SN 516 11 Articulo SIL or RRF para CCPS

Pag.
1 de 25
SIL or RRF
THAT IS THE QUESTION
------------------------------------------------------------------
Autor: Ing. Roberto Fernndez Blanco Director de DASIS Corp. (Ex SISTEMAS DACS SA) a CCPS member. About the Autor: El Ing. Roberto Fernndez Blanco es Director de DASIS Corp (Ex Sistemas DACS) empresa miembro del AIChE-CCPS, especializada en Estudios y Suministro de Sistemas de Control y Seguridad en Procesos Industriales. Es tambin miembro de la ISA (International Society of Automation) y de la NFPA (National Fire Protection Association). Cuenta con 50 aos de experiencia en estudios y aplicaciones para Control Automtico de Procesos y Reduccin de Riesgos en todo tipo de industrias. * ESTE ARTCULO SIL O RRF CLARIFICA EL ORIGEN Y ALCANCE DEL CONCEPTO SIL (SAFETY
INTEGRITY LEVEL, NIVELES DE INTEGRIDAD SEGURA) Y SU CARCTER DE CONJUNTOS O BANDAS QUE AGRUPAN FACTORES DE REDUCCIN DE RIESGO (RRF) DE DIFERENTES RDENES DE MAGNITUD. EL GRFICO SIL/RRF AQU PRESENTADO (INTRODUCIDO EN EL 2005 POR EL ING. ROBE RTO FERNNDEZ BLANCO) PONE ADEMS EN EVIDENCIA QUE IMPLEMENTAR UNA FUNCIN O LAZO AUTOMTICO DE PROTECCIN SIF (SAFETY INSTRUMENTED FUNCTION) DEFINIENDO TAN SOLO EL NIVEL SIL CONDUCE A UN RESULTADO IMPRECISO Y PELIGROSO EN CUANTO QUEDA INDEFINIDO EL MNIMO VALOR DEL FACTOR DE REDUCCIN DE RIESGO CON EL QUE DEBE SER DISEADA DICHA SIF. ESTO INDUCE A ERRORES EN EL DISEO DE LA CAPACIDAD PROTECTORA DE LA SIF, TAL COMO LO DEMUESTRA EN SU EJEMPLO DEL CASO #1, SINTTICAMENTE PRESENTADO EN SU CONFERENCIA EN EL CONGRESO DEL CCPS DE AGOSTO 2011 EN BUENOS AIRES Y EN EL WEBINAR EN ESPAOL QUE DICT EN OCTUBRE DEL 2008. EL ING. ROBERTO FERNNDEZ BLANCO SEALA LA IMPORTANCIA DE INCORPORAR ESTA GRFICA EN LA PRCTICA DE LA PROTECCIN DE PROCESOS INDUSTRIALES PARA GARANTIZAR UNA DEBIDA REDUCCIN DE LOS RIESGOS. * ADVERTENCIA: ESTE ARTCULO HA SIDO REALIZADO PARA SU EXPOSICIN EN WEBINAR Y CONGRESOS DEL CCPS POR LO QUE NO EST PERMITIDA SU REPRODUCCIN -EN PARTE O EN TODO- SIN LA PREVIA AUTORIZACIN DEL CCPS O DEL AUTOR. TODA DIFUSIN O REFERENCIA A ESTE ARTCULO DEBER SER HECHA MENCIONNDOLO COMO DOCUMENTO DEL CCPS Y MENCIONANDO A SU AUTOR.
1- INTRODUCCIN. Conocer el origen y pleno significado del concepto SIL (Safety Integrity Level), su naturaleza, esencia y contenido, ha sido un persistente anhelo por parte de quienes necesitan aplicar la ciencia del Process Safety. En este artculo el Ing. Roberto Fernndez Blanco, clarifica -con lenguaje sencillo- el alcance de este concepto y muestra los beneficios del Grfico de Categoras SIL / RRF que dise en el ao 2005 en sustitucin de las ambas tablas convencionales SIL (la de procesos de Baja Demanda y la de procesos de Demanda Alta y Continua). Este Grfico SIL / RRF ha sido internacionalmente presentado por el autor a travs del AIChE en el primer webinar en espaol en Octubre del 2008 y recientemente en el
ING. ROBERTO FERNNDEZ BLANCO. LEY 11723
Pag. 2 de 25
3er Congreso AIChE-CCPS Latino Americano sobre Process Safety realizado en Buenos Aires en Agosto del 2011.
1 ao = 8760 horas pero se usa 1 ao aprox.=10.000 hs (10-4 )
GRFICO DE CATEGORAS SIL / RRF

10-6 Grupo SIL2 10-7 Grupo SIL3 10-8 Grupo SIL4 10-9
PFD por hora
10-5 Grupo SIL1
Modo de Operacin de Alta o Continua Demanda
Modo de Operacin de Baja Demanda

por DEM AND A
Disco de 10 Casilleros
100 Casilleros
1.000 Casilleros
10.000 Casilleros
100K Casill
PFD
1/10 10-1 Grupo SIL1
1/100 10-2 Grupo SIL2 102 100
1/1.000 10-3 Grupo SIL3 103 1.000
1/100.000 1/10.000 10-5 10-4 Grupo SIL4
RRF
(CASILLER OS DE LOS DISCOS)
101 10
104 10.000
100.000
Juan Roberto Fernndez Blanco. Hecho el depsito que marca la Ley 11723.
Ao 2005* Ing. Roberto Fernndez Blanco
2- PROCESS SAFETY MANAGEMENT (PSM). Pocos aos atrs la ciencia del Process Safety se incorpor en la vida industrial con la fuerza y contundencia de un huracn. Y con ella se introdujo el concepto SIL que produjo -en Gerentes y Jefes de Departamento- la conturbadora e incmoda sensacin de ser un concepto difcil de comprender. Rigurosas medidas de Prevencin y Proteccin son necesarias para Reducir -por debajo de los niveles considerados tolerables por la comunidad- los Riesgos derivados de los Peligros Inherentes (HAZARDS) que residen en los procesos industriales. Se trata de salvaguardar la salud e integridad de las personas, del medio ambiente, de los bienes de produccin y de la continuidad productiva de la planta. Este compromiso tico y social obliga a la Empresa a contar con un capacitado cuadro gerencial que privilegie la seguridad incorporando los ms avanzados criterios de Anlisis y Cuantificacin de los Riesgos, estableciendo los Criterios de Riesgo Tolerable e imponiendo, en todos los cuadros y niveles tcnicos y gerenciales de la planta, una cultura altamente responsable para la implementacin y preservacin de un sustentable nivel de seguridad del proceso productivo bajo la figura del Process Safety Management. 3- CONCEPTOS BSICOS. a)- Un Proceso es considerado Riesgoso cuando contiene peligros residentes (HAZARDS) con capacidad potencial de provocar daos. (Por ej. un material inflamable o txico), equivalentes a tener un feroz tigre enjaulado cuya jaula nos protege de su ataque y daos consecuentes.
Pag. 3 de 25
b)-Se denomina EVENTO INICIADOR a un acontecimiento que libera al tigre (abriendo la puerta de su jaula) generando un INCIDENTE que nos expone a la peligrosidad de daos del tigre. En ingls esta condicin se denomina Danger (quedar expuestos al potencial de daos del tigre, peligro inherente o HAZARD) siendo muy representativa la frase en ingls que dice: A Hazard is a source of Danger. c)- La posibilidad de que el tigre escape de su jaula se mide bajo la figura de PROBABILIDAD. (Por ej. La probabilidad de que un golpe sobre la traba de la jaula -Evento Iniciador- abra su puerta liberando al tigre). d)- Una vez engendrado el Incidente, este se desarrollar y escalar hasta su Culminacin o Desenlace (Incident Outcome) provocando CONSECUENCIAS dainas y destructivas de diversa Intensidad, Severidad o Magnitud.
TIGRE ENJAULADO = PELIGRO CONFINADO CONDICIN SEGURA ! TIGRE SUELTO = PELIGRO EXPUESTO CONDICIN DE RIESGO !!!
HAZARD !!
N IDE I NC
TE !
EVENTO INICIADOR
CONSECUENCIAS? CONDICIN SEGURA!! SAFE CONDITION !!

