Curso de Ingenieria de Seguridad Funcional I

Ingeniería de Seguridad
Funcional – I
Arquímedes Barrios
OBJETIVOS GENERALES
Revisar la conceptualización del Ciclo de Vida de la Seguridad con el objeto
de desarrollar, aplicar y extender las buenas prácticas de ingeniería existentes
al emplear Sistemas Instrumentados de Seguridad (SIS) para administrar el
riesgo.
Desarrollar habilidades básicas para el Ciclo de Vida de la seguridad lo cual

permita:
Identificar y estimar el riesgo existente.

Identificar donde se requiere la implementación de funciones
instrumentadas de seguridad (SIF) y/u otros medios de reducción de
riesgo.
Seleccionar el SIL objetivo apropiado.
Desarrollar la especificación básica de requisitos de seguridad (SRS).
OBJETIVOS ESPECIFICOS
Trabajando a través del Ciclo de Vida de Seguridad en la Fase de Análisis.
Introducción al propósito y conceptos del Ciclo de Vida de la Seguridad.
Vista general de las fases del ciclo de vida de seguridad la

(Enfoque en IEC 61511 con referencias a IEC 61508)
Competencia del personal.
Principios y propósitos de la administración del riesgo.

Contexto para el ciclo de vida de seguridad.
Guías de Riesgo Tolerable.
Reglas de probabilidad y análisis básico de árbol de fallas.

Habilidades para el ciclo de vida de seguridad.
Habilidades para el Ciclo de Vida de la Seguridad

OBJETIVOS ESPECIFICOS
Trabajando a través del Ciclo de Vida de Seguridad en la Fase de Análisis.
Análisis de peligros del proceso (PHA).

Identificación de funciones instrumentadas de seguridad.
Vista general de análisis de consecuencia.
Vista general de análisis de probabilidad de ocurrencia.
Árboles de eventos e integración del riesgo.
Análisis de Capas de Protección (LOPA).
Métodos para la selección del SIL objetivo.
Especificación de requisitos de seguridad (SRS).

Sección 1: Introducción a los Sistemas
Instrumentados de Seguridad
¿Por qué existen los SIS?

Evolución del SIS
Los Estándares
Definiciones de SIS
Funciones Instrumentadas de Seguridad
Equipo del SIS
Evolución del SIS
Años 60:
Lógica cableada con relés e interruptores.
Instalación donde se identificaba la necesidad de seguridad.
Evolución del SIS
Años 70:
Lógica cableada con relés e interruptores.
Lógica de estado sólido.
Instalación donde se identifica la necesidad de seguridad.
Evolución del SIS
Años 80:
Comienzo de uso de los PLC.
No hay estándar para software “seguro”.
Se desarrolla procedimiento HAZOP (CCPS).
1ª generación de Sistemas de Seguridad – TMR (Triple Modular Redundancy) (Ej:
Tricon de TRICONEX).
Evolución del SIS
Años 90:
PLC’s de seguridad.
Se desarrollan estándares para los PLC de seguridad.
Se desarrollan metodologías para el análisis cuantitativo de riesgos.
Se introducen metodologías para la identificación sistemática de peligros.
2ª generación de sistemas de seguridad. Emplean un alto nivel de diagnostico (D)
acoplado a técnicas de votación (1oo2D, 2oo3) para proveer seguridad y
disponibilidad con más tolerancia a fallos y menor costo.
H41q/H51q de HIMA.
FSC de Honeywell.
Evolución de Tricon de TRICONEX.
Evolución del SIS
Años 2000:
Equipos certificados para aplicaciones de seguridad (Válvulas, Transmisores, PLC)
según IEC 61508.
Ofrecen un alto nivel de diagnósticos.
Alta integración con el DCS que ofrecen herramientas avanzadas de programación.
Sistemas altamente modulares y escalables.
Se implantan procesos basados en el Ciclo de Vida de la Seguridad.
Aplicación de IEC 61511 y ANSI/ISA 84 (2004): Seguridad Funcional.
3ª generación de sistemas de seguridad FMR (Flexible Modular Redundancy),
certificados por TUV según IEC 61508.
Delta V SIS de EMERSON.

SIMATIC S7-F/FH de SIEMENS.
Evolución en el Tiempo de los Sistemas de
Seguridad.
Valor
SIS Inteligente
PLC y Dispositivos - Documentación y
Analógicos modificación sencillas
Relés e Interruptores - Documentación y - Ensayos Automatizados
Casi imposible de: modificación mejoradas - Detección inteligente y
- Documentar, modificar - Ensayos Mejorados diagnostico de fallos
- Ensayar - Detección y diagnostico
- Detectar o Diagnosticar
de fallos deficientes
Fallos
1940 1960 1980 2000 2020

Tiempo
Evolución del SIS
Los resultados de un estudio británico (1995) publicado en el articulo titulado “out of
control” concluyó que 34 accidentes en diferentes industrias se debió a fallas en los
equipos de control y seguridad.
Cambios
despues
del
Comisiona
miento
20%
Especifica
Operación ción 44% El resultado de este estudio llevó al
y
desarrollo del Ciclo de Vida de la
Mantenimi
ento 15% Seguridad definido en los estándares
Instalación ANSI/ISA S84.00.01, IEC 61511 e
y Puesta Diseño e
Marcha Implement IEC-61508.
6% ación 15%
Proceso para el Diseño de Seguridad –
Años 80/90
Identificar Peligros
Identificación de Peligros
Peligros Potenciales
Potenciales
Evaluar consecuencias
Análisis de consecuencias Consecuencias del Peligro
Diseñar Sistema
Diseño siguiendo las Guías Diseño del SIS
Muchos Sistemas Actuales Tienen Diseños
Antiguos
Diseño prescriptivo siguiendo las reglas
Por ejemplo, si es “CLASE 3” (cualquier herida seria o posible fatalidad)
Diseñar con tres transmisores en votación 2oo3.
Diseñar con PLC de seguridad certificado AK6: Triconex o Honeywell FSC.
La salida cortará el suministro de aire al posicionador de la válvula de control, usando
una solenoide de tres vías.
SOBREDISEÑO
COSTOSO
Tx SUBDISEÑO
PELIGROSO
Solenoide
Tx PLC Certificado AK6
3 vías
Tx Posicionador
Válvula de
control
Los Estándares
IEC61513: Sector Nuclear
Estándar Internacional
para Todas las Industrias IEC62061: Maquinarias
Basado en Actuación
(Aplica a Proveedores)
IEC61511: Industrias de Procesos (ISA

84.00.01-2004 en USA)
Estándar IEC 61508
Aplica a todas las industrias en general, en especial a
Proveedores:
Requisitos para proveedores de equipos de
instrumentación y control de procesos.
Clientes buscan proveedores con productos
certificados por agencias reconocidas y con
amplia experiencia, de acuerdo a este estándar.
Estándar IEC 61511
Aplica a Usuarios Finales en la Industria de Procesos

Cubre el Ciclo de Vida de Seguridad del SIS:
Análisis de riesgos.
Diseño basado en actuación.
Operación y Mantenimiento.
Aplicaciones de Usuarios Finales:
Típicamente no son certificadas.
Evaluación de Seguridad Funcional independiente.
Tres (3) secciones:
Requisitos.
Guías.
Selección del SIL.
Definición de Sistema Instrumentado de
Seguridad
La normativa IEC 61511 define el Sistema Instrumentado de Seguridad (SIS)

como: “un sistema instrumentado usado para la implementación de una o más
funciones instrumentadas de seguridad. Un SIS está compuesto de cualquier
combinación de sensores, procesadores de lógica y elementos finales.”
Definición Funcional del SIS
A menudo se prefiere una

definición funcional del SIS,
tal y como:
“Un SIS se define como un
sistema compuesto de
sensores, procesadores de
lógica y elementos finales,
con el propósito de:
1. Llevar automáticamente un proceso industrial a su estado seguro cuando ciertas

condiciones específicas han sido violadas;
2. Permitir que el proceso avance al próximo estado cuando las condiciones especificadas
se han cumplido (funciones permisivas); o
3. Tomar acción para mitigar las consecuencias de un peligro industrial.”
Función Instrumentada de Seguridad (SIF)
Una función instrumentada de

Seguridad se define como “una
función a ser implementada por un
SIS la cual tiene por finalidad el
lograr o mantener el proceso en un
estado seguro frente a un evento de
peligro específico.”
IEC 61511 Parte 1 (3.2.68)

Función Instrumentada de Seguridad (SIF)
Lazo 1
Función de seguridad con un SIL
1 especificado que es necesario para
obtener seguridad funcional y que
Resolvedor puede ser ya sea una función
6
lógico instrumentada de seguridad: de
protección o de control.”
Sensores IEC 61511 Parte 1 (3.2.71)
Elementos finales
Nivel de Integridad de Seguridad
Nivel de Integridad
de Seguridad
“Nivel discreto (uno de cuatro)
SIL 4 para especificar los requisitos de
integridad de seguridad de las
funciones instrumentadas de
SIL 3 seguridad a ser localizadas en
sistemas instrumentados de
seguridad. SIL 4 tiene la más alta
SIL 2
integridad de seguridad y SIL 1 la
más baja.”
SIL 1
IEC 61511 Parte 1 (3.2.74)
Que tan bien la función de seguridad desempeña su trabajo de administrar el riesgo.

