Análisis de Capa de Protección:

• Visión General
– Perspectiva Histórica
– Un Nuevo Concepto para Sistemas de Control
Relacionados a Seguridad
– LOPA, SIS, SIL
– ¿En dónde cabe LOPA?

1
 Perspectiva Histórica
• Estándares/Prácticas emergentes
empiezan a obtener momentum
– IEC 61508 / 61511
– Automatización de Proceso Seguro CCPS
(1993)
– ISA SP - 84.01 (1997) ahora SPA 4
– Análisis de Capas de Protección CCPS
(2001) Guía publicada

2
 Un Nuevo Concepto...
• Combinar Capas de Protección
tradicionales con Sistemas
Instrumentados de Seguridad en una
nueva herramienta de análisis para
determinar los requisitos de Nivel de
Integridad de Seguridad para sistemas de
Instrumentos Relacionados a la Seguridad
• Incorporar a la metodología “Los Criterios
de Tolerancia LOPA” o “Factores
Objetivos” que cumplan con la tolerancia
de riesgo objetivo. 3
 …Que Trata Estos Temas...
• ¿He definido mis criterios u objetivo de tolerancia de
riesgo?
• ¿Mi sistema asegura que mis criterios se cumplen?
• ¿Necesito un Sistema Instrumentado de Seguridad?
• ¿Existen Alternativas?
• Intervalos de Prueba
• Redundancia
• Confiabilidad/ Apagados Falsos
• Programación del Software
• Consistencia Global y Estándares de la Industria
• Requisitos Internos para la gestión de riesgos
• Autoridad Competente/Requisitos de Regulador
4
 …Mientras que se Mantiene
Simple
Términos y Sistemas Herramientas
Matemáticos Complejos Simples

PFD   DU   MTTR    DD MTTR

 T1
1+1+2=4o
2 
0.1x0.01x0.07=0.00007

5
 Aplicar LOPA- compatibilidad con … el
‘corbatín’
Prevention Mitigation
LOPs / LODs
Initiating Event 1 LOPs / LODs M1 M2

1a 1b
1c
No consequence

Initiating Event 2
1a 2a
Consequence A
Release
Consequence B

3c
3a 3b Consequence C
Initiating Event 3

4a

Initiating Event 4 6
¿Qué Significa Todo Esto??

7
Términos Comunes y Acrónimos que Utilizaremos
Análisis de Capa de Protección (LOPA) - Un proceso para
evaluar la efectividad de las Capas Independientes de Protección
reduciendo la probabilidad o (posiblemente) severidad de un evento
indeseable para cumplir con las necesiades organizacionales.

Función Protectora BPCS – Cualquier acción, iniciada por

Instrumentación, un BPCS, falla de equipo o respuesta humana, que
se pretende para lograr o mantener un estado seguro del proceeso en
relación a un evento peligroso específico. Esto incluye todas las “Funciones
Instrumentadas de Seguridad” no instrumentadas identificadas en LOPA.

Función Instrumentada de Seguridad (SIF) – La acción

completa que el SIS está diseñado a realizar sintiendo el
elemento de control final

Función de Sistema de Protección Relacionado con la

Seguridad – La acción completa que el Sistema de Protección
Relacionado a Seguridad (SRPS) está diseñado a realizar de
sentir hasta el elemento de control final 8
• Factor Objetivo LOPA (TF) = número de
frecuencia de evento ‘tolerado’ (ej. 1 evento en
100000 años TF = 5)
• Factor de Evento Iniciador = número de
frecuencia de evento iniciador (ej. Frecuencia de
falla 1 por 10 años, IEF = 1)
• IPL = Capa Independiente de Protección
• Factor Crédito IPL = número de Probabilidad de
Falla en demanda (PFD de 0.01 da c.f. de 2)

9
 Es un Proceso de Análisis
Simple
1 Utilizar el Análisis de Capa de Protección
(LOPA) para determinar si el Sistema
Instrumentado de Segrudad se requiere y si
es así, la necesidad de Niveles de Integridad
de Seguridad (1-3)
2 Tratar los Niveles de Confiabilidad
(Tolerancia de Falla) deseados y los SILs
para determinar el sensor necesario,
resolvedor lógico y configuración de
elemento final y los intervalos de prueba
necesarios
10
 ¿Cómo Funciona?
La “Cebolla” LOPA Respuesta de emergencia de la comunidad
Respuesta de Emergencia de la Planta
Protección Física, ej., Dispositivos de Alivio