A HAZARD IS A SOURCE OF DANGER
DANGEROUS SITUATION !!
EXPUESTOS A SUFRIR LAS CONSECUENCIAS DEL POTENCIAL DE DAO DEL HAZARD
HAZARD PELIGRO CONFINADO
DANGER PELIGRO EXPUESTO
HAZARDS
EVENTO INICIADOR
INCIDENTE
CONSECUENCIAS
HAZARD CONTENIDO EN EL PROCESO. -CONDICIN OPERATIVA SEGURA(TIGRE ENJAULADO)
DANGER UN EVENTO GENER UN INCIDENTE QUE LIBER LAS ENERGAS DESTRUCTIVAS DEL HAZARD
(SE ESCAP EL TIGRE)
Juan Roberto Fernndez Blanco. Hecho el depsito que marca la Ley 11723
e)- El Riesgo puede reducirse disminuyendo la Capacidad Potencial de Dao del Hazard (esto es, reduciendo su nivel de Consecuencias) y/o disminuyendo la
Pag. 4 de 25
Probabilidad de que se inicie y se propague el Incidente que libera sus fuerzas destructivas. f)- De haberse engendrado el Incidente solo queda el tratar de abortarlo a la brevedad posible, para impedir su desarrollo, escalamiento, expansin y desenlace. g)- El Riesgo queda as definido como un indeseado pero posible acontecimiento daino al que tememos por la Probabilidad de que se produzca y por la Severidad o Intensidad de sus Consecuencias. Cuantitativamente representaremos el RIESGO bajo la figura del producto vectorial PROBABILIDAD X CONSECUENCIA.
RIESGO
R= C X P
RIESGO INHERENTE DEL ESPECFICO HAZARD
CONSECUENCIA DEL ESPECFICO INCIDENTE
C
INTENSIDAD de la CONSECUENCIA
PROBABILIDAD DEL ESPECFICO INCIDENTE
P
PROBABILIDAD de la CONSECUENCIA
GRFICO DE RIES GO de un Especfico HAZARD
h)- Para que este grfico adquiera sentido es necesario establecer un criterio de referencia (Nivel de Riesgo Tolerable) que permita evaluarlo como alto, bajo, mediano y principalmente- como aceptable / tolerable o como inaceptable / intolerable. Ese Riesgo Tolerable de referencia lo representaremos como un plano que no deber ser superado por el vector Riesgo para que el Riesgo sea aceptable. i)- El anlisis o evaluacin de los diferentes niveles de riesgos lo haremos trazando un reticulado matricial en el plano base (plano C-P) que podr subdividirse en tantas filas y columnas como deseemos en tanto podamos distinguir unas de otras de manera Cualitativa (subjetiva) o Cuantitativa (objetiva).
Pag. 5 de 25
RIESGO
R= C XP
RIESGO INHERENTE DEL ESPECFICO HAZARD PLANO DE NIVEL DE RIESGO TOLERABLE
RIESGO SUPERIOR AL TOLERABLE
RIESGO POR ENCIMA DEL TOLERABLE CONSECUENCIA DEL ESPECFICO INCIDENTE
I A B PROBABILIDAD DEL ESPECFICO INCIDENTE C D
II
III
IV
C
INTENSIDAD de la CONSECUENCIA
P
GRFICO DE RIESGO con plano de nivel del RIESGO TOLERABLE
RIES GO R
E BL IA L 0k A 0 kREC 0 1 30 GIN U$ DESP U$MAR
k 0 60 I CA $ T U R C
A FI C 0 k R 0 T 1,2 AS U$ CAT
I BAJO
II MEDIO
III MEDIO
IV SERIO
C
INTENSIDAD DE LA CONSECUENCIA
IMPROBABLE A
1/100/ao
REMOTA
B 1/50/ao C 1/10/ao D 1/2/ao
BAJO
MEDIO
MEDIO
SERIO
OCASIONAL
BAJO
MEDIO
SERIO
ALTO
LNEA O FRONTERA DE RIESGO TOLERABLE
PROBABLE
MEDIO
SERIO
ALTO
ALTO
FRECUENTE
E 1//ao
MEDIO
SERIO
ALTO
ALTO
P
PROBABILIDAD PLANO BASE C-P DEL GRFICO DE RIESGO DE TRES DIMENSIONES CON MAGNITUDES CUALI TATIVAS Y CUANTITATIVAS
j)- El Riesgo del especfico Hazard que estemos considerando puede reducirse mediante un rediseo Ms Inherentemente Seguro del proceso (Ver Inherently Safer Chemical Processes-CCPS), reduciendo la Intensidad de las Consecuencias y/o la Probabilidad de que el Incidente se desarrolle y prospere. k)- Si luego de haber hecho el proceso Ms Inherentemente Seguro, el Riesgo Inherente an contina siendo mayor al Tolerable y deseamos adems- abortarlo dentro de los lmites del proceso, deberemos Reducir la Probabilidad de que el Incidente se engendre y prospere. Para lograrlo se hace necesario recurrir a la instalacin de sucesivas trincheras defensivas (tal como se defiende una fortaleza de un ataque enemigo) conocidas como Plataformas de Proteccin. l)- Puesto que el ataque (Incidente) hacia la comunidad se engendra, nace y prospera desde el tero del proceso (liberacin del tigre), las trincheras o barreras defensivas se suceden a partir de dicho tero, tal como lo exhibe la figura siguiente.
Pag. 6 de 25
PLAN DE EMERGENCIA Y EVACUACIN COMUNITARIA
SUCESIN DE TRINCHERAS DEFENSIVAS
PLAN DE EMERGENCIA Y EVACUACIN DE PLANTA PROTECCIONES POST DESBORDE (DIQUES, SISTEMAS DE MITIGACIN) PROTECCIONES FSICAS, COMPONENTES DE ALIVIO PLATAFORMAS DE PROTECCIN SIF-FUNCIONES INSTRUMENTADAS ALARMAS Y MONITOREO CON INTERVENCIN DEL OPERADOR
ATENUACIN, MITIGACIN. EL INCIDENTE SUPER LOS LMITES DEL PROCESO
LMITE DEL PROCESO
LMITE DEL PROCESO PREVENCIN, PROTECCIN. ABORTO Y CONTENCIN DEL INCIDENTE DENTRO DEL PROCESO
TRINCHERA
SIF
SISTEMA BSICO DE CONTROL CON PFD 1/10 (???) INTENTAR DISEO MS INHERENTEMENTE SEGURO ANLISIS DEL PROCESO, PELIGROS Y RIESGOS
SUCESIN DE TRINCHERAS DEFENSIVAS
m)- Haremos el anlisis de una especfica trinchera defensiva, la de la Plataforma de Proteccin integrada por una Funcin Instrumentada de Seguridad (SIF) implementada para la proteccin de un Horno, Caldera o calefn domiciliario, frente a la prdida de llama en el quemador. Este Incidente de la prdida de llama hace que el hogar del Horno o Caldera se empiece a llenar con una mezcla explosiva de inflamable (Gas Natural, por ejemplo) y aire, Incidente que debe ser abortado muy rpidamente. Para esto se instala una SIF protectora integrada por tres componentes o eslabones: un Detector de Llama vinculado en serie a un Controlador de Seguridad (Safety Controller) y este en serie con una Vlvula Shut Off para bloqueo del Gas con cierre hermtico.
PFD - PROBABILIDAD DE FALLAR ANTE UNA DEMANDA DE PROTECCIN
(ESTA FALLA ES
DANGER PUES LA SIF DEJA DE PROVEER LA PROTECCIN DEMANDADA) PFD de la SIF= ???
GAS AL QUEMADOR
PFD = 1/250
FLAME OUT, SE APAG LA LLAMA
SIF
VLVULA DE BLOQUEO DE GAS DETECTOR DE LLAMA SAFETY CONTROLLER
QUEMADOR
FUEL GAS
SUCESIN DE DEMANDAS DE PROTECCIN
SIF -
SAFETY I NSTRUMENTED FUNCTION - POR FALLA DE LLAMA
ING. R OBERTO FERN AND EZ BLANCO. LEY 11723
n)- Cada vez que se pierde la llama del quemador (Incidente), el proceso enva una seal de demanda de proteccin al Detector de Llama. Este detecta la prdida de la
Pag. 7 de 25
llama y enva una demanda al Safety Controller, el que -a su vez- enva una demanda a la Vlvula de Shut Off para ordenarle que cierre el ingreso de Gas al quemador. Si en alguna de estas sucesivas demandas de proteccin alguno de los eslabones falla y deja de cumplir su funcin, la vlvula no se cerrar, no habr proteccin, el Gas seguir alimentando el Hogar y el Incidente prosperar hasta su Culminacin catastrfica (Explosin). o)- Es aqu donde se hace importante el nivel de confiabilidad e integridad del equipamiento que integra el lazo protector SIF medido a travs de su Probabilidad de Fallar ante la Demanda (PFD) de proteccin. En nuestra figura hemos considerado que dicha PFD es igual a PFD=1/250 (valor ficticio a ttulo de ejemplo), lo que significa -en promedio- que por cada 250 veces que la llama se apaga (y que el proceso demanda proteccin), la funcin SIF ejecutar correctamente su accin protectora en todas ellas excepto en una. Esto es: 1 falla de proteccin en (o por cada) 250 demandas. p)- En sntesis, el proceso tiene una probabilidad de perder la llama que le es propia e inherente y a esa probabilidad (como veremos ms adelante) se le agrega la probabilidad PFD de que falle el lazo protector SIF. De darse ambas circunstancias el Incidente engendrado no se podr abortar por lo que prosperar hasta su culminacin catastrfica. 4- HAZARD, INCIDENTE y SIF. Cada Hazard residente en un proceso, como as tambin el posible Incidente que es capaz de generar, son propios e inherentes de la naturaleza de dicho proceso. Por igual motivo la Frecuencia promedio (o reiteracin promedio de la Probabilidad) de gestacin del especfico Incidente es tambin una caracterstica propia y especfica del mismo y de la forma en que es operado. La figura ms representativa y explicativa resulta de considerar al proceso como un tero en el que uno de sus Hazards es fecundado por un Evento Iniciador que da lugar a la gestacin de un especfico Incidente que se desarrollar, escalar y propagar -segn su inherente potencialidad- hasta su Culminacin, provocando Consecuencias de diversa Intensidad o Severidad. Esta caracterstica propia de la naturaleza de cada proceso solo puede mejorarse mediante una modificacin de su diseo bsico, hacindolo Ms Inherentemente Seguro (Ver Inherently Safer Chemical Processes publicado por el CCPS). La inclusin de la funcin protectora SIF no modifica la naturaleza del proceso ni la de sus Hazards ni la frecuencia de gestacin del respectivo Incidente. La SIF tan solo se limita a detectar el embarazo del Hazard que da inicio a la gestacin del Incidente y a ejecutar la inmediata accin abortiva. Pero el lazo SIF no es un ente absolutamente perfecto. Puede fallar en su accin abortiva permitiendo que el Incidente prospere hasta su Culminacin y provoque sus dainas y destructivas Consecuencias.
Pag. 8 de 25
De aqu la importancia de instalar un lazo SIF de apropiados niveles de Confiabilidad e Integridad, acordes con la peligrosidad del Hazard y del nivel de Riesgo del especfico Incidente. Se entiende como Confiabilidad al ejercicio apropiado de las acciones para las que la SIF fue instalada y se entiende como Integridad a su resistencia, fortaleza y entereza para no claudicar en su accin protectora, ejecutndola en tiempo y forma. 5- ANLISIS DE LA PROBABILIDAD. Para este anlisis utilizaremos los siguientes elementos:
TNT
TNT
T TN
MONEDA, DADOS Y DISCOS DE PROBABILIDAD

