www.inegas.edu.bo

MAESTRIA OPERACIONES PETROLERAS. 1ºVERS. 6ºED. & DIPLOMADO

INSTRUMENTACIÓN Y CONTROL EN PLANTAS DE PROCESOS. 2ºVERS. 1ºED.

Docente: Ing. Nelson YañezCorreo: nelson@cotas.com.bo

1

Sistemas Instrumentados de Seguridad

7. Método Identificación de RiesgosLOPA

2

Análisis de Peligros y Riesgos

LOPA El Método del Análisis de la capa de protección (LOPA) es una

herramienta para el análisis de Peligro en los procesos. Elmétodo utiliza los eventos peligrosos, la gravedad del suceso, lascausas iniciales y el inicio de los datos deprobabilidad desarrollado durante el análisis de peligros yoperabilidad (HAZOP).

El método LOPA permite al usuario determinar los riesgos asociadosa los varios eventos peligrosos utilizando su gravedad y laprobabilidad de los eventos que lo iniciaron. Utilizando losestándares corporativos de riesgo, el usuario puede determinar lacantidad total de la reducción de riesgos requeridos y analizar lareducción del riesgo que se puede lograr utilizando varias capas deprotección. Si una reducción del riesgo adicional esnecesario después de la reducción prevista por el diseño del proceso,el sistema de control básico de procesos (BPCS), las alarmasy acciones asociadas a los operadores, las válvulas de alivio depresión, etc, una función instrumentada de seguridad (SIF)puede que sea requerida. El nivel de integridad de seguridad (SIL)de la SIF se puede determinar directamente de la reducción deriesgo adicional necesario.

LOPA Anexo F – Análisis de la Capa de Protección norma IEC

61511 Parte 3. La norma IEC 61511 para la industriade procesos basada en la norma IEC 61508 y tituladacomo « Seguridad Funcional de SistemasInstrumentados de Seguridad para el sector de laindustria de procesos ».

IEC 61511 Parte 3 es informativa y da guías para ladeterminación del nivel de integridad de seguridad(SIL). El Anexo F ilustra los principios generalesinvolucrados en el método LOPA, y entrega variasreferencias para una detallada información sobre lametodología. También se señala que el Anexo F sederiva de la versión CDV de la norma IEC 61511 Parte3 de fecha 24 de noviembre del 2000.

Anexo F (informativo) - Análisis de Capa de Protección (LOPA)

F.1 Introducción

En este anexo se describe una herramienta de análisis de riesgo de proceso llamada capa de protección Análisis (LOPA). El método comienza con los datos desarrollados en el análisis de peligros y operabilidad (HAZOP) y describe cada peligro identificado y documenta causa que lo inicio y la capa de protección que prevenga o mitigue el peligro.

El monto total de la reducción de riesgo se puede determinar y la necesidad de una mayor reducción de riesgo analizado. Si la reducción del riesgo adicional es requerido y si es necesario proporcionar esta reducción mediante una función instrumentada de seguridad (SIF), la metodología LOPA permite la determinación del Nivel de Integridad de Seguridad (SIL) la de Seguridad del Nivel de Integridad (SIL) para la SIF.

LOPA

LOPAF.2 Análisis de Capa de Protección

El ciclo de vida definido en la norma IEC 61511-1 requiere la determinación de un nivel de integridad de seguridad (SIL) para el diseño de una función instrumentada de seguridad. El LOPA descrito acá es un método que puede ser aplicado a una planta existente por un grupo multidisciplinario que determine el requerimiento de la función instrumentada de seguridad y el SIL. El equipo consiste de las siguientes personas:- Operador con experiencia en los procesos bajo consideración- Ingenieros con pericia en el proceso- La Gerencia de Producción- Ingeniero de Control de Procesos

7

F.2 Análisis de Capa de Protección (Cont.)

Personal de Mantenimiento en Instrumentación/Eléctrico con experiencia en el proceso en cuestión

Por lo menos una persona del equipo debería estar entrenada en la metodología de LOPA.La información requerida por el LOPA esta contenida en la información obtenida en el desarrollo del Análisis de Riesgos y Operación (HAZOP).