Tipos de Funciones Instrumentadas
No ¿Es una Función Si

Instrumentada?
No ¿Función Si
Si instrumentada de
¿Relacionada No
seguridad?
con seguridad?
Continuo Demanda
¿Modo?
No
Relevante
Prevención Mitigación
¿Tipo?
Otros medios
de reducción
Función
de riesgo
instrumentada de Función Función
Control Básico de Proceso y/o seguridad o Instrumentada de Instrumentada de
Protección de Equipo control Seguridad Seguridad
Prevención Mitigación
Sistema Instrumentado de Seguridad
Sensores
Lazo 1
Elementos finales
1
Lazo 2
2 6
3 Procesador de
Lógica Lazo 4
Lazo 3
4 7
5
Lazo 5
8
Un conjunto único de acciones específicas y su equipo

correspondiente, necesario para identificar un peligro único y actuar
para llevar al proceso a un estado seguro.
Es diferente a un SIS, el cual puede abarcar múltiples funciones y
actuar en múltiples formas para prevenir múltiples resultados
peligrosos.
Un SIS puede tener múltiples SIF, cada una de las cuales con un
SIL diferente, de modo que resulta incorrecto y ambiguo definir
un único SIL para todo un SIS.
Función Instrumentada de Seguridad Ejemplos
Al detectar alta temperatura, se previene la ruptura de columna al

cortar flujo de vapor al rehervidor
Al detectar alta presión, ´reviene ruptura de tanque abriendo válvula
al sistema de alivio
Al detectar alto nivel, abriendo válvula drenaje para dirigir el exceso
de líquido al drenaje para reducir daño ambiental
Al detectar fuego, emitir alarmas para minimizar daño y posible
lesión
(Este último no es una SIF del todo, ya que no consigue el estado
seguro. Las acciones finales deberán ser incluidas.)
Sensores de una SIF
Resolvedor Elementos
Sensores
lógico finales
Al igual que un sistema de control, un sistema de seguridad tiene

sensores. En las industrias de procesos los sensores miden los
parámetros del proceso, tales como presión, temperatura, flujo, nivel,
concentración de gas y otras variables. En la industria manufacturera los
sensores miden la proximidad de una persona, la intrusión de un
operador en una zona peligrosa y otros parámetros de protección.
Procesador Lógico de una SIF
Resolvedor Elementos
Sensores
lógico finales
Un sistema de seguridad también cuenta con un procesador de

lógica, el cual es típicamente un controlador, que lee las señales de
los sensores y ejecuta acciones pre-programadas para prevenir o
mitigar un peligro del proceso. El controlador hace esto enviando
señales a los elementos finales.
Elemento Final de una SIF
Elementos
finales
El elemento final en una SIF es lo que actúa para hacer que el

proceso vaya a su estado seguro. En la industria de procesos, a
menudo esto es una válvula con actuación remota, mientras que en
la industria manufacturera lo más probable es que se trate de un
conjunto embrague/freno.
Función Instrumentada de Seguridad
Implementación
Elemento
Procesador de
Sensor Lógica
Elemento Acondicionador de Acondicionador de Elemento Final

Servicios Utilitarios señal de Control
Sensor señal Ej: Alimentación
Eléctrica, Aire de
Instrumentos, etc.
Elemento Elemento Final
Sensor de Control
Interconexiones
La implementación de una función de seguridad sencilla puede incluir

múltiples elementos sensores, módulos acondicionadores de señal,
elementos finales múltiples y servicios utilitarios dedicados, tales
como alimentación eléctrica de potencia y/o aire de instrumentos.
Sección 1: Introducción, resumen
Por qué existen los SIS?

Evolución del SIS
Los Estándares
Definiciones de SIS
Equipo del SIS
Sección 2: Ciclo de Vida de Seguridad
Causa de Accidentes
Objetivos del Ciclo de Vida de Seguridad
Versiones del Ciclo de Vida de Seguridad según IEC 61508,
ISA 84.01 e IEC 61511
Fase de Análisis
Fase de Realización
Fase de Operación
Competencia del Personal
Causa de Accidentes Industriales - HSE
Estudio de la HSE sobre accidentes relacionados con sistemas de control:
Cambio después del

Arranque 20%
Especificaciones 44%
Operación y
Mantenimiento 15%
Instalación y
Arranque 6%
Diseño e
Implementación
15%
“Fuera de control: ¿Por qué los Sistemas de Control Funcionan Mal y Cómo Prevenir las
Fallas?” – U.K.: Sheffield, Salud y Seguridad Executive, 1995.
Historia Reciente sobre Accidente
Buncefield (UK)
Explosión en almacenamiento de aceite el 11 de diciembre 2005
40 personas lesionadas
Costo estimado de £1 Billón (US$1.6 Billones)
“Los sistemas de seguridad para el corte de suministro de crudo al tanque

fallaron en operar.”
Recomendación 11*: Recomendamos que el régimen regulador para sitios con peligros
mayores debería asegurar valoración apropiada de los niveles de integridad de
seguridad (SIL’s) por medio del desarrollo de estándares y guías apropiados para
determinar SIL’s.
*Reference: The Buncefield Incident, 11 December 2005 – The final report of the Major
Accident Investigation Board (Volume 1), 2008
Ciclo de Vida de Seguridad
Objetivos
Construir sistemas más seguros que no experimenten los

mismos problemas del pasado
Construir sistemas más efectivos económicamente que tengan
un diseño adecuado al riesgo
Eliminar “eslabones débiles” en el diseño que cuestan mucho
pero proveen poco
Proveer un marco global para diseños consistentes
Resultados Prácticos de un SLC
Refinería: Unidad Generadora de Hidrógeno

Fuente: Shell
47%
49%
4%
49%: Funciones de Seguridad sobre-diseñadas

4%: Funciones de Seguridad sub-diseñadas (inseguras)
47% Sin cambios
Resultados Prácticos de un SLC
Muestra: 5319 lazos en 7 Plantas diferentes

Fuente: NAM
57%
37%
6%
37%: Funciones de Seguridad sobre-diseñadas

6%: Funciones de Seguridad sub-diseñadas (inseguras)
57% Sin cambios
Ciclo de Vida de Seguridad según IEC61508
1. Concepto
2. Definición Alcance FAS

General
E
3. Análisis de Riesgos y
Peligros
“ANÁLISIS”
4. Req. Generales de (Usuario Final/Consultor)
Seguridad
5. Ubicación de Req.
de Seguridad
Planificación General 9. Sist. Rel. con 10. Sist. Rel. con 11. Sistemas
Seguridad: Seguridad: Otras Externos para
6. Planificación 8. Planificación, E/E/EP Tecnolog. Reduc. Riesgos
7. Planif. de
Operación y Instalación y Realización Realización Realización
Validación
Mantenimiento Pruebas
12. Instalación y “Realización”

Pruebas Generales (Vendedor/Contratista/Usuario Final)
13. Validación General de

Seguridad
14. Operación y 15. Modificaciones y

Mantenimiento General Mejoras Generales
“Operación”
(Usuario Final / Contratista)
16. Desmantelamiento
Ciclo de Vida de Seguridad según IEC61511
Análisis de Riesgos del Proceso

Gerencia de Estructura y [Cláusula 8] 1 Verificación
Seguridad Planificación Alimentación
Análisis
Funcional y del Ciclo de Asignar Funciones de Seguridad a Capas de
Evaluación de Vida de
Protección [Cláusula 9] 2
Seguridad Seguridad
Funcional Especificaciones de Requisitos de Seguridad
del SIS [Cláusulas 10 & 12] 3 Concepto
Ingeniería y Diseño del SIS Diseño y

[Cláusulas 11 & 12] 4 Construcción
Realización
Pruebas en Fábrica (FAT) del SIS

[Cláusula 13]
4 5 Pruebas
10 11 9
Instalación y Pruebas de Arranque
SIS [Cláusula 14] 5 Instalación
Validación del SIS
[Cláusula 15] 5 Validación
Operación y Mantenimiento del SIS Pruebas