Ing. Roberto Fernndez Blanco. Ley 11723
La pequea bomba con su mecha encendida, simbolizando el inicio y propagacin del Incidente, donde su volumen da una idea de la Intensidad de las Consecuencias (en caso de llegar el Incidente a su culminacin) y el largo de la mecha es indicativo del tiempo disponible para intentar abortar el Incidente. La llamarada representando el hecho catastrfico. La moneda para apostar a cara o cruz. El Dado convencional de seis caras con la bombita dibujada en la cara correspondiente al nmero 1 (indicativo de que el Incidente se inici y viaja hacia su culminacin destructiva o de que la SIF fall y no podr abortar el Incidente). El Dado de 18 o 24 caras, tambin con la bombita dibujada en la cara correspondiente al nmero 1. Y los Discos de Probabilidad que nos permiten operar con diferentes contenidos de casilleros, donde el correspondiente al nmero 1 tiene incorporada la llamita (en reemplazo de la bombita) indicando que si nos toca el nmero 1 el Incidente no se ha podido abortar y sufriremos las Consecuencias. Hagamos ahora algunos anlisis de probabilidades haciendo que nuestro conocido y distinguido miembro del CCPS, Pedro H. Skill, nos lo explique jugando a la ruleta rusa. Para dar claridad al concepto PFD (Probabilidad de Falla ante una Demanda) haremos que durante el juego la sigla PFD signifique Probabilidad de Fallecer con el Disparo
Pag. 9 de 25
(o Probability to Finish Dead) y que la probabilidad quede expresada en forma de fraccin. En todos los casos Pedrito est obligado a disparar el arma.
. DR.ING ILL K O H. S R D E P
{ PFD - PROBABILITY TO F AIL ON DEMAND }
LA PISTOLA EST CARGADA. PEDRO EST LIQUIDADO!
100%
PFD = 1/1
PROBABILIDAD DE FALLECER CON EL DISPARO
PROBABILITY TO FINISH DEAD
En esta figura, con una nica pistola cargada con una bala en la recmara, la Probabilidad de Pedro de Fallecer con el Disparo es absoluta (100%), esto es PFD= 1/1. En la figura de abajo (dividida en dos partes) Pedrito juega en la primera (la de la izquierda) con dos pistolas, una cargada y la otra sin bala. l debe decidir (a cara o cruz) cual de ellas gatilla. En esta escena su Probabilidad de Fallecer con el Disparo es de PFD= 1/2 (Uno de dos).
UNA DE LAS DOS PISTOLAS EST CARGADA. LA OTRA EST VACA. USTED ELIGE! (A CARA O CRUZ)
Ruleta Rusa: PFD = 1/6
PFD = 1/2
(El Revolver tiene 6 alojamientos por lo que es equiparable a un dado de 6 caras)
PFD = 1/6
FIGURA 6
En la parte derecha de la figura Pedrito juega con un revolver, esto es, con un arma de tambor rotativo de seis alojamientos con una nica bala cargada.
Pag. 10 de 25
Su PFD es equivalente a la cada cara arriba del 1 (el de la bombita) de un dado convencional de seis caras, esto es, PFD= 1/6. Atento a esta lgica y tratando de preservar su mayor chance de continuar con vida en este juego de ruleta rusa, Pedrito decide fabricarse su propio revolver (ver figura) con
Ruleta Rusa: PFD = 1/100
PFD = 1/100
un tambor de 100 alojamientos (cargado con una nica bala), bajando as su Probabilidad de Fallecer con el Disparo a PFD= 1/100 (equivalente a jugar con el adjunto Disco de Probabilidad de 100 casilleros con la llamita sobre el nmero 1). 6- RULETA RUSA EN DOS ETAPAS. Ahora realizaremos el juego de la ruleta rusa en dos etapas (ver figura), enfoque que ser el que aplicaremos en la proteccin de procesos. En la primera etapa Pedrito deber disparar al aire con un revolver con tambor convencional de seis alojamientos cargado con una nica bala. En el caso de que el disparo se produzca (Probabilidad PFD= 1/6) Pedrito deber ejecutar la segunda etapa, que consiste en apretar sobre su cabeza el gatillo del revolver de 100 alojamientos con una nica bala. Puesto que para Fallecer con el Disparo deben darse ambas condiciones, la Probabilidad resultante estar dada por el producto de ambas, PFD= 1/6 x 1/100 = 1/600.
Pag. 11 de 25
ETAPA 1 ETAPA 2
PFD = 1/6
PFD = 1/100
PFD RESULTANTE = 1/6 X 1/100 = 1/600 REDUCCIN DEL RIESGO DE 1/6 A 1/600 RRF = 100
PFD=1/600
Esta manera de jugar llev la Probabilidad de Pedrito de Fallecer con el Disparo, de PFD=1/6 a PFD=1/600, esto es, con una Reduccin del Riesgo de 1 en 6 a 1 en 600, con un obvio Factor de Reduccin del Riesgo (RRF Risk Reduction Factor) igual a 100 (Ver figura). Este factor RRF est representado por el Disco de Probabilidad de 100 casilleros, representativo del revolver de 100 alojamientos de la segunda etapa. 7- PROTECCIN DEL PROCESO POR REDUCCIN DE LA PROBABILIDAD. Tal como lo anticipamos en el punto 3-k, si el Riesgo Inherente del proceso (ya reducido mediante otras Plataformas de Proteccin) contina superando el Nivel Tolerable, solo nos queda la posibilidad de reducir la Probabilidad de que el Incidente prospere mediante la incorporacin de un Lazo Protector denominado SIF, Safety Instrumented Function, del estilo del analizado en el punto 3-m. Analicemos el caso de una Caldera de un quemador.
Chimenea
TIEMPO PARA ABORTARLO
INICIO DEL INCIDENTE

