Académique Documents
Professionnel Documents
Culture Documents
• Visión General
– Perspectiva Histórica
– Un Nuevo Concepto para Sistemas de Control
Relacionados a Seguridad
– LOPA, SIS, SIL
– ¿En dónde cabe LOPA?
1
Perspectiva Histórica
• Estándares/Prácticas emergentes
empiezan a obtener momentum
– IEC 61508 / 61511
– Automatización de Proceso Seguro CCPS
(1993)
– ISA SP - 84.01 (1997) ahora SPA 4
– Análisis de Capas de Protección CCPS
(2001) Guía publicada
2
Un Nuevo Concepto...
• Combinar Capas de Protección
tradicionales con Sistemas
Instrumentados de Seguridad en una
nueva herramienta de análisis para
determinar los requisitos de Nivel de
Integridad de Seguridad para sistemas de
Instrumentos Relacionados a la Seguridad
• Incorporar a la metodología “Los Criterios
de Tolerancia LOPA” o “Factores
Objetivos” que cumplan con la tolerancia
de riesgo objetivo. 3
…Que Trata Estos Temas...
• ¿He definido mis criterios u objetivo de tolerancia de
riesgo?
• ¿Mi sistema asegura que mis criterios se cumplen?
• ¿Necesito un Sistema Instrumentado de Seguridad?
• ¿Existen Alternativas?
• Intervalos de Prueba
• Redundancia
• Confiabilidad/ Apagados Falsos
• Programación del Software
• Consistencia Global y Estándares de la Industria
• Requisitos Internos para la gestión de riesgos
• Autoridad Competente/Requisitos de Regulador
4
…Mientras que se Mantiene
Simple
Términos y Sistemas Herramientas
Matemáticos Complejos Simples
5
Aplicar LOPA- compatibilidad con … el
‘corbatín’
Prevention Mitigation
LOPs / LODs
Initiating Event 1 LOPs / LODs M1 M2
1a 1b
1c
No consequence
Initiating Event 2
1a 2a
Consequence A
Release
Consequence B
3c
3a 3b Consequence C
Initiating Event 3
4a
Initiating Event 4 6
¿Qué Significa Todo Esto??
7
Términos Comunes y Acrónimos que Utilizaremos
Análisis de Capa de Protección (LOPA) - Un proceso para
evaluar la efectividad de las Capas Independientes de Protección
reduciendo la probabilidad o (posiblemente) severidad de un evento
indeseable para cumplir con las necesiades organizacionales.
9
Es un Proceso de Análisis
Simple
1 Utilizar el Análisis de Capa de Protección
(LOPA) para determinar si el Sistema
Instrumentado de Segrudad se requiere y si
es así, la necesidad de Niveles de Integridad
de Seguridad (1-3)
2 Tratar los Niveles de Confiabilidad
(Tolerancia de Falla) deseados y los SILs
para determinar el sensor necesario,
resolvedor lógico y configuración de
elemento final y los intervalos de prueba
necesarios
10
¿Cómo Funciona?
La “Cebolla” LOPA Respuesta de emergencia de la comunidad
Respuesta de Emergencia de la Planta
Protección Física, ej., Dispositivos de Alivio
Integridad del
Diseño de Planta
11
La “Cebolla” LOPA
Integridad del
Diseño de Planta
12
La “Cebolla” LOPA
13
La “Cebolla” LOPA
14
La “Cebolla” LOPA
15
La “Cebolla” LOPA
16
La “Cebolla” LOPA
Respuesta de Emergencia de la Planta
Protección Física, ej., Dispositivos de Alivio
17
La “Cebolla” LOPA Respuesta de emergencia de la comunidad
Respuesta de Emergencia de la Planta
Protección Física, ej., Dispositivos de Alivio
18
La “Cebolla” LOPA
Capasent COMMUNITY EMERGENCY REPSONSE
RESPUESTA DE EMERGENCIA DE LA COMUNIDAD
PROCESS
DISEÑO DE
DESIGN
I
PLANTA
LAH
1
19
INDEPENDENCIA
Consecuencia de
Evento
peligroso
Equipo bajo
Control
21
Concepto de Capa de Protección
Ocurre Evento
Impacto
Frecuencia de
Evento Impacto,
ÉXITO
Resultado
Seguro
Evento Iniciador ÉXITO
Resultado
Frecuencia Seguro
Estimada ÉXITO
Resultado
Seguro
Clave:
La flecha representa gravedad y
Evento Impacto Frecuencia
frecuencia del Evento Impacto si
IPLs posteriores no son exitosas GRAVEDAD
23
Qué hace LOPA conel árbol de
eventos- alternativa -
Ejemplo
• Siguen ejemplos:
25
Una hoja de trabajo LOPA
Example Target Frequency Return to Analysis Worksheet'
On-site Off-site
Less than 5M 4
5M - 50M 5
50M - 500M 6
500M - 5MM 7
5MM - 50MM 8
50MM - 500MM 9 26
500MM and Above 10
Hojas de trabajo LOPA
• O se puede graficar de forma horizontal
27
Modificadores
Definición del Escenario
Condicionales
Es
pac
Ignición Probabil
io (válido para idad de
Frecuencia de (causado por) Frecuencia Capas independientes de instrumento deben tener
de Descripción del escenarios exposici
Evento Tolerado evento de evento sensores separados, resolvedores lógicos y
pro escenario de incendioo ón/tiemp
Objetivo iniciador iniciador elementos finales.
