Capas de Mitigacion vs Capas de Proteccion

Standards

Certification

Education & Training

Publishing

Conferences & Exhibits Isa Venezuela SeccinMetropolitanaSep 2009

Proteccin vs. Mitigacinsegn ISA 84.00.01 y 07

Anneliese HofmayrSeptiembre 2009

ISA VENEZUELA SECCION METROPOLITANA Julio 2009

Agenda:

Puntos principales Proteccin vs. Mitigacin Diferencias y similitudes entre un SIS y un SFG Caractersticas de una Capa de Mitigacin ISA TR84.00.07 Evaluacin de Efectividad en SFG Conclusiones y Recomendaciones


Proteccin vs. mitigacin

Plant personnelintervenes

Safety system(automatic)

Basisautomation

Pressure-reliefvalve,bursting disk

Retentionbasin

Fire & Gas

Passive protection

Civil protectionCivilprotection

Safety system (SIS)

Processdata

Process alarm

Standard behavior

Process control system

Safetyshutdown

MITIGACIN


Proteccin vs. Mitigacin

Despreciable

Menor

Serio

Severo

Catastrfico

Improbable Remota Ocasional Probable Frecuente

Baja Moderada AltaC

o

n

s

e

c

u

e

n

c

i

a

Frecuencia

E

x

t

e

n

s

o

M

o

d

e

r

a

d

o

M

e

n

o

r

Alto

Alto

Alto

AltoAltoAlto

Bajo

Bajo

Bajo

Bajo

Bajo Bajo Bajo

Moderado Moderado

Moderado Moderado

Moderado

Moderado

Moderado Moderado

Alto

Moderado

Moderado

Moderado

A

B

Mitigacin

CDE

Proteccin: Disminucin de probabilidades

A B Capa de MitigacinB E Capas de Proteccin


Diferencias entre un SIS y un SFG

Sistema Instrumentado de Seguridad (SIS)

Sistema de Fuego y Gas(SFG)

TP

PLC

TP

SIS

Un SIS es una Capa de proteccin

SFGHM S GDFD

HH B S M

Un SG&F es una Capa de mitigacin

1. Tiempo de reaccin en ms. (Generalmente)2. Se evita intervencin Humana

a menos que sea medible su desempeo

3. SIL de la FIS es calculable basado en Hardware y Software

4. No necesita energa para actuar

1. Tiempo de reaccin en segundos. (incluso minutos)

2. Se fomenta intervencin Humana.

3. SIL del Sistema NO es calculable basado en hardware y Software

4. Necesita energa para actuar





TP

PLC

TP

SIS

Un SIS es una Capa de proteccin

SFGHM S GDFD

HH B S M

Un SG&F es una Capa de mitigacin

Sistema DurmienteSeparacinLgica InversaConfiabilidad se alcanza con redundanciaSe activa automticamente

Sistema DurmienteSeparacinLgica DirectaConfiabilidad puede no alcanzarse con redundanciaPuede activarse de forma automtica o manual


F&G SIS

HMI

F&G I/O SIS I/O

SOESOE

HMI

Hardwired, Hardwired, Industrial Ethernet, Industrial Ethernet,

ProfibusProfibus I/O or I/O or ModbusModbus

HVAC I/O

DCS



Common LogicHi-Level Zone Status Power MonitorPanel StatusDiagnosticsBypassing CapabilityTesting Capability

FireZone1

FireZone2

FireZone3

EOLS M H

Supervised Monitoring ( Wire Breaks & Shorts)Smoke DetectorsHeat Detectors

Manual Call Box

Supervised Monitoring ( Wire Breaks & Shorts)FD Flame Detectors (4-20mA)

GD Gas Detectors (4-20mA)

Motor Motor with Feedback

HMIACK, SILENCE,

RESET

Power SystemBattery System

Charger, Batteries, Diagnostic Monitoring

.

.

.

.

.

.

Applicable StandardsNFPA 72EN54IEC 61511

Diferencias entre un SIS y un SFGArquitectura de un SFG


Diferencias entre un SIS y un SFGCapas de Proteccin y Riesgo Tolerable

Una capa de proteccin debe ser1. Especifica (estar bien definida)2. Independiente (de otras capas)3. Debe de poderse depender de su accionamiento

Segn la IEC 61511 o ANSI/ISA 84.00.01 2004 el riesgo tolerable es igual a

Riesgo Tolerable () Riesgo Inherente (f) x PFD todas las capas

Un SFG no cumple las caractersticas necesarias para ser considerado una capa de Proteccin

OK.