GASES
HAZARD EN CALDERA POR PRDIDA DE LLAMA
Pag. 12 de 25
Y empecemos averiguando cual es la Frecuencia (esto es, la Probabilidad reiterada en un proceso continuo) de apagado o prdida de la llama en el quemador. Los registros estadsticos nos confirman (valores ficticios a efectos de la explicacin) que en este tipo de Caldera la llama tiende a perderse (en promedio) con una Probabilidad de Falla de Llama de 1/6/mes (PFL= 1/6/mes). Aqu cabe hacer una muy importante aclaracin. PFD= 1/6/mes significa que por cada mes, de cada seis calderas iguales de este tipo en operacin continua en la planta, una de ellas se quedar sin llama. Esto se entiende mejor cuando uno dice que la tasa de fallecimiento Anual, en una determinada ciudad, por accidentes de trnsito, es de una persona por cada 100.000 habitantes. Esto se escribe como 1/100.000/ao y no significa que haya un fallecimiento cada 100.000 aos. Y cuando uno lee como Tasa de fallecimientos 10 /ao, uno debe entender 1/100.000/ao, o sea un fallecido por cada cien mil personas por ao detallando adems el especfico Incidente al que se refiere y su rea de aplicacin especfica (por ej. Tasa de fallecimientos por accidentes de trnsito por ao en la ciudad analizada). A los efectos de nuestro anlisis industrial aceptemos que la empresa dispone de una nica Caldera. Por lo tanto la tasa de apagado indeseado de la llama del quemador de 1/6/mes est representada por un dado de seis caras con la bomba sobre el nmero 1. Esto implica que deberemos hacer rodar el dado una vez por mes y que cada vez que caiga cara arriba la bombita significar que el quemador se ha quedado sin llama dando inicio al incidente. Haciendo rodar este dado de seis caras una vez por mes, la Probabilidad promedio (considerando perodos largos) de que la bombita quede cara arriba ser de una vez cada seis rodadas del dado, o sea, una vez cada seis meses representativo de un apagado indeseado de llama cada 6 meses. Cuando Pedrito analiza esta circunstancia deduce que al tener la Caldera una falla de llama cada 6 meses tendr dos apagados por ao, esto es, dos Incidentes por ao que tendern a culminar en explosin y destruccin de dos Calderas por ao, con adems- posibles graves daos sobre el personal operativo.
-5
Pag. 13 de 25
ADVERTENCIA: LOS VALORES AQU INDICADOS SON ABSOLUTAMENTE FICTICIOS
PFL = 1/6/mes ES ACEPT ABLE EL RIESGO DE EXPLOSIN Y DESTRUCCIN DE UNA CALDERA CADA 6 MESES POR ESTA FRECUENCIA DE APAGADO DE LLAMA?
HAZ ARD
Probabilidad de Falla de Llama- PFL =1/6/mes

1 FALLA DE LLAMA CADA 6 MESES
NO,
NO ES ACEPTABLE
REDUCCIN DE PROBABILIDAD DEL RIESGO POR SIF DE PROTECCIN

Juan Roberto Fern ndez Blanco. Hecho el depsito que marca la Ley 11723.
Evidentemente correr el Riesgo de destruir dos calderas por ao con -adems- los consecuentes daos sobre las personas y sobre la continuidad operativa de la planta, es absolutamente inaceptable. La gran pregunta es entonces Cul es el Nivel de Riesgo Tolerable? Y esa respuesta debe ser dada por algn ente responsable: la Gerencia Operativa de la Planta, la Empresa, el Estado mediante Ley, Decretos o Reglamentos, los Organismos tcnicos con jurisdiccin sobre estos temas, las empresas Aseguradoras de Riesgos, y/o etc. Y para que Pedrito pueda completar su tarea de mejorar la proteccin de la Caldera reduciendo la Probabilidad (o Frecuencia) de que el Incidente provoque daos, Pedrito deber recibir una confirmacin formal, escrita y oficial respaldada por el ms alto nivel de la empresa fijndole el mximo nivel de Riesgo Tolerable por la Empresa (en este caso, fijndole el mximo nivel permitido de Probabilidad de que ese especfico Incidente pueda propagarse hasta su culminacin catastrfica). Aceptemos como ejemplo que la empresa le impone a Pedrito un mximo nivel de Probabilidad Tolerable de 1/1440/mes, esto es, una probabilidad promedio de una caldera entre 1440 calderas- sufriendo cada mes el apagado indeseado de su llama. Si no se cuenta con 1440 calderas en la planta (hecho casi obvio) y solo se cuenta con una nica caldera, entonces se aceptar -como probabilidad promedio- un apagado de llama dentro de cada lapso de 1440 meses (equivalente a 1 apagado promedio cada 120 aos).
Pag. 14 de 25
Nivel de Probabilidad Tolerable por la Empresa
PT=1/1440/mes (1/120/ao)
Disco de 1440 casilleros
HAZ ARD
+