explosión o en
tec
(únicamente) riesgo
ció
n
Justifica
r la
Respuesta
Registrar la probabil Siste Esce
Obj Describir la del operador Sistema
Dar una probabildiad idad de Acción de ma d
etiv Dar descripción consecuencia a alarmas y Instrum
No descripción Describir el de exposici Control Instru sobr
o es completa de del escenario, procedimient entado
Re completa del evento encendido ón o BPCS – menta ón
0o resultado no luego utilizar os por de
f. evento iniciador (POI) en la tiempo describir en do de siste
men deseado listas en la escrito- Segurid
iniciador fila blanca si en la fila blanca Seguri Aliv
or flecha azul describir en ad 1
es relevante riesgo dad 2 Pre
la fla blanca
en la fila
blanca
La SIL 3
Derrme de operació Sistema
Falla el Función
interceptor- lleva n es de
1.0 control de BPCS
a incendio <10% disparo
nivel perdida
posible fatalidad del nivel
tiempo SIL 3
Es
tu
di 0.1
Falla de Aro Falla de POI > 500kg Sin disparo Alarma es de
o Probabil
Fatalidad en de Aro de liberado BPCS a BPCS- no SIS - SIL
de diad de
sitio Instrumento Instrument M.I.E. <0.3 apagado independient 3
se exposici
BPCS o BPCS mJ seguro e
gu ón
rid
ad
0 5 5 1 0 1 0 0 3
Combianci
Descargas de
ón de falla Menos
derrama del
Más de 1 de nivel y de 10%
sistema de Sin crédito
fatalidad línea de del
alivio- explosión
vapor tiempo
o incendio
cerrada 28
Es
tu
Comenzar
• Desarrollar un Escenario (ej., Consecuencias
en HAZOP – detalles después)
30
Se pueden considerar pérdidas £ si se
desea
31
Ejemplo de Hoja de Trabajo LOPA
32
Paso 2 – Eventos Iniciadores (ej., casua de HAZOP)
34
Paso 3 – Modificadores
Condicionales
• Otras condiciones que deben ser verdaderas
para que el escenario se desarrolle por
completo ej.
– Probabilidad de ignición
– Probabilidad de exposición
36
Ejemplos
Probability of Ignition
37
Probabilidad de que alguien estará
expuesto a un peligro basados en
el tiempo en riesgo.
38
Ejemplos de Probabilidad de Exposición
Modificadores Condicionales
Factor
Probabilidad LOPA del
de Modificado
Probabilidad de Exposición
Modificador r
Condicional Condiciona
l
41
Independent Protection Layers Credit Factor Table - some examples
Credit
Independent Protection Layer PFDs Notes
Factor
Pressure Relief Device 1.E-02 2
SIS - SIL 1 1.E-01 1 Credits are zero (0) if
SIS - SIL 2 1.E-02 2
SIS - SIL 3 1.E-03 3
Credits are zero (0) if
BPCS, when independent
1.E-01 1 unrestricted change
of initiating event
allowed
Internal mechanical Value chosen depends
safety trips that are on verification by
1E-1 to 1E-2 1 to 2
independent of the SIS or vendor and testing
BPCS frequency.
Operator response under
high stress, average 5.E-01 0
training
Operator response to
Alarms and procedures,
1.E-01 1
low stress, recognized
event
42
•Reglas Básicas para BPCS y Alarmas
Si un BPCS (aro completo) es un Evento Iniciador, no se toma crédito para BPCS o IPLA de
alarma amenos que sean sistemas completamente separados.
Si BPCS e IPLs de Alarma utilizan el mismo sensor, se debe tomar crédito únicamete para un
IPL.
La IPL de Alarma requiere una acción formalmente registrada y auditable del operador para
prevenir el escenario.
Si una falla de sensor es el evento iniciador, BPCS ye IPL de Alarma no son créditos válidos se
requieren que el sensor fallido funcione.
Si una falla de sensor es el evento iniciador, BPCS ye IPL de Alarma no son créditos válidos se
requieren que el sensor fallido funcione. (más común podría ser una válvula de control).