La tabla F.1 muestra la relación entre los datos requeridos por el LOPA y la información desarrollada durante el HAZOP.

La figura F.1 muestra una hoja típica que puede ser utilizado para el LOPA.

F.3 Evento de Impacto

Utilizando la Figura F.1, cada Evento de Impacto (consecuencia) determinado por el análisis de HAZOP se ingresa en la columna 1. F.4 Nivel de Severidad

Niveles de Severidad Menores (M), Serios (S), o Extensivos (E) son seleccionado a continuación por cada evento de impacto de acuerdo a la Tabla F.2 y introducido en la Columna 2 de la Figura F.1.

Figura F.1

F.5 Causa Iniciadora

Todas las causas iniciales del evento de impacto están listados en la columna 3 de la Figura F.1. Eventos impacto puede tener muchas causas iniciales, y es importante enlistar a todos ellos.

F.6 Iniciación de Probabilidad

Valores de probabilidad de las causas de Iniciación que estan ocurriendo, en eventos por año, son introducidos en la Columna 4 de la figura F.1. Tabla F.4 Muestra la causa típica de Iniciación probabilidad. La experiencia del equipo es muy importante en la determinación de la Probabilidad de iniciación de la causa.

F.7 Capas de Protección

Figura F.1 muestra las múltiples capas de protección (PL`s), que normalmente se proveen en la industria de procesos. Cada capa de protección consiste en una agrupación de equipos y / o controles administrativos que funcionan en concierto con las otras capas. Capas de protección que llevan a cabo su función con un alto grado de fiabilidad, podrán calificar como capas de protección independientes (IPL). Los criterios para calificar una capa de protección (PL) como una IPL son los siguientes:- La protección provista reduce el riesgo identificado por una gran cantidad, es

decir, un mínimo de 10 veces.- La función de protección cuenta con un alto grado de disponibilidad (90% o más).- Tiene las siguientes características importantes:a)Especificidad: El IPL está diseñado solamente para prevenir o mitigar las

consecuencias de un evento potencialmente peligrosos (por ejemplo, una reacción fuera de control, la liberación de materiales tóxicos, la pérdida de contención, o un incendio). Múltiples causas puede dar lugar al mismo evento peligroso, y, por tanto, múltiples escenarios de eventos puede iniciar una acción de una IPL.

b) Independencia: Una IPL es independiente de las capas de protección asociados con el peligro identificado.

c)Confiabilidad: Se puede contar con ellos hagan lo que fueron diseñados para hacer. Modos de fallas tanto aleatorias y sistemáticas se abordan en el diseño.

d)Capacidad de verificación: Se ha diseñado para facilitar la validación periódica de las funciones de protección. Prueba de carga y mantenimiento del sistema de seguridad es necesario.

Sólo las capas de protección que cumplen las condiciones de disponibilidad, especificidad, independencia, confiabilidad y auditabilidad son clasificados como capas de protección independientes.

Diseño del proceso para reducir la probabilidad de que se produzca un evento de impacto, cuando una causa iniciadora ocurre, aparecen listados primero en en la Columna 5 de la figura F.1. Un ejemplo de esto podría ser un tubo con camisa o un tacho. La chaqueta va a impedir la liberación de material de proceso si la integridad de la tubería principal está comprometida.

El siguiente punto en la columna 5 es el Sistema de Control de Procesos Básicos (BPCS). Si un circuito de control en el BPCS evita que el impacto de eventos ocurra cuando se produce la causa iniciadora, el crédito en función de su PFD medio será solicitado. El último elemento en la columna 5 se atribuye el mérito de las alarmas que alertan al operador y utilizar la intervención del operador. Típico de protección de la capa media de los valores de PFD están listados en la Tabla F.3.

F.7 Capas de Protección

F.8 Capas Adicionales de Mitigación

Capas de mitigación son normalmente mecánica, estructural, o de procedimiento. Ejemplos serían los siguientes:- Los dispositivos de alivio de presión,- Diques y- Acceso restringido.Capas de mitigación pueden reducir la gravedad del evento de impacto, pero no prevenir que ocurra. Algunos ejemplos serían los siguientes:- Sistemas de diluvio de fuego o la liberación de gases,- Las alarmas de humo, y procedimientos de evacuación.