Acción Preventiva del Sistema Instrumentado de Seguridad

Alarmas Críticas e Intervención del Operador

Sistema de Control de Proceso
Básico.Disciplina de Operación / Supervisión

Integridad del
Diseño de Planta

11
La “Cebolla” LOPA

Integridad del
Diseño de Planta

12
La “Cebolla” LOPA

Sistema de Control de Proceso

Básico.Disciplina de Operación /
Supervisión
Integridad del
Diseño de Planta

13
La “Cebolla” LOPA

Alarmas Críticas e Intervención del Operador

Sistema de Control de Proceso
Básico.Disciplina de Operación /
Supervisión
Integridad del
Diseño de Planta

14
La “Cebolla” LOPA

Acción Preventiva del Sistema Instrumentado de Seguridad

Alarmas Críticas e Intervención del Operador

Sistema de Control de Proceso
Básico.Disciplina de Operación /
Supervisión
Integridad del
Diseño de Planta

15
La “Cebolla” LOPA

Protección Física, ej., Dispositivos de Alivio

Acción Preventiva del Sistema Instrumentado de Seguridad

action
Alarmas Críticas e Intervención del Operador
tion
Sistema de Control de Proceso
Básico.Disciplina de Operación /
Supervisión
Integridad del
Diseño de Planta

16
La “Cebolla” LOPA
Respuesta de Emergencia de la Planta
Protección Física, ej., Dispositivos de Alivio

Acción Preventiva del Sistema Instrumentado de Seguridad

Alarmas Críticas e Intervención del Operador

Sistema de Control de Proceso
Básico.Disciplina de Operación /
Supervisión
on
Integridad del
Diseño de Planta

17
La “Cebolla” LOPA Respuesta de emergencia de la comunidad
Respuesta de Emergencia de la Planta
Protección Física, ej., Dispositivos de Alivio

Acción Preventiva del Sistema Instrumentado de Seguridad

Alarmas Críticas e Intervención del Operador

Sistema de Control de Proceso
Básico.Disciplina de Operación /
Supervisión
Integridad del
Diseño de Planta

18
 La “Cebolla” LOPA
Capasent COMMUNITY EMERGENCY REPSONSE
RESPUESTA DE EMERGENCIA DE LA COMUNIDAD

Independientes PLANT EMERGENCY REPSONSE

RESPUESTA DE EMERGENCIA DE LA PLANTA

de Protección PHYSICAL PROTECTION (DIKES)

PROTECCIÓN FÍSICA (DIQUES)

PHYSICAL PROTECTION (RELIEF DEVICES)

PROTECCIÓN FÍSICA (DISPOSITIVOSDE
ALIVIO)
AUTOMATIC ACTION SIS OR ESD
ACCIÓN AUTOMÁTICA SIS O ESD
CRITICAL ALARMS, OPERATOR
ALARMAS CRÍTICAS,
SUPERVISION, SUPERVISIÓN
AND MANUAL DEL OPERADOR E
INTERVENTION
INTERVENCIÓN MANUAL

BASIC CONTROLS, PROCESS ALARMS,

AND CONTROLES
OPERATOR BÁSICOS, ALARMAS DE
SUPERVISION
PROCESO Y SUPERVISIÓN DE OPERADORES

PROCESS
DISEÑO DE
DESIGN
I
PLANTA

LAH
1

19
 INDEPENDENCIA

Capa Independiente de Protección

(IPL)

Una capa de protección que evitará que un

escenario poco seguro progrese sin importar el
evento iniciador o el desempeño de otra capa de
protección.