A ese bajo valor de 1/1440/mes (o menor) deber Pedrito reducir la Probabilidad de que el Incidente (Prdida de Llama) pueda dar lugar a la formacin de una creciente nube inflamable de Gas-Aire que prosperar hasta explotar. Para prevenirlo deber incorporar una trinchera defensiva SIF que aborte el Incidente en tiempo y forma. Con aquellos dos valores, el de la frecuencia de prdida de llama (1/6/mes) en la Caldera y el de la probabilidad mxima tolerable (1/1440/mes), Pedro puede calcular la Integridad (fortaleza para no claudicar en su accin protectora) de la funcin SIF a ser incorporada a la caldera para abortar el Incidente por Prdida de Llama y as reducir de 1/6/mes a 1/1440/mes (o menor) la Probabilidad de que dicho Incidente pueda desarrollarse y avanzar hasta su Culminacin destructiva (explosin en el Hogar). Para esta proteccin por prdida de Llama Pedro incorpora la funcin SIF analizada en el punto 3-m, la que tiene una Integridad de PFD=1/250 (una nica falla probable por cada 250 pedidos de proteccin).
Pag. 15 de 25
Lazo de Proteccin SIF por Apagado de Llama Fuel
Nivel de Probabilidad Tolerable por la Empresa
PT=1/1440/mes
HAZ ARD
Sensor Safety Vlvula De Llama PLC Shut Off
+
(SIF)
PFD = 1/250
RRF=250
Dado de 250 caras o disco de 250 casilleros
del Incidente en la = Probabilidad Caldera con SIF incluida
P=1/6x 1/250= 1/1500/mes
P=1/1500/mes < <P T=1/1440/mes

!! Proteccin Correcta

Esta SIF con PFD=1/250 (RRF=250, representado por el Disco de Probabilidad de Falla en Demanda de 250 casilleros segn lo analizado en el punto 5-) reduce la Probabilidad original de 1/6/mes de que el Incidente prospere hasta su culminacin catastrfica, a un nuevo valor PFD-Total Resultante dado por el producto 1/6/mes x 1/250= 1/1500/mes, valor inferior al 1/1440/mes exigido por el Directorio de la Empresa. La importante conclusin que se obtiene de este anlisis es el papel relevante y determinante que juega el Disco de Probabilidad de Falla en Demanda que representa la Integridad de la funcin SIF. El nmero de casilleros del Disco de Probabilidad de Falla en Demanda que introduce la funcin protectora SIF representa el RRF (Risk Reduction Factor). Con un Disco de menor nmero de casilleros que el requerido RRF no se logra el nivel de proteccin exigido. La debida, o una mayor, proteccin solo se logra con una funcin SIF representada por un Disco de Probabilidad con un nmero de casilleros igual o mayor a los 250 requeridos (esto es, igual o mayor RRF). El grfico de coordenadas que muestra esta Reduccin del Riesgo es el siguiente:
Pag. 16 de 25
RIESGO
R= C XP
RIESGO INHERENTE DEL ESPECFICO HAZARD =CX
1/6/me s
PLANO DE NIVEL DE RIESGO TOLERABLE ESTABLECIDO POR LA EMPRESA.
RT = C X 1/1440/me s
RIESGO REDUCIDO POR PROBABILIDAD = C X 1/1500/me s

INTENSIDAD C DEL ESPECFICO INCIDENTE INTENSIDAD de la CONSECUENCIA
C
PROBABILIDAD REDUCIDA a 1/1500/mes
PROBABILIDAD INHERENTE DEL ESPECFICO INCIDENTE REDUCCIN DE PROBABILIDAD
1/6/mes
P
RRF=250 GRFICO DE RIES GO con plano de nivel del RIES GO TOLERABLE
FACTOR DE REDUCCIN DEL RIESGO
8- EL INEFABLE SIL. Habindose calculado la necesaria Reduccin del Riesgo mediante la determinacin del RRF o de la PFD requerida para la SIF de proteccin, las tablas SIL convencionales determinan el Nivel SIL que corresponde a esta aplicacin.
SAFETY INTEGRITY LEVEL (SIL) PARA MODO DE OPERACIN POR BAJA DEMANDA
SAFETY INTEGRI TY LEVEL (PFD) PROBABILIDAD DE FALLA POR DEMANDA
PFD = 1/250
(RRF) FACTOR DE REDUCCIN DEL RIESGO
SIL#1
1/10 a 1/100 1/100 a 1/1,000 1/1,000 a 1/10,000 1/10,000 a 1/100,000
10 a 100 100 a 1,000 1,000 a 10,000 10,000 a 100,000
Y?
SIL#2 SIL#3 SIL#4
SAFETY INTEGRITY LEVEL ( SIL) PARA MODO DE OPERACIN POR ALTA O CONTINUA DEMANDA
SAFETY INTEGRI TY LEVEL FRECUENCIA DE FALLA PELIGROSA por HORA
SIL#1 SIL#2 SIL#3 SIL#4
1/100,000 a 1/1,000,000 1/1,000,000 a 1/10,000,000 1/10,000,000 a 1/100,000,000 1/100,000,000 a 1/1,000,000,000
(10E-5 a 10E-6) (10E-6 a 10E-7) (10E-7 a 10E-8) (10E-8 a 10E-9)
TABLA CONVENTIONAL DE CATEGORAS SIL
Pero estas tablas se limitan a imponer su uso sistemtico sin que queden aclarados el concepto, la esencia y el contenido del Inefable SIL. Por este motivo en el ao 2005 opt por dar de baja estas tablas convencionales y sustituirlas diseando un nuevo Grfico SIL/RRF cuya construccin devela el misterio del Inefable SIL. Para disear este nuevo Grfico utilic directamente lo que es necesario para el proceso, esto es, el RRF (Factor de Reduccin del Riesgo) representado por un Disco de Probabilidad con un nmero de casilleros igual al necesario nmero RRF.
Pag. 17 de 25
Y, como si se tratara de aquellos antiguos discos musicales de vinilo de 33rpm (ver figura), arm una pila o rimero empezando por un primer disco de pocos casilleros (10 casilleros equivalente a un RRF= 10) y agregando todos los subsiguientes discos con casilleros crecientes de a un (1) casillero de diferencia, esto es, el disco de 10 casilleros, luego el de 11, siguiendo el de 12, 13,98,520, 521,... 1000, 1001, 3950 casilleros, etc. Luego pas un cao de metal (como eje) por el centro de esa pila de discos y la puse en posicin horizontal. Puesto que dibujarlos a todos mirndolos desde el costado hubiera significado realizar una larga y confusa sucesin de rayas verticales que nada permitiran distinguir, dibuj unos pocos utilizndolos como fronteras de franjas o grupos de discos. As empec por dibujar el primer disco de 10 casilleros (que deber estar seguido por los discos de 11, 12, 13,.. etc. casilleros, no representados en el dibujo). 1 Ese primer disco corresponde a un RRF=10, o lo que es igual, RRF= 10 . 2 Siguiendo con este criterio dibuj luego el disco de 100 casilleros (RRF=100=10 ) como frontera de un segundo grupo, seguido de los discos (no dibujados) de 101, 102, 103, etc. de casilleros. Igualmente dibuj la frontera del tercer grupo incluyendo el disco de 1000 casilleros 3 (RRF=1000 = 10 ). Este tercer grupo termina en la frontera del disco de 10.000 casilleros (RRF=10000= 4 10 ) con el cual empieza y contina el cuarto grupo de discos de 10000, 10001, 10002, etc. de casilleros).
GRFICO DE CATEGORAS PDF / RRF
SIF
PFD
100 Casilleros
1.000 Casilleros
10.000 Casilleros
100K Casill
POR D EM AND A
PFD
1/10 10-1 Grupo 1 101 10
1/100 10-2 Grupo 2 102 100
1/1.000 10-3 Grupo 3 103 1.000
1/10.000 10-4 Grupo 4 104 10.000
1/100.000 10-5
RRF
(CASILLEROS DE LAS RUEDAS)
100.000
GRFICO SIL/RRF
En la parte superior de este Grfico en gestacin incluyo transitoriamente una especie de carrito montado sobre rieles imaginarios, en el cual viaja (figuradamente) la funcin SIF para ir a buscar el Disco de Probabilidad que representa el RRF que le exige el especfico Hazard del proceso para poder reducir -por debajo del Nivel Tolerable establecido por la empresa- la probabilidad resultante de que el Incidente pueda prosperar hasta su culminacin, reduciendo con ello el Riesgo.
Pag. 18 de 25
Este (an en estado de prototipo) Grfico SIL/RRF muestra los Discos frontera de cada uno de los cuatro grupos de Discos de Probabilidad. Y para facilitar la comprensin de cmo opera el Grfico lo podemos asimilar a aquellos antiguos aparatos musicales automticos que existan en los bares de antao, aquellos en los que uno seleccionaba el disco deseado y el aparato lo extraa automticamente de una pila para transferirlo a un plato rotativo.
GRUPO 1
GRUPO 2
GRUPO 3
GRUPO 4
RRF = 250
Puesto que la necesidad de proteccin de nuestra caldera requiere un Disco de RRF= 250 casilleros, pulsamos el botn RRF=250 en el Grupo 2 de discos y el aparato extrae automticamente el disco de 250 casilleros para instalarlo en la SIF y conferirle la capacidad de Reducir el Riesgo con un Factor RRF=250. (Obviamente esta comparacin tiene carcter puramente metafrico dado que el equipamiento que integra el lazo SIF el fabricante lo provee diseado de fbrica con esa capacidad de Reduccin del Riesgo). El grfico de abajo nos muestra el momento en que la SIF engancha el Disco de Probabilidad de 250 casilleros (RRF=250).
GRFICO DE CATEGORAS PDF / RRF
SIF
PFD
100 Casilleros
1.000 Casilleros
10.000 Casilleros
100K Casill
POR D EM AND A
PFD
1/10 10-1 Grupo 1 101 10
1/100 10-2 PFD=1/250 Grupo 2 102 100

250
1/1.000 10-3 Grupo 3 103 1.000
1/10.000 10-4 Grupo 4 104 10.000
1/100.000 10-5
RRF
(CASILLEROS DE LOS DISCOS)
100.000
GRFICO SIL/RRF
Pag. 19 de 25
Y finalmente, incluyo a continuacin el completo y nuevo Grfico SIL/RRF que en el ao 2005 propuse en sustitucin de las Tablas SIL convencionales.
1 ao = 8760 horas pero se usa 1 ao aprox.=10.000 hs (10-4 )

PFD por hora 10-5 Grupo SIL1
Modo de Operacin de Alta o Continua Demanda
Modo de Operacin de Baja Demanda

por DEM AND A
100 Casilleros
1.000 Casilleros
10.000 Casilleros
100K Casill
PFD
1/100 10-2 Grupo SIL2 102 100
1/1.000 10-3 Grupo SIL3 103 1.000
1/100.000 1/10.000 10-5 10-4 Grupo SIL4
RRF
(CASILLER OS DE LOS DISCOS)
101 10
104 10.000
100.000
Los beneficios de este Grfico son varios: I- Pone en evidencia que cada Nivel SIL representa un grupo o conjunto de Discos de Probabilidad o de factores RRF. II- Incluye -en un solo Grfico- lo que antes requera dos Tablas convencionales, esto es, incluye (en la mitad inferior del Grfico) los SIL/RRF para procesos con Modo de Operacin de Baja Demanda y en la mitad superior incluye los SIL/RRF para procesos con Modo de Operacin de Demanda Alta o Continua. III- Permite ver claramente si se est incorporando el lazo SIF que realmente produce la requerida Reduccin del Riesgo. Analizaremos estos beneficios con dos ejemplos, recordando que para proteger adecuadamente un proceso es necesario reducir el Riesgo especfico de cada uno de sus Hazards por debajo del Riesgo Tolerable. De no poder lograrse mediante un diseo del proceso que lo haga Ms Inherentemente Seguro, se hace necesario aadir una (o ms) trinchera(s) defensiva(s) (Plataformas de Proteccin) que incorpore el adecuado (o uno mayor) Factor RRF de Reduccin del componente Probabilidad del Riesgo (vector verde de los grficos de tres coordenadas). Cabe hacer notar y alertar que las Tablas convencionales SIL no son una herramienta precisa para expresar la capacidad reductora del riesgo que debe introducir la Plataforma de Proteccin. Esto se debe a que cada nivel o grupo SIL agrupa un alto nmero de Factores RRF de Reduccin de la Probabilidad (Grupo numeroso de Discos RRF). De todos los RRF que pertenecen al grupo SIL resultante, solo uno de ellos ser el ptimo para lograr la Reduccin requerida, siendo adems la opcin econmicamente ms conveniente.
Pag. 20 de 25
Tambin sern tcnicamente apropiados aquellos factores RRF que superen al anterior pero -probablemente- lo sern a costo creciente. En cambio, no sern apropiados aquellos factores RRF que -pese a pertenecer al mismo grupo SIL- sean inferiores en valor (o nmero de casilleros) al RRF ptimo. El problema se presenta cuando uno se limita a determinar nicamente el grupo SIL sin definir el RRF necesario, pues esto deja abierta la posibilidad de que se opte por cualquier factor RRF (o disco de probabilidad) de los comprendidos dentro de ese grupo SIL, pudiendo fcilmente suceder que se termine adoptando -inocentemente- uno de valor inferior al RRF que necesita el proceso. En este ltimo caso generar una reduccin de la probabilidad de falla que ser inferior a la necesaria, dejando al proceso insuficientemente protegido, operando con un nivel de riesgo inaceptablemente superior al tolerable pese a tener la SIF el SIL calculado. Esto se ve claramente en el Ejemplo #1 que se incluye a continuacin. Ejemplo 1 - En este primer ejemplo repasaremos la proteccin que hemos incorporado en la caldera del anterior punto 7-.
Nivel de Probabilidad (*) Tolerable por la Empresa
PT=1/1440/mes
HAZ ARD
Sensor Safety Vlvula De Llama PLC Shut Off
+
(SIF)
PFD = 1/250
RRF=250
P=1/6x 1/250= 1/1500/mes
SIL2
P=1/1500/mes <P T=1/1440/mes

!! Proteccin Correcta

Pag. 21 de 25
Atencin: los valores indicados son fi cticios
SIFLAZO DE FALLA DELLAMA
Sensor Safety Vlvula de Llama Solver Bloqueo (3/3000) (2/3000) (7/3000)

HAZARD
PFD = 1/250
UNA FALLA CADA 250 DEMANDAS
Probabilidad de Apagado de Llama P=1/6/m

* UNA DEMANDA POR CADA SEIS MESES
RRF=250 + Dado de 250 caras

o Disco de 250 Nos
2 2 SIL SIL
PFD P RRF
Ing. Juan Roberto Fernndez Blanco. Ley 11723
En base a este anlisis qued confirmado que el RRF=250 requerido para la SIF pertenece al nivel SIL 2.
1 ao = 8760 horas pero se usa 1 ao aprox.=10.000 hs (10-4)

10-6 10-7 Banda SIL2
SIF DE PROTECCIN
PFD por hora Modo de Operaci n de Alta Demanda y Demanda Continua
10-5 Banda SIL1
10-8 Banda SIL4
10-9
Banda SIL3
Modo de Operaci n de Baja Demanda

POR D EM AND A
Disco de 10
casilleros casilleros
100
250
1.000
10.000
casilleros
casilleros
casilleros
100K
casilleros
PFD
1/10 1/100 10-1 10-2 PFD =1/250 Banda SIL1 Banda SIL2 101 10 102 100 RRF = 250
1/1.000 10-3 Banda SIL3
1/10.000 1/100.000 10-4 10-5 Banda SIL4
RRF
CANT . DE C ASILLER OS POR DISCO
103 1000
104 10.000
100.000
SIF
Ing. Roberto Fernndez Blanco Ley 11.723
Con este dato (SIL2) se redacta (de acuerdo con el procedimiento convencional) la Safety Requirement Specification (SRS) para adquirir una funcin protectora de nivel SIL2. Y con esta SRS la oficina de compras adquiere un lazo SIF de nivel SIL2 provisto por alguno de los muy buenos fabricantes internacionales de funciones SIF. Cuando se completa la instalacin de esta funcin en el proceso y se est ejecutando el commissioning para proceder a la puesta en marcha de la planta, se hace una validacin de la SIF instalada confirmndose que efectivamente es de nivel SIL2. Pero dado que al comprar la SIF no se haba especificado el RRF requerido (Disco de Probabilidad de 250 casilleros) al completarse la validacin se comprueba tambin que la funcin SIF instalada posee una especfica Integridad que se corresponde con un RRF=120 (Disco de Probabilidad de 120 casilleros). El resultado de esta diferencia se hace evidente en el Grfico y en la Figura siguientes:
Pag. 22 de 25
1 ao = 8760 horas pero usamos 1 ao aprox. = 10.000 horas

10-6 Grupo SIL2
SIF DE PROTECCIN
PFD por hora 10-5 Modo de Operaci n de Alta Demanda y Demanda Continua Grupo SIL1
10-7 Grupo SIL3
10-8 Grupo SIL4
10-9
Modo de Operaci n de Baja Demanda PFD
Disco de 10
casilleros casilleros
100
250
1.000
10.000
casilleros
casilleros
casilleros
100K
casilleros

1
1/100 10-2 Grupo SIL2

120
1/1.000 10-3 Grupo SIL3 103 1000
1/100.000 1/10.000 10-5 10-4 Grupo SIL4
Cant. de Casilleros 10 por Disco RRF 10
102 100
250
104 10.000
100.000
Nivel de Probabilidad (*) Tolerable por la Empresa
PT=1/1440/mes
1/120/AO
HAZ ARD
Sensor Safety De Llama PLC
Vlvula Shut Off
+
(SIF)
PFD = 1/120
RRF=120
P=1/6x 1/120= 1/720/me s
P=1/720/m>PT=1/1440/mes Proteccin Insuficiente
SIL2
2
EL DOBLE DE EXPLOSIONES CON IGUAL SIL
1/60/ao en vez de 1/120/ao

Juan Roberto Fern ndez Blanco. Hecho el depsito que marca la Ley 11723.
El Grfico SIL/RRF nos confirma que la SIF recibida con Disco de Probabilidad RRF= 120 pertenece al Grupo de Nivel SIL2 solicitado. La figura de la caldera nos demuestra que con esa SIF de Nivel SIL2 y con RRF=120, la Probabilidad de que el Incidente pueda prosperar hacia su culminacin catastrfica ser de un PFD-Total Resultante de 1/6/mes x 1/120 = 1/720/mes, esto es, el doble por encima- del Riesgo tolerable establecido por la Empresa. (1/720/mes = 2/1440/mes es el doble del Riesgo tolerable de 1/1440/mes). El ms importante beneficio de este nuevo Grfico SIL/RRF es que hace evidente y obvio que la fijacin del valor SIL no es suficiente para definir la SIF que se necesita para proteger debidamente el proceso. Lo que el proceso necesita es Reducir el Riesgo del especfico Hazard por debajo del valor aceptable establecido por la empresa, para lo cual es necesario determinar con precisin el debido Factor RRF de Reduccin del Riesgo (o bien optar por un factor RRF algo mayor, con disco de mayor nmero de casilleros).
Pag. 23 de 25
Ejemplo 2- Este segundo ejemplo se refiere a una aplicacin donde el requerimiento establecido en las SRS exiga una SIF de nivel SIL3. Pero al hacerse la validacin -previa a la Puesta en Marcha del proceso- se comprob que la SIF era de nivel SIL2. Esto cre gran alarma pues se estimaba que su adecuacin a SIL3 requerira suspender la Puesta en Marcha, redisear el lazo, adquirir nuevos equipos, corregir la instalacin, etc. Por ello en algn momento se pens -descabelladamente- en ocultar el hecho, pero luego se consider que -de suceder algn siniestro- los responsables podran ser legalmente procesados y gravemente penados en caso de que el Incidente produjera daos sobre personas. Adems lo esencialmente tico era (y es) incorporar la debida proteccin y no exponer al personal a un nivel de Riesgo superior al establecido. Al repasar los datos y los clculos se comprob que el requerimiento SIL3 corresponda a un RRF=1001, en tanto el lazo SIF suministrado provea un RRF=999 (perteneciente al grupo SIL2).
1 ao = 8760 horas pero usamos 1 ao aprox=10.000 horas
** RRF / SIL GRAPH **

PFD por hora Modo de Operaci n de Alta Demanda y Demanda Continua
10-5 Grupo SIL1
Modo de Operaci n en Baja Demanda PFD

Cantidad de caras del Dado o de Casilleros por Disco RRF
DISCO de
100
Casilleros
1.000
Casilleros
10.000
Casilleros
10 Casilleros
100K
Casilleros
1/100 10-2 Grupo SIL2

RRF=999
1/1.000 10-3 Grupo SIL3

RRF=1001
1/10.000 1/100.000 10-4 10-5 Grupo SIL4
10
100
1000
Juan Roberto Fernndez Blanco. Ley 11723
10.000
100.000
SE REQUIRI SIL 3 Y AL VALIDAR DI SIL 2, PORQUE EN VEZ DE RRF= 1001 SE TUVO RRF=999
Observando el Grfico SIL/RRF se hace evidente que se trata de dos Discos de cantidad de casilleros muy cercanos entre s, con una diferencia de apenas 2 casilleros. Revisados los clculos se consider que la diferencia estaba dentro de los mrgenes razonables, aceptndose la misma. Se hizo la revisin de la documentacin con el adecuado respaldo tcnico y se pas a la Puesta en Marcha. 9- CONCLUSIN (con recomendacin respecto de la cultura del PSM). Este artculo ha permitido tener un claro entendimiento del Inefable concepto SIL haciendo evidente que cada nivel SIL agrupa a varios sucesivos discos de probabilidad (o RRF). Pone tambin en claro que el objetivo esencial del Process Safety Management PSM es operar el proceso (de manera sostenida) con la debida Reduccin del Riesgo, esto es, con el adecuado RRF.
Pag. 24 de 25
Como resulta obvio, la capacidad RRF de Reduccin del Riesgo debe ser preservada con un riguroso mantenimiento preventivo que mantenga el equipamiento en condicin operativa equivalente a nuevo a los efectos de evitar la paulatina degradacin del Factor RRF a lo largo del tiempo con el consecuente aumento del nivel de Riesgo por sobre el tolerable permitido. Esto es equivalente a la importancia de cuidar y mantener, con igual grado de dedicacin, preocupacin, precisin y perfeccin, el estado de los frenos de un automvil con el que a diario se viaja por un camino de cornisa. Este ejemplo nos permite ver con mayor claridad el significado de degradacin del RRF y su efecto sobre la seguridad del proceso. Aceptemos que la Probabilidad de Falla en Demanda de un requerimiento de frenado (apretar el pedal y que el freno acte plenamente) est representado por un dado de 12 caras, significando 1/12/mes, esto es, una falla de proteccin por frenado por cada doce meses de manejo continuo (valor ficticio a efectos de la explicacin). La falta de mantenimiento implicar que el desgaste paulatino ir reduciendo la capacidad de respuesta del freno provocando la prdida de su poder protector. Simultneamente esto ir acompaado (de manera figurativa) por el desgaste paulatino (degradacin) del dado o disco representativo de la probabilidad (los que irn perdiendo caras o casilleros) haciendo evidente el aumento de la Probabilidad de Falla del freno desgastado ante una Demanda. As la PFD del freno se ir degradando pasando -en algn momento- a estar representada por un dado (o disco) de -por ejemplo- 8 caras (o casilleros) cuando a nuevo -antes del desgaste- estaba representada por un dado de 12 caras (o un disco de 12 casilleros). Esto es, se pasa del PFD original de 1/12/mes a un mayor PFD degradado de 1/8/mes. Y la probabilidad de falla continuar creciendo (degradndose) en caso de que no se le hagan en tiempo y forma- las inspecciones, mantenimientos a nuevo y pruebas requeridas, las cuales debern ser detalladamente establecidas y programadas desde antes de la puesta en servicio y cumplidas rigurosa y permanentemente en tanto se tenga el automvil en uso. De aqu la reiterada recomendacin del autor a Gerentes y Jefes de Departamento, de que compren un dado convencional de 6 caras, le peguen una bombita sobre la cara del nmero 1, lo tengan siempre sobre el escritorio en la planta y lo hagan rodar todos los das cuando llegan a la misma. El autor ha comprobado que aquellos a los que en su momento les regal un dado bombi han tomado ms conciencia del problema y cambiado sus hbitos respecto de la atencin y cuidado por lograr un sostenido mantenimiento para llevar a la condicin de nuevo a todos los componentes de las Plataformas de Proteccin. Y como la parte pasiva de la cultura son los hbitos, usos y costumbres, este simple juego introdujo una positiva dinmica de crecimiento cultural en lo que hace al PSM (Process Safety Management), objetivo central de la misin del CCPS.
Pag. 25 de 25
El autor recomienda que la empresa verdaderamente interesada por la seguridad de sus procesos se asocie al CCPS y haga uso de los servicios del CCPS y de su extensa bibliografa a fin de ampliar los conocimientos y adoptar las recomendaciones requeridas para una eficaz seguridad operativa de sus procesos. Sugiere tambin complementar este artculo con otros de su autora respecto de las diferentes etapas del Safety Life Cycle (SLC). Ing. Roberto Fernndez Blanco - SISTEMAS DACS SA (Buenos Aires Argentina) **********************************************************************
Keywords:
CCPS: Chemical Center for Process Safety HAZARD: Peligro potencial residente e inherente al proceso SIF: Safety Instrumented Function PFD: Probability of Failure on Demand RRF: Risk Reduction Factor SIL: Safety Integrity Level SLC: Safety Life Cycle PSM: Process Safety Management

SN 516 11 Articulo SIL or RRF para CCPS

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

SN 516 11 Articulo SIL or RRF para CCPS

Uploaded by

Copyright:

Available Formats

Pag.

ING. ROBERTO FERNNDEZ BLANCO. LEY 11723

GRFICO DE CATEGORAS SIL / RRF

PFD por hora

10-5 Grupo SIL1

Modo de Operacin de Alta o Continua Demanda

Modo de Operacin de Baja Demanda

1/10 10-1 Grupo SIL1

1/100 10-2 Grupo SIL2 102 100

1/1.000 10-3 Grupo SIL3 103 1.000

1/100.000 1/10.000 10-5 10-4 Grupo SIL4

(CASILLER OS DE LOS DISCOS)

Ao 2005* Ing. Roberto Fernndez Blanco

CONSECUENCIAS? CONDICIN SEGURA!! SAFE CONDITION !!

HAZARD PELIGRO CONFINADO

DANGER PELIGRO EXPUESTO

HAZARD CONTENIDO EN EL PROCESO. -CONDICIN OPERATIVA SEGURA(TIGRE ENJAULADO)

CONSECUENCIA DEL ESPECFICO INCIDENTE

PROBABILIDAD DEL ESPECFICO INCIDENTE

GRFICO DE RIES GO de un Especfico HAZARD

ING. ROBERTO FERNNDEZ BLANCO. LEY 11723

RIESGO SUPERIOR AL TOLERABLE

RIESGO POR ENCIMA DEL TOLERABLE CONSECUENCIA DEL ESPECFICO INCIDENTE

I A B PROBABILIDAD DEL ESPECFICO INCIDENTE C D

GRFICO DE RIESGO con plano de nivel del RIESGO TOLERABLE

E BL IA L 0k A 0 kREC 0 1 30 GIN U$ DESP U$MAR

B 1/50/ao C 1/10/ao D 1/2/ao

LNEA O FRONTERA DE RIESGO TOLERABLE

PLAN DE EMERGENCIA Y EVACUACIN COMUNITARIA

SUCESIN DE TRINCHERAS DEFENSIVAS

ATENUACIN, MITIGACIN. EL INCIDENTE SUPER LOS LMITES DEL PROCESO

LMITE DEL PROCESO

SUCESIN DE TRINCHERAS DEFENSIVAS

FLAME OUT, SE APAG LA LLAMA

SUCESIN DE DEMANDAS DE PROTECCIN

SAFETY I NSTRUMENTED FUNCTION - POR FALLA DE LLAMA

ING. R OBERTO FERN AND EZ BLANCO. LEY 11723

ING. ROBERTO FERNNDEZ BLANCO. LEY 11723

MONEDA, DADOS Y DISCOS DE PROBABILIDAD

{ PFD - PROBABILITY TO F AIL ON DEMAND }

LA PISTOLA EST CARGADA. PEDRO EST LIQUIDADO!

PROBABILIDAD DE FALLECER CON EL DISPARO

PROBABILITY TO FINISH DEAD

Ruleta Rusa: PFD = 1/6

ING. ROBERTO FERNNDEZ BLANCO. LEY 11723

Ruleta Rusa: PFD = 1/100

ING. ROBERTO FERNNDEZ BLANCO. LEY 11723

TIEMPO PARA ABORTARLO

INICIO DEL INCIDENTE

HAZARD EN CALDERA POR PRDIDA DE LLAMA

ING. ROBERTO FERNNDEZ BLANCO. LEY 11723

ING. ROBERTO FERNNDEZ BLANCO. LEY 11723

ADVERTENCIA: LOS VALORES AQU INDICADOS SON ABSOLUTAMENTE FICTICIOS

Probabilidad de Falla de Llama- PFL =1/6/mes

REDUCCIN DE PROBABILIDAD DEL RIESGO POR SIF DE PROTECCIN

ING. ROBERTO FERNNDEZ BLANCO. LEY 11723

Nivel de Probabilidad Tolerable por la Empresa

REDUCCIN DE PROBABILIDAD DEL RIESGO POR SIF DE PROTECCIN

ING. ROBERTO FERNNDEZ BLANCO. LEY 11723

Lazo de Proteccin SIF por Apagado de Llama Fuel

Nivel de Probabilidad Tolerable por la Empresa

Sensor Safety Vlvula De Llama PLC Shut Off

del Incidente en la = Probabilidad Caldera con SIF incluida