El equipo LOPA debe determinar los PFD apropiados para todas las capas de mitigación y enlistaros en la columna 6 de la figura F.1.

F.9 Capas Independientes de ProtecciónLas Capas de protección que cumplen los criterios para la IPL se enumeran en la columna 7.

F.10 Probabilidad de Evento Intermedio

La probabilidad de evento intermedio se calcula multiplicando la probabilidad de Iniciación (Columna 4) por el PFD de las capas de protección y mitigación de las capas (columnas 5, 6 y 7). El número se calcula en unidades de eventos por año y se introduce en la columna 8.Si la probabilidad de eventos intermedios es menor a la de sus criterios corporativos para eventos de este nivel de gravedad, PLS adicionales no son necesarios. Una reducción del riesgo adicional se aplicará solamente si es económicamente adecuado.Si la probabilidad de eventos intermedios es mayor que la de sus criterios corporativos para eventos de este nivel de gravedad, la mitigación adicional será necesario. Métodos inherentemente más seguros y otras soluciones deben ser considerados antes de capas adicionales de protección, luego se aplican sistemas instrumentados de seguridad (SIS). Si cambios de diseño inherentemente seguro se puede hacer, la figura F.1 se actualiza y la probabilidad de evento intermedio se vuelve a calcular para determinar si está por debajo de los criterios corporativos. Si los intentos anteriores para reducir la probabilidad intermedia por debajo de los criterios de riesgo corporativo fallan, entonces un SIS es necesario.

F.11 SIF Nivel de Integridad

Si un nuevo SIF es necesario, el nivel de integridad requerido puede ser calculado dividiendo los Criterios Corporativos de este nivel de gravedad del evento por la probabilidad de evento intermedio. A PFDavg para el SIF por debajo de este número es seleccionado como máximo para el SIS y se introduce en la columna 9.

F.12 Probabilidad de Evento MitigadoLa probabilidad de evento Mitigada ahora se calcula multiplicando las columnas 8 y 9 e introducir el resultado en la columna 10. Esto continúa hasta que el equipo haya calculado una probabilidad de eventos mitigados por cada evento de impacto que se pueda identificar.

F.13 Riesgo TotalEl último paso es sumar todas las probabilidades de eventos graves de impacto Mitigado y eventos de impacto extensivo que presentan el mismo riesgo. Por ejemplo, la probabilidad para eventos de impactos mitigados graves y eventos extensivos que causan fuego se añaden y se utiliza en las fórmulas como la siguiente:- Riesgo de muerte debido a fuego = (Probabilidad Mitigada de todo el material inflamable liberado) X (Probabilidad de ignición) X (Probabilidad de una persona en el área) x (probabilidad de lesiones fatales en el Fuego).

-Eventos de Impacto grave y extenso que podría causar un escape tóxico podría utilizarla siguiente fórmula:

- Riesgo de muerte debido a las emisiones tóxicas = (Probabilidad de evento Mitigado de todas las emisiones de sustancias tóxicas) X(Probabilidad de una persona en el área) x (probabilidad de lesiones fatales en la liberación de la sustancia).

La experiencia de los especialistas Analista de Riesgo y el conocimiento del equipo son importantes en el ajuste de los factores en las fórmulas a las condiciones y prácticas de trabajo en la planta y los efectos a la comunidad.

El riesgo total de la corporación de este proceso se puede determinar mediante la suma de los resultados obtenidos de la aplicación de las fórmulas. Si este cumple o es inferior a los criterios corporativos para la población afectada, la LOPA se ha completado.

Sin embargo, dado que la población afectada puede estar sujeta a los riesgos de otras unidades ya existentes o nuevos proyectos, es aconsejable proporcionar una mitigación adicional si se puede lograr económicamente.

F.13 Total Risk Cont….