6
Operación
[Cláusula 16] Periódicas

Modificación del SIS
[Cláusula 17] 7
Cláusula Gerencia Cláusula
5 Cláusula Desmantelamiento del SIS
6.2
[Cláusula 17] 8 7 & 12.7
“Análisis”
Detalle de Flujo de Información
Información
1. Diseño del Proceso –
Seguridad de Proceso
Definición de Alcance
P&ID(s), PFD(s)
Historia de eventos
2. Identificación Peligros
Potenciales
HAZOP
Estándares de Aplicación
Características del Peligro Consecuencias del

3. Análisis de Consecuencia Peligro
Base de datos de Consecuencias
4. Identificar Capas de
Capas de Protección
Protección
5. Análisis de Probabilidad de
Probabilidades de falla Frecuencias del Peligro
Ocurrencia [LOPA]
NO
Diseño de otras
SIF facilidades de reducción
requerida?
de riesgo
Guías de riesgo Tolerable SI
RRF, SIL Metas
6. Seleccionar RRF, SIL Meta
para cada SIF
7. Desarrollo Especificación de Especificación de

Seguridad Requisitos de
Seguridad [SRS]
Enfoque en Análisis de Riesgo y Peligros
Historia de eventos
2. Identificación Peligros
Potenciales

Protección
Ocurrencia (LOPA)
Objetivo
Identificar los peligros del proceso, estimar su riesgo y decidir si el
riesgo es tolerable.
Tareas
Identificación de peligros (Ej: HAZOP).
Análisis de probabilidad de ocurrencia y consecuencias.
Consideración de capas de protección no-SIS
Análisis de Capas de Protección
Historia de eventos 2. Identificación Peligros

Potenciales Peligros Potenciales

3. Análisis de Consecuencia
Peligro
4. Identificar Capas de Capas de Protección

Protección
Ocurrencia (LOPA)
Objetivo
Evaluar la probabilidad de
ocurrencia basado en todas las
capas de protección.
Tareas
Identificar las capas de
protección utilizando métodos
cualitativos o cuantitativos.
Selección de Nivel de Integridad de Seguridad
NO Diseño de otras
requerida?
de riesgo
6. Seleccionar RRF, SIL Meta RRF, SIL Metas
para cada SIF
Objetivo
Especificar la reducción de riesgo requerida, o la
diferencia entre los niveles de riesgo existente y
tolerable, en términos del SIL.
Tareas
Comparar el riesgo del proceso contra el riesgo
ISA84.01
IEC61511
tolerable.
Usar las guías de decisión para seleccionar la
reducción de riesgo requerida.
Documentar el proceso de selección.
Especificación de Requisitos de Seguridad

Seguridad
Objetivo
Especificar los requerimientos del SIS necesarios para el desarrollo de su
ingeniería de detalle y la información de seguridad del proceso.
Tareas
Identificar y describir las funciones instrumentadas de seguridad.
Documentar el SIL.
Documentar las acciones a tomar – Lógica, Diagramas Causa-Efecto, etc.
Documentar los parámetros asociados – tiempo, requerimientos de
mantenimiento y bypass, etc.
“Realización”
Detalle de Flujo de Información
8. Diseño Conceptual de SIF Reporte de Justificación
Seleccionar Tecnología de Equipo
Manual de Seguridad del Fabricante
9. Diseño Conceptual de SIF

Estándares de Aplicación Seleccionar Arquitectura
10. Diseño Conceptual de SIF

Determinar Plan de Pruebas
Manual de Seguridad del Fabricante 11. Diseño Conceptual de SIF

Confiabilidad/Seguridad Calc.
Base de datos de Tasas de Falla H/W & S/W
Requisitos de Diseño
NO de Seguridad
¿RRF, SIL
conseguido?
S
I Documentación del
Manual de Seguridad del Fabricante 12. Diseño Detallado Diseño Detallado
13. Pruebas de Aceptación en
FAT Reporte de Pruebas
Fábrica
Seleccionar Tecnología
Objetivo
Escoger el equipo apropiado para el propósito. Aplican también los criterios
utilizados para el control de procesos.
Tareas
Escoger el equipo.
Obtener información de confiabilidad y seguridad.
Obtener Manual de Seguridad de los equipos certificados.
Seleccionar Arquitectura
Objetivo
Escoger el tipo de redundancia si es
necesaria.
Tareas
Escoger la arquitectura.
Obtener la información de confiabilidad y
seguridad de la arquitectura.
Establecimiento de la Frecuencia de Pruebas -
Opciones
Las pruebas pueden incluir:

Pruebas Automáticas construidas en el SIS
Pruebas fuera de línea, las cuales son hechas
manualmente mientras el proceso está fuera de
operación
Pruebas en línea, las cuales son hechas
manualmente mientras el proceso está en
operación
Verificación de la SIF
Especificación de Requisitos
de Seguridad: Requisitos de
Seguridad, incluyendo el SIL
objetivo
Manual de Seguridad del Fabricante 11. Diseño Conceptual de la SIF

Cálculos de Confiabilidad/Seguridad
Base de datos de Confiabilidad
PFDavg, RRF
MTTFS,
SIL obtenido
Opciones de Diseño de la SIF
Si en la verificación de la SIF se muestra que el diseño

propuesto no se ha conseguido el SIL objetivo, el Especificación de
diseñador tiene varias opciones disponibles: Requisitos de Seguridad:
Requisitos de Seguridad,
incluyendo el SIL
1. Re-evaluar el requisito del SIL (SIL objetivo) objetivo
añadiendo otras capas de protección, etc.
2. Reducir el intervalo de pruebas, lo que pudiera
implicar agregar facilidades para pruebas en línea.
3. Elección de equipos con mejor desempeño de
seguridad, con tasas de fallas más bajas o con 11. Diseño Conceptual de la SIF
mejores diagnósticos. Cálculos de Confiabilidad/Seguridad
4. Cambiar la arquitectura implementando o
incrementando redundancia.
PFDavg, RRF
MTTFS,
SIL obtenido
Detalle de Flujo de Información en la Fase de
“Operación”
IEC61511
Historia de eventos FSA etapas
14. Instalación & Reporte de Pruebas de
Comisionamiento Comisionamiento
Características del Peligro

15. Validación de Reporte de Pruebas de
Seguridad del SIS Validación
16. Auditoría de Cíber- Reporte de Auditoría de Etapa 3

seguridad Cíber-seguridad (Requerida)
Registros de
Probabilidades de Falla 17. Operación y Mantenimiento
Mantenimiento del SIS
Resultados de Pruebas
Etapa 4
Solicitudes de Cambio
¿Modificar o
decomisionar? Análisis de Impacto en la
Seguridad Etapa 5
19. Decomisionamiento del

Autorizaciones de Cambio
SIS
Validación
FAT
Validación V
INSTALACIÓN A
SAT/SIT L
I
15. Validación de Seguridad D
COMISIONAMIENTO
del SIS
A
Evaluación de la Seguridad Funcional C
I
PUESTA EN OPERACIÓN Ó
Objetivos N
Verificar que el SIS funciona de acuerdo a los requisitos de diseño.
Tareas
Verificar la operación de los equipos de campo
Validar la lógica y operación
Verificar el SIL de los equipos instalados
Producir la documentación requerida – certificaciones sin son requeridas
Pruebas Periódicas Funcionales
14. Arranque, Operación,

Mantenimiento y Pruebas
Periódicas Funcionales del
SIS
Objetivos
Verificar que el SIS continua funcionando de acuerdo a los requerimientos
de diseño.
Tareas
Verificar la operación de la instrumentación de campo
Validar la lógica de operación
Documentar los resultados de todas las pruebas periódicas.
Modificaciones y Desmantelamiento
Objetivos
Revisar periódicamente los peligros potenciales y tomar acciones
correctivas si se detecta la necesidad.
Tareas
Revisar periódicamente los peligros potenciales:
 Revisar los incidentes
 Revisar las Notificaciones de Cambio de las Instalaciones o la
documentación de la Gerencia del Cambio (MOC)
Actualizar el SIS de acuerdo a la necesidad, mediante la re-edición del ciclo
de vida de seguridad desde la fase adecuada.
IEC 61508 Competencia del Personal
“…asegurando que las partes involucradas en cualquiera de las actividades

globales del ciclo de vida de seguridad de los sistemas E/E/EP y su
software, son competentes para llevar a cabo las actividades por las cuales
son responsables.”
-IEC 61508, Parte 1, Parágrafo 6.2.1 (h)
“Las personas, departamentos u organizaciones involucradas en las

actividades del ciclo de vida de seguridad, deberán ser competentes para
llevar a cabo las actividades por las cuales son responsables.”
-IEC 61511, Parte 1, Parágrafo 5.2.2.2
Repaso Sección 2: Ciclo de Vida de Seguridad
Causas de Accidentes
Objetivos del Ciclo de Vida de Seguridad
Versiones del Ciclo de Vida de Seguridad según IEC
61508, ISA 84.01 e IEC 61511
Fase de Análisis
Fase de Realización
Fase de Operación
Sección 3: Principios de la Administración del Riesgo
Contexto para el Ciclo de Vida de Seguridad
Definición de Riesgo
Tolerancia al Riesgo
Medición del Riesgo
Reducción del Riesgo
Riesgo y Ciclo de Vida de Seguridad
¿Qué es el Riesgo?
Receptores del Riesgo:

El riesgo es una medida de la Personal
probabilidad de ocurrencia y de la Ambiente
consecuencia de un efecto Financiero
indeseable. Es decir, ¿qué tan a Equipos/Daño a propiedad.
menudo puede pasar y cuál sería su Interrupción del negocio.
efecto si sucediera? Responsabilidad del negocio.
Imagen de la empresa.
Pérdida de mercado.
¿Por qué las compañías reducen el Riesgo?
Las Organizaciones tienen la obligación legal, moral y financiera de limitar el riesgo
que implica sus operaciones.
Entender la manera en que esto es expresado en una compañía ayuda a desarrollar una
política de seguridad consistente con la manera que la compañía actualmente trabaja.
Hacer la planta tan segura como sea

posible, sin importar los costos
Construir la planta más

Cumplir con las Moral
económica posible,
regulaciones escritas, sin
mantener el
importar los costos y el Financiera
presupuesto de
nivel real de riesgos Legal operación lo más
pequeño posible
Bases para la Tolerancia al Riesgo
Las actividades riesgosas son toleradas

debido a que proveen beneficio:
El riesgo sin ninguna prospectiva de
recompensa representa riesgo “puro” y es
muy raramente tomado o aceptado.
El riesgo que se toma por una potencial
recompensa es lo que se conoce como
riesgo “especulativo” y es la base para la
mayoría de las actividades humanas.
El SIS y la Reducción del Riesgo
Riesgo Residual Riesgo Tolerable Riesgo del Proceso
Mayor riesgo
Mínima Reducción de Riesgos
Óptima Reducción de Riesgo (ALARP)
SIS Alivio Alarma BPCS Diseño Proceso

Medición del Riesgo y Beneficio
Tanto el riesgo como el beneficio deben ser medidos para determinar de

manera inteligente la mejor opción a seguir ante cualquier situación.
La medición del riesgo debe considerar tanto la probabilidad de
ocurrencia, como la consecuencia.
Las consecuencias pueden implicar varias formas de daños.
El daño es definido efectivamente como la pérdida de beneficio, razón
por la cual el beneficio debe también ser considerado.
Todas las formas de daño significativo deben ser consideradas para
medir correctamente el riesgo.
Definición de Consecuencia
La medición del riesgo depende de dos factores:

¿Quién se encuentra expuesto al riesgo?
 Individuos
 Sociedad
 Ambiente
¿Cuál es la naturaleza de la consecuencia?
 Fatalidad / Lesión
 Daño permanente / temporal
 Pérdida económica
Riesgo Individual
El riesgo individual es la frecuencia a la cual se puede esperar que un individuo reciba

un nivel sostenido de daño, derivado de la existencia de peligros determinados.
El marco para la Tolerancia al Riesgo de la HSE da los siguientes límites de riesgo

individual para fatalidades así:
Límite entre las regiones “ampliamente aceptable” y “tolerable” para riesgos con
fatalidades potenciales 1x10-6 por año (1 en un millón por año)
Límite entre las regiones “tolerable” e “inaceptable” para riesgos con fatalidades
potenciales 1x10-3 por año (1 en un mil por año)
La región ALARP (“As Low As Reasonably Practicable” – Tan Bajo Como Sea
Razonablemente Práctico) normalmente se sitúa entre estos dos límites.
Riesgo Individual y el Principio ALARP
ALARP Alto Riesgo
De ninguna manera Región intolerable

10-3/año (Trabajadores) 10-4/año (Público)
Si vale la pena Región ALARP

10 /año
-5
ó
Región Tolerable
Región Ampliamente
Se acepta el riesgo
Aceptable
Riesgo Insignificante
Definiendo Riesgo Tolerable
Requiere tanto rigor como flexibilidad

Requiere considerar todas las fuentes relevantes de daños
Requiere ser consistente tanto con las políticas de la empresa, como
con las prácticas de la sociedad
Definición de método para la selección del SIL objetivo
Normalmente la parte más complicada y demorada del ciclo de vida
de seguridad
Ejemplo de Nivel de Riesgo Tolerable
Todos los daños potenciales deben tener menos de:

0.0005 accidentes fatales por persona por año.
0.005 personas heridas por año.
0.01 emisiones ambientales significativas por planta por año.
$500,000 en pérdidas económicas por planta por año, etc.
¿Qué hay de bueno y de malo en este enunciado del riesgo

tolerable?
Ejemplo de Nivel de Riesgo Tolerable
Forma matricial con enunciados guía:

Todos los riesgos extremos deberán ser reducidos y todos los
riesgos moderados serán reducidos cuando sea práctico
¿Qué hay de bueno y de malo en este enunciado del riesgo

tolerable?
Riesgo Inherente del Proceso
Riesgo: Es la combinación de la probabilidad de ocurrencia de un daño

y la severidad de dicho daño (IEC/ISO Guía 51:1990).
Es la medida de la probabilidad de ocurrencia y la consecuencia de un

evento con efectos (es decir, ¿qué tan a menudo sucede, y cuáles serían
las consecuencias de ocurrir?).
Riesgo inherente: Es el riesgo propio de un proceso completo, en el

cual se maneja una cierta cantidad de materiales de proceso, bajo
condiciones dadas (temperatura, presión, etc.).
Riesgo del Proceso

Mayor Riesgo
Probabilidad de Ocurrencia
Región de Riesgo
Inaceptable
Región
Región de Riesgo ALARP
Tolerable
Consecuencia
Disminución del Riesgo Inherente
El Riesgo Inherente mide la magnitud

fundamental de la consecuencia
Disminuir el riesgo inherente mediante la reducción de los

inventarios de productos tóxicos, inflamables o explosivos.
Es vital contar con un buen soporte de ingeniería de procesos.
Disminución del Riesgo Geográfico
El Riesgo Geográfico mide la probabilidad de que un evento ocurra

en una ubicación geográfica específica
P-101 P-102 P-103

10-3
10-5
10 -4
D-101 D-102
V-101 V-102
Disminuir el riesgo geográfico mediante el control de la ubicación de

las personas: cuarto de control, áreas de trabajo y vías/caminos.
Reducción del Riesgo no Asociado al SIS
Riesgo
Reducción de
Inherente del
Riesgo no-SIS. Mayor Riesgo
Proceso
Ej: Válvulas de
Seguridad Reducción de
Consecuencia. Ej:
reducción de
materiales, diques de
contención,
protección física
Región de Riesgo
Inaceptable
Región
Tolerable
Consecuencia
Reducción del Riesgo, Asociado al SIS
Riesgo
Reducción de
Inherente del
Riesgo no-SIS. Mayor Riesgo
Proceso
Ej: Válvulas de
Seguridad Reducción de
Consecuencia. Ej:
reducción de
materiales, diques de
contención,
protección física
SIL 1
Reducción
SIL 2 del Riesgo
por el SIS Región de Riesgo
SIL 3 Inaceptable
Región
Tolerable
Consecuencia
Normativas sobre Reducción de Riesgos
IEC 61508
- Normativa internacional para la reducción del riesgo
IEC 61508
por medios electrónicos y sistemas
de seguridad.
IEC 60300-3-9
- Normativa internacional con guías para la aplicación de IEC 60300
técnicas de análisis de riesgos de sistemas tecnológicos.
ISO 14001
- Normativa internacional para la guía de la gerencia de
riesgo ambiental. ISO 14001
29 CFR 1910
- Normativa Norteamericana de OSHA sobre la gerencia de
seguridad del proceso.
29 CFR 1910
Métodos para la Reducción de Riesgos
Establecer contexto
Identificar peligros
Comunicar y consultar
Supervisar y revisar
Analizar riesgos
(Prob. Ocurrencia y Consecuencias)
Evaluar riesgos vs. tolerancia
Aceptar o Tratar riesgos

• Identificar opciones de tratamiento.
• Evaluar opciones de tratamiento.
• Seleccionar opciones de tratamiento.
• Preparar plan de tratamiento.
• Implementar plan de tratamiento.
Repaso Sección 3:
Principios de la Administración del Riesgo
Definición de Riesgo
Tolerancia al Riesgo
Medición del Riesgo
Riesgo y Ciclo de Vida de Seguridad
Sección 4: Probabilidad
Reglas de Probabilidad
Tipos de eventos
Multiplicación de Probabilidades
Suma de Probabilidades
Árboles de Falla
Asignación de Probabilidades
Probabilidad se asigna de acuerdo a dos métodos:

- Determinación por propiedades físicas:
• Geometría, forma física.
- Determinación experimental:
• #Ocurrencias / #Intentos
Probabilidad es un número entre cero y uno (0≤P ≤1)
Reglas de Probabilidad – Diagramas de Venn
El rectángulo donde
el evento entero es
E mostrado
Las áreas son asignadas de acuerdo a la

probabilidad del evento
Rectángulos cuyas áreas son asignadas de acuerdo con la probabilidad

de ocurrencia del evento.
H T
¿Cómo se hace en los procesos?