Si un resolvedor lógico BPCS es un Evento Iniciador, no se toma crédito para el BPCS o IPL de Alarma,
a menos que la IPL con alarma sea un sistema completamente separado .
Si una Alarma es una IPL, el operador debe tener tiempo para prevenir el escenario. No se debe
tomar crédito si el operador tiene menos de 10 minutos para responder. Puede ser capaz de
tomar crédito si este es un caso reconocido en el Plan de Respuesta de Emergencia.
Máximo de un crédito (1) BPCS y un crédito (1) Alarma IPL se permiten para el caso.
Compartir elementos BPCS y SIS se permite cuando existe evidencia de independencia adecuada . (ver
reglas para compartir elementos SIS por el BPCS)
Los dispositivos de seguridad mecánica como salidas de sobre-velocidad no son IPLs instrumentadas.
Sin embargo pueden calificar como Sistema de Protección Independiente Relacionado a Seguridad bajo
43
los Otros Sistemas Relacionados a Seguridad .
Paso 5 – Otras IPLs diferentes
SIS
• Dispositivos de alivio
• Llamaradas
• Contención
• Otros Sistemas de Protección
Relacionados a Seguridad (SRPS – ver
después)
Luego considere los Sistemas Instrumentados de Seguridad
Si se siguen teniendo espacios de protección
44
Reglas para Dispositivos de Alivio
de Presión
1 El Dispositivo de Alivio de Presión protege o no
protege. No se permite dar crédito parcial.
2 Si un Dispositivo de Liberación de Presión se
descarga en la atmósfera creando un 2do peligro
(a las personas, ambiente o equipo), no se
permite dar crédito. Si la liberación a la
atmósfera tiene un riesgo aceptable, se puede
tomar crédito
3 Si el Dispositivo de Liberación de Presión se
descarga en una llamarada, tanque o depurador,
se toma crédito
4 Esta no es una herramienta para decidir “No se 45
Reglas para Otros Dispositivos de
Protección Relacionados a la
Seguridad
1 Sistemas queno son Dispositivos de Alivio de Presión y no
son sistemas instrumentados se consideran en esta columna.
2 Los diques y cubetos no son una IPL para casos de
seguridad- no se permite crédito ya que solo pueden reducir las
consecuencias (y por lo tanto ya se contabilizaron en el
escenario). Para un caso de negocio involucrando un escenario
ambiental, los diques y cubetospueden reducir la frecuencia de
daño ambiental- se permite crédito.
3 Incluye edificios de contención o cercamientos, si están
presentes..
4 Los sistemas no enlistados necesitan mucho cuidado y
aprobaciones.
47
Lo que hace LOPA con el árbol
de eventos (recapitulación)
Ejemplo
48
Recapitulación algunos
Términos Nuevos
Sistema Instrumentado de Seguridad
(SIS)
Una combinación de sensores, resolvedor lógico y
elementos finales que detecta una condición fuera de
límite (anormal) sin intervención humana
Protégé contra peligros específicos.
Realiza una función de seguridad
requerida.
Tiene una confiabilidad definida.
Es independiente de otros sistemas de 49
protección o alivio.
Más Términos Nuevos
Niveles de Integridad de Seguridad
(SIL)
Un criterio de confiabilidad para un SIS definiendo la
probabilidad del sistema fallando al realizar su función
en demanda.
50
BPCS y SIS son Diferentes
52
Reglas Básicas para SIS
1 Las entradas SIS se consideran al último y únicamente si es necesario
cerrar un espacio de protección
2 Un valor positivo, diferente a cero en la columna de Espacio de
Protección indica que un SIS es necesario.
3 El SIL requerido del SIS es el valor que cierra el Espacio de
Protección
4 Un valor SIL mayor a 3 no se debe permitir. IPLs no Sis adicionales se
requieren- o existe algo mal con el proceso
5 Un valor cero o negativo en la columna de Espacio de Protección
indica que un SIS no es necesario.
6 Un Sis con un SIL de 2 o 3 se puede reemplazar con una combinación
de Sil menores siempre y cuando sean independientes.
SIL 1 + SIL 1 = SIL 2 ; SIL 1 + SIL 2 = SIL 3
7 Dos (2) IPLs SIS utilizadas en el mismo caso requieren de sensores
separados, resolvedor lógico y elemento final. Se deben utilizar rutas
independientes a través del mismo resolvedor lógico. 53
Hemos completado nuestro análisis
54
Paso 7
• Documentar por completo el escenario,
evento iniciador, modificadores
condicionales, IPLs. Justificar y tratar
incertidumbres y sensibilidades.
• Documentar los requisitos SIS Y los
requisitos para otros Sistemas de Protección
Relacionados a Seguridad
• Asegurar que se comuniquen todos los
requisitos al Diseño de Instrumentación y a la
función de Mantenimiento
55