A continuación un ejemplo de la metodología LOPA que enfoca un evento de impacto identificado en el HAZOP.

F.14.1 Evento de Impacto de Nivel de SeveridadEl HAZOP identificó Alta Presión en un Reactor por Lotes de Polimerización como una desviación. El reactor de Acero Inoxidable es conectado en serie a una columna de plástico con acero reforzado y un condensador de acero inoxidable. La ruptura de la columna de plástico reforzado liberará un vapor inflamable, que presentará la posibilidad de fuego si alguna fuente de ignición se presenta. Usando la Tabla F.2 Nivel de Severidad Grave es seleccionado por el equipo de LOPA, desde que el impacto podría causar serios daños o inclusive fatalidad en el sitio. El Evento de Impacto y su severidad son introducidos en la columna 1 y 2, de la Figura F.1 respectivamente.

F.14.2 Causa IniciadoraEl HAZOP listo 2 Causas Iniciadoras para Alta Presión. Perdida de agua de enfriamiento al Condensador y falla del controlador de lazo de presión del reactor. Las 2 causas iniciadoras son ingresadas en la columna 3, de la figura F.1.

F.14 Ejemplo

F.14.3 La Probabilidad de IniciarLas Plantas en operación han sufrido pérdidas en el agua de enfriamiento una en 15 años en el área. El equipo selecciona uno cada 10 años como un valor conservador de estimación (0.1) eventos por año que se ingresa a la columna 4, Figura F.1. Es una buena idea para llevar a esta Causa de Iniciación todo el camino hasta su conclusión antes de abordar otras causas de inicio (falla del controlador de lazo de vapor).

F.14.4 Diseño de Capas de ProtecciónEl área de proceso está diseñado en un área clasificada para las instalaciones eléctricas y el área de proceso tiene un Plan de Gestión de la Seguridad de los Procesos en funcionamiento. Un elemento de este plan es un procedimiento de manejo de cambio, para el reemplazo de equipo eléctrico en el área. El equipo LOPA estima que el riesgo de que una fuente de ignición se presente es reducida por un factor de 10 debido al procedimiento de manejo de cambio. Por lo tanto un valor de 0,1 se introduce en la columna 5, de la figura F.1 en el diseño del proceso..

F.14.5 BPCSLa alta presión en el reactor está acompañado por una alta temperatura. El BPCS tiene un lazo de control que ajusta el ingreso de vapor a la camisa del reactor basado en la temperatura del reactor. El BPCS podría cerrar el vapor hacia la camisa del reactor si la temperatura del reactor esta sobre el setpoint. Ya que apagar el vapor es suficiente para prevenir una alta presión, el BPCS es una capa de protección. El BPCS es El BPCS es un DCS muy fiable y el personal de producción no ha experimentado un fallo que hará imposible la regulación de la temperatura. El equipo LOPA decide que un PFDavg de 0,1 es apropiado y ingresa 0,1 en la columna 5, Figura F.1 bajo BPCS (0,1 es el mínimo permitido para el BPCS). F.14.6 AlarmasExiste un transmisor en el flujo de agua de enfriamiento hacia el condensador, y esta cableado a un BPCS diferente al controlador de lazo de la temperatura. Bajo flujo de agua de enfriamiento hacia el condensador enciende una alarma y se utiliza la intervención del operador para apagar el vapor. La alarma se puede tomar como una Capa de Protección ya que está ubicado en un BPCS diferente al controlador de lazo de temperatura. El equipo LOPA esta de acuerdo que 0.1 PDFavg es apropiado desde que un operador esta siempre presente en cuarto de control y coloca un 0.1 en la columna 5 , Figura F.1 debajo de Alarmas.

F.14.7 Mitigación Adicional

El acceso al área de operaciones esta restringido durante el proceso de operación. Mantenimiento se realiza únicamente durante los períodos que los equipos están apagados y con los candados puestos. El plan de manejo de seguridad de procesos requiere que todos los personeros que no pertenecen a operaciones firmen para ingresar al área de proceso notificando al operador.