NO

OK.


FDGD

De haber una fuga de Gas, el sistema pudiera detectarla y alarmar

Caractersticas de una capa de Mitigacin

Ejemplo:


FDGD

De haber una fuego, El sistema pudiera reaccionar


Ejemplo:


1

FDGD

Pero pudiera tambin fallar aun estando en operativo

Ejemplo:



FDGD

De haber una fuga,

Incluso la supresin no es garanta de resultado:

y/o incapacitadospuede haber muertos


Ejemplo:




Lgica InversaConfiabilidad se alcanza con redundancia

Lgica DirectaConfiabilidad puede no alcanzarse con redundancia

Seguridad

Disponibilidad

1oo2

2oo3

2002

1oo1

2oo2

2oo3

1002

1oo1

Afectado por

Geografay Tamao

del Siniestro




1oo10 2oo10 3oo10 ..8oo10 9oo10 10oo10Seguro Inseguro

Muy confiablePoco confiable Intervencin Humana

... Para fugas pequeas


... Para fugas Grandes

1oo10 2oo10 3oo10 ..8oo10 9oo10 10oo10Seguro

Muy confiablePoco confiable Intervencin Humana



Una capa de proteccin debe ser1. Especifica (estar bien definida)2. Independiente (de otras capas)3. Debe de poderse depender de su accionamiento

Segn la IEC 61511 o ANSI/ISA 84.00.01 2004 el riesgo tolerable es igual a

Riesgo Tolerable () Riesgo Inherente (f) x PFD todas las capas

Un SFG no cumple las caractersticas necesarias para ser considerado una capa de Proteccin

OK.

NO

OK.

Evaluacin de Efectividad en SFG


Segn la ISA 84.00.07 2008 el riesgo tolerable es igual a

Riesgo Tolerable () CWA x FSM x PFD todas las capas


Donde:CWA es la Consecuencia Promedio Ponderada (Weighed Average)Y FSM es la frecuencia anual

>10.000 10.000 - 1.000 1.000 - 100 100 - 10 10 - 1

1 A A A B B10 A A B B C100 A B B C C

1.000 B B C C D10.000 B C C D D

Categoras de Frecuencia - AosConsecuencia



Ejemplo: (Paul Gruhns 2006 ISA White Paper: SIL Ratings for F&GS Hardware)

Consideremos un Separador de crudo con cinco vlvulas, diez bridas y treinta metros de tuberas. Segn estadsticas histricas de las rupturas

Dimetro Ocurrencia Frecuencia Consecuencia1 dimetro 94% 2.09 x 10-2 1006 dimetro 5% 1.5 x 10-31 1000Rotura total 1% 3.1 x 10-4 10000

Entonces:

Las consecuencias promedio ponderadas CWA estn dadas por: CWA = 0.94 x 100 + 0.05 x 1.000 + 0.01 x 10.000 = 244

Y la Frecuencia anual sin mitigar:FSM = 2.9 x 10-2 + 1.5 x 10-3 + 3.1 x 10-4 = 3.08 x 10-2


Dado que el evento indeseable ha ocurrido, el riesgo aceptable depende del resultado final de siniestro. Por tanto, generalmente se utiliza matrices de riesgo

Donde:A. Diseo aceptable No

requiere cambiosB. Considrese otras capas

adicionalesC. Requiere Capas adicionalesD. Diseo inaceptable

Recuerde

1 - Sin Heridos - Primeros Auxilios10 - Heridos

100 - Incapacitados1.000 - Con Muertes10.000 - Con Multiples Muertes

Categorias de Consecuencias

>10.000 10.000 - 1.000 1.000 - 100 100 - 10 10 - 1


1.000 B B C C D10.000 B C C D D


3.08 x 10-2 32 Aos

244



Consideremos una pinchadura equivalente a un orificio de 1 Dia.

