fallas, que comienza con eventos
iniciadores y combina las fallas de equipos/instrumentos/sistemas y errores
humanos y finaliza en un evento peligroso definido como evento tope. Por otro
lado, para el cálculo de consecuencias, se utiliza la técnica de Árbol de Eventos
y paquetes de simulación.
La norma internacional IEC 61025 y la norma técnica PDVSA IR–S–02, presenta
con mayor detalle las técnicas de Árbol de Fallas/Árbol de Eventos, criterios de
daños y cálculo de consecuencias, así como la base de datos de fallas de equipos
y errores humanos requerida para su uso. No obstante las siguientes referencias
pueden ser usadas como complemento de esta base de datos:
“Process Equipment Reliability Data – CCPS”.
EXIDA
OffShore Reliability Data” (OREDA)
7.3.1 Método General
Los pasos del método cuantitativo son los siguientes:
1. Identificar el Riesgo Tolerable permitido por PDVSA de acuerdo a la Tabla
7.
REVISION FECHA
TABLA 7. NIVEL DE RIESGO TOLERABLE

SEVERIDAD
NIVEL DE
NIVEL ACTIVOS RIESGO
DE PERSONAS COSTO AMBIENTE TOLERABLE
SEVERIDAD TOTAL EN USD (OCURRENCIA
/ AÑO)
Fuga o derrame
masivo fuera de
los límites de
Afectación Cierre definitivo
propiedad con
CRÍTICO potencial a instalación 10–6
daños
terceros $100 MM
ambientales a
gran escala
irreversible
Fuga o derrame
masivo fuera de
Al menos 1 (una) Parada total
los límites de
fatalidad de un operación
MAYOR propiedad con 10–5
trabajador dentro ( $50 MM , <
daños
de la instalación. $100 MM)
ambientales a
largo plazo
Fuga o derrame
Múltiples
masivo dentro
lesiones serias, Parada de planta
de los límites de
discapacidad hasta 2 semanas
SERIO propiedad con 10–4
temporal o ( $1 millón , <
daños
parcial $50 MM)
ambientales
permanente
significantes
Lesión o efecto a
Parada parcial
la salud serio, Afectación Leve
operación
MODERADO hospitalización o con amenaza 10–3
( $500 M , <
discapacidad ambiental
$1MM)
temporal
Breve
Primeros
interrupción a la Afectación Leve
Auxilios o
MENOR operación sin amenaza 10–2
tratamiento
( $10 M , < ambiental
médico puntual
$500 M)
Sin interrupción
Sin lesión o
INSIGNIFICANTE a la operación Sin afectación 10–1
efecto a la salud
< $10M
REVISION FECHA
2. Identificar los peligros del proceso.

3. Identificar las capas de protección independientes.
4. Determinar la frecuencia de ocurrencia de las consecuencias (evento final)
que origina el evento iniciador, por medio del siguiente procedimiento:
a. Elaborar el árbol de fallas (demandas) y calcular la frecuencia de
ocurrencia del evento iniciador, utilizando las diferentes tasas de falla de
las estadísticas referenciadas. Los valores de frecuencia de eventos
iniciadores sugeridos son referidos en el Anexo D.
b. Calcular las consecuencias del evento iniciador a través del árbol de
eventos o programas de simulación.
c. Cuantificar el riesgo asociado al evento iniciador, utilizando la frecuencia
determinada en el punto 4a y las consecuencias de punto 4b. Este es el
valor del riesgo real presente en la instalación. A este valor se le puede
llamar Rr (Riesgo real).
5. Calcular el valor de frecuencia de ocurrencia final del riesgo identificado
(Rf), multiplicando el aporte de las capas independientes de protección
(AIPL), por el valor Rr. Si este valor no cumple con el valor del Riesgo
Aceptable, es necesario agregar un SIS. Los valores establecidos para las
IPL estan referenciadas en el Anexo D de la presente norma técnica.
6. Determinar la probabilidad de falla en demanda (PFDAV) que permita
reducir el riesgo hasta el valor del nivel de riesgo establecido (Riesgo
Tolerable), dividiendo el valor del Riesgo Tolerable, entre el valor de
frecuencia de ocurrencia final del riesgo (Rf):
Riesgo Tolerable Riesgo Tolerable