Debido a los procedimientos de acceso restringido cumplir, el equipos LOPA estima que el riesgo del personal en el área se reduce en un factor de 10. Por lo tanto 0.1 se introduce en la columna 6, Figura F.1 en mitigaciones adicionales.

F.14.8 IPL El reactor está equipado con una válvula de seguridad que tiene un tamaño adecuado para manejar el volumen de gas que se podría generar durante el evento de sobre temperatura y presión causado por la pérdida de agua de enfriamiento.

Dado que la válvula de alivio se encuentra por debajo de la presión de diseño de la columna de fibra de vidrio y no hay una posible falla humana que podría aislar la columna de la válvula de alivio durante los períodos de funcionamiento, la válvula de alivio se considera una capa de protección.

La válvula de alivio se retira y se prueba una vez al año, nunca en 15 años de operación ha tenido algún taponamiento que se haya observado en la válvula de alivio o de la tubería de conexión.

Dado que la válvula de alivio cumple los criterios para la IPL, aparece en la columna 7, la figura F.1 y le asigna un PFDavg de 0,01.

F.14.9 Probabilidad evento intermedioLas columnas de la fila 1, de la Figura 1 se multiplican entre sí, y el producto se introduce en la columna 8, en la Figura F.1 en Probabilidad de Evento Intermedio. El producto obtenido de este ejemplo es de 7.10.

F.14.10 SISLa mitigación obtenida por las capas de protección son suficientes para alinearse con los criterios de la corporación, pero mitigación adicional puede ser obtenida por un costo mínimo ya que existen transmisores en el tacho del reactor y se puede programar alarmas en el BPCS. El equipo LOPA decide adicionar un SIF que consiste en un relay de corriente continua para des-energizar un solenoide que opera una válvula de bloqueo en la línea de alimentación de vapor a la camisa del Reactor.

La SIF esta diseñada para un rango menor a SIL 1, con un PFDavg de 0.01. Entonces 0.01 es ingresado a la Columna 9, Figure F.1 bajo SIF Nivel de Integridad.

El valor de probabilidad del evento mitigado se calcula multiplicando la columna o por la columna 9 y se pone el resultado (1 x 10-9) en la columna 10, Figura

F.14.11 Próximo Evento

El equipo LOPA considera ahora el caso del segundo evento de iniciación (falta de regulación del reactor de vapor). La Tabla F.3 se utiliza para determinar la probabilidad de fallo en el control de válvulas y 0,1 se introduce en la columna 4, en la Figura 1 Probabilidad de iniciación.

Las capas de protección obtenidas desde el diseño de proceso, alarmas, mitigación adicionales y el SIS aún existen en caso de fallo del circuito de lazo de control de vapor.. La capa de protección que se pierde es el BPCS. El equipo LOPA calcula la probabilidad intermedia (1 x 10-5) y la probabilidad de eventos Mitigada (1 x10-8). Los valores se introducen en las columnas 8 y 10, figura F.1, respectivamente.

El equipo LOPA continuará este análisis hasta que todas las desviaciones identificadas en la HAZOP se hayan abordado.

El último paso sería añadir la probabilidad de eventos mitigados por los hechos graves y extensos quepresentan el mismo riesgo.

F.14.11 Próximo Evento

En este ejemplo, si sólo el evento de impacto primero fuese identificado, para el proceso total el número sería 1,1 x 10-8.

Dado que la probabilidad de ignición se contabilizó bajo el diseño del proceso (0,1) y la probabilidad de que una persona este en el área se contabiliza en la mitigación adicional (0,1), la ecuación de riesgo de muerte debido a un incendio se reduce a:

Riesgo de muerte debido a un incendio = (Probabilidad MITIGADA caso de todo el material inflamable vertido) X (la probabilidad de lesiones fatales en el fuego)

o

Riesgo de muerte debido a un incendio = (1,1 x 10-8) x (0,5) = 5,5 x 10-9

Este número está por debajo de los criterios corporativos de este riesgo por lo que el trabajo del equipo de LOPA se ha completado.

Tabla F.1

Tabla F.2

Tabla F.3

Tabla F.4

www.inegas.edu.bo30