¿Suposiciones?
Falla del Hardware
Falla de Software
Falla Operacional
P (Ocre) = 0,8
P (Círculo) = 0,75
Tipos de Eventos
Independientes - Eventos que no se afectan entre sí.

- Lanzamiento de dos monedas.
- Lanzamiento de dados.
Complementarios - Cuando un resultado no ocurre, el

otro siempre ocurrirá.
Mutuamente excluyentes - Cuando ocurre un evento, el

otro no puede ocurrir.
Correlacionado - Cuando un evento es más (o menos)

probable de que suceda en asociación con otro evento.
Eventos independientes
Eventos que no se afectan entre sí (pueden ser en serie o en

paralelo).
Lanzamiento de dos monedas (paralelo) o de una moneda

dos veces (serie).
Lanzamiento de un par de dados.
¿La falla de componentes dentro de un sistema?

− ¡Normalmente se consideran como eventos
independientes!
Eventos Complementarios
Eventos complementarios
− Cuando un evento no ocurre, el otro siempre ocurrirá,
y viceversa.
Lanzamiento de una moneda

− Solo dos resultados posibles (cara o sello)
Probabilidad de eventos complementarios

− P(A*) = 1 – P(A)
La probabilidad de operación exitosa durante el próximo año de un equipo es igual a

0,8. ¿Cuál es su probabilidad de falla durante el próximo año?
Eventos Mutuamente Excluyentes
Eventos mutuamente excluyentes

− Cuando un evento ocurre, el otro no puede ocurrir
Lanzamiento de un dado: Los resultados (1, 2, 3, 4, 5, 6)

son mutuamente excluyentes.
¿Son complementarios?
¿Son mutuamente excluyentes los eventos

complementarios?
Eventos Correlacionados
Eventos positivamente correlacionados

− Cuando un evento ocurre, el otro es más probable de
que suceda que para eventos independientes.
El primer evento no es causa del otro.
Es muy peligroso asumir que eventos de falla

correlacionados son independientes.
Independiente:
P (A y B) = P(A) * P(B) A B
Mutuamente Excluyentes:
P (A y B) = 0
A B
Positivamente Correlacionado:
P (A y B) >> P(A) * P(B)
A B
Para eventos independientes:
P (A y B) = P(A) * P(B)
Válvula de
Válvula bloqueo con
Solenoide actuador
neumático
Durante el próximo año, la probabilidad de

operación exitosa para una válvula de bloqueo
operada con actuador neumático es de 0,9 y la
probabilidad de operación exitosa para una válvula
solenoide es del 98%. ¿Cuál es la probabilidad de
operación exitosa para el sistema compuesto por
ambos elementos?
P (A y B) = P(A) * P(B) Válvula

Válvula de
bloqueo con
Solenoide actuador
neumático
P(Sistema) = 0,9 * 0,98 = 0,882
P(Éxito P(Éxito
Válvula Válvula
Solenoide)= bloqueo)=
0,98 0,9
La probabilidad de éxito del sistema requiere que la válvula solenoide y la

válvula de bloqueo sean exitosas, por consiguiente:
P(Sistema) = 0,9 * 0,98 = 0,882
P (A o B) = P(A) + P(B)
Válvula de
bloqueo con
actuador
neumático
A B
P (A o B) = P(A) + P(B)
Se lanza un dado.
¿Cuál es la probabilidad de obtener un 4 o un
6?
La probabilidad de obtener un 4 es 1/6, la

probabilidad de obtener un 6 es 1/6, por
consiguiente la probabilidad de obtener un 4 o
un 6 es: 1/6 + 1/6 = 2/6
Se lanzan un par de dados.

¿Cuál es la probabilidad de que la suma sea 7 o 9?
2 3 4
5
P (A o B) = P(A) + P(B)
6
7
8
9
10 11 12
Eventos Independientes
P (A o B) = P(A) + P(B) – P(A y B)
A B
No mutuamente excluyentes
P (A o B) = P(A) + P(B) – P(A y B)
Un saco contiene 100 objetos, conformados por pelotas o cubos.

Todos ellos son de color ocre o rojo. 75% de los objetos son pelotas.
80% de los objetos son de color ocre. Si se selecciona un objeto al
azar, ¿Cuál es la probabilidad de que sea una pelota, o de color ocre?
Los eventos PELOTA y COLOR OCRE no

son mutuamente excluyentes, porque es
posible que un objeto sea una pelota de color
ocre. Por consiguiente, en este caso se debe
utilizar la forma no-mutuamente exclusiva
para la suma de probabilidades:
P(P o O) = 0,75 + 0,8 – (0,75 *0,8) = 0,95

La probabilidad de obtener un objeto que sea una pelota, o de color ocre tambien puede ser
calculada mediante la regla de los eventos complementarios. La única forma de no sacar un objeto
que cumpla con alguna de las dos características, es que se saque un cubo rojo. La probabilidad de
que ello ocurra es:
P (Cubo rojo) = 0,2 * 0,25 = 0,05

Por consiguiente, la probabilidad buscada es:
P (P o O) = 1 – 0,05 = 0,95
Tres Eventos Independientes
B
¿Qué hay con tres
eventos? A
P (A o B o C) = P(A) +
P(B) + P(C) – P(A*B) –
P(A*C) – P(B*C) +
P(A*B*C)
B
P (A o B o C) = P(A) +
P(B) + P(C) – P(A*B) –
P(A*C) – P(B*C) + C
P(A*B*C)
B
P (A o B o C) = P(A) +
P(B) + P(C) – P(A*B) –
P(A*C) – P(B*C) + C
P(A*B*C)
A B
P (A o B o C) = P(A) +
P(B) + P(C) – P(A*B) –
P(A*C) – P(B*C) +
P(A*B*C)
A B
P (A o B o C) = P(A) +
P(B) + P(C) – P(A*B) –
P(A*C) – P(B*C) +
P(A*B*C)
A B
P (A o B o C) = P(A) +
P(B) + P(C) – P(A*B) –
P(A*C) – P(B*C) +
P(A*B*C)
A B
P (A o B o C) = P(A) +
P(B) + P(C) – P(A*B) –
P(A*C) – P(B*C) +
P(A*B*C)
A B
Solución General:
P (A o B o … N) = 1- (1-
PA)* (1-PB)*….*(1-PN)
Análisis por Árbol de Fallas
Árbol de fallas – Método gráfico para mostrar la relación lógica de las

probabilidades de falla y las frecuencias.
Evento Tope del
Árbol de Falla
Tope 1
Compuerta Y Compuerta O
Compuerta
Compuerta
1 2
Evento básico Evento básico Evento básico Evento básico Evento 1 no

1 2 3 4 desarrollado
Evento 1 Evento 2 Evento 3 Evento 4 Evento 5
r=0 r=0 r=0 r=0 r=0

Símbolos Principales en Árboles de Falla
Símbolos más comunes Símbolos ocasionales
Evento incompleto
Compuerta O (OR)
Compuerta inhibidora
Compuerta Y (AND)
Evento o falla Evento Casa

(Evento gatillo-se garantiza su
resultante ocurrencia bajo condiciones
modelo)
Evento básico
Árbol de fallas: Compuertas “Y” (AND)
Eventos independientes
Análisis cuantitativo de árboles de fallas – las probabilidades se combinan
utilizando la multiplicación de probabilidades.
Falla Sistema
Baterías
Ejemplo
¿Cuál es la probabilidad de falla
del sistema de baterías?
Ptope: 0,2 * 0,01 = 0,002
Baterías Falla
Descargadas Cargador
P= 0,2 P= 0,01
r=0
Árbol de fallas: Compuertas “O” (OR)
Eventos No-Mutuamente Excluyentes
Análisis cuantitativo de árboles de fallas – las probabilidades se combinan
utilizando la adición de probabilidades.
Falla cerrada
Válvula de corte
Ejemplo
¿Cuál es la probabilidad de falla
de que la válvula de corte falle en
posición cerrada?
Falla
Ptope: 0,001 + 0,001 –
Falla Válvula
Solenoide Válvula (0,001*0,001) = 0,001999
P= 0,001 Atascada
P= 0,001
r=0
Compuertas con Entradas Múltiples
Pa
Evento A
P (A o B o C) = Pa + Pb + Pc – Pa*Pb –
Pb Pa*Pc – Pb*Pc + Pa*Pb*Pc
Evento B OR
Pc
Evento C
Si los eventos A,B y C son mutuamente excluyentes, entonces:

P (A o B o C) = P(A) + P(B) + P(C)
Pa
Evento A
Pb P = Pa * Pb * Pc
Evento B AND
Pc
Evento C
Frecuencia y Probabilidad
Fa
Evento A Imposible
Pb OR
Evento B
Lógica Frecuencia/Probabilidad
Fa
Evento A
F = Fa x Pb
AND
Pb
Evento B
Lógica de Frecuencias
Fa
Evento A
Fb F = Fa + Fb + Fc
Evento B OR
Fc
Evento C
Lógica Frecuencia
Convertir
la frecuencia a
probabilidad usando un tiempo
base especificado, ej. Tasa de fallas
Fa (λ) se convierte a PF usando
Evento A
Imposible
AND
Fc
Evento C
Repaso Sección 4: Probabilidad
Reglas de Probabilidad
Tipos de eventos
Árboles de Falla
Sección 5: Análisis de Peligros y Riesgos del Proceso
Definición de Peligro
Análisis de Riesgos y Peligros del Proceso
Análisis de Peligros y Operabilidad (HAZOP)
Resultados del HAZOP
Análisis de Consecuencias
Análisis de Probabilidad de Fallas
Propagación de Fallas
Árboles de Eventos – Análisis de Árboles de Fallas
Riesgo Integral
Definición de Peligro
Es una fuente potencial de daños

− IEC 61508-4, Sub-cláusula 3.1.2
Es una condición física o química que tiene el potencial de
causar daños a las personas, propiedades, o ambiente
(Ejemplo, un tanque presurizado que contiene 500
toneladas de amoníaco).
− Guías CCPS para el análisis cuantitativo de riesgos en
procesos químicos.
Término: Evento Inicial o Desencadenante
Evento Inicial:
Es el primero en una secuencia de eventos (Ejemplo, la
corrosión de una tubería, la cual conlleva a la rotura y/o
fuga de la tubería de interconexión al tanque de
amoníaco).
Término: Evento Intermedio
Evento Intermedio:
Es un evento que propaga o mitiga el evento inicial. Durante una
secuencia de eventos (Ejemplo, una mala operación por parte del
operador ante la fuga inicial en la tubería de amoniaco, causando la
propagación del evento inicial hacia un incidente. En este caso, el
resultado del evento intermedio es la fuga del material tóxico.
Término: Incidente
Incidente:
La pérdida en el confinamiento de material o de la energía (Ejemplo,
la fuga de 4 Kg/s de amoníaco en la tubería de interconexión con el
tanque de amoniaco, produciendo una nube de vapores tóxicos). No
todos los eventos generan un incidente.
A menudo el punto
central en un diarama
de corbata
Término: Resultado del Incidente
Resultado del Incidente:

Es la manifestación física del incidente. Para materiales tóxicos, el resultado
del incidente es la fuga del material tóxico; mientras que para materiales
inflamables, el resultado del incidente pudiera ser una explosión de la nube
expansiva de gases generada por líquidos en ebullición (BLEVE), un chorro
de fuego, explosión de una nube de vapores no confinados, fuga de material
tóxico, etc.
Término: Consecuencia
Consecuencia:
Es una medida de los efectos esperados como resultado de los efectos de un
incidente (Ejemplo, una nube de amoniaco generada por una fuga de 4 Kg/s
bajo condiciones de estabilidad ambiental clase D y vientos bajando a 2,5
Km/h en dirección norte, causarán la muerte de 50 personas.
Daño
Interrrupción Heridos
Ambiental
de Operaciones
Otras
Imagen de la
Consecuencias
Empresa
intangibles
Daños Responsabilidad
Fatalidades Materiales ante Terceros
De potencial a Realidad
Dado que un Peligro existe con el potencial de hacer daño, un
Evento inicial, el cual es usualmente seguido por un
Evento Intermedio, el cual puede crear otro
Evento Intermedio, el cual puede resultar en un
Incidente, en donde el resultado es llamado
Accidente
Todo junto en un diagrama de corbata
I Resultado 1 Consecuencia
Evento iniciador 1 N R
T E
E E S Resultado 2 Consecuencia
Evento Iniciador 2
R V U
M E L
Incidente
E N T Resultado 3 Consecuencia
Evento Iniciador 3 T A
D
I O N
S Resultado 4 Consecuencia
Evento Iniciador 4 O T
S E
S Resultado 5 Consecuencia
SLC “Análisis” Fase – Identificación de Peligros
Información
Historia de eventos
2. Identificación Peligros Peligros Potenciales
Estándares de Aplicación Potenciales

Protección
Ocurrencia (LOPA)
NO Diseño de otras
requerida?
de riesgo
RRF, SIL Metas
para cada SIF

Seguridad
¿Qué es un Análisis de Peligros de Proceso?
IEC 61511-1 Cláusula 8: Peligros del Proceso & Valoración
del Riesgo
Determinar:
− Los peligros y eventos peligrosos del proceso y
equipos asociados.
− La secuencia de eventos que llevan al evento peligroso
− Los riesgos del proceso asociados a los peligros
− Cualquier requisito de reducción del riesgo
− Las funciones de seguridad necesarias para conseguir
la reducción del riesgo
− Si cualquiera de las funciones de seguridad son SIFs
Métodos Comunes para el PHA
Lista de Verificación
¿Qué pasa si?
¿Qué pasa si? / Lista de Verificación
HAZOP (Análisis de peligros y Operabilidad)
Análisis de Modos de Fallas y efectos (FMEA)
Análisis de Árbol de Fallas
Métodos equivalentes
Requisitos Típicos PHA
Peligros del proceso

Incidentes previos con potencial catastrófico
Controles administrativos y de Ingeniería
Consecuencias de fallas en controles administrativos y de
ingeniería
Sitio de la planta (acceso, exposiciones, etc.)
Factores humanos (errores, ergonomía, etc.)
Evaluación cualitativa de los efectos de las fallas.
Recomendaciones para un PHA efectivo
Debe ser realizado por un equipo de trabajo con miembros

especializados en:
− Ingeniería y operaciones del proceso.
− Equipos y procesos especializados específicos del
proceso bajo análisis.
− Metodología de análisis de riesgos y peligros a ser
utilizada.
Documentar el proceso
Asegurar que las recomendaciones sean implementadas
Revisar el análisis con una frecuencia de por lo menos
cinco años.
− /RMP en los EE.UU, MHF en Australia, COMAH en
UK).
Identificación de SIF del informe PHA
¿Qué información necesito?
Descripción de las funciones instrumentadas de seguridad

de estudios previos.
Peligros que son prevenidos y sus consecuencias.

Eventos iniciales causantes de la consecuencia.
Protecciones (provenientes del SIS y no-SIS) usadas para

prevenir la ocurrencia de la consecuencia.
HAZOP
Parámetro
Palabra Guía
Causas Desviación Consecuencia (s)

Instrumentos
Alivios
Salvaguarda (s)
BPCS
Alarmas
Acciones
Procedimientos
Protecciones Mecánicas
PHA - HAZOP
A/S A/S
XY
Función para prevenir 31 XY
32
I-3
fractura por
fragilización de tubería I-4
de acero al Carbono.
XV XV
TT TT 31 32
31 31
DEHYDRATOR RECOMPRESSIO
REGENERATION N
316 SS CS
ETHANE
CRYOGENIC
DEHYDRATION
SEPARATION
PROPANE
GAS INLET SEPARATOR
NATURAL
GAS LIQUIDS
PHA – HAZOP Identificación SIF
Nodo: Criogénica
Parámetro: Temperatura
Desviación Causa Consecuencia Salvaguardas Recomendaciones Acción
Muy Baja Desbalance de flujo Potencial Fractura Alarmas, paro de ¿Debería el PLC J. Jones
entre corrientes. por fragilización de proceso,PLC independiente para el
línea aguas abajo y independiente para paro por baja T ser
fuego. el paro por baja T. considerado un SIS?
Clima extremo Potencial fractura PLC paro por baja T Igual que arriba y J. Jones
por fragilización de verificar probabilidad
líneas aguas abajo u de clima extremo
fuego
Muy Alta Desbalance de flujo Potencial daño al Alarmas de flujo y Verificar si el J. Jones
entre corrientes compresor paro de proceso compresor se dañará
Descripción de SIF
SIF recomendada encontrada en la columna de recomendaciones
SIF existente encontrada en columna de salvaguardas
Salvaguarda
Recomendada
entre corrientes. por fragilización de proceso, PLC independiente para el
fuego
Peligro y Consecuencias
El peligro que está siendo prevenido, y su consecuencia, puede ser encontrado en
la columna de Consecuencias o Descripción del Peligro.
fuego
Eventos Iniciadores
En HAZOP, eventos iniciadores en columna Causas
What-If y checklist en preguntas
Potencialmente múltiples eventos iniciadores por peligro
Los dos eventos iniciadores causan la misma consecuencia
fuego
Salvaguardas
Encontrar salvaguardas tanto SIS y no-SIS, adicionales al SIS bajo estudio.
Las salvaguardas aplican a eventos iniciadores y múltiples salvaguardas pueden existir por
evento iniciador.
entre corrientes. por fragilización de proceso,PLC independiente para el
línea aguas abajo y independiente para el paro por baja T ser
fuego. paro por baja T. considerado un SIS?
fuego
Identificando SIF de los P&ID´s
Los estudios PHA no siempre son 100% efectivos.