Las pruebas también son esenciales 20

 El Concepto Original Ron Bell

Consecuencia de
Evento
peligroso

Instalciones Otros SRSs Riesgo de

Nivel de externas E/E/PES de cumplir nivel
Riesgo de reducción SRSs Tecnología De Seguridad
de riesgo
Frecuencia de Reducción de riesgo mínima necesaria
Evento
peligroso

Equipo bajo
Control

21
 Concepto de Capa de Protección
Ocurre Evento
Impacto
Frecuencia de
Evento Impacto,

ÉXITO
Resultado
Seguro
Evento Iniciador ÉXITO
Resultado
Frecuencia Seguro
Estimada ÉXITO
Resultado
Seguro

Clave:
La flecha representa gravedad y
Evento Impacto Frecuencia
frecuencia del Evento Impacto si
IPLs posteriores no son exitosas GRAVEDAD

- Capa Independiente de Protección

- Probabilidad de Falla en Demanda
22
- frecuencia/año
Lo que hace LOPA con el árbol
de eventos
Ejemplo

Criterio de Tolerancia de Riesgo (frec.) 10-7

Frecuencia del Evento Iniciador 10-1

Modificador Condicional 10-2
PFD de 1er IPL (BPCS) 10-1
PFD de 2do IPL (Alarmas + Operador) 10-1
SIL (1-3) para SIS1 10-?
SIS Requerido. SIL = 10-7/(10-1*10-2*10-1*10-1) = 10-2

23
Qué hace LOPA conel árbol de
eventos- alternativa -
Ejemplo

Criterio de Tolerancia de Riesgo (frec.) 7

Frecuencia del Evento Iniciador 1

Modificador Condicional 2
PFD de 1er IPL (BPCS) 1
PFD de 2do IPL (Alarmas + Operador) 1
SIL (1-3) para SIS1 ?
SIS Requerido. SIL = 7 - 1 - 2 - 1 - 1 = 2

Concepto de cerrar el Espacio de Protección

24
 Herramientas
• Hojas de Trabajo en Papel
• Hojas de cálculo Excel

• Siguen ejemplos:

25
Una hoja de trabajo LOPA
Example Target Frequency Return to Analysis Worksheet'

Target Frequency Target Factor Impact on People

On-site Off-site

A minor injury with no permaent

1.00E-02 2 Nuisance complaint
health damage

Serious permanent injury - one or An event requiring neighbours

1.00E-03 3
more persons being told to take shelter indoors.

1.00E-04 4 Single fatality

An event leading to the need to

1.00E-06 5 Multiple fatalities
evacuate neighbours.

1.00E-07 6 neighbour injury

1.00E-08 7 neighbour fatality

1.00E-09 8 Catastrophic event - many fatalities. Multiple fatalities to neighbours.

Business Target Factor Table

Total Probable Business Loss

Target Factor
US dollars

Less than 5M 4

5M - 50M 5

50M - 500M 6

500M - 5MM 7

5MM - 50MM 8

50MM - 500MM 9 26
500MM and Above 10
 Hojas de trabajo LOPA
• O se puede graficar de forma horizontal

• Mostrar la hoja de cálculo Excel

27
 Modificadores
Definición del Escenario
Condicionales
Es
pac
Ignición Probabil
io (válido para idad de
Frecuencia de (causado por) Frecuencia Capas independientes de instrumento deben tener
de Descripción del escenarios exposici
Evento Tolerado evento de evento sensores separados, resolvedores lógicos y
pro escenario de incendioo ón/tiemp
Objetivo iniciador iniciador elementos finales.
explosión o en
tec
(únicamente) riesgo
ció
n
Justifica
r la
Respuesta
Registrar la probabil Siste Esce
Obj Describir la del operador Sistema
Dar una probabildiad idad de Acción de ma d
etiv Dar descripción consecuencia a alarmas y Instrum
No descripción Describir el de exposici Control Instru sobr
o es completa de del escenario, procedimient entado
Re completa del evento encendido ón o BPCS – menta ón
0o resultado no luego utilizar os por de
f. evento iniciador (POI) en la tiempo describir en do de siste
men deseado listas en la escrito- Segurid
iniciador fila blanca si en la fila blanca Seguri Aliv
or flecha azul describir en ad 1
es relevante riesgo dad 2 Pre
la fla blanca
en la fila
blanca

La SIL 3
Derrme de operació Sistema
Falla el Función
interceptor- lleva n es de
1.0 control de BPCS
a incendio <10% disparo
nivel perdida
posible fatalidad del nivel
tiempo SIL 3