PFD AV + +
Rf R r * A IPL
Rf: Frecuencia de la consecuencia mitigada o frecuencia

intermedia.
Rr: Frecuencia de la consecuencia no mitigada.
AIPL: Aporte de las Capas Independientes de Protección,
PFDAV: Probabilidad de falla en demanda,
7. En la Tabla 8 se determina el SIL requerido de acuerdo con la Probabilidad

de Falla en Demanda (PFD) calculada en el punto anterior.
REVISION FECHA
TABLA 8. NIVELES DE INTEGRIDAD DE SEGURIDAD (SIL) DE ACUERDO CON LA

PFD
Niveles de Integridad de Probabilidad de Falla en
Seguridad (SIL) Demanda (PFD average)
1 10–1 a 10–2
2 10–2 a 10–3
3 10–3 a 10–4
Es importante que en esta etapa se comparen las ventajas entre; colocación

(únicamente) de IPL, SIS (únicamente) y/o la combinación de ambas (IPL y SIS),
bajo la óptica, que los sistemas inherentemente seguros son aquellos sistemas
sencillos y simples.
8. De igual forma, se puede determinar el valor del SIL requerido calculando
el Factor de Reducción de Riesgo (FRR), el cual se calcula de la siguiente
forma:
FRR = 1/PFD
Una vez calculado el FRR se debe ubicar el valor del SIL en la Tabla 9.
TABLA 9. NIVELES DE INTEGRIDAD DE SEGURIDAD (SIL) DE ACUERDO CON EL

FRR
Niveles de Integridad de Factor de Reducción de
Seguridad (SIL) Riesgo (FRR)
1 10 – 100
2 100 – 1000
3 1000 – 10000
Es importante destacar, que en esta etapa es recomendable realizar un Análisis

Costo–Beneficio, donde se comparen las ventajas entre; la colocación de una IPL
nueva, un SIS o la combinación de ambas (IPL y SIS), bajo la óptica, que los
sistemas inherentemente seguros son aquellos sistemas sencillos y simples.
8 BIBLIOGRAFÍA
Center for Chemical Process Safety (CCPS), Layer of Protection Analysis.
American Institute of Chemical Engineers, New York, 2001.
9 ANEXOS
MANUAL DE INGENIERÍA DE RISGOS PDVSA IR–P–02
REVISION FECHA
PDVSA NIVEL DE INTEGRIDAD (SIL)
DE UN SISTEMA INSTRUMENTADO 2 SEP.14
ANEXO A MATRIZ CUALITATIVA AMPLIADA PARA ESTUDIOS DE SEGURIDAD

SEVERIDAD NIVEL DE FRECUENCIA DE OCURRENCIA (AÑOS)
REMOTO POCO MUY
NIVEL DE IMPROBABLE PROBABLE
ACTIVOS F<1/10000 PROBABLE PROBABLE FRECUENTE
SEVERIDAD F<1/10000 F<1/100
PERSONAS COSTO TOTAL AMBIENTE 0 años F<1/1000 F<1/10 F<1/1 años
años 10–5 años
EN USD 10–6 a años 10–4 a años 10–1 a 100
a10–4 10–3 a 10–2
10–5 10–3 10–2 a 10–1
Fuga o Derrame masivo fuera de
Afectación Cierre definitivo
los limites de propiedad con
CRÍTICO potencial a instalación
daños ambientales a gran escala
terceros $100 MM
irreversible
Al menos 1 (una) Parada total

operación Fuga o Derrame masivo fuera de
fatalidad de un
MAYOR los limites de propiedad con
trabajador dentro $50MM,  daños ambientales a largo plazo
de la instalación. $100MM
Múltiples lesiones Parada de planta
serias, hasta 2 semanas Fuga o Derrame masivo dentro de
SERIO discapacidad los limites de propiedad con
temporal o parcial $1 MM  daños ambientales significantes
permanente $50MM
Lesión o efecto a Parada parcial

la salud serio, operación Afectación Leve con amenaza
MODERADO hospitalización o
discapacidad $500 M  ambiental
temporal $1MM
Breve
Primeros Auxilios interrupción a la
operación Afectación Leve sin amenaza
MENOR o tratamiento
ambiental
médico puntual $10M 
$500M
Sin interrupción a
Sin lesión o la operación
INSIGNIFICANTE Sin afectación
efecto a la salud
 $10M
REVISION FECHA
TABLA A.1 CRITERIOS DE TOLERANCIA

RIESGO ACCIÓN GENERAL
Riesgo intolerable. Se deben considerar acciones con estricto cumplimiento para
ALTO
reducir el riesgo.
Riesgo intolerable. Se deben evaluar salvaguardas adicionales y medidas de
MEDIO ALTO
mitigación.
Riesgo reducible. Se deben establecer acciones de control, monitoreo, y posibles
MEDIO
acciones de mitigación.
Riesgo tolerable. Salvaguardas existentes que permiten asumir el riesgo en el área
BAJO
de proceso.
Guías para la determinación de Funciones Instrumentadas de Seguridad (SIF)

para un estudio SIL/SIS:
De forma general, si se requiere desarrollar un estudio SIL/SIS (cualitativo,
semicuantitativo o cuantitativo) de algún área de procesos, las SIF a evaluar
serán aquellas desviaciones que fueron calificadas como riesgo alto o medio alto
(de acuerdo al anexo A) producto de un Análisis Cualitativo de Riesgos
(típicamente un HAZOP). Si en el análisis cualitativo se identificaron desviaciones
con consecuencias potenciales con niveles de severidad: serio, mayor o crítico,
deben también ser consideradas en el estudio, aún cuando no hayan sido
calificadas como riesgo alto o medio alto.
REVISION FECHA
ANEXO B CAPAS DE PROTECCIÓN INDEPENDIENTES [IPL(S)]

Para la configuración del proceso, donde sea posible, es conveniente aplicar
decisiones para una mayor reducción de riesgo hasta niveles tolerables –
mínimos, mediante el cambio del diseño o la adición de IPL(s) o SIS.
En la Fig. B.1 de “Capas Múltiples de Protección”, se muestran en forma general
algunas capas de protección independientes que podrían prevenir la(s) causa(s)
inicial(es) del evento peligroso. Las IPL(s) deben ser diferentes para diferentes
causas iniciadoras.
En base a los requerimientos descritos en el punto siguiente “Reglas para IPL(s)”,
se podrá determinar si las capas de protección evaluadas son independientes.
Adicionalmente, se describen algunas características de las mismas.
S REGLAS PARA IPL(s)
1. Cada capa de protección debe ser independiente de las otras capas. En
otras palabras, no debe existir una falla que pueda dejar fuera de
funcionamiento dos o más capas de protección.
2. Una IPL es específicamente diseñada para prevenir o mitigar las
consecuencias de un evento peligroso.
3. La IPL se diseñará de tal manera que la misma pueda ser auditada.
4. Para efectos de esta norma, el Sistema del Control Básico de Proceso
(BPCS) no puede ser considerado como una IPL. Sin embargo, si el evento
iniciador proviene de un elemento fuera del BPCS (ej: falla de una bomba,
error humano, etc) este si puede ser considerado como una IPL.
5. Las alarmas que son anunciadas y dependientes del BPCS y cuando estas
vienen asociadas al controlador del evento iniciador, no se pueden
considerar como una IPL adicional.
6. Cualquier otro sistema instrumentado puede ser considerado como una
IPL sí y sólo si:
– Es totalmente independiente del BPCS y del SIS.
– Su falla no es responsable de iniciar un evento peligroso.
REVISION FECHA
Fig B.1. CAPAS MULTIPLES DE PROTECCIÓN
RESPUESTA DE EMERGENCIA A LA COMUNIDAD

REDUCE
SEVERIDAD DEL RESPUESTA DE PROTECCIÓN DE PLANTA

ACCIDENTE
PROTECCIÓN FÍSICA (DIQUES DE CONTENCIÓN)
REDUCE SISTEMA INSTRUMENTADO DE SEGURIDAD

PROBABILIDAD DE
OCURRENCIA DEL
CAPAS DE PROTECCIÓN INDEPENDIENTES (IPLs)
ACCIDENTE
PROCESO
+
BPCS
En la Figura B.1 de “Capas Múltiples de Protección”, se aprecia como las IPL(s)

reducen la severidad así como la probabilidad de ocurrencia del evento. En
algunos casos, las IPL(s) que reducen la severidad, no previenen todos los
aspectos negativos del evento. Este tipo de capa de protección se conoce
también como capas de mitigación, ejemplos de las mismas son: válvulas de
alivio, discos de ruptura, sensores para detección de descarga de productos al
ambiente y procedimiento de evacuación, sensores y sistema de diluvio
automático. Cada capa debe ser independiente.
REVISION FECHA
Para llenar el formato haga click aquí
ANEXO C FORMATO DE REFERENCIA PARA REALIZAR UN ANÁLISIS

LOPA CON EFECTOS E IMPACTOS SOBRE PERSONAS
(1) No. SIF 2) Intención de diseño de la SIF:
(3) Modo de Operación
(4) P&IDs: Probabilidad Probabilidad de Falla en Frecuencia
de Demanda (por año)
Descripción Ocurrencia
(5) Descripción de las Consecuencias
(6) Nivel de Riesgo Tolerable A1
(7) Evento Iniciador B2
(8) Factor Contribuyente (Solo Si Aplica) C1
Ignición / explosión D1
9) Modificadores Personal en el área afectada D2
Condicionales
(Solo
( Si Aplican)
p ) Fatalidad D3
Otros D4
(10) Frecuencia de la Consecuencia No Mitigada
(FCNM) FCNM + B C P HĂD i
Sistema de Control Básico del Proceso
E1
(BPCS)
Respuesta del Operador de Alarma(s) E2
(11) Capas
Independientes Otas Funciones Instrumentadas de
E3
de Proteccón Seguridad (SIF)
(IPLs)
Sistemas de Alivio (PSV, disco de
E4
ruptura)
Otras (Ej: Doble sello en la bomba, etc) E5
(12) TOTAL PFD para todas las IPLs (IPL) IPL PFD + PHĂE i
(13) Frecuencia de la Consecuencia Mitigada o
Frecuencia Intermedia(FCM) FCM + IPL PFD FCNM
(14) PFD a ser garantizada por la SIF requerida PFD RQ + A

FCM
(15) SIL Requerido F
(16) Factor de Reducción de Riesgo (FRR) FRR + 1

PFD RQ
(17) Recomendaciones:
(18) Observaciones:
REVISION FECHA
ANEXO C INSTRUCTIVO DE LLENADO FORMATO DE REFERENCIA PARA

REALIZAR UN ANÁLISIS LOPA (CONT.)
La planilla o formato debe ser llenado siguiendo las instrucciones:
1. Identifica el número de Función Instrumentada de Seguridad SIF a estudiar.
2. Define la intención de diseño de la SIF, el cual representa el propósito de la
función.
3. Establece el modo de operación entre Operación Normal, Arranque, entre
otros.
4. Define los planos o referencias donde los elementos de la SIF es mostrada.
5. Identifica la desviación de las variables de proceso y que a su vez pueden
originar condiciones peligrosas al humano, al ambiente, pérdidas
económicas o daños a las instalaciones: Esta desviación es determinada a
través de un estudio de identificación de peligros, comúnmente HAZOP.
6. Establece la severidad del evento final (Personas, Ambiente, Perdidas
Económicas) (Ver Tabla 7).
7. Define la frecuencia por año de acuerdo al evento iniciador (Usar Tabla D.1
del Anexo D, Norma Técnica PDVSA IR–S–02 ó Bibliografía CCPS).
8. En caso de que aplique el punto, las factores contribuyentes (enabling
factors) más comunes, están relacionados con los modos de operación,
tales como la puesta en marcha y parada de una operación de la planta o
unidad. A menudo, se utiliza un factor contribuyente en un escenario
particular donde requiere la presencia simultánea de dos fracasos del
suceso iniciador. Es por ello que al definir la necesidad de utilizar este factor,
se debe expresar en el estudio en términos de probabilidad. (Usar Tabla D.4
del Anexo D)
9. En caso de aplicar el punto, los modificadores condicionales es el término
utilizado para describir varios factores que entran en juego en un estudio
LOPA cuando el punto final que se está evaluando son las afectaciones al
humano, al medio ambiente o a las instalaciones. Los factores
condicionales más comunes, se definen normalmente como tres factores
independientes como lo son de probabilidad de ignición, la probabilidad de
ocupación del área y la probabilidad de fatalidad. (Usar la Tabla D.3 del
Anexo D).
10. Indica las probabilidades de falla en demanda (PFD) de las diferentes
Capas de Protección (IPL‘s).
11. Determina el producto correspondiente a las probabilidades de las IPL’s.
(Usar Tabla D.2 del Anexo D o Bibliografía CCPS).
12. Determina el producto correspondiente de la PFD de las IPL’s por la
Frecuencia de la Consecuencia No Mitigada (FCNM).
REVISION FECHA
ANEXO C INSTRUCTIVO DE LLENADO FORMATO DE REFERENCIA PARA

REALIZAR UN ANÁLISIS LOPA (CONT.)
13. Determina la PFD del SIF existente de acuerdo a la relación
correspondiente entre el Nivel de Riesgo Tolerable (A) y la FCM.
14. Selecciona el SIL requerido (Ver Tabla 8) de acuerdo al rango obtenido en
la PFD del SIF existente.
15. Selecciona el FRR (Ver Tabla 9) o establece la inversa de la PFD requerida.
16. El equipo multidisciplinario evalúa y define de acuerdo al SIL establecido,
si es requerido adicionar un elemento instrumentado o una IPL‘s.
17. Se establecen las referencias o bibliografías de los datos de frecuencias y
probabilidades utilizadas en el calculo de la SIF, así como los parámetros
tomados como factor de uso o oportunidades de efectuar una acción
operacional al año, etc.
Nota:
La aplicación adecuada del factor contribuyente (punto 8) y modificador
condicional (punto 9), puede permitir un análisis LOPA con mayor precisión. Sin
embargo, el uso inadecuado de estos factores puede dar lugar a una
subestimación de los riesgos de un escenario, disminuyendo la responsabilidad
de una SIF. Por esta razón, se recomienda desarrollar el o los escenarios de un
estudio primeramente sin la inclusión de estos factores y si se requiere realizar
un calculo mas preciso, el equipo de trabajo debe justificar el uso de estos para
así tomarlos en cuenta para desarrollar nuevamente la evaluación.
REVISION FECHA
ANEXO D VALORES TÍPICOS

TABLA D.1 VALORES DE FRECUENCIA TÍPICA ASIGNADA A EVENTOS
INICIADORES
Frecuencias típicas eventos

Evento Iniciador
iniciadores. Uso en LOPA (Por Año)
Falla de Tanque Presurizado 1 x 10–6
Falla de Tuberías – 100m – Ruptura Total 1 x 10–5
Fuga de Tuberías (10% sección) –100m 1 x 10–3
Falla de Tanque Atmosférico 1 x 10–3
Pérdida o fuga de Brida /Empacadura 1 x 10–2
Sobrevelocidad en la Turbina o motor diesel / con
1 x 10–4
ruptura de la cámara
Intervención de Terceras Partes (Impacto Externo de
1 x 10–2
Retroexcavadora, vehículos, entre otros.)
1 x 10–4
Caída de la carga de la grúa
Por carga
Descarga Eléctrica Atmosférica(relámpago) 1 x 10–3
Apertura espontánea de la Válvula de Seguridad 1 x 10–2
Falla del sistema de agua de enfriamiento 1 x 10–1
Falla de los sellos de la bomba 1 x 10–1
Falla de las mangueras de carga / descarga 1 x 10–1
Falla del lazo instrumentado del BPCS Nota: IEC
61511 refiere el límite más que 1 x 10–5/h ó 8.76 x 1 x 10–1
10–2/año.
Falla del Regulador 1 x 10–1
Incendio exterior pequeño 1 x 10–1
Incendio exterior grande 1 x 10–2
Falla del Procedimiento* de Bloqueo y Etiquetado 1 x 10–3
(*Falla total de múltiples elementos del proceso) por oportunidad
Falla del Operador (para ejecutar procedimientos de
1 x 10–2
rutinas, asumiendo que esté capacitado, sin estrés,
por oportunidad
sin fatiga).
REVISION FECHA
ANEXO D VALORES TÍPICOS (CONT.)
TABLA D.2 VALORES TÍPICOS DE LAS PROBABILIDADES DE FALLAS EN

DEMANDA (PFD) DE LAS CAPAS INDEPENDIENTES DE PROTECCIÓN (IPL)
Capas Independientes de Protección (IPL) Probabilidad de Falla en Demanda

Activas (PFD)
Válvulas de alivio (PSV) 1 x 10–2
Discos de ruptura 1 x 10–2
Sistema del Control Básico del Proceso (BPCS).
1 x 10–1
Nota: incluye cualquier elemento que lo conforma.
SIF SIL1 1 x 10–1
SIF SIL2 1 x 10–2
SIF SIL3 1 x 10–3
Capas Independientes de Protección (IPL)
Pasivas
Nota: asumiendo adecuado diseño, inspección y
procedimientos de mantenimiento.
Diques 1 x 10–2
Sistemas de drenajes subterráneos 1 x 10–2
Venteos abiertos (no válvulas) 1 x 10–2
Recubrimiento contra incendio (fireproofing) 1 x 10–2
Paredes reforzadas para resistir sobrepresiones /
1 x 10–3
edificaciones reforzadas (Bunker)
Diseño intrinsicamente seguro 1 x 10–2
Arresta llamas 1 x 10–2
Capas Independientes de Protección (IPL)
Acciones Humanas
Nota: asumiendo adecuada formación,
documentación y procedimientos de trabajo.
Acción del operador ante alarmas (BPCS o ESDS)
1 x 10–1
con al menos 10 minutos de tiempo de respuesta.
Acción del operador (bien entrenado / sin estrés) con
1 x 10–1
al menos 40 minutos de tiempo de respuesta.
REVISION FECHA
TABLA D.3 VALORES TÍPICOS DE MODIFICADORES CONDICIONALES
D.3.1 PROBABILIDADES DE IGNICIÓN FUGAS

D.3.1.1 INSTALACIONES EN TIERRA FIRME
Descripción Probabilidad de ignición total de una fuga según la tasa de liberación de fluido
Probabilidad de ocurrencia
acumulada
Servicio Á
Área Media
Menor Mayor
(1–50
(<1 kg/s) (>50 kg/s)
kg/s)
Industrial o urbana, fuera de la planta 0,0045 0,0563 0,070
Rural, fuera de la planta 0,0041 0,067 0,070
Líquido
Lí id Planta pequeña de líquidos (<1200 m2) 0,0024 0,0570 0,1000
inflamable sin
vaporización Planta grande de líquidos (>1200 m2) 0,0025 0,0670 0,1300
significativa Planta pequeña de líquidos (<1200 m2) con
(<10%) 0,0024 0,0130 0,0130
contención en área rural
Planta grande de líquidos (>1200 m2) con
0,0024 0,0500 0,0500
contención en área rural
Gases inflamables, vapores o líquidos
0,0056 0,1057 1
sobre su punto de ebullición
Gases
Rural, fuera de la planta 0,0014 0,0073 0,08
inflamables,
p
vapores o Planta pequeña de GLP (<1200 m2) 0,0025 0,1107 0,6000
lí id
líquidos sobre
b Planta grande de GLP (>1200 m2) 0,0025 0,1250 0,6500
su punto de
ebullición Planta grande de GLP (>1200 m2) con alto
grado de congestionamiento o parcialmente 0,0025 0,2860 0,7000
confinada
Sustancia
inflamable por
encima de su Todas 1 1 1
temperatura
de ignición
REVISION FECHA

D.3.2 INSTALACIONES COSTA FUERA
D.3.2.1 PROBABILIDAD DE IGNICIÓN FUGAS DE GAS EN PLATAFORMAS
Flujo de gas Flujo de gas Flujo de gas

Ubicación de la fuga
(> 20 kg/s) (2–20kg/s (<2kg/s)
Modulo grande 0,439 0,114 –
Modulo mediano 0,364 0,105 0,012
Modulo pequeño 0,256 0,043 0,030
Riser above sea 0,168 0,026 0,005
Subsea 0,443 0,130 0,043
D.3.2.2 PROBABILIDAD DE IGNICIÓN FUGAS DE GAS EN PUENTES

INTER–CONECTORES DE PLATAFORMAS

(> 20 kg/s) (2–20kg/s (<2kg/s)
Lower deck 0,046 0,006 0,001
Riser above sea 0,078 0,013 0,002
Subsea 0,140 0,051 0,002
D.3.2.3 PROBABILIDAD DE IGNICIÓN FUGAS DE CRUDO EN PLATAFORMAS

( > 20 kg/s) ( 2–20kg/s ( <2kg/s)
Modulo 0,121 0,091 0,003
Riser above sea 0,051 0,009 0,003
Subsea 0,005 0,001 –
TABLA D.4 VALORES TÍPICOS DEL FACTOR CONTRIBUYENTE (ENABLING

FACTOR)
Condiciones presentes en el Modo de

Probabilidad
Operación
Durante el proceso de parada de planta 1x10 –1
Durante el proceso de arranque de planta 1x10 –1
Durante operación normal 1

Pdvsa: Manual de Ingeniería de Riesgos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Pdvsa: Manual de Ingeniería de Riesgos

Cargado por

Copyright:

Formatos disponibles

PDVSA

MANUAL DE INGENIERÍA DE RIESGOS

IR–P–02 NIVEL DE INTEGRIDAD (SIL) DE UN SISTEMA

2 SEP.14 REVISIÓN GENERAL 30 G.F. M.T. N.V.

REV. FECHA DESCRIPCIÓN PAG. REV. APROB. APROB.

PDVSA, 2005 ESPECIALISTAS

“La información contenida en este documento es propiedad de Petróleos de

Las Normas Técnicas PDVSA son de obligatorio cumplimiento del marco

3.1 Petróleos de Venezuela, S.A. (PDVSA)

3.2 International Electrotechnical Commission (IEC)

5.1 Análisis de Capas de Protección (LOPA)

5.2 Función Instrumentada de Seguridad (SIF)

5.3 Función de Seguridad

5.4 Nivel de Integridad de Seguridad (SIL)

5.5 Probabilidad de Falla en Demanda (PFD)

5.6 Seguridad Funcional

5.7 Sistema Instrumentado de Seguridad (SIS)

En la Figura 1, se puede apreciar como el riesgo inherente al proceso (incluyendo

(c) (b) (a)

Reducción de Riesgo alcanzado por IPL(s) y/o SIS

* BPCS: Sistema de Control Básico de Proceso (Basic Process Control System).

Fig 2. METODOLOGÍA PARA DETERMINAR LA NECESIDAD DE UN SIS Y SU

ESTUDIO DEL PROCESO + BPCS

IDENTIFICACIÓN DE PELIGROS/LAZOS CRITICOS

IDENTIFICACIÓN DE CAPAS INDEPENDIENTES DE

SELECCIONAR METODOLOGíA (CUALITATIVA/SEMICUANTITATIVA/

MÉTODO CUALITATIVO MÉTODO SEMICUANTITATIVO / CUANTITATIVO

ESTIMAR ESTIMAR ESTIMAR ESTIMAR

ESTIMAR EFECTIVIDAD DE CUANTIFICAR EL

6.1.1 Estudio del proceso + BPCS

6.1.3 Identificación de Capas Independientes de Protección Diferentes del SIS.

7 METODOLOGÍAS PARA LA DETERMINACIÓN DEL SIL DEL

Fig 3. METODOLOGÍA PARA LA DETERMINACIÓN DEL NIVEL DE INTEGRIDAD DE

Los análisis cualitativos pueden presentar cierto nivel de incertidumbre y tienden

7.1 Métodos Cualitativos

A continuación se describen los pasos a seguir en el uso de la Matriz de Capas

TABLA 1. FRECUENCIA DE OCURRENCIA DEL EVENTO PELIGROSO

TABLA 2. SEVERIDAD DE CONSECUENCIAS

7.1.2 Método General de Gráfica de Riesgo

R (Riesgo) = f (Frecuencia) x C (Consecuencia)

C: Consecuencia del evento peligroso.

TABLA 3. SEVERIDAD DE CONSECUENCIA (C)

TABLA 4. FRECUENCIA DE EXPOSICIÓN AL PELIGRO (F)

TABLA 5. POSIBILIDAD DE EVITAR EL PELIGRO (P)

Tipo de Evento Frecuencia Probabilidad de

Fig 5. MÉTODO CUALITATIVO DE GRÁFICA DE RIESGO PARA DETERMINACIÓN

EXTENSIÓN FRECUENCIA DE POSIBILIDAD DE PROBABILIDAD DE OCURRENCIA DEL EVENTO PELIGROSO

7.2 Método Semicuantitativo

en demanda de las capas independiente de protección son referidos en las tablas

7.3 Método Cuantitativo

TABLA 7. NIVEL DE RIESGO TOLERABLE

2. Identificar los peligros del proceso.

Riesgo Tolerable Riesgo Tolerable

Rf: Frecuencia de la consecuencia mitigada o frecuencia

7. En la Tabla 8 se determina el SIL requerido de acuerdo con la Probabilidad

TABLA 8. NIVELES DE INTEGRIDAD DE SEGURIDAD (SIL) DE ACUERDO CON LA

Es importante que en esta etapa se comparen las ventajas entre; colocación

TABLA 9. NIVELES DE INTEGRIDAD DE SEGURIDAD (SIL) DE ACUERDO CON EL

Es importante destacar, que en esta etapa es recomendable realizar un Análisis

ANEXO A MATRIZ CUALITATIVA AMPLIADA PARA ESTUDIOS DE SEGURIDAD

Al menos 1 (una) Parada total

Lesión o efecto a Parada parcial

TABLA A.1 CRITERIOS DE TOLERANCIA