En el diseño se incorpora la experiencia previa de los
licenciadores de la tecnología y de los consultores que
desarrollan la ingeniería de detalle.
Dentro del diseño, las SIF no necesariamente se diferencian de
los lazos de control normales.
Para la correcta identificación de las SIF a partir de los planos
P&ID´s, se requiere tener experiencia en ingeniería de control.
Para la identificación del peligro, sus potenciales consecuencias
y las protecciones asociadas, se requiere tener experiencia en la
evaluación de peligros y riesgos del proceso.
Información
Historia de eventos

Protección
Ocurrencia (LOPA)
NO Diseño de otras
requerida?
de riesgo
RRF, SIL Metas
para cada SIF

Seguridad
¿Qué se incluye en el Análisis de Consecuencias?
Se deben considerar:
− Heridos y Fatalidades
− Daños materiales
− Interrupción de operaciones
− Daño ambiental
− Responsabilidad ante terceros
− Imagen corporativa
Métodos para el Análisis de Consecuencias
Estimación y Clasificación
Estadísticos
Modelaje de Consecuencias
Clasificación de Consecuencias
Severidad Impacto
Menor Impacto inicial limitado al área inicial del evento, con
potenciales consecuencias mayores si no se toman acciones
correctivas.
Serio Herida seria o fatalidad en sitio o fuera del sitio, o daños
materiales de hasta $1 MM en sitio, o de hasta $ 5 MM fuera
del sitio.
Extenso Al menos cinco veces mayor que el evento de serias
consecuencias.
Sistema de 3 categorías útil para dar

Basado en las Guías para la prioridades.
Automatización segura de los procesos Más categorías con definiciones
químicos de la AlChE.
numéricas usado para análisis semi-
cuantitativo.
Análisis Estadístico de Consecuencias
Uso de estadísticas de accidentes para calcular la consecuencia promedio.
Ventaja: Resultado bien definido.
Desventajas:
1. Aplicabilidad de la información disponible. ¿Es la nueva

situación lo suficientemente familiar?
2. Cantidad de información disponible. ¿Es suficiente la
información disponible como para que sea considerada
estadísticamente significativa?
Análisis Estadístico de Consecuencias
Uso de estadísticas de accidentes para calcular la consecuencia promedio.
Ejemplo:
En un período de cinco años han ocurrido 235 explosiones de calderas

industriales. Como consecuencia de tales explosiones, 17 personas
resultaron muertas y 84 resultaron heridas.
PLL = 17 / 235 = 0,73 por incidente.
PI = 84 / 235 = 0,358 por incidente.

112 metros
87 metros Cálculo de “Zona Afectada” y

“Distancia de Efecto”
Típicamente se utilizan modelos
matemáticos.
Zona Afectada 23 metros

Zona Fatal 9 metros
Pérdidas Probables de vida: 0,27

Heridos Probables: 2,56
Resultados típicos del modelaje de una

fuga de químicos tóxicos.
Término: Zona Afectada
112 metros
87 metros Zona Afectada:

En el caso de una fuga de material
tóxico, es el área en la cual la
concentración del químico excede
cierto nivel de peligro (Ejemplo,
para una fuga de 2,5 Kg/s de
Zona Afectada 23 metros amoniaco, con IDLH de 500 ppm
Zona Fatal 9 metros (v), el área afectada se estima en
11,8 ). Las zonas afectadas por
Pérdidas Probables de vida: 0,27
Heridos Probables: 2,56
efectos térmicos y sobrepresión
debido a una explosión, se
describen de manera similar.
Resultados típicos del modelaje de una
fuga de químicos tóxicos.
Peligros Tóxicos
El área afectada por una fuga tóxica

depende de:
 La cantidad de material liberado.
 La duración de la fuga.
 La geometría de la fuente.
 La elevación y la orientación.
 La densidad inicial del químico.
 Las condiciones atmosféricas.
 Los terrenos adyacentes.
 Los límites de concentración.
Las consecuencias son el producto de la zona afectada,

ocupación y vulnerabilidad.
− La ocupación es el número promedio de personas (u otros
receptores) en la zona afectada.
− La vulnerabilidad es la probabilidad de fatalidad (u otro
nivel de daño) cuando una persona o receptor se encuentra
en la zona afectada.
Consecuencia = Ocupación * Vulnerabilidad
(Concentraciones LD50 definen un 50% de vulnerabilidad/fatalidad)

Herramientas para el modelaje de Consecuencias
Nombre Público/Propi Capacidad del Fortalezas Limitaciones

del etario (Costo) Modelo
Modelo
Público: Desarrollado • Gas o líquido. • Disponible abiertamente. • Produce resultados
Público:
por EPA,Desarrollado
FEMA y DOT. • Gas o líquido.
Gases livianos o • Disponible
Créditos porabiertamente.
ciertas capas de • Produce resultados
muy conservadores
por EPA, FEMA y DOT.
(Gratis). • Gases
densos.livianos o • Créditos porpasivas
mitigación ciertas(Ejemplo,
capas de muy conservadores
para tóxicos.
(Gratis). • densos.
Mezclas mitigación
diques). pasivas (Ejemplo, • para tóxicos.limitada.
Flexibilidad
• Mezclas
Explosión. diques). • Flexibilidad
No posee baselimitada.
de
• Explosión. • No posee
datos base de
de químicos.
• datos de con
Interfaz químicos.
usuario
• Interfaz con usuario
basada en DOS.
basada en DOS.
Publico: En • Gas o líquido. • Basado en - Fácil de usar. • Necesita soporte de
copatrocinio con DOT, • Gases densos. • Los químicos pueden ser pre- expertos.
EPA y DOE. cargados. • Base de datos
(Variable). • Partes del modelo se incorporan en químicos limitada.
el ALOHA. Puede ser
Publico: En • Gas o líquido. • Necesita soporte de
suplementada.
copatrocinio con DOT, • Gases densos. expertos.
Público: Desarrollado
EPA y DOE. • Gas o líquido. • Base de datos de químicos DIPPR. • La dispersión
Base de datos puede
por Det Norske
(Variable). Veritas. • Gases livianos o • Pueden modelar aerosoles. sobrepasar EPA OCA.
químicos limitada.
(Alto). densos. • Versiones previas ampliamente • Necesita
Puede sersoporte de
• Base de datos químicos usadas en la industria. expertos.
suplementada.
• Mezclas • Buena capacidad gráfica.
• Explosión.
Público: Desarrollado • Gas o líquido. • Base de datos de químicos DIPPR. • La dispersión puede
por Det Norske Veritas. • Gases livianos o • Pueden modelar aerosoles. sobrepasar EPA OCA.
(Alto). densos. • Versiones previas ampliamente • Necesita soporte de
• Base de datos químicos usadas en la industria. expertos.
• Mezclas • Buena capacidad gráfica.
• Explosión.
Información
Historia de eventos

Protección
Ocurrencia (LOPA)
NO Diseño de otras
requerida?
de riesgo
RRF, SIL Metas
para cada SIF

Seguridad
Probabilidad de Ocurrencia / Frecuencia
Probabilidad de ocurrencia de un peliro, de acuerdo a la

normativa IEC 61511 – Parte 3:
− Se refiere a frecuencia, como por ejemplo número de
eventos por cada millón de horas.
− Se debe notar que esta es una definición diferente a la
definición normal, la cual le da connotación de
probabilidad.
Métodos para el análisis de probabilidad de
ocurrencia
Estimado y clasificación
Estadística
Modelaje de probabilidad de ocurrencia
Clasificación de la Probabilidad de Ocurrencia
Tipo de Eventos
Frecuencia (Año Clasificación
Cualitativa
Una falla o serie de fallas con una muy baja f< Baja
probabilidad de ocurrencia dentro del tiempo de
vida esperado de la planta.
Una falla o serie de fallas con una baja <f< Moderada
probabilidad
Una falla odeserie
ocurrencia dentrocon
de fallas del tiempo de
una baja Moderada
vida esperadode
probabilidad deocurrencia
la planta. dentro del tiempo de
vida
Una esperado de laser
falla puede planta.
razonablemente esperada <f Alta
dentro del tiempo de vida esperado de la planta.
Una falla puede ser razonablemente esperada Alta
dentro del tiempo de vida esperado de la planta.
Basado en la información encontrada en las Guías

para la Automatización Segura de Procesos
Químicos de la AIChE.
Análisis Estadístico de la Probabilidad de
Ocurrencia
La probabilidad de ocurrencia de un accidente puede ser determinada a

partir de la probabilidad de ocurrencia de eventos similares previos.
El soporte adecuado depende de la cantidad de información disponible de
los eventos similares.
Esta estimación es buena para peligros genéricos comunes, tales como:
− La probabilidad de muerte por un rayo es de 1x por año.
− La probabilidad de que un recipiente falle ocasionando una fuga
considerable de su contenido es de 3x por año.
No produce buenos resultados para equipos no comunes y predicciones de
accidentes de procesos específicos.
Análisis de Probabilidad de Ocurrencia
Modelo Propagación de Fallas
Analizar la cadena de eventos que conllevan a un accidente.
Falla Falla Circunstancia Accidente

Evento Inicial
Descomponer el problema específico en una serie

de eventos genéricos para los cuales es más
probable encontrar información estadística.
Modelo de Propagación de Fallas
Analizar la cadena de eventos que conducen a un accidente.

Utilizar la información de probabilidad de ocurrencia de los eventos
individuales y no del sistema completo.
− Datos de fallas de componentes son mas fáciles de conseguir.
Calcular la probabilidad de ocurrencia global utilizando lógica de
probabilidades.
Análisis de Árbol de Eventos
Es un buen modelo de propagación de fallas para la estimación del riesgo

del proceso.
Cadena de eventos que conectan al evento inicial con los diferentes
potenciales resultados, a través de ramales intermedios.
Ramal
Resultado 1
Resultado 2
Ramal
Resultado 3
Evento Inicial Resultado 4
Resultado 5
Resultado 6
Ramal
Árbol de Eventos Típico
Ramal 1 Ramal 2
B2,1 Resultado 1
B1,1
B2,2 Resultado 2
Evento Inicial B1,2 Resultado 3
B1,3 B2,3 Resultado 4
Ramal B2,4 Resultado 5

Lógica de Frecuencias
Fa
Evento A
Pa
Evento B
Pb Frecuencia = Fa x Pa x Pb x Pc x Pd
Evento C Y
Pc
Evento A
Pd
Evento C
La frecuencia (F) con la cual ocurrirá el evento peligroso será:

F = Fa x Pa x Pb x Pc x Pd
Ejemplo: Dibujando un Árbol de Eventos
Dibuje un árbol de eventos para el fuego resultante de la fractura de una

tubería debido a fragilización.
− Asumir que el evento inicial es la fractura de la tubería.

− Los ramales del evento iniciador son:
• ¿Es la rotura menor o catastrófica?

• ¿Encuentra una fuente de ignición la nube explosiva?
• ¿El fuego se propaga a otras áreas?
Dibujo de un Árbol de Eventos
Resultados del Ejemplo
Evento inicial Ramal 1 Ramal 2 Ramal 3 Resultado
Fracturas de Fuga menor o ¿Ignición? Otras áreas

tubería catastrófica
Explosión en toda la Planta

Si
Si Gran incendio pero la planta intacta
No
Catastrófica Gran liberación sin fuego
No
Explosión en toda la planta
Si
Si Incendio pequeño pero la planta intacta
No
Menor Pequeña liberación sin fuego
No
Ejemplo de Probabilidad del Resultado
Datos: • Calcular la probabilidad de

− Fractura de tubería, 1/20 años ocurrencia de:
(calculado mediante LOPA).
− Probabilidad de fuga pequeña
después de la fractura, 1/3. − Fuego en toda la planta.
− Probabilidad de ignición, 10% en − Fuego pequeño localizado (resto de
fugas pequeñas, 30% en fugas la planta sin daño).
catastróficas.
− Probabilidad de que el fuego se
propague al resto de la planta:
20% en fuegos grandes, 4% en
fuegos pequeños.
Ejemplo de cálculo de un árbol de eventos
Evento inicial Ramal 1 Ramal 2 Ramal 3 Resultado
Fracturas de Fuga menor o ¿Ignición? Otras áreas Por año

tubería catastrófica
0,2 0,00201 - Explosión en toda la Planta

0,3 Si
0,00804 - Gran incendio pero la planta
0,67 Si 0,8 intacta
No
Catastrófica 0,7 0,02345 - Gran liberación sin fuego
No
0,05 0,04 0,000066 - Explosión en toda la planta
Por año 0,1 Si
0,001584 - Incendio pequeño pero la planta
Si 0,96 intacta
0,33
No
Menor 0,9 0,01485 - Pequeña liberación sin fuego
No
El fuego en toda la planta está en dos resultados, por lo que las frecuencias se suman para obtener la
frecuencia total: 00201 + 0,000066 = 0,00208 por año o una vez cada 480 años.
¡Gracias!

Curso de Ingenieria de Seguridad Funcional I

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Curso de Ingenieria de Seguridad Funcional I

Cargado por

Copyright:

Formatos disponibles

Ingeniería de Seguridad

Desarrollar habilidades básicas para el Ciclo de Vida de la seguridad lo cual

Identificar y estimar el riesgo existente.

Introducción al propósito y conceptos del Ciclo de Vida de la Seguridad.

Vista general de las fases del ciclo de vida de seguridad la

Principios y propósitos de la administración del riesgo.

Reglas de probabilidad y análisis básico de árbol de fallas.

Habilidades para el Ciclo de Vida de la Seguridad

Análisis de peligros del proceso (PHA).

Análisis de Capas de Protección (LOPA).

Métodos para la selección del SIL objetivo.

Especificación de requisitos de seguridad (SRS).

¿Por qué existen los SIS?

Delta V SIS de EMERSON.

1940 1960 1980 2000 2020

IEC61513: Sector Nuclear

IEC61511: Industrias de Procesos (ISA

Aplica a Usuarios Finales en la Industria de Procesos

La normativa IEC 61511 define el Sistema Instrumentado de Seguridad (SIS)

A menudo se prefiere una

1. Llevar automáticamente un proceso industrial a su estado seguro cuando ciertas

Una función instrumentada de

IEC 61511 Parte 1 (3.2.68)

Sensores IEC 61511 Parte 1 (3.2.71)

Que tan bien la función de seguridad desempeña su trabajo de administrar el riesgo.

No ¿Es una Función Si

Un conjunto único de acciones específicas y su equipo

Al detectar alta temperatura, se previene la ruptura de columna al

Al igual que un sistema de control, un sistema de seguridad tiene

Un sistema de seguridad también cuenta con un procesador de

El elemento final en una SIF es lo que actúa para hacer que el

Elemento Acondicionador de Acondicionador de Elemento Final

La implementación de una función de seguridad sencilla puede incluir

Por qué existen los SIS?

Estudio de la HSE sobre accidentes relacionados con sistemas de control:

Cambio después del

“Los sistemas de seguridad para el corte de suministro de crudo al tanque

Construir sistemas más seguros que no experimenten los

Refinería: Unidad Generadora de Hidrógeno

49%: Funciones de Seguridad sobre-diseñadas

Muestra: 5319 lazos en 7 Plantas diferentes

37%: Funciones de Seguridad sobre-diseñadas

2. Definición Alcance FAS

12. Instalación y “Realización”

13. Validación General de

14. Operación y 15. Modificaciones y

Análisis de Riesgos del Proceso

Ingeniería y Diseño del SIS Diseño y

Pruebas en Fábrica (FAT) del SIS

Operación y Mantenimiento del SIS Pruebas

[Cláusula 16] Periódicas

Características del Peligro Consecuencias del

7. Desarrollo Especificación de Especificación de

Características del Peligro Consecuencias del

Historia de eventos 2. Identificación Peligros

Características del Peligro Consecuencias del

4. Identificar Capas de Capas de Protección

7. Desarrollo Especificación de Especificación de

9. Diseño Conceptual de SIF

10. Diseño Conceptual de SIF

Manual de Seguridad del Fabricante 11. Diseño Conceptual de SIF

Las pruebas pueden incluir:

Manual de Seguridad del Fabricante 11. Diseño Conceptual de la SIF