Es
tu
di 0.1
Falla de Aro Falla de POI > 500kg Sin disparo Alarma es de
o Probabil
Fatalidad en de Aro de liberado BPCS a BPCS- no SIS - SIL
de diad de
sitio Instrumento Instrument M.I.E. <0.3 apagado independient 3
se exposici
BPCS o BPCS mJ seguro e
gu ón
rid
ad

0 5 5 1 0 1 0 0 3

Combianci
Descargas de
ón de falla Menos
derrama del
Más de 1 de nivel y de 10%
sistema de Sin crédito
fatalidad línea de del
alivio- explosión
vapor tiempo
o incendio
cerrada 28
Es
tu
 Comenzar
• Desarrollar un Escenario (ej., Consecuencias
en HAZOP – detalles después)

• Determinar los Criterios de Tolerancia de

Riesgo (Objetivo) – una frecuencia

• Identificar pares Causa-Consecuencia

•Registrar en el sistema de su elección

29
Criterios de Tolerancia de Riesgo

30
Se pueden considerar pérdidas £ si se
desea

Considerar todos los eventos iniciadores

a cambio y poblar su documentación
U.S. Dupont está siguiendo este acercamiento

31
Ejemplo de Hoja de Trabajo LOPA

32
 Paso 2 – Eventos Iniciadores (ej., casua de HAZOP)

Ejemplo de índices de falla utilizados por el ex-empleador

Utilizar las propias, fuentes de la industria o Autoridades
competentes
33
 Reglas Básicas para Eventos
Iniciadores
1 El software de control de proceso no debe ser un evento
iniciador. Las pruebas y similación deben estar establecidas para
eliminar como fuente. El Cambio de Gestión debe ser lo
suficientemente robusto para evitar corromper el programa operador.
2 Un IPL no puede ser un evento iniciador. Las únicas
excepciones son elementos fallidos de BPCS y Alarmas- si pueden
crear el escenario.
3 Los eventos iniciadores son eventos únicos, pero se pueden
modificar por la probabilidad de un Modificador Condicional
ocurriendo (ej., una ignición ocurriendo).

34
 Paso 3 – Modificadores
Condicionales
• Otras condiciones que deben ser verdaderas
para que el escenario se desarrolle por
completo ej.

– Probabilidad de ignición
– Probabilidad de exposición

No aplicable a muchos escenarios

• Y cuando esté seguro- avanzar a Capas

Independientes de Protección
35
Modificadores Condicionales- Reglas
Básicas para ignición Permitendo
Probabilidad
1 Para eventos inflamables.Para otros (ej.,
exposición tóxica) eventos el valor es 0.

2 Colocar un valor de 1 ó 2 dependiendo de la

inflamabilidad del químico. Ej.
– Crédito = 1 para hidrógeno, acetileno, EO, PO, etileno,
butadieno
– Crédito = 2 para otros hidrocarbonos para cantidades entre 50
y 501 kg
3 Ingresar un valor de 3 si la rayos son la fuente de
ignición.

36
 Ejemplos

Return to Analysis Works

Conditional Modifier Enabling event for Layer of
Protection Analysis

Probability of Ignition

Ordinary Hydrocarbons Low M.I.E (<0.3 mJ)

materials
Amount of Flammable Material Probability of Enabling Probability Enabling
Released, kg Ignition Factor of Ignition Factor
5 - 50 1.0E-02 2 1.0E-02 2
51 - 501 1.0E-02 2 1.0E-01 1
501 - 5000 1.0E-01 1 1 0

37
Probabilidad de que alguien estará
expuesto a un peligro basados en
el tiempo en riesgo.

38
 Ejemplos de Probabilidad de Exposición
Modificadores Condicionales
Factor
Probabilidad LOPA del
de Modificado
Probabilidad de Exposición
Modificador r
Condicional Condiciona
l

Probabilidad de exposición permitió uqe los

pasos de proceso en operación por menos de 5 1x10-1 1
semanas al año

Probabilidad de exposición permitió uqe los

pasos de proceso en operación por menos de 3 1x10-2 2
días/año

Probabilidad de que las personas estarán en el

área de consecuencia y expuestos a ella. (ej., 39
1x10-1 ó 1X10-2 1ó2
áreas rara vez visitadas u ocupadas como
 Paso 4 IPLs
• Identificar la función protectora BPCS, si existe
• Enlistar cualquier alarma y respuesta del
operador (se requiere procedimiento por escrito)
• Registrar dispositivos de alivio de presión
calificadores
• Documentar Otros Sistemas Relacionados de
Seguridad
– Prácticas de Gestión
– Acciones Humanas
– Sistemas de Protección a la Máquina
40
 Regla General de
Independencia
Ser independiente, una capa de protección
deberá prevenir que uun escenario poco
seguro progrese sin importar el evento
iniciador o el desempeño de otra capa de
protección.

41
 Independent Protection Layers Credit Factor Table - some examples
Credit
Independent Protection Layer PFDs Notes
Factor
Pressure Relief Device 1.E-02 2
SIS - SIL 1 1.E-01 1 Credits are zero (0) if
SIS - SIL 2 1.E-02 2
SIS - SIL 3 1.E-03 3
Credits are zero (0) if
BPCS, when independent
1.E-01 1 unrestricted change
of initiating event
allowed
Internal mechanical Value chosen depends
safety trips that are on verification by
1E-1 to 1E-2 1 to 2
independent of the SIS or vendor and testing
BPCS frequency.
Operator response under
high stress, average 5.E-01 0
training
Operator response to
Alarms and procedures,
1.E-01 1
low stress, recognized
event

42
•Reglas Básicas para BPCS y Alarmas
Si un BPCS (aro completo) es un Evento Iniciador, no se toma crédito para BPCS o IPLA de
alarma amenos que sean sistemas completamente separados.
Si BPCS e IPLs de Alarma utilizan el mismo sensor, se debe tomar crédito únicamete para un
IPL.
La IPL de Alarma requiere una acción formalmente registrada y auditable del operador para
prevenir el escenario.
Si una falla de sensor es el evento iniciador, BPCS ye IPL de Alarma no son créditos válidos se
requieren que el sensor fallido funcione.
Si una falla de sensor es el evento iniciador, BPCS ye IPL de Alarma no son créditos válidos se
requieren que el sensor fallido funcione. (más común podría ser una válvula de control).

Si un resolvedor lógico BPCS es un Evento Iniciador, no se toma crédito para el BPCS o IPL de Alarma,
a menos que la IPL con alarma sea un sistema completamente separado .
Si una Alarma es una IPL, el operador debe tener tiempo para prevenir el escenario. No se debe
tomar crédito si el operador tiene menos de 10 minutos para responder. Puede ser capaz de
tomar crédito si este es un caso reconocido en el Plan de Respuesta de Emergencia.
Máximo de un crédito (1) BPCS y un crédito (1) Alarma IPL se permiten para el caso.
Compartir elementos BPCS y SIS se permite cuando existe evidencia de independencia adecuada . (ver
reglas para compartir elementos SIS por el BPCS)
Los dispositivos de seguridad mecánica como salidas de sobre-velocidad no son IPLs instrumentadas.
Sin embargo pueden calificar como Sistema de Protección Independiente Relacionado a Seguridad bajo
43
los Otros Sistemas Relacionados a Seguridad .
 Paso 5 – Otras IPLs diferentes
SIS
• Dispositivos de alivio
• Llamaradas
• Contención
• Otros Sistemas de Protección
Relacionados a Seguridad (SRPS – ver
después)
Luego considere los Sistemas Instrumentados de Seguridad
Si se siguen teniendo espacios de protección
44
Reglas para Dispositivos de Alivio
de Presión
1 El Dispositivo de Alivio de Presión protege o no
protege. No se permite dar crédito parcial.
2 Si un Dispositivo de Liberación de Presión se
descarga en la atmósfera creando un 2do peligro
(a las personas, ambiente o equipo), no se
permite dar crédito. Si la liberación a la
atmósfera tiene un riesgo aceptable, se puede
tomar crédito
3 Si el Dispositivo de Liberación de Presión se
descarga en una llamarada, tanque o depurador,
se toma crédito
4 Esta no es una herramienta para decidir “No se 45
 Reglas para Otros Dispositivos de
Protección Relacionados a la
Seguridad
1 Sistemas queno son Dispositivos de Alivio de Presión y no
son sistemas instrumentados se consideran en esta columna.
2 Los diques y cubetos no son una IPL para casos de
seguridad- no se permite crédito ya que solo pueden reducir las
consecuencias (y por lo tanto ya se contabilizaron en el
escenario). Para un caso de negocio involucrando un escenario
ambiental, los diques y cubetospueden reducir la frecuencia de
daño ambiental- se permite crédito.
3 Incluye edificios de contención o cercamientos, si están
presentes..
4 Los sistemas no enlistados necesitan mucho cuidado y
aprobaciones.

Estas reglas vienen de una empresa – tal vez queramos debatir 46

 Asuntos Técnicos

Varios sensores en el BPCS ayudan en las pruebas pero

No cambian mucho los niveles de riesgo
Los sensores SIS compartidos con BPCS – se
necesitan reglas

47
Lo que hace LOPA con el árbol
de eventos (recapitulación)
Ejemplo

Criterios de Tolerancia de Riesgo (frec.) 10-7

Frecuencia de evento iniciador 10-1

Modificador Condicional 10-2
PFD de 1ero IPL (BPCS) 10-1
PFD de 2do IPL (Alarmas + Operador) 10-1
SIL (1-3) para SIS1 10-?
SIS Requerido. SIL = 10-7/(10-1*10-2*10-1*10-1) = 10-2

48
 Recapitulación algunos
Términos Nuevos
Sistema Instrumentado de Seguridad
(SIS)
Una combinación de sensores, resolvedor lógico y
elementos finales que detecta una condición fuera de
límite (anormal) sin intervención humana
Protégé contra peligros específicos.
Realiza una función de seguridad
requerida.
Tiene una confiabilidad definida.
Es independiente de otros sistemas de 49
protección o alivio.
 Más Términos Nuevos
Niveles de Integridad de Seguridad
(SIL)
Un criterio de confiabilidad para un SIS definiendo la
probabilidad del sistema fallando al realizar su función
en demanda.

50
BPCS y SIS son Diferentes

• BPCS mantiene a la planta dentro de los

parámetros de operación definidos
• BPCS y SISs pueden actuar como IPLs
• Es poco probable que un BPCS cumpla >
SIL1 PFD o requisitos de Falla (puede
incluso ser evitado a menos que se
certifique)
• Requisitos de certificación son diferentes
• Requisitos de documentación son diferentes
• Los requisitos de prueba son diferentes
51
 Paso 6 tratar las necesidades
SIS

• Enlistar las Funciones Instrumentadas de

Seguridad si se requiere. El SIL del SIF es
el valor numérico necesariopara “Cerrar el
Espacio de Protección”.

52
 Reglas Básicas para SIS
1 Las entradas SIS se consideran al último y únicamente si es necesario
cerrar un espacio de protección
2 Un valor positivo, diferente a cero en la columna de Espacio de
Protección indica que un SIS es necesario.
3 El SIL requerido del SIS es el valor que cierra el Espacio de
Protección
4 Un valor SIL mayor a 3 no se debe permitir. IPLs no Sis adicionales se
requieren- o existe algo mal con el proceso
5 Un valor cero o negativo en la columna de Espacio de Protección
indica que un SIS no es necesario.
6 Un Sis con un SIL de 2 o 3 se puede reemplazar con una combinación
de Sil menores siempre y cuando sean independientes.
SIL 1 + SIL 1 = SIL 2 ; SIL 1 + SIL 2 = SIL 3
7 Dos (2) IPLs SIS utilizadas en el mismo caso requieren de sensores
separados, resolvedor lógico y elemento final. Se deben utilizar rutas
independientes a través del mismo resolvedor lógico. 53
Hemos completado nuestro análisis

54
 Paso 7
• Documentar por completo el escenario,
evento iniciador, modificadores
condicionales, IPLs. Justificar y tratar
incertidumbres y sensibilidades.
• Documentar los requisitos SIS Y los
requisitos para otros Sistemas de Protección
Relacionados a Seguridad
• Asegurar que se comuniquen todos los
requisitos al Diseño de Instrumentación y a la
función de Mantenimiento
55