27.8291.000Totales0.1

10.0001000.100No0.11 x 10+00

9.0001000.090NoFugas 1" Dia0.10.9

8.1001000.081No0.9Si0.9Si

0.72910.729Si

Consecuencia PonderadaConsecuenciasFrecuencia

Efectividad del SupresorActivacin SG&F

Cobertura de DeteccinEscenario

Considerando:1. Coberturas exageradas (90%)2.SG&F SIL 1




Con un SG&F SIL 2

20.6021.000Totales0.1

10.0001000.100No0.011 x 10+00

0.9001000.009NoFugas 1" Dia0.10.9

8.9001000.089No0.99Si0.9Si

0.80210.802Si







y con un SG&F SIL 3 19.8011.000Totales0.1

10.0001000.100No0.0011 x 10+00

0.0011000.001NoFugas 1" Dia0.10.9

8.9911000.090No0.999Si0.9Si

0.80910.809Si




La contribucin del SG&F es pequea entre SIL 1 y SIL 2, a pesar de haber exagerado la cobertura y eficiencia de los sensores y supresores



Consideremos ahora una pinchadura equivalente a un orificio de 6Dia. con un SG&F SIL 2 dada su contribucin.

206.0181.000Totales0.1

100.00010000.100No0.011 x 10+00

9.00010000.009NoFugas 6" Dia0.10.9

89.00010000.089No0.99Si0.9Si

8.018100.802Si






Y finalmente consideremos la rotura total del tubo, con un SG&F SIL 2 (aqu otra vez, dada su contribucin)

2061.1801.000Totales0.1

1000.000100000.100No0.011 x 10+00

90.000100000.009NoFugas Tubo Roto

0.10.9891.000100000.089No0.99Si

0.9Si80.1801000.802Si






Considerando las consecuencias despus de la mitigacin utilizando un Sistema FG con hardware SIL3

Dimetro Ocurrencia Frecuencia Consecuencia1 dimetro 94% 2.09 x 10-2 20.66 dimetro 5% 1.5 x 10-31 206.1Rotura total 1% 3.1 x 10-4 2061

Entonces:

Las consecuencias promedio ponderadas CWA estn dadas por: CWA = 0.94 x 100 + 0.05 x 1.000 + 0.01 x 10.000 = 244

Y la Frecuencia anual sin mitigar:FSM = 2.9 x 10-2 + 1.5 x 10-3 + 3.1 x 10-4 = 3.08 x 10-2



La capa de mitigacion apenas nos ha disminuido suficiente para que no haya heridos, pero si incapacitados, por lo que se requieren de capas de proteccin.

Donde:A. Diseo aceptable No

requiere cambiosB. Considrese otras capas

adicionalesC. Requiere Capas adicionalesD. Diseo inaceptable

Recuerde

1 - Sin Heridos - Primeros Auxilios10 - Heridos100 - Incapacitados1.000 - Con Muertes10.000 - Con Multiples Muertes

Categorias de Consecuencias

>10.000 10.000 - 1.000 1.000 - 100 100 - 10 10 - 1


1.000 B B C C D10.000 B C C D D


3.08 x 10-2 32 Aos

49.8244



>10.000 10.000 - 1.000 1.000 - 100 100 - 10 10 - 1


1.000 B B C C D10.000 B C C D D


49.8

Frecuencia Actual3.08 x 10-2

Frecuencia Meta1 x 10-4

1. Agregar Capas de proteccin (Infecciones, integridad mecnica etc.)2. Integridad del SG&F no es garanta de alcanzar el nivel de riesgo aceptable3. Revisar diseo con nfasis en cobertura y eficiencia de sensores y supresores4. Revisar BIEN la TR 84.00.07

Capas de Proteccin



1. Existen entonces varios factores a tener en cuenta en el diseo e instalacin de un SFG

2. El ciclo de vida de un SG&F segn ANSI/ISA TR 84.00.07 es:

1 Identificacin de reas problemticas2 Identificacin de escenarios de riesgo3 Hacer un anlisis de consecuencias4 Hacer un anlisis de frecuencia5 Hacer un anlisis de riesgo no mitigado6 Identificacin de requerimientos del SG&F7 Desarrollar el diseo preliminar del SG&F8 Evaluar la cobertura de los detectores9 Evaluar la disponibilidad Segura del SG&F10 Hacer un anlisis de riesgo mitigado11 Modificar diseo del SG&F



Preguntas?Preguntas?Preguntas?Preguntas?

Documents

Capas de Mitigacion vs Capas